Le Maroc a franchi un pas décisif vers le renforcement de sa cybersécurité et de sa souveraineté numérique, enjeux majeurs face à la recrudescence des menaces cybernétiques. Un décret sur le recours aux prestataires de services cloud par les entités et infrastructures d’importance vitale disposant de systèmes d’information (SI) ou de données sensibles a été publié dans le dernier Bulletin Officiel (n° 7352).
Ce décret ouvre la voie à la mise en œuvre de nouvelles dispositions juridiques visant à renforcer la protection et la résilience des systèmes d’information des administrations de l’État, des collectivités territoriales, des établissements et entreprises publics, ainsi que des infrastructures d’importance vitale (IIV), indispensables au maintien des fonctions essentielles de la société (santé, sûreté, sécurité, bien-être économique et social).
Lire aussi : Panne informatique mondiale: impact limité sur le système bancaire marocain
Élaboré par la Direction générale de la sécurité des systèmes d’information (DGSSI), relevant de l’Administration de la Défense nationale, ce décret prévoit la mise en place d’un régime de qualification des prestataires cloud et définit les règles de sélection de ces derniers pour la gestion des SI et des données sensibles, conformément à la loi n° 05-20 relative à la cybersécurité.
Ce régime, fondé sur un référentiel d’exigences, vise à renforcer les mesures de sécurité et la protection des données. Il permet de garantir la compétence des prestataires cloud et de leurs équipes, ainsi que la qualité des mesures organisationnelles et techniques mises en place, offrant ainsi une base de confiance.
Le régime est structuré autour de deux niveaux de qualification. Lorsque les entités et infrastructures d’importance vitale font appel à des services cloud pour héberger, gérer ou exploiter tout ou partie de leurs systèmes d’information sensibles, elles doivent recourir à des prestataires qualifiés de niveau 1.
Les prestataires étrangers exclus
Lesdits prestataires doivent être constitués sous forme de sociétés de droit marocain et déployer l’ensemble de leurs systèmes d’exploitation et d’administration des services sur le territoire national. Ce premier niveau de qualification permet au Maroc d’exercer sa juridiction, notamment en matière de cybersécurité, et de contrôler les activités des prestataires cloud qui manipulent des SI sensibles, précise la DGSSI.
Le deuxième niveau de qualification impose des conditions supplémentaires, d’ordre juridique et technique, lorsque des données sensibles sont concernées. L’objectif est de garantir que ces données, du fait de leur confidentialité, soient traitées sur des infrastructures contrôlées par des sociétés soumises uniquement aux lois marocaines, sans interférence de législations extraterritoriales.
Lire aussi : Transformation digitale: Inwi obtient la certification HDS pour l’hébergement et l’infogérance des données de santé
Pour tenir compte du niveau actuel de maturité de l’écosystème national des prestataires de services cloud, et en l’absence d’une offre suffisante pour couvrir tous les besoins, une mesure transitoire de deux ans a été prévue, précise la DGSSI. Cette mesure permet aux entités et IIV de recourir, en l’absence d’une offre nationale, à des prestataires non qualifiés.
Conformément à la démarche d’homologation prévue par la loi sur la cybersécurité, la décision de recourir à des solutions cloud doit être prise par la plus haute autorité de l’entité ou de l’IIV, et être éclairée par une étude d’impact métier et juridique, ainsi qu’une analyse de risques pour évaluer les conséquences du recours au cloud sur la sécurité des systèmes et la confidentialité des données sensibles.
Industrie locale du cloud: nécessité d’un coup de pouce
L’importance de ce décret a également été soulignée par Marouane Harmach, expert marocain en communication digitale, qui a mis en avant la pertinence de l’option du cloud souverain qu’il institue. Toutefois, notre interlocuteur estime que l’atteinte de cet objectif est loin d’être facile, car il s’agit de développer une véritable industrie locale du cloud. «Cette industrie doit remplir plusieurs critères pour atteindre un standard de qualité et ne se résume pas à la simple acquisition d’un serveur», argumente-t-il.
Lire aussi : Cloud computing: Oracle ouvrira deux sites à Casablanca et Settat, pour 1,4 milliard de dirhams
Le défi est d’autant plus sérieux que les services cloud évoluent rapidement à l’international, avec l’introduction de nouvelles technologies que les opérateurs nationaux doivent suivre. Or, l’écosystème actuel n’est pas suffisamment qualifié pour répondre aux besoins des entreprises du secteur, en raison notamment des problèmes de connexion internet, en particulier en ce qui concerne le débit et les tarifs appliqués par les opérateurs télécoms.
«Cette industrie naissante a besoin d’un soutien gouvernemental et d’une vision stratégique pour accompagner le secteur», insiste l’expert. Certes, la feuille de route «Maroc Digital 2030» prévoit des mesures en ce sens, mais celles-ci ne sont pas suffisantes, selon Marouane Harmach, qui appelle à «un soutien pratique et financier pour permettre au secteur de se développer et de jouer pleinement son rôle».
