La cybersécurité d'entreprise désigne l'ensemble des contrôles techniques, organisationnels et de gouvernance qui protègent les systèmes d'information d'une organisation contre les attaques, les pannes et les fuites de données, tout en assurant la continuité de l'activité et la conformité réglementaire. Au Maroc, elle s'articule autour de deux dimensions : un socle de défense solide et une capacité de réponse aux incidents éprouvée.
En bref : un dispositif sérieux repose sur trois piliers indissociables. Un socle technique (identités, sauvegardes, supervision), une réponse aux incidents préparée et testée, et une conformité double face vis-à-vis de la DGSSI (loi 05-20) et de la CNDP (loi 09-08). Acheter des outils sans cette ossature ne protège personne.
Beaucoup de dirigeants marocains pensent encore la sécurité comme un budget d'antivirus et de pare-feu. C'est une erreur de cadrage. Les attaquants ne ciblent pas vos outils, ils ciblent vos processus mal gouvernés, vos sauvegardes jamais testées et votre plan de réponse qui n'existe que sur le papier. Cet article détaille le socle à bâtir, le cycle de réponse à incident à instaurer, et la grille réglementaire marocaine qui transforme ces bonnes pratiques en obligations pour certaines entreprises. Pour le cadre global de la donnée, voir notre guide sécurité et conformité des données.
Qu'est-ce que le socle de sécurité d'une entreprise ?
Le socle (la « baseline ») regroupe les contrôles fondamentaux sans lesquels aucun autre investissement n'a de sens. Sept briques le composent. D'abord, la gestion des identités avec authentification multifacteur (MFA) systématique et principe du moindre privilège (RBAC) : la majorité des intrusions commencent par un identifiant compromis. Ensuite, la gestion continue des correctifs et des vulnérabilités, qui ferme les portes connues avant qu'elles ne soient exploitées. Troisième brique, la segmentation réseau, qui empêche un poste compromis de contaminer tout le système d'information.
Viennent ensuite les sauvegardes selon la règle 3-2-1, la supervision centralisée des journaux via un SOC ou un SIEM, et la sensibilisation continue des utilisateurs (anti-hameçonnage). Ces fondations ne sont pas négociables : un SOC sophistiqué posé sur des identités sans MFA et des sauvegardes non testées reste un château bâti sur du sable. L'ordre compte : sécurisez le socle avant d'investir dans des outils de détection avancés.
En quoi consiste la règle 3-2-1 et pourquoi est-elle vitale ?
La règle 3-2-1 consiste à conserver trois copies de vos données, sur deux types de supports différents, dont au moins une copie hors site. C'est une recommandation de base contre les rançongiciels, promue notamment par la CISA américaine (Cybersecurity and Infrastructure Security Agency). Son intérêt face à un ransomware moderne : si l'attaquant chiffre votre production et vos sauvegardes en ligne, la copie hors site (idéalement immuable ou déconnectée) reste votre seul filet de sécurité.
Attention toutefois : la règle 3-2-1 est une bonne pratique, pas une obligation légale au Maroc. Et surtout, une sauvegarde n'a de valeur que si elle se restaure. Trop d'entreprises marocaines découvrent en pleine crise que leurs sauvegardes sont corrompues, incomplètes ou impossibles à restaurer dans un délai acceptable. Tester régulièrement les restaurations, et non se contenter de vérifier que la sauvegarde « tourne », est ce qui sépare une résilience réelle d'une illusion de sécurité. Reliez chaque test de restauration à un objectif de temps précis, pas à une vague intention.
Quels référentiels structurer pour prioriser les contrôles ?
Acheter des outils au hasard mène à des dispositifs incohérents et coûteux. Les référentiels de gestion du risque donnent la colonne vertébrale. Deux dominent. ISO/IEC 27001 spécifie les exigences d'un système de management de la sécurité de l'information (SMSI) et est certifiable par des organismes accrédités ; sa révision 2022 a notamment ajouté le contrôle d'Annexe A 5.30 « ICT readiness for business continuity », qui consolide les anciens contrôles A.17 et s'aligne sur ISO 22301.
