Cyberattaques au Maroc : la digitalisation sous pression

Une menace devenue massive

Les chiffres disponibles confirment cette tendance. En 2025, près de 21 millions de tentatives de cyberattaques auraient été détectées au Maroc selon Kaspersky. En 2024, Microsoft recensait déjà plus de 12,6 millions de tentatives visant le Royaume. Cette progression illustre l’élargissement de la surface d’attaque du pays, à mesure que les services administratifs, financiers, industriels et sociaux migrent vers des plateformes numériques.

Cette exposition est logique : plus les services sont connectés, plus les données ont de valeur. Les cybercriminels ne ciblent plus seulement les grandes banques ou les grandes administrations. Ils exploitent aussi les faiblesses des prestataires, des PME, des applications mal maintenues, des accès tiers, des comptes techniques ou des composants logiciels non mis à jour.

Dans plusieurs cas, l’organisation ciblée peut disposer de moyens de sécurité internes, tout en restant vulnérable à travers un partenaire externe. C’est l’un des enseignements majeurs de la période récente : dans un écosystème numérique interconnecté, la sécurité d’une institution dépend aussi de la maturité de ses fournisseurs, intégrateurs, hébergeurs et mainteneurs.

Les PME restent le maillon fragile

La situation des PME marocaines demeure particulièrement préoccupante. Seule une minorité d’entre elles dispose d’un plan formalisé de réponse aux incidents, et une part encore plus faible consacre un budget spécifique à la cybersécurité. Cette réalité crée un décalage dangereux entre la perception du risque et les moyens réellement mobilisés.

Beaucoup d’entreprises reconnaissent aujourd’hui que la cybersécurité est un enjeu critique, mais continuent à la traiter comme un coût secondaire. Or, une PME paralysée par un ransomware peut perdre plusieurs jours, voire plusieurs semaines d’activité. Elle doit ensuite supporter les coûts de restauration, d’expertise, de communication, de perte d’exploitation et parfois de perte de clients.

Le risque est encore plus important lorsque ces PME travaillent pour de grands comptes ou pour des institutions publiques. Une petite structure insuffisamment protégée peut devenir le point d’entrée vers une organisation plus importante. La cybersécurité n’est donc plus seulement une affaire de taille ou de moyens : elle devient une condition d’intégration dans les chaînes de valeur numériques.

Banques, administrations, télécoms : le risque systémique en arrière-plan

Dans les secteurs critiques, l’enjeu est plus large. Une attaque visant une banque, une plateforme de paiement, un opérateur télécom, un système administratif central ou une infrastructure de données peut provoquer un effet de confiance immédiat. À l’ère des applications mobiles et des réseaux sociaux, une panne ou une fuite de données peut générer une panique numérique en quelques minutes.

Le secteur financier est particulièrement sensible à cette dynamique. Bank Al-Maghrib a déjà renforcé son approche autour de la résilience opérationnelle, dans un contexte international marqué par des cadres comme DORA en Europe. Mais la question des stress tests cyber, de la communication de crise et de la transparence partielle reste appelée à prendre plus de place.

Le Maroc dispose déjà de bases réglementaires solides, notamment la loi 05-20 relative à la cybersécurité, la Directive nationale de la sécurité des systèmes d’information, l’action de la DGSSI et du maCERT, ainsi que la Stratégie nationale de cybersécurité 2030. Le défi est désormais celui de l’application homogène, du contrôle régulier et de la préparation opérationnelle.

Le facteur humain au cœur des incidents

Les cyberattaques ne reposent pas uniquement sur des failles techniques sophistiquées. Elles exploitent souvent des erreurs humaines : mots de passe réutilisés, droits d’accès trop larges, absence de double authentification, clic sur un lien frauduleux, négligence dans les mises à jour ou manque de vigilance face à des demandes inhabituelles.

Le facteur humain reste l’un des points les plus sensibles. Les attaques modernes ciblent souvent des profils disposant de privilèges élevés : cadres intermédiaires, responsables métiers, équipes financières, administrateurs systèmes ou personnes ayant accès à des données sensibles. Une seule compromission peut suffire à ouvrir un accès étendu.

