Cybersécurité au Maroc: Décryptage de la crise du secteur

Formations qui laissent à désirer, manque de sensibilisation, augmentation du nombre de cyberattaques... Au sein des entreprises marocaines, la protection des données personnelles a encore du chemin à faire. Si des initiatives étatiques sont prises, les sociétés ont encore du mal à intégrer la «culture de la cybersécurité». Éclairages.

Par

Il ne faut pas vivre la protection des données personnelles comme une contrainte, mais en tant qu’élément culturel qui contribue à la culture des droits de l’homme». Telle est la conception d’Omar Seghrouchni, président de la Commission nationale de contrôle de la protection des données à caractère personnel, qu’il a exprimée le 8 décembre à Fès dans le cadre de la Journée nationale de l’Internet au Maroc.

D’après une étude menée par le groupe de consulting PwC Maroc et intitulée «Comment les entreprises au Maroc appréhendent la cybersécurité ?», 70% des sociétés du Royaume manquent de fiabilité dans leur sécurité informatique. L’état des lieux est posé, reste à comprendre, tout du moins à tenter de définir, les causes de cette défaillance en matière de protection des données personnelles.

Embargo sur l’investissement et communication opaque

Toujours d’après le cabinet de conseil, 25% des entreprises sondées au cours de cette enquête voient dans des logiciels «malveillants» la principale cause conduisant à des «incidents de sécurité informatique». Une menace qui serait, donc, extérieure. Puisque, à en croire l’étude menée par PwC, les départements IT (technologie de l’information, ndlr) des grandes entreprises marocaines interrogées alloueraient un budget presque trois fois plus élevé que la moyenne mondiale en matière de cybersécurité (11% contre 4%).

Rachid Baarbi, directeur des systèmes d’information des assurances Lyazidi et administrateur de l’association des utilisateurs des systèmes d’information au Maroc (AUSIM), estime quant à lui que «le gros problème vient de l’investissement dans les PME», notamment en termes de ressources humaines. «Il y a très peu de responsables (dans les PME, ndlr) de la sécurité des systèmes d’information […]  L’IT est un centre de coût, pas d’investissement », développe-t-il.

Pour Hassan Mharzi, responsable scientifique national des ateliers de formation de lutte contre la cybercriminalité du Centre marocain de recherches polytechniques et d’innovation (CMRPI), «il existe bien une déficience dans le secteur de la cybersécurité au Maroc». Si l’expert considère que ces failles sont «liées à plusieurs facteurs», c’est au bien-fondé des outils informatiques qu’il attribue la première place, considérant qu’ils sont «souvent des logiciels craqués et non pas des produits authentiques comme dans la majorité des pays occidentaux ». 

Une méconnaissance du sujet semble, aussi, peser dans la balance. En chiffre, l’étude en atteste : 38% des entreprises interrogées déclarent avoir mis en place une stratégie de cybersécurité et seulement 11% d’entre elles considèrent avoir une estimation claire de ce que représentent les pertes dues aux attaques en ligne.

Formations lacunaires et cyberattaques

Kaspersky Lab, société russe spécialisée dans la sécurité informatique, a interrogé 750 professionnels marocains pour comprendre les raisons de ces contre-performances. Un facteur principal est ainsi mis en lumière : une formation défaillante et peu attractive.

Selon les interrogés, les formations de développeurs web et d’ingénieurs télécommunications sont plus attractives que celles du domaine de la cybersécurité qui arrivent en dixième position du classement avec 22% du panel, contre 43% pour celles en développement web. Et, quand les sondées disent vouloir se diriger vers une profession liée à la cybersécurité, ce choix se fait à 35% en raison de la «satisfaisante» rémunération qui y est octroyée.

Si la cybersécurité séduit peu au Maroc, c’est, selon le professeur Hassan Mharzi, responsable scientifique national des ateliers de formation de lutte contre la cybercriminalité du Centre marocain de recherches polytechniques et d’innovation (CMRPI) à cause de «la culture de formation dans les entreprises» qui n’est «pas assez développée».

Conséquence directe ? La moitié des cyberattaques proviendraient de «l’intérieur «et seraient causées par «erreur humaine», relève l’étude de Kaspersky Lab, qui ajoute que le Maroc est le 3e pays au monde à être victime de cyberattaques sur ses systèmes de contrôle industriel. Un nombre d’attaques qui serait «devenu de plus en plus important», estime pour sa part Rachid Baarbi.

A ce manque d’attrait pour la profession, s’ajouterait une «fuite des cerveaux» qui, elle, serait due en partie à «des lacunes dans la formation dispensée», avance le professeur Hassan Mharzi, responsable scientifique national des ateliers de formation de lutte contre la cybercriminalité du Centre marocain de recherches polytechniques et d’innovation (CMRPI). «Il y a peu de main-d’oeuvre locale qualifiée sur le sujet. Embaucher des étrangers coûte beaucoup plus cher et souvent, les écoles ne préfèrent pas. D’autre part, la plupart des talents locaux se font embaucher dans des sociétés étrangères aux salaires bien plus attractifs», nous explique-t-il.

Marché à prendre, progrès à faire

Le Maroc reste néanmoins une terre d’investissements. En témoigne l’installation, dès début 2019 à Casablanca, du premier bureau de ESET, leader européen en cybersécurité. L’objectif ? «Être plus proche de notre clientèle et mieux cerner ses besoins », assurait à Maroc Diplomatique Julien Jean, CEO d’Africa Global services et représentant exclusif de ESET en Afrique francophone. Et d’ajouter : «Le marché marocain représente un gros marché pour notre activité. C’est la raison pour laquelle nous voulons être présents au royaume».

Orange Cyberdéfense Afrique a également décider de suivre la marche. Début novembre, la filiale de l’opérateur de télécommunications français  inaugure l’ouverture de son marché au Maroc et annonce le recrutement d’une cinquantaine de spécialistes courant 2019. Une démarche qui s’inscrit dans le but de faire du Maroc un hub d’expertise «en misant sur un marché africain qui devrait passer de 1,33 milliard à 2,3 milliards de dollars en 2020, selon ses estimations de la société», indique Jeune Afrique.

Depuis mars dernier, le ministère de l’Industrie et du Numérique a également mis la main à la pâte via sa campagne nationale de sensibilisation à la cybersécurité, à la cyberconfiance et à l’accompagnement de la transformation digitale au Maroc (2018-2022). Le but : informer et former, en partenariat avec universités et centres de recherches, les responsables des managers en sécurité de l’information.

La Direction générale de sécurité des systèmes d’information (DGSSI), de son côté, oblige désormais tous les Organismes d’importance vitale (OIV) – qui relèvent de l’ordre de la sûreté nationale (citoyenne, sanitaire et militaire) – à s’équiper en système de sécurité informatique. Dans ce sens, la DGSSI organisera le 20 décembre prochain un exercice de cybersécurité en ligne, «Cyber-Drill 2018», au profit des administrations, organismes publics et OIV.