C’est un secret de Polichinelle: les banques courent un risque permanent de cyberattaques, et le sujet de la sécurité devient de plus en plus à l’ordre du jour. L’enjeu est majeur car le secteur financier joue un rôle clé dans le fonctionnement de l’économie, au point que l’atteinte à un établissement financier pourrait avoir des conséquences désastreuses sur les opérations économiques courantes d’un pays tout entier.

Le rapport le plus récent d'IBM sur les cyberattaques a révélé que le secteur financier dépense déjà un coût moyen de 5,72 millions de dollars par violation de données. À mesure que la banque numérique augmente, l'exposition d'une banque aux menaces de cybersécurité augmente également. Selon Gartner, les dépenses en matière de cybersécurité s’élèveront de 11,3% en 2023, soit un marché annuel de 188,3 milliards de dollars. Aussi, les dépenses en sécurité dans le cloud devraient connaître la croissance la plus rapide en 2023, avec une hausse prévue de 26,8%. À titre d'illustration, Bank of America dépense plus d'un milliard de dollars par an pour la cybersécurité.

Au Maroc, l’amélioration du cadre de régulation et la conformité aux normes internationales ont permis de hisser le secteur financier du Royaume au rang des plus performants d’Afrique. D’ailleurs, les mesures adoptées pour protéger le cyberespace ont permis au Maroc de gagner 43 points et se classer 50ème à l’échelle mondiale, selon l’Indice mondial de la cybersécurité, publié par l’Union internationale des télécommunications.

Comment Bank Al-Maghrib guette les cybermenaces

«Dès 2005, les directives de Bank Al-Maghrib exigeaient la mise en place par les établissements de crédit de plans de continuité d’activité, leur permettant de se prémunir contre des perturbations opérationnelles majeures, dont les attaques d’ampleur sur leurs systèmes d’information»,  a déclaré  Abdellatif Jouahri, le wali de Bank Al-Maghrib. Aussi, afin de renforcer la sécurité de ces systèmes, une directive définissant le cadre de conduite de tests d’intrusion a été adoptée en 2016, imposant aux banques la mise en œuvre de programmes annuels de tests dont les résultats font l’objet de reportings à Bank Al-Maghrib. 

Dans ce contexte, Bank Al-Maghrib assure une veille sur les communiqués publiés par la Direction générale de la sécurité des systèmes d’information (DGSSI) sur les alertes aux cybermenaces et échange avec les banques, et plus particulièrement la communauté des responsables de la Sécurité des systèmes d’information (RSSI), autour des cybermenaces les plus critiques et des actions préventives et correctives nécessaires. Suite à la promulgation de la loi n°05- 20 relative à la cybersécurité et de son décret d’application, la Banque centrale, de par son rôle de coordinateur sectoriel du secteur bancaire, a identifié les infrastructures d’importance vitale relevant de ce secteur et procédé à leur désignation et la déclaration de leur liste auprès de la DGSSI.

Ce décret vise principalement à définir les mesures de protection des systèmes d’information des administrations de l’État, des établissements et des entreprises publiques et de toute autre personne morale de droit public, ainsi que celles des infrastructures d’importance vitale et des opérateurs privés. Il détermine également les critères de qualification des prestataires de services d’audit et des prestataires de services de cybersécurité.

Bank Al-Maghrib a notifié toutes les entités assujetties et qualifiées d’infrastructures d’importance vitale afin de se conformer aux exigences de la loi et du décret précités. En outre, l’établissement dirigé par Jouahri a également suivi de près l’évolution des cybermenaces ciblant plus particulièrement les institutions financières au niveau international et échangé avec le secteur bancaire sur les plans de réponse afin de s’en prémunir. La volonté du Maroc d’améliorer sa performance en matière de cybersécurité s’est traduite par l’adhésion à la convention de Budapest sur la cybercriminalité et à l’initiative CyberSud depuis mars 2018, qui est un projet européen de coopération en matière de lutte contre la cybercriminalité dans le voisinage sud.