Les récentes perturbations survenues au sein de la Caisse nationale de sécurité sociale (CNSS) et du ministère de l’Inclusion économique, de la Petite entreprise, de l’Emploi et des Compétences (MIEPEEC), consécutives à un acte malveillant, marquent un tournant dans la lecture du risque cyber au Maroc. Le sujet ne relève plus d’un périmètre technique ou opérationnel.
Par Marwane El Bouzdaini,
économiste et auditeur de métier
Il est désormais un levier stratégique structurant qui interroge la capacité des organisations à assurer la continuité, la maîtrise des vulnérabilités systémiques et le maintien d’un leadership digital dans un contexte de transformation accélérée.
Le Maroc, pionnier régional en matière de digitalisation, a entrepris depuis plusieurs années un virage numérique audacieux. Dématérialisation des services publics, plateformes interopérables, déploiement de l’identité digitale, montée en puissance des services en ligne pour les entreprises : cette dynamique génère de la valeur et de l’efficience. Elle repose sur une infrastructure réglementaire solide, portée notamment par la Direction générale de la sécurité des systèmes d’information (DGSSI), la loi 05-20 relative à la cybersécurité, et un dispositif national de veille et d’intervention (CERT-Maroc) déjà éprouvé.
Néanmoins, cette avancée crée mécaniquement une exposition accrue aux risques numériques. Le Global Risks Report 2025 du Forum économique mondial positionne d’ailleurs les cyberattaques ciblant les infrastructures critiques parmi les risques les plus significatifs de la décennie. L’ère des menaces opportunistes a laissé place à celle des intrusions ciblées, coordonnées, et souvent invisibles aux systèmes traditionnels de détection. Dans ce contexte, la gouvernance du cyber risque devient une fonction cœur, transverse, et indissociable de la stratégie globale de résilience des organisations.
L’enjeu n’est pas simplement de réagir à la menace, mais de structurer une réponse intégrée et proactive. Cela suppose une révision en profondeur des schémas de gouvernance, une implication des organes exécutifs dans la supervision du risque numérique, et une articulation claire entre les fonctions métiers, IT, conformité, audit et gestion des risques. La cybersécurité doit cesser d’être cantonnée aux équipes techniques; elle doit intégrer les comités de pilotage stratégiques, irriguer les prises de décision, et se traduire en indicateurs de performance suivis au même titre que les KPI financiers.
Parmi les leviers d’action à institutionnaliser :
• Ancrer la cybersécurité dans la culture d’entreprise : le cyber hygiene ne doit pas être un buzzword mais une compétence diffusée à tous les niveaux, des lignes opérationnelles aux membres des comités de direction.
• Créer des cyber-comités de pilotage stratégiques (Cyber Steering Committees) : mêlant DSI, Risk management, audit interne, juridique, RH et communication.
• Industrialiser les tests de résilience (tabletop exercises) : simulant des attaques à fort impact, avec un reporting au Conseil d’administration.
• Intégrer les exigences cyber dans les cahiers des charges achats, en particulier vis-à-vis des tiers et sous-traitants, souvent angle mort des DSI.
• S’appuyer sur les outils du cloud souverain et les plateformes certifiées pour renforcer la souveraineté numérique et réduire les vecteurs de vulnérabilité.
La gouvernance du cyber risque est aujourd’hui un différenciateur stratégique. Elle conditionne la capacité des entreprises à croître, à attirer des partenaires internationaux et à se positionner durablement comme des acteurs fiables dans un écosystème digital globalisé. Gouverner, c’est anticiper l’impensable. Et dans le cyberespace, l’impensable n’est jamais très loin.
