Ministère de l’Industrie, du Commerce et des Nouvelles Technologies du Maroc

4ème Forum de l’Administration électronique

Rabat , 4 décembre 2008

La sécurité :Benchmark International & Stratégie pour le Maroc

©2008 Deloitte ConseilForum de l’Administration Electronique - Edition 2008

Une actualité édifiante

●1994 : $10 000 000 dérobés à Citybank par le pirate Vladimir Levin

●Mai 2007 : Attaques de pirates russes sur l’Estonie

●Eté 2007 : Attaques de pirates chinois sur le Pentagone et divers serveurs gouvernementaux français et allemands

●Août 2008 : Attaques de pirates russes sur les serveurs gouvernementaux géorgiens

●…2

©2008 Deloitte ConseilForum de l’Administration Electronique - Edition 2008

Que peut faire un pays pour se protéger ?

●Se doter d’une politique de sécurité et la réévaluer régulièrement

●Edicter des lois pour :− Garantir la protection des citoyens (vie privée, données personnelles, protection de

l’enfance),

− Lutter contre la criminalité informatique,

− Permettre et imposer la mise en sécurité des systèmes.

●Former, informer et sensibiliser :− Les professionnels du secteur privé,

− Les fonctionnaires,

− Le grand public.

●Protéger ses infrastructures critiques− Durcissement des infrastructures,

− Gestion coordonnée des crises,

− Structure de veille, de réaction rapide et de coordination nationale et internationale.

3

©2008 Deloitte ConseilForum de l’Administration Electronique - Edition 2008

Bonnes pratiques internationales issues du benchmarking

4

Bonnes pratiques internationales et initiatives marocaines

•projet

•projet

•projet

•projet

©2008 Deloitte ConseilForum de l’Administration Electronique - Edition 2008

Et le Maroc ?

●Le Maroc s’est doté de lois adaptées à l’instauration de la confiance en l’économie numérique

− Signature électronique (2007)

− Protection des données personnelles (en cours)

− Lutte contre la cybercriminalité (2003)

●Le Maroc participe aux travaux de l’ITU sur la cybersécurité

5

●Une étude a été lancée pour élaborer une politique nationale visant l’instauration de la confiance numérique et la sécurité des systèmes d’information :

− Benchmarking international

− Enquête auprès des entreprises et administrations marocaines

©2008 Deloitte ConseilForum de l’Administration Electronique - Edition 2008

Un enseignement de l’enquête

●Forte attente des organismes quant à la future politique nationale :− La mise en place d’organisations autour de la sécurité des systèmes d’information est très attendue :

• Un organisme permettant d’échanger sur le sujet entre responsables informatiques.• Des autorités nationales de veille et de diffusion d’information.

− Le partage d’informations sur les cadres et les dispositifs en vigueur :

•Le cadre législatif relatif aux technologies de l’information est méconnu. Le sentiment général est que le développement de l’économie numérique passe par le renforcement de celui-ci.•Le dispositif de lutte contre la cybercriminalité et judiciaire mis en place pour lutter contre la cybercriminalité est méconnu et ceux qui y ont été confrontés l’ont trouvé complexe.

« Je n’ai pas connaissance d’une quelconque législation sur les crimes et la cybercriminalité. » Responsable Informatique« Je suis favorable à un organisme donnant des directives sur la sécurité des systèmes d’information au niveau national, sensibilisant aux risques, vulgarisant les concepts et diffusant des alertes. » TGR

Verbatim

6

©2008 Deloitte ConseilForum de l’Administration Electronique - Edition 2008

Une stratégie est proposée…

VISION

Le Royaume du Maroc doit être un acteur majeur des technologies de l’information parmi les pays émergents

OBJECTIFS STRATEGIQUES(dans le contexte de la sécurité des systèmes d’information)

1. Assurer la protection des infrastructures nationales

• Continuité des infrastructures critiques,• Sécurité des systèmes d’information.

2. Lutter contre la cybercriminalité

3. Créer les conditions favorables à l’instauration de la confiance en l’économie numérique

• Promotion de l’administration et du commerce électronique,

• Facilitation de l’offre d’offshoring.

CHANTIERS

Chantier 1

Sécurisation des systèmes d’information

Chantier 2

Lutte contre la cybercriminalité

Chantier 3

Confiance en l’économie numérique (grand public)

Chantier 4

Confiance en l’économie numérique (entreprises)

7

©2008 Deloitte ConseilForum de l’Administration Electronique - Edition 2008

Chantier 1

Sécurisation des systèmes d’information

Chantier 2

Lutte contre la cybercriminalité

Chantier 3

Confiance en l’économie numérique (grand public)

Chantier 4

Confiance en l’économie numérique (entreprises)

A 5.1 Mettre à jour le cadre réglementaire relatif à l’économie numérique

A 1.1 Audit obligatoire des SI des organismes publics et privés

sensiblesA 2.1 Ratifier la Convention du Conseil de l’Europe sur la cybercriminalité (inclut la

mise à jour de la liste des délits informatiques punis par la loi)

A 3.1 Etablir la responsabilité des fournisseurs de services d’internet

A 3.2 Protéger les consommateurs pour les ventes en ligne

A 4.1 Libéraliser l’usage de la cryptographieA 1.2 Obligation d’alerte en cas

d’attaque susceptible d’impacter un réseau tiers A 3.3 Loi sur la protection des données personnelles

A 1.3 Créer l’Agence Nationale de la Sécurité des SI

Incluant le rôle de la Commission de contrôle de la protection des données personnelles

A 5.2 Constituer le Cert.ma

A 1.4 Renforcer le rôle de surveillance de la certification

électronique par l’ANRT (incluant l’agrément des PSC)

A 2.2 Formation des forces de l’ordre spécialisées aux TIC et à la SSI

A 3.4 Confier le développement de l’économie numérique au Conseil Nationale des Technologies de l’Information et de l’économie numérique

A 1.5 Programme de communication au grand public sur la SSi

A 2.3 Formation des magistrats en fonction aux TIC et à la SSI

A 3.5 Communication sur le e-commerce (labellisation des sites, paiement en ligne)

A 4.2 Communication sur le cadre législatif marocain relatif aux TIC

A 1.6 Programme de communication aux entreprises sur la SSI

A 2.4 Inclusion des TIC et de la SSI dans le programme de l’ISM

A 3.6 Formation des écoliers, lycéens et étudiants aux bonnes pratiques sur

Internet

A 4.3 Constitution d’un pôle de compétitivité marocain consacré à la SSI

A 1.7 Inclusion de la SSI dans le programme de formation des

ingénieurs

A 2.5 Sensibilisation des lycéens et étudiants au droit des SI

A 3.7 Sites web d’information sur l’Internet sans crainte (pour les parents)

Force de police spécialisée

…qui se décline en actions :

8

©2008 Deloitte ConseilForum de l’Administration Electronique - Edition 2008

Ce qui est en cours au DEPT&NT

●Préparation du département à la conformité ISO 27001− Pour ses services internes

− Cette démarche sera mutualisable et partageable avec les autres administrations intéressées

●Constitution d’un CERT marocain

9

.ma

©2008 Deloitte ConseilForum de l’Administration Electronique - Edition 2008

Pour laisser ces situations au domaine de la fiction !

10

Merci de votre attention