Le360: partant de la dernière attaque cyber dont la CNSS a fait l’objet, qu’est-ce qui explique, selon vous, une fuite aussi massive de données?

Mohamed Alami: une fuite de données peut survenir à tout moment et toucher n’importe quel organisme en raison de failles de sécurité présentes dans certains environnements. Parmi ces failles, on retrouve souvent des serveurs ou des services exposés publiquement via Internet, dont la protection n’a pas été suffisamment renforcée. Cela signifie qu’aucun véritable mécanisme de sécurité n’a été mis en place, ouvrant ainsi la voie à des intrusions. Il peut également s’agir d’un défaut de classification des données, un exercice consistant à appliquer différents niveaux de sécurité selon la sensibilité de l’information, à travers un système de balisage des documents ou des données à caractère sensible ou confidentiel.

La classification relève à la fois de la gouvernance, de la conformité et de la sécurité, mais elle doit impérativement être accompagnée de contrôles techniques tels que les solutions de Data Loss Prevention (DLP). Ces solutions permettent de sécuriser les différents vecteurs d’échange de données — qu’elles soient en transit, stockées ou en cours de traitement. Il s’agit d’un véritable arsenal technologique pour prévenir ce type d’attaques.

Cela dit, les attaques actuelles sont de plus en plus sophistiquées. Elles combinent généralement plusieurs techniques: du social engineering, par exemple, en se faisant passer pour un tiers de confiance afin de soutirer des informations sensibles, à l’exploitation ciblée de failles technologiques. Ces stratégies permettent de mieux identifier les vulnérabilités à exploiter. D’autres méthodes incluent le scanning de ports ou la géolocalisation des données stockées.

Sur le plan institutionnel, à qui incombe la responsabilité de la sécurisation des organismes stratégiques ou sensibles au Maroc?

Cela dépend du secteur concerné. Pour la sécurité des moyens de paiement, ce sont les marques elles-mêmes ou un consortium regroupant ces acteurs. Pour les ministères, entreprises et établissements publics, la responsabilité incombe à la DGSSI (Direction générale de la sécurité des systèmes d’information) qui relève de l’Administration de la défense nationale. Ni la Direction générale de la sûreté nationale ni la Direction générale de surveillance du territoire national ne sont concernés par ce dossier.

Quelles sont précisément les missions de la DGSSI?

La DGSSI a pour mission d’établir un cadre réglementaire autour des activités cyber, de piloter les grandes initiatives en la matière, et de mettre en place des instances de suivi et de contrôle auprès des différentes structures marocaines. Elle joue également un rôle essentiel de vulgarisation et de sensibilisation. Elle est aujourd’hui citée en exemple à l’échelle régionale et continentale, avec une expertise reconnue au niveau international.

On lui doit notamment la création du maCERT (Moroccan Computer Emergency Response Team), un centre chargé de la veille, de la détection et de la réponse aux incidents informatiques. Ce centre, rattaché à l’une des quatre directions de la DGSSI, coordonne la mise en place de systèmes d’alerte et de réaction avec les administrations concernées, tout en diffusant largement des bulletins d’alerte sur les vulnérabilités détectées. Malgré ces efforts, le risque zéro n’existe pas. Même avec les moyens humains, technologiques et organisationnels les plus avancés, nous ne sommes jamais totalement à l’abri, surtout face à de nouvelles failles inconnues.

Où en est-on des investigations?

Les investigations sont toujours en cours. La CNSS a saisi la justice, qualifiant les faits d’acte criminel. En parallèle, une cellule de crise a été activée par la DGSSI. Un audit a été lancé par cette dernière, démontrant que la menace est prise très au sérieux. Des prestataires qualifiés accompagnent les services concernés dans cette enquête, qui devra déterminer s’il y a eu défaut de contrôle, complicité interne ou simple exploitation d’une nouvelle vulnérabilité, face à laquelle même les organismes les plus robustes peuvent être pris de court.

Qui peut être tenu responsable dans ce genre de situations?

C’est une responsabilité collective. La CNSS accorde une grande importance à la cybersécurité et y consacre d’importants investissements. Mais toute initiative, qu’il s’agisse d’un nouveau projet IT, d’une plateforme ou d’une interface client, doit être portée par le top management. Ce dernier doit intégrer la cybersécurité dans sa gouvernance, sa stratégie et ses orientations. Ensuite, une entité ou un département dédié peut être désigné pour piloter la sécurité des systèmes d’information.

Quelles mesures sont généralement adoptées en cas de cyberattaque?

Il existe tout un ensemble de processus organisationnels qui doivent être activés avant même qu’un incident ne survienne: gestion de la continuité d’activité, protocoles de sécurité, simulations d’incidents pour tester la réactivité, etc. Cela inclut également la désignation claire des responsabilités, la mise à disposition de moyens techniques et logistiques, la récupération des données, l’analyse des logs, l’assainissement des emplacements compromis, et bien sûr l’identification des causes et vecteurs d’attaque.

Quelles leçons tirer de ces événements?

Chaque incident doit servir à enrichir la base de connaissances pour mieux anticiper les menaces futures et renforcer les mesures de sécurité dans une logique d’amélioration continue. Malheureusement, la cybersécurité est encore perçue comme une notion abstraite au Maroc. On ne mesure son importance qu’en cas de crise. Pourtant, elle n’est pas un luxe: c’est une exigence de base, surtout dans un pays engagé dans une stratégie nationale de digitalisation, avec des efforts conjoints de tous les acteurs publics.