La digitalisation publique au Maroc : une ambition forte
Le Maroc a fait de la transformation numérique de l'administration une priorité stratégique. Le programme « Maroc Digital 2030 » vise à dématérialiser la majorité des services publics : état civil, impôts, sécurité sociale, justice, éducation, santé. Des plateformes comme Idarati (portail national des services en ligne), le portail de la CNSS, les services en ligne de la DGI (Direction Générale des Impôts) et la DGSN témoignent de cette transformation accélérée.
Mais cette digitalisation expose les systèmes informatiques de l'État à des cybermenaces croissantes. L'année 2025 a été marquée par plusieurs incidents majeurs qui ont révélé les vulnérabilités de l'infrastructure numérique publique marocaine.
Les cyberattaques contre les institutions marocaines en 2025
La cyberattaque de la CNSS : un tournant
La cyberattaque de la CNSS en avril 2025 a constitué un électrochoc pour le Maroc. La fuite de données de 2 millions d'affiliés a révélé des failles dans la protection d'une des institutions les plus critiques du pays. Cet incident a mis en lumière l'urgence de renforcer la cybersécurité de toutes les administrations publiques.
La vague d'attaques de mars 2025
Avant même la CNSS, une vague de cyberattaques coordonnées en mars 2025 avait ciblé plusieurs institutions publiques marocaines, dont la CNDP elle-même. Ces attaques, souvent attribuées à des groupes hacktivistes dans un contexte géopolitique tendu, ont défiguré des sites web officiels et exposé des données administratives.
Le bilan de la DGSSI
La DGSSI a traité 879 incidents de cybersécurité ciblant les systèmes d'information des administrations marocaines en 2025, avec une tendance à la hausse par rapport aux années précédentes. Ces chiffres ne reflètent que les incidents détectés et signalés — la réalité est probablement plus importante.
Les défis spécifiques du secteur public marocain
Des systèmes hérités et obsolètes
De nombreuses administrations marocaines fonctionnent encore avec des systèmes d'information anciens développés il y a 10 ou 15 ans sans prise en compte des standards de sécurité modernes. La migration vers des systèmes actualisés est coûteuse et complexe, créant une période de vulnérabilité pendant la transition.
Un déficit de compétences cyber
Le secteur public marocain peine à attirer et retenir les talents en cybersécurité, concurrencé par le secteur privé qui offre des salaires significativement supérieurs. Le statut spécial lancé par la DGSSI en 2025 vise à corriger cette situation, mais le déficit reste important.
La surface d'attaque étendue
La digitalisation multiplie les points d'entrée pour les attaquants : portails web, API, applications mobiles, systèmes de paiement en ligne, interconnexions entre administrations. Chaque nouveau service numérique augmente la surface d'attaque si les contrôles de sécurité ne suivent pas le rythme du déploiement.
Les leviers de renforcement
Application rigoureuse de la DNSSI
La DNSSI fournit un cadre solide pour la sécurisation des systèmes d'information publics. Son application rigoureuse et homogène à travers toutes les administrations est la première priorité. Cela implique des audits réguliers de conformité, des budgets dédiés à la cybersécurité et une gouvernance claire au sein de chaque ministère.
SOC mutualisé pour l'administration
La création de SOC mutualisés permettrait aux petites administrations de bénéficier d'une surveillance de sécurité 24/7 qu'elles ne peuvent pas se permettre individuellement. Le maCERT joue déjà partiellement ce rôle, mais un renforcement de ses capacités est nécessaire pour couvrir l'ensemble des systèmes publics.
Sécurisation des développements applicatifs
Les plateformes de e-gouvernement doivent être développées selon les principes du Security by Design et DevSecOps. Les tests d'intrusion avant chaque mise en production doivent devenir systématiques. Les API exposées doivent être sécurisées avec des mécanismes d'authentification robustes et des contrôles d'accès granulaires.
L'accompagnement Ealison pour le secteur public
Ealison accompagne les administrations et établissements publics marocains dans leur sécurisation numérique : audits de conformité DNSSI, tests d'intrusion des plateformes de e-gouvernement, formation des équipes IT publiques et accompagnement à la réponse à incident. La sécurité des services publics numériques est un enjeu de confiance pour tous les citoyens marocains.
Questions fréquentes
Les services publics en ligne au Maroc sont-ils sécurisés ?
Le niveau de sécurité varie considérablement d'une administration à l'autre. La DGSSI travaille à harmoniser les standards via la DNSSI, mais des vulnérabilités persistent. Les incidents de 2025 (CNSS, vague d'attaques de mars) montrent que des progrès significatifs restent nécessaires dans la sécurisation de l'infrastructure numérique publique.
Mes données sont-elles protégées quand j'utilise les services publics en ligne ?
La loi 09-08 et la CNDP encadrent la protection de vos données personnelles traitées par les administrations. Cependant, les fuites récentes (CNSS) montrent que la mise en œuvre effective de cette protection reste un défi. En tant qu'usager, vérifiez toujours que vous êtes sur le site officiel de l'administration et utilisez des mots de passe robustes.
Qui protège les systèmes informatiques de l'État marocain ?
La DGSSI (Direction Générale de la Sécurité des Systèmes d'Information) et son maCERT sont les principaux acteurs de la cybersécurité de l'État. La DGSSI définit la politique de sécurité nationale (DNSSI), émet des alertes et accompagne les administrations dans leur sécurisation.
Le Maroc a-t-il une stratégie nationale de cybersécurité ?
Oui, le Maroc a adopté une Stratégie Nationale de Cybersécurité pilotée par la DGSSI. Elle couvre la protection des infrastructures critiques, le renforcement du cadre juridique, le développement des compétences et la coopération internationale. La DNSSI est le principal instrument réglementaire de cette stratégie.
Besoin d'aide en cybersécurité ?
Nos experts Ealison vous accompagnent pour protéger votre entreprise et vos données personnelles au Maroc.
Contactez-nous Urgence Cyber