Entreprises

Cybersécurité: Les entreprises d’importance vitale à la loupe

Par Reda BENOMAR | Edition N°:4994 Le 03/04/2017 | Partager
Le Maroc dans le top 10 de la lutte contre la cybercriminalité
Le secteur bancaire soumis à un audit annuel

La cybercriminalité est un sujet sensible au Maroc, comme dans la plupart des pays qui ont choisi le chemin de l’ouverture économique. Conscient de cette dualité entre la nécessité de la transformation numérique et le risque cybernétique, le Maroc a mis à jour ses textes de loi. Le Royaume a adopté tout un paquet de textes législatifs et réglementaires sur le numérique.

«A la loi 53- 05 relative à l’échange électronique de données juridiques, la loi 09-08 relative au traitement automatisé des données personnelles, il faut ajouter les conventions internationales ratifiées par le Maroc dont la convention de Budapest relative à la cybercriminalité», rappelle Karim Hamdaoui, président du Club de la sécurité de l’information au Maroc.
Selon une récente étude menée par l’Union internationale des télécommunications (UIT) et l’ABI Research qui a fourni un classement des pays selon leur indice de cybersécurité (GCI), le Maroc arrive au 10e rang mondial.

Concernant la signature électronique (e-sign), Barid al-Maghrib est l’autorité qui délivre les certificats nécessaires. La Direction générale de la sécurité des systèmes d'information est l’autorité d’agrément et de surveillance tandis que la Commission nationale de contrôle de protection des données à caractère personnel veille à l’application de la loi. Les entreprises d’importance vitale se doivent, elles, d’inventorier leur système d’information. Chaque établissement doit élaborer une cartographie des risques de ses systèmes d’information au regard des risques d’intrusion ou de cyber-attaques.

Un audit doit être mené au moins une fois par an par des structures certifiées par la  DGSSI. Dans chaque secteur vital, un coordinateur est désigné. Dans celui des télécoms, par exemple, c’est à l’ANRT que revient ce rôle. Les établissements sont aussi tenus de déclarer auprès de la DGSSI leurs SI sensible, les SI industriels ainsi que les mesures prises pour les protégé .

Les incidents d’importance vitale, quand ils se produisent, doivent obligatoirement être déclarés à la Direction générale de la sécurité des systèmes d'information. Les établissements bancaires doivent aussi établir un planning de sécurité, préciser la batterie de tests auxquels ont été soumises leurs infrastructures et produire un rapport annuel  sur  l’état de sécurité de leurs systèmes d’information. Bank Al-Maghrib a publié une directive mi-juin 2016, durcissant les critères de test de la sécurité des systèmes d’information face aux cyberattaques, qu’elles soient internes ou externes.

Un rempart contre les hackers

La Direction générale de la sécurité des systèmes d'information a été créée par décret, le 21 septembre 2011. Elle est rattachée à l'administration de la défense nationale. Elle est chargée, entre autres, de coordonner les travaux interministériels relatifs à la mise en œuvre de la stratégie de sécurité des systèmes d’information. Mais aussi de veiller à l’application des directives du comité stratégique créé par le décret n° 2-11-508  C’est à l’institution que revient la certification des dispositifs de création et de vérification des signatures électroniques ainsi que l’agrément des prestataires de service pour la certification électronique.

 

  • SUIVEZ-NOUS:

  1. CONTACT

    +212 522 95 36 00
    [email protected]
    70, Bd Al Massira Khadra
    Casablanca, Maroc