SlideShare une entreprise Scribd logo
Pr. Radouane MrabetPr. Radouane MrabetPr. Radouane MrabetPr. Radouane Mrabet
ENSIAS, Université Mohammed V de Rabat
Année Universitaire 2016Année Universitaire 2016Année Universitaire 2016Année Universitaire 2016----2017201720172017
mrabet@um5s.net.ma
ma.linkedin.com/in/radouanemrabet
C3 : CybercriminalitéC3 : CybercriminalitéC3 : CybercriminalitéC3 : Cybercriminalité
Législation sur la cybercriminalitéLégislation sur la cybercriminalitéLégislation sur la cybercriminalitéLégislation sur la cybercriminalité
au Marocau Marocau Marocau Maroc –––– Loi 07Loi 07Loi 07Loi 07----03030303au Marocau Marocau Marocau Maroc –––– Loi 07Loi 07Loi 07Loi 07----03030303
Année Universitaire 2016Année Universitaire 2016Année Universitaire 2016Année Universitaire 2016----2017201720172017
Les premières dispositions législatives
concernant la cybercriminalité au Maroc sont
apparues en 2003, avec la parution de la loi
07-03 complétant le code pénal en ce qui
concerne les infractions relatives aux
Pr. Radouane Mrabet3333
concerne les infractions relatives aux
systèmes de traitement automatisé des
données, promulguée par le dahir n° 1-03-
197 du 16 ramadan 1424 (11 novembre
2003), Bulletin Officiel n° 5184 du 14 hija
1424 (5 février 2004).
La loi 07-03 comble un vide juridique important
face au phénomène de la cybercriminalité qui est
devenu préoccupant pour les autorités
sécuritaires du Maroc.
La loi 07-03 s’est inspirée des lois étrangères
similaires, notamment la loi française appelée loi
Pr. Radouane Mrabet4444
similaires, notamment la loi française appelée loi
Godfrain de 1988.
La loi 07-03 réprime pénalement de nombreux
comportements jugés malsains :
◦ Les intrusions au sein des systèmes de traitement
automatisé des données (STAD)
◦ Les atteintes aux STAD.
La loi 07-03 sanctionne toutes les intrusions
non autorisées dans un STAD.
Elle fait la distinction entre :
◦ Accès frauduleux : pénétration par effraction dans
un SDAT
◦ Maintien par erreur : outrepasser une autorisation
Pr. Radouane Mrabet5555
◦ Maintien par erreur : outrepasser une autorisation
d’accès donnée pour un temps déterminé. Il est
important de noter que l’intrusion accidentelle ne
peut être incriminée toute seule.
Les sanctions prévues par la loi varient selon
que l’intrusion a eu ou non une incidence sur
le SDAT.
L’accès au STAD peut se faire :
◦ Depuis l’extérieur du système : ainsi, un pirate qui
pénètre dans un ordinateur connecté à l’internet
tombe sous le coup de la loi.
◦ Depuis l’intérieur du système : un salarié ou un
fonctionnaire qui, depuis son poste, pénètre dans
Pr. Radouane Mrabet6666
fonctionnaire qui, depuis son poste, pénètre dans
une zone du réseau de son organisme à laquelle il
n’a pas le droit d’accéder pourra être poursuivi.
Remarque : la loi 07-03 n’a pas apporté de
précision concernant la présence ou non de
dispositifs de sécurité pour la constitution du
délit d’accès ou de maintien frauduleux.
Le fait d'accéder, frauduleusement, dans tout ou
partie d'un système de traitement automatisé de
données est puni d'un mois à trois mois
d'emprisonnement et de 2.000 à 10.000 dirhams
d'amende ou de l'une de ces deux peines seulement.
Est passible de la même peine toute personne qui se
maintient dans tout ou partie d'un système de
Pr. Radouane Mrabet7777
maintient dans tout ou partie d'un système de
traitement automatisé de données auquel elle a
accédé par erreurpar erreurpar erreurpar erreur et alors qu'elle n'en a pas le droit.
La peine est portée au double lorsqu'il en est résulté
soit la suppression ou la modification de données
contenues dans le système de traitement automatisé
de données, soit une altération du fonctionnement de
ce système.
Sans préjudice de dispositions pénales plus
sévères, est puni de six mois à deux ans
d'emprisonnement et de 10.000 à 100.000
dirhams d'amende quiconque commet les
actes prévus à l'article précédent contre tout
Pr. Radouane Mrabet8888
actes prévus à l'article précédent contre tout
ou partie d'un système de traitement
automatisé de données supposé contenir des
informations relatives à la sûreté intérieuresûreté intérieuresûreté intérieuresûreté intérieure
ou extérieure de l'ou extérieure de l'ou extérieure de l'ou extérieure de l'EtatEtatEtatEtat ou des secretsou des secretsou des secretsou des secrets
concernant l'économie nationaleconcernant l'économie nationaleconcernant l'économie nationaleconcernant l'économie nationale.
Sans préjudice de dispositions pénales plus
sévères, la peine est portée de deux ans à cinq
ans d'emprisonnement et de 100.000 à 200.000
dirhams d'amende lorsqu'il résulte des actes
réprimés au premier alinéa du présent article soit
la modification ou la suppression de donnéesla modification ou la suppression de donnéesla modification ou la suppression de donnéesla modification ou la suppression de données
contenues dans le système de traitement
Pr. Radouane Mrabet9999
contenues dans le système de traitement
automatisé des données, soit une altération dualtération dualtération dualtération du
fonctionnement de ce systèmefonctionnement de ce systèmefonctionnement de ce systèmefonctionnement de ce système ou lorsque lesdits
actes sont commis par un fonctionnaire ou un
employé lors de l'exercice de ses fonctions ou à
l'occasion de cet exercice ou s'il en facilite
l'accomplissement à autrui.
Les atteintes considérées par la loi 07-03 sont de
deux types :
◦ Atteintes au fonctionnement du STAD (article 607-5) :
Attaque DoS
Changement de mots de passe
Blocage d’une application ou d’un fichier
Pr. Radouane Mrabet10101010
Blocage d’une application ou d’un fichier
Introduction d’un virus, etc.
◦ Atteintes aux données contenues dans le STAD (607-6).
Remarques :
◦ La loi 07-03 n’a pas exigé que l’atteinte soit commise
« au mépris des droits d’autrui (‫ﺍﻵﺧﺭﻳﻥ‬ ‫ﺣﻘﻭﻕ‬ ‫)ﺗﺟﺎﻫﻝ‬ ».
◦ Elle n’a pas précisé les objectifs du fraudeur : est-ce qu’il
souhaite gagner de l’argent, par exemple, en commettant
son acte.
Le fait d'entraver ou de fausser
intentionnellement le fonctionnement d'un
système de traitement automatisé de
données est puni d'un an à trois ans
d'emprisonnement et de 10.000 à 200.000
Pr. Radouane Mrabet11111111
d'emprisonnement et de 10.000 à 200.000
dirhams d'amende ou de l'une de ces deux
peines seulement.
Le législateur n’a pas précisé dans cet article les méthodes
utilisées pour entraver ou fausser le fonctionnement
d’un STAD. Elles peuvent être physiques ou
Électroniques.
Le fait d'introduire frauduleusement des
données dans un système de traitement
automatisé des données ou de détériorer ou
de supprimer ou de modifier
frauduleusement les données qu'il contient,
Pr. Radouane Mrabet12121212
frauduleusement les données qu'il contient,
leur mode de traitement ou de transmission,
est puni d'un an à trois ans
d'emprisonnement et de 10.000 à 200.000
dirhams d'amende ou de l'une de ces deux
peines seulement.
1. Falsification de documents informatisés
(Article 607-7);
2. Utilisation de documents informatisés
falsifiés (Article 607-7) ;
3. Tentative des délits (intrusions, atteintes)
(Article 607-8) ;
Pr. Radouane Mrabet13131313
3. Tentative des délits (intrusions, atteintes)
(Article 607-8) ;
4. Participation à une association ou à une
entente pour mener des infractions (Article
607-9) ;
5. Fabrication ou acquisition de matériels en
vue de mener des infractions (Article 607-
10).
Sans préjudice de dispositions pénales plus
sévères, le faux ou la falsification de documents
informatisés, quelle que soit leur forme, de
nature à causer un préjudice à autrui, est puni
d'un emprisonnement d'un an à cinq ans et d'une
amende de 10.000 à 1.000.000 de dirhams.
Pr. Radouane Mrabet14141414
amende de 10.000 à 1.000.000 de dirhams.
Sans préjudice de dispositions pénales plus
sévères, la même peine est applicable à
quiconque fait sciemment usage des documents
informatisés visés à l'alinéa précédent.
La tentative des délitstentative des délitstentative des délitstentative des délits prévus par les articles
607-3 à 607-7 ci-dessus et par l'article 607-
10 ci-après est punie des mêmes peines que
le délit lui même.
Pr. Radouane Mrabet15151515
Quiconque aura participé à une association
formée ou à une entente établie en vue de la
préparation, concrétisée par un ou plusieurs
faits matériels, d'une ou de plusieurs
infractions prévues au présent chapitre est
Pr. Radouane Mrabet16161616
infractions prévues au présent chapitre est
puni des peines prévues pour l'infraction elle-
même ou pour l'infraction la plus sévèrement
réprimée.
Est puni d'un emprisonnement de deux à cinq
ans et d'une amende de 50.000 à 2.000.000
de dirhams le fait, pour toute personne, de
fabriquer, d'acquérir, de détenir, de céder,
d'offrir ou de mettre à disposition des
Pr. Radouane Mrabet17171717
d'offrir ou de mettre à disposition des
équipements, instruments, programmes
informatiques ou toutes données, conçus ou
spécialement adaptés pour commettre les
infractions prévues au présent chapitre.
Sous réserve des droits du tiers de bonne foi, le
tribunal peut prononcer la confiscation des
matériels ayant servi à commettre les infractions
prévues au présent chapitre et de la chose qui en
est le produit.
Le coupable peut, en outre, être frappé pour une
durée de deux à dix ans de l'interdiction
Pr. Radouane Mrabet18181818
Le coupable peut, en outre, être frappé pour une
durée de deux à dix ans de l'interdiction
d'exercice d'un ou de plusieurs des droits
mentionnés à l'article 40 du présent code.
L'incapacité d'exercer toute fonction ou emploi
publics pour une durée de deux à dix ans ainsi
que la publication ou l'affichage de la décision de
