EN CE MOMENT

Nador West Med Feuille de route maritime Dessalement Eaux usées Jazzablanca UE-EUROPE Cannabis Verdict CAF Aéroports Barrage Al Wahda AMO Barrages

Cybersécurité d’État : la Défense nationale se dote d’un statut sur mesure pour ses experts

Un nouveau statut encadre désormais les ingénieurs, administrateurs et techniciens affectés à la sécurité des systèmes d’information au sein de l’Administration de la Défense nationale (direction générale de la Sécurité des systèmes d’information DGSSI). Publié au Bulletin officiel du 6 novembre, un décret définit les missions, les grades, les règles de recrutement et les obligations professionnelles de ces effectifs.

Ce texte institue pour la première fois trois corps dédiés – ingénieurs, administrateurs et techniciens – dotés de grilles propres, d’un dispositif de formation continue obligatoire et d’un régime indemnitaire spécifique. Leur mission : sécuriser, superviser et maintenir les infrastructures numériques placées sous la responsabilité de la Défense.

Recrutement dans les disciplines de pointe

Le décret réserve l’accès à ces corps aux titulaires de diplômes spécialisés en cybersécurité, réseaux, cryptographie, cloud, IA, data, développement ou systèmes d’information.

Le département peut élargir cette liste selon les besoins opérationnels. Certaines recrues peuvent être engagées sans concours, sur autorisation du chef du gouvernement, lorsque des compétences critiques doivent être mobilisées rapidement.

Devoir de silence : la grande muette 2.0

Le texte renvoie aux obligations inscrites dans l’article 33 de la loi 54.19 (charte des services publics), qui encadre le comportement et la déontologie des agents publics. Cet article impose :

le respect absolu du devoir de réserve ;
la confidentialité totale des informations, données et documents obtenus dans l’exercice des fonctions ;
la poursuite de cette obligation même après la fin de la fonction ;
la protection active des systèmes et informations sensibles.

On parle de cybersécurité étatique. Ces exigences prennent donc une dimension particulière : les agents interviennent sur des environnements classés, manipulent des données critiques et gèrent des systèmes dont la compromission peut affecter la sécurité nationale.

Les nouveaux agents doivent servir au moins huit années au sein de la DGSSI. Un départ anticipé implique le remboursement, au prorata, d’une fraction de leur dernière rémunération annuelle. Cette obligation s’applique également aux fonctionnaires déjà en activité qui seront intégrés dans le nouveau statut.

Cyberattaques. L’ANCFCC prévoit un audit de sécurité de son système d’information

L’Agence nationale de la conservation foncière et de la cartographie (ANCFCC) a lancé un appel d’offres international pour la mise en œuvre d’un audit de sécurité de son système d’information.

L’annonce publiée le jeudi 19 juin fait savoir que cette prestation vise la mise en conformité de l’Agence avec la directive nationale de la sécurité des systèmes d’information ainsi qu’avec la loi 05-20 relative à la cybersécurité.

Cet appel d’offres intervient après une étude de mise en conformité du système de l’Agence réalisée en 2022 et le contexte actuel de fuites de données foncières ayant affecté la plateforme notariale Tawtik le 2 juin 2025.

Contrairement au test de conformité, l’audit de sécurité permet d’évaluer la robustesse d’un système, de détecter toute trace d’activité malveillante éventuelle et d’identifier le maximum de failles exploitables par une cyberattaque.

Cet audit visera également à vérifier le parfait alignement avec les directives de la Direction générale de la sécurité des systèmes d’information (DGSSI).

Afin d’atteindre cet objectif, le prestataire sélectionné devra effectuer plusieurs tâches, dont l’audit organisationnel, l’audit technique, l’analyse de risques et l’étude BIA (capacité à restaurer les systèmes et les données en cas de défaillance).

Des intrusions par des pirates éthiques pour sécuriser l’ANCFCC

L’audit devra couvrir les systèmes d’information actuellement en fonction au niveau du site central, incluant la Direction de la cartographie ainsi qu’un échantillon de trois services extérieurs qui seront audités.

En premier, il devra réaliser une réévaluation du niveau de maturité du SI et mesurer les écarts avec la norme ISO 27001 et les directives de la DGSSI sur les axes suivants :

Politique et organisation de la sécurité de l’information ;
Sécurité liée aux ressources humaines ;
Sécurités physiques et environnementales ;
Acquisition, développement et maintenance des systèmes d’information ;
Gestion des incidents…

L’audit technique constitue l’élément pivot de cette mission. Il permettra une analyse détaillée de la sécurité du système d’information en identifiant les vulnérabilités et risques associés, incluant les intrusions actives (fraudes, accès non autorisés, interception de données sensibles) ainsi que les menaces virales et automatisées.

Il évaluera également la protection du périmètre réseau contre l’exploitation malveillante des plateformes et les attaques externes (amplification d’attaques, relais de spam, déni de service) et mesurera la robustesse des infrastructures internet au regard des principes fondamentaux de sécurité : confidentialité, intégrité, disponibilité et gestion des autorisations.

