Adoption par le conseil des ministres du décret n°2-21-406 pour l’application de la loi n°05-20 relative à la cybersécurité

Sa majesté le Roi, Chef suprême et Chef d’Etat-major général des Forces Armées Royales, a donné son approbation, le 28 juin 2021, pour le projet de décret n° 2-21-406 concernant l’application des dispositions de la loi n°05-20 relative à la cybersécurité. Ce décret vise principalement à définir les mesures de protection des systèmes d’information des administrations de l’Etat, des établissements et entreprises publics et toute autre personne morale de droit public, ainsi que ceux des infrastructures d’importance vitale et des opérateurs privés. Il détermine également les critères de qualification des prestataires de services d’audit et des prestataires de services de cybersécurité.

Dans ce cadre, les principales dispositions du décret s’articulent autour des points ci-après :

1. Les organes de gouvernance chargés de la cybersécurité :

Ce décret a énoncé les organes chargés de la cybersécurité, et a défini leur composition et les modalités de leur fonctionnement, en l’occurrence :

➢ L’autorité nationale de cybersécurité : prévue par la loi n°05-20 relative à la cybersécurité, et à laquelle a été confiée la mise en œuvre de la stratégie de l’Etat dans le domaine de la cybersécurité. Selon le décret, l’Administration de la défense nationale (direction générale de la sécurité des systèmes d’information (DGSSI)) est désignée autorité nationale de la cybersécurité ;

➢ Le comité stratégique de la cybersécurité : créé par l’article 35 de la loi n°05-20, se compose des différents départements gouvernementaux et des institutions concernées. Cet organe peut créer tout comité qu’il estime nécessaire pour la réalisation de ses missions, dont notamment le comité de gestion des crises et événements cybernétiques majeurs. Ce comité est chargé d’instaurer un cadre qui définit les responsabilités des membres et des mesures relatives à la gestion des crises et des modalités de communication et d’échanges des informations.

2. Mesures de protection de la sécurité des systèmes d’information du secteur public

Le décret confie à l’autorité gouvernementale chargée de l’administration de la défense nationale la mission de définir les orientations nationales en matière de sécurité des systèmes d’information et d’instaurer les règles organisationnelles et techniques à l’application desquelles doivent veiller les entités que sont les administrations publiques, les collectivités territoriales, les institutions et entreprises publiques ainsi que toute personne morale soumise au droit public. En outre, ce texte définit un cadre général de classification des données et des systèmes d’information de ces entités en se basant sur l’analyse des impacts des incidents susceptibles de porter atteinte aux besoins de sécurité.

Par ailleurs, la DGSSI procède à l’élaboration des règles de sécurité devant être appliquées en tenant compte des différents niveaux de classification des systèmes d’information et données. Chaque entité ou infrastructure d’importance vitale désigne un responsable de la sécurité du système d’information, chargé principalement de définir et d’analyser les défis et dangers de la cybersécurité auxquels fait face cette entité ou infrastructure, ainsi que de définir les objectifs de la cybersécurité, la mise en place et le suivi de la politique de la sécurité de son système d’information ainsi que la présentation de rapports réguliers relatifs aux menaces y afférentes.

3. Dispositions propres aux opérateurs, aux prestataires d’audit et prestataires de service de cybersécurité

➢ Dispositions propres aux opérateurs :
Dans le cadre de la mise en œuvre des règles et des dispositions de sécurité, appliquées aux opérateurs définies par la loi, notamment les exploitants des réseaux publics des communications, les fournisseurs des services internet, les prestataires des services de cybersécurité, les prestataires des services numériques et les éditeurs des plateformes d’internet, il est prescrit de se conformer aux orientations de l’autorité nationale, en particulier celles relatives à la conservation des données techniques nécessaires à la définition et l’analyse de tout incident de cybersécurité, ainsi que la prise de mesures de protection nécessaires pour la préservation et la neutralisation des effets des menaces ou des infractions portant atteinte aux systèmes d’information de leurs clients.
A cet effet, l’autorité nationale est qualifiée pour mettre en place des outils techniques sur les réseaux publics des communications et des réseaux des fournisseurs des services internet exclusivement en vue de détecter les événements susceptibles d’influer sur la sécurité des systèmes d’information des clients des opérateurs, des entités et des infrastructures d’importance vitale.

➢ Dispositions propres aux prestataires d’audit :
Selon la loi n°05-20 et comme souligné plus haut, les systèmes d’information sensibles des infrastructures d’importance vitale sont soumis à un audit réalisé par l’autorité nationale ou les prestataires d’audit qualifiés par ladite autorité. Cet audit concerne les domaines d’organisation, d’architecture, d’élaboration, du code source, des tests d’intrusion et des systèmes industriels.

Dans ce cadre, ce texte a définit les conditions de qualification des prestataires d’audit de la sécurité des systèmes d’information, les modalités de préparation des dossiers de demande de qualification et leurs dépôts auprès de la DGSSI. Cette Direction Générale invite le prestataire d’audit, demandeur de qualification, à effectuer une évaluation de ses services par l’une des entités accréditées par cette direction générale et selon un référentiel des exigences des prestataires d’audit qu’elle élabore à cette fin.

➢ Dispositions propres aux prestataires de service de cybersécurité :
Afin de renforcer le secteur national de cybersécurité, ce décret a instauré un système de qualification des prestataires de cybersécurité dans les domaines de détection des incidents de cybersécurité, d’analyse, d’investigation et de réaction auxdits incidents. De plus, ce texte définit les conditions à remplir pour l’obtention de cette qualification, telle que la disponibilité chez le demandeur de l’expertise et de la qualification requises, et des outils lui permettant d’assurer l’exploitation et la gestion des services de détection et d’analyse des incidents de la cybersécurité.

Image: