Le document présente un aperçu des directives et lois relatives à la cybersécurité, en se concentrant sur la gouvernance, les obligations des États et des acteurs privés, ainsi que le cadre juridique mis en place au Maroc et en Afrique. Il traite également des mesures organisationnelles et techniques essentielles pour renforcer la sécurité des systèmes d'information face à la cybercriminalité. Enfin, il évoque l'importance de la coopération internationale pour renforcer la cybersécurité à l'échelle mondiale.

1. Taieb DEBBAGH
Mars 2022
Cybersécurité
Directives régionales et Lois nationales

2. 2
Cybersécurité : Le rôle des états
https://youtu.be/itbPfBmJ4Z0

3. 3
Cybersécurité
UIT – CGA : Mesures juridiques
Directives & Lois
Gouvernance
Organisations concernées
Obligations
Sanctions
Annexes
1
2
3
4
5
6
7

4. 4
Cybersécurité
UIT – CGA : Mesures juridiques
Directives & Lois
Gouvernance
Organisations concernées
Obligations
Sanctions
Annexes
1
2
3
4
5
6
7

5. 5
Cybersécurité : Dates clés
Politique nationale
Confiance numérique
et Sécurité des SI
Mai 2008
Oct. 2009
Stratégie
Maroc Numeric 2013
Confiance Numérique
Oct. 2007
Oct. 2010
NCSM
Contribution Maroc
UIT – AG Mexique
Oct. 2011
DGSSI
maCERT

6. 6
Global Cybersecurity Agenda - 2007
MESURES JURIDIQUES
Les objectifs sont les suivants :
Stratégies pour l’élaboration d’un
modèle de législation sur la
cybercriminalité, interopérable et
applicable à l’échelle mondiale
Lancé par UIT en 2007, le Programme mondial de
cybersécurité (GCA) est un cadre de coopération
internationale visant à renforcer la confiance et la sécurité
dans la société de l’information. Le GCA est conçu pour
la coopération et l’efficacité, en encourageant la
collaboration avec et entre tous les partenaires concernés
et en s’appuyant sur les initiatives existantes pour éviter de
dupliquer les efforts.

7. 7
Cybersécurité : Dates clés

8. 8
Global Cybersecurity Index
Légal
Législation sur la cybercriminalité
Réglementation de la cybersécurité
Législation anti-spam (Confinement / limitation)
Mesures techniques
CERT / CIRT / CSIRT
Cadre de mise en œuvre des normes
Organisme de normalisation
Mécanismes et capacités techniques déployés pour lutter contre le spam
Utilisation du cloud à des fins de cybersécurité
Mécanismes de protection en ligne des enfants
Mesures organisationnelles
Stratégie nationale de cybersécurité
Agence responsable
Mesures de cybersécurité
Mesures de renforcement des capacités
Campagnes de sensibilisation du public
Cadre de certification et d'accréditation des professionnels de la cybersécurité
Programmes professionnels ou cursus académiques en cybersécurité
Programmes de R&D en cybersécurité
Mécanismes d'incitation
Mesures de coopération
Accords bilatéraux
Participation à des forums/ associations internationaux
Partenariats public-privé
Partenariats inter-agences / intra-agences
Les meilleures pratiques

9. 9
50
9
ITU - Global Cybersécurité Index – Juin 2021

10. 10
75 100
ITU - Global Cybersécurité Index – Juin 2021
160

11. 11
Cybersécurité
UIT – CGA : Mesures juridiques
Directives & Lois
Gouvernance
Organisations concernées
Obligations
Sanctions
Annexes
1
2
3
4
5
6
7

12. 12
Définitions
Objet Définition
Cybersécurité l’ensemble de mesures, procédures, concepts de sécurité, méthodes de gestion des risques, actions, formations, bonnes pratiques,
et technologies permettant à un système d’information de résister à des évènements issus du cyberespace, susceptibles de
compromettre la disponibilité, l’intégrité ou la confidentialité des données stockées, traitées ou transmises et des services connexes
que ce système offre ou qu’il rend accessibles ;
Cybercriminalité l’ensemble des actes contrevenant à la législation nationale ou aux traités internationaux ratifiés par le Royaume du Maroc, ayant
pour cible les réseaux ou les systèmes d’information ou les utilisant comme moyens pour commettre un délit ou un crime ;
Infrastructures
d’importance vitale
les installations, les ouvrages et les systèmes qui sont indispensables au maintien des fonctions vitales de la société, de la santé,
de la sûreté, de la sécurité et du bien-être économique ou social, et dont le dommage ou l’indisponibilité ou la destruction aurait un
impact induisant la défaillance de ces fonctions ;
Secteur d’activités
d’importance vitale
l’ensemble des activités exercées par les infrastructures d’importance vitale et concourant à un même objectif. Ces activités ont trait
soit à la production et la distribution de biens ou de services indispensables à la satisfaction des besoins essentiels pour la vie des
populations, ou à l’exercice des prérogatives de l’Etat ou au maintien de ses capacités de sécurité ou au fonctionnement de
l’économie, dès lors que ces activités sont difficilement substituables ou remplaçables, ou qui peuvent présenter un danger grave
pour la population ;
Système d’information
sensible
système d’information traitant des informations ou des données sensibles sur lesquelles une atteinte à la confidentialité, à l’intégrité
ou à la disponibilité porterait préjudice à une entité ou à une infrastructure d’importance vitale ;
Incident de cybersécurité un ou plusieurs événements indésirables ou inattendus liés à la sécurité des systèmes d’information et présentant une forte
probabilité de compromettre les activités d’une entité, d’une infrastructure d’importance vitale ou d’un opérateur ou de menacer la
sécurité de leurs systèmes d’information ;
Crise cybernétique l’état résultant de l’occurrence d’un ou plusieurs événements de cybersécurité pouvant avoir un impact grave sur la vie des
populations, l’exercice de l’autorité de l’Etat, le fonctionnement de l’économie, ou sur le maintien des capacités de sécurité et de
défense du pays ;

13. 13
La Directive sur la sécurité des réseaux et des
systèmes d'information (Directive NIS)
La Directive sur la sécurité des réseaux et des
systèmes d'information (Directive NIS) ((UE)
2016/1148) a pour objectif d'atteindre un niveau
commun élevé de sécurité des réseaux et des
systèmes d’informations dans toute l'Union
Européenne.
Les États membres de l'Union Européenne
avaient jusqu'au 9 mai 2018 pour transposer la
Directive NIS dans leur législation nationale.
UE : Directive NIS

14. 14
UE : Directive NIS
Le champ d'application de la conformité dans la Directive NIS : qui doit être conforme ?
La Directive s'applique à :
Opérateurs de services essentiels (OES - Operators of Essential Services) implantés dans l'Union
Européenne et
Fournisseurs de service numérique (DSP - Digital Service Providers) offrant des services à des
personnes au sein de l'Union Européenne
La Directive ne concerne pas les DSP considérés comme des petites entreprises ou des
microentreprises (entreprises employant moins de 50 personnes dont le chiffre d’affaires annuel ou dont
le bilan total est inférieur à 10 millions d’euros).

15. 15
Un Opérateur de services essentiels (OES) : c'est quoi ?
La Directive NIS a pour ambition de renforcer la cybersécurité dans les secteurs dépendant fortement des
technologies de l'information et de la communication (TIC). Certaines entreprises actives dans des
secteurs stratégiques sont dénommées OES.
La Directive NIS affecte les secteurs suivants : Eau ;Énergie ;Infrastructure numérique ;Infrastructures des
marchés bancaires et financiers ;Santé ; etTransport.
Q’est-ce qu’un fournisseur de service numérique (DSP) ?
La Directive NIS concerne les DSP clés suivants qui procurent normalement leurs services « contre
rémunération, à distance par voie électronique et à la demande individuelle d'un destinataire de services ».
Les DSP peuvent être catégorisés selon les organisations suivantes : Moteurs de recherche; Services
informatiques Cloud; Marchés en ligne.
UE : Directive NIS