Deux types de tests d’intrusion sont prévus pour évaluer la sécurité du système d’information de l’ANCFCC dans le cadre de cet audit technique :

En interne, le prestataire de service devra examiner la sécurité des composants du système d’information. Cela inclut les serveurs et les bases de données, en identifiant leurs vulnérabilités et leurs niveaux de criticité, ainsi que les forces et les faiblesses des dispositifs.
En externe, l’auditeur devra agir comme un pirate éthique de haut niveau technique. Il mènera des tests techniques à distance, sans aucune connaissance préalable de la structure de la plateforme. Son objectif sera d’identifier et d’exploiter les vulnérabilités par des tests et analyses.

Dans le but d’assurer la sécurité des prestations, la réalisation de ces tests d’intrusion est soumise à l’obtention d’une autorisation préalable de l’agence.

De plus, il est impératif que les consultants proposés soient sélectionnés parmi ceux qui sont qualifiés PASSI et dont le nom figure dans le document d’homologation émis par la DGSSI.

À l’issue de l’audit technique, une analyse des risques permettra d’actualiser la cartographie globale des risques de sécurité. Cette analyse devra respecter les normes ISO 27005, ISO 27001 et son annexe ISO 27002.

Son rôle sera aussi d’identifier et de classer les risques, et de proposer les actions pour les atténuer.

Ce qu’il faut retenir

Contrairement à ce que prétend le groupe de pirates à l’origine de la fuite de données de Tawtik, l’ANCFCC n’a à ce jour subi aucune cyberattaque.
L’appel d’offres international lancé par l’institution vise précisément à immuniser au maximum son système d’information contre d’éventuelles attaques.
Face à l’importance croissante des risques cybercriminels, les experts sondés par Médias24 s’accordent unanimement sur la nécessité d’investir dans des audits techniques de manière périodique.
Conformément aux recommandations de la DGSSI, l’audit de sécurité de l’ANCFCC requiert l’application des méthodologies les plus récentes pour se prémunir contre les risques cybercriminels.
Les institutions stratégiques dont dépendent des infrastructures vitales devront se conformer aux directives de la DGSSI.

LIRE AUSSI

https://medias24.com/2025/06/03/apres-les-attaques-il-est-temps-de-changer-notre-approche-de-la-cybersecurite-expert/

https://medias24.com/2025/04/16/ce-que-revele-lattaque-contre-la-cnss-sur-la-cybersecurite-au-maroc-expert/

Après les attaques, il est temps de changer notre approche de la cybersécurité (expert)

Au lendemain de la fuite des données foncières, la question la plus posée est celle de la source de ces données qui ont été divulguées après l’annonce d’un pirate ou d’un groupe de pirates anonyme qui prétend avoir hacké la base de données de l’ANCFCC.

Sollicitée par Médias24, une source sûre nous a dévoilé que la faille venait plutôt de la plateforme des notaires et non pas de celle de l’ANCFCC.

Des milliers de documents ont fuité. Ils comprennent principalement des contrats de vente, des pièces d’identité, des attestations d’enregistrement, des procurations, des donations et des promesses de vente. Ces documents ont été partagés sur deux périodes distinctes.

La première publication survenue après l’annonce de piratage de données, le lundi 2 mai 2025, a permis de divulguer des opérations foncières menées par des personnalités publiques. Ce mardi 3 juin, une seconde divulgation de quelques milliers de documents d’opérations foncières de particuliers signées entre le 27 et le 31 mai 2025, ce qui confirme que l’attaque est très récente.

Alors que l’événement de divulgation des données foncières semble quasiment terminé, il appartient à l’ensemble des institutions marocaines d’augmenter leur vigilance. Toutes nos sources et nos observations nous confirment que c’est le cas.

Contacté par nos soins, Yassir Kazar, expert en cybersécurité et PDG de Yogosha (qui signifie « défenseur » en japonais), une startup française spécialisée dans la mise en relation entre entreprises et hackers éthiques pour tester leurs systèmes informatiques, a analysé pour nous cette cyberattaque qui est loin d’être un cas isolé.

Que s’est-il passé vraiment lors de cette attaque ?

Spécialiste en cybersécurité et en hacking éthique, Yassir Kazar situe cette attaque dans la continuité de celle ayant ciblé la CNSS, opérant selon le même mode opératoire et un timing qui ne laisse pas trop de doute sur son origine. Cette nouvelle offensive survient au lendemain d’une annonce majeure du Royaume-Uni concernant le Sahara.

« Quand on examine le timing de cette fuite de données, on distingue clairement un agenda politique ou géopolitique visant à perturber les communications officielles marocaines », affirme-t-il.

Nous sommes face à un groupe ayant probablement plusieurs cibles potentielles, avec des niveaux de gravité variables

Ce groupe, qui ne peut être qualifié autrement que de cybercriminel, ne mène pas des actions aléatoires. Il s’agit plutôt d’une campagne ciblée, orchestrée non par un individu isolé, mais par un collectif de hackers unis autour d’un objectif commun.

« Nous sommes face à un groupe ayant probablement plusieurs cibles potentielles, avec des niveaux de gravité variables. Leur approche est structurée : ils identifient des sujets sensibles susceptibles de générer des tensions médiatiques », ajoute Yassir Kazar.

Concernant leur méthode d’attaque, similaire à celle employée contre la CNSS, il précise : « Ces attaques se sont très probablement appuyées sur des surfaces d’attaque externes et une combinaison de comptes de connexions récupérés via des infostealers, de failles dans des API ou des interfaces externes ayant permis l’exfiltration des données », estime l’expert.