condamnation peuvent également être
prononcés.
Pr. Radouane Mrabet19191919
Source : M.Source : M.Source : M.Source : M. MyMyMyMy Al Hassan AlAl Hassan AlAl Hassan AlAl Hassan Al DakiDakiDakiDaki, Procureur du Roi, Procureur du Roi, Procureur du Roi, Procureur du Roi auprès de la cour d’appel de Rabatauprès de la cour d’appel de Rabatauprès de la cour d’appel de Rabatauprès de la cour d’appel de Rabat
Article 218 du code pénal
traitant du terrorisme
Constituent des actes de terrorismeterrorismeterrorismeterrorisme,
lorsqu'elles sont intentionnellement en
relation avec une entreprise individuelle ou
collective ayant pour but l'atteinte grave à
l'ordre public par l'intimidation, la terreur ou
Pr. Radouane Mrabet21212121
l'ordre public par l'intimidation, la terreur ou
la violence, les infractions suivantes :
1) l'atteinte volontaire à la vie des personnes
ou à leur intégrité, ou à leurs libertés,
l'enlèvement ou la séquestration des
personnes ;
2) la contrefaçon ou la falsification des monnaies …
3) les destructions, dégradations ou détériorations ;
4) le détournement, la dégradation d'aéronefs ou …
5) le vol et l'extorsion des biens ;
6) la fabrication, la détention, le transport, …
7) les infractions relatives aux systèmes de traitement7) les infractions relatives aux systèmes de traitement7) les infractions relatives aux systèmes de traitement7) les infractions relatives aux systèmes de traitement
Pr. Radouane Mrabet22222222
7) les infractions relatives aux systèmes de traitement7) les infractions relatives aux systèmes de traitement7) les infractions relatives aux systèmes de traitement7) les infractions relatives aux systèmes de traitement
automatisé des données ;automatisé des données ;automatisé des données ;automatisé des données ;
8) le faux ou la falsification en matière de chèque ….
9) la participation à une association formée ou …
10) le recel sciemment du produit d'une infraction de
terrorisme.
Est puni d'un emprisonnement de 2 à 6 ans et
d'une amende de 10.000 à 200.000 dirhams,
quiconque fait l'apologie d'actes constituant desl'apologie d'actes constituant desl'apologie d'actes constituant desl'apologie d'actes constituant des
infractions de terrorismeinfractions de terrorismeinfractions de terrorismeinfractions de terrorisme, par les discours, cris
ou menaces proférés dans les lieux ou les
réunions publics ou par des écrits, des imprimés
Pr. Radouane Mrabet23232323
réunions publics ou par des écrits, des imprimés
vendus, distribués ou mis en vente ou exposés
dans les lieux ou réunions publics soit par des
affiches exposées au regard du public par les
différents moyens d'information audio-visuels et
électroniquesélectroniquesélectroniquesélectroniques.
Pr. Radouane MrabetPr. Radouane MrabetPr. Radouane MrabetPr. Radouane Mrabet
ENSIAS, Université Mohammed V de Rabat
Année Universitaire 2016Année Universitaire 2016Année Universitaire 2016Année Universitaire 2016----2017201720172017
mrabet.radouane@yahoo.com
ma.linkedin.com/in/radouanemrabet
Le CSSSI a été créé conformément au décret n°
2-11-508 du 22 chaoual 1432 (21 septembre
2011).
Missions :
◦ définir les orientations stratégiques en matière de
sécurité des systèmes d'information ;
Pr. Radouane Mrabet25252525
sécurité des systèmes d'information ;
◦ approuver le plan d'action de la Direction Générale
de la Sécurité des Systèmes d'Information (DGSSI) et
d'apprécier et évaluer ses résultats ;
◦ arrêter le périmètre des audits de la sécurité des SI
et les modalités de leur exécution par la DGSSI ;
◦ donner son avis sur les projets de lois et règlements
se rapportant au domaine de la sécurité des SI.
Ministre chargé de l'Administration de la Défense Nationale, Président
Ministre de l'intérieur;
Ministre des affaires étrangères et de la coopération;
Ministre de l'économie et des finances;
Ministre de l'industrie, du commerce et des nouvelles technologies;
Inspecteur général des Forces Armées Royales;
Commandant de la gendarmerie royale;
Pr. Radouane Mrabet26262626
Commandant de la gendarmerie royale;
Directeur général de la sûreté nationale;
Directeur général des études et de la documentation;
Directeur général de la surveillance du territoire;
Chef du 5ème bureau de l'état-major général des Forces Armées
Royales;
Inspecteur des transmissions des Forces Armées Royales;
Directeur général de la sécurité des systèmes d'information;
Directeur général de l'Agence Nationale de Réglementation des
Télécommunications.
La DGSSI a été créé conformément au décret
n° 2-11-509 du 21 septembre 2011.
Elle est rattachée à l'Administration de la
Défense Nationale du Royaume du Maroc.
La DGSSI est chargée de:
Pr. Radouane Mrabet28282828
La DGSSI est chargée de:
◦ coordonner les travaux interministériels relatifs
à l’élaboration et la mise en œuvre de la stratégie
de l’Etat en matière de sécurité des SI ;
◦ veiller à l’application des directives et orientations
du CSSSI ;
◦ proposer des normes et des règles spécifiques à
la sécurité des SI de l’Etat ;
La DGSSI est chargée de (suite) :
◦ délivrer des autorisations et gérer les déclarations
relatives aux moyens et aux prestations de cryptographie ;
◦ certifier les dispositifs de création et de vérification de
signature électronique et agréer les prestataires de service
pour la certification électronique ;
◦ assister et conseiller les secteurs public & privé pour la
Pr. Radouane Mrabet29292929
◦ assister et conseiller les secteurs public & privé pour la
mise en place de la sécurité de leurs SI ;
◦ développer l’expertise scientifique et technique dans le
domaine de la sécurité des systèmes d’information ;
◦ assurer les audits de sécurité des SI des administrations et
organismes publics dont le périmètre et les modalités
seront fixés par le comité stratégique de la sécurité des
systèmes d’information ;
La DGSSI est chargée de (suite) :
◦ mettre en place, en relation avec les départements ministériels,
un système de veille, de détection, d’alerte des événements
affectant ou susceptibles d’affecter la sécurité des SI de l’Etat
et coordonner les mesures devant être prises à cet effet ;
◦ saisir le CSSSI en cas d’urgence ou de menace affectant ou
susceptible d’affecter la sécurité des SI de l’Etat ;
◦ assurer la veille technologique pour anticiper les évolutions et
Pr. Radouane Mrabet30303030
◦ assurer la veille technologique pour anticiper les évolutions et
proposer les innovations en matière de sécurité des SI ;
◦ développer et coordonner, en concertation avec les
administrations concernées, les relations et partenariats avec les
organismes étrangers dans le domaine de la sécurité des SI ;
◦ organiser des cycles de formation et des actions de
sensibilisation au profit du personnel des administrations et
organismes publics ;
◦ assurer le secrétariat du CSSSI.
La DGSSI comporte quatre (04) Directions :
1. La Direction de la Stratégie et de la
Réglementation
2. La Direction de l'Assistance, de la Formation, du
Contrôle et de l'Expertise
Pr. Radouane Mrabet31313131
Contrôle et de l'Expertise
3. La Direction des Systèmes d'Information
Sécurisés
4. La Direction de Gestion du Centre de Veille,
Détection et Réponse aux attaques
informatiques (maCERT)
http://www.dgssi.gov.ma/publications/docu
ments/publication/article/strategie-
nationale-en-matiere-de-cybersecurite.html
Publié le 18 avril 2013
La stratégie a été établie en vue d’assurer la
Pr. Radouane Mrabet33333333
La stratégie a été établie en vue d’assurer la
protection des systèmes d’informations des
administrations, organismes publics et
infrastructures d’importance vitale.
La définition d’une stratégie de sécurité desLa définition d’une stratégie de sécurité desLa définition d’une stratégie de sécurité desLa définition d’une stratégie de sécurité des
systèmes d’information passe par :systèmes d’information passe par :systèmes d’information passe par :systèmes d’information passe par :
La prise en compte de l’analyse des risques liés au
cyberespace selon un processus dynamique et
continu pour guider la démarche de sécurité
préconisée ;
La définition d’une Politique de Sécurité des
Pr. Radouane Mrabet34343434
préconisée ;
La définition d’une Politique de Sécurité des
Systèmes d’Information permettant de traduire la
compréhension des risques encourus et de leurs
impacts en des mesures de sécurité à
implémenter;
Le déploiement de solutions à même de sécuriser
les systèmes informatiques et les infrastructures
de télécommunications ;
La définition d’une stratégie de sécurité desLa définition d’une stratégie de sécurité desLa définition d’une stratégie de sécurité desLa définition d’une stratégie de sécurité des
systèmes d’information passe par (suite) :systèmes d’information passe par (suite) :systèmes d’information passe par (suite) :systèmes d’information passe par (suite) :
La mise en place d’une démarche de détection
et de réaction aux menaces.
La mise en place d’unLa mise en place d’unLa mise en place d’unLa mise en place d’un cadre légalcadre légalcadre légalcadre légal approprié ;approprié ;approprié ;approprié ;
Pr. Radouane Mrabet35353535
La mise en place d’unLa mise en place d’unLa mise en place d’unLa mise en place d’un cadre légalcadre légalcadre légalcadre légal approprié ;approprié ;approprié ;approprié ;
L’encouragement de la R & D dans le domaine
de la sécurité des SI ainsi que l’obligation du
respect d’un minimum de normes ;
La sensibilisation de l’ensemble des acteurs
afin de promouvoir une culture de la
cybersécurité.
1. Évaluation des risques pesant sur les systèmes
d’information au sein des administrations,
organismes publics et infrastructures
d’importance vitale ;