Le NIST Cybersecurity Framework 2.0 (publié en février 2024) s'organise autour de six fonctions : Govern, Identify, Protect, Detect, Respond, Recover. La fonction « Govern » a été ajoutée dans la version 2.0 (la 1.1 n'en comptait que cinq), et le périmètre a été étendu des seules infrastructures critiques à toutes les organisations. Le CSF 2.0 compte 22 catégories et 106 sous-catégories.
Point essentiel pour le contexte marocain : ni ISO 27001 ni le NIST CSF ne sont obligatoires au Maroc. Ce sont des cadres volontaires, utiles pour prioriser les contrôles par le risque plutôt que d'acheter des outils au hasard. L'obligation légale, pour les systèmes sensibles des infrastructures d'importance vitale, c'est l'homologation DGSSI, pas la certification ISO.
Quelles obligations la loi 05-20 impose-t-elle aux entreprises marocaines ?
La loi n° 05-20 relative à la cybersécurité, promulguée par le dahir n° 1-20-69 du 25 juillet 2020, fixe le cadre légal et les mesures de sécurité minimales pour les systèmes d'information des administrations de l'État, des collectivités territoriales, des établissements publics et entreprises, des autres personnes morales de droit public, et des opérateurs privés d'infrastructures d'importance vitale détenant des systèmes d'information sensibles.
Ses obligations clés sont concrètes. Tout système d'information sensible doit obtenir une homologation de sécurité avant sa mise en service (article 19), procédure par laquelle le propriétaire reconnaît formellement les risques résiduels et les mesures déployées. La DGSSI publie d'ailleurs un « Guide d'homologation des systèmes d'information sensibles des infrastructures d'importance vitale ». La loi impose aussi d'élaborer une politique de sécurité (PSSI) conforme aux directives nationales (article 4), de désigner un RSSI en liaison avec l'autorité nationale (article 6), de déclarer les incidents affectant la sécurité ou le fonctionnement des systèmes (article 8), et soumet les systèmes sensibles à des audits de sécurité (article 20).
Le décret d'application n° 2-21-406, approuvé le 28 juin 2021, précise les mesures de protection et fixe les critères de qualification des prestataires d'audit et de services de sécurité. La Directive Nationale de la Sécurité des Systèmes d'Information (DNSSI) actualisée, émise en janvier 2023, détaille les exigences contraignantes pour ces entités.
Qui est la DGSSI et comment lui déclarer un incident ?
La DGSSI (Direction Générale de la Sécurité des Systèmes d'Information) est l'autorité nationale de cybersécurité du Maroc, créée en 2011 et rattachée à l'Administration de la Défense Nationale. Elle fixe les standards, classifie les systèmes, supervise l'homologation et les audits. Elle opère le CERT national, maCERT, qui reçoit les déclarations d'incidents à l'adresse incident@macert.gov.ma.
La DGSSI a par ailleurs publié la Stratégie Nationale de Cybersécurité 2030 (dévoilée en juillet 2024), structurée autour de 4 piliers, 11 objectifs stratégiques, 26 initiatives et 60 actions. Ses piliers : la gouvernance nationale de la cybersécurité, la sécurité et la résilience du cyberespace national, le développement des capacités et la sensibilisation, et la coopération internationale. Le message stratégique est clair : le Maroc resserre activement sa gouvernance, et les attentes de conformité montent. Bâtir le socle maintenant, de façon proactive, coûte moins cher que de le faire dans l'urgence d'un contrôle ou d'une crise.
Faut-il un RSSI et une homologation pour toute entreprise ?
Non, et c'est une nuance que beaucoup d'articles marocains effacent. Les obligations lourdes de la loi 05-20 (désigner un RSSI, élaborer une PSSI, obtenir l'homologation, subir des audits par des prestataires qualifiés par la DGSSI) s'attachent aux administrations, aux établissements publics et aux opérateurs d'infrastructures d'importance vitale. Elles ne s'imposent pas à toute PME.