L’examen post-incident

Au moment où nous rédigions ces lignes, plusieurs attaques ciblaient des multinationales aux quatre coins du monde, malgré leurs systèmes de sécurité avancés. Les cyberattaques sont inévitables, ce qui compte, c’est d’améliorer notre manière d’y répondre.

La première réaction après une attaque est décisive : « Il est essentiel d’éviter toute spéculation hâtive. Bien que des données aient potentiellement fuité, nous devons nous appuyer sur des éléments tangibles : audits techniques, rapports détaillés, analyses de logs, examens de fichiers, études comportementales et horodatages. Ces preuves techniques permettent de valider l’authenticité des données compromises et de reconstituer précisément le déroulé de l’attaque, condition sine qua non pour éviter de reproduire les mêmes erreurs. Cet examen post-incident constitue d’ailleurs un pilier fondamental pour renforcer notre sécurité collective. À l’avenir, ces audits devront devenir une pratique systématique, idéalement menés de manière proactive plutôt qu’en réaction à une attaque », explique Yassir Kazar.

Comment immuniser au maximum les institutions ?

Afin de bâtir une immunité contre ces campagnes de hacking, l’enjeu actuel réside dans la mise en œuvre des dispositifs de la stratégie nationale de cybersécurité 2030. Au moins trois piliers fondamentaux doivent structurer l’approche des organisations marocaines, nous fait savoir Yassir Kazar.

Le premier pilier dépasse la simple sensibilisation : il s’agit d’un véritable transfert de compétences vers l’ensemble des parties prenantes : collaborateurs, équipes techniques, dirigeants et partenaires. Cet entraînement devrait consister à savoir comment répondre à ce genre d’attaques, à les détecter, à les ralentir, à communiquer dessus…

Le deuxième axe exige une intensification des tests réalistes, pentests, bug bounty, red teaming, reflétant les véritables menaces plutôt que de simples exercices de conformité. La résilience implique une refonte des processus : la reprise d’activité, la gestion des backups et la continuité opérationnelle doivent résister aux pires scénarios d’attaque. Sans oublier de colmater les failles révélées par des outils automatiques ou des notes de mises à jour du parc informatique.

Le dernier pilier essentiel pour une cybersécurité robuste repose sur la gouvernance et la communication. En matière de gouvernance, la responsabilité des dirigeants est cruciale. Si le responsable de la sécurité des systèmes d’informations (RSSI) est en première ligne pour rendre des comptes, les PDG et DG doivent prendre et engager leurs responsabilités à présent.

« Tant que les leaders de l’entreprise n’auront pas pleinement intégré que la sécurité est un avantage compétitif et non pas un simple coût, les efforts des équipes opérationnelles resteront limités. Il est absurde d’attendre des équipes terrain qu’elles fassent des miracles si la démarche ne vient pas du sommet. La sécurité doit être initiée par le top management, qui doit montrer l’exemple et s’engager personnellement. Cette vision doit ensuite infuser progressivement à tous les niveaux de l’organisation pour devenir une partie intégrante de sa stratégie, de son fonctionnement et de sa culture », précise M.Kazar, PDG et cofondateur de Yogosha.

Enfin, la communication est une clé pour dissiper la spéculation et la panique.

« Au-delà de la reddition de comptes et de la responsabilité, il est impératif de démystifier la notion de failles de sécurité. Oui, des failles peuvent survenir. L’important est de communiquer en continu lorsque cela se produit. Il faut établir une timeline de communication claire, offrant une visibilité constante sur les investigations en cours et la compréhension de la situation », poursuit l’expert.

« L’objectif n’est ni de minimiser le problème, ni de tomber dans le sensationnalisme. Cette transparence participe à l’effort collectif pour atténuer la panique générale. En effet, dans des moments de crise, le plus difficile est de se retrouver sans explication. Des explications permettent d’apprendre et de s’améliorer. L’absence d’informations, en revanche, laisse place à la spéculation, et la spéculation, génératrice de panique, est toujours une mauvaise conseillère », a conclu Yassir Kazar.

Fuite de données foncières : un audit en cours chez les notaires

Ce mardi 3 juin, il n’y a toujours pas de communication officielle ou de confirmation des allégations de piratage revendiqué par Jabaroot.

Il y a bien eu piratage ? Si oui, quand ? Où réside la faille ?

En attendant des réponses officielles, selon une source notariale sûre, « un audit est en cours au niveau du système Tawtik, utilisé par les notaires ». « Les premières analyses n’ont rien montré pour l’instant », précise notre source.

Selon la même source, cet audit sera clôturé dans les prochaines heures. Les conclusions seront alors livrées via une communication officielle.

Le groupe de hackers, se faisant appeler Jabaroot, revendique un piratage massif de données foncières.

Il s’agit du même nom que celui du groupe de hackers qui avait revendiqué la cyberattaque contre la CNSS.

LIRE AUSSI :

https://medias24.com/2025/06/02/hackers-jabaroot-cyberattaque-ancfcc/

La conservation foncière piratée ? Ce que l’on sait

Plus de 4 téraoctets de données foncières marocaines fuitées dans le Web ? C’est ce que revendique un groupe de hackers qui opère sous le nom de Jabaroot, ce lundi 2 juin, sur le forum darkforums, puis sur Telegram.

