Introduction de la loi 07-03 qui a comblé un vide juridique important face au phénomène de la cybercriminalité qui est devenu préoccupant pour les autorités sécuritaires du Maroc.
Présentation du CSSSI, la DGSSI et la stratégie marocaine de lutte contre la cybercriminalité
1. Pr. Radouane MrabetPr. Radouane MrabetPr. Radouane MrabetPr. Radouane Mrabet
ENSIAS, Université Mohammed V de Rabat
Année Universitaire 2016Année Universitaire 2016Année Universitaire 2016Année Universitaire 2016----2017201720172017
mrabet@um5s.net.ma
ma.linkedin.com/in/radouanemrabet
2. C3 : CybercriminalitéC3 : CybercriminalitéC3 : CybercriminalitéC3 : Cybercriminalité
Législation sur la cybercriminalitéLégislation sur la cybercriminalitéLégislation sur la cybercriminalitéLégislation sur la cybercriminalité
au Marocau Marocau Marocau Maroc –––– Loi 07Loi 07Loi 07Loi 07----03030303au Marocau Marocau Marocau Maroc –––– Loi 07Loi 07Loi 07Loi 07----03030303
Année Universitaire 2016Année Universitaire 2016Année Universitaire 2016Année Universitaire 2016----2017201720172017
3. Les premières dispositions législatives
concernant la cybercriminalité au Maroc sont
apparues en 2003, avec la parution de la loi
07-03 complétant le code pénal en ce qui
concerne les infractions relatives aux
Pr. Radouane Mrabet3333
concerne les infractions relatives aux
systèmes de traitement automatisé des
données, promulguée par le dahir n° 1-03-
197 du 16 ramadan 1424 (11 novembre
2003), Bulletin Officiel n° 5184 du 14 hija
1424 (5 février 2004).
4. La loi 07-03 comble un vide juridique important
face au phénomène de la cybercriminalité qui est
devenu préoccupant pour les autorités
sécuritaires du Maroc.
La loi 07-03 s’est inspirée des lois étrangères
similaires, notamment la loi française appelée loi
Pr. Radouane Mrabet4444
similaires, notamment la loi française appelée loi
Godfrain de 1988.
La loi 07-03 réprime pénalement de nombreux
comportements jugés malsains :
◦ Les intrusions au sein des systèmes de traitement
automatisé des données (STAD)
◦ Les atteintes aux STAD.
5. La loi 07-03 sanctionne toutes les intrusions
non autorisées dans un STAD.
Elle fait la distinction entre :
◦ Accès frauduleux : pénétration par effraction dans
un SDAT
◦ Maintien par erreur : outrepasser une autorisation
Pr. Radouane Mrabet5555
◦ Maintien par erreur : outrepasser une autorisation
d’accès donnée pour un temps déterminé. Il est
important de noter que l’intrusion accidentelle ne
peut être incriminée toute seule.
Les sanctions prévues par la loi varient selon
que l’intrusion a eu ou non une incidence sur
le SDAT.
6. L’accès au STAD peut se faire :
◦ Depuis l’extérieur du système : ainsi, un pirate qui
pénètre dans un ordinateur connecté à l’internet
tombe sous le coup de la loi.
◦ Depuis l’intérieur du système : un salarié ou un
fonctionnaire qui, depuis son poste, pénètre dans
Pr. Radouane Mrabet6666
fonctionnaire qui, depuis son poste, pénètre dans
une zone du réseau de son organisme à laquelle il
n’a pas le droit d’accéder pourra être poursuivi.
Remarque : la loi 07-03 n’a pas apporté de
précision concernant la présence ou non de
dispositifs de sécurité pour la constitution du
délit d’accès ou de maintien frauduleux.
7. Le fait d'accéder, frauduleusement, dans tout ou
partie d'un système de traitement automatisé de
données est puni d'un mois à trois mois
d'emprisonnement et de 2.000 à 10.000 dirhams
d'amende ou de l'une de ces deux peines seulement.
Est passible de la même peine toute personne qui se
maintient dans tout ou partie d'un système de
Pr. Radouane Mrabet7777
maintient dans tout ou partie d'un système de
traitement automatisé de données auquel elle a
accédé par erreurpar erreurpar erreurpar erreur et alors qu'elle n'en a pas le droit.