16. 16
La Directive NIS impose aux OES et DSP de :
• Prendre les mesures techniques et organisationnelles appropriées pour sécuriser leurs réseaux et
systèmes d'informations ;
• Tenir compte des plus récents développements et considérer les risques potentiels auxquels leurs
systèmes sont confrontés ;
• Prendre les mesures appropriées de prévention des incidents de sécurité ou, au moins, pour en
minimiser l'impact afin d'assurer la continuité du service ; et
• Notifier l'autorité compétente pertinente de tout incident de sécurité revêtant un impact significatif sur
la continuité du service sans délai indu.
• Conséquences du défaut de conformité avec la Directive NIS
Conséquences du défaut de conformité avec la Directive NIS
Les États membres sont tenus de définir leurs propres règles de pénalités financières et de prendre les
mesures nécessaires pour s'assurer de leur mise en œuvre. Il est probable que les États membres
mettent en œuvre des pénalités similaires à celles du RGPD (Règlement Général sur la Protection des
Données).
La conformité peut être surveillée avec des audits de routine des OES.
UE : Directive NIS

17. 17
Exigences spécifiques de conformité pour les DSP :
La Directive dispose que les DSP « restent libres de prendre les mesures techniques et organisationnelles
qu'ils jugent appropriées et proportionnées pour gérer les risques » tant que les mesures procurent un «un
niveau de sécurité approprié» et factorisent les exigences de la Directive NIS.
Les DSP doivent assurer un niveau de sécurité approprié au risque posé par l'offre des services couverts
en tenant compte des éléments suivants :
• Sites et systèmes de sécurité
• Gestion d'incident
• Gestion de continuité de l'activité
• Surveillance, audit et test
• Conformité aux normes internationales
Outre les mesures de sécurité de l'information et de continuité de l'activité, les DSP doivent établir des
mesures d'intervention sur incident selon une appréciation de la gravité de l'incident.
Le Règlement d'exécution entre en vigueur le 10 mai 2018 et s'applique à tous les États membres de
l'Union Européenne.
UE : Directive NIS

18. 18
La directive NSI2 a renforcé les capacités nationales de cybersécurité de l’UE, obligeant les États
membres à élaborer une stratégie nationale de cybersécurité, à mettre en place des équipes de
réponse aux incidents de sécurité informatique (CSIRT) et à désigner des autorités nationales
compétentes en matière de NSI, améliorant ainsi la cyber-résilience des entités publiques et privées
dans des secteurs spécifiques et dans l’ensemble des services numériques.
Afin de répondre aux menaces croissantes dues à la numérisation et à l’augmentation des cyberattaques,
la proposition de directive révisée NIS2 abroge la directive existante. La nouvelle proposition élargit son
champ d’application, en visant à renforcer les exigences de sécurité imposées, en abordant la sécurité
des chaînes d’approvisionnement, en rationalisant les obligations de déclaration, en introduisant des
mesures de surveillance plus strictes et des exigences d’application plus strictes, y compris des régimes
de sanctions harmonisés dans tous les États membres.
Il comprend également des propositions d’échange d’informations et de coopération en matière de
gestion des cybercrises aux niveaux national et européen. L’élargissement proposé du champ
d’application couvert par le NIS2 obligerait effectivement davantage d’entités et de secteurs à prendre
des mesures, ce qui augmenterait le niveau de cybersécurité dans l’UE à plus long terme.
UE : Directive NIS2

19. 19
Conseil de l’Europe : 185 – Convention de Budapest
Cette Convention est le premier traité international sur les infractions pénales commises via l'Internet et d'autres
réseaux informatiques, traitant en particulier des infractions portant atteinte aux droits d'auteurs, de la fraude
liée à l'informatique, de la pornographie enfantine, ainsi que des infractions liées à la sécurité des réseaux. Il
contient également une série de pouvoirs de procédures, tels que la perquisition de réseaux informatiques et
l'interception.
Son principal objectif, énoncé dans le préambule, est de poursuivre "une politique pénale commune destinée à
protéger la société contre le cybercrime, notamment par l'adoption d'une législation appropriée et la stimulation
de la coopération internationale".

