La toile de l’internet est un espace virtuel devant normalement être régi par des règles prudentielles destinées à protéger les réseaux informatiques, les réseaux télécoms et leurs usagers. Cet ensemble de règles préventives, qui peut s’apparenter à un droit de la cybersécurité, est censé assurer une protection contre les cyberattaques. Celles-ci ont habituellement pour objectif de nuire volontairement ou involontairement aux personnes physiques et morales et parfois même aux Etats.
Devant l’augmentation de ces attaques informatiques, la mise en place d’un droit spécifique de cybersécurité est devenue incontournable au niveau de chaque pays et aussi au niveau international. Car, souvent, le cyber attaquant ne réside pas dans le même pays que la victime de l’attaque. De même, la dimension mondiale d’Internet complique l’application du seul droit classique.
Exposé au phénomène des cybers-attaques informatiques, comme tous les pays du globe, le Maroc a mis en place les premiers jalons de cyber droit, tout comme des actions nationales de cyber-sécurité.
Une prise en conscience proactive et chronologique par l’Etat Marocain
Parmi ces mesures phares, on peut citer la ratification, par le parlement marocain, de la convention sur les cyberattaques adoptée en novembre 2001 à Budapest. Celle-ci constitue le premier traité international sur les crimes informatiques et ceux dans l’internet.
On note également l’adoption, depuis 18 ans pratiquement, soit le 11 novembre 2003 de la loi n° 07-03, sur les atteintes aux systèmes de traitement automatisé des données.
Cette loi est le premier texte en droit marocain à s’intéresser aux infractions informatiques et qui sanctionne les infractions des systèmes Informatiques. Elle prévoit, par exemple, un régime pénal pour l’accès frauduleux et pour l’entrave du au fonctionnement d’un système automatisé.
En 2011, le Maroc avait aussi créé des entités chargées de mettre en place tout un arsenal juridico-technique, pour assurer la sécurité des systèmes d’information.
En 2012, le Maroc s’était doté d’une Stratégie Nationale de Cybersécurité et d’une Directive Nationale de la Sécurité des Systèmes d’Information, applicable depuis 2014 aux administrations et aux organismes publics.
Dans le cadre de du renforcement de l’arsenal juridique régissant la cybersécurité, le gouvernement marocain avait décidé le 15 mai 2014, via le décret n°2-13-881, que toutes les activités ayant une relation avec la cryptographie passent sous les auspices de l’Administration de la Défense Nationale (ADN) et plus précisément de la Direction Générale de la Sécurité des Systèmes d’Information.
Le Maroc avait aussi créé un centre d’alerte et de gestion des incidents informatiques (MA-CERT) relevant de l’ADN, sans oublier le rôle de l’Agence Nationale de Réglementation des Télécommunications (ANRT), qui est une Agence, œuvrant en étroite relation avec les fournisseurs d’accès à Internet et les organismes internationaux concernés par la cybersécurité.
L’ADN a également élaboré, en 2016, un décret fixant le dispositif de protection des systèmes d’information sensibles (SIS) des infrastructures d’importance vitale. Ce texte a été complété par l’élaboration, en 2018, d’un arrêté du Chef du Gouvernement fixant les critères d’homologation des prestataires d’audit des SIS des infrastructures d’importance vitale et les modalités de déroulement de l’audit.
Mise à jour complète de l’arsenal juridique
Le droit de la cybersécurité au Maroc a été profondément renforcé et actualisé par la mise en place de la loi n°05-20 en juillet 2020 et le décret n°2-21-406 pris pour son application, qui vient tout juste d’entrer en vigueur (publication au Bulletin Officiel du 9 août 2021).
A rappeler que cette loi vise la mise en place d’un cadre juridique approprié préconisant aux entités concernées un socle minimal de règles et de mesures de sécurité afin d’assurer la fiabilité et la résilience de leurs Systèmes d’Information.
Elle a aussi pour objectifs le développement de la confiance numérique, la digitalisation de l’économie et plus généralement l’assurance de la continuité des activités économiques et sociétales de notre Pays. Le but ultime étant de favoriser le développement d’un écosystème National de cybersécurité.