La peine est portée au double lorsqu'il en est résulté
soit la suppression ou la modification de données
contenues dans le système de traitement automatisé
de données, soit une altération du fonctionnement de
ce système.
8. Sans préjudice de dispositions pénales plus
sévères, est puni de six mois à deux ans
d'emprisonnement et de 10.000 à 100.000
dirhams d'amende quiconque commet les
actes prévus à l'article précédent contre tout
Pr. Radouane Mrabet8888
actes prévus à l'article précédent contre tout
ou partie d'un système de traitement
automatisé de données supposé contenir des
informations relatives à la sûreté intérieuresûreté intérieuresûreté intérieuresûreté intérieure
ou extérieure de l'ou extérieure de l'ou extérieure de l'ou extérieure de l'EtatEtatEtatEtat ou des secretsou des secretsou des secretsou des secrets
concernant l'économie nationaleconcernant l'économie nationaleconcernant l'économie nationaleconcernant l'économie nationale.
9. Sans préjudice de dispositions pénales plus
sévères, la peine est portée de deux ans à cinq
ans d'emprisonnement et de 100.000 à 200.000
dirhams d'amende lorsqu'il résulte des actes
réprimés au premier alinéa du présent article soit
la modification ou la suppression de donnéesla modification ou la suppression de donnéesla modification ou la suppression de donnéesla modification ou la suppression de données
contenues dans le système de traitement
Pr. Radouane Mrabet9999
contenues dans le système de traitement
automatisé des données, soit une altération dualtération dualtération dualtération du
fonctionnement de ce systèmefonctionnement de ce systèmefonctionnement de ce systèmefonctionnement de ce système ou lorsque lesdits
actes sont commis par un fonctionnaire ou un
employé lors de l'exercice de ses fonctions ou à
l'occasion de cet exercice ou s'il en facilite
l'accomplissement à autrui.
10. Les atteintes considérées par la loi 07-03 sont de
deux types :
◦ Atteintes au fonctionnement du STAD (article 607-5) :
Attaque DoS
Changement de mots de passe
Blocage d’une application ou d’un fichier
Pr. Radouane Mrabet10101010
Blocage d’une application ou d’un fichier
Introduction d’un virus, etc.
◦ Atteintes aux données contenues dans le STAD (607-6).
Remarques :
◦ La loi 07-03 n’a pas exigé que l’atteinte soit commise
« au mépris des droits d’autrui (ﺍﻵﺧﺭﻳﻥ ﺣﻘﻭﻕ )ﺗﺟﺎﻫﻝ ».
◦ Elle n’a pas précisé les objectifs du fraudeur : est-ce qu’il
souhaite gagner de l’argent, par exemple, en commettant
son acte.
11. Le fait d'entraver ou de fausser
intentionnellement le fonctionnement d'un
système de traitement automatisé de
données est puni d'un an à trois ans
d'emprisonnement et de 10.000 à 200.000
Pr. Radouane Mrabet11111111
d'emprisonnement et de 10.000 à 200.000
dirhams d'amende ou de l'une de ces deux
peines seulement.
Le législateur n’a pas précisé dans cet article les méthodes
utilisées pour entraver ou fausser le fonctionnement
d’un STAD. Elles peuvent être physiques ou
Électroniques.
12. Le fait d'introduire frauduleusement des
données dans un système de traitement
automatisé des données ou de détériorer ou
de supprimer ou de modifier
frauduleusement les données qu'il contient,
Pr. Radouane Mrabet12121212
frauduleusement les données qu'il contient,
leur mode de traitement ou de transmission,
est puni d'un an à trois ans
d'emprisonnement et de 10.000 à 200.000
dirhams d'amende ou de l'une de ces deux
peines seulement.
13. 1. Falsification de documents informatisés
(Article 607-7);
2. Utilisation de documents informatisés
falsifiés (Article 607-7) ;
3. Tentative des délits (intrusions, atteintes)
(Article 607-8) ;
Pr. Radouane Mrabet13131313
3. Tentative des délits (intrusions, atteintes)
(Article 607-8) ;
4. Participation à une association ou à une
entente pour mener des infractions (Article
607-9) ;
5. Fabrication ou acquisition de matériels en
vue de mener des infractions (Article 607-
10).
