Avec la crise sanitaire, la digitalisation accrue des services financiers a induit un accroissement de l’exposition du secteur bancaire au cyber-risque. En effet, l’enjeu est majeur car le secteur financier joue un rôle clé dans le fonctionnement de l’économie, au point que l’atteinte à un établissement financier pourrait avoir des conséquences désastreuses sur les opérations économiques courantes d’un pays tout entier. Dans ce contexte, la Banque centrale a assuré une veille sur les communiqués publiés par la Direction générale de la sécurité des systèmes d’information (DGSSI) sur les alertes aux cybermenaces et échangé avec les banques et plus particulièrement la communauté des responsables de la Sécurité des systèmes d’information (RSSI), autour des cybermenaces les plus critiques et des actions préventives et correctives nécessaires. 
 
La Banque a également suivi de près l’évolution des cybermenaces ciblant plus particulièrement les institutions financières au niveau international et échangé avec le secteur bancaire sur les plans de réponses afin de s’en prémunir. La Banque réalise également la veille des publications, normes et recommandations des instances de réglementation et organisations internationales au sujet des cyber-risques, cybersécurité et résilience opérationnelle numérique. Elle a tenu des rencontres ad hoc avec les banques pour discuter des pratiques en place pour la maîtrise des cyber-risques et des mesures recommandées par les organisations internationales en matière de renforcement de la sécurité des systèmes d’information. 
 
Compte tenu des fortes interconnexions financières et technologiques, toute attaque réussie contre une grande institution financière ou contre un système ou un service central utilisé par un grand nombre de personnes pourrait rapidement se propager à l’ensemble du système financier et entraîner des perturbations et une perte de confiance à grande échelle.
 
Bank Al-Maghrib a également examiné les rapports des tests d’intrusion transmis annuellement par les établissements de crédit à travers lesquels ils retracent leurs programmes annuels de tests d’intrusion sur leurs systèmes d’information. Les résultats de cet examen ont été partagés avec les établissements de crédit dans le cadre de réunions dédiées. Cette année, et suite à la promulgation de la loi n°05-20 relative à la cybersécurité et de son décret d’application, la Banque, de par son rôle de coordinateur sectoriel du secteur bancaire, a identifié les infrastructures d’importance vitale relevant de ce secteur et procédé à leur désignation et la déclaration de leur liste auprès de la DGSSI.
 
Le Maroc renforce son arsenal juridique 

L’exercice 2021 a été marqué par l’approbation du décret n°2-21-406 pour l’application de la loi 05-20 sur la cybersécurité. Ce décret vise principalement à définir les mesures de protection des systèmes d’information des administrations de l’État, des établissements et des entreprises publiques et de toute autre personne morale de droit public, ainsi que celles des infrastructures d’importance vitale et des opérateurs privés. Il détermine également les critères de qualification des prestataires de services d’audit et des prestataires de services de cybersécurité. Bank Al-Maghrib, en tant que coordinateur du secteur bancaire, a notifié toutes les entités assujetties et qualifiées d’infrastructures d’importance vitale afin de se conformer aux exigences de la loi et du décret précités. 
 
Pour rappel, Bank Al-Maghrib a adopté la méthodologie CROE (les attentes en matière de surveillance de la cyber-résilience) pour évaluer la cyber-maturité des IMFs qui a connu une amélioration par rapport à 2020, selon les auto-évaluations menées par ces infrastructures.