Le Maroc, pionnier de la sécurité du cyberespace en Afrique, Taieb Debbagh nous parle des mesures phares


“L’Administration de la Défense Nationale à travers la DGSSI, joue un rôle central dans la mise en place de la veille technologique pour anticiper les évolutions et proposer les innovations nécessaires en matière de sécurité des systèmes d’information“... Dr Taieb Debbagh

Avec 86,2% d’utilisateurs connectés en 2021, le Maroc est l’un des pays les plus connectés de l’Afrique selon le rapport de l’Union internationale des télécommunications sur le développement des télécommunications dans le monde. Le Maroc a depuis entamé sa quatrième révolution industrielle et fait partie des cinq pays d’Afrique qui regroupent plus de 50 % des centres technologiques africains dont l’Afrique du Sud, le Kenya, le Nigeria et l’Égypte. 

En décembre 2019, le Maroc a rejoint la Smart Africa Alliance qui compte une trentaine de pays membres, représentant plus de 750 millions de personnes. L ’Alliance qui vise de créer un marché digital unique en Afrique d'ici à 2030, réunit des chefs d’État qui cherchent à accélérer la digitalisation du continent et à créer un marché commun. Africa cybersecurity mag reçoit à ce titre en interview exclusive, Dr Taieb Debbagh, Directeur général de TDH Consulting.

Docteur en Informatique des Organisations de l’Université Paris-Dauphine, Taieb Debbagh a été Secrétaire Général du Ministère marocain en charge des Technologies de l’Information, à ce titre il a été à l’origine de la mise en place du maCERT et de la loi 09-08 (Protection des données personnelles), et il a supervisé la préparation et la réalisation du Plan « Maroc Numeric 2013 » et en particulier sa composante « Confiance Numérique ».

Lors du lancement en 2007, de l’initiative « Global Cybersecurity Agenda » par l’UIT, Taieb Debbagh a été membre du « High Level Expert Group » et a présidé la commission relative aux structures organisationnelles. Dans la suite des travaux de cette commission, il a proposé un référentiel de bonnes pratiques pour la mise en œuvre d’une stratégie nationale intitulé « National Cybersecurity Management System » qui a été adopté à l’unanimité lors de la Conférence Plénipotentiaire de l’UIT, qui s’est tenue au Mexique en octobre 2010. Il répond aujourd’hui aux questions d’Africa CyberSecurity Mag.

Africa CyberSecurity Mag : Quelle analyse faites-vous de l’état actuel de la cybersécurité au Maroc ?

Dr. Taieb Debbagh

Depuis la première étude relative à la confiance numérique réalisée en 2007, le Maroc a connu des avancées louables en matière de Cybersécurité sous l’égide de la Direction Générale de la Sécurité des Systèmes d’Information (DGSSI), ce qui lui a valu d’être classé 50ème parmi 182 pays, par le "Global Cybersecurity Index " (GCI-ITU) en 2021”. 

L’étude réalisée sur le marché marocain de la cybersécurité, par l’Association des Utilisateurs des Systèmes d’Information du Maroc (AUSIM), avait démontré une certaine maturité du tissu économique marocain, car la très grande majorité des entreprises est consciente de l’importance de la cybersécurité, mais que les moyens consacrés sont insuffisants. Ainsi, selon cette étude qui a porté sur les grandes entreprises du secteur tertiaire :

  • 86% ont adopté une ou plusieurs normes de sécurité (ISO 27001, DNSSI, etc.)
  • 86% offrent des programmes de formation ou de sensibilisation à leurs employés
  • 62% investissent moins d’un million de dirhams (100 000 euros) par an dans la cybersécurité
  • La quasi-totalité des organisations déploie des solutions de sécurité (antivirus, firewall, etc.), mais 39% ne protègent pas leurs données (cryptage, anonymisation, etc.).

Pendant la période du Covid-19 et l’évolution vertigineuse des cyberattaques, le Maroc a promulgué en juillet 2020 la loi 05-20 relative à la Cybersécurité qui définit la gouvernance à mettre en place, les entités concernées, les obligations de celles-ci, ainsi que les sanctions qui seront appliquées. Le décret d’application publié en juillet 2021, a précisé en particulier la liste des 15 secteurs d’importance vitale et que la DGSSI est désignée comme étant l’autorité de tutelle. 