14. Sans préjudice de dispositions pénales plus
sévères, le faux ou la falsification de documents
informatisés, quelle que soit leur forme, de
nature à causer un préjudice à autrui, est puni
d'un emprisonnement d'un an à cinq ans et d'une
amende de 10.000 à 1.000.000 de dirhams.
Pr. Radouane Mrabet14141414
amende de 10.000 à 1.000.000 de dirhams.
Sans préjudice de dispositions pénales plus
sévères, la même peine est applicable à
quiconque fait sciemment usage des documents
informatisés visés à l'alinéa précédent.
15. La tentative des délitstentative des délitstentative des délitstentative des délits prévus par les articles
607-3 à 607-7 ci-dessus et par l'article 607-
10 ci-après est punie des mêmes peines que
le délit lui même.
Pr. Radouane Mrabet15151515
16. Quiconque aura participé à une association
formée ou à une entente établie en vue de la
préparation, concrétisée par un ou plusieurs
faits matériels, d'une ou de plusieurs
infractions prévues au présent chapitre est
Pr. Radouane Mrabet16161616
infractions prévues au présent chapitre est
puni des peines prévues pour l'infraction elle-
même ou pour l'infraction la plus sévèrement
réprimée.
17. Est puni d'un emprisonnement de deux à cinq
ans et d'une amende de 50.000 à 2.000.000
de dirhams le fait, pour toute personne, de
fabriquer, d'acquérir, de détenir, de céder,
d'offrir ou de mettre à disposition des
Pr. Radouane Mrabet17171717
d'offrir ou de mettre à disposition des
équipements, instruments, programmes
informatiques ou toutes données, conçus ou
spécialement adaptés pour commettre les
infractions prévues au présent chapitre.
18. Sous réserve des droits du tiers de bonne foi, le
tribunal peut prononcer la confiscation des
matériels ayant servi à commettre les infractions
prévues au présent chapitre et de la chose qui en
est le produit.
Le coupable peut, en outre, être frappé pour une
durée de deux à dix ans de l'interdiction
Pr. Radouane Mrabet18181818
Le coupable peut, en outre, être frappé pour une
durée de deux à dix ans de l'interdiction
d'exercice d'un ou de plusieurs des droits
mentionnés à l'article 40 du présent code.
L'incapacité d'exercer toute fonction ou emploi
publics pour une durée de deux à dix ans ainsi
que la publication ou l'affichage de la décision de
condamnation peuvent également être
prononcés.
19. Pr. Radouane Mrabet19191919
Source : M.Source : M.Source : M.Source : M. MyMyMyMy Al Hassan AlAl Hassan AlAl Hassan AlAl Hassan Al DakiDakiDakiDaki, Procureur du Roi, Procureur du Roi, Procureur du Roi, Procureur du Roi auprès de la cour d’appel de Rabatauprès de la cour d’appel de Rabatauprès de la cour d’appel de Rabatauprès de la cour d’appel de Rabat
21. Constituent des actes de terrorismeterrorismeterrorismeterrorisme,
lorsqu'elles sont intentionnellement en
relation avec une entreprise individuelle ou
collective ayant pour but l'atteinte grave à
l'ordre public par l'intimidation, la terreur ou
Pr. Radouane Mrabet21212121
l'ordre public par l'intimidation, la terreur ou
la violence, les infractions suivantes :
1) l'atteinte volontaire à la vie des personnes
ou à leur intégrité, ou à leurs libertés,
l'enlèvement ou la séquestration des
personnes ;
22. 2) la contrefaçon ou la falsification des monnaies …
3) les destructions, dégradations ou détériorations ;
4) le détournement, la dégradation d'aéronefs ou …
5) le vol et l'extorsion des biens ;
6) la fabrication, la détention, le transport, …
7) les infractions relatives aux systèmes de traitement7) les infractions relatives aux systèmes de traitement7) les infractions relatives aux systèmes de traitement7) les infractions relatives aux systèmes de traitement
Pr. Radouane Mrabet22222222
7) les infractions relatives aux systèmes de traitement7) les infractions relatives aux systèmes de traitement7) les infractions relatives aux systèmes de traitement7) les infractions relatives aux systèmes de traitement
automatisé des données ;automatisé des données ;automatisé des données ;automatisé des données ;
8) le faux ou la falsification en matière de chèque ….
9) la participation à une association formée ou …
10) le recel sciemment du produit d'une infraction de
terrorisme.
