ASSADI Fatima Doctorante en 4^e année Laboratoire de recherche en Dynamique Sécuritaire FSJ – Université Hassan Ier de Settat

INTRODUCTION

La période contemporaine est marquée par des progrès rapides en matière technologique, qui ont pu être analysés comme une nouvelle révolution industrielle reposant sur les technologies de l’information. Cette révolution technologique a, bien entendu, des conséquences en matière économique, politique et militaire, parce qu’elle est porteuse de nouvelles opportunités susceptibles de transformer la manière de vivre des individus (du moins pour les pays technologiquement les plus avancés).

En effet, dans un contexte de mondialisation et d’internationalisation des échanges, notre société est entrée de plain-pied dans la troisième vague post-industrielle de l’ère de l’information et de la communication qui devient un enjeu stratégique. On se trouve obligé de suivre cette révolution en implantant de nouvelle forme de travail, afin de pouvoir mieux communiquer, négocier, échanger et de commercialiser en temps réel.

 Par ailleurs, ces nouvelles formes ont un impact direct sur l’efficacité et l’efficience de l’administration que ça soit publique ou privée. Mais, comme toute invention humaine porteuse de progrès, peut aussi être génératrice de comportement illicite, déviants dans le cyberespace, le risque numérique s’est manifesté par le crime dit cybercriminalité.

Colin ROSE considère la cybercriminalité comme « la troisième grande menace pour les grandes puissances, après les armes chimiques et bactériologiques, et le nucléaire ».^[1] ce risque numérique ne menace pas seulement les biens et les individus mais aussi les collectivités les entreprises et les institutions en l’occurrence l’administration publique qui mène un parcours considérable quant à sa transition digitale.

Dans ce cadre l’administration dans sa conception traditionnelle tend à se moderniser et rendre ses services en ligne pour les usagers et ce grâce à une politique de transition numérique mené par le Maroc depuis la fin des années 90 du siècle dernier pour mettre en place une administration électronique qui a fait l’objet de politique publique du e-gouvernement et du programme Maroc Numeric 2013 et du Maroc digital 2020.

Définir l’administration électronique la confonde avec l’e-administration comme étant tout service public rendu en ligne et à distance par l’administration public.

Cette perception de l’administration électronique pose la problématique des enjeux et perspectives des services publics numériques. De ce fait, on va traiter cet article selon les deux points suivants :

• Les enjeux numériques
• La perspective institutionnelle de cybersécurité

I.Les enjeux numériques :

Les enjeux numériques de la société connectée concernent l’ampleur de la révolution numérique ainsi que sa sécurité.

1. La révolution numérique :

 La quatrième révolution industrielle a créé des opportunités et des menaces. Elle apporte son lot d’innovations et de changements profonds pour l’économie, les sociétés et l’humanité à travers l’Intelligence Artificielle, le machine learning, la robotique, le biotech… engendrant des transformations qui touchent nos organisations et nos modes de vie, mais aussi nos corps, nos identités et notre potentiel. Le choix du monde que nous souhaitons façonner est tout entier entre nos mains.

Depuis le tournant du 21^e siècle, le rythme de l’innovation s’est de nouveau accéléré, et nous sommes au début de la prochaine grande révolution industrielle : la quatrième : celle de l’intelligence artificielle ! Elle est caractérisée, selon Klaus Schwab, par un « internet ubiquitaire et mobile, des capteurs plus petits et plus puissants qui sont devenus moins chers, mais aussi par l’intelligence artificielle et le machine learning »^[2]. Le monde est plus intelligent et plus connecté que jamais du fait des               conséquences mesurables : la rapidité des connexions, l’ampleur et la profondeur des changements en cours et l’impact sur les organisations, les pays et les sociétés.

Certes, les principaux facteurs de changement sont la baisse du coût de la puissance de calcul et des appareils connectés, l’augmentation de cette puissance et sa démocratisation grâce au cloud computing, l’apprentissage automatique – le machine learning et l’intelligence artificielle (IA). On peut déjà prendre la chose pour acquise, mais il s’agit bien d’une rupture fondamentale : aujourd’hui, des systèmes intelligents et connectés nous aident à construire des voitures autonomes, à créer des assistants virtuels et à diagnostiquer les maladies, transformant ainsi les mondes physiques, numériques et biologiques.