2. Protection et défense des systèmes d’information
Pr. Radouane Mrabet36363636
2. Protection et défense des systèmes d’information
des administrations, organismes publics et
infrastructures d’importance vitale ;
3. Renforcement des fondements de la sécurité :
cadre juridique, sensibilisation, formation et
recherche & développement ;
4. Promotion et développement de la coopération
nationale et internationale.
Avant la mise en place de mesures préventives
de sécurité, il faut procéder à une analyse des
risques pour pouvoir estimer les pertes
potentielles liées à une défaillance de la
disponibilité, de l’intégrité ou encore de la
Pr. Radouane Mrabet37373737
disponibilité, de l’intégrité ou encore de la
confidentialité des données sans pour autant
perdre de vue que l’impact majeur est souvent
la perte de renommée et de la confiance en
l’entité concernée.
La mise en œuvre cohérente et efficace de
systèmes sécurisés au sein de l’Etat exige
l’adoption de méthodes d’analyse de risques,
de politiques et de standards de sécurité
cohérents et adaptés aux contextes.
Pr. Radouane Mrabet38383838
cohérents et adaptés aux contextes.
Les mesures de sécurité organisationnelles et
techniques décrites dans ces politiques et
standards doivent être appliquées par les
différentes administrations, organismes
publics et infrastructures d’importance vitale.
Ce premier axe sera mis en œuvre selon
deux programmes :
i. Élaborer des plans d’évaluation des risquesi. Élaborer des plans d’évaluation des risquesi. Élaborer des plans d’évaluation des risquesi. Élaborer des plans d’évaluation des risques
et menaceset menaceset menaceset menaces
ii. Mettre en place des outils d’aide à la priseii. Mettre en place des outils d’aide à la priseii. Mettre en place des outils d’aide à la priseii. Mettre en place des outils d’aide à la prise
Pr. Radouane Mrabet39393939
ii. Mettre en place des outils d’aide à la priseii. Mettre en place des outils d’aide à la priseii. Mettre en place des outils d’aide à la priseii. Mettre en place des outils d’aide à la prise
de décisionde décisionde décisionde décision
Définir une grille d’évaluation du degré de criticité
des SI des administrations, organismes publics et
infrastructures d’importance vitale ;
Recenser, identifier et classifier les SI des
administrations, organismes publics et
infrastructures d’importance vitale ;
Évaluer périodiquement le niveau du risque pesant
Pr. Radouane Mrabet40404040
Évaluer périodiquement le niveau du risque pesant
sur les SI des administrations, organismes publics
et infrastructures d’importance vitale ;
Evaluer les plans de gestion du risque adoptés par
les administrations, organismes publics et
infrastructures d’importance vitale ;
Identifier les SI des administrations et des
organismes publics devant être supervisés par le
maCERT.
Mener des enquêtes pour collecter des
données d’ordres juridiques, techniques et
procédurales ayant trait à la sécurité des SI ;
Produire des données statistiques et des
indicateurs de suivi ;
Pr. Radouane Mrabet41414141
indicateurs de suivi ;
Assurer la veille technologique, juridique et
réglementaire.
Les SI exigent une protection matérielle et
immatérielle contre tous types de menaces. Il est
nécessaire de se doter de capacités suffisantes pour
détecter les intrusions et pour réagir en cas de
détection d’incident, de le traiter de manière efficace
et de rétablir rapidement l’opérabilité des systèmes
affectés.
Pr. Radouane Mrabet42424242
affectés.
Cet axe sera mis en œuvre selon trois programmes :
i. Élaboration de référentiels et de normes nationauxi. Élaboration de référentiels et de normes nationauxi. Élaboration de référentiels et de normes nationauxi. Élaboration de référentiels et de normes nationaux
ii. Renforcer la sécurité des SI des administrations,ii. Renforcer la sécurité des SI des administrations,ii. Renforcer la sécurité des SI des administrations,ii. Renforcer la sécurité des SI des administrations,
organismes publics et infrastructures d’importanceorganismes publics et infrastructures d’importanceorganismes publics et infrastructures d’importanceorganismes publics et infrastructures d’importance
vitalevitalevitalevitale
iii. Renforcer les structures de veille, de détection etiii. Renforcer les structures de veille, de détection etiii. Renforcer les structures de veille, de détection etiii. Renforcer les structures de veille, de détection et
de réponse aux incidents informatiquesde réponse aux incidents informatiquesde réponse aux incidents informatiquesde réponse aux incidents informatiques
Identifier les normes et les meilleures
pratiques de sécurité des technologies de
l’information ;
Définir la Politique de la Sécurité des
Pr. Radouane Mrabet43434343
Définir la Politique de la Sécurité des
Systèmes d’Information (PSSI) nationale au
profit des administrations, organismes
publics et infrastructures d’importance vitale ;
Élaborer des guides et des référentiels pour
implémenter des politiques de sécurité des
systèmes d’information spécifiques.
Veiller à la mise en œuvre de la PSSI ;
Étudier la faisabilité et initier la mise en place
progressive d’un réseau de transmission
interministériel sécurisé ;
Pr. Radouane Mrabet44444444
progressive d’un réseau de transmission
interministériel sécurisé ;
Impliquer les opérateurs et les fournisseurs
de services Internet dans la sécurité des SI ;
Amener les administrations, les organismes
publics et les infrastructures d’importance
vitale à se faire auditer en vue d’être certifié
ISO 27001 ou équivalent.
Renforcer les capacités du maCERT pour offrir les
principaux services et intégrer le maximum de parties
prenantes, conformément aux standards
internationaux ;
Inciter les administrations, les organismes publics les
Pr. Radouane Mrabet45454545
Inciter les administrations, les organismes publics les
infrastructures d’importance vitale en fonction de
l’envergure de leurs SI à avoir des points focaux ou à
mettre en place des Centres Opérationnels de Sécurité
(SOC) des Systèmes d’Information ;
Formaliser et mettre en œuvre les mécanismes
d’échange d’informations relatifs aux traitements des
alertes et des incidents entre le maCERT et les parties
prenantes.
Cet axe sera mis en œuvre selon quatre
programmes :
i. Renforcer le cadre juridique pour instaurer la
confiance numérique
ii. Identifier et organiser des programmes de
Pr. Radouane Mrabet46464646
ii. Identifier et organiser des programmes de
formation aux questions techniques et juridiques
que pose la cybersécurité
iii. Sensibiliser sur la cyber-éthique et les menaces
et risques liés à la sécurité des SI
iv. Soutenir la recherche et le développement de
produits de la sécurité des SI nationaux pour
garantir l’autonomie scientifique et technique
Mettre à niveau le cadre légal et réglementaire
pour prendre en compte les exigences
spécifiques de la sécurité des SI notamment
ceux relatifs aux prestations de certification
électronique et à la cryptographie;
Pr. Radouane Mrabet47474747
électronique et à la cryptographie;
Examiner les recommandations des
institutions régionales et internationales pour
une éventuelle application dans la
réglementation nationale.
Définir les profils de compétence adéquats
dans le domaine de la cybersécurité ;
Arrêter les programmes de formation en
cybersécurité et veiller à leur application ;
Promouvoir le développement et la distribution
Pr. Radouane Mrabet48484848
Promouvoir le développement et la distribution
des supports éducatifs.
Mettre en œuvre des programmes de
sensibilisation à la sécurité des systèmes
d’information ;
Sensibiliser la population notamment les
enfants et les utilisateurs individuels sur la
Pr. Radouane Mrabet49494949
enfants et les utilisateurs individuels sur la
cyber-éthique et les menaces et risques liés à
la sécurité des SI.
Encourager le développement de solutions
nationales dans le domaine de la sécurité
informatique ;
Recenser les travaux de recherche
universitaires dans le domaine de la sécurité
Pr. Radouane Mrabet50505050
universitaires dans le domaine de la sécurité
des SI et suivre de près leur évolution ;
Identifier les experts nationaux et
internationaux qui pourraient apporter une
assistance pour résoudre les problèmes de
cybersécurité.
Cet axe sera exécuté selon deux programmes :
i. Identifier les thématiques et mécanismes dei. Identifier les thématiques et mécanismes dei. Identifier les thématiques et mécanismes dei. Identifier les thématiques et mécanismes de
coopérationcoopérationcoopérationcoopération
ii. Conclure des partenariats et les mettre enii. Conclure des partenariats et les mettre enii. Conclure des partenariats et les mettre enii. Conclure des partenariats et les mettre en
œuvreœuvreœuvreœuvre
Pr. Radouane Mrabet51515151
œuvreœuvreœuvreœuvre
Identifier les programmes et les thématiques de
coopération
Explorer les possibilités offertes en matière de
coopération avec les milieux universitaires,
Pr. Radouane Mrabet52525252
coopération avec les milieux universitaires,
organismes de régulation, secteurs privés, etc. ;
Identifier et établir les mécanismes et les
modalités de la coopération.
Nouer des partenariats avec les acteurs
identifiés dans le domaine de la sécurité des
SI ;
Mettre en œuvre et évaluer les programmes
Pr. Radouane Mrabet53535353
Mettre en œuvre et évaluer les programmes
de coopération.
Merci pour votre écouteMerci pour votre écouteMerci pour votre écouteMerci pour votre écoute
Pr. Radouane MrabetPr. Radouane MrabetPr. Radouane MrabetPr. Radouane Mrabet
ENSIAS, Université Mohammed V de RabatENSIAS, Université Mohammed V de Rabat
@radouane_mrabetmrabet.radouane@yahoo.com