À l’heure de la mise en ligne de cet article, ni l’Agence nationale de la conservation foncière, du cadastre et de la cartographie (ANCFCC) ni les représentants des notaires n’ont donné suite à nos sollicitations.

À ce stade, nous ignorons qui se cache exactement derrière cette appellation ou ce groupe. Est-ce une personne ou un groupe de hackers ? Ce même nom a été utilisé par les hackers ayant revendiqué la cyberattaque massive contre la CNSS intervenue en avril dernier.

Les pirates derrière Jabaroot se disent algériens et agissent, affirment-ils, pour « contrecarrer la propagande marocaine » ou « l’ingérence dans les affaires algériennes ».

Ce qu’il est important de noter, c’est le timing des annonces faites par ce groupe de pirates, qui intervient pour la deuxième fois juste après une annonce marocaine majeure sur le dossier du Sahara. Lors de l’annonce de l’attaque sur la CNSS, le 9 avril, les États-Unis venaient de renouveler, la veille, leur position en faveur de la marocanité du Sahara, après l’élection de Trump.

Ce 1er juin, le Royaume-Uni annonce une nouvelle position en faveur de la marocanité du Sahara et que le plan d’autonomie marocain est la base la plus crédible, viable et pragmatique. Le 2 juin, Jabaroot émet donc sa revendication.

Pas d’indication que le piratage est récent

Quand est-ce que le prétendu piratage a eu lieu ? Il n’y a aucune indication précise qui étaye l’hypothèse que la cyberattaque revendiquée soit récente, ni que l’infiltration des données de la conservation foncière ait été effectuée ce lundi.

Selon nos observations, après examen d’un échantillon restreint de documents, toutes les métadonnées ont été supprimées des fichiers PDF.

L’une des hypothèses est que ces données ont été piratées simultanément avec celles de la CNSS. Car, depuis cette attaque, toutes les administrations ont redoublé de vigilance.

D’ailleurs, le 14 avril, l’Agence a annoncé la suspension de ses services électroniques. Contactée par Médias24, une source autorisée nous expliquait alors que la suspension visait à « réaliser des tests additionnels de cybersécurité et à déployer des dispositifs supplémentaires de sécurité ».

Que contiennent les données prétendument fuitées par Jabaroot ?

Les hackers affirment détenir plus de 4 To de données, incluant des certificats fonciers, des actes de vente et d’achat, des documents d’information, des relevés bancaires, ainsi que diverses pièces juridiques et administratives.

D’après la description qu’ils ont donnée, ils ont fait fuiter un dossier contenant :

10.000 certificats fonciers au format PDF (sur la base de 10 millions de titres fonciers piratés)
20.000 documents variés (actes de vente/achat, documents d’état civil, pièces d’identité/passeports, documents bancaires, etc.) (sur la base de 4 millions de documents piratés)
Un dossier contenant des documents qu’ils attribuent à certains hauts responsables marocains.

Le même procédé qu’avec les données de la CNSS est observé. Des documents attribués à des personnalités publiques marocaines, non authentifiés, ont fait l’objet d’une divulgation sur le Net.

Dans l’attente d’un communiqué officiel de l’autorité gouvernementale et de l’ANCFCC, rien ne prouve que ces données proviennent de la base de données directe de l’Agence.

Le Maroc se dote d’un « centre d’excellence en cybersécurité »

Cette initiative stratégique a été formalisée par un arrêté conjoint du ministre de l’Enseignement supérieur, de la recherche scientifique et de l’innovation, Azzeddine El Midaoui, et de la ministre de l’Économie et des finances, Nadia Fettah, publié au Bulletin officiel daté du 26 mai 2025.

Le Centre d’innovation en cybersécurité (CIC) est, selon l’arrêté, le fruit d’un partenariat entre plusieurs entités étatiques clés et le monde académique. Les membres fondateurs incluent le ministre de l’Enseignement supérieur, de la recherche scientifique et de l’innovation, le ministre délégué auprès du chef du gouvernement chargé de l’Administration de la défense nationale, le ministre délégué auprès du chef du gouvernement chargé de la Transition numérique et de la réforme de l’administration, le ministre en charge du Budget ainsi que l’Université Mohammed V de Rabat.

Les missions du nouveau centre

Le CIC, constitué en tant que groupement d’intérêt public (GIP), aura pour missions principales de :

– renforcer la recherche, la formation et l’innovation dans le domaine de la cybersécurité, en mutualisant les ressources nécessaires ;

– promouvoir la recherche et l’innovation en cybersécurité en collaboration étroite avec les acteurs académiques et socio-économiques, tant publics que privés ;

– contribuer activement au développement des connaissances et des technologies avancées en matière de sécurité cybernétique ;

– établir des partenariats nationaux et internationaux dans le domaine de la recherche en cybersécurité ;

– encourager l’esprit d’entreprise et soutenir les start-up innovantes spécialisées dans la cybersécurité.

Le siège du Centre d’innovation en cybersécurité sera hébergé au sein de l’École nationale supérieure d’informatique et d’analyse des systèmes (ENSIAS), relevant de l’université Mohammed V, située sur le boulevard Mohammed Ben Abdallah Regragui à Rabat.

Le centre est créé pour une durée de 40 ans, renouvelable, et ses locaux sont mis à disposition par l’État pour toute la durée de son existence, conclut l’arrêté.