23. Est puni d'un emprisonnement de 2 à 6 ans et
d'une amende de 10.000 à 200.000 dirhams,
quiconque fait l'apologie d'actes constituant desl'apologie d'actes constituant desl'apologie d'actes constituant desl'apologie d'actes constituant des
infractions de terrorismeinfractions de terrorismeinfractions de terrorismeinfractions de terrorisme, par les discours, cris
ou menaces proférés dans les lieux ou les
réunions publics ou par des écrits, des imprimés
Pr. Radouane Mrabet23232323
réunions publics ou par des écrits, des imprimés
vendus, distribués ou mis en vente ou exposés
dans les lieux ou réunions publics soit par des
affiches exposées au regard du public par les
différents moyens d'information audio-visuels et
électroniquesélectroniquesélectroniquesélectroniques.
24. Pr. Radouane MrabetPr. Radouane MrabetPr. Radouane MrabetPr. Radouane Mrabet
ENSIAS, Université Mohammed V de Rabat
Année Universitaire 2016Année Universitaire 2016Année Universitaire 2016Année Universitaire 2016----2017201720172017
mrabet.radouane@yahoo.com
ma.linkedin.com/in/radouanemrabet
25. Le CSSSI a été créé conformément au décret n°
2-11-508 du 22 chaoual 1432 (21 septembre
2011).
Missions :
◦ définir les orientations stratégiques en matière de
sécurité des systèmes d'information ;
Pr. Radouane Mrabet25252525
sécurité des systèmes d'information ;
◦ approuver le plan d'action de la Direction Générale
de la Sécurité des Systèmes d'Information (DGSSI) et
d'apprécier et évaluer ses résultats ;
◦ arrêter le périmètre des audits de la sécurité des SI
et les modalités de leur exécution par la DGSSI ;
◦ donner son avis sur les projets de lois et règlements
se rapportant au domaine de la sécurité des SI.
26. Ministre chargé de l'Administration de la Défense Nationale, Président
Ministre de l'intérieur;
Ministre des affaires étrangères et de la coopération;
Ministre de l'économie et des finances;
Ministre de l'industrie, du commerce et des nouvelles technologies;
Inspecteur général des Forces Armées Royales;
Commandant de la gendarmerie royale;
Pr. Radouane Mrabet26262626
Commandant de la gendarmerie royale;
Directeur général de la sûreté nationale;
Directeur général des études et de la documentation;
Directeur général de la surveillance du territoire;
Chef du 5ème bureau de l'état-major général des Forces Armées
Royales;
Inspecteur des transmissions des Forces Armées Royales;
Directeur général de la sécurité des systèmes d'information;
Directeur général de l'Agence Nationale de Réglementation des
Télécommunications.
27.
28. La DGSSI a été créé conformément au décret
n° 2-11-509 du 21 septembre 2011.
Elle est rattachée à l'Administration de la
Défense Nationale du Royaume du Maroc.
La DGSSI est chargée de:
Pr. Radouane Mrabet28282828
La DGSSI est chargée de:
◦ coordonner les travaux interministériels relatifs
à l’élaboration et la mise en œuvre de la stratégie
de l’Etat en matière de sécurité des SI ;
◦ veiller à l’application des directives et orientations
du CSSSI ;
◦ proposer des normes et des règles spécifiques à
la sécurité des SI de l’Etat ;
29. La DGSSI est chargée de (suite) :
◦ délivrer des autorisations et gérer les déclarations
relatives aux moyens et aux prestations de cryptographie ;
◦ certifier les dispositifs de création et de vérification de
signature électronique et agréer les prestataires de service
pour la certification électronique ;
◦ assister et conseiller les secteurs public & privé pour la
Pr. Radouane Mrabet29292929
◦ assister et conseiller les secteurs public & privé pour la
mise en place de la sécurité de leurs SI ;
◦ développer l’expertise scientifique et technique dans le
domaine de la sécurité des systèmes d’information ;
◦ assurer les audits de sécurité des SI des administrations et
organismes publics dont le périmètre et les modalités
seront fixés par le comité stratégique de la sécurité des
systèmes d’information ;
30. La DGSSI est chargée de (suite) :
◦ mettre en place, en relation avec les départements ministériels,
un système de veille, de détection, d’alerte des événements
affectant ou susceptibles d’affecter la sécurité des SI de l’Etat
et coordonner les mesures devant être prises à cet effet ;
◦ saisir le CSSSI en cas d’urgence ou de menace affectant ou
susceptible d’affecter la sécurité des SI de l’Etat ;
◦ assurer la veille technologique pour anticiper les évolutions et
Pr. Radouane Mrabet30303030
◦ assurer la veille technologique pour anticiper les évolutions et
proposer les innovations en matière de sécurité des SI ;
◦ développer et coordonner, en concertation avec les
administrations concernées, les relations et partenariats avec les
organismes étrangers dans le domaine de la sécurité des SI ;
◦ organiser des cycles de formation et des actions de
sensibilisation au profit du personnel des administrations et
organismes publics ;
◦ assurer le secrétariat du CSSSI.
