Ces derniers mois, plusieurs institutions ont été victimes de fuites massives de données. Ces incidents ne relèvent pas d’un hasard : ils traduisent un déficit de protection des entités publiques et parapubliques. Les fuites ont concerné des centaines de milliers de documents qui se sont retrouvés en libre circulation sur des canaux non officiels, notamment Telegram. Ces événements ont mis en évidence des failles technologiques profondes.

Dans de nombreuses administrations, les infrastructures sont obsolètes, les mises à jour logicielles irrégulières et les protocoles de sécurité insuffisamment respectés. Des experts signalent également un manque d’intégration des systèmes de détection d’intrusion, et un recours encore limité au chiffrement des données sensibles.

Hicham Falak, expert en sécurité informatique, affirme que «les systèmes d’information de plusieurs établissements ont été conçus dans une logique de service, pas de défense. La cybersécurité reste une réflexion secondaire, souvent improvisée». Au-delà des défaillances techniques, le facteur humain reste la première porte d’entrée des cybercriminels. Des mots de passe faibles, des comportements imprudents, des formations insuffisantes et un manque de culture numérique exposent les institutions à des risques majeurs.

Des audits trop rares, des plans de réponse presque inexistants

Notre interlocuteur rappelle que «dans la majorité des attaques, l’erreur humaine est le déclencheur initial. Un simple clic sur un lien frauduleux peut suffire à compromettre un serveur entier si les systèmes ne sont pas cloisonnés et protégés».

Certaines entités publiques ne disposent pas encore de véritables plans de réponse aux incidents. Lorsqu’une attaque survient, les réactions sont souvent désordonnées, tardives, et communiquées avec peu de transparence. La Direction générale de la sécurité des systèmes d’information (DGSSI) et le centre MaCERT tentent de renforcer la veille nationale. En 2024, la DGSSI a recensé plus de 600 attaques ciblées, dont plus de 130 jugées critiques. Mais faute de coordination, d’audits réguliers et d’obligations normatives, peu d’organismes appliquent des protocoles de sécurité solides et actualisés.

L’un des freins à lever reste le faible niveau d’investissement dans la cybersécurité. Selon plusieurs études, le Maroc consacre moins de 12% du budget IT global à la sécurité des systèmes d’information, là où des pays comparables dépassent souvent les 20%. «On perçoit encore la cybersécurité comme une dépense optionnelle, alors qu’il s’agit d’une obligation stratégique. À l’ère du numérique, ne pas sécuriser ses données revient à construire un immeuble sans fondation», souligne Falak.

Des efforts en cours, mais encore timides

Le gouvernement a commencé à prendre la mesure du défi. La loi 05-20 sur la cybersécurité impose de nouvelles obligations aux administrations. Des campagnes de sensibilisation et des programmes de formation sont en cours, et plusieurs universités ont lancé des cursus spécialisés.

Des collaborations internationales se développent également, avec un rapprochement renforcé vers la Convention de Budapest sur la cybercriminalité. Cependant, sur le terrain, la mise en œuvre reste lente, et les ressources humaines qualifiées demeurent rares. Au final, les attaques de ces derniers mois montrent que le Maroc entre dans une nouvelle ère de vulnérabilité numérique, à mesure que sa digitalisation s’accélère.

Le développement de plateformes, le déploiement du egouvernement et la numérisation de plusieurs services au profit des citoyens nécessitent un niveau de protection bien supérieur à celui observé aujourd’hui. Sans confiance numérique, la transformation digitale ne peut réussir. Les données des citoyens, des entreprises et des institutions doivent être considérées comme des actifs stratégiques, et non comme de simples fichiers informatiques.