La création de ce centre s’inscrit dans une volonté nationale de développer une expertise pointue et de renforcer la résilience du Maroc face aux menaces cybernétiques croissantes, tout en stimulant l’innovation et la création d’emplois dans un secteur d’avenir.

Cybersécurité : le secteur public renforce ses défenses face aux nouvelles menaces

Plusieurs administrations publiques marocaines, conscientes des nouveaux enjeux de la cybersécurité, intensifient leurs investissements dans des infrastructures informatiques performantes et des solutions de sécurité homologuées à même de répondre aux multiples défis.

Depuis 2019, nous avons identifié 252 marchés publics relatifs à la cybersécurité. Au moins 17 marchés ont été lancés depuis la dernière attaque contre la CNSS dont des mises à jour de logiciels (étape loin d’être anodine); des audits et scans de vulnérabilités ; l’acquisition de solutions d’authentification fortes…

C’est dans ce contexte que le ministère des Affaires étrangères de la Coopération africaine et des Marocains résidant à l’étranger a lancé dernièrement un appel d’offres pour le renouvellement de sa solution antivirus.

Cette initiative fait partie d’une politique globale de modernisation de la cybersécurité, en conformité avec les normes internationales et les recommandations de la Direction générale de la sécurité des systèmes d’information (DGSSI).

Le marché en question a été attribué à un prestataire certifié PASSI (prestataire d’audit de la sécurité des systèmes d’information qualifié), garantissant ainsi une expertise reconnue par les autorités nationales, le respect des normes de sécurité les plus rigoureuses, une conformité stricte avec le cadre réglementaire marocain et des compétences techniques avérées dans le domaine.

Obéissant à des critères de choix rigoureux, cette initiative intervient dans le cadre des efforts continus du ministère des Affaires étrangères de la coopération africaine et des Marocains résidant à l’étranger, visant à protéger les données sensibles, à garantir la continuité des services publics, à renforcer la confiance des citoyens dans les services numériques et à s’adapter à l’évolution des cyberrisques et à faire face aux défis du numérique.

Cybersécurité. L’Office des changes va soumettre son système d’information à une expertise technique

Après l’attaque qui a visé la Caisse nationale de sécurité sociale (CNSS), l’Office des changes a décidé de soumettre son système d’information à une expertise technique par un prestataire externe.

« Cette prestation consiste en la réalisation des audits techniques et des tests d’intrusion pour vérifier la présence de vulnérabilités au niveau des systèmes d’information de l’Office des changes, puis de vérifier leur exploitabilité sur l’ensemble des surfaces d’attaques internes et externes », lit-on dans un avis d’achat lancé par l’Office.

Ces prestations, selon la même source, ont pour objectif l’identification de l’ensemble des failles techniques et des vulnérabilités pouvant être exploitées accidentellement ou volontairement pour corrompre la disponibilité, l’intégrité ou la confidentialité des actifs SI de l’Office des changes, puis de réaliser un ensemble de tentatives d’exploitation desdites vulnérabilités et failles découvertes dans l’objectif de faire apparaître les risques potentiels conséquents d’intrusions actives manuelles ou automatisées (tentatives de fraude, accès et manipulation illicites de données, interception de données critiques, arrêt de services SI, saturations de réseau, …) pouvant porter atteinte à la sécurité des systèmes d’information.

« Ces tests d’intrusions permettront ainsi à l’Office des changes d’évaluer l’herméticité des frontières du réseau, contre les tentatives d’attaques internes et/ou externes, puis d’apprécier la résilience des systèmes d’information, la robustesse des mesures de sécurité déployées, ainsi que la capacité desdites mesures à préserver les aspects de confidentialité, d’intégrité, de disponibilité et d’autorisation au niveau des systèmes d’information de l’Office des changes », précise l’organisme public.

Ainsi, les principaux objectifs de cette mission sont :

Évaluer le niveau de sécurité actuel du SI ;
Évaluer le degré d’exposition du SI à Internet par rapport aux dernières vagues d’attaques ;
Identifier les failles et les vulnérabilités existantes au niveau des systèmes, des réseaux et des applicatifs de l’Office des changes ;
Analyser les menaces internes et externes ;
Déterminer les risques cyber auxquels l’Office des changes est exposé ;
Proposer un plan d’actions concret et priorisé.

« Le prestataire devra prévoir tous les travaux nécessaires à la parfaite réalisation de la prestation conformément aux règles de l’art et aux directives de l’autorité nationale DGSSI », précise l’Office des changes.

L’équipe qui se chargera de ces travaux doit justifier d’un bac+5 en informatique ou équivalent pour chacun de ses membres, en plus d’une expérience de 5 ans dans le domaine de la cybersécurité.

Cybersécurité. Deloitte Morocco Cyber Center et l’université d’Al Akhawayn s’allient pour renforcer la coopération académique

L’université Al Akhawayn d’Ifrane et le Deloitte Morocco Cyber Center (DMCC), centre d’expertise marocain en cybersécurité affilié au réseau mondial Deloitte, ont signé à Marrakech en marge du Gitex Africa 2025 un accord-cadre de coopération. Ce partenariat stratégique vise à renforcer les synergies entre monde académique et professionnel autour des enjeux cruciaux de la cybersécurité.

