Version de travail - Non définitive Ministère de l’Industrie, du Commerce et des Nouvelles Technologies du Maroc L’impérieuse nécessité de la sécurité des systèmes d’information pour les nations Rabat , 4 décembre 2008 Version de travail - Non définitive
Une actualité édifiante 1994 : $10 000 000 dérobés à Citybank par le pirate Vladimir Levin Mai 2007 : Attaques de pirates russes sur l’Estonie Eté 2007 : Attaques de pirates chinois sur le Pentagone et divers serveurs gouvernementaux français et allemands Août 2008 : Attaques de pirates russes sur les serveurs gouvernementaux géorgiens …
Que peut faire un pays pour se protéger ? Se doter d’une politique de sécurité et la réévaluer régulièrement Edicter des lois pour : Garantir la protection de la vie privée des citoyens, Lutter contre la criminalité informatique, Permettre et imposer la mise en sécurité des systèmes. Former, informer et sensibiliser : Les professionnels du secteur privé, Les fonctionnaires, Le grand public. Protéger ses infrastructures critiques Durcissement des infrastructures Gestion coordonnée des crises Structure de veille, de réaction rapide et de coordination nationale et internationale.
Et le Maroc ? Le Maroc s’est doté de lois adaptées à l’instauration de la confiance en l’économie numérique Signature électronique Protection des données personnelles Lutte contre la cybercriminalité Le Maroc participe aux travaux de l’ITU sur la cybersécurité Instauration de la confiance en l’économie numérique Axe 1 Sécurité des systèmes d’information Axe 2 Vie privée et protection des données personnelles Axe 3 Cybercriminalité Une étude a été lancée pour élaborer une politique nationale visant l’instauration de la confiance numérique et la sécurité des systèmes d’information : Benchmarking international Enquête auprès des entreprises et administrations marocaines
Un enseignement de l’enquête Forte attente des organismes quant à la future politique nationale : La mise en place d’organisations autour de la sécurité des systèmes d’information est très attendue : Un organisme permettant d’échanger sur le sujet entre responsables informatiques. Des autorités nationales de veille et de diffusion d’information. Le partage d’informations sur les cadres et les dispositifs en vigueur : Le cadre législatif relatif aux technologies de l’information est méconnu. Le sentiment général est que le développement de l’économie numérique passe par le renforcement de celui-ci. Le dispositif de lutte contre la cybercriminalité et judiciaire mis en place pour lutter contre la cybercriminalité est méconnu et ceux qui y ont été confrontés l’ont trouvé complexe. Verbatim « Je n’ai pas connaissance d’une quelconque législation sur les crimes et la cybercriminalité. » Responsable Informatique « Je suis favorable à un organisme donnant des directives sur la sécurité des systèmes d’information au niveau national, sensibilisant aux risques, vulgarisant les concepts et diffusant des alertes. » TGR
Une stratégie est proposée… VISION Le Royaume du Maroc doit être un acteur majeur de la société de l’information et de l’économie numérique OBJECTIFS STRATEGIQUES (dans le contexte de la sécurité des systèmes d’information) 1. Assurer la protection des infrastructures nationales Continuité des infrastructures critiques, Sécurité des systèmes d’information. 2. Lutter contre la cybercriminalité 3. Créer les conditions favorables à l’instauration de la confiance en l’économie numérique Promotion de l’administration et du commerce électronique, Facilitation de l’offre d’offshoring. CHANTIERS Chantier 1 Sécurisation des systèmes d’information Chantier 2 Lutte contre la cybercriminalité Chantier 3 Confiance en l’économie numérique (grand public) Chantier 4 Confiance en l’économie numérique (entreprises)
…qui se décline en actions : Chantier 1 Sécurisation des systèmes d’information Chantier 2 Lutte contre la cybercriminalité Chantier 3 Confiance en l’économie numérique (grand public) Chantier 4 Confiance en l’économie numérique (entreprises) A 5.1 Mettre à jour le cadre réglementaire relatif à l’économie numérique A 1.1 Audit obligatoire des SI des organismes publics et privés sensibles A 2.1 Ratifier la Convention du Conseil de l’Europe sur la cybercriminalité (inclut la mise à jour de la liste des délits informatiques punis par la loi) A 3.1 Etablir la responsabilité des fournisseurs de services d’internet A 3.2 Protéger les consommateurs pour les ventes en ligne A 4.1 Libéraliser l’usage de la cryptographie A 1.2 Obligation d’alerte en cas d’attaque susceptible d’impacter un réseau tiers A 3.3 Loi sur la protection des données personnelles A 1.3 Créer l’Agence Nationale de la Sécurité des SI Incluant le rôle de la Commission de contrôle de la protection des données personnelles A 5.2 Constituer le Cert.ma A 1.4 Renforcer le rôle de surveillance de la certification électronique par l’ANRT (incluant l’agrément des PSC) A 2.2 Formation des forces de l’ordre spécialisées aux TIC et à la SSI A 3.4 Confier le développement de l’économie numérique au Conseil Nationale des Technologies de l’Information et de l’économie numérique A 1.5 Programme de communication au grand public sur la SSi A 2.3 Formation des magistrats en fonction aux TIC et à la SSI A 3.5 Communication sur le e-commerce (labellisation des sites, paiement en ligne) A 4.2 Communication sur le cadre législatif marocain relatif aux TIC A 1.6 Programme de communication aux entreprises sur la SSI A 2.4 Inclusion des TIC et de la SSI dans le programme de l’ISM A 3.6 Formation des écoliers, lycéens et étudiants aux bonnes pratiques sur Internet A 4.3 Constitution d’un pôle de compétitivité marocain consacré à la SSI A 1.7 Inclusion de la SSI dans le programme de formation des ingénieurs A 2.5 Sensibilisation des lycéens et étudiants au droit des SI A 3.7 Sites web d’information sur l’Internet sans crainte (pour les parents) Lois Organismes Force de police spécialisée Programmes
Ce qui est en cours au DEPTTI Préparation du département à la certification ISO 27001 Pour ses services internes Pour les services rendus aux administrations Ce modèle sera mutualisable et partageable avec les autres administrations Constitution d’un CERT marocain
Pour laisser ces situations au domaine de la fiction ! Merci de votre attention