Contenu connexe

Tendances

concour ministre de santé
concour ministre de santéconcour ministre de santé
concour ministre de santé
fast xp
 
Audit Informatique
Audit InformatiqueAudit Informatique
Audit Informatique
etienne
 

Tendances (20)

ETUDE DE LA CYBERSECURITE
ETUDE DE LA CYBERSECURITEETUDE DE LA CYBERSECURITE
ETUDE DE LA CYBERSECURITE
 
Sécurité informatique
Sécurité informatiqueSécurité informatique
Sécurité informatique
 
la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)
 
La Sécurité informatiques
La Sécurité informatiquesLa Sécurité informatiques
La Sécurité informatiques
 
Audit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'informationAudit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'information
 
La lutte contre la cybercriminalite : Responsabilite et role du CI-CERT
La lutte contre la cybercriminalite : Responsabilite et role du CI-CERTLa lutte contre la cybercriminalite : Responsabilite et role du CI-CERT
La lutte contre la cybercriminalite : Responsabilite et role du CI-CERT
 
concour ministre de santé
concour ministre de santéconcour ministre de santé
concour ministre de santé
 
Audit des systemes d'information
Audit des systemes d'informationAudit des systemes d'information
Audit des systemes d'information
 
Référentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIRéférentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SI
 
Mission d'audit des Systéme d'information
Mission d'audit des Systéme d'informationMission d'audit des Systéme d'information
Mission d'audit des Systéme d'information
 
Introduction à la sécurité informatique
Introduction à la sécurité informatiqueIntroduction à la sécurité informatique
Introduction à la sécurité informatique
 
Projet administration-sécurité-réseaux
Projet administration-sécurité-réseauxProjet administration-sécurité-réseaux
Projet administration-sécurité-réseaux
 
Audit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAudit sécurité des systèmes d’information
Audit sécurité des systèmes d’information
 
Radeema-ISGI Marrakech
Radeema-ISGI MarrakechRadeema-ISGI Marrakech
Radeema-ISGI Marrakech
 
Cours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts ClésCours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts Clés
 
Cours syslog
Cours syslogCours syslog
Cours syslog
 
Rapport de stage (promoteur immobilier )
Rapport de stage (promoteur immobilier )Rapport de stage (promoteur immobilier )
Rapport de stage (promoteur immobilier )
 
Audit Informatique
Audit InformatiqueAudit Informatique
Audit Informatique
 
Mise En Place d'une Solution de Supervision Réseau
Mise En Place d'une Solution de Supervision Réseau Mise En Place d'une Solution de Supervision Réseau
Mise En Place d'une Solution de Supervision Réseau
 
Rapport de stage d'initiation 2015 Mahmoudi Mohamed Amine
Rapport de stage d'initiation 2015 Mahmoudi Mohamed AmineRapport de stage d'initiation 2015 Mahmoudi Mohamed Amine
Rapport de stage d'initiation 2015 Mahmoudi Mohamed Amine
 

En vedette

Introduction droit suligne
Introduction droit suligneIntroduction droit suligne
Introduction droit suligne
pakalipse
 

En vedette (8)

Ch4 2 privacy_traite108
Ch4 2 privacy_traite108Ch4 2 privacy_traite108
Ch4 2 privacy_traite108
 
Introduction droit suligne
Introduction droit suligneIntroduction droit suligne
Introduction droit suligne
 
hacker
hacker hacker
hacker
 
introduction à l'étude de droit Partie i chap 1
introduction à l'étude de droit Partie i chap 1introduction à l'étude de droit Partie i chap 1
introduction à l'étude de droit Partie i chap 1
 
Droit
DroitDroit
Droit
 
Références bibliographiques
Références bibliographiquesRéférences bibliographiques
Références bibliographiques
 
Ch1 droit marocain
Ch1 droit marocainCh1 droit marocain
Ch1 droit marocain
 
Chapitre 1 l entreprise-definition-classification et fonctions
Chapitre 1  l entreprise-definition-classification et fonctionsChapitre 1  l entreprise-definition-classification et fonctions
Chapitre 1 l entreprise-definition-classification et fonctions
 

Similaire à Ch3 3 cybercriminalite_droit_maroc

Formation b2iseconde20102011premiere partie
Formation b2iseconde20102011premiere partieFormation b2iseconde20102011premiere partie
Formation b2iseconde20102011premiere partie
Claudie Merlet
 
La charte informatique del'Immac
La charte informatique del'ImmacLa charte informatique del'Immac
La charte informatique del'Immac
richard peirano
 
Et vous pensiez déposer plainte pour attaque informatique ?
Et vous pensiez déposer plainte pour attaque informatique ?Et vous pensiez déposer plainte pour attaque informatique ?
Et vous pensiez déposer plainte pour attaque informatique ?
Thiebaut Devergranne
 
Les données personnelles des salariés quelle protection
Les données personnelles des salariés   quelle protectionLes données personnelles des salariés   quelle protection
Les données personnelles des salariés quelle protection
Allaeddine Makhlouk
 