Objet de la loi 05-20
Ladite loi fixe en particulier :
les règles et les dispositions de sécurité applicables d’une part aux systèmes d’information des administrations de l’Etat, des collectivités territoriales, des établissements et entreprises publics et toute autre personne morale de droit public et, d’autre part, aux infrastructures d’importance vitale ;
les règles et les dispositions de sécurité applicables aux exploitants des réseaux publics de télécommunication, aux fournisseurs d’accès à Internet, aux prestataires de services de cybersécurité, aux prestataires de services numériques et aux éditeurs de plateformes Internet ;
le cadre national de gouvernance de la cybersécurité ;
le cadre de collaboration et d’échange d’informations entre l’autorité nationale de la cybersécurité et les services compétents de l’Etat chargés du traitement des infractions portant atteinte aux systèmes de traitement automatisé des données ;
les concours apportés par l’autorité nationale aux organismes nationaux compétents pour le renforcement de la confiance numérique, le développement de la digitalisation des services fournis par l’Etat et la protection des données à caractère personnel ;
les attributions de l’autorité nationale, notamment en matière de développement de l’expertise nationale, de sensibilisation dans le domaine de la cybersécurité et de renforcement de la coopération avec les organismes nationaux et étrangers.
Quant au décret n° 2-21-406 susvisé, pris pour l’application de la loi n° 05-20, il a pour objet de définir le cadre permettant de garantir l’usage sécurisé de l’espace numérique, gérer les menaces cybernétiques et, in fine, renforcer la confiance numérique. Il vise à définir les mesures de protection des systèmes d’information des entités visées par la loi et des opérateurs privés.
Ainsi, le texte prévoit la mise en place de deux organes de gouvernance. Il s’agit :
– 1/ de «l’Autorité nationale de la cybersécurité», à laquelle a été confiée la mise en œuvre de la stratégie de l’État dans ce domaine. Selon le décret, l’Administration de la Défense nationale (Direction générale de la sécurité des systèmes d’information – DGSSI) est désignée comme autorité nationale de la cybersécurité.
– 2/ du «Comité stratégique de la cybersécurité» chargé d’instaurer un cadre définissant les responsabilités des membres et les mesures relatives à la gestion des crises et les modalités de communication et d’échange des informations.
S’agissant des mesures de protection de la sécurité des systèmes d’information du secteur public, le décret confie à l’autorité gouvernementale chargée de l’Administration de la Défense nationale la mission de :
définir les orientations nationales en matière de sécurité des systèmes d’information et d’instaurer les règles organisationnelles et techniques à l’application desquelles doivent veiller les entités concernées précitées.
mettre en place des outils techniques sur les réseaux publics des communications et des réseaux des fournisseurs des services internet exclusivement, en vue de détecter les événements susceptibles d’influer sur la sécurité des systèmes d’information des clients des opérateurs, des entités et des infrastructures d’importance vitale. A cela s’ajoute la prise de mesures de protection nécessaires pour la préservation et la neutralisation des effets des menaces ou des infractions portant atteinte aux systèmes d’information de leurs clients.
Par ailleurs, en vue de renforcer le secteur national de cybersécurité, ce décret a instauré un système de qualification des prestataires de cybersécurité dans les domaines de détection des incidents, d’analyse, d’investigation et de réaction auxdits incidents. De plus, ce texte définit les conditions à remplir pour l’obtention de cette qualification.
Enfin, les systèmes d’information sensibles des infrastructures d’importance vitale sont soumis à un audit réalisé par l’autorité nationale ou les prestataires d’audit qualifiés.
La formation en cybersécurité
Comme l’application du droit nécessite une qualification et des compétences humaines pointues, capables d’analyser et de comprendre les techniques avancées en matière de cybersécurité, des formations ont été prévues au niveau des universités techniques et des écoles d’ingénieurs comme l’Institut National des Postes et des Télécomunications (INPT) de Rabat. Ces formations sont appelées à s’élargir pour être aussi assurées dans les instituts de formation des magistrats et dans les universités de droit.
A titre d’illustration, dans un tribunal marocain, au Maroc, on n’a pas pu statuer récemment, dans un dossier traitant de la signature électronique (loi n° 53- 05 relative à l’échange électronique de données juridiques), en l’absence d’un expert assermenté en la matière, auprès des tribunaux marocains. Aussi, le succès des actions de cybersécurité passe-t-il par la sensibilisation et l’instauration d’une culture dans ce domaine, au sein de l’administration et au niveau des toutes les entreprises.
Perspectives
En vue de parachever son système de cybersécurité, Il reste pour le Maroc, après sa réintégration au sein de l’Organisation de l’Union Africaine le 30 janvier 2017, de compléter ce dispositif inclusif de sécurité informatique par la ratification de la convention africaine de Malabo en matière de cybersécurité et de protection des données personnelles, adoptée le 27 juin 2014.
Par M. Med Taher SBIHI, lauréat de la faculté de Droit et des sciences économiques de Rabat et du cycle supérieur de gestion de l’ISCAE de Casablanca