À l’ère du numérique, où les données sont devenues un actif stratégique, le Maroc renforce son arsenal de cybersécurité avec la publication d’un guide relatif à la classification des données.
Élaboré par la Direction générale de la sécurité des systèmes d’Information (DGSSI), relevant de la Défense nationale, ce document s’inscrit dans le cadre de la mise en œuvre de la loi n° 05-20 sur la cybersécurité, adoptée pour renforcer la résilience numérique du Royaume.
Ce guide vise à protéger les informations sensibles des administrations et des Infrastructures d’importance vitale (IIV) contre les risques croissants de cyberattaques en les accompagnant dans la classification de leurs données selon leur niveau de sensibilité.
Lire aussi : Le Maroc se dote d’un centre d’innovation en cybersécurité
Cette démarche est essentielle pour identifier les risques et mettre en place des mesures de protection adaptées. Comme le souligne le document, «la classification des données est un exercice préalable à la mise en place des dispositifs de sécurité».
Un guide opérationnel pour une meilleure protection des données
Destiné aux organismes publics et privés désignés comme IIV (énergie, santé, transports, finance, etc.), ce guide fournit une méthodologie claire pour classifier, protéger et gérer les données selon leur niveau de sensibilité. Il s’appuie sur trois piliers fondamentaux de la sécurité informatique.
Il s’agit de la confidentialité pour éviter les accès non autorisés (fuites, espionnage), l’intégrité qui consiste à garantir l’exactitude des données (prévention des falsifications) et la disponibilité pour assurer un accès permanent aux données (lutte contre les cyberattaques paralysantes).
Chaque donnée est évaluée selon ces critères et classée sur une échelle de 0 (aucun impact) à 4 (impact très grave). Les données de niveaux 3 et 4 seront considérées comme sensibles au sens de la loi 05-20 sur la cybersécurité et doivent ainsi faire l’objet de mesures de protection renforcées, notamment la règle de la résidence sur le territoire national.
Une approche structurée et collaborative
Ce guide met l’accent sur l’importance d’une répartition claire des rôles entre les différents acteurs impliqués dans la gestion des données. Parmi ces intervenants, le Chief Data Officer (CDO) est chargé de piloter la stratégie globale en matière de données, en lien avec les objectifs de l’entité.
Il travaille en étroite collaboration avec d’autres profils clés comme le responsable de la sécurité des systèmes d’information, qui élabore les politiques de classification et veille à la mise en œuvre des contrôles de sécurité.
Les propriétaires des données, souvent des responsables des unités opérationnelles, évaluent l’importance des données et veillent à leur bonne classification dès leur création.
Le dépositaire des données, généralement issu du service informatique, applique les contrôles techniques et gère les accès. Les utilisateurs, quant à eux, sont formés aux bonnes pratiques et tenus de signaler tout incident.
Le guide identifie également deux autres rôles cruciaux: le spécialiste de la classification, qui accompagne les équipes dans l’identification correcte des niveaux de sensibilité, et l’auditeur des données, chargé de vérifier la conformité et proposer des axes d’amélioration.
Des annexes pratiques pour une mise en œuvre efficace
Pour faciliter l’application du guide, la DGSSI propose une liste de mesures techniques (chiffrement, sauvegardes, authentification forte) et des exemples concrets: données bancaires (impact grave), dossiers médicaux (impact très grave), ou informations publiques (impact limité).
Avec ce guide, le Maroc affirme sa volonté de maîtriser ses données sensibles et de se conformer aux meilleures pratiques internationales en cybersécurité. La DGSSI rappelle que cette classification est dynamique: les organismes doivent réévaluer régulièrement leurs données pour adapter les protections.