Similaire à Ch3 3 cybercriminalite_droit_maroc (14)

Loi n°: 2014-006 sur la lutte contre la cybercriminalité
Loi n°: 2014-006 sur la lutte contre la cybercriminalitéLoi n°: 2014-006 sur la lutte contre la cybercriminalité
Loi n°: 2014-006 sur la lutte contre la cybercriminalité
 
Loi 2014-006 du 17 juillet 2014 sur la lutte contre la cyberciminalite
Loi 2014-006 du 17 juillet 2014 sur la lutte contre la cyberciminaliteLoi 2014-006 du 17 juillet 2014 sur la lutte contre la cyberciminalite
Loi 2014-006 du 17 juillet 2014 sur la lutte contre la cyberciminalite
 
La lutte contre la cybercriminalité
La lutte contre la cybercriminalitéLa lutte contre la cybercriminalité
La lutte contre la cybercriminalité
 
Formation b2iseconde20102011premiere partie
Formation b2iseconde20102011premiere partieFormation b2iseconde20102011premiere partie
Formation b2iseconde20102011premiere partie
 
Formation b2iseconde20102011premiere partie
Formation b2iseconde20102011premiere partieFormation b2iseconde20102011premiere partie
Formation b2iseconde20102011premiere partie
 
Formation b2iseconde20102011premiere partie
Formation b2iseconde20102011premiere partieFormation b2iseconde20102011premiere partie
Formation b2iseconde20102011premiere partie
 
La charte informatique del'Immac
La charte informatique del'ImmacLa charte informatique del'Immac
La charte informatique del'Immac
 
Et vous pensiez déposer plainte pour attaque informatique ?
Et vous pensiez déposer plainte pour attaque informatique ?Et vous pensiez déposer plainte pour attaque informatique ?
Et vous pensiez déposer plainte pour attaque informatique ?
 
Nouvelles reglementations et tendances dans l'immatériel
Nouvelles reglementations et tendances dans l'immatérielNouvelles reglementations et tendances dans l'immatériel
Nouvelles reglementations et tendances dans l'immatériel
 
Gouvernance de la sécurité des Systèmes d'Information Volet-3
Gouvernance de la sécurité des Systèmes d'Information Volet-3Gouvernance de la sécurité des Systèmes d'Information Volet-3
Gouvernance de la sécurité des Systèmes d'Information Volet-3
 
La problématique des infractions commises dans le secteur des Télécommunicati...
La problématique des infractions commises dans le secteur des Télécommunicati...La problématique des infractions commises dans le secteur des Télécommunicati...
La problématique des infractions commises dans le secteur des Télécommunicati...
 
Les données personnelles des salariés quelle protection
Les données personnelles des salariés   quelle protectionLes données personnelles des salariés   quelle protection
Les données personnelles des salariés quelle protection
 
Ch3 2 cybercriminalite_conv_budapest
Ch3 2 cybercriminalite_conv_budapestCh3 2 cybercriminalite_conv_budapest
Ch3 2 cybercriminalite_conv_budapest
 
Le pentest face au droit - Cyber@Hack 2015
Le pentest face au droit - Cyber@Hack 2015Le pentest face au droit - Cyber@Hack 2015
Le pentest face au droit - Cyber@Hack 2015
 

Plus de Radouane Mrabet

Plus de Radouane Mrabet (10)

IoT security and privacy: main challenges and how ISOC-OTA address them
IoT security and privacy: main challenges and how ISOC-OTA address themIoT security and privacy: main challenges and how ISOC-OTA address them
IoT security and privacy: main challenges and how ISOC-OTA address them
 
Internet des objets : quels défis pour la protection des données personnelles ?
Internet des objets : quels défis pour la protection des données personnelles ?Internet des objets : quels défis pour la protection des données personnelles ?
Internet des objets : quels défis pour la protection des données personnelles ?
 
CV longue version Radouane Mrabet
CV longue version Radouane MrabetCV longue version Radouane Mrabet
CV longue version Radouane Mrabet
 
CV courte version Radouane Mrabet
CV courte version Radouane MrabetCV courte version Radouane Mrabet
CV courte version Radouane Mrabet
 
CV Radouane Mrabet in English
CV Radouane Mrabet in EnglishCV Radouane Mrabet in English
CV Radouane Mrabet in English
 
CV Radouane Mrabet en Arabe السيرة الذاتية رضوان مرابط
CV Radouane Mrabet en Arabe السيرة الذاتية رضوان مرابط CV Radouane Mrabet en Arabe السيرة الذاتية رضوان مرابط
CV Radouane Mrabet en Arabe السيرة الذاتية رضوان مرابط
 
Research issues in IoT for education
Research issues in IoT for educationResearch issues in IoT for education
Research issues in IoT for education
 
Ch4 4 privacy_doctrine_cndp
Ch4 4 privacy_doctrine_cndpCh4 4 privacy_doctrine_cndp
Ch4 4 privacy_doctrine_cndp
 
Ch4 3 privacy_legislation_maroc
Ch4 3 privacy_legislation_marocCh4 3 privacy_legislation_maroc
Ch4 3 privacy_legislation_maroc
 
