À Casablanca, le ton a été donné d’emblée: la question n’est plus de savoir si l’industrie pharmaceutique marocaine doit se protéger numériquement, mais comment elle peut le faire à la hauteur de ses ambitions.
Organisé par le ministère de l’Industrie et du Commerce en partenariat avec Aegis Advisory, cabinet de conseil indépendant en cybersécurité et Data & IA, le séminaire consacré à la cybersécurité des systèmes industriels dans le secteur pharmaceutique a permis de dresser un constat simple. Dans une usine de médicaments, une faille informatique peut désormais bloquer une production, perturber une distribution, voire remettre en cause l’intégrité d’un produit.
L’enjeu dépasse largement la technique. Le Maroc dispose aujourd’hui d’un marché pharmaceutique estimé à 35 milliards de dirhams, emploie près de 10.000 personnes dans la filière et couvre environ 70% à 80% de ses besoins nationaux grâce à la production locale. À cela s’ajoute un volume d’exportation évalué à quelque 2,2 milliards de dirhams. Autrement dit, le secteur n’est plus un simple compartiment de l’économie: il s’impose comme un maillon de la sécurité sanitaire du pays et un instrument de projection régionale.
Intervenant en visioconférence, le ministre de l’Industrie et du Commerce, Ryad Mezzour, a replacé le débat dans une lecture stratégique plus large. La crise sanitaire mondiale, a-t-il rappelé, a changé durablement la manière dont les États perçoivent leurs chaînes de valeur. Pour le Maroc, cette séquence a mis en évidence une réalité devenue centrale: la souveraineté sanitaire ne peut être dissociée ni de la souveraineté industrielle, ni de la souveraineté numérique: «Aujourd’hui, la première vulnérabilité d’une usine pharmaceutique n’est plus physique, elle devient numérique.» La menace industrielle inclut désormais aussi l’intrusion informatique, le rançongiciel, la compromission d’un accès distant ou l’altération d’une donnée sensible. Dans le cas du médicament, la portée d’une attaque est immédiate. Un système bloqué peut retarder la libération de lots, désorganiser un site de production ou interrompre l’accès à certains produits. Une altération plus grave peut toucher des paramètres critiques de fabrication et poser, en aval, une question de sécurité des patients. Sécuriser des chaînes de production contribue directement à la santé des citoyens.
Ce positionnement rejoint la stratégie plus générale du Royaume en matière de transformation numérique. Le ministre a rappelé que le Maroc a progressivement structuré son approche avec des dispositifs institutionnels dédiés, un cadre légal, une stratégie nationale de cybersécurité à horizon 2030 et des mécanismes de veille, de sensibilisation et de montée en compétences.
Une filière déjà solide, mais plus exposée qu’hier
Le message gouvernemental intervient à un moment particulier pour la pharmacie marocaine. Le pays produit une part croissante de ses médicaments essentiels et cherche à réduire davantage sa dépendance aux importations. En parallèle, il nourrit une ambition régionale claire, au Maghreb, au Moyen-Orient et sur le continent africain. Cette montée en puissance suppose une industrie plus automatisée, plus connectée, plus pilotée par les données.
C’est ici qu’apparaît le paradoxe. La digitalisation des lignes de production, des systèmes de traçabilité et des outils de supervision améliore la performance, la précision et la productivité. Mais elle élargit aussi la surface d’attaque. Les usines pharmaceutiques ne reposent plus uniquement sur des machines isolées. Elles intègrent désormais des automates, des logiciels de pilotage, des systèmes d’exécution de la production, des connexions à distance pour la maintenance, des passerelles avec les fournisseurs et des outils documentaires indispensables aux audits.
L’industrie 4.0 offre donc un avantage industriel réel, mais elle impose une discipline nouvelle. Plus l’usine devient intelligente, plus elle devient vulnérable à des attaques qui visent non seulement les systèmes d’information classiques, mais aussi les environnements opérationnels, c’est-à-dire le cœur même de la fabrication.
La cybersécurité devient une condition d’accès aux marchés
C’est précisément sur ce terrain qu’Amine Bennis, directeur général d’Aegis Advisory, a recentré le débat. Son intervention a insisté sur un point souvent sous-estimé: la cybersécurité n’est plus seulement une affaire de protection interne, elle devient une condition d’accès aux marchés internationaux.
