Mardi 8 avril 2025, la Caisse nationale de la sécurité sociale (CNSS) a été secouée par une cyberattaque sans précédent. Il s’agit de la toute première opération majeure de piratage au Maroc, ciblant un organisme public de premier plan, placé depuis 2021 sous la tutelle du ministère de l’Économie et des Finances. Les experts sont unanimes quant au constat de la gravité de l’incident, et il y a bien lieu de s’inquiéter.
Pour Imad Elbaraka, managing partner Deloitte France, Europe continentale et Afrique francophone, et président du Deloitte Morocco Cyber Center, l’incident de la CNSS «marque un tournant» dans l’histoire des cyberattaques au Maroc. Les hackers ont réussi à dérober 54.000 fichiers (en format PDF), incluant des données relatives à environ 500.000 entreprises et 2 millions de personnes. Les informations compromises incluent «le nom de l’assuré, le numéro de la CIN, le nom de l’entreprise, l’adresse e-mail, le numéro de téléphone du dirigeant et le relevé d’identité bancaire», entre autres données personnelles et professionnelles.
«La symbolique» du choix de la cible
L’attaque trouve toute sa signification dans «la symbolique» du choix de la cible. «Une cyberattaque est grave dès qu’elle touche une institution du filet social», relève Imad Elbaraka. «Depuis 2022, nous assistons à une multiplication de piratages ciblant des organismes publics, sous plusieurs formes (dénis de service, défaçages, etc.). L’incident de la CNSS a la particularité d’avoir abouti à une exfiltration de données et leur diffusion publique», constate-t-il.
Si un tel incident relève du jamais vu au Maroc, des attaques similaires ont déjà été enregistrées dans d’autres pays, parmi les plus développés au monde, notamment les États-Unis, où des pirates ont forcé en 2015 l’accès aux ordinateurs de l’Office of personnel management (OPM), agence qui gère les effectifs du gouvernement américain, parvenant à dérober des informations personnelles (numéros de sécurité sociale, empreintes digitales…) de près de 21 millions de personnes. En septembre 2021, cette fois-ci en France, une attaque visant les systèmes informatiques de l’Assistance publique-Hôpitaux de Paris a permis aux hackers d’accéder aux données personnelles de 1,4 million de personnes testées pour le Covid-19 en Île-de-France. On peut citer également le cas du registre national argentin, piraté en octobre 2021, le hacker ayant eu accès aux données privées de 1 à 2 millions de personnes.
Lire aussi : Une cyberattaque revendiquée par des hackers algériens met à nu la vulnérabilité de la CNSS
Imad Elbaraka note aussi l’implication de groupes revendiquant le crime pour des raisons idéologiques, bien que sur ce point précis, il appelle à une extrême prudence, «les investigations n’ayant pas encore permis, à ce stade, d’identifier les hackers». Ali Moutaïb, expert en intelligence économique, confirme que «seule une enquête digitale très poussée (Digital forsenics) pourrait éclairer sur les pistes menant à l’identification des pirates». Lors d’un point de presse tenu le jeudi 10 avril, le porte-parole du gouvernement a qualifié de «criminelle» cette cyberattaque «au timing suspect». «Ces attaques cybernétiques sont, sans nul doute, une tentative de nuire aux percées diplomatiques successives du Royaume relatives à la cause nationale», a-t-il déclaré, ajoutant qu’elles sont «instiguées par des parties hostiles».
Le rythme des cyberattaques s’accélère et cela semble s’expliquer. «Le Maroc pèse plus lourd sur l’échiquier mondial, sur les plans géopolitique, économique, sportif, culturel, etc. Naturellement, le pays devient une cible visible exposée, soit à des groupes de hackers étrangers, soit à des pays hostiles», souligne le patron de Deloitte Morocco Cyber Center. Ce dernier pointe toutefois des «vulnérabilités structurelles chez certains organismes publics qui ne sont pas encore à la hauteur des menaces cybernétiques modernes, dotés souvent d’infrastructures vieillissantes».
Un précédent juridique
Quid des risques juridiques liés à l’affaire CNSS? Ce volet est encadré par les lois en vigueur en matière de protection des données personnelles, à savoir la loi 09-08 et 05-20, qui se croisent avec le règlement européen sur la protection des données (GDPR), note Imad Elbaraka.
«La CNSS n’a pas respecté son devoir de vigilance. S’il se trouve que c’est aussi la responsabilité d’un sous-traitant, l’entreprise en question peut être à son tour tenue pour responsable», affirme cet expert en cybersécurité qui a requis l’anonymat.
Et d’ajouter: «la CNSS et son écosystème seront exposés à des sanctions administratives civiles, voire pénales. Le gouvernement sera interpellé à son tour sur la gouvernance». Dans certains pays, ce type d’attaque ouvre la voie à une action collective en justice. Tous les ingrédients sont ainsi réunis pour créer un «précédent juridique». La CNSS a d’ailleurs affirmé avoir saisi les autorités judiciaires compétentes.
De par son ampleur inédite, l’incident de la CNSS a le mérite de «secouer» les décideurs publics, les chefs d’entreprises et les citoyens, et de rappeler qu’en matière de cybersécurité, il reste encore du chemin à parcourir. «En l’absence de mesures sérieuses pour sécuriser les données, impliquant tous les acteurs publics et privés concernés, il n’est pas exclu d’assister à des scandales encore plus graves, où des données personnelles se retrouvent dans le Dark web, pour être vendues à des arnaqueurs ou exploitées à des fins de propagande politique», argumente Ali Moutaïb.
Le travail réalisé par DGSSI
Imad Elbaraka estime que le régulateur marocain, la Direction générale de la sécurité des systèmes d’information (DGSSI), relevant de l’Administration de la Défense nationale, remplit parfaitement sa mission: «La DGSSI a tiré la sonnette d’alarme à plusieurs reprises. Je pense que l’État a joué son rôle de régulation et de légifération. Malheureusement, les organismes publics et les entreprises privées n’ont pas joué suffisamment leur rôle. Mais c’est universel, ce n’est que lorsqu’on se prend le poteau en pleine figure que l’on réalise l’importance de la cybersécurité».
Ali Moutaïb salue à son tour «le bon travail fourni par DGSSI pour protéger les organismes vitaux et sensibiliser les entreprises». Mais ces dernières doivent prendre au sérieux ce phénomène en lui consacrant les budgets et les investissements nécessaires, insiste-t-il.
Ali Moutaïb affirme qu’il est temps de franchir une nouvelle étape et agir avec plus de fermeté avec les entreprises qui ne sont pas à jour sur le chapitre de leur cybersécurité. À l’instar de ce qui est dans plusieurs pays, notamment en Europe, où les autorités de régulation en matière de cybersécurité ou de cyberdéfense ont commencé à sanctionner les entreprises qui ne protègent pas suffisamment leur système d’information.
Bienvenue dans l’espace commentaire
Nous souhaitons un espace de débat, d’échange et de dialogue. Afin d'améliorer la qualité des échanges sous nos articles, ainsi que votre expérience de contribution, nous vous invitons à consulter nos règles d’utilisation.
Lire notre charte