Ce changement radical dans le monde entier dû aux TIC, a pousser les pouvoirs publics à le répercuter sur l’administration publique marocaine pour suivre les pays les plus développer en ce domaine, sans oublier l’inconvénient majeur de ces découvertes qui est la protection des données personnelles et la cybercriminalité.

L’internet n’a pas été développé, dès le départ, de manières sécurisées. Ses multiples composants matériels, logiciels et protocolaires étaient et demeurent empreints de nombreuses failles de sécurité qui peuvent avoir en cas d’exploitation des conséquences bien réelles”.^[3] Ce qui favorise l’émergence des comportements déviants dans le cyberespace^[4] qui doivent être contrecarrer par tous les moyens susceptibles.

2. La sécurité numérique technique

Selon une étude empirique publié dans une revue internationale de l’administration publique, il a été démontré que l’état actuel de la cyber sécurité dans le secteur public est confrontée à des risques fondamentaux. Le cadre théorique proposé dans cette étude est appelé « cyber sécurité publique à risque et à ressources ».

2.1. Risques :

Les cyberattaques constituent une menace réelle et croissante et influencent considérablement l’état de la cybersécurité^[5]. Dans ce contexte il est recommandé qu’elles soient prises en compte et étudiées dans le secteur public.^[6]

Un large éventail d’actions peut présenter des dangers potentiels pour la cybersécurité. Ces sources de danger potentiel comprennent les activités en ligne typiques, telles que la communication par courrier électronique, les programmes de messagerie ou le réseautage social. Mais aussi des activités plus liées à la gestion, telles que l’externalisation d’activités administratives à des fournisseurs privés. Les principales vulnérabilités à la cybersécurité dans le secteur public concernent particulièrement les activités en ligne, telles que la navigation sur Internet, la communication par courrier électronique ou l’utilisation abusive des réseaux sans fil.

Dans le même ordre d’idées, nos auteurs soulignent l’importance d’identifier les vulnérabilités de la sécurité en ligne pour l’administration publique afin de la protéger.^[7]

Cette sécurité en ligne pour que l’administration publique est indispensable pour protéger ses réseaux informatiques contre les attaques. En conséquence, l’étude en question examine également les activités qui peuvent comporter des dangers potentiels pour la l’e-administration.

Afin d’appliquer des mesures de sécurité adéquates, il est essentiel d’identifier et d’évaluer ces vulnérabilités et menaces ainsi que leurs conséquences potentielles dans le cadre d’une analyse de risque.^[8]

Bien que l’on considère que la conscience sécuritaire augmente à tous les niveaux administratifs, des recherches antérieures ont montré que le manque de sensibilisation aux questions liées à la cybersécurité parmi le personnel et en particulier au niveau de la direction joue un rôle important dans la réduction des risques.

2.2. Ressources :

En contrepartie des cyberattaques, les mesures de protection sont également un facteur de ressources essentiel de la cybersécurité et sont donc, fréquemment, mentionnées au même titre que les cyberattaques. Dans ce cadre, des accidents liés à la sécurité de l’information sont résultats de causes internes. À la lumière de ce constat il est nécessaire de prendre en compte les mesures de protection internes.

A cet égard, les mesures de protection couvrent un large spectre, allant des mesures plus traditionnelles, telles que physiques ou la formation du personnel, à des mesures plus modernes et technologiques, telles que les pares-feux, les logiciels antivirus. Si ces mesures de protection ne parviennent pas à empêcher une cyberattaque, la gestion des urgences, qui est un autre type de ressource très important, entre en jeu par des solutions adéquates.

La gestion des urgences implique généralement le développement et la mise en œuvre de plans d’action visant à réduire la vulnérabilité aux menaces et à faire face à l’impact des catastrophes.