Ch4 1 privacy_intro
Ch4 1 privacy_introCh4 1 privacy_intro
Ch4 1 privacy_intro
 

Ch3 3 cybercriminalite_droit_maroc

  • 1. Pr. Radouane MrabetPr. Radouane MrabetPr. Radouane MrabetPr. Radouane Mrabet ENSIAS, Université Mohammed V de Rabat Année Universitaire 2016Année Universitaire 2016Année Universitaire 2016Année Universitaire 2016----2017201720172017 mrabet@um5s.net.ma ma.linkedin.com/in/radouanemrabet
  • 2. C3 : CybercriminalitéC3 : CybercriminalitéC3 : CybercriminalitéC3 : Cybercriminalité Législation sur la cybercriminalitéLégislation sur la cybercriminalitéLégislation sur la cybercriminalitéLégislation sur la cybercriminalité au Marocau Marocau Marocau Maroc –––– Loi 07Loi 07Loi 07Loi 07----03030303au Marocau Marocau Marocau Maroc –––– Loi 07Loi 07Loi 07Loi 07----03030303 Année Universitaire 2016Année Universitaire 2016Année Universitaire 2016Année Universitaire 2016----2017201720172017
  • 3. Les premières dispositions législatives concernant la cybercriminalité au Maroc sont apparues en 2003, avec la parution de la loi 07-03 complétant le code pénal en ce qui concerne les infractions relatives aux Pr. Radouane Mrabet3333 concerne les infractions relatives aux systèmes de traitement automatisé des données, promulguée par le dahir n° 1-03- 197 du 16 ramadan 1424 (11 novembre 2003), Bulletin Officiel n° 5184 du 14 hija 1424 (5 février 2004).
  • 4. La loi 07-03 comble un vide juridique important face au phénomène de la cybercriminalité qui est devenu préoccupant pour les autorités sécuritaires du Maroc. La loi 07-03 s’est inspirée des lois étrangères similaires, notamment la loi française appelée loi Pr. Radouane Mrabet4444 similaires, notamment la loi française appelée loi Godfrain de 1988. La loi 07-03 réprime pénalement de nombreux comportements jugés malsains : ◦ Les intrusions au sein des systèmes de traitement automatisé des données (STAD) ◦ Les atteintes aux STAD.
  • 5. La loi 07-03 sanctionne toutes les intrusions non autorisées dans un STAD. Elle fait la distinction entre : ◦ Accès frauduleux : pénétration par effraction dans un SDAT ◦ Maintien par erreur : outrepasser une autorisation Pr. Radouane Mrabet5555 ◦ Maintien par erreur : outrepasser une autorisation d’accès donnée pour un temps déterminé. Il est important de noter que l’intrusion accidentelle ne peut être incriminée toute seule. Les sanctions prévues par la loi varient selon que l’intrusion a eu ou non une incidence sur le SDAT.
  • 6. L’accès au STAD peut se faire : ◦ Depuis l’extérieur du système : ainsi, un pirate qui pénètre dans un ordinateur connecté à l’internet tombe sous le coup de la loi. ◦ Depuis l’intérieur du système : un salarié ou un fonctionnaire qui, depuis son poste, pénètre dans Pr. Radouane Mrabet6666 fonctionnaire qui, depuis son poste, pénètre dans une zone du réseau de son organisme à laquelle il n’a pas le droit d’accéder pourra être poursuivi. Remarque : la loi 07-03 n’a pas apporté de précision concernant la présence ou non de dispositifs de sécurité pour la constitution du délit d’accès ou de maintien frauduleux.
  • 7. Le fait d'accéder, frauduleusement, dans tout ou partie d'un système de traitement automatisé de données est puni d'un mois à trois mois d'emprisonnement et de 2.000 à 10.000 dirhams d'amende ou de l'une de ces deux peines seulement. Est passible de la même peine toute personne qui se maintient dans tout ou partie d'un système de Pr. Radouane Mrabet7777 maintient dans tout ou partie d'un système de traitement automatisé de données auquel elle a accédé par erreurpar erreurpar erreurpar erreur et alors qu'elle n'en a pas le droit. La peine est portée au double lorsqu'il en est résulté soit la suppression ou la modification de données contenues dans le système de traitement automatisé de données, soit une altération du fonctionnement de ce système.
  • 8. Sans préjudice de dispositions pénales plus sévères, est puni de six mois à deux ans d'emprisonnement et de 10.000 à 100.000 dirhams d'amende quiconque commet les actes prévus à l'article précédent contre tout Pr. Radouane Mrabet8888 actes prévus à l'article précédent contre tout ou partie d'un système de traitement automatisé de données supposé contenir des informations relatives à la sûreté intérieuresûreté intérieuresûreté intérieuresûreté intérieure ou extérieure de l'ou extérieure de l'ou extérieure de l'ou extérieure de l'EtatEtatEtatEtat ou des secretsou des secretsou des secretsou des secrets concernant l'économie nationaleconcernant l'économie nationaleconcernant l'économie nationaleconcernant l'économie nationale.
  • 9. Sans préjudice de dispositions pénales plus sévères, la peine est portée de deux ans à cinq ans d'emprisonnement et de 100.000 à 200.000 dirhams d'amende lorsqu'il résulte des actes réprimés au premier alinéa du présent article soit la modification ou la suppression de donnéesla modification ou la suppression de donnéesla modification ou la suppression de donnéesla modification ou la suppression de données contenues dans le système de traitement Pr. Radouane Mrabet9999 contenues dans le système de traitement automatisé des données, soit une altération dualtération dualtération dualtération du fonctionnement de ce systèmefonctionnement de ce systèmefonctionnement de ce systèmefonctionnement de ce système ou lorsque lesdits actes sont commis par un fonctionnaire ou un employé lors de l'exercice de ses fonctions ou à l'occasion de cet exercice ou s'il en facilite l'accomplissement à autrui.
  • 10. Les atteintes considérées par la loi 07-03 sont de deux types : ◦ Atteintes au fonctionnement du STAD (article 607-5) : Attaque DoS Changement de mots de passe Blocage d’une application ou d’un fichier Pr. Radouane Mrabet10101010 Blocage d’une application ou d’un fichier Introduction d’un virus, etc. ◦ Atteintes aux données contenues dans le STAD (607-6). Remarques : ◦ La loi 07-03 n’a pas exigé que l’atteinte soit commise « au mépris des droits d’autrui (‫ﺍﻵﺧﺭﻳﻥ‬ ‫ﺣﻘﻭﻕ‬ ‫)ﺗﺟﺎﻫﻝ‬ ». ◦ Elle n’a pas précisé les objectifs du fraudeur : est-ce qu’il souhaite gagner de l’argent, par exemple, en commettant son acte.
  • 11. Le fait d'entraver ou de fausser intentionnellement le fonctionnement d'un système de traitement automatisé de données est puni d'un an à trois ans d'emprisonnement et de 10.000 à 200.000 Pr. Radouane Mrabet11111111 d'emprisonnement et de 10.000 à 200.000 dirhams d'amende ou de l'une de ces deux peines seulement. Le législateur n’a pas précisé dans cet article les méthodes utilisées pour entraver ou fausser le fonctionnement d’un STAD. Elles peuvent être physiques ou Électroniques.
  • 12. Le fait d'introduire frauduleusement des données dans un système de traitement automatisé des données ou de détériorer ou de supprimer ou de modifier frauduleusement les données qu'il contient, Pr. Radouane Mrabet12121212 frauduleusement les données qu'il contient, leur mode de traitement ou de transmission, est puni d'un an à trois ans d'emprisonnement et de 10.000 à 200.000 dirhams d'amende ou de l'une de ces deux peines seulement.
  • 13. 1. Falsification de documents informatisés (Article 607-7); 2. Utilisation de documents informatisés falsifiés (Article 607-7) ; 3. Tentative des délits (intrusions, atteintes) (Article 607-8) ; Pr. Radouane Mrabet13131313 3. Tentative des délits (intrusions, atteintes) (Article 607-8) ; 4. Participation à une association ou à une entente pour mener des infractions (Article 607-9) ; 5. Fabrication ou acquisition de matériels en vue de mener des infractions (Article 607- 10).
  • 14. Sans préjudice de dispositions pénales plus sévères, le faux ou la falsification de documents informatisés, quelle que soit leur forme, de nature à causer un préjudice à autrui, est puni d'un emprisonnement d'un an à cinq ans et d'une amende de 10.000 à 1.000.000 de dirhams. Pr. Radouane Mrabet14141414 amende de 10.000 à 1.000.000 de dirhams. Sans préjudice de dispositions pénales plus sévères, la même peine est applicable à quiconque fait sciemment usage des documents informatisés visés à l'alinéa précédent.
  • 15. La tentative des délitstentative des délitstentative des délitstentative des délits prévus par les articles 607-3 à 607-7 ci-dessus et par l'article 607- 10 ci-après est punie des mêmes peines que le délit lui même. Pr. Radouane Mrabet15151515
  • 16. Quiconque aura participé à une association formée ou à une entente établie en vue de la préparation, concrétisée par un ou plusieurs faits matériels, d'une ou de plusieurs infractions prévues au présent chapitre est Pr. Radouane Mrabet16161616 infractions prévues au présent chapitre est puni des peines prévues pour l'infraction elle- même ou pour l'infraction la plus sévèrement réprimée.
  • 17. Est puni d'un emprisonnement de deux à cinq ans et d'une amende de 50.000 à 2.000.000 de dirhams le fait, pour toute personne, de fabriquer, d'acquérir, de détenir, de céder, d'offrir ou de mettre à disposition des Pr. Radouane Mrabet17171717 d'offrir ou de mettre à disposition des équipements, instruments, programmes informatiques ou toutes données, conçus ou spécialement adaptés pour commettre les infractions prévues au présent chapitre.
  • 18. Sous réserve des droits du tiers de bonne foi, le tribunal peut prononcer la confiscation des matériels ayant servi à commettre les infractions prévues au présent chapitre et de la chose qui en est le produit. Le coupable peut, en outre, être frappé pour une durée de deux à dix ans de l'interdiction Pr. Radouane Mrabet18181818 Le coupable peut, en outre, être frappé pour une durée de deux à dix ans de l'interdiction d'exercice d'un ou de plusieurs des droits mentionnés à l'article 40 du présent code. L'incapacité d'exercer toute fonction ou emploi publics pour une durée de deux à dix ans ainsi que la publication ou l'affichage de la décision de condamnation peuvent également être prononcés.