L’Administration de la Défense Nationale à travers la DGSSI, joue un rôle central dans la mise en place de la veille technologique pour anticiper les évolutions et proposer les innovations nécessaires en matière de sécurité des systèmes d’information. Dans le cadre de son plan d’action de l’année 2021 et en vue de mettre à jour la stratégie nationale de cyber sécurité 2012, la DGSSI a lancé une étude visant à évaluer les risques cybernétiques au niveau national conformément à la méthodologie NCRA (National Cyber Risk Assessment), cette étude a été réalisée dans le cadre d’une action de coopération avec le gouvernement du Royaume-Uni. Par ailleurs, elle a organisé depuis novembre 2022 avec le concours d’experts de l’Union internationale des télécommunications, des réunions de consultation pour l’élaboration et la mise en œuvre de la nouvelle stratégie de la cybersécurité. 

Africa CyberSecurity Mag : Le Maroc est plutôt un bon élève en matière de cybersécurité. Il reste cependant plusieurs défis à relever. Quels sont les principaux défis auxquels est confrontée la cybersécurité au Maroc ? 

Dr. Taieb Debbagh :

L’analyse détaillée des critères composant chaque pilier et les évaluations du Maroc dans le cadre du « Global Cybersecurity Index 2021 », nous a permis de faire ressortir les principaux défis que doit relever notre pays :

Formation et recherche en cybersécurité : Étant donné la pénurie des compétences en cybersécurité, il serait judicieux de promouvoir des programmes de formation à l’échelle nationale pour former la jeune génération aux professions liées à la cybersécurité dans les écoles, universités et autres instituts d’apprentissage. Les évolutions rapides des nouvelles technologies nécessitent également la promotion et la mise en place de programmes de recherches dédiés à la Cybersécurité

Protection en ligne des enfants : Hormis la mise en place récente par l’ADD de la plateforme « e-Himaya », il serait judicieux de renforcer les textes législatifs, de définir une stratégie spécifique et de charger un organisme national pour assurer la protection en ligne des enfants. Il faudrait également encourager les activités des institutions gouvernementales ou non gouvernementales pour fournir des connaissances et un soutien aux parties prenantes sur la façon de protéger les enfants des inconvénients de l’Internet. Les autorités en charge de ce volet pourraient s’inspirer du programme « Child Online Protection » de l’UIT.

Protection des PME et TPE : La loi 05-20 et son décret d’application accordent une attention particulière aux Infrastructures d’importance vitale, ainsi qu’à un ensemble d’autres « Entités » spécifiques. L’allusion aux « Secteurs d’importance vitale » n’est pas suffisante pour protéger les PME et TPE contre les cyberattaques qui se sont accrues en cette période de développement du e-commerce et du recours massif au télétravail. Les grandes entreprises ont pris des mesures afin de se protéger, cela a eu pour effet de détourner la cybercriminalité vers les plus petites entreprises, leur protection est d'autant plus importante que les évolutions technologiques renforceront ce phénomène.

Mesure de la maturité en cybersécurité : Pour toute analyse comparative de la maturité en Cybersécurité entre différentes structures ou de son évolution dans le temps pour une organisation, il est nécessaire de disposer d’un référentiel reconnu à l’échelle nationale. Celui-ci pourrait s’inspirer de la norme ISO/IEC 27004 relative aux « Techniques de sécurité —Management de la sécurité de l'information — Surveillance, mesure, analyse et évaluation ». La généralisation de la collecte régulière d’informations aux niveaux des organisations de différents secteurs et de différentes tailles selon un modèle unifié permettra de disposer d’un observatoire national de la Cybersécurité.

Africa CyberSecurity Mag : Le Dahir n° 1-20-69 du 25 juillet 2020 portant promulgation de la loi n° 05-20 relative à la cybersécurité a été adopté. Y-a-t-il une importante volonté du royaume de développer le marché et l’écosystème de la cybersécurité ? 

Dr. Taieb Debbagh : 

Conformément aux dispositions du décret n° 2-21-406 pour l’application de la loi n°05-20 relative à la cybersécurité, les entités et les infrastructures d’importance vitale disposant de systèmes d’information sensibles doivent mener des audits périodiques de leurs systèmes par des prestataires d’audit qualifiés.

La DGSSI a publié en mars 2023 la liste des huit prestataires qualifiés, elle se compose de 

  • Quatre sociétés marocaines : Dataprotect, LMPS, DXC Technology et Near Secure, et 
  • Quatre représentants de groupes internationaux : Thales Holding Maroc, Orange Cyberdefense Maghreb et Afrique de l’Ouest, PwC et Sekera Services.

Outre les sociétés habilitées pour auditer les Systèmes d’Information Sensible, la DGSSI tient aussi un registre dédié aux agréments pour les prestataires chargés de la certification électroniques.

La plupart des sociétés internationales qui ont installé leur centre opérationnel au Maroc ont recruté des centaines de compétences marocaines pour doter les administrations et les entreprises marocaines et africaines de moyens de supervision efficaces en matière de cybersécurité. Cela n’a pas empêché les sociétés marocaines spécialisées en cybersécurité de réaliser une grande partie de leur chiffre d’affaires en Afrique.

