De toutes les cyberattaques recensées jusqu’à présent au Maroc, celle qui a visé, le mardi 8 avril, la base de données de la Caisse nationale de sécurité sociale (CNSS) est de loin la plus importante de par l’ampleur des données dérobées. En effet, des hackers algériens prétendent avoir mis la main sur pas moins de 54.000 fichiers en format PDF, comportant des données personnelles relatives à environ 500.000 entreprises et quelque 2 millions de salariés affiliés à la CNSS. Dans cet entretien, Omar Seghrouchni, président de la Commission nationale de contrôle de la protection des données à caractère personnel (CNDP), nous parle des enjeux et des implications de cette cyberattaque inédite.
Le360: Plusieurs organismes publics ont récemment été la cible de cyberattaques touchant des données personnelles. Faut-il s’en inquiéter?
Omar Seghrouchni: Bien sûr qu’il faut s’en inquiéter. Pour autant, il faut savoir raison garder et s’organiser pour comprendre ce qui s’est passé, afin de définir les responsabilités, nationales ou internationales, et éviter que cela se reproduise à l’avenir.
En substance, Paul Virillio disait qu’inventer le train, c’est inventer le déraillement. Nous pouvons dire qu’en inventant le digital, on a inventé les accidents du digital, entre autres les cyberattaques. La question est d’assurer le respect de la réglementation pour réduire les occurrences, tout en se protégeant des criminels potentiels. Il faut savoir allier technique et stratégie. L’une sans l’autre ne nous mènera pas loin.
La CNDP a elle-même fait récemment l’objet d’une attaque. Comment y avez-vous réagi?
En fait, nous avons constaté trois phénomènes. D’abord, en janvier dernier, nous avions mis en place des extensions de notre site Internet avec un paramétrage qui permettait des commentaires. Cela a été détecté par des hackers qui ont fait afficher des commentaires inopportuns. Ces commentaires ont été inclus dans le référencement Google, et ce moteur de recherche affichait une photographie de cette situation.
Cet incident a été corrigé sur notre site, mais le déréférencement par Google de l’image prise a pris un certain temps. Ensuite, près de deux mois plus tard, certains acteurs sur Internet ont fait valoir la photographie prise par Google pour dire, faussement, que c’était la situation du moment du site de la CNDP.
Lire aussi : Une cyberattaque revendiquée par des hackers algériens met à nu la vulnérabilité de la CNSS
Leurs publications ont été reprises par certains sites de presse qui ont omis de vérifier la réalité de notre site avant de les publier. Au même moment que ces publications non vérifiées, il y avait une attaque DDOS sur moult sites dans notre pays en provenance d’adresses étrangères, qui provoquaient un ralentissement, voire un arrêt de ces sites, mais qui ne visait pas spécifiquement la CNDP.
Quelle démarche entretient la CNDP auprès des institutions concernées pour éviter une fuite à grande échelle des données publiques?
Comme vous le savez, la CNDP est littéralement la Commission nationale de contrôle de la protection des données à caractère personnel. Nous contrôlons donc que les différentes institutions protègent les données à caractère personnel.
Aujourd’hui, c’est mieux qu’hier. Et nous espérons que demain sera mieux qu’aujourd’hui. Les institutions sont à l’écoute, même si certaines peuvent parfois se considérer au-dessus de la loi. La CNSS n’est pas concernée par ce dernier cas.
Les soutiens que nous avons sont très importants et nous aident à garder espoir lors des moments difficiles. Vous savez, la protection des données à caractère personnel est beaucoup plus qu’une loi. C’est une culture. Notre travail est de réussir une conduite de changement au niveau de tous nos concitoyens dans toutes les régions du Royaume. C’est pour cela que nous avons lancé un programme de sensibilisation incluant, dans toutes les régions, des écoles, des maisons de jeunes, etc.
«C’est parce que le Code de la route est respecté que nous traversons la rue en confiance. Et c’est parce que nous aurons une loi adéquate sur le digital que nous y circulerons en confiance.»
Certes, nous avons besoin de moyens supplémentaires. Mais au lieu de les attendre pour travailler, nous avons fait le choix de travailler, même en sous-effectif, pour que notre demande de moyens soit mieux appréciée. Aujourd’hui, le travail et l’implication des commissaires et du staff ne sont pas toujours appréciés à leur juste valeur. Mais nous avons confiance en l’avenir.
Il est important de travailler avec toutes les institutions concernées pour avancer: la Direction générale de la sécurité des systèmes d’information (DGSSI), la Direction générale de la sûreté nationale (DGSN), le ministère public, le Conseil supérieur du pouvoir judiciaire ou encore le ministère de la Justice, et depuis quelques mois, de façon plus structurée, avec le ministère de la Transition numérique et de la Réforme de l’administration. En fait, toutes les institutions sont concernées.
Pensez-vous que les systèmes d’information des grandes institutions et entreprises marocaines sont suffisamment sécurisés pour protéger les données personnelles?
Pensez-vous que les conducteurs des voitures sur la route sont suffisamment vigilants pour ne pas avoir d’accident? Je ne saurais pas répondre à cette question. Cependant, en renforçant le contrôle et le suivi de la circulation, on réduira le nombre d’accidents. Il faudra réagir chaque fois que le Code de la circulation n’est pas respecté. Pour le digital, c’est la même chose.
Ce sera en veillant au bon respect de nos lois que la situation sera améliorée et que nous gagnerons en confiance. C’est parce que le Code de la route est respecté que nous traversons la rue en confiance. C’est parce que nous aurons une loi adéquate sur le digital que nous y circulerons en confiance. Évidemment, nous devons aussi être sûrs qu’il n’y a pas de malveillance interne ou externe.
Que faire aujourd’hui, tout de suite?
Il faut d’abord se serrer les coudes. Ne pas utiliser ou diffuser les informations disponibles sur le Dark Web. C’est comme de l’argent sale. Il faut signaler les mauvais usages et promouvoir les bons comportements. Il faut que les différentes lois, en particulier la loi 09-08, soient respectées. Je dis souvent que pour vivre digital, il faut respirer protection des données. Ensuite, il faut prendre du recul et ne pas perpétuer les mauvaises pratiques et les comportements inadéquats.
Le Maroc est devenu pour beaucoup de pays un exemple à suivre. Il paie aujourd’hui le fruit de son succès. Il faut prendre très au sérieux ce qui nous arrive. Une telle attaque aurait pu toucher d’autres institutions et elle va sûrement en toucher tant que les criminels ne sont pas identifiés. Il ne faut pas appréhender cette situation dans sa superficialité, mais dans sa profondeur. Il y a des choses à faire évoluer. Il faut persévérer.
Bienvenue dans l’espace commentaire
Nous souhaitons un espace de débat, d’échange et de dialogue. Afin d'améliorer la qualité des échanges sous nos articles, ainsi que votre expérience de contribution, nous vous invitons à consulter nos règles d’utilisation.
Lire notre charte