Un autre facteur basé sur les ressources concerne l’expérience professionnelle et l’expertise du personnel. L’expertise en tant que telle comprend non seulement l’éducation et l’expérience d’une personne, mais aussi le type de connaissances qu’elle a accumulées.

Il convient de traiter les cyberattaques impliquant l’utilisation des technologies de l’information et de renforcer et améliorer la cybersécurité par un haut niveau d’expertise numérique.

Dans le même ordre d’idées, la plupart des auteurs font également remarquer que les chercheurs et les praticiens s’accordent largement à dire que les ressources humaines et leur expertise jouent un rôle important dans le contexte de la cybersécurité. Ils soulignent, en outre, que la maturation des connaissances et des compétences d’un professionnel de la cybersécurité et l’obtention de meilleures performances “nécessite des années de connaissances informatiques accumulées, renforcées par des années d’expériences supplémentaires en matière de sécurité.^[9]

Enfin, le soutien de l’autorité supérieure fait partie des aspects les plus fréquemment mentionnés en ce qui concerne la réussite de la mise en œuvre d’un système informatique. Dans le cas de l’administration publique, le soutien de l’autorité supérieure est essentiel, car cette dernière est en général la principale source de financement et autres ressources nécessaires à la réalisation de projets et mesures importants.

Considérant la relation entre la vulnérabilité et les investissements en matière de sécurité de l’information, il apparaît clair que la cybersécurité est non seulement dépendante fortement des ressources en général, mais également du soutien en ressources des autorités supérieures.

En résumé quatre facteurs sont pris en compte par cette recherche : Facteurs liés aux ressources de l’état de la cybersécurité dans le secteur public, notamment les mesures de protection, la gestion des urgences, l’expérience professionnelle et l’expertise du personnel, ainsi que le soutien des ressources par l’autorité supérieure. Pris ensemble, les risques perçus et les ressources aperçues, ainsi que leurs aspects spécifiques, ont été théoriquement dérivés de la littérature existante.

Ce cadre théorique est mis en exergue, dans le cas du Maroc, par la mise en place d’un système d’institualisation de la sécurité numérique, en plus de la protection normative.

II. L’institutionnalisation de la cybersécurité

Les systèmes d’information font aujourd’hui partie intégrante du fonctionnement des administrations publiques, de l’activité des entreprises et du mode de vie des citoyens. Sécuriser et contrôler l’information véhiculée par les systèmes d’information devient un enjeu de plus en plus pressant dans un monde où l’environnement lié aux technologies de l’information et de la communication est de plus en plus la cible de diverses menaces.

En effet, les attaques informatiques se multiplient sous toutes les formes contre les systèmes d’information des pays. Le nombre croissant des violations de la sécurité a déjà provoqué des dommages financiers et sécuritaires considérables et représente l’une des menaces majeures à moyen et long terme.

Pour ce faire, l’Etat a décidé de renforcer les capacités nationales en matière de sécurité des systèmes d’informations des administrations, organismes publics et infrastructures d’importance vitale. La création du Comité Stratégique de la Sécurité des Systèmes d’Informations et de la Direction Générale de la Sécurité des Systèmes d’Informations, ont été les premières étapes de cet engagement.

Aujourd’hui, le monde est plus que jamais connecté numériquement. Les malfaiteurs profitent de la transformation numérique pour exploiter les failles des systèmes, réseaux et infrastructures en ligne. Les répercussions économiques et sociales sur les administrations, les entreprises et les particuliers du monde entier sont considérables. L’hameçonnage, les violations de données ne sont que quelques exemples des cybermenaces actuelles, dans un contexte où de nouveaux types de cybercriminalité ne cessent d’apparaître.

La cybercriminalité se joue des frontières nationales. En renforçant la capacité coordinatrice des pays à prévenir et à détecter la cybercriminalité, ainsi qu’à enquêter à son sujet et à y faire obstacle, la communauté internationale participe à la protection des populations pour un monde plus sûr.

La cybersécurité correspond à des techniques de protection des systèmes d’information connues depuis une vingtaine d’années sous le terme de sécurité des systèmes d’information (SSI). Elle s’appuie sur la lutte contre la cybercriminalité et sur la mise en place d’une cyberdéfense.