31. La DGSSI comporte quatre (04) Directions :
1. La Direction de la Stratégie et de la
Réglementation
2. La Direction de l'Assistance, de la Formation, du
Contrôle et de l'Expertise
Pr. Radouane Mrabet31313131
Contrôle et de l'Expertise
3. La Direction des Systèmes d'Information
Sécurisés
4. La Direction de Gestion du Centre de Veille,
Détection et Réponse aux attaques
informatiques (maCERT)
34. La définition d’une stratégie de sécurité desLa définition d’une stratégie de sécurité desLa définition d’une stratégie de sécurité desLa définition d’une stratégie de sécurité des
systèmes d’information passe par :systèmes d’information passe par :systèmes d’information passe par :systèmes d’information passe par :
La prise en compte de l’analyse des risques liés au
cyberespace selon un processus dynamique et
continu pour guider la démarche de sécurité
préconisée ;
La définition d’une Politique de Sécurité des
Pr. Radouane Mrabet34343434
préconisée ;
La définition d’une Politique de Sécurité des
Systèmes d’Information permettant de traduire la
compréhension des risques encourus et de leurs
impacts en des mesures de sécurité à
implémenter;
Le déploiement de solutions à même de sécuriser
les systèmes informatiques et les infrastructures
de télécommunications ;
35. La définition d’une stratégie de sécurité desLa définition d’une stratégie de sécurité desLa définition d’une stratégie de sécurité desLa définition d’une stratégie de sécurité des
systèmes d’information passe par (suite) :systèmes d’information passe par (suite) :systèmes d’information passe par (suite) :systèmes d’information passe par (suite) :
La mise en place d’une démarche de détection
et de réaction aux menaces.
La mise en place d’unLa mise en place d’unLa mise en place d’unLa mise en place d’un cadre légalcadre légalcadre légalcadre légal approprié ;approprié ;approprié ;approprié ;
Pr. Radouane Mrabet35353535
La mise en place d’unLa mise en place d’unLa mise en place d’unLa mise en place d’un cadre légalcadre légalcadre légalcadre légal approprié ;approprié ;approprié ;approprié ;
L’encouragement de la R & D dans le domaine
de la sécurité des SI ainsi que l’obligation du
respect d’un minimum de normes ;
La sensibilisation de l’ensemble des acteurs
afin de promouvoir une culture de la
cybersécurité.
36. 1. Évaluation des risques pesant sur les systèmes
d’information au sein des administrations,
organismes publics et infrastructures
d’importance vitale ;
2. Protection et défense des systèmes d’information
Pr. Radouane Mrabet36363636
2. Protection et défense des systèmes d’information
des administrations, organismes publics et
infrastructures d’importance vitale ;
3. Renforcement des fondements de la sécurité :
cadre juridique, sensibilisation, formation et
recherche & développement ;
4. Promotion et développement de la coopération
nationale et internationale.
37. Avant la mise en place de mesures préventives
de sécurité, il faut procéder à une analyse des
risques pour pouvoir estimer les pertes
potentielles liées à une défaillance de la
disponibilité, de l’intégrité ou encore de la
Pr. Radouane Mrabet37373737
disponibilité, de l’intégrité ou encore de la
confidentialité des données sans pour autant
perdre de vue que l’impact majeur est souvent
la perte de renommée et de la confiance en
l’entité concernée.
38. La mise en œuvre cohérente et efficace de
systèmes sécurisés au sein de l’Etat exige
l’adoption de méthodes d’analyse de risques,
de politiques et de standards de sécurité
cohérents et adaptés aux contextes.
Pr. Radouane Mrabet38383838
cohérents et adaptés aux contextes.