20. 20
2 - Directives et Lois
Europe
UE - DIRECTIVE NIS 2016
La Directive sur la sécurité des réseaux et des
systèmes d'information (NIS) a pour objectif
d'atteindre un niveau commun élevé de sécurité des
réseaux et des systèmes d’informations dans toute
l'Union Européenne.
La NSI2 a renforcé les capacités nationales de
cybersécurité de l’UE, obligeant les États membres à
élaborer une stratégie nationale de cybersécurité, à
mettre en place des équipes de réponse aux incidents
de sécurité informatique (CSIRT) et à désigner des
autorités nationales compétentes en matière de NSI,
améliorant ainsi la cyber résilience des entités
publiques et privées dans des secteurs spécifiques et
dans l’ensemble des services numériques
concernera plus d’entreprises et impliquera leurs
cocontractants ;
• renforcera les obligations et les sanctions ;
• pourrait s’appliquer courant 2024 ;
• sera complétée par une directive régissant les
infrastructures critiques et par un règlement sur la
sécurité informatique du secteur financier.
Afrique
CONVENTION MALABO 2014
Article 25: Mesures légales
1. Législations contre la cybercriminalité
Chaque État Partie s’engage à adopter les mesures
législatives et/ou réglementaires qu'il jugera efficaces en
considérant comme infractions criminelles substantielles
des actes qui affectent la confidentialité, l'intégrité, la
disponibilité et la survivance des systèmes technologies
de l’information et de la communication et les données
qu’ils traitent et des infrastructures réseau sous-jacentes,
ainsi que les mesures procédurales qu'il jugera efficaces
pour rechercher et poursuivre les
contrevenants.
Maroc
La loi 05-20 CYBERSECURITE
vise la mise en place d’un cadre juridique
préconisant aux entités un socle minimal de règles
et de mesures de sécurité afin d’assurer la fiabilité
et la résilience de leurs Systèmes d’Information.
Elle a aussi pour objectifs le développement de la
confiance numérique, la digitalisation de
l’économie et plus généralement l'assurance de la
continuité des activités économiques et sociétales
de notre Pays. Et ce, afin de favoriser le
développement d’un écosystème National de
cybersécurité

21. 21
2 - Directives et Lois
Europe
FR - la loi n°2013-1168 du 18 décembre 2013,
Le Premier ministre définit la politique et
coordonne l’action gouvernementale en matière
de sécurité et de défense des systèmes
d’information. Il dispose à cette fin de l’autorité
nationale de sécurité des systèmes
d’information, l’ANSSI, rattachée au secrétaire
général de la défense et de la sécurité nationale
Afrique
CI LOI 2013-451 du 19 juin 20/3 Cybercriminalité
Art. 2. - La présente loi a pour objet de lutter contre la
cybercrlminalité.
Art. 3. - Sont soumis aux dispositions de la présente
lol, les infractions relatives 4 la cybercriminalité, ainsi
que les infractions pénales dont la constatation
requiert la collecle d’une preuve électronique.
SN LOI 2008-11 du 25 janvier 2008 Cybercriminalité
La première partie, consacrée au droit pénal
substantiel, comporte trois titres traitant de l’adoption
d’infractions spécifiques aux technologies de
l’information et de la communication et de
l’adaptation de certaines incriminations et de
certaines sanctions aux technologies de l’information
et de la communication ;
ML : La loi n° 2019-056 du 5 décembre 2019,
portant Répression de la Cybercriminalité. Elle
s’applique à « toute infraction commise au moyen
des technologies de l’information et de la
communication (TIC) en tout ou partie sur le territoire
de la République du Mali, toute infraction commise
dans le cyberespace et dont les effets se produisent
sur le territoire national » (article 2).
Maroc
Décret n° 2-21-406 du 15 juillet 2021
Ce décret vise principalement à définir les
mesures de protection des systèmes
d'information des administrations de l'Etat,
des établissements et entreprises publics et
toute autre personne morale de droit public,
ainsi que ceux des infrastructures
d'importance vitale et des opérateurs privés.

22. 22
Cybersécurité
UIT – CGA : Mesures juridiques
Directives & Lois
Gouvernance
Organisations concernées
Obligations
Sanctions
Annexes
1
2
3
4
5
6
7