Nous pouvons signaler également la création du Deloitte Morocco Cyber Center (MCC) qui a signé en mai 2022 un accord de partenariat avec l'Université Mohamed VI Polytechnique (UM6P) visant à promouvoir la recherche et le développement en matière de cybersécurité dans une optique de « développement panafricain » mais aussi dans le but d’accompagner des talents d’aujourd’hui et de demain dans leur formation et projets de recherche. MCC contribuera de manière significative au renforcement du lien entre la recherche académique et le monde professionnel au Maroc et en Afrique.


Africa CyberSecurity Mag : Parlons de la souveraineté numérique. C’est devenu un véritable enjeu pour les pays en pleine transformation digitale. Avec votre niveau d’expérience dans le management au niveau national et international, quelle est selon vous la stratégie que devraient adopter les États africains pour maintenir une souveraineté numérique tout en déployant des technologies étrangères ? 

Dr. Taieb Debbagh :

La souveraineté est définie comme étant le pouvoir suprême reconnu à l'État, qui implique l'exclusivité de sa compétence sur le territoire national (souveraineté interne) et son indépendance absolue dans l'ordre international où il n'est limité que par ses propres engagements (souveraineté externe)  (Larousse).

Mais la souveraineté d’un pays ne se limite pas à certaines réactions ponctuelles, et elle ne peut se décréter du jour au lendemain. Elle doit être basée sur une volonté politique forte et une vision à moyen et long terme. Mais la réalité est que plusieurs pays voient leur souveraineté économique, industrielle et financière mises à mal par de grandes puissances telles que les Etats-Unis et la Chine. Alors que l’Union européenne tente de se mobiliser pour atténuer cet état de fait tout en essayant de préserver le sacro-saint droit de la concurrence.

Cela est aussi vrai dans le domaine du numérique, lorsqu’on constate que les GAFAM (Google, Apple, Facebook, Amazon et Microsoft) ou leurs équivalents chinois les BATX (Baidu, Alibaba, Tencent, Xiaomi) mènent depuis plusieurs années des stratégies offensives dans les domaines de l’Intelligence artificielle, de l’analyse des données, de la robotique et d’autres branches du numérique.

La problématique de la souveraineté numérique se pose avec acuité en Europe et certains pays tentent de trouver des parades, mais à aucun moment ils n’ont pu le faire sans implication d’un des « hyperscallers » (AWS, Microsoft et Google). Alors que dire des pays africains, qui n’ont d’autres choix que d’utiliser les technologies étrangères à travers le Cloud et de prendre les précautions nécessaires (anonymisation, cryptographie …) pour protéger leurs informations sensibles.

Africa CyberSecurity Mag :  Le Maroc fait partie à ce jour de ces quelques rares États en Afrique à avoir ratifié la Convention de Budapest. Il a d’ailleurs signé également le deuxième protocole additionnel de la Convention au Conseil de l’Europe. Que pensez-vous de l’impact de toutes ces conventions sur le développement du cadre réglementaire de la protection des données et de la cybersécurité au Maroc ?

Dr Taieb Debbagh

La Convention de Budapest du Conseil de l'Europe sur la cybercriminalité est un traité international qui a été adopté en 2001. Elle vise à harmoniser les lois nationales des pays signataires en matière de cybercriminalité et à renforcer la coopération internationale dans la lutte contre ce phénomène. En mai 2022 le Maroc a signé à Strasbourg le 2ème protocole additionnel à la Convention de Budapest sur la cybercriminalité relatif au renforcement de la coopération et de la divulgation de preuves électroniques. Dans un discours de notre ministre de la Justice face au SG du Conseil de l'Europe, il a souligné l’importance qu’accorde le Maroc à l’exploitation d’une nouvelle dimension de la coopération judiciaire à travers les mécanismes de ce protocole.

La Convention de Budapest contient des dispositions sur différents types de crimes liés aux technologies de l'information et de la communication, tels que la fraude informatique, l'accès illicite, la diffusion de virus informatiques, la pédopornographie, le harcèlement en ligne et la violation de droits d'auteur. L’adhésion des pays africains à ce type de convention leur permet de mettre à niveau leur législation en matière de Cybersécurité et de bénéficier de la coopération avec d’autres pays pour combattre la cybercriminalité à travers le « European Cyber Crises Liaison Organisation Network » (EU-CyCLONe).

Par ailleurs, la ratification de la Convention 108 du Conseil de l’Europe par les pays africains leur permet d’intégrer les meilleures pratiques en matière de protection des données personnelles dans leur propre législation. Cette convention facilite également la coopération internationale en matière de protection des données à caractère personnel. 


Interview réalisée par Koffi ACAKPO, journaliste digital