En 2021, les unités de veille de la Direction Générale de la sécurité des systèmes d’informations ont détecté, pas moins de 400 incidents sécurité. Une pandémie mondiale, une digitalisation forcée et à la hâte à plusieurs occasions ont donné naissance à une prévalence importante de cyberattaques usant du télétravail comme un nouveau cheval de Troie pour infiltrer les systèmes d’information cible. Ali El Azzouzi, Directeur Général de Dataprotect et expert en cybersécurité explique comment la digitalisation forcée dans un cadre pandémique a amplifié le risque cybernétique.

Challenge: Depuis le début de la pandémie et des confinements successifs en mars 2020, le Maroc a dû entamer une digitalisation forcée pour assurer la continuité de l’activité économique. Télétravail, connexion à distance, des pratiques chamboulées…. Jusqu’où la sécurisation des systèmes et des données a-t-elle pu en pâtir ? 

Ali El Azzouzi: Il est certain que la pandémie a accéléré le processus de digitalisation, que ce soit au Maroc ou à l’international. D’ailleurs, cette digitalisation est observée à tous les niveaux des activités économiques. Toutefois, cette situation tendue et la nécessité de digitalisation à la hâte ont aussi pris toutes les entreprises de court, et il a fallu faire face à la contrainte de l’immédiat. Ceci a entraîné un manque de bons réflexes de sécurité. 

D’ailleurs, les cyberattaques ont triplé à travers le monde pendant la période de confinement, car le contexte représentait une opportunité pour les personnes malveillantes de perpétrer des attaques à grande échelle. Ce mouvement de transformation digitale a donc impliqué la nécessité de composer avec de nouvelles menaces, auxquelles la plupart des organisations n’étaient pas préparées. Force est de constater qu’il y eut des “ratés”, avec par exemple la mise en production de certaines solutions et applications qui n’étaient pas prêtes d’un point de vue cybersécurité. 

Aujourd’hui, la “Security by Design” doit être au cœur de toute stratégie de digitalisation et la sécurité doit absolument être intégrée dans le cycle de développement technologique. La dimension de sécurité doit aussi être alignée dès le départ avec la vision stratégique de l’entreprise, afin de réduire au maximum les risques de cyberattaque. 

Lire aussi | L’Information, le Numérique et le Cyberespace : nouvelles guerres révolutionnaires du XXIème siècle [Par Mehdi Hijaouy]

Challenge: Les acteurs privés à enjeux importants, notamment le secteur financier, investissent considérablement dans la sécurisation de leurs systèmes. Mais qu’en est-il du secteur institutionnel ?

Ali El Azzouzi: La loi 05-20, relative à la cybersécurité, impose un cadre juridique aux entreprises marocaines. Le secteur institutionnel ne fait pas exception.  Il est de ce fait conscient de l’importance de mettre en place des mesures de sécurité pour assurer la fiabilité et la résilience de leurs Systèmes d’Information. Aujourd’hui, les institutions telles que les OIV (organismes d’importance vitale) sont conscientes des enjeux et allouent un budget à la cybersécurité, ce qui montre bien que ce volet n’est plus une option. Par ailleurs, en tant qu’acteur du secteur de la cybersécurité, nous constatons que malgré la situation de pandémie et le marasme économique, les budgets dédiés à la cybersécurité ont non seulement été maintenus, mais ils ont parfois même été renforcés. Cela prouve bien que la prise de conscience est réelle, à tous les niveaux, et par tous les acteurs économiques. 

Challenge: Clouds souverains, Data Centers… le Maroc entame une véritable montée vers la souveraineté numérique. Comment voyez-vous cette évolution ? Quid des perspectives?

Ali El Azzouzi: Le monde post-covid a clairement montré les perspectives en matière de numérique. Il est évident que la souveraineté numérique est un sujet d’une extrême importance. En effet, au Maroc nous disposons de Data Centers installés sur le territoire, d’une offre de Clouds souverains…néanmoins, il ne suffit pas d’avoir une offre en Cloud ou des Data Centers pour se proclamer souverain d’un point de vue numérique! Il s’agit aussi d’apporter des réponses à toute la chaîne de valeur du numérique: avoir des applications souveraines, des systèmes d’exploitation et de l’équipement souverains. Ce qui est loin d’être acquis.

Challenge: Qui dit souveraineté numérique, dit aussi engagement des citoyens marocains. Pourtant leur implication manque à l’appel, d’autant plus que l’humain doit être le premier cheval de combat en cybernétique. Comment peut-on former des citoyens cyberpatriotes ?

Ali El Azzouzi: Le mot d’ordre dans ce contexte est la SENSIBILISATION. L’ensemble des citoyens doit être sensibilisé, afin qu’ils prennent conscience des dangers cybernétiques, mais aussi qu’ils soient informés de leurs droits et leurs obligations… Sans des campagnes régulières de sensibilisation, l’engagement et l’implication des citoyens semblent difficiles. Cela commence dès le plus jeune âge, et les écoles auraient tout intérêt à inclure des programmes pour inculquer les valeurs cybercitoyennes.

Certifié PCI QSA, PA QSA, CISA, L.A ISO 27001 et L.I ISO 22301, Ali EL AZZOUZI est le fondateur de DATAPROTECT. Il a une quinzaine d’années d’expérience en sécurité des systèmes d’information. Auparavant, il avait la responsabilité de diriger l’activité sécurité dans plusieurs multinationales. Il est l’auteur du livre « La cybercriminalité au Maroc » paru en 2010.