DIRECTIVE NATIONALE DE LA SECURITE DES SYSTEMES D’INFORMATION (DNSSI)

Le développement du numérique figure depuis plusieurs années à l’ordre du jour de l’action des pouvoirs publics au Maroc. Notre pays a fait le choix, sous la conduite éclairée de Sa Majesté Le Roi, que Dieu L’assiste, d’accorder une place de plus en plus large aux nouvelles technologies de l’information et des communications, eu égard à leur rôle crucial en matière de développement économique et social. La dynamique enregistrée pour l’accélération de la transition numérique nationale s’est vue appuyée par le nouveau modèle de développement qui a consacré le digital comme levier transverse à même d’assurer un développement responsable et inclusif.

Au sein de l’administration publique, le développement de la digitalisation a déjà été amorcée. Le digital, qui offre en effet un immense potentiel, contribue actuellement de manière forte à la modernisation des structures publiques.

Si la digitalisation s’impose comme un atout incontournable et offre tant d’opportunités en matière de développement économique, de souveraineté et de bonne gouvernance, il n’en demeure pas moins qu’elle est aussi porteuse de risques et de menaces. Une digitalisation accélérée associée à la généralisation du recours aux moyens informatiques offre un terrain propice à la délinquance informatique et aux activités malveillantes.

Pour répondre à cet enjeu, la cybersécurité a fait toujours partie intégrante des stratégies de digitalisation au Maroc. Beaucoup d’efforts ont été déployés pour le renforcement de la sécurité et de la résilience des systèmes d’information au niveau national. La cybersécurité constitue en effet un pilier incontournable pour le développement de la confiance numérique et l’essor des services digitaux.

Dans le cadre de cette vision, une dynamique soutenue a été engagée, depuis la création de la Direction Générale de la Sécurité des Systèmes d’Information (DGSSI), pour la mise en place d’un cadre juridique complet qui tiendrait compte des défis auxquels notre pays est confronté dans le domaine de la cybersécurité.

En 2014, la Directive Nationale de la Sécurité des Systèmes d’Information (DNSSI) a été publiée par la circulaire N° 3/2014 du Chef du Gouvernement. La DNSSI vise comme objectifs d'élever et d’homogénéiser le niveau de protection et de maturité de la sécurité de l'ensemble des systèmes d'information des administrations et organismes publics, ainsi que des infrastructures d’importance vitale.

En 2020, l’arsenal juridique national a été enrichi par la promulgation de la loi n° 05-20 relative à la cybersécurité. Cette loi prévoit un ensemble de mesures de sécurité de nature organisationnelle et technique qui sont destinées à accroître les capacités nationales dans le domaine de la cybersécurité, à accompagner la transition numérique du Royaume et à coordonner l’action de prévention et de protection contre les attaques et incidents de cybersécurité. Le décret n° 2-21-406 pris pour l’application de la loi n° 05-20 a vu ensuite le jour en 2021.

Dans la continuité de ces efforts, et pour tenir compte de l’évolution constante de l’environnement des technologies de l’information et des menaces et risques qui lui sont associés, la DGSSI a procédé, en exécution des Hautes Instructions Royales, à la mise à jour de la Directive Nationale de la Sécurité des Systèmes d’Information. La nouvelle Directive tient compte des enseignements tirés des actions de contrôle, d’audit, de gestion et de traitement d’incidents menées notamment par la DGSSI au sein des différents organismes. Elle prend en considération également les changements apportés au cadre juridique et normatif et aux bonnes pratiques applicables dans le domaine de la sécurité des systèmes d’information.

Conformément à la loi n° 05-20 sur la cybersécurité, le champ d’application de la nouvelle version de la Directive couvre les administrations de l’Etat, les établissements et entreprises publics, les personnes morales de droit public, les collectivités territoriales, ainsi que toutes les infrastructures d’importance vitale (IIV) qu’elles soient publiques ou privées.

En substance, cette version passe en revue et actualise l’ensemble des mesures de sécurité que les entités et les IIV doivent mettre en application, tant sur le volet organisationnel que technique. Elle constitue ainsi une référence nationale fixant les objectifs et arrêtant les règles minimales de la sécurité des systèmes d’information applicables auxdites entités et IIV.

Quant aux modalités d’application, les entités et les IIV disposent d’un délai de six (6) mois à compter de la date de sa publication, afin de fixer un calendrier des mesures à mettre en œuvre pour s’y conformer. En outre, un outil d’évaluation de la conformité à la DNSSI a été élaboré par la DGSSI et sera publié sur son site Internet pour que les entités puissent dresser leur bilan de mise en conformité par rapport aux règles prescrites par la Directive.