mustapha amal 
La récente cyberattaque contre la Caisse Nationale de Sécurité Sociale a mis à nu les vulnérabilités critiques des infrastructures numériques marocaines. Cette attaque a permis l’exfiltration et la diffusion d’informations sensibles, notamment les salaires déclarés de milliers de citoyens et d’entreprises stratégiques. Ce grave incident soulève des questions fondamentales sur la sécurité des données au Maroc, en particulier dans des secteurs clés comme le tourisme, à l’approche d’événements majeurs tels que Gitex Africa et les rendez-vous sportifs internationaux que notre pays va accueillir.
Cette attaque numérique d’envergure alarmante a tout bonnement compromis une base de données contenant des informations sur environ 500 000 entreprises et 54 000 fichiers PDF. Parmi les entités touchées figuraient des institutions stratégiques telles que le Fonds Mohammed VI pour l’Investissement et des banques nationales. Ces données incluaient les déclarations de salaires et les informations personnelles d’employés, exposant ainsi des personnalités publiques et privées.
Dieu merci, dès la détection de l’intrusion, un protocole de cybersécurité a été activé pour contenir la brèche et renforcer les infrastructures existantes. Mais ce qui est fait est fait. Malgré ces efforts, cet incident illustre quand même une lacune importante dans les mesures préventives.
De cet angle là, le secteur touristique est particulièrement vulnérable aux cyberattaques en raison de la nature sensible des données qu’il gère (informations personnelles des touristes, transactions financières, etc.). À l’approche d’événements comme Gitex Africa, qui promeut pourtant une transformation digitale accélérée, la CAN 2025 et la Coupe du monde de football 2030, la question se pose : les entreprises touristiques marocaines sont-elles prêtes à faire face à ces menaces et risques éventuels?
Il ne faut pas se voiler la face, la majorité des entreprises touristiques marocaines n’ont pas encore adopté des normes avancées en matière de cybersécurité. Encore que les petites et moyennes entreprises, qui constituent une grande partie du secteur, manquent souvent de ressources pour investir dans des infrastructures sécurisées.
L’utilisation croissante du cloud pour stocker et gérer les données pose également un défi. Bien que le Conseil Économique Social et Environnemental (CESE) ait recommandé un plan d’action “Cloud-first” pour garantir la souveraineté numérique, sa mise en œuvre reste lente par manque d’enthousiasme et de réelle sensibilisation.
Or, on ne pense même pas chez nous à l’intérêt que représente le modèle “zero trust”, qui repose sur une vigilance constante plutôt qu’une confiance implicite dans les systèmes internes, n’est pas encore largement adopté.
Malgré leur rôle important dans l’écosystème numérique marocain, les recommandations concrètes de la CGEM et de l’APEBI tardent à se matérialiser. Alors qu’on attend d’elles qu’elles s’assument pleinement dans la sensibilisant des entreprises aux menaces actuelles tout en promouvant l’adoption de normes internationales telles que le RGPD et en soutenant financièrement les PME pour adopter des solutions sécurisées. Pourquoi pas ?
Pour protéger efficacement les données sensibles au Maroc, il est encore temps que le Maroc s’entoure de mesures préventives et d’adopter une stratégie nationale robuste, à travers la création d’une infrastructure cloud souveraine pour héberger les données critiques sur le territoire national, avec une garantie de confiance afin d’encadrer les prestataires opérant au Maroc, tout en imposant aux entreprises touristiques une conformité stricte aux normes internationales.
Le secteur touristique demeure, somme toute, une cible privilégiée des cybercriminels en raison du volume élevé de transactions électroniques et des données sensibles qu’il traite (numéros de cartes bancaires, adresses, passeports).
Pour parer donc aux risques d’éventuelles cyber attaques, il existe toutefois des solutions pratiques, mondialement adoptées. Bien que certaines entreprises touristiques marocaines soient conscientes de l’importance de certification sécurisée procurée par le Payment Card Industry Data Security Standard (PCI DSS), sa mise en œuvre reste limitée au minima. Or, ce système impose des mesures telles que l’encryptage des données et la tokenisation, réduisant ainsi le risque de vol d’informations.
Certaines entreprises marocaines, tel qu’Investour Holding, ont adopté la certification PCI DSS, notamment dans les grandes villes comme Casablanca, Rabat et Marrakech. Cependant, il semble que cette adoption soit encore marginale et principalement limitée aux grandes structures ou aux entreprises ayant une forte dépendance aux paiements électroniques.
