Le développement de l’économie numérique au Maroc se heurte à une vulnérabilité croissante face aux cyberattaques, selon les analyses croisées de Manar Belfqih, fondatrice du Moroccan Center for Business Intelligence, et de Hamid Chriet, expert en gestion des risques stratégiques, citées par le magazine Finances News Hebdo dans un article dédié. Les données sectorielles révèlent des lacunes structurelles: seulement 22% des PME marocaines disposent d’un plan de réponse aux incidents et moins de 15% y allouent un budget spécifique, la cybersécurité restant perçue comme une charge financière plutôt qu’un investissement. Cette faiblesse fait des PME des portes d’entrée privilégiées pour les cybercriminels, bien que 73% des entreprises du pays qualifient cet enjeu de critique. En pratique, seul un tiers d’entre elles ont investi à la hauteur des menaces.
«Le volume des menaces s’est fortement intensifié, les rapports des éditeurs Kaspersky et Microsoft ayant recensé respectivement 21 millions de tentatives d’attaques en 2025 et 12,6 millions l’année précédente», écrit Finances News Hebdo. Au-delà des pertes directes, évaluées à l’échelle internationale à plus de 5 millions de dollars par attaque majeure avec un arrêt d’activité moyen de 12 jours, le risque de crise systémique est jugé sérieux. Une attaque d’envergure contre une institution financière marocaine pourrait déclencher un mouvement de panique numérique. Pour y faire face, les experts préconisent que Bank Al-Maghrib impose des plans de communication de crise au même titre que les exigences de liquidité, à l’instar des stress tests obligatoires et publiés de la Banque centrale européenne.
«L’absence d’un marché développé de la cyber-assurance au Maroc accentue l’exposition financière des organisations», souligne Finances News Hebdo. Contrairement à l’Europe, où ce secteur est en forte expansion, le marché marocain demeure quasi-inexistant en raison du manque de standardisation et de visibilité sur le niveau réel de sécurité des entreprises. En cas de paralysie par un ransomware, les PME assument seules l’impact sur leur trésorerie, l’État n’accordant aucune indemnisation directe et limitant son action à l’accompagnement technique et judiciaire via la DGSSI, la gendarmerie et la police. Les spécialistes estiment pourtant qu’un investissement préventif équivalant à 5% du budget informatique permet de réduire de 70% le temps d’arrêt et de moitié les coûts de restauration.
Sur le plan opérationnel, le facteur humain représente environ 60% des violations de données, le profil type à l’origine des failles étant souvent un cadre intermédiaire disposant de privilèges d’accès élevés, plutôt qu’un stagiaire. Face à cette donne, les recommandations s’orientent vers le déploiement d’une hygiène numérique de base: formations obligatoires des collaborateurs, politiques de mots de passe avec une authentification multifacteurs, et sauvegardes externalisées et chiffrées. À plus grande échelle, la création d’un centre de commandement opérationnel centralisé est évoquée pour coordonner la protection des données publiques et privées, sur le modèle du Conseil supérieur de la sécurité.
La menace s’étend désormais au domaine de la guerre hybride et de la cyber-biosécurité. Le Maroc fait face à des campagnes de désinformation et à des violations de données d’institutions publiques, comme l’a illustré la fuite de documents sensibles, survenue en avril 2025. Les laboratoires de recherche connectés subissent également des tentatives d’exfiltration de données sensibles ou de sabotage de systèmes de conservation. Face à la sophistication accrue des attaques, notamment via l’usage de l’intelligence artificielle générative et des deepfakes, les analystes mettent en garde contre les risques ciblant les infrastructures numériques stratégiques, particulièrement dans le cadre des préparatifs d’événements d’envergure internationale comme la Coupe du monde.
