Les résultats du baromètre 2024 de la cybersécurité au Maroc, une enquête menée par PwC au Maroc, en partenariat avec l'AUSIM, visant à étudier la posture de la cybersécurité au sein des entreprises, viennent d’être rendus publics.
Dans cet entretien, Jamal Basrire - Associé Leader Cloud Transformation & Cyber chez PwC, nous en dévoile le contenu.
Propos recueillis par K. A.
Finances News Hebdo : Dans quel contexte a été réalisée cette étude et quel type d'entreprises couvre-t-elle ?
Jamal Basrire : La cybersécurité est un enjeu majeur pour les entreprises et les institutions marocaines, qui doivent faire face à des menaces numériques de plus en plus nombreuses et sophistiquées. Post crise COVID-19, ces risques se sont accentués avec la généralisation du télétravail, l’augmentation des opérations en ligne et la multiplication des points d’accès vulnérables. De manière plus récente, l’apparition de l’intelligence artificielle générative, qui se positionne comme une technologie de rupture, démontre la nécessité de s’adapter à une menace cyber qui évolue. Ces évolutions nous rappellent ainsi à l’importance d’avoir, pour les entreprises au Maroc, une stratégie de cybersécurité adaptée qui prend en compte tous les retours d’expérience. Dans un contexte où le Maroc manque cruellement de données de benchmark cyber, cette enquête se positionne comme le premier baromètre de la cybersécurité au Maroc. C’est dans cette perspective que PwC et l’AUSIM se sont associés pour réaliser une enquête nationale sur la maturité des pratiques de cybersécurité au sein des organisations marocaines.
Cette enquête, baptisée «AUSIMètre», a pour objectif de dresser un état des lieux de la situation actuelle, de mesurer le niveau de prise de conscience et de préparation des acteurs concernés, d’identifier les principaux axes d’amélioration et les bonnes pratiques à adopter. L’enquête a été réalisée entre fin novembre 2023 et fin janvier 2024, auprès d’un échantillon représentatif du leadership cyber au sein des entreprises marocaines, CEO, CIO/CTO, CISO. Pour ce premier baromètre de la cybersécurité au Maroc, les résultats ont couvert un panel large de secteurs d’activité : services financiers, services gouvernementaux et publics, énergie, industrie, bâtiment et travaux publics, technologie. A plus de 45% des répondants, les services financiers et les services gouvernementaux et publics figurent parmi les secteurs les plus représentés. L’enquête a permis de couvrir aussi bien des grandes entreprises marocaines (chiffre d’affaires supérieur à 1 milliard de DH) et des entreprises de plus petite taille (chiffre d’affaires inférieur à 50 millions de DH). Les résultats de cette enquête sont riches d’enseignements et de recommandations, et nous sommes heureux de les partager avec l’ensemble de l’écosystème du digital au Maroc.
F.N.H. : Que peut-on dire de l'état de la cybersécurité au Maroc ?
J. B. : Le Maroc constitue une cible principale des attaques cyber en Afrique. Nous intervenons régulièrement au Maroc et à l’étranger pour évaluer et accompagner les entreprises à se préparer, se protéger, détecter et réagir face aux menaces cyber. Les entreprises marocaines, quel que soit le secteur dans lequel elles sont engagées (finance, industrie, services), font face aux mêmes challenges en matière de cybersécurité que les autres entreprises à travers le monde : une menace qui s’accélère et s’intensifie. Le Maroc apparaît selon plusieurs études comme le 15ème pays le plus ciblé au monde par des attaques cyber. Selon le rapport d'évaluation des cybermenaces d'Interpol de 2023, le Maroc est le pays africain le plus touché par les trojans bancaires et stealers, le deuxième le plus ciblé par les attaques de ransomwares (8% des attaques détectées). L’AUSIMètre identifie le risque cyber comme la priorité numéro 1 des risques à traiter pour les entreprises marocaines en 2024. Bien que des efforts significatifs aient été entrepris ces dernières années, l’AUSIMètre met en évidence que l’écosystème marocain doit encore renforcer sa maturité cyber. Seulement 35% des entreprises marocaines indiquent qu’elles sont souvent proactives dans l’anticipation des risques, et seulement 39% précisent être en capacité de réagir rapidement face à une cyber-attaque. Les efforts sont encore à faire.