Le statut d'infrastructure d'importance vitale est la ligne de partage. Les entreprises de la banque, de l'énergie, du transport, de la santé, des télécoms et de l'eau qui sont désignées subissent le poids complet de la loi 05-20. Les entreprises ordinaires, elles, relèvent principalement de la loi 09-08 sur les données personnelles. Le tableau ci-dessous aide à se situer.
| Critère | Entreprise « ordinaire » | Infrastructure d'importance vitale désignée | |---|---|---| | Régulateur principal | CNDP (loi 09-08) | DGSSI (loi 05-20) + CNDP | | RSSI obligatoire | Non (recommandé) | Oui (article 6) | | PSSI formelle | Bonne pratique | Obligatoire (article 4) | | Homologation système sensible | Non | Oui, avant mise en service (article 19) | | Audits de sécurité | Volontaires | Obligatoires, prestataires qualifiés (article 20) | | Déclaration d'incident | À évaluer (loi 09-08) | Obligatoire à maCERT (article 8) |
Comment articuler les deux régulateurs : DGSSI et CNDP ?
C'est la réalité marocaine la plus mal comprise : une entreprise doit satisfaire deux autorités distinctes, aux mandats différents. La DGSSI gouverne la sécurité des systèmes (homologation, déclaration à maCERT) sous la loi 05-20. La CNDP (Commission Nationale de contrôle de la protection des Données à caractère personnel) gouverne la protection des données personnelles sous la loi 09-08.
Ne confondez jamais leurs pouvoirs. L'article 23 de la loi 09-08 impose au responsable de traitement de mettre en œuvre des mesures techniques et organisationnelles appropriées pour protéger les données contre la destruction, la perte, l'altération et l'accès ou la divulgation non autorisés. La plupart des traitements requièrent une déclaration préalable à la CNDP, et les traitements sensibles une autorisation préalable. Pour le détail des obligations et des sanctions, consultez notre guide CNDP loi 09-08. Votre programme de sécurité doit cartographier ses contrôles vers les deux régulateurs simultanément.
Que faire en cas de fuite de données personnelles ?
Première précision : la loi 09-08 ne contient pas de mécanisme général de notification obligatoire des violations « à la GDPR », avec délai fixe (pas de « 72 heures »). Cela ne signifie pas que vous pouvez ignorer un incident. En cas de fuite, le responsable de traitement doit prendre des mesures correctives, documenter l'événement, puis évaluer s'il convient d'informer la CNDP et les personnes concernées, selon la gravité et le risque. C'est une obligation d'appréciation et de traçabilité, pas un compte à rebours réglementaire.
Les sanctions pénales de la loi 09-08 sont réelles : amendes de 10 000 à 300 000 dirhams et/ou emprisonnement de trois mois à deux ans selon l'infraction, doublées pour les personnes morales. À titre d'exemples, l'article 52 vise le traitement sans déclaration ou autorisation requise (amendes à partir de 10 000 DH), l'article 55 le traitement sans les mesures de sécurité ou de conformité requises (20 000 à 200 000 DH et 3 mois à 1 an), l'article 56 le traitement de données sensibles sans consentement (jusqu'à 300 000 DH), et l'article 62 l'entrave au travail de la CNDP.
Comment structurer la réponse à incident et la résilience ?
Le cycle de réponse à incident suit six étapes : préparer, détecter et analyser, contenir, éradiquer, restaurer, puis apprendre (le retour d'expérience). Chaque étape doit s'appuyer sur un plan IR nommé, une équipe d'astreinte et une escalade pré-définie, incluant la notification à maCERT/DGSSI et, le cas échéant, à la CNDP et aux personnes concernées.
Côté résilience, distinguez le PRA (Plan de Reprise d'Activité, disaster recovery) du PCA (Plan de Continuité d'Activité, business continuity). Le PRA restaure les systèmes, le PCA maintient l'activité. Définissez pour chaque processus critique un RTO (Recovery Time Objective : délai maximal tolérable de restauration) et un RPO (Recovery Point Objective : perte de données maximale tolérable, mesurée en temps), via une analyse d'impact métier (Business Impact Analysis). ISO 22301 encadre cette démarche, et le contrôle ISO 27001 5.30 la relie au SMSI.
