Voilà donc un espace de bataille planétaire, le «cyberespace». Les attaques menées à partir d’internet se multiplient. Et les États s’emploient à y faire face en se dotant progressivement de nouveaux outils technologiques et institutionnels, entendant ainsi se protéger contre cette nouvelle menace. Vaste programme! La cybersécurité se décline sur la cyberattaque et sur la cyberdéfense, et regarde l’usage de moyens informatiques pour mener ou riposter à une agression.
Il faut ici distinguer entre deux types d’attaque: celle de l’infiltration des réseaux de communication à des fins d’espionnage, d’altération de données ou de prise de contrôle; et celle des campagnes d’influence sur Internet, visant, elles, à orienter l’opinion publique. À préciser encore ceci: le «cyberespace» est l’espace de communication ouvert par l’interconnexion de tous les ordinateurs via Internet (zones publiques et privées, messageries, Intranet d’une entreprise...). C’est dans cet espace que se déploie la cybermenace.
Les distances sont ainsi abolies, les frontières nationales aussi. Son caractère est planétaire: la cybermenace bouleverse tous les repères traditionnels de la sécurité. Des acteurs de statut et de taille très distincts sont concernés -États et forces armées, opérateurs économiques. Des intérêts sont en jeu, les uns économiques (vol d’argent, campagne de dénigrement contre des entreprises, espionnage industriel, etc), d’autres politiques (campagne d’influence électorale, espionnage politique et militaire, prise de contrôle à distance des outils de communication). L’on note par ailleurs le cas du cyberterrorisme, porté des groupes qui investissent le cyberespace pour mener leurs attaques. Force est de constater à cet égard que les réponses contre la cybermenace restent insuffisantes.
Une réponse internationale? Elle reste difficile, à cause de la complexité et de la lenteur des procédures de coopération, et de la réticence des États à partager certaines informations sensibles. En tout cas, en l’état, il n’y a pas un droit international contraignant en matière de cybersécurité, les divergences de fond entre les États étant importantes. Il n’y a que l’Europe qui se distingue dans ce domaine: signature de la Convention de Budapest de coopération internationale en 2001, création du Centre européen de lutte contre la cybercriminalité au sein d’Europol en 2013, mise sur pied du règlement de l′UE en juin 2019 et de la stratégie de cybersécurité en mars 2021 pour l’édification d’une Europe numérique.
Au Maroc, cette problématique est à l’ordre du jour. En 2022, le Royaume a enregistré plus de 400 attaques visant de grandes entreprises (multinationales, groupes, banques...). Les enjeux sont militaires, sécuritaires, économiques et politiques. La crise sanitaire 2020-2021 a accéléré la mise en place d’une stratégie nationale de cybersécurité. Il s’agit de neutraliser l’accessibilité et la disponibilité des données stockées, et protéger le caractère de confidentialité.
Cette évolution est également induite par les avancées d’une économie numérique. Le marché marocain est très ouvert aux IT (Information technologies, les technologies de l’information), avec quelque 18 millions d’internautes. D’où le fait qu’il soit une destination notable d’externalisation des services IT pour des firmes internationales. Cette ouverture accroît les menaces ciblant principalement les données. Elle permet de retrouver les «ransomwares» (logiciels rançonneurs) malveillants qui prennent en otage des données personnelles.
La tâche qui pèse sur les politiques publiques est de mettre sur pied un dôme de protection par de nouvelles technologies et une mise à jour de la réglementation. C’est ainsi que par strates successives, depuis une vingtaine d’années, s’est formé un corpus législatif: loi 07-03 (infractions relatives aux systèmes de traitement automatisé de données), loi 53-05 (cryptographie, signature électronique et certification électronique), loi 09-08 (protection des personnes physiques et des données personnelles). Ces textes législatifs ont été complétés par d’autres, réglementaires: protection des systèmes d’information sensibles des infrastructures vitales (décret n° 2-15-712), critères d’homologation des prestataires d’audit privés des systèmes d’informations sensibles. Depuis une dizaine d’années, une stratégie nationale en matière de cybersécurité est ainsi en place.
L’année 2013 voit ainsi la création de la Direction nationale de la sécurité des systèmes d’information (DNSSI). Elle a pour mission tout le champ des mesures de protection et de sécurité organisationnelles et techniques visant les cybermenaces pouvant troubler ou porter atteinte la stabilité du pays. L’ambition est celle-ci: la garantie de la gouvernance étatique de la cybersécurité. En prolongement, diverses institutions étoffent cette politique: le Comité stratégique de la sécurité des systèmes d’information (CSSSI), présidé par le ministre en charge de l’Administration de la défense nationale, la Moroccan computer emergency response team (maCERT) et le Cyber-Drill chargé de l’organisation annuelle de l’exercice de cybersécurité national.
Par ailleurs, dans le processus et le système stratégique de cyberdéfense, il faut mentionner d’autres acteurs: l’Agence nationale de réglementation des télécommunications (ANRT), la Commission nationale de contrôle de la protection des données à caractère personnel (CNDP) et le Centre marocain de recherches polytechniques et d’innovation (CMRPI). Les partenariats avec des États tiers sont un autre versant de cette politique: coopération avec la Corée du Sud, intégration du Maroc dans le programme de coopération Cybersud avec l’UE et d’autres pays méditerranéens, et depuis juillet 2021, partenariat avec Israël. Des acteurs privés internationaux sont encore à mentionner au Maroc, notamment des entreprises américaines ou européennes.
Le Maroc, privilégié par sa géographie stratégique, affirme son ambition d’être à terme le premier hub numérique en Afrique francophone et le deuxième sur le continent. Il y a là aussi le souci d’instaurer une bonne gouvernance en cyberdéfense et de se doter d’une arme numérique pour la pérennité de ses intérêts nationaux. Face aux évolutions stratégiques, le grand effort doit porter sur l’amélioration et la consolidation de la cyber-résilience.
Aucun pays n’envisage un bouclier numérique capable de mettre en échec toute cyberattaque le ciblant. Mais il vaut de renforcer le niveau de cybersécurité pour se préparer à davantage d’offensives organisées. Les efforts entrepris dans les secteurs public et privé doivent être amplifiés: de grandes marges de progrès existent encore. Un écosystème public et privé dans ce domaine est à réarticuler, et une gouvernance efficiente de la sécurité numérique de l’État est à consolider.