Un décret relatif au recours des entités et des infrastructures d’importance vitale (IIV) disposant de données sensibles à des prestataires de services cloud a été publié au Bulletin officiel. Voici les détails et les enjeux de ce nouveau dispositif qui jette les bases de la souveraineté numérique.

Dans un monde où la donnée est une ressource essentielle et particulièrement exposée aux attaques de cyberpirates, le Maroc a décidé de prendre ses responsabilités. Dans l’objectif de renforcer la sécurité de son espace numérique et de garantir sa souveraineté numérique, un décret encadrant le recours aux prestataires de services cloud par les entités et infrastructures d’importance vitale, disposant de systèmes d’information (SI) ou de données sensibles, a été publié dans le dernier Bulletin Officiel (n° 7352).

Ce nouveau cadre instaure des dispositions juridiques visant à renforcer la protection et la résilience des systèmes d’information des administrations de l’État, des collectivités territoriales, des établissements et entreprises publics, ainsi que des infrastructures d’importance vitale, indispensables au maintien des fonctions essentielles de la société.

Lire aussi | Google engage la bataille du cloud contre Microsoft dans l’UE 

Rappelons que cette loi intervient dans le cadre de la stratégie nationale contre les menaces cybernétiques. « Cette initiative vise à renforcer la sécurité du cyberespace marocain en créant un environnement numérique fiable, sécurisé et résilient, capable de soutenir la transformation digitale du pays et d’assurer le bien-être des citoyens », peut-on lire sur le site de la Direction Générale de la Sécurité des Systèmes d’Information (DGSSI).

Élaboré par la DGSSI, ce décret prévoit également la mise en place d’un régime de qualification des prestataires cloud et définit les règles de sélection de ces derniers pour la gestion des SI et des données sensibles, conformément à la loi n° 05-20 relative à la cybersécurité.

« Les responsables desdites entités et infrastructures sont, pour rappel, invités, en application des dispositions de la loi 05-20 et de son décret d’application, à prendre les mesures nécessaires pour protéger leurs actifs informationnels et leurs systèmes d’information, en fonction de leur degré de sensibilité, conformément aux directives et aux référentiels édités par la DGSSI. En outre, l’article 25 de la loi 05-20 précitée stipule que ces responsables doivent aussi recourir à des services, produits ou solutions définis par l’autorité nationale, permettant le renforcement des fonctions de sécurité », précise la DGSSI.

Lire aussi | Oracle inaugurera deux régions de cloud public au Maroc, une première en Afrique du nord

« Cette loi revêt une importance stratégique pour notre pays, car elle va permettre de renforcer la sécurité et la résilience des systèmes d’information de nos établissements vitaux, notamment face aux menaces liées à la cybersécurité et à l’utilisation abusive des données. Au sein de l’OMSN, nous avons toujours plaidé pour l’utilisation d’un cloud souverain, soumis aux lois marocaines, comme base pour relever le défi de la souveraineté numérique, à condition de créer une véritable industrie locale du cloud », explique Mustapha Meloui, président de l’Observatoire Marocain de la Souveraineté Numérique.

Priorité aux prestataires nationaux

Selon l’esprit du décret, les prestataires désignés doivent être constitués sous forme de sociétés de droit marocain et déployer l’ensemble de leurs systèmes d’exploitation et d’administration des services sur le territoire national. « Ce premier niveau de qualification permet au Maroc d’exercer sa juridiction, notamment en matière de cybersécurité, et de contrôler les activités des prestataires cloud qui manipulent des SI sensibles », précise la DGSSI.

Quant au deuxième niveau de qualification, il impose des conditions supplémentaires, d’ordre juridique et technique, lorsque des données sensibles sont concernées. L’objectif est de garantir que ces données, du fait de leur confidentialité, soient traitées sur des infrastructures contrôlées par des sociétés soumises uniquement aux lois marocaines, sans interférence de législations extraterritoriales.

Lire aussi | L’avenir du développement de l’intelligence artificielle et de la robotique : impacts productifs, défis sociétaux et opportunités pour l’Afrique

Toujours selon la DGSSI, « pour tenir compte du niveau actuel de maturité de l’écosystème national des prestataires de services cloud, et en l’absence d’une offre suffisante pour couvrir tous les besoins, une mesure transitoire de deux ans a été prévue ». Cette mesure permet aux entités et IIV de recourir, en l’absence d’une offre nationale, à des prestataires non qualifiés.

« Nous pouvons tous nous féliciter de la publication de ce décret de cloud souverain. Cette nouvelle mesure juridique, impulsée par la DGSSI, confirme que l’enjeu de la souveraineté numérique est pris au sérieux au Maroc. Ce décret s’inscrit également en parfaite cohérence avec la stratégie Maroc Digital 2030, qui considère le cloud comme un catalyseur de la transformation numérique du Royaume et prévoit le développement d’une offre de cloud souverain à destination du secteur public et des organismes d’importance vitale (OIV).

La donnée est donc enfin considérée comme un “actif” à protéger et à valoriser. En termes de vision et d’ambition, nous pouvons considérer que le Maroc est sur la bonne voie. Ce décret peut également être vu comme un signal aux industriels du cloud : nous sommes en train de créer un marché et de structurer une demande pour le cloud souverain. Les opérateurs industriels doivent donc, en retour, préparer une offre adaptée », déclare Hicham Kasraoui, consultant en stratégie et expert à l’Institut Marocain de l’Intelligence Stratégique (IMIS).

De son côté, Omar Benmoussa, Managing Partner de Maltem Academy, affirme : « La nouvelle loi marocaine sur le stockage des données sensibles est une avancée stratégique vers la souveraineté numérique. Elle garantit la sécurité et la maîtrise des données sensibles, tout en renforçant la confiance des acteurs économiques. Cette législation favorise également le développement d’infrastructures cloud locales, mais impose des défis aux entreprises en termes de conformité, cybersécurité et formation. Avec un accompagnement adapté, cette réforme peut moderniser la gestion des données et positionner le Maroc comme un modèle régional en gouvernance numérique. »