Les mesures de sécurité organisationnelles et
techniques décrites dans ces politiques et
standards doivent être appliquées par les
différentes administrations, organismes
publics et infrastructures d’importance vitale.
39. Ce premier axe sera mis en œuvre selon
deux programmes :
i. Élaborer des plans d’évaluation des risquesi. Élaborer des plans d’évaluation des risquesi. Élaborer des plans d’évaluation des risquesi. Élaborer des plans d’évaluation des risques
et menaceset menaceset menaceset menaces
ii. Mettre en place des outils d’aide à la priseii. Mettre en place des outils d’aide à la priseii. Mettre en place des outils d’aide à la priseii. Mettre en place des outils d’aide à la prise
Pr. Radouane Mrabet39393939
ii. Mettre en place des outils d’aide à la priseii. Mettre en place des outils d’aide à la priseii. Mettre en place des outils d’aide à la priseii. Mettre en place des outils d’aide à la prise
de décisionde décisionde décisionde décision
40. Définir une grille d’évaluation du degré de criticité
des SI des administrations, organismes publics et
infrastructures d’importance vitale ;
Recenser, identifier et classifier les SI des
administrations, organismes publics et
infrastructures d’importance vitale ;
Évaluer périodiquement le niveau du risque pesant
Pr. Radouane Mrabet40404040
Évaluer périodiquement le niveau du risque pesant
sur les SI des administrations, organismes publics
et infrastructures d’importance vitale ;
Evaluer les plans de gestion du risque adoptés par
les administrations, organismes publics et
infrastructures d’importance vitale ;
Identifier les SI des administrations et des
organismes publics devant être supervisés par le
maCERT.
41. Mener des enquêtes pour collecter des
données d’ordres juridiques, techniques et
procédurales ayant trait à la sécurité des SI ;
Produire des données statistiques et des
indicateurs de suivi ;
Pr. Radouane Mrabet41414141
indicateurs de suivi ;
Assurer la veille technologique, juridique et
réglementaire.
42. Les SI exigent une protection matérielle et
immatérielle contre tous types de menaces. Il est
nécessaire de se doter de capacités suffisantes pour
détecter les intrusions et pour réagir en cas de
détection d’incident, de le traiter de manière efficace
et de rétablir rapidement l’opérabilité des systèmes
affectés.
Pr. Radouane Mrabet42424242
affectés.
Cet axe sera mis en œuvre selon trois programmes :
i. Élaboration de référentiels et de normes nationauxi. Élaboration de référentiels et de normes nationauxi. Élaboration de référentiels et de normes nationauxi. Élaboration de référentiels et de normes nationaux
ii. Renforcer la sécurité des SI des administrations,ii. Renforcer la sécurité des SI des administrations,ii. Renforcer la sécurité des SI des administrations,ii. Renforcer la sécurité des SI des administrations,
organismes publics et infrastructures d’importanceorganismes publics et infrastructures d’importanceorganismes publics et infrastructures d’importanceorganismes publics et infrastructures d’importance
vitalevitalevitalevitale
iii. Renforcer les structures de veille, de détection etiii. Renforcer les structures de veille, de détection etiii. Renforcer les structures de veille, de détection etiii. Renforcer les structures de veille, de détection et
de réponse aux incidents informatiquesde réponse aux incidents informatiquesde réponse aux incidents informatiquesde réponse aux incidents informatiques
43. Identifier les normes et les meilleures
pratiques de sécurité des technologies de
l’information ;
Définir la Politique de la Sécurité des
Pr. Radouane Mrabet43434343
Définir la Politique de la Sécurité des
Systèmes d’Information (PSSI) nationale au
profit des administrations, organismes
publics et infrastructures d’importance vitale ;
Élaborer des guides et des référentiels pour
implémenter des politiques de sécurité des
systèmes d’information spécifiques.
44. Veiller à la mise en œuvre de la PSSI ;
Étudier la faisabilité et initier la mise en place
progressive d’un réseau de transmission
interministériel sécurisé ;
Pr. Radouane Mrabet44444444
progressive d’un réseau de transmission
interministériel sécurisé ;
Impliquer les opérateurs et les fournisseurs
de services Internet dans la sécurité des SI ;
Amener les administrations, les organismes
publics et les infrastructures d’importance
vitale à se faire auditer en vue d’être certifié
ISO 27001 ou équivalent.
