Par Mustapha Sehimi
Voici un ouvrage de référence de Radouane Mrabet, qu’il faut recommander: «Aspects juridiques de la cybercriminalité et de la cybersécurité au Maroc» (octobre 2024, 342 p.). Son hypothèse de travail est celle-ci: bâtir un environnement numérique sécurisé et résilient au Maroc. De quoi s’agit-il? S’articulant autour de trois parties et onze chapitres, il se propose d’appréhender les enjeux juridiques de la cybercriminalité et de la cybersécurité dans le Royaume.
Son auteur a les qualifications pour mener à bonne fin cet ouvrage portant sur une problématique de fond, tournée vers des propositions et des pistes ne pouvant que retenir l’intérêt des politiques publiques. Président de l’Université Mohammed V- Souissi de Rabat, puis de l’Université Sidi Mohamed Ben Abdallah de Fès, directeur de l’École nationale supérieure d’informatique et d’analyse des systèmes (ENSIAS) et docteur d’État spécialisé dans les réseaux de communication, Radouane Mrabet est également ingénieur d’État de l’École Mohammadia des ingénieurs en systèmes informatiques.
Sur des aspects juridiques, la précision et la cohérence des termes sont de première importante. Elles permettent de faire référence à des cadres opératoires pour une bonne application de la législation, aidant ainsi au règlement des litiges et à la prévention des différends. L’auteur insiste sur l’importance des classements internationaux en matière de cybersécurité pour les gouvernements, les entreprises et les citoyens: ils ne peuvent qu’influencer «la stratégie, la politique et l’approche globale des pays, y compris le Maroc». Il relève à cet égard les progrès du pays avec la mise en place de cadres juridiques, techniques et organisationnels, et note en creux les insuffisances liées à des lacunes touchant notamment les capacités de développement. Il recommande une amélioration de l’analyse des menaces cybernétiques, la sensibilisation et la cyberdéfense militaire. L’objectif? Rester vigilant, proactif et assurer un environnement numérique sûr et fiable. À cette fin, la consolidation et la promotion de la coopération doivent être priorisées pour faire face aux menaces croissantes dans le cyberespace.
Cela nécessite un cadre international cohérent, avec des définitions communes et des procédures harmonisées: c’est la clé de la garantie d’une réponse globale et efficace. La ratification par le Maroc de la Convention de Budapest en 2018 -entrée en vigueur en 2004- traduit bien son souci de renforcer sa résilience face à la cybercriminalité et de consolider un cyberespace sécurisé pour tous. Avec la loi N° 07-03 du 11 novembre 2003, le Code pénal a été complété en sanctionnant les infractions relatives aux systèmes de traitement automatisé des données.
Mais ce texte pointe aussi les insuffisances: certaines infractions spécifiques à la Convention de Budapest ne sont pas couvertes, telle l’interception illégale de données. À n’en pas douter, la législation actuelle doit être mise à jour et complétée. La loi n° 05-20 sur la cybersécurité (25 juillet 2020) traduit une nouvelle avancée dans l’institution de structures et de procédures dédiées à la gestion de la cybersécurité. Elle crée ainsi le Comité stratégique de la cybersécurité, le Comité ad hoc de gestion des crises et des évènements cybernétiques majeurs et la Direction générale de la sécurité des systèmes d’information (DGSSI). Cette dernière a un rôle central en la matière: protection des systèmes d’information, qualification des prestataires de services de cybersécurité, audits réguliers, garantie de la conformité aux normes de sécurité. Elle a été suivie la même année par la loi n° 43-20 relative aux services de confiance dans les transactions électroniques (31 décembre 2020) et d’une vingtaine de textes d’application. À noter aussi l’adoption, le 22 juillet 2024, de la Stratégie nationale de cybersécurité 2030, bâtie autour de quatre piliers principaux: la gouvernance nationale de la cybersécurité, la sécurité et la résilience du cyberespace national, le développement des capacités de sensibilisation et enfin la coopération régionale et internationale.
Pour ce qui des règles et dispositions de sécurité applicables aux systèmes d’information des entités, cette loi vise à «garantir un niveau de sécurité élevé et à assurer la protection des actifs informationnels et des infrastructures critiques». Chaque entité doit respecter la politique de sécurité des systèmes d’information (PSSI) à élaborer et à mettre en œuvre. Le référentiel technique défini par la DGSSI régit la sécurité relative à l’externalisation des systèmes d’information.
Tout un dispositif est prévu: capacité d’évaluation des risques, prise de décisions rapide en cas d’incidents, respect et efficacité des mesures de sécurité, sensibilisation et formation du personnel, information sur les bonnes pratiques, etc. Quant aux infrastructures d’importance vitale, elles couvrent un large domaine avec des secteurs clés: transports, énergie, eau, santé, finances et télécommunications. Elles englobent ainsi des systèmes, des réseaux et des ressources essentiels au bon fonctionnement de la sécurité nationale, de la santé, de la sûreté et de l’économie. Enfin, il faut noter les règles et les dispositions de sécurité applicables aux opérateurs (exploitants des réseaux publics de télécommunication, fournisseurs d’accès à Internet, prestataires de services de cybersécurité et de services numériques, éditeurs de plateformes Internet). Le souci est de protéger les données contre les cybermenaces croissantes et d’assurer ainsi la continuité et la sécurité des services numériques pour tous les utilisateurs.
Le Maroc est bien classé dans sa politique de protection de la cybersécurité. Il est ainsi au 34ème rang mondial, 7ème dans le monde arabe et 6ème en Afrique. Il reste, selon l’auteur, à se pencher sur les perspectives de développement de ce secteur. Veille et vigilance aussi: le Maroc n’est-il pas très exposé à des attaques incessantes? Il s’agit finalement d’un livre didactique, pédagogique, destiné à un large public. La cybersécurité, n’est-ce pas l’affaire de tous?