La formation doit donc évoluer. Les campagnes de sensibilisation génériques ne suffisent plus. Les entreprises et administrations doivent organiser des simulations de phishing adaptées aux profils, former les équipes aux scénarios de fraude, tester les procédures de crise et intégrer la cybersécurité dans les réflexes quotidiens.

L’intelligence artificielle change la donne

La montée en puissance de l’intelligence artificielle ajoute une nouvelle dimension au risque. Les attaques deviennent plus faciles à préparer, plus crédibles et plus personnalisées. Des messages de phishing peuvent désormais être rédigés dans un français, un arabe ou un anglais de bonne qualité. Des scripts malveillants peuvent être améliorés plus rapidement. Les deepfakes vocaux et vidéo ouvrent la voie à de nouvelles formes d’usurpation d’identité.

L’IA ne crée pas seulement de nouveaux risques. Elle accélère les anciens. Elle permet à des groupes peu expérimentés d’augmenter leur efficacité, tout en donnant aux acteurs avancés des moyens supplémentaires de reconnaissance, d’automatisation et de manipulation.

Pour le Maroc, cette évolution intervient à un moment stratégique. Le Royaume prépare de grands événements internationaux, développe ses plateformes administratives, investit dans le cloud, l’intelligence artificielle, les services numériques et l’économie digitale. Cette ambition doit s’accompagner d’une cybersécurité pensée dès la conception des projets.

Cyberassurance et coût réel des attaques

Le coût d’une cyberattaque ne se limite pas à une rançon ou à une réparation technique. Il inclut l’arrêt d’activité, les investigations, la restauration des systèmes, la perte de confiance, la communication de crise, l’impact sur la réputation et parfois des conséquences juridiques.

À l’international, plusieurs études situent le coût moyen d’un incident majeur à plusieurs millions de dollars. Pour une entreprise marocaine, notamment une PME, l’impact peut être beaucoup plus direct : trésorerie fragilisée, activité interrompue, clients perdus, image dégradée.

Le marché de la cyberassurance reste encore peu développé au Maroc. Quelques offres existent, mais la souscription demeure limitée. Cette situation s’explique en partie par le manque de maturité, de données fiables et de standards d’évaluation du risque. Un assureur ne peut couvrir correctement un risque qu’il peut mesurer. La progression du marché passera donc par des audits, des référentiels, des pratiques standardisées et une meilleure transparence sur le niveau de sécurité réel des entreprises.

Une urgence : passer de la conformité à la résilience

Le Maroc n’est pas dépourvu de cadre. Il dispose d’institutions, de textes, de référentiels et d’une stratégie nationale. Mais les attaques récentes montrent que la conformité ne suffit pas. La vraie question est celle de la résilience : détecter vite, contenir efficacement, communiquer clairement, restaurer les services et apprendre de l’incident.

Cette résilience suppose plusieurs chantiers prioritaires : renforcer les audits de sécurité, imposer des exigences contractuelles aux prestataires, généraliser la double authentification, tester les sauvegardes, segmenter les systèmes critiques, améliorer la journalisation, préparer les communications de crise et former les collaborateurs.

Les secteurs les plus sensibles — administrations, banques, télécoms, santé, énergie, transport, éducation, foncier, services sociaux — doivent être traités comme des priorités. Mais la protection ne peut pas s’arrêter aux grandes organisations. Elle doit descendre vers les PME, les collectivités, les fournisseurs et les sous-traitants.

Une transformation numérique à sécuriser

Les cyberattaques récentes ne signifient pas que la transformation numérique marocaine est en échec. Elles montrent au contraire que le pays entre dans une nouvelle phase. Après avoir accéléré la digitalisation des services, le Maroc doit maintenant accélérer la sécurisation de son écosystème numérique.

La confiance numérique devient un pilier de la souveraineté. Elle repose sur des infrastructures robustes, des données protégées, des prestataires contrôlés, des citoyens sensibilisés et des organisations capables de réagir en cas de crise.

Le Maroc a posé les bases de sa stratégie cyber. L’enjeu, désormais, est de faire passer la cybersécurité du statut de sujet technique à celui de priorité nationale opérationnelle. Dans une économie de plus en plus connectée, protéger les systèmes d’information revient à protéger la continuité du pays, la confiance des citoyens et la crédibilité de la transformation numérique.