Pour les laboratoires marocains qui veulent exporter vers les États-Unis ou l’Union européenne, le sujet n’est plus périphérique. Selon lui, les autorités et les donneurs d’ordre intègrent désormais la cybersécurité et l’intégrité des données dans leurs grilles d’audit. Les industriels qui se mettent à niveau maintenant pourront consolider un avantage durable. Les autres risquent de se heurter à des barrières réglementaires de plus en plus élevées.
Le directeur d’Aegis Advisory a insisté sur un élément important pour le grand public: dans la pharmacie, la donnée n’est pas un simple support administratif. Elle fait partie du produit. Une donnée de fabrication, un horodatage, une signature électronique, une preuve de traçabilité ou une piste d’audit peuvent conditionner la conformité d’un lot. Si ces éléments sont altérés, perdus ou contestables, ce n’est pas seulement un problème informatique; c’est un obstacle réglementaire susceptible de bloquer une autorisation ou de fragiliser une exportation.
L’une des idées fortes de son intervention a consisté à montrer que le périmètre à protéger ne s’arrête pas à la ligne de production. Il englobe aussi les accès distants, les fournisseurs, les sous-traitants, les systèmes de support, la messagerie, les plateformes documentaires et les outils de traçabilité. Un simple courriel piégé, reçu par un opérateur ou un technicien, peut servir de point d’entrée à une attaque capable d’atteindre tout un environnement industriel.
Cette réalité explique l’importance, selon lui, de plusieurs exigences devenues incontournables: séparation claire entre le réseau bureautique et le réseau industriel, contrôle strict des accès, gestion rigoureuse des identités, politique de correctifs, sauvegardes, continuité d’activité et surtout capacité à documenter la sécurité de façon continue. C’est sur ce dernier point que beaucoup d’industriels, a-t-il laissé entendre, rencontrent encore des fragilités.
Lire aussi : Cybersécurité: le marché marocain franchit 1,2 milliard de dollars sous l’effet de la montée des menaces
L’apport de l’intervention d’Amine Bennis tient aussi à cette lecture économique du sujet. La cybersécurité, a-t-il expliqué en substance, ne relève plus d’un coût subi. Elle devient un actif de compétitivité. Pour un laboratoire tourné vers l’export, pouvoir démontrer la fiabilité de ses systèmes, la traçabilité de ses opérations et l’intégrité de ses données peut accélérer les homologations, réduire les coûts d’audit et rassurer les autorités comme les partenaires.
Dans cette logique, le projet défendu lors du séminaire par Ryad Mezzour repose sur un centre de supervision spécialisé pour les environnements informatiques et industriels, un SOC dédié à la pharmacie. L’objectif n’est pas seulement de détecter les attaques, mais aussi de produire automatiquement des preuves exploitables en audit, dans le respect des normes internationales et du cadre marocain. En filigrane, l’idée est claire: transformer la conformité en capacité intégrée, et non en un exercice de rattrapage subi.
Le soutien institutionnel affiché pendant la rencontre va dans le même sens. Le ministère entend accompagner ce chantier via le programme Appui à l’innovation industrielle, sous la supervision de la DGSSI. Des partenariats technologiques et des modules de recherche-développement sont également annoncés, notamment autour d’outils capables de simuler des attaques dans des environnements virtuels représentatifs des ateliers de production. L’enjeu est de tester des correctifs ou des scénarios de crise sans perturber l’usine réelle.
Derrière le cyber, une question de sécurité nationale
L’intervention du général Rabi’i, à la retraite, anciennement chargé de la cybersécurité au Maroc, a illustré cette menace. Dans le médicament, une cyberattaque n’a pas seulement un coût financier. Elle peut toucher à l’intégrité d’une formule, compromettre une certification, exposer des données de recherche ou détruire des années d’investissement. Là réside, au fond, la spécificité de la menace: elle frappe à la fois la production, la qualité, la propriété industrielle et la continuité de l’accès aux soins.
Le séminaire de Casablanca a ainsi dessiné une ligne de convergence rare entre l’État, les experts et les industriels. Pour une industrie pharmaceutique qui veut produire davantage, exporter plus loin et tenir son rang régional, la cybersécurité n’est plus une couche ajoutée après coup. Elle devient une condition de confiance et de rayonnement.
