Cybersécurité au Maroc : “La brique cyber est devenue un prérequis implicite dans toutes les discussions IT” (Youssef Agoumi)

Le Maroc n'est pas épargné par les cyberattaques. Youssef Agoumi l'affirme d'emblée : "Dans le monde du cyberespace, aucun pays n'est en reste". Mais ce qui distingue le Royaume, c'est l'intensification récente de l'exposition. "Depuis quelques années, peut-être deux ou trois ans, le Maroc est de plus en plus présent sur la scène internationale, que ce soit d'un point de vue géopolitique ou économique. On a une très forte vague d'industrialisation, énormément de projets dans l'aéronautique, l'automobile, les travaux publics. Tout ça amène beaucoup d'investissements depuis l'étranger".

Les motivations des groupes malveillants ? Deux axes principaux : idéologique et lucratif. "Les succès marocains peuvent attirer certaines convoitises étrangères. Le contexte géopolitique mondial également ; on a des guerres en ce moment sur certaines régions de la planète, ce qui accélère le développement de nouvelles menaces". Auxquels s'ajoutent la digitalisation accélérée et la visibilité croissante du Maroc à travers les grands événements qu'il accueille – sportifs, économiques, climatiques. "Tous ces arguments mis bout à bout font que le niveau de la menace cyber augmente".

Résilience : trois catégories d'entreprises

Face à l'attaque, la vraie question est celle de la capacité à réagir. Youssef Agoumi identifie trois profils d'organisations au Maroc.

"On a des entreprises qui ne sont pas du tout résilientes et qui, malheureusement, seraient à la merci d'une cyberattaque. On a des entreprises qui visent cette résilience, font pas mal de choses pour l'atteindre et sont conscientes du sujet. Et puis, on a des entreprises qui sont résilientes à l'instant t, mais qui ne sont pas à l'abri d'une nouvelle technique d'attaque qu'elles n'auraient pas prévue".

La résilience, rappelle-t-il, repose sur une logique séquentielle : identifier ce qu'on possède, évaluer les risques associés, protéger, détecter, puis réagir. Or, "les entreprises mettent encore beaucoup d'énergie sur leur protection et un peu moins sur la réaction". Et les tests sont décisifs. "Si je sauvegarde mes données et que je ne teste pas la restauration de mes données, même si je ne subis aucune attaque, je ne suis pas à l'abri que le jour de l'attaque, ma restauration ne fonctionne pas".

Sur les grandes infrastructures d'importance vitale, le bilan est nuancé. "Le sujet est bien pris en main. On a de bonnes avancées, même si ce n'est pas encore au point, surtout d'un point de vue des tests et de l'entraînement des équipes. On n'a pas encore atteint le niveau de maturité de certains pays européens".

De la DSI au conseil d'administration : un sujet devenu stratégique

La cybersécurité n'est plus seulement une affaire de techniciens. "Le technique, c'est juste un outil qui va nous permettre d'alimenter la stratégie qu'on aura mise en place", insiste Agoumi. Les entreprises les plus avancées ont sorti la fonction sécurité de la Direction des systèmes d'information pour la rattacher soit à la Direction des risques, soit directement à la Direction générale.

L'événement déclencheur ? Les cyberattaques contre la CNSS, il y a un peu plus d'un an. "Ce qu'on a constaté, c'est qu'on a assisté à un niveau stratégique encore supérieur dans le pilotage de la cybersécurité. On était au niveau des comités de direction. Aujourd'hui, les actionnaires des grands groupes ont contacté les membres des comités de direction pour leur dire : la cybersécurité, je sais que vous adressez le sujet, mais il faut que ça devienne top priorité. On a vu ce que ça faisait sur le marché".

Cette dynamique s'inscrit par ailleurs dans la Stratégie nationale de cybersécurité 2030, pilotée par la Défense nationale, articulée autour de quatre leviers : la gouvernance de la sécurité au niveau de l'État marocain et l'arsenal législatif et juridique associé ; la protection du cyberespace marocain ; la formation des talents et la sensibilisation de la population aux enjeux de la cybersécurité ; et, enfin, la coopération internationale et régionale.

Le défi des talents : un marché en retard sur les besoins

Le déficit de compétences est réel. "Le marché n'était pas prêt. Il y a un décalage entre le monde académique et le monde professionnel, et le temps que l'académique se prépare aux besoins du professionnel, on a un laps de temps. Or, le besoin arrive beaucoup plus vite que la présence des talents".

Mais un signal positif se dessine : le retour de la diaspora. "Lors de nos entretiens de recrutement, on a énormément de Marocains de la diaspora qui disent tous la même chose : 'On voit que le Maroc bouge très vite et on n'a pas envie de laisser passer le train'". Chez Formind, sur les dix derniers recrutements, "il doit y avoir 70% de Marocains de la diaspora."

Présent au salon, Youssef Agoumi constate une évolution de fond dans les conversations professionnelles. "On n'a plus d'efforts à faire pour parler de cybersécurité et expliquer à quel point c'est important. C'est-à-dire que c'est accepté : la cybersécurité, c'est mandatoire. Que ce soit des sujets cloud, IA, hébergement ou infrastructure... quel que soit le sujet IT, la brique cybersécurité est devenue un prérequis essentiel, primordial et implicite dans les discussions".