Cybersécurité au Maroc: la maturité des entreprises a grimpé de 49% à 56% en un an

56% des entreprises marocaines consacrent plus de 5% de leur budget IT à la cybersécurité. (Photo d'illustration)

La cybersécurité progresse dans les entreprises marocaines. Selon le nouvel AUSIMètre, réalisé par l’Association des utilisateurs des systèmes d’information au Maroc (AUSIM) et PwC, leur niveau de maturité cyber atteint 56% en 2026, contre 49% un an plus tôt. Cette progression traduit un ancrage croissant de la cybersécurité dans les stratégies d’entreprise, même si le développement des compétences, la gouvernance de l’intelligence artificielle et la maîtrise du cloud demeurent les principaux défis à relever.

Le 18/07/2026 à 13h13

La cybersécurité n’est plus une fonction purement technique dans les entreprises marocaines. Elle devient un enjeu de gouvernance, de continuité de l’activité et de compétitivité. C’est le principal enseignement de l’AUSIMètre 2026, une étude menée par l’AUSIM (l’Association des utilisateurs des systèmes d’information au Maroc) en partenariat avec PwC auprès de 62 organisations, entre le 4 janvier et le 31 mars 2026.

Selon le rapport, l’indice global de maturité cyber du Maroc est passé de 49% en 2025 à 56% en 2026, soit une progression de 14%. Les entreprises interrogées évoluent ainsi d’un niveau qualifié d’«en développement» vers un stade «défini», caractérisé par des stratégies mieux structurées et des responsabilités plus clairement identifiées.

Cette amélioration se retrouve dans plusieurs dimensions. La conformité atteint un niveau de maturité de 80%, contre 70% en 2025. La budgétisation progresse de 46% à 59%, tandis que la stratégie passe de 50% à 58%. La gouvernance s’améliore également, de 44% à 52%, tout comme l’anticipation des risques émergents, qui bondit de 36% à 48%.

Cette progression s’explique d’abord par une implication plus forte des dirigeants dans les questions de cybersécurité. Selon l’étude, 74% des directions générales participent désormais activement aux décisions en la matière, contre 55% un an auparavant. Dans le même temps, 61% des responsables de la cybersécurité sont désormais rattachés directement à la direction générale, et non plus uniquement à la direction des systèmes d’information.

Le document souligne toutefois que cette implication reste à formaliser. Si la cybersécurité est désormais traitée au plus haut niveau de l’entreprise, seules 45% des organisations ont défini par écrit leur niveau de risque cyber acceptable. Pour les auteurs de l’étude, l’enjeu consiste désormais à transformer l’engagement des dirigeants en procédures durables de prise de décision, de contrôle et de gestion des crises.

Le renforcement de la gouvernance s’accompagne d’un effort financier significatif alors que le rapport estime que 56% des entreprises consacrent désormais plus de 5% de leur budget informatique à la cybersécurité, tandis que 37% dépassent le seuil de 7%. La protection des données devient la principale priorité budgétaire pour 68% des répondants, contre 33% en 2025.

L’AUSIMètre fait néanmoins apparaître une diversité de situations. Quelque 14% des organisations investissent moins de 3% de leur budget informatique dans la cybersécurité et 16% ne disposent pas encore d’un budget cyber clairement identifié. Cette hétérogénéité reflète notamment les différences de taille, de secteur et de niveau de transformation numérique au sein du tissu économique.

La réglementation devient un levier de confiance

Le cadre réglementaire joue un rôle déterminant dans cette montée en maturité. La conformité n’est plus uniquement perçue comme une obligation. D’après cette étude, 29% des entreprises la considèrent comme un levier stratégique et 27% comme un gage de confiance, même si 32% continuent de l’aborder d’abord comme une exigence minimale.

Le rapport précise également que 44% des répondants ont ajusté leur gouvernance sous l’effet des évolutions réglementaires. Les normes et obligations contribuent ainsi à clarifier les responsabilités, à structurer les procédures et à mieux intégrer les risques numériques dans les décisions économiques.

Cette évolution favorise un redéploiement des investissements vers les menaces opérationnelles. La protection des données est citée comme priorité par 67% des entreprises, la résilience face aux attaques par 58% et la conformité par 37%.

La disponibilité des talents demeure le principal défi. Selon le rapport, 84% des organisations interrogées sont affectées par la pénurie de compétences cyber, dont 29% de manière critique et 55% de façon modérée. Seules 8% déclarent ne pas rencontrer de difficulté dans ce domaine.

Pour répondre à cette contrainte, 57% des entreprises privilégient la formation et la montée en compétences de leurs équipes. Cette orientation permet d’élargir progressivement le vivier national au-delà des seuls profils techniques spécialisés.

L’externalisation complète ce dispositif. Quelque 93% des organisations confient au moins une fonction cyber à un prestataire, notamment la surveillance permanente des systèmes pour 29% et les tests d’intrusion pour 27%. Le rapport recommande néanmoins de conserver en interne la stratégie, la connaissance des risques et la capacité de décision.

La souveraineté numérique constitue un autre axe de consolidation. Selon l’AUSIMètre, 60% des entreprises déclarent une dépendance moyenne à très élevée à l’égard des fournisseurs cloud. Si 30% disposent déjà d’une stratégie formalisée de réversibilité, 32% sont en train d’en construire une et 38% n’en ont pas encore.

Le rapport ne remet pas en cause l’adoption du cloud, devenu indispensable à la transformation numérique. Il insiste plutôt sur la nécessité de cartographier les dépendances, de classer les données selon leur sensibilité et de prévoir les conditions d’un éventuel changement de fournisseur.

L’intelligence artificielle illustre la même dynamique d’adoption rapide avec près de 87% des entreprises qui la considèrent comme une alliée de la cybersécurité. La détection des menaces est citée par 48% des répondants et l’analyse prédictive par 45%. Toutefois, seules 30% ont formalisé des règles d’utilisation et 18% n’ont pas encore désigné de responsable de l’IA.

Parallèlement, le phishing (hameçonnage) demeure la menace la plus répandue, cité par une entreprise sur deux (50%). Viennent ensuite les cyberattaques menées via des prestataires ou des partenaires (34%), puis les usages malveillants de l’intelligence artificielle (31%).

Par Mouhamet Ndiongue
Le 18/07/2026 à 13h13