23. 23
3.1 - Gouvernance
Europe
UE NIS
Article 7-1b : un cadre de gouvernance pour atteindre
les objectifs et les priorités de la stratégie nationale
sur la sécurité des réseaux et des systèmes
d'information, y compris les rôles et responsabilités
des organes gouvernementaux et des autres acteurs
concernés ;
Afrique
CONVENTION MALABO
Article 27 : Structures nationales de suivi de la
cybersécurité
1. Gouvernance de la cyber sécurité
Chaque État Partie s’engage à adopter des mesures
nécessaires pour mettre en place un dispositif
institutionnel approprié pour une prise en charge de
la gouvernance de la cyber sécurité.
La gouvernance de la cybersécurité devra être
établie en fonction d’un cadre national qui soit en
mesure de répondre aux défis perçus et à toute
question relative à la sécurité de l'information au
niveau national dans le plus grand nombre possible
de domaines de la cybersécurité.
Maroc
Article 35 : Comité stratégique
– élaborer et évaluer les orientations stratégiques de
l’Etat en matière de cybersécurité et veiller sur la
résilience des systèmes d’information des entités,
des infrastructures d’importance vitale et des
opérateurs
Article 36 : Comité de Gestion de Crise
Est chargé d’assurer une intervention coordonnée en
matière de prévention et de gestion de crise par suite
d’incidents de cybersécurité.

24. 24
3.2 - Gouvernance
Europe
FR : ANSSI
Service du Premier ministre, rattaché au Secrétariat
général de la défense et de la sécurité nationale
(SGDSN), l’Agence nationale de la sécurité des
systèmes d’information (ANSSI) est l’autorité
nationale chargée d’accompagner et de sécuriser le
développement du numérique. Acteur majeur de la
cyber sécurité, l’ANSSI apporte son expertise et son
assistance technique aux administrations et aux
entreprises avec une mission renforcée au profit des
opérateurs d’importance vitale (OIV). Elle assure un
service de veille, de détection, d’alerte et de réaction
aux attaques informatiques.
CERT-FR assure le rôle de CSIRT gouvernemental
français. Il est membre du FIRST qui est le réseau
international des CERT et de la TF-CSIRT qui est
son pendant européen. Le CERT-FR est l’émanation
de la composante de réaction aux incidents
informatiques de l’ANSSI au sein de la communauté
des CSIRT depuis 2002.
Afrique
CI : ARTIC - Autorité de Régulation des
Télécommunications & TIC a été créée par
l’Ordonnance n°2012-293 du 21 mars 2012
• Elle est une autorité administrative indépendante
dotée de la personnalité juridique et de l’autonomie
financière
• Outre ses missions de régulation des
télécommunications, l’ARTCI s’est vue
confiée de nouvelles prérogatives notamment :
• Protection des données à caractère personnel;
• Lutte contre la cybercriminalité;
• Régulation des transactions électroniques;
• Protection et sécurisation des réseaux et systèmes
d’information
CI-CERT (janv. 2020) est le point focal national en
matière de cybersécurité et agit comme le principal
centre de coordination de la réponse aux incidents de
sécurité et la protection des infrastructures critiques
nationales. Au plan international, il collabore avec tous
les points focaux de l’écosystème des CERT.
Maroc
Article 38 : Autorité Nationale (DGSSI)
coordonner les travaux relatifs à l’élaboration et à
la mise en œuvre de la stratégie de l’Etat et veiller à
l’application des orientations du comité stratégique
de la cybersécurité ;
maCERT (Moroccan Computer Emergency
Response Team) est le centre de veille, détection et
réponse aux attaques informatiques. La Direction
de gestion de ce centre qui fait partie des quatre
directions de la DGSSI est chargée de la mise en
œuvre, en relation avec les autres administrations,
de systèmes de veille, de détection, d'alerte des
événements susceptibles d'affecter la sécurité des
systèmes d'information de l'Etat et de la
coordination de la réaction à ces événements

25. 25
3.3 - Gouvernance
Europe Afrique Maroc
SN : le Gouvernement du Sénégal mettra en place
une structure nationale de la cybersécurité chargée
de jouer un rôle moteur dans les questions de
cybersécurité et de conduire la mise en œuvre et la
coordination des initiatives relatives à la cybersécurité
pour le Sénégal.
L’Agence De l’Informatique de l’Etat (ADIE) est une
structure autonome chargée de mettre en œuvre la
politique d'informatisation de l’Etat du Sénégal. Sa
mission principale est de doter l’Administration d’un
dispositif cohérent de traitement et de diffusion de
l’information, répondant aux normes internationales en
matière de qualité, de sécurité, de performance et de
disponibilité
CSIRT de l’ADIE intervient sur un périmètre bien
déterminé : l’intranet administratif.
L’équipe doit activement s’impliquer dans la gestion de
la cybersécurité, dans l'appropriation des
connaissances nécessaires en matière de gestion
proactive et réactive des incidents de cybersécurité,
dans la mise en place des politiques nécessaires pour
sa cybersécurité, ou encore la mise en pratique de
méthodes de travail adéquates à une culture de la
cybersécurité au sein de l’intranet administratif.
.

