Étude : 84 % des organisations marocaines souffrent d'une pénurie de compétences en cybersécurité

La troisième édition de l'indice de cybersécurité au Maroc AUSIMètre 202», révèle que trois défis majeurs continuent de freiner la maturité cyber des organisations. L'indice de maturité de la souveraineté numérique s'établit à 35%, celui des compétences à 48% et celui de la stratégie à 58%, dans un contexte marqué par une dispersion persistante des priorités stratégiques.

Par

En revanche, l’étude, présentée jeudi, fait état d’une progression de l’indice global de maturité cyber, passé de 49% en 2025 à 56% en 2026, soit une hausse de sept points correspondant à une progression de 14%, traduisant le passage d’un niveau « en développement » à un niveau « défini ».

Réalisée par l’Association des utilisateurs des systèmes d’information au Maroc (AUSIM) en partenariat avec PwC, l’étude repose sur une enquête menée auprès de 62 organisations issues des secteurs de la banque et des services financiers, de l’assurance, des télécommunications, de l’énergie, de l’industrie, du secteur public et de l’administration, ainsi que de la santé, des services et du conseil. L’enquête a été conduite entre le 4 janvier et le 31 mars 2026.

Les résultats montrent que 84% des organisations interrogées sont confrontées à une pénurie de compétences en cybersécurité : 55% estiment qu’elle est d’intensité modérée et 29% la jugent critique. À l’inverse, 8% déclarent ne pas être affectées, tandis que 8% indiquent ne pas être en mesure d’évaluer son impact.

L’étude conclut que le déficit de compétences en cybersécurité n’est plus un risque émergent, mais constitue désormais, selon les répondants, une réalité structurelle susceptible d’affecter la capacité des entreprises marocaines à protéger leurs systèmes et à poursuivre leurs efforts d’innovation.

Selon le rapport, le manque de compétences représente le principal frein à l’adoption de l’intelligence artificielle pour 40% des organisations interrogées. Par ailleurs, 32% ont déjà recours à des prestataires externes et à des services managés pour pallier ce déficit, une solution qui, selon l’étude, pourrait renforcer la dépendance aux fournisseurs de services au détriment du développement d’une expertise interne durable.

à lire aussi

Le rapport précise toutefois que ce taux de 32% concerne uniquement les services managés comme réponse au manque de compétences. Dans son volet consacré à l’externalisation, il indique que 93% des organisations font appel à un prestataire externe pour assurer au moins une fonction liée à la cybersécurité.

Les données mettent également en évidence les faiblesses persistantes en matière de souveraineté numérique. Ainsi, 70% des organisations ne disposent pas d’une stratégie complète et opérationnelle leur permettant de migrer d’un fournisseur de services cloud à un autre ou de reprendre le contrôle de leurs données et de leurs systèmes. Parmi elles, 38% ne disposent d’aucun plan, 32% sont en cours d’élaboration, tandis que 30% seulement possèdent une stratégie formalisée.

L’étude souligne par ailleurs que 60% des organisations présentent un niveau de dépendance moyen à très élevé envers les fournisseurs de services cloud : 37% affichent une dépendance moyenne et 23% une dépendance élevée ou très élevée. À l’inverse, 40% estiment que leur dépendance reste faible.

S’agissant de l’intelligence artificielle, 87% des organisations la considèrent comme un allié ou une priorité en matière de cybersécurité. Toutefois, seules 30% disposent de règles formelles et écrites encadrant son utilisation, révélant un décalage entre l’intérêt croissant pour cette technologie et son niveau de gouvernance au sein des entreprises.

L’étude fait également état d’une implication accrue des directions générales dans les questions de cybersécurité. Cette implication est passée de 55% en 2025 à 74% en 2026, soit une progression de 19 points.

Par ailleurs, 56% des organisations interrogées consacrent plus de 5% de leur budget informatique à la cybersécurité, dont 37% y allouent plus de 7%, témoignant d’un renforcement des investissements dans ce domaine.

L’AUSIMètre 2026 s’articule autour de cinq axes principaux : l’évolution des menaces, allant de la persistance du phishing à l’émergence des usages malveillants de l’intelligence artificielle ; la gouvernance de la cybersécurité et l’implication des dirigeants ; la pénurie de compétences ; la souveraineté numérique ; ainsi que l’intelligence artificielle agentique et sa gouvernance.

Enfin, le rapport indique que les violations et fuites de données demeurent la principale menace citée par les répondants (68%), tandis que 50% considèrent l’ingénierie sociale et le phishing parmi les risques les plus importants.