Décret n° 2-15-712 du 12 Joumada II 1437 (22 mars 2016) fixant le dispositif de protection des systèmes d'information sensibles des infrastructures d'importance vitale

Le Maroc s’est engagé depuis 2011 sur la voie du renforcement de ses capacités nationales de sécurité des systèmes d’information. Dans la continuité des actions ainsi entreprises, le Royaume s’est doté en 2012 d’une stratégie nationale de cybersécurité dont la mise en œuvre se concrétise annuellement à travers les plans d’actions de la Direction Générale de la Sécurité des Systèmes d’Information (DGSSI).

Pour accélérer la montée en puissance de notre dispositif de sécurité des systèmes d’information des administrations et organismes publics, le Comité Stratégique de la Sécurité des Systèmes d’Information (CSSSI) a adopté la Directive Nationale de la Sécurité des Systèmes d’Information, mise en application en 2014.

Conformément aux dispositions du premier alinéa de l’article premier du décret n°2-11-508 du 21 septembre 2011 attribuant au CSSSI la responsabilité de garantir la continuité de fonctionnement des systèmes d’information des infrastructures d’importance vitale, l’Administration de la défense nationale a élaboré un décret fixant le dispositif de protection des systèmes d’information sensibles de ces infrastructures.

Au sens de ce décret, sont entendus comme secteurs d’activités d’importance vitale ceux ayant trait soit à la production et la distribution de biens ou de services indispensables à la satisfaction des besoins essentiels pour la vie des populations, ou à l'exercice des prérogatives de l'Etat, ou au fonctionnement de l'économie, ou au maintien des capacités de sécurité du pays. Les secteurs répondant à ces besoins concernent la sécurité publique, le secteur financier, l’industrie, les réseaux des transports, la production et la distribution de l’énergie et les mines, l’approvisionnement et la distribution d’eau, les télécommunications et les services postaux, l’audiovisuel et la communication, la santé et la justice.

A ces secteurs est associée la notion d’infrastructures d’importance vitale disposant de systèmes d’informations sensibles. Cette notion recouvre tous les « Installations, ouvrages et systèmes qui sont indispensables au maintien des fonctions vitales de la société, de la santé, de la sûreté, de la sécurité et du bien-être économique ou social, et dont le dommage ou l’indisponibilité ou la destruction aurait un impact induisant la défaillance de ces fonctions ».

Le décret prévoit de confier la délimitation des infrastructures d’importance vitale à l’autorité gouvernementale ou à l’établissement public ou à la personne morale publique assurant la coordination du secteur d’activité d’importance vitale et propose également des modalités précises pour l’identification et le recensement des systèmes d’information sensibles qui seront soumis au dispositif de protection prévu par ce décret.

Ce décret charge, en outre, l’Autorité Gouvernementale chargée de l’Administration de la défense nationale (DGSSI) d’élaborer et de veiller au respect des règles et standards de sécurité à appliquer par les infrastructures d’importance vitale ainsi identifiées et arrête les mesures à prendre par les entités concernées pour la déclaration et le traitement des incidents informatiques.

A cet égard, il prévoit la mise en place, au sein desdites entités, des moyens de supervision et de détection des cyberattaques et la remontée au Centre de Veille, de Détection et de Réaction aux attaques informatiques relevant de la DGSSI, des informations relatives aux incidents affectant la sécurité ou le fonctionnement de leurs systèmes d’information sensibles.

Ce décret précise également les modalités de déroulement des audits des systèmes d’information sensibles des infrastructures d’importance vitale, prévoit la préparation des plans de continuité et de reprise d’activités pour neutraliser les interruptions des activités, protéger les processus métier cruciaux des effets causés par les principales défaillances des systèmes d’information ou par des sinistres et garantir une reprise de ces processus dans les meilleurs délais.

Enfin, le décret met en exergue les exigences de sécurité qui doivent être clairement formalisées et intégrées dans les dossiers de consultation et dans les plans de maintenance des systèmes d’information sensibles.