Dans le cadre de la sécurité nationale dans son sens général on trouve l’Administration de la Défense Nationale qui est une administration qui joue un rôle primordial dans la sécurité du pays. Elle a été créée par le décret n° 2-82-673 du 28 rebia I 1403 (13 janvier 1983). Ces compétences recouvrent la gestion du personnel civil et militaire ainsi que du matériel relatif à la gestion de la sécurité interne et externe du pays^[10]. Elle est chargée, en outre du recours aux méthodes modernes de traitement de l’information, d’assurer la protection de l’information de la souveraineté et de garantir la continuité de fonctionnement des systèmes d’information des infrastructures d’importance vitale. A cet égard, il a été procédé à la création de deux entités au sein de cette administration à savoir : la DGSSI et le CSSSI en plus du rôle que peut monopoliser le CSS.

1. Les missions et rôles de la DGSSI et le CSSSI^[11]:

La cybersécurité au Maroc se décline essentiellement, en plus du cadre normatif, en deux institutions essentielles qui se préoccupe de la sécurité des systèmes d’informations des administrations publiques :

–        La DGSSI

–        Le CSSSI

1.1. Rôle et missions de la DGSSI

Au Maroc, la Direction Générale de la Sécurité des Systèmes d’Information (DGSSI) a été créée au sein de l’administration de la défense nationale^[12]. Elle est rattachée à l’Administration de la Défense Nationale du Royaume du Maroc. Les prérogatives de cette direction reposent sur la prévention et la détection en matière des attaques informatiques^[13].

La DGSSI est chargée de :

– Coordonner les travaux interministériels relatifs à l’élaboration et la mise en œuvre de la stratégie de l’Etat en matière de sécurité des systèmes d’information.

– Veiller à l’application des directives et orientations du comité stratégique de la sécurité des systèmes d’information[14].

– Proposer des normes et des règles spécifiques à la sécurité des systèmes d’information de l’Etat.

– Délivrer des autorisations, gérer les déclarations relatives aux moyens et aux prestations de cryptographie, certifier les dispositifs de création et de vérification de signature électronique et agréer les prestataires de service pour la certification électronique conformément aux dispositions des articles 13, 14, 15, 21 et 23 de la loin° 53-05 relative à l’échange électronique de données juridiques.

– Assister et conseiller les administrations et organismes publics ainsi que le secteur privé pour la mise en place de la sécurité de leurs systèmes d’information.

– Développer l’expertise scientifique et technique dans le domaine de la sécurité des systèmes d’information.

– Assurer les audits de sécurité des systèmes d’information des administrations et organismes publics dont le périmètre et les modalités seront fixés par le comité stratégique de la sécurité des systèmes d’information.

– Mettre en place, en relation avec les départements ministériels, un système de veille, de détection, d’alerte des événements affectant ou susceptibles d’affecter la sécurité des systèmes d’information de l’Etat et coordonner les mesures à prendre à cet effet.

– Saisir le CSSSI en cas d’urgence ou de menace affectant ou susceptible d’affecter la sécurité des systèmes d’information de l’Etat.

– Assurer la veille technologique pour anticiper les évolutions et proposer les innovations nécessaires en matière de sécurité des systèmes d’information.

– Développer et coordonner, en concertation avec les administrations concernées, les relations et partenariats avec les organismes étrangers dans le domaine de la sécurité des systèmes d’information ;

– Organiser des cycles de formation et des actions de sensibilisation au profit du personnel des administrations et organismes publics.

– Assurer le secrétariat du comité stratégique de la sécurité des systèmes d’information.

1.2. Le CSSSI

Le Comité Stratégique de la Sécurité des Systèmes d’Information^[15] est présidé par le ministre délégué chargé de l’administration de la défense nationale. Elle veille principalement à la définition des orientations stratégiques en matière de sécurité des systèmes d’information du Royaume.

Ce comité, à compétence nationale, intervient sur tout le territoire du Royaume. « Elle est l’autorité nationale en matière de sécurité des systèmes d’information et, à ce titre, en matière de défense de la souveraineté numérique »[16].

