Comment les entreprises marocaines appréhendent-elles la cybersécurité ? C’est la question posée par la première déclinaison marocaine de l’étude du cabinet de conseil et d’audit PwC « The Global State of Information Security Survey ». Cette étude mondiale, réalisée en collaboration avec CIO et CSO magazine, propose pour la première fois un état des lieux des enjeux de cybersécurité au Maroc.
Les experts PwC démontrent que la cybersécurité est désormais un enjeu majeur pour les entreprises au Maroc. Digitalisation, réglementation de certains secteurs et directives nationales poussent aujourd’hui les entreprises à renforcer leurs dispositifs en matière de protection des données. Cette prise de conscience et ces efforts doivent néanmoins se poursuivre.
Selon l’étude, dans un contexte de transformation digitale de plus en plus prégnant, les entreprises marocaines prennent conscience des risques encourus et des enjeux en matière de cybersécurité. Cependant, 70 % des répondants déclarent que leur stratégie de cybersécurité n’est pas implémentée à une vitesse suffisante.
L’utilisation de logiciels malveillants est citée comme vecteur principal des cyberattaques au sein de l’entreprise au Maroc. En effet, 25% des entreprises interrogées estiment que ceux-ci sont à l’origine des incidents de sécurité subis en 2017.
Face à ces constats, les entreprises marocaines ont consacré en 2017 à leur cybersécurité des budgets en hausse significative par rapport à 2016, largement supérieur au panel mondial (11% du budget IT au Maroc contre 4% dans le monde).
D’après Nabil Kettani, Associé Digital & Expérience chez PwC au Maroc : «les entreprises marocaines font face à de nouveaux challenges et à une pression importante liée à l’ouverture de multiple chantiers de digitalisation. Malgré un budget sécurité paraissant relativement significatif par rapport au budget IT, cette pression et cette multiplicité des sujets adressés dans un timing court induisent cette perception de budget insuffisant ».
Ce sont en majorité les grandes entreprises qui se montrent proactives et qui prennent la mesure du risque cyber.
Les petites et moyennes entreprises restent globalement réactives et ne prennent la mesure du risque cyber qu’à la suite d’un incident ou des recommandations d’un audit.
La cybersécurité, une problématique encore peu gérée au niveau du Comité de direction
La majorité des entreprises considèrent encore la cybersécurité comme un problème purement technique et non relevant de la gouvernance d’entreprise. De fait, 75% des entreprises sondées déclarent avoir désigné un Responsable de la Sécurité des Systèmes d'Information (RSSI) rattaché à leur Direction des Systèmes d’Information (DSI) et non au Comité de direction. Seulement 25% des organisations qui ont défini une gouvernance en ont approuvé son cadre au niveau du Comité de direction.
«La cybersécurité continue d’être perçue comme une problématique technique et est donc naturellement rattachée à la DSI des organisations. C’est ce qui explique d’ailleurs que la problématique de la cybersécurité soit insuffisamment traitée à un niveau stratégique, alors qu’elle le devrait», analyse Nabil Kettani.
Des incidents encore peu identifiables et des impacts difficilement quantifiables
70% des entreprises interrogées déclarent avoir détecté moins de 50 incidents de sécurité au cours des 12 derniers mois, tandis que 10% n’en déclarent aucun. 39% d’entre elles ne sont par ailleurs pas capables d’identifier l’origine des incidents en matière de cybersécurité.
« Si le nombre d’incidents détectés au Maroc est moins important que dans le reste du monde, c’est parce que les entreprises ne détectent pas toujours les attaques dont elles sont victimes. De plus, dans la majorité des cas, les pertes financières ne sont pas chiffrées. Seules 11% des entreprises déclarent être en mesure de chiffrer leurs pertes », explique Nabil Kettani.
L’étude révèle également que les entreprises n’ont pas toutes mené une analyse de risques sur leurs infrastructures internes et sur leurs prestataires
« Les dispositifs mis en place par les organisations sont encore parcellaires. Globalement, les entreprises marocaines ne sont réactives que post incidents ou post audit. Elles sont encore trop rarement proactives. Les entreprises ont globalement encore un chemin significatif à parcourir pour atteindre un niveau de maturité acceptable au regard des risques à couvrir. », conclut Nabil Kettani.