« La cybersécurité, au cœur des transformations numériques, constitue aujourd’hui un enjeu stratégique pour l’enseignement supérieur », déclare Dr Amine Bensaid, président de l’université Al Akhawayn à Ifrane. Et d’ajouter : « Ce partenariat avec Deloitte Moroccan Cyber Center reflète notre volonté de renforcer notre ancrage dans l’écosystème professionnel et d’anticiper les besoins croissants en compétences spécialisées ».

À travers ce partenariat, Deloitte réaffirme à travers ce partenariat son engagement en faveur de la formation, de l’innovation et du développement des talents dans le numérique. Imade Elbaraka, Managing Partner Cyber Deloitte France et Afrique francophone, également directeur général de DMCC déclare pour sa part : « Face à la complexité croissante des risques cyber et aux défis qu’ils représentent, il est impératif de disposer d’un vivier solide de talents marocains et africains. C’est pourquoi nous investissons activement dans le développement des compétences, l’accompagnement des jeunes ingénieurs et la création d’un écosystème de confiance autour de la sécurité numérique ». Il précise : « Nous sommes fiers de concrétiser cette initiative aux côtés d’une université de référence telle qu’Al Akhawayn. »

Développement d’une expertise pointue

Ce partenariat, d’une durée initiale de trois ans, renouvelable, se concentre sur quatre axes majeurs :

La collaboration académique. Deloitte Morocco Cyber Center mettra à disposition ses experts pour intervenir dans la conception et la délivrance de cours, le mentorat ainsi que le partage de connaissances. Une contribution qui soutiendra la filière de spécialisation en cybersécurité et le programme de Master de l’université Al Akhawayn.
Le développement des talents. Les étudiants et diplômés d’AUI pourront bénéficier d’un accès prioritaire aux stages et opportunités d’emploi au sein du DMCC. Les deux partenaires envisagent également de créer une certification conjointe visant à renforcer l’employabilité des étudiants.
L’engagement communautaire. L’université et Deloitte Morocco Cyber Center coorganiseront des événements tels que les Cybersecurity Days. Le but est de resserrer les liens entre l’univers académique et les acteurs du secteur, tout en promouvant une culture partagée de la cybersécurité.
La recherche et l’innovation. Les deux partenaires vont s’unir pour soutenir la recherche doctorale et développer ensemble publications, outils et cadres de référence dans le domaine de la cybersécurité.

Ce partenariat constitue un cadre opérationnel solide permettant aux équipes de l’AUI et du DMCC de développer ensemble une expertise pointue et une palette élargie de compétences techniques, organisationnelles et stratégiques.

Incertitudes sur le financement du programme CVE : quelles conséquences pour la cybersécurité mondiale et marocaine ?

Parmi les deux programmes (CVE et CWE), le CVE est considéré comme le plus important. Il est géré par MITRE, avec un financement assuré par la Division nationale de cybersécurité relevant du Département de la Sécurité intérieure des États-Unis. Ce programme occupe une place centrale en garantissant une approche normalisée, précise et claire dans la classification et l’échange d’informations sur les vulnérabilités de sécurité.

Dans le même sens, Médias24 a sollicité Badr Bellaj, expert en sécurité des systèmes distribués, pour apporter des clarifications sur l’impact potentiel d’une telle rupture sur la cybersécurité internationale et aussi marocaine.

Selon Bellaj, le CVE est un système d’identifiants standardisés pour les failles de sécurité. « Il permet aux chercheurs, éditeurs et défenseurs de cybersécurité de parler un langage commun. Il joue un rôle clé pour détecter, documenter et corriger efficacement les vulnérabilités dans les téléphones, ordinateurs et services en ligne », indique-t-il.

Ainsi, il y a lieu de s’interroger sur les risques que les entreprises, administrations et citoyens encourraient si la base CVE cessait de fonctionner. Pour Badr Bellaj, un tel arrêt aurait des conséquences néfastes.

« Un arrêt de la base entraînerait une perte de coordination entre chercheurs, fournisseurs et gouvernements, des délais dans la correction des failles, une augmentation du risque de cyberattaques, ainsi qu’une vulnérabilité accrue des infrastructures critiques (santé, transport, énergie) », précise notre interlocuteur.

Ainsi, on peut se demander si un antivirus ou une mise à jour de sécurité peut réellement protéger en l’absence du système CVE. Badr Bellaj indique que cela serait inefficace.

« Pas efficacement. Les antivirus et systèmes de patching utilisent les identifiants CVE pour reconnaître et corriger les failles. Sans ce socle commun, la détection serait moins fiable, les correctifs plus lents, et la protection des utilisateurs affaiblie », précise-t-il.

Qu’en est-il du Maroc ?

Selon notre interlocuteur, le Maroc dépend fortement des alertes du programme CVE. « Le Maroc, confronté à une augmentation significative des cyberattaques, dépend fortement des alertes internationales sur les vulnérabilités pour protéger ses infrastructures critiques. Dans ce contexte, le maCERT, en tant que centre national de veille, de détection et de réponse aux incidents informatiques, joue un rôle central dans la cybersécurité du pays. Cependant, l’incertitude entourant le financement du programme CVE pourrait compromettre la capacité du Maroc à détecter et à répondre rapidement aux menaces émergentes. Le maCERT pourrait ainsi être confronté à des défis accrus pour maintenir une veille efficace et coordonner les réponses aux incidents », explique-t-il.