Pour le secteur bancaire, Bank Al-Maghrib ajoute une couche via la Directive n° 3/W/2016, qui impose aux établissements de crédit de bâtir une cartographie du cyber-risque, de mener des audits et tests d'intrusion réguliers, et de déployer des capacités de détection et de réponse. BAM promeut aussi le cadre CROE (Cyber Resilience Oversight Expectations) pour les infrastructures de marché financier. Pour cadrer votre feuille de route, notre offre de conseil digital part toujours d'une évaluation contre un référentiel avant de combler les écarts du socle.
FAQ
La certification ISO 27001 est-elle obligatoire au Maroc ? Non. ISO 27001 et le NIST CSF 2.0 sont des cadres volontaires, utiles pour structurer et prioriser vos contrôles par le risque. La seule exigence légale de cet ordre est l'homologation DGSSI des systèmes d'information sensibles, et elle ne concerne que les administrations, établissements publics et opérateurs d'infrastructures d'importance vitale, pas toute entreprise marocaine.
Mon entreprise est-elle une infrastructure d'importance vitale ? Cela dépend d'une désignation officielle, généralement dans les secteurs banque, énergie, transport, santé, télécoms et eau. Si vous êtes désigné, la loi 05-20 vous impose RSSI, PSSI, homologation, audits par prestataires qualifiés et déclaration d'incidents à maCERT. Sinon, vous relevez surtout de la loi 09-08 et de la CNDP. En cas de doute, faites qualifier votre statut.
Faut-il notifier toute fuite de données à la CNDP sous 72 heures ? Non. La loi 09-08 ne prévoit pas de délai fixe de notification « à la GDPR ». En cas d'incident, vous devez prendre des mesures correctives, documenter l'événement, puis évaluer s'il faut informer la CNDP et les personnes concernées selon la gravité et le risque. C'est une obligation d'appréciation et de traçabilité, pas un compte à rebours statutaire.
Quelle est la différence entre RTO et RPO ? Le RTO (Recovery Time Objective) est le délai maximal tolérable pour restaurer un service après une interruption. Le RPO (Recovery Point Objective) est la quantité maximale de données que vous pouvez vous permettre de perdre, mesurée en temps. Ces deux objectifs, définis par processus critique via une analyse d'impact métier, dimensionnent vos plans PRA et PCA.
Par où commencer concrètement ? Évaluez votre dispositif actuel contre un référentiel (ISO 27001 ou NIST CSF 2.0), comblez d'abord les écarts du socle (MFA, correctifs, sauvegardes testées, supervision), puis montez en maturité vers l'homologation ou la certification si votre statut l'exige. Un exercice de simulation (tabletop) révèle souvent que le plan de réponse existe sur le papier mais n'a jamais été éprouvé.
Sources
Dernière vérification : 17 juin 2026.
- DGSSI, Loi n° 05-20 relative à la cybersécurité (dgssi.gov.ma) et texte LexisNexis Maroc de la loi 05-20 (articles 4, 6, 8, 19, 20).
- DGSSI, page de déclaration d'incidents et maCERT (dgssi.gov.ma) ; décret n° 2-21-406 ; DNSSI 2023.
- DGSSI, Stratégie Nationale de Cybersécurité 2030 (dgssi.gov.ma).
- CNDP, loi 09-08 (article 23) et « Liste des infractions à la loi 09-08 et des sanctions prévues » (cndp.ma) ; Medias24 (1er juillet 2023).
- Bank Al-Maghrib, Directive n° 3/W/2016 et cadre CROE (bkam.ma) ; Finances News Hebdo (fnh.ma).
- ISO/IEC 27001 (contrôle Annexe A 5.30), ISO 22301 ; NIST Cybersecurity Framework 2.0 (NIST.gov) ; CISA, « Back Up Your Data » (cisa.gov).
À retenir : la cybersécurité d'entreprise au Maroc n'est ni un achat d'outils ni une formalité juridique, mais un socle bâti puis éprouvé, mappé à la fois sur la DGSSI et la CNDP. Pour évaluer votre maturité et construire votre feuille de route, parlons-en.