26. 26
Gouvernance

27. 27
3.4 – Gouvernance - ARTIC

28. 28
Cybersécurité
UIT – CGA : Mesures juridiques
Directives & Lois
Gouvernance
Organisations concernées
Obligations
Sanctions
Annexes
1
2
3
4
5
6
7

29. 29
4 – Organisations concernées
Europe
La Directive NIS s'applique à :
OPÉRATEURS DE SERVICES ESSENTIELS
(OES - Operators of Essential Services) implantés
dans l'Union Européenne
FOURNISSEURS DE SERVICE NUMÉRIQUE
(DSP - Digital Service Providers) offrant des
services à des personnes au sein de l'Union
Européenne
La Directive ne concerne pas les DSP considérés
comme des petites entreprises ou des
microentreprises (entreprises employant moins de
50 personnes dont le chiffre d’affaires annuel ou
dont le bilan total est inférieur à 10 millions d’euros).
FR : La cybersécurité des OIV s’intègre dans le
dispositif interministériel plus large de sécurité des
activités d’importance vitale (SAIV) inscrit dans le
code de la défense.
Ce dispositif a permis d’identifier les opérateurs
d’importance vitale (OIV), privés et publics, qui
exploitent ou utilisent des installations jugées
indispensables pour la survie de la Nation.
L’article 22 de la loi de programmation militaire (loi
n° 2013-1168 du 18 décembre 2013), impose aux
OIV le renforcement de la sécurité : les systèmes
d’information d’importance vitale (SIIV).
Afrique
INFRASTRUCTURES CRITIQUES
Chaque État Partie s’engage à adopter des
mesures législatives et/ou réglementaires qu'il
jugera nécessaires pour identifier les secteurs
considérés comme sensibles pour sa sécurité
nationale et le bien-être de l'économie et des
systèmes technologies de l’information et de la
communication désignés pour fonctionner dans ces
secteurs comme constituant des infrastructures
critiques de l'information, en proposant à cet égard
une sanction plus sévère pour les activités
criminelles sur les systèmes TIC dans ces secteurs
et également des
dispositions pour améliorer la vigilance, la sécurité
et la gestion.
CI : Protection du cyberespace, des systèmes
d’information nationaux et des infrastructures
critiques
SN : renforcer la protection des infrastructures
d'information critiques (IIC) et les systèmes
d'information de l’Etat du Sénégal
Maroc
ENTITE : les administrations de l’état, les
collectivités territoriales, les établissements et
entreprises publics et toute autre personne morale
de droit public
IIV : Infrastructures d’importance vitale : les
installation, les ouvrages et les systèmes qui sont
indispensables au maintien des fonctions vitales de
la société, de la santé, de la sûreté, de la sécurité et
du bien-être économique ou social, et dont le
dommage ou l’indisponibilité ou la destruction aurait
un impact induisant la défaillance de ces fonctions
OPERATEURS : les exploitants des réseaux
publics de communication, les fournisseurs d’accès
internet, les prestataires de cybersécurité, les
prestataires de services numériques et les éditeurs
de plateformes internet

30. 30
Cybersécurité
UIT – CGA : Mesures juridiques
Directives & Lois
Gouvernance
Organisations concernées
Obligations
Sanctions
Annexes
1
2
3
4
5
6
7