  • 19. Pr. Radouane Mrabet19191919 Source : M.Source : M.Source : M.Source : M. MyMyMyMy Al Hassan AlAl Hassan AlAl Hassan AlAl Hassan Al DakiDakiDakiDaki, Procureur du Roi, Procureur du Roi, Procureur du Roi, Procureur du Roi auprès de la cour d’appel de Rabatauprès de la cour d’appel de Rabatauprès de la cour d’appel de Rabatauprès de la cour d’appel de Rabat
  • 20. Article 218 du code pénal traitant du terrorisme
  • 21. Constituent des actes de terrorismeterrorismeterrorismeterrorisme, lorsqu'elles sont intentionnellement en relation avec une entreprise individuelle ou collective ayant pour but l'atteinte grave à l'ordre public par l'intimidation, la terreur ou Pr. Radouane Mrabet21212121 l'ordre public par l'intimidation, la terreur ou la violence, les infractions suivantes : 1) l'atteinte volontaire à la vie des personnes ou à leur intégrité, ou à leurs libertés, l'enlèvement ou la séquestration des personnes ;
  • 22. 2) la contrefaçon ou la falsification des monnaies … 3) les destructions, dégradations ou détériorations ; 4) le détournement, la dégradation d'aéronefs ou … 5) le vol et l'extorsion des biens ; 6) la fabrication, la détention, le transport, … 7) les infractions relatives aux systèmes de traitement7) les infractions relatives aux systèmes de traitement7) les infractions relatives aux systèmes de traitement7) les infractions relatives aux systèmes de traitement Pr. Radouane Mrabet22222222 7) les infractions relatives aux systèmes de traitement7) les infractions relatives aux systèmes de traitement7) les infractions relatives aux systèmes de traitement7) les infractions relatives aux systèmes de traitement automatisé des données ;automatisé des données ;automatisé des données ;automatisé des données ; 8) le faux ou la falsification en matière de chèque …. 9) la participation à une association formée ou … 10) le recel sciemment du produit d'une infraction de terrorisme.
  • 23. Est puni d'un emprisonnement de 2 à 6 ans et d'une amende de 10.000 à 200.000 dirhams, quiconque fait l'apologie d'actes constituant desl'apologie d'actes constituant desl'apologie d'actes constituant desl'apologie d'actes constituant des infractions de terrorismeinfractions de terrorismeinfractions de terrorismeinfractions de terrorisme, par les discours, cris ou menaces proférés dans les lieux ou les réunions publics ou par des écrits, des imprimés Pr. Radouane Mrabet23232323 réunions publics ou par des écrits, des imprimés vendus, distribués ou mis en vente ou exposés dans les lieux ou réunions publics soit par des affiches exposées au regard du public par les différents moyens d'information audio-visuels et électroniquesélectroniquesélectroniquesélectroniques.
  • 24. Pr. Radouane MrabetPr. Radouane MrabetPr. Radouane MrabetPr. Radouane Mrabet ENSIAS, Université Mohammed V de Rabat Année Universitaire 2016Année Universitaire 2016Année Universitaire 2016Année Universitaire 2016----2017201720172017 mrabet.radouane@yahoo.com ma.linkedin.com/in/radouanemrabet
  • 25. Le CSSSI a été créé conformément au décret n° 2-11-508 du 22 chaoual 1432 (21 septembre 2011). Missions : ◦ définir les orientations stratégiques en matière de sécurité des systèmes d'information ; Pr. Radouane Mrabet25252525 sécurité des systèmes d'information ; ◦ approuver le plan d'action de la Direction Générale de la Sécurité des Systèmes d'Information (DGSSI) et d'apprécier et évaluer ses résultats ; ◦ arrêter le périmètre des audits de la sécurité des SI et les modalités de leur exécution par la DGSSI ; ◦ donner son avis sur les projets de lois et règlements se rapportant au domaine de la sécurité des SI.
  • 26. Ministre chargé de l'Administration de la Défense Nationale, Président Ministre de l'intérieur; Ministre des affaires étrangères et de la coopération; Ministre de l'économie et des finances; Ministre de l'industrie, du commerce et des nouvelles technologies; Inspecteur général des Forces Armées Royales; Commandant de la gendarmerie royale; Pr. Radouane Mrabet26262626 Commandant de la gendarmerie royale; Directeur général de la sûreté nationale; Directeur général des études et de la documentation; Directeur général de la surveillance du territoire; Chef du 5ème bureau de l'état-major général des Forces Armées Royales; Inspecteur des transmissions des Forces Armées Royales; Directeur général de la sécurité des systèmes d'information; Directeur général de l'Agence Nationale de Réglementation des Télécommunications.
  • 27.
  • 28. La DGSSI a été créé conformément au décret n° 2-11-509 du 21 septembre 2011. Elle est rattachée à l'Administration de la Défense Nationale du Royaume du Maroc. La DGSSI est chargée de: Pr. Radouane Mrabet28282828 La DGSSI est chargée de: ◦ coordonner les travaux interministériels relatifs à l’élaboration et la mise en œuvre de la stratégie de l’Etat en matière de sécurité des SI ; ◦ veiller à l’application des directives et orientations du CSSSI ; ◦ proposer des normes et des règles spécifiques à la sécurité des SI de l’Etat ;
  • 29. La DGSSI est chargée de (suite) : ◦ délivrer des autorisations et gérer les déclarations relatives aux moyens et aux prestations de cryptographie ; ◦ certifier les dispositifs de création et de vérification de signature électronique et agréer les prestataires de service pour la certification électronique ; ◦ assister et conseiller les secteurs public & privé pour la Pr. Radouane Mrabet29292929 ◦ assister et conseiller les secteurs public & privé pour la mise en place de la sécurité de leurs SI ; ◦ développer l’expertise scientifique et technique dans le domaine de la sécurité des systèmes d’information ; ◦ assurer les audits de sécurité des SI des administrations et organismes publics dont le périmètre et les modalités seront fixés par le comité stratégique de la sécurité des systèmes d’information ;
  • 30. La DGSSI est chargée de (suite) : ◦ mettre en place, en relation avec les départements ministériels, un système de veille, de détection, d’alerte des événements affectant ou susceptibles d’affecter la sécurité des SI de l’Etat et coordonner les mesures devant être prises à cet effet ; ◦ saisir le CSSSI en cas d’urgence ou de menace affectant ou susceptible d’affecter la sécurité des SI de l’Etat ; ◦ assurer la veille technologique pour anticiper les évolutions et Pr. Radouane Mrabet30303030 ◦ assurer la veille technologique pour anticiper les évolutions et proposer les innovations en matière de sécurité des SI ; ◦ développer et coordonner, en concertation avec les administrations concernées, les relations et partenariats avec les organismes étrangers dans le domaine de la sécurité des SI ; ◦ organiser des cycles de formation et des actions de sensibilisation au profit du personnel des administrations et organismes publics ; ◦ assurer le secrétariat du CSSSI.
  • 31. La DGSSI comporte quatre (04) Directions : 1. La Direction de la Stratégie et de la Réglementation 2. La Direction de l'Assistance, de la Formation, du Contrôle et de l'Expertise Pr. Radouane Mrabet31313131 Contrôle et de l'Expertise 3. La Direction des Systèmes d'Information Sécurisés 4. La Direction de Gestion du Centre de Veille, Détection et Réponse aux attaques informatiques (maCERT)
  • 32.
  • 33. http://www.dgssi.gov.ma/publications/docu ments/publication/article/strategie- nationale-en-matiere-de-cybersecurite.html Publié le 18 avril 2013 La stratégie a été établie en vue d’assurer la Pr. Radouane Mrabet33333333 La stratégie a été établie en vue d’assurer la protection des systèmes d’informations des administrations, organismes publics et infrastructures d’importance vitale.
  • 34. La définition d’une stratégie de sécurité desLa définition d’une stratégie de sécurité desLa définition d’une stratégie de sécurité desLa définition d’une stratégie de sécurité des systèmes d’information passe par :systèmes d’information passe par :systèmes d’information passe par :systèmes d’information passe par : La prise en compte de l’analyse des risques liés au cyberespace selon un processus dynamique et continu pour guider la démarche de sécurité préconisée ; La définition d’une Politique de Sécurité des Pr. Radouane Mrabet34343434 préconisée ; La définition d’une Politique de Sécurité des Systèmes d’Information permettant de traduire la compréhension des risques encourus et de leurs impacts en des mesures de sécurité à implémenter; Le déploiement de solutions à même de sécuriser les systèmes informatiques et les infrastructures de télécommunications ;
  • 35. La définition d’une stratégie de sécurité desLa définition d’une stratégie de sécurité desLa définition d’une stratégie de sécurité desLa définition d’une stratégie de sécurité des systèmes d’information passe par (suite) :systèmes d’information passe par (suite) :systèmes d’information passe par (suite) :systèmes d’information passe par (suite) : La mise en place d’une démarche de détection et de réaction aux menaces. La mise en place d’unLa mise en place d’unLa mise en place d’unLa mise en place d’un cadre légalcadre légalcadre légalcadre légal approprié ;approprié ;approprié ;approprié ; Pr. Radouane Mrabet35353535 La mise en place d’unLa mise en place d’unLa mise en place d’unLa mise en place d’un cadre légalcadre légalcadre légalcadre légal approprié ;approprié ;approprié ;approprié ; L’encouragement de la R & D dans le domaine de la sécurité des SI ainsi que l’obligation du respect d’un minimum de normes ; La sensibilisation de l’ensemble des acteurs afin de promouvoir une culture de la cybersécurité.