Le CSSSI a de multiples missions qui « peuvent être résumé dans les points suivants :

• L’établissement des orientations stratégiques dans le domaine de la sécurité des Systèmes d’Information pour garantir la sécurité et l’intégrité des infrastructures critiques marocaines ;
• L’approbation du plan d’action de la Direction Générale de la Sécurité des Systèmes d’Information et l’évaluation de ces résultats ;
• La délimitation des prérogatives de la Direction Générale de la Sécurité des Systèmes d’Information ;
• L’appréciation des projets de lois et des normes relatifs à la sécurité des systèmes d’information »[17].

Ainsi cette institution joue un rôle administratif et juridique de sécurité numérique visant à veiller sur la souveraineté digitale du Royaume.

Cette souveraineté numérique ne peut que se renforcer si l’on prend en considération la création du conseil supérieur de la sécurité en vertu de la constitution de 2011.

2. les perspectives du rôle du CSS prévu par la constitution

La création d’un conseil supérieur de la sécurité[18] pourrait permettre d’une part d’assurer la coordination entre plusieurs services à savoir : la D.G.S.N, la D.G.E.D, la D.S.T, les Renseignements Généraux, la Gendarmerie Royale, le service de renseignements des forces auxiliaires et entre les organes chargés de la sécurité informatique à savoir : la DGSSI et CSSSI en particulier. D’autre part, cette instance constitutionnelle est en mesure d’octroyer au Maroc un savoir de gouvernance sécuritaire et de disposer d’une stratégie sécuritaire claire en matière de sécurité en général et en cybersécurité en particulier.

Le C.S.S devrait créer une cellule pour traiter de la sécurité informatique qui pourrait poursuivre deux objectifs : la prévention et la résilience en cas d’attaque informatique.

Conclusion:

Malgré toutes les politiques et stratégies du Maroc pour la lutte contre la vulnérabilité et les risques numériques qui se manifeste dans la mise d’un ensemble d’institutions à savoir la DGSSI et le CSSSI au sein de l’ADN, et les efforts de l’ADD pour instaurer la confiance numérique, il reste encore beaucoup du travail et de chemin à fournir pour maîtriser le phénomène et impliquer toutes les composantes de la société dans cette ‘’guerre’’ numérique. On constate que beaucoup de secteurs, publics ou privés, restent relativement en retard en matière de stratégie, de formation et de sensibilisation de cybersécurité à cause de multiples facteurs non seulement en relation avec les budgets attribués à la sécurité des systèmes d’information ou de protection des données personnelles et professionnelles, mais également en l’absence d’une culture de cybersécurité.

Le défi ne semble pas s’arrêter à la limite de la sécurité numérique, les innovations sans limites des TIC défient l’intelligence humaine et sa sécurité personnelle. Dans ce sens Marc Benioff, PDG de Salesforce, a déclaré que « La convergence des technologies numériques avec des percées scientifiques, matérielles ou biologiques signifie que nous voyons émerger de toutes nouvelles façons de vivre. De manière subtile et explicite, la technologie change ce que signifie être humain. ».^[19]

Il est vrai que la technologie a un impact sur notre vie quotidienne et sur notre façon de penser. Les technologies numériques ont permis des avancées dans de nombreux domaines tels que la médecine, l’éducation et les communications. Cependant, il est important de comprendre les implications de ces avancées et de s’assurer qu’elles sont utilisées pour améliorer notre vie plutôt que d’y nuire.