F.N.H. : Quels sont les principaux risques qui ressortent de l'étude ?
J. B. : La prise de conscience du marché permet aux acteurs de se positionner en tant qu'observateurs avisés de l'évolution des menaces cyber et de confirmer les tendances suivantes : • L’augmentation de l'intensité et de la sophistication des attaques; • L'augmentation de l'impact financier des incidents cyber; • La fuite de données comme principal scénario redouté. Les entreprises au Maroc, ayant participé à notre enquête, accordent une priorité élevée à la protection de l’information. Elles reconnaissent l'importance cruciale de préserver la propriété intellectuelle, la confidentialité des données des clients et la réputation de l'entreprise. L’événement de restitution de l’enquête a mis en évidence la nécessité de faire évoluer le paradigme de la cybersécurité au Maroc vers un modèle de cyber résilience prônant un meilleur équilibre des efforts entre protection d’une part, et détection / réponse / reconstruction, d’autre part.
F.N.H. : Pensez-vous que le sujet est pris convenablement au sérieux par les entreprises ?
J. B. : L’enquête confirme la prise de conscience du marché marocain des enjeux cyber. Selon le dernier classement NCSI (National Cyber Security Index), le Maroc est positionné à la 30ème place mondiale sur le plan de l'effort mis en œuvre pour endiguer le risque cyber. 52% des répondants envisagent une augmentation jusqu’à 14% de leur budget cyber. L’AUSIMètre 2024 confirme ainsi la poursuite des investissements cyber, avec une appétence forte au déploiement de nouvelles technologies. Il conviendra d’observer, dans les prochaines années, la pérennité et l’efficacité des stratégies adoptées par les acteurs marocains. A l’instar d’autres pays dans le monde, il reste cependant à noter que les sociétés de petite taille ou de taille intermédiaire sont le «parent pauvre» de la cybersécurité au Maroc.
Ces entreprises, généralement moins enclines à consentir des niveaux significatifs d’investissement cyber, demeurent dépourvues. Elles sont pour certaines sous-traitantes de grandes entreprises marocaines, et constituent donc une cible de choix pour les cyber-attaquants. Ces derniers recherchent en effet le vecteur d’attaque qui leur permettra d’atteindre des cibles de choix à des fins cybers criminels, ou encore pour s’inscrire dans des desseins à plus long terme visant à nuire à des enjeux plus stratégiques. Le sujet de la cybersécurité au Maroc est pris au sérieux, mais il reste encore beaucoup à faire pour augmenter le niveau l’ensemble de l’écosystème sur ce domaine : réactualisation des stratégies cyber, renforcement des échanges upskilling de l’ensemble des niveaux de l’organisation jusqu’aux organes dirigeants, partage d’informations, support aux entreprises de petite taille et de taille intermédiaire, accompagnement des startups cyber marocaines…
F.N.H. : Nous avons relevé le fait que PwC prévoyait de participer au GITEX Africa en mai 2024. Quelles sont vos attentes par rapport à l’événement et comment vous positionnez-vous sur les sujets couverts ?
J. B. : Le GITEX Africa constitue l’événement de référence de la communauté technologique mondiale sur le continent africain. Au travers de sa stratégie mondiale The New Equation (La nouvelle équation), PwC se positionne comme un acteur international répondant aux grands enjeux des organisations face aux profondes évolutions que traverse actuellement le monde : disruption technologique, changements climatiques, fractures géopolitiques… Dans la droite ligne de cette stratégie, PwC vise à accompagner les organisations à répondre à deux enjeux indissociables : créer de la confiance et mener des transformations complexes pour des résultats durables. Ces enjeux sont au cœur de ceux que nous rencontrons chez nos clients au Maroc, et plus largement sur le continent africain. Nous serons présents au GITEX Africa avec nos équipes pour partager notre stratégie et notre approche «Human-led tech-powered». En collaboration avec nos clients et partenaires, cet événement sera l’opportunité de partager avec la communauté nos retours d’expériences et les produits digitaux pouvant constituer des accélérateurs à la réponse des problématiques de nos clients : mise en œuvre de la transformation digitale (Finance, RH, Opérations, e-Gov…), valorisation de la donnée et adoption de l’intelligence artificielle, ESG, transformation cloud et challenges liés à la souveraineté, risques technologiques et cyber…