Cyberguerre : le plan d’action du Maroc

L’Administration de la défense nationale vient de dévoiler les détails de la stratégie nationale de cybersécurité

Le Maroc compte sécuriser son cyberespace grâce à une nouvelle stratégie nationale de cybersécurité. Elaborée par la DGSSI (Direction générale de la sécurité des systèmes d’information) relevant de l’Administration nationale de la défense nationale, la stratégie fixe une nouvelle feuille de route à l’horizon 2030.

Depuis l’adoption de la première Stratégie nationale de cybersécurité (SNC) en 2012, le Royaume du Maroc a accompli des progrès notables en matière de renforcement de la sécurité et de la résilience de son cyberespace. La nouvelle stratégie nationale de cybersécurité définit les lignes directrices de l’action marocaine à l’horizon 2030. Le suivi, la coordination et la supervision de sa mise en œuvre sont du ressort de l’autorité nationale. Elle fera l’objet d’ajustements de manière périodique.

«Notre pays envisage de déployer, dans le cadre de ce pilier, un ensemble de mesures et d’initiatives visant à anticiper et à prévenir les menaces et les vulnérabilités qui pèsent sur son cyberespace. Cette approche globale se traduira notamment par le développement de capacités nationales de détection et de réaction aux attaques informatiques et par la promotion de la mise en œuvre de standards et de normes de cybersécurité», précisent les responsables.

Concrètement, il est question de mettre en place des schémas nationaux de certification en matière de cybersécurité pour les organismes publics et privés ainsi que de renforcer la préparation nationale et la réactivité pour faire face aux crises cybernétiques sans oublier le développement des capacités sectorielles en matière de gestion des incidents cybernétiques. «Afin de développer des capacités sectorielles en matière de gestion des incidents cybernétiques, notre pays entend encourager la mise en place de CERTs (Computer Emergency Response Team) sectoriels au niveau des régulateurs et coordonnateurs des secteurs d’importance vitale», explique la même source.

Détection et prévention
Ces CERTs sectoriels joueront un rôle clé dans la détection, l’analyse, la prévention et la réponse aux incidents cybernétiques touchant leurs secteurs respectifs. Ils permettront également de faciliter la communication et la coordination avec les autorités nationales compétentes, y compris le maCERT national. Il est également envisageable de mettre en œuvre, dans le cadre de cette initiative, des programmes de renforcement de capacités ciblant des infrastructures d’importance vitale.

Ces programmes visent à renforcer les compétences techniques de leurs ressources humaines en termes de gestion des incidents et d’encourager la création, en leur sein, de centres opérationnels de sécurité (SOC). «Conscient de l’importance cruciale des infrastructures d’importance vitale pour la sécurité nationale, l’économie et la société, notre pays prévoit de multiplier les opérations d’audit et de contrôle de conformité. Pour ce faire, il est prévu de mobiliser l’expertise et les compétences de la DGSSI et des prestataires d’audit privés pour assurer un niveau élevé d’exigence et de professionnalisme lors de l’évaluation de ces infrastructures critiques», indique t-on.

Les audits et les contrôles prévus porteront notamment sur l’identification des vulnérabilités potentielles, sur l’évaluation des risques associés et de manière générale, sur la vérification de la conformité aux normes et réglementations en vigueur. À l’issue de ces opérations d’audit, des plans d’action seront élaborés pour remédier aux faiblesses identifiées et pour mettre en place des mesures de protection adaptées. Ces plans d’action constitueront une feuille de route pour l’autorité nationale et pour les organismes responsables des IIV (Infrastructures d’importance vitale), incluant des recommandations et des actions correctives nécessaires.

Sensibiliser les enfants
La nouvelle stratégie accorde une place importante à la sensibilisation principalement des enfants et des élèves. «La cybersécurité est un domaine de plus en plus important et stratégique dans le monde numérique actuel. Elle concerne la protection des données, des systèmes, des réseaux et des services contre les attaques malveillantes qui peuvent avoir des impacts négatifs sur la vie privée, l’économie, ou la sécurité. Pour cela, il est important de développer la culture de la sécurité numérique dès le plus jeune âge, et ce en introduisant des modules de sensibilisation au niveau scolaire», explique-t-on.

Et de poursuivre: «Les élèves sont des utilisateurs fréquents et parfois imprudents des technologies numériques. Ils sont exposés à des risques tels que le cyberharcèlement, le vol d’identité, l’usurpation de comptes, le piratage et la désinformation. Leur sensibilisation à la cybersécurité va leur permettre d’acquérir des connaissances et d’adopter des comportements responsables et éthiques sur Internet. Elle les aide à se protéger contre les cybermenaces, à respecter les droits et les devoirs liés à l’utilisation du numérique et à développer un esprit critique face aux informations en ligne».

Dans ce sens, la sensibilisation à la cybersécurité peut aussi être considérée comme une première immersion dans les domaines du numérique, qui sont porteurs d’emplois et d’innovation. Elle permet aux élèves de découvrir les enjeux, les acteurs, les outils et les bonnes pratiques de la cybersécurité, et de s’initier aux notions de base de la programmation et de l’analyse de données ou encore de la cryptographie. Il est important de préciser, enfin, que les modules de sensibilisation à la cybersécurité au niveau scolaire doivent impérativement être adaptés sur le plan pédagogique à l’âge et au niveau des élèves. L’enseignement supérieur n’est pas en reste. Le but est de mettre à niveau et augmenter les cursus de formation en cybersécurité dans les universités et les centres de formation professionnelle (voir encadré).