Par Mustapha Sehimi / fr.le360.ma/
Son auteur a les qualifications pour mener à bonne fin cet ouvrage portant sur une problématique de fond, tournée vers des propositions et des pistes ne pouvant que retenir l’intérêt des politiques publiques. Président de l’Université Mohammed V- Souissi de Rabat, puis de l’Université Sidi Mohamed Ben Abdallah de Fès, directeur de l’École nationale supérieure d’informatique et d’analyse des systèmes (ENSIAS) et docteur d’État spécialisé dans les réseaux de communication, Radouane Mrabet est également ingénieur d’État de l’École Mohammadia des ingénieurs en systèmes informatiques.
Sur des aspects juridiques, la précision et la cohérence des termes sont de première importante. Elles permettent de faire référence à des cadres opératoires pour une bonne application de la législation, aidant ainsi au règlement des litiges et à la prévention des différends. L’auteur insiste sur l’importance des classements internationaux en matière de cybersécurité pour les gouvernements, les entreprises et les citoyens: ils ne peuvent qu’influencer «la stratégie, la politique et l’approche globale des pays, y compris le Maroc». Il relève à cet égard les progrès du pays avec la mise en place de cadres juridiques, techniques et organisationnels, et note en creux les insuffisances liées à des lacunes touchant notamment les capacités de développement. Il recommande une amélioration de l’analyse des menaces cybernétiques, la sensibilisation et la cyberdéfense militaire. L’objectif? Rester vigilant, proactif et assurer un environnement numérique sûr et fiable. À cette fin, la consolidation et la promotion de la coopération doivent être priorisées pour faire face aux menaces croissantes dans le cyberespace.
Cela nécessite un cadre international cohérent, avec des définitions communes et des procédures harmonisées: c’est la clé de la garantie d’une réponse globale et efficace. La ratification par le Maroc de la Convention de Budapest en 2018 -entrée en vigueur en 2004- traduit bien son souci de renforcer sa résilience face à la cybercriminalité et de consolider un cyberespace sécurisé pour tous. Avec la loi N° 07-03 du 11 novembre 2003, le Code pénal a été complété en sanctionnant les infractions relatives aux systèmes de traitement automatisé des données.
Mais ce texte pointe aussi les insuffisances: certaines infractions spécifiques à la Convention de Budapest ne sont pas couvertes, telle l’interception illégale de données. À n’en pas douter, la législation actuelle doit être mise à jour et complétée. La loi n° 05-20 sur la cybersécurité (25 juillet 2020) traduit une nouvelle avancée dans l’institution de structures et de procédures dédiées à la gestion de la cybersécurité. Elle crée ainsi le Comité stratégique de la cybersécurité, le Comité ad hoc de gestion des crises et des évènements cybernétiques majeurs et la Direction générale de la sécurité des systèmes d’information (DGSSI). Cette dernière a un rôle central en la matière: protection des systèmes d’information, qualification des prestataires de services de cybersécurité, audits réguliers, garantie de la conformité aux normes de sécurité. Elle a été suivie la même année par la loi n° 43-20 relative aux services de confiance dans les transactions électroniques (31 décembre 2020) et d’une vingtaine de textes d’application. À noter aussi l’adoption, le 22 juillet 2024, de la Stratégie nationale de cybersécurité 2030, bâtie autour de quatre piliers principaux: la gouvernance nationale de la cybersécurité, la sécurité et la résilience du cyberespace national, le développement des capacités de sensibilisation et enfin la coopération régionale et internationale.
Pour ce qui des règles et dispositions de sécurité applicables aux systèmes d’information des entités, cette loi vise à «garantir un niveau de sécurité élevé et à assurer la protection des actifs informationnels et des infrastructures critiques». Chaque entité doit respecter la politique de sécurité des systèmes d’information (PSSI) à élaborer et à mettre en œuvre. Le référentiel technique défini par la DGSSI régit la sécurité relative à l’externalisation des systèmes d’information.
Tout un dispositif est prévu: capacité d’évaluation des risques, prise de décisions rapide en cas d’incidents, respect et efficacité des mesures de sécurité, sensibilisation et formation du personnel, information sur les bonnes pratiques, etc. Quant aux infrastructures d’importance vitale, elles couvrent un large domaine avec des secteurs clés: transports, énergie, eau, santé, finances et télécommunications. Elles englobent ainsi des systèmes, des réseaux et des ressources essentiels au bon fonctionnement de la sécurité nationale, de la santé, de la sûreté et de l’économie. Enfin, il faut noter les règles et les dispositions de sécurité applicables aux opérateurs (exploitants des réseaux publics de télécommunication, fournisseurs d’accès à Internet, prestataires de services de cybersécurité et de services numériques, éditeurs de plateformes Internet). Le souci est de protéger les données contre les cybermenaces croissantes et d’assurer ainsi la continuité et la sécurité des services numériques pour tous les utilisateurs.
Le Maroc est bien classé dans sa politique de protection de la cybersécurité. Il est ainsi au 34ème rang mondial, 7ème dans le monde arabe et 6ème en Afrique. Il reste, selon l’auteur, à se pencher sur les perspectives de développement de ce secteur. Veille et vigilance aussi: le Maroc n’est-il pas très exposé à des attaques incessantes? Il s’agit finalement d’un livre didactique, pédagogique, destiné à un large public. La cybersécurité, n’est-ce pas l’affaire de tous?
Par Mustapha Sehimi / fr.le360.ma/