---

Bibliographie

1. Ali EL AZZOUZI, La cybercriminalité au Maroc, Edition Bishops Solutions 2010, consultable en PDF sur : https://cybercrime-fr.org/wp-content/uploads/2020/04/10.pdf ;
2. André LUCAS. — Le droit de l’informatique, coll. « Thémis », Paris, Presses Universitaires de France, 1987 ;
3. Daniel Martin, Frédéric-Paul Martin, Cybercrime : Menaces, vulnérabilités et ripostes, PUF, 2001 ;
4. Klaus Schwab, La quatrième révolution industrielle, Dunod, 2017 ;
5. Chakir RIAD, Thèse de doctorat : la cybercriminalité au Maroc entre politique pénale et stratégie sécuritaire, FSPJ, UHP-Settat, décembre 2022 ;
6. Cyberterrorism and Cyber Attacks in the Public Sector: How Public Administration Copes with Digital Threats, Bernd W. Wirtz & Jan C. Weyerer, Pages 1085-1100 | Published online: 07 Nov 2016, International Journal of Public Administration, Volume 40, 2017 – Issue 13;
7. Security requirements for e-government services: a methodological approach for developing a common PKI-based security policy, Costas Lambrinoudakisa, Stefanos Gritzalisa, Fredj Dridib, Gunther Pernul, Computer Communications 26 (2003) pp.1873–1883;
8. Assante & Tobey (2011) Smart IT: Enhancing the Cybersecurity Workforce, Michael Assante & David H Tobey, Published by the IEEE Computer Society, IT Pro January/February 2011, p. 12. Dispo : lien 
9. La constitution marocaine de 2011 ;
10. Décret n° 2-82-673 du 28 rebia I 1403 (13 janvier 1983) relatif à l’organisation de l’administration de la défense nationale ;
11. Décret n° 2-11-508 du 22 chaoual 1432 (21 septembre 2011) portant création du comité stratégique de la sécurité des systèmes d’information ; Bulletin officiel n°5988 du 22 Kaada 1432 (20-10-2011), p 2338 ;
12. Décret n° 2-11-509 du 21 septembre 2011 portant création de la DGSSI.
13. www.dgssi.gov.ma
14. https://www.salesforce.com/

---

[1] D. MARTIN et F.-P. MARTIN, Cybercrime, avant-propos, Paris, Press Universitaires, 2001.

[2] Klaus Schwab, La quatrième révolution industrielle, Dunod, 2017, p.45.

[3] A. ELAZZOUZI, La cybercriminalité au Maroc, Edition Bishops Solutions 2010, p. 13.

[4] A. LUCAS, Le droit de l’informatique, Ed. PUF, Paris, 1987, p. 2.

[5] Cyberterrorism and Cyber Attacks in the Public Sector: How Public Administration Copes with Digital Threats, Bernd W. Wirtz & Jan C. Weyerer, Pages 1085-1100 | Published online: 07 Nov 2016, International Journal of Public Administration, Volume 40, 2017 – Issue 13.

[6] Ibid.

[7] Ibid.

[8] Security requirements for e-government services: a methodological approach for developing a common PKI-based security policy, Costas Lambrinoudakisa, Stefanos Gritzalisa, Fredj Dridib, Gunther Pernul, Computer Communications 26 (2003) pp.1873–1883.

[9] Assante & Tobey (2011) Smart IT: Enhancing the Cybersecurity Workforce, Michael Assante & David H Tobey, Published by the IEEE Computer Society, IT Pro January/February 2011, p. 12. Dispo : lien

[10] L’article 4 du Décret n° 2-82-673 du 28 rebia I 1403 (13 janvier 1983) relatif à l’organisation de l’administration de la défense nationale.

[11] Ibid.

[12] Décret n° 2-11-509 du 21 septembre 2011 portant création de la DGSSI.

[13] www.dgssi.gov.ma

[14] Le comité stratégique de la sécurité des systèmes d’information est créé par le décret n° 2-11-508 du 22 chaoual 1432 (21 septembre 2011).

[15] En vertu du Décret n° 2-11-508 du 22 chaoual 1432 (21 septembre 2011) portant création du comité stratégique de la sécurité des systèmes d’information ; Bulletin officiel n°5988 du 22 Kaada 1432 (20-10-2011), p 2338.

[16] Chakir RIAD, Thèse de doctorat : la cybercriminalité au Maroc entre politique pénale et stratégie sécuritaire, FSPJ, UHP Settat, décembre 2023, p. 332.

[17] Ibid.

[18] L’article 54 de la constitution marocaine 2011.

[19] lien