Cybersécurité: de nouvelles règles pour tout prestataire de services numériques

Illico et sans tapage. C'est que le texte est porté par la grande muette. Le projet de loi sur la cybersécurité a été adopté le mardi 14 juillet par la Chambre des représentants (à l'unanimité), seulement quatre jours après son dépôt par le gouvernement. Il avait été préalablement validé lors d’un Conseil des ministres tenu le 6 juillet.

Un texte fondateur, le premier du genre dans le corpus législatif marocain. C’est le résultat d’une stratégie actée en 2011. L’initiateur du projet, le ministère délégué à la Défense, évoque une loi motivée par "l’utilisation croissante des technologies de l’information et des communications par les gouvernements, les sociétés, les institutions et les individus". Son ambition: "garantir l’usage sécurisé de l’espace numérique", gérer "les menaces cybernétiques" et, in fine, renforcer "la confiance numérique".

Le texte verra naitre deux institutions clé:

• La "commission stratégique de cybersécurité". Elle se chargera, entre autres, de tracer les grandes orientations de l’Etat en la matière. Cette commission comportera elle-même un comité pour la "gestion des crises et événements graves de cybersécurité".
• "L’Autorité nationale de la cybersécurité". Le terme "autorité" n’est pas anodin. Il sous-tend le rôle opérationnel, voire régalien, qui sera dévolu à cette entité. Car elle aura pour mission d’ "exécuter" lesdites orientations. Ses "agents assermentés" pourront procéder à des enquêtes techniques pour lutter contre toute "attaque électronique" visant les systèmes informatiques et portant atteinte aux "fonctions stratégiques de la société ou de la santé, ou de la sécurité ou au développement économique ou social".

La future loi n’a pas pour vocation d’incriminer les auteurs de "crimes cybernétiques". Ceux-ci tombent, notamment, sous le coup de sanctions déjà prévues par le code pénal. Le texte pose plutôt les règles de prévention et de riposte techniques à la cybercriminalité.

A quoi ressemblent les futures règles de sécurité? Et qui sont les entités concernées?

Dès lors qu’ils fournissent "des services numériques" ou manient des données par cette voie, administrations, collectivités territoriales, établissements et entreprises publiques ainsi que toute autre personne morale de droit public seront astreints à respecter une série de normes de sécurité. Tout comme les "exploitants des réseaux de télécommunication, fournisseurs de services internet, de services de cybersécurité et des prestations numériques".

Des normes de sécurité concerneront également les "infrastructures d’importance stratégique", dont la liste sera fixée par secteur. Cette liste restera confidentielle et sera périodiquement mise à jour, sans dépasser un délai de deux ans.

Ces instances devront "exécuter les mesures techniques et organisationnelles pour gérer les risques cybernétiques", et éviter "les incidents susceptibles d’affecter les systèmes informatiques". L’Autorité nationale de la cybersécurité doit être notifiée de tout incident de ce genre.

Par ailleurs, chaque instance devra désigner son responsable de la sécurité informatique. Il sera l’interlocuteur officiel de l’Autorité.

Avant de fournir des services numériques à autrui, les instances concernées doivent auditer leurs systèmes informatiques. Cet audit doit être périodique et régulier auprès d’auditeurs habilités. Le recours à des auditeurs non habilités sera passible de sanctions pénales visant le responsable de l’instance (amende atteignant 400.000 DH, avec possibilité de sanctions plus sévères).

Elles seront également tenues de classer leurs "actifs" et "systèmes" informatiques selon leurs niveaux de "sensibilité". Leur protection doit être proportionnelle à cette sensibilité. Un guide de classification sera contenu dans un texte réglementaire.

Les données sensibles doivent être "exclusivement" hébergées à l’intérieur du territoire national. Le responsable d’une instance qui contrevient à cette règle risque une amende pouvant atteindre 400.000 DH, sans préjudice de sanctions plus sévères.

Dès qu’elle prend connaissance d’un incident affectant la sécurité ou la continuité de son système informatique, l’instance devra alerter sans délai l’autorité compétente. Elle doit également dresser un plan garantissant la continuité ou la reprise des activités, contenant les alternatives aptes à neutraliser l’effet de leur interruption ainsi que la protection des fonctions "importantes et sensibles" contre les effets de l’incident cybernétique.

Quid des opérateurs de télécommunication, fournisseurs de services internet, etc.? Ces derniers doivent également prendre toutes les dispositions techniques afin de limiter le "risque de cybersécurité", tout en informant leurs clients des "vulnérabilités" affectant leurs systèmes ou des "violations qui peuvent les atteindre".

En cas d’incident de cybersécurité, ils seront tenus de "préserver les données techniques" permettant d’en déterminer l’origine des incidents. Ces données doivent être gardées pour une durée d’une année, modifiable par décret. Contrevenir à cette règle sera, là aussi, passible de sanctions.

Les agents de l’autorité nationale de cybersécruité peuvent recueillir et analyser les données techniques de ces opérateurs, et ce pour garantir la sécurité de leurs systèmes et infrastructures stratégiques. Toute autre forme d’exploitation est proscrite.