« Bien que le pays ait récemment renforcé sa posture avec la Stratégie nationale de cybersécurité 2030, l’efficacité de cette politique repose en partie sur un accès continu à des données fiables sur les vulnérabilités, telles que celles fournies par le système CVE. Il est donc essentiel de renforcer les capacités du maCERT et de diversifier les sources d’information pour garantir la résilience de la cybersécurité nationale », poursuit Badr Bellaj.

Alors, si tel est le cas et que le programme CVE venait à cesser ses fonctions, existerait-il un plan B ? Dans ce sens, Badr Bellaj souligne que l’absence de solution alternative fiable à court terme renforcerait l’incertitude et l’exposition aux menaces pour l’ensemble de l’écosystème numérique mondial.

« Face au risque de coupure de financement, une CVE Foundation indépendante est en cours de création. Elle pourrait à terme assurer la continuité du service avec le soutien de grands acteurs comme Apple, mais son financement et sa gouvernance restent flous. Pour l’instant, le gouvernement américain a prolongé le financement de 11 mois, ce qui donne un sursis… mais pas de garantie durable », clarifie M. Bellaj.

Une telle situation est révélatrice d’une fragilité structurelle dans l’écosystème de cybersécurité mondial. « Cette situation montre à quel point l’écosystème mondial repose sur des structures centralisées, dépendantes de décisions politiques nationales. Le cas du CVE est un signal d’alarme sur la nécessité d’une gouvernance plus résiliente et internationale pour les outils critiques de cybersécurité », conclut-il.

Le forum à l’origine des fuites de la CNSS hors ligne : panne technique ou honeypot créé par le FBI ?

Le fameux forum où ont été publiées pour la première fois les données de la CNSS par le soi-disant « Jabaroot » est inaccessible depuis plus de vingt-quatre heures, à l’heure où nous mettons en ligne.

Cette interruption est assez intrigante par rapport au timing du leak de la CNSS. Est-ce une interruption momentanée, une cyberattaque, une saisie par une autorité, ou bien le site aurait-il été, dès le début, un « honeypot » créé par le FBI ? Pour le moment, le doute laisse place à plusieurs hypothèses.

Un honeypot est un « site contrôlé secrètement par une autorité (comme le FBI), qui se fait passer pour une plateforme de hackers, dans le but d’attirer des cybercriminels, de surveiller leurs activités et de recueillir des preuves contre eux ».

Rappelons que ce forum a déjà fait parler de lui à maintes reprises. Le 15 mai 2024, le FBI avait saisi le forum BreachForums sur le Web classique et sur le deepXeb, à la suite d’une fuite de données d’Europol. Malgré cette saisie, le forum a revu le jour avec un nouveau nom de domaine en quelques semaines.

Il convient également de rappeler que le Maroc entretient de bonnes relations avec le FBI. En février 2023, son directeur avait même été reçu par le directeur général de la Sûreté nationale, Abdellatif Hammouchi. Les deux organismes collaborent aussi dans le cadre d’arrestations conjointes de terroristes.

Pour le moment, ni les modérateurs ni le propriétaire n’ont donné signe de vie ou communiqué sur le sujet, laissant les curieux dans l’incertitude.

Cybersécurité. Comprendre les risques, les signes d’alerte et les moyens de riposte (expert)

La récente attaque informatique ayant visé le ministère de l’Inclusion économique, de la petite entreprise, de l’emploi et des compétences (MIEPEEC), ainsi que la Caisse nationale de sécurité sociale (CNSS), aurait compromis les données personnelles de près de 1,9 million de Marocains.

Un tel événement rappelle que la cybersécurité n’est plus un luxe ni un chantier à remettre à plus tard : elle doit désormais figurer parmi les priorités absolues, aussi bien pour les administrations que pour les entreprises. Cela suppose des investissements ciblés, des dispositifs préventifs solides et un plan de réponse post-incident rigoureux.

Dans ce contexte, Médias24 a recueilli le témoignage d’Anas Chanaa, expert en cybersécurité, spécialisé dans l’analyse de malwares, la cryptographie, et la protection des systèmes critiques. Il est également cofondateur et PDG de Nucleon Security, une entreprise qui propose une plateforme de cybersécurité innovante basée sur l’intelligence artificielle permettant de prévenir les attaques et d’assurer la résilience des entreprises et organisation de toutes tailles.

Selon notre interlocuteur, les administrations et les entreprises sont exposées à une diversité d’attaques informatiques, mais le phishing reste la technique la plus couramment utilisée.

« Aujourd’hui, les entreprises et les administrations sont surtout ciblées par des attaques de type phishing. Ces attaques consistent à envoyer des emails qui semblent venir d’un client, d’un fournisseur ou d’un service officiel, dans le but de tromper l’utilisateur. En ouvrant une pièce jointe piégée ou en cliquant sur un lien malveillant, la victime peut sans le savoir déclencher un rançongiciel (ransomware) ou permettre à un pirate de s’introduire dans le système. Les cybercriminels ciblent aussi directement les systèmes informatiques en exploitant des failles techniques, comme des serveurs mal configurés ou des logiciels non mis à jour », indique-t-il.Les hackers misent sur l’erreur humaine comme principale porte d’entrée pour infiltrer un système informatiqueConcernant les vecteurs techniques par lesquels les hackers parviennent à infiltrer un système d’information, Anas Chanaa insiste sur le facteur humain, qu’il considère comme la principale faille exploitée par les cybercriminels.