45. Renforcer les capacités du maCERT pour offrir les
principaux services et intégrer le maximum de parties
prenantes, conformément aux standards
internationaux ;
Inciter les administrations, les organismes publics les
Pr. Radouane Mrabet45454545
Inciter les administrations, les organismes publics les
infrastructures d’importance vitale en fonction de
l’envergure de leurs SI à avoir des points focaux ou à
mettre en place des Centres Opérationnels de Sécurité
(SOC) des Systèmes d’Information ;
Formaliser et mettre en œuvre les mécanismes
d’échange d’informations relatifs aux traitements des
alertes et des incidents entre le maCERT et les parties
prenantes.
46. Cet axe sera mis en œuvre selon quatre
programmes :
i. Renforcer le cadre juridique pour instaurer la
confiance numérique
ii. Identifier et organiser des programmes de
Pr. Radouane Mrabet46464646
ii. Identifier et organiser des programmes de
formation aux questions techniques et juridiques
que pose la cybersécurité
iii. Sensibiliser sur la cyber-éthique et les menaces
et risques liés à la sécurité des SI
iv. Soutenir la recherche et le développement de
produits de la sécurité des SI nationaux pour
garantir l’autonomie scientifique et technique
47. Mettre à niveau le cadre légal et réglementaire
pour prendre en compte les exigences
spécifiques de la sécurité des SI notamment
ceux relatifs aux prestations de certification
électronique et à la cryptographie;
Pr. Radouane Mrabet47474747
électronique et à la cryptographie;
Examiner les recommandations des
institutions régionales et internationales pour
une éventuelle application dans la
réglementation nationale.
48. Définir les profils de compétence adéquats
dans le domaine de la cybersécurité ;
Arrêter les programmes de formation en
cybersécurité et veiller à leur application ;
Promouvoir le développement et la distribution
Pr. Radouane Mrabet48484848
Promouvoir le développement et la distribution
des supports éducatifs.
49. Mettre en œuvre des programmes de
sensibilisation à la sécurité des systèmes
d’information ;
Sensibiliser la population notamment les
enfants et les utilisateurs individuels sur la
Pr. Radouane Mrabet49494949
enfants et les utilisateurs individuels sur la
cyber-éthique et les menaces et risques liés à
la sécurité des SI.
50. Encourager le développement de solutions
nationales dans le domaine de la sécurité
informatique ;
Recenser les travaux de recherche
universitaires dans le domaine de la sécurité
Pr. Radouane Mrabet50505050
universitaires dans le domaine de la sécurité
des SI et suivre de près leur évolution ;
Identifier les experts nationaux et
internationaux qui pourraient apporter une
assistance pour résoudre les problèmes de
cybersécurité.
51. Cet axe sera exécuté selon deux programmes :
i. Identifier les thématiques et mécanismes dei. Identifier les thématiques et mécanismes dei. Identifier les thématiques et mécanismes dei. Identifier les thématiques et mécanismes de
coopérationcoopérationcoopérationcoopération
ii. Conclure des partenariats et les mettre enii. Conclure des partenariats et les mettre enii. Conclure des partenariats et les mettre enii. Conclure des partenariats et les mettre en
œuvreœuvreœuvreœuvre
Pr. Radouane Mrabet51515151
œuvreœuvreœuvreœuvre
52. Identifier les programmes et les thématiques de
coopération
Explorer les possibilités offertes en matière de
coopération avec les milieux universitaires,
Pr. Radouane Mrabet52525252
coopération avec les milieux universitaires,
organismes de régulation, secteurs privés, etc. ;
Identifier et établir les mécanismes et les
modalités de la coopération.
53. Nouer des partenariats avec les acteurs
identifiés dans le domaine de la sécurité des
SI ;
Mettre en œuvre et évaluer les programmes
Pr. Radouane Mrabet53535353
Mettre en œuvre et évaluer les programmes
de coopération.
54. Merci pour votre écouteMerci pour votre écouteMerci pour votre écouteMerci pour votre écoute
Pr. Radouane MrabetPr. Radouane MrabetPr. Radouane MrabetPr. Radouane Mrabet
ENSIAS, Université Mohammed V de RabatENSIAS, Université Mohammed V de Rabat
@radouane_mrabetmrabet.radouane@yahoo.com