  • 36. 1. Évaluation des risques pesant sur les systèmes d’information au sein des administrations, organismes publics et infrastructures d’importance vitale ; 2. Protection et défense des systèmes d’information Pr. Radouane Mrabet36363636 2. Protection et défense des systèmes d’information des administrations, organismes publics et infrastructures d’importance vitale ; 3. Renforcement des fondements de la sécurité : cadre juridique, sensibilisation, formation et recherche & développement ; 4. Promotion et développement de la coopération nationale et internationale.
  • 37. Avant la mise en place de mesures préventives de sécurité, il faut procéder à une analyse des risques pour pouvoir estimer les pertes potentielles liées à une défaillance de la disponibilité, de l’intégrité ou encore de la Pr. Radouane Mrabet37373737 disponibilité, de l’intégrité ou encore de la confidentialité des données sans pour autant perdre de vue que l’impact majeur est souvent la perte de renommée et de la confiance en l’entité concernée.
  • 38. La mise en œuvre cohérente et efficace de systèmes sécurisés au sein de l’Etat exige l’adoption de méthodes d’analyse de risques, de politiques et de standards de sécurité cohérents et adaptés aux contextes. Pr. Radouane Mrabet38383838 cohérents et adaptés aux contextes. Les mesures de sécurité organisationnelles et techniques décrites dans ces politiques et standards doivent être appliquées par les différentes administrations, organismes publics et infrastructures d’importance vitale.
  • 39. Ce premier axe sera mis en œuvre selon deux programmes : i. Élaborer des plans d’évaluation des risquesi. Élaborer des plans d’évaluation des risquesi. Élaborer des plans d’évaluation des risquesi. Élaborer des plans d’évaluation des risques et menaceset menaceset menaceset menaces ii. Mettre en place des outils d’aide à la priseii. Mettre en place des outils d’aide à la priseii. Mettre en place des outils d’aide à la priseii. Mettre en place des outils d’aide à la prise Pr. Radouane Mrabet39393939 ii. Mettre en place des outils d’aide à la priseii. Mettre en place des outils d’aide à la priseii. Mettre en place des outils d’aide à la priseii. Mettre en place des outils d’aide à la prise de décisionde décisionde décisionde décision
  • 40. Définir une grille d’évaluation du degré de criticité des SI des administrations, organismes publics et infrastructures d’importance vitale ; Recenser, identifier et classifier les SI des administrations, organismes publics et infrastructures d’importance vitale ; Évaluer périodiquement le niveau du risque pesant Pr. Radouane Mrabet40404040 Évaluer périodiquement le niveau du risque pesant sur les SI des administrations, organismes publics et infrastructures d’importance vitale ; Evaluer les plans de gestion du risque adoptés par les administrations, organismes publics et infrastructures d’importance vitale ; Identifier les SI des administrations et des organismes publics devant être supervisés par le maCERT.
  • 41. Mener des enquêtes pour collecter des données d’ordres juridiques, techniques et procédurales ayant trait à la sécurité des SI ; Produire des données statistiques et des indicateurs de suivi ; Pr. Radouane Mrabet41414141 indicateurs de suivi ; Assurer la veille technologique, juridique et réglementaire.
  • 42. Les SI exigent une protection matérielle et immatérielle contre tous types de menaces. Il est nécessaire de se doter de capacités suffisantes pour détecter les intrusions et pour réagir en cas de détection d’incident, de le traiter de manière efficace et de rétablir rapidement l’opérabilité des systèmes affectés. Pr. Radouane Mrabet42424242 affectés. Cet axe sera mis en œuvre selon trois programmes : i. Élaboration de référentiels et de normes nationauxi. Élaboration de référentiels et de normes nationauxi. Élaboration de référentiels et de normes nationauxi. Élaboration de référentiels et de normes nationaux ii. Renforcer la sécurité des SI des administrations,ii. Renforcer la sécurité des SI des administrations,ii. Renforcer la sécurité des SI des administrations,ii. Renforcer la sécurité des SI des administrations, organismes publics et infrastructures d’importanceorganismes publics et infrastructures d’importanceorganismes publics et infrastructures d’importanceorganismes publics et infrastructures d’importance vitalevitalevitalevitale iii. Renforcer les structures de veille, de détection etiii. Renforcer les structures de veille, de détection etiii. Renforcer les structures de veille, de détection etiii. Renforcer les structures de veille, de détection et de réponse aux incidents informatiquesde réponse aux incidents informatiquesde réponse aux incidents informatiquesde réponse aux incidents informatiques
  • 43. Identifier les normes et les meilleures pratiques de sécurité des technologies de l’information ; Définir la Politique de la Sécurité des Pr. Radouane Mrabet43434343 Définir la Politique de la Sécurité des Systèmes d’Information (PSSI) nationale au profit des administrations, organismes publics et infrastructures d’importance vitale ; Élaborer des guides et des référentiels pour implémenter des politiques de sécurité des systèmes d’information spécifiques.
  • 44. Veiller à la mise en œuvre de la PSSI ; Étudier la faisabilité et initier la mise en place progressive d’un réseau de transmission interministériel sécurisé ; Pr. Radouane Mrabet44444444 progressive d’un réseau de transmission interministériel sécurisé ; Impliquer les opérateurs et les fournisseurs de services Internet dans la sécurité des SI ; Amener les administrations, les organismes publics et les infrastructures d’importance vitale à se faire auditer en vue d’être certifié ISO 27001 ou équivalent.
  • 45. Renforcer les capacités du maCERT pour offrir les principaux services et intégrer le maximum de parties prenantes, conformément aux standards internationaux ; Inciter les administrations, les organismes publics les Pr. Radouane Mrabet45454545 Inciter les administrations, les organismes publics les infrastructures d’importance vitale en fonction de l’envergure de leurs SI à avoir des points focaux ou à mettre en place des Centres Opérationnels de Sécurité (SOC) des Systèmes d’Information ; Formaliser et mettre en œuvre les mécanismes d’échange d’informations relatifs aux traitements des alertes et des incidents entre le maCERT et les parties prenantes.
  • 46. Cet axe sera mis en œuvre selon quatre programmes : i. Renforcer le cadre juridique pour instaurer la confiance numérique ii. Identifier et organiser des programmes de Pr. Radouane Mrabet46464646 ii. Identifier et organiser des programmes de formation aux questions techniques et juridiques que pose la cybersécurité iii. Sensibiliser sur la cyber-éthique et les menaces et risques liés à la sécurité des SI iv. Soutenir la recherche et le développement de produits de la sécurité des SI nationaux pour garantir l’autonomie scientifique et technique
  • 47. Mettre à niveau le cadre légal et réglementaire pour prendre en compte les exigences spécifiques de la sécurité des SI notamment ceux relatifs aux prestations de certification électronique et à la cryptographie; Pr. Radouane Mrabet47474747 électronique et à la cryptographie; Examiner les recommandations des institutions régionales et internationales pour une éventuelle application dans la réglementation nationale.
  • 48. Définir les profils de compétence adéquats dans le domaine de la cybersécurité ; Arrêter les programmes de formation en cybersécurité et veiller à leur application ; Promouvoir le développement et la distribution Pr. Radouane Mrabet48484848 Promouvoir le développement et la distribution des supports éducatifs.
  • 49. Mettre en œuvre des programmes de sensibilisation à la sécurité des systèmes d’information ; Sensibiliser la population notamment les enfants et les utilisateurs individuels sur la Pr. Radouane Mrabet49494949 enfants et les utilisateurs individuels sur la cyber-éthique et les menaces et risques liés à la sécurité des SI.
  • 50. Encourager le développement de solutions nationales dans le domaine de la sécurité informatique ; Recenser les travaux de recherche universitaires dans le domaine de la sécurité Pr. Radouane Mrabet50505050 universitaires dans le domaine de la sécurité des SI et suivre de près leur évolution ; Identifier les experts nationaux et internationaux qui pourraient apporter une assistance pour résoudre les problèmes de cybersécurité.
  • 51. Cet axe sera exécuté selon deux programmes : i. Identifier les thématiques et mécanismes dei. Identifier les thématiques et mécanismes dei. Identifier les thématiques et mécanismes dei. Identifier les thématiques et mécanismes de coopérationcoopérationcoopérationcoopération ii. Conclure des partenariats et les mettre enii. Conclure des partenariats et les mettre enii. Conclure des partenariats et les mettre enii. Conclure des partenariats et les mettre en œuvreœuvreœuvreœuvre Pr. Radouane Mrabet51515151 œuvreœuvreœuvreœuvre
  • 52. Identifier les programmes et les thématiques de coopération Explorer les possibilités offertes en matière de coopération avec les milieux universitaires, Pr. Radouane Mrabet52525252 coopération avec les milieux universitaires, organismes de régulation, secteurs privés, etc. ; Identifier et établir les mécanismes et les modalités de la coopération.
  • 53. Nouer des partenariats avec les acteurs identifiés dans le domaine de la sécurité des SI ; Mettre en œuvre et évaluer les programmes Pr. Radouane Mrabet53535353 Mettre en œuvre et évaluer les programmes de coopération.
  • 54. Merci pour votre écouteMerci pour votre écouteMerci pour votre écouteMerci pour votre écoute Pr. Radouane MrabetPr. Radouane MrabetPr. Radouane MrabetPr. Radouane Mrabet ENSIAS, Université Mohammed V de RabatENSIAS, Université Mohammed V de Rabat @radouane_mrabetmrabet.radouane@yahoo.com