« La porte d’entrée la plus courante reste l’email avec pièce jointe piégée. Ces fichiers peuvent contenir des programmes malveillants conçus pour voler des informations confidentielles ou installer discrètement un ransomware. Les hackers utilisent aussi des failles techniques dans des serveurs connectés à Internet ou mal protégés, ce qui leur permet d’accéder à distance au système de l’entreprise. Dans tous les cas, ils misent beaucoup sur l’erreur humaine, car il suffit d’un clic malheureux pour qu’une attaque réussisse. C’est pourquoi il est important d’avoir des outils capables de scanner les pièces jointes avant ouverture, afin de détecter et bloquer les fichiers suspects automatiquement », souligne notre interlocuteur.

Détecter une cyberattaque : les signes qui doivent alerter

Il est essentiel de pouvoir détecter rapidement, et idéalement en temps réel, qu’on est victime d’une cyberattaque ou en cours d’intrusion. Pour établir ce diagnostic, voici les signes à surveiller de près.

« Certains signes doivent mettre en alerte : des ordinateurs qui deviennent anormalement lents, des fichiers inaccessibles ou chiffrés, des comptes utilisateurs qui ne fonctionnent plus, ou encore l’apparition de messages inhabituels à l’écran. D’autres fois, ce sont des emails envoyés automatiquement depuis des adresses internes, ou des comportements étranges sur le réseau qui peuvent signaler un problème. Il est donc essentiel de surveiller son système en continu pour repérer ces signaux, et pouvoir réagir avant qu’il ne soit trop tard », insiste-t-il.

Dès qu’une attaque est repérée, la priorité absolue, insiste notre source, est de couper sans délai la connexion des appareils au réseau pour limiter la propagation.

« En cas de suspicion d’attaque, le premier réflexe est de déconnecter les machines concernées du réseau pour éviter la propagation. Il ne faut surtout pas redémarrer les ordinateurs ni tenter de supprimer les fichiers suspects, car cela peut aggraver la situation ou effacer des éléments utiles à l’analyse. Il faut ensuite prévenir les équipes techniques ou le prestataire informatique, et conserver tous les éléments techniques liés à l’incident. Il est aussi recommandé d’informer les autorités compétentes, comme la CNDP ou la DGSSI, notamment si l’attaque touche à des données personnelles ou à des systèmes critiques. Une entreprise bien préparée pourra également activer une fonction de rollback via son EDR (Endpoint Detection and Response), ce qui permet en un clic de restaurer les fichiers et les machines dans l’état exact où ils étaient avant l’attaque ».

Antivirus, EDR, double authentification… Quels outils pour se protéger efficacement ?

Alors, comment se protéger ? Quels dispositifs de sécurité mettre en place, et sont-ils vraiment efficaces ? Selon Anas Chanaa, le premier outil à déployer est une solution de type EDR.

« Contrairement à un antivirus classique, l’EDR surveille en temps réel ce qu’il se passe sur chaque poste de travail. Il est capable de détecter des comportements anormaux, d’arrêter une attaque en cours, et surtout de proposer une fonction de rollback, qui permet de revenir en arrière automatiquement si une machine a été compromise. C’est une sorte de “sauvegarde intelligente” qui peut sauver une entreprise de la paralysie totale ».

« En complément, il faut activer la double authentification, effectuer des sauvegardes régulières déconnectées, et utiliser des solutions de filtrage des emails capables d’analyser les pièces jointes et de bloquer les fichiers suspects avant qu’ils n’atteignent l’utilisateur. Ce sont des protections simples, souvent peu coûteuses, mais très efficaces si elles sont bien combinées », poursuit notre interlocuteur.

Aujourd’hui, la plupart des ordinateurs sont équipés d’un antivirus à jour, capable d’effectuer des analyses régulières. Pourtant, les attaques persistent, même avec des solutions payantes et constamment mises à jour. Ces outils ne suffisent-ils donc pas à nous protéger ? Pour notre expert, la réponse est catégorique.En 2025, un simple antivirus ne suffit plus à assurer la sécurité d’une entreprise« Non, un antivirus seul ne suffit plus aujourd’hui. Ces logiciels se basent sur des listes de virus connus, mais les hackers utilisent désormais des techniques qui changent sans cesse pour contourner ces protections classiques. La majorité des ransomwares récents sont capables de passer sous le radar des antivirus. C’est pourquoi les entreprises doivent évoluer vers des solutions plus intelligentes comme les EDR, qui ne se contentent pas de bloquer un virus connu, mais analysent l’ensemble des comportements suspects et permettent une réaction rapide, voire une restauration automatique en cas de problème », précise Anas Chanaa.

« Les cybermenaces ne cessent d’évoluer, et aucune entreprise, quelle que soit sa taille, n’est à l’abri. En revanche, il existe aujourd’hui des moyens concrets, accessibles et efficaces pour limiter les risques. Une stratégie de cybersécurité ne repose pas uniquement sur la technologie, mais aussi sur la vigilance humaine, la formation et la préparation. En combinant des outils modernes comme les EDR, des sauvegardes bien pensées et une culture interne de la cybersécurité, il est possible de faire face, de résister et de rebondir après une attaque. L’enjeu est vital pour la continuité de toute activité professionnelle dans un monde de plus en plus connecté », conclut le PDG de Nucleon Security.