31. 31
5 – Obligations
Europe
La directive UE repose sur un triple objectif :
i) fixer des obligations aux États membres en
matière de prévention et de gestion de risques et
incidents touchant les réseaux et systèmes
informatiques, ii) faciliter la coopération entre les
États membres pour garantir l’harmonisation des
règles de cybersécurité au sein de l’UE et,
iii) établir des exigences en matière de sécurité
pour “les acteurs du marché”.
La LPM 2014-2019 française prévoit :
les OIV ont l’obligation de mettre en œuvre des
systèmes qualifiés de détection des évènements
susceptibles d’affecter la sécurité de leurs
systèmes d’information.
A la charge des OIV, une obligation de déclarer
sans délai au Premier ministre les incidents
affectant le fonctionnement ou la sécurité de leurs
SI.
Les OIV doivent, d’une part respecter les règles et
mesures de sécurité élaborées par le Premier
ministre et, d’autre part soumettre leur SI à des
audits destinés à vérifier le niveau de sécurité et
le respect des règles de sécurité.
Afrique
MALABO Art.25 : Protection des
infrastructures critiques
Chaque État Partie s’engage à adopter des
mesures législatives et/ou réglementaires qu'il
jugera nécessaires pour identifier les secteurs
considérés comme sensibles pour sa sécurité
nationale et le bien-être de l'économie et des
systèmes technologies de l’information et de la
communication désignés pour fonctionner dans
ces secteurs comme constituant des
infrastructures critiques de l'information, en
proposant à cet égard une sanction plus
sévère pour les activités criminelles sur les
systèmes TIC dans ces secteurs et également
des dispositions pour améliorer la vigilance, la
sécurité et la gestion.
Maroc
Voir obligations tableaux suivants
ART. 17. Chaque entité ou infrastructure
d’importance vitale informe l’autorité nationale de
son responsable de la sécurité des systèmes
d’information
– identifier et analyser les enjeux et les risques
de cybersécurité en tenant compte des
évolutions réglementaires et techniques ;
– définir les objectifs de cybersécurité en
collaboration avec les parties prenantes et
élaborer les mesures de sécurité appropriées
– participer à l’élaboration et au suivi de la
politique de sécurité des systèmes d’information
en collaboration avec les parties prenantes ;
– définir un plan d’actions annuel ou pluriannuel,
pour la mise en œuvre de la politique de sécurité
des systèmes d’information ;
– assurer le suivi de la gestion des incidents de
cybersécurité ;
– rapporter régulièrement à sa hiérarchie les
risques de sécurité des systèmes d’information
– animer des sessions de sensibilisation au
profit du personnel

32. 32
5 – Obligations

33. 33
5 – Obligations

34. 34
5 – Obligations

35. 35
Cybersécurité
UIT – CGA : Mesures juridiques
Directives & Lois
Gouvernance
Organisations concernées
Obligations
Sanctions
Annexes
1
2
3
4
5
6
7

36. 36
6 - Sanctions
Europe
La Directive européenne précise que les
Etats membres fixent eux-mêmes les
sanctions applicables. Il est intéressant de
souligner que le texte amendé par le
Parlement européen dispose que lorsque les
acteurs du marché ne respectent pas les
obligations, mais qu’ils n’ont pas agi de
manière intentionnelle ou à la suite d’une
négligence grave, aucune sanction ne doit être
prononcée
FR
Loi Programmation Militaire (LPM) 2014-
2019 sanctionne les manquements à la loi
d’une amende de 150.000€, s’élevant à
750.000€ pour les personnes morales
Afrique
Convention Malabo
Article 31 L’adaptation de certaines sanctions aux
Technologies de l’Information et de la
Communication
1. Sanctions pénales
Les État Parties s’engagent à prendre des mesures
nécessaires pour faire en sorte que les infractions
prévues par la présente Convention soient
passibles de sanctions pénales effectives,
proportionnées et dissuasives.
SN
Article 431-8. Quiconque aura accédé ou
tenté d’accéder frauduleusement à tout ou
partie d’un système informatique, sera puni
d’un emprisonnement de six (6) mois à trois
(3) ans et d’une amende de 1.000.000 (1 500
€) à 10.000.000 francs (15 000 €)
Maroc
Voir détail tableau slide suivant
MA
Hébergement des données sensibles en
dehors du territoire national, en violation de
l’article 11 : 20 à 40 000 €
Manque aux obligations de déclaration des
incidents, en violation des dispositions prévues
aux articles 8, 30 & 33 : 10 à 20 000 €

37. 37
6 – MA : Sanctions

38. Merci
taieb.debbagh@abnaconseils.com
Tél : +212 (0) 661 183517
38