Le site d'information de la CFCIM
Cloud

Hébergement des infrastructures et données sensibles : êtes-vous en conformité avec la réglementation ?

Date de publication : 26 novembre 2019 Rubrique : Regards d'experts

Islam AbouelataIslam Abouelata, Head of Engineering, N+ONE DATACENTERS

Depuis 2016, les entreprises et organismes opérant dans des secteurs d’activité d’importance vitale et utilisant des données jugées sensibles doivent protéger leur système d’information et héberger leurs infrastructures et bases de données numériques sur le territoire marocain. Elles doivent également se soumettre à un ensemble de contrôles. Explications.

Dans le cadre de la Stratégie Nationale de Cybersécurité portée par la Direction Générale de la Sécurité des Systèmes d’Information (DGSSI), une entité de la Défense Nationale créée en 2011, le Maroc a publié en 2016 le Décret n° 2-15-712 du 12 Joumada II 1437. Le texte fixe le dispositif de protection des systèmes d’information sensibles des infrastructures d’importance vitales.

Par « Infrastructures d’importance vitale », sont désignées les « installations, ouvrages et systèmes indispensables au maintien des fonctions vitales de la société, de la santé, de la sûreté, de la sécurité et du bien-être économique ou social » et dont les dysfonctionnements pourraient conduire à la défaillance de ces fonctions vitales.

Quels sont les organismes et entreprises concernés ?

Sont visés par le décret, les administrations, établissements et entreprises publics ou encore les organismes disposant d’un agrément ou d’une licence de l’État pour exercer une activité réglementée dans les secteurs dits « d’importance vitale ». Cela couvre la production ou la distribution de «biens et de services indispensables à la satisfaction des besoins essentiels pour la vie des populations ou au maintien des capacités de sécurité du pays ». Différents domaines sont ciblés, par exemple la sécurité publique, le secteur financier, l’industrie, les réseaux des transports, l’énergie et les mines, l’approvisionnement et la distribution d’eau, les télécommunications et les services postaux, l’audiovisuel et la communication, la santé et la justice.

Quelles sont leurs obligations ?

Les entités concernées doivent déclarer la liste des systèmes d’information d’infrastructure d’importance vitale à la DGSSI qui pourra prévoir des règles de sécurité particulières à appliquer selon le secteur d’activité et effectuer des audits. Elles ont en outre l’obligation d’engager les moyens indispensable pour la supervision et la détection des cyberattaques et informer l’autorité compétence de chaque incident ou tentative de piratage.

Parmi les autres obligations auxquelles doivent se soumettre les entités, la mise en place d’un plan de continuité et de reprise d’activité ainsi que la nécessité d’héberger les systèmes d’information et les données sensibles sur le territoire marocain.

Quelles solutions pour l’hébergement des infrastructures et données sensibles ?

Quand il s’agit de protéger son patrimoine informationnel l’entité concernée peut soit héberger ses plateformes en interne, soit externaliser le tout ou une partie de son système d’information à un prestataire spécialisé. Dans le premier cas, l’entité garde le contrôle sur ses infrastructures, et sur les données, mais elle se doit de disposer, en interne, des solutions et ressources humaines adéquates pour sécuriser ses plateformes. Cela implique des coûts et des moyens importants à mettre en œuvre.

La seconde option, quant à elle, présente plusieurs avantages, mais suscite de nombreuses questions auxquelles l’entité doit apporter les réponses adaptées. Quel prestataire serait en mesure d’assurer la sécurité, la disponibilité, et l’intégrité des données hébergées ? Quelles données peuvent être externalisées ? Quel impact sur l’entité en terme d’organisation ? Desinterrogationsquidoiventconstituerdes éléments de prise de décision répondant à la fois au besoin de garantir la sécurité des données et à celui de bénéficier des avantages de l’externalisation.

Ces avantages qui peuvent notamment inclure :

•L’optimisation des coûts des systèmes d’information. En effet, grâce aux économies d’échelle réalisées par les prestataires d’externalisation, les organisations profitent de la mutualisation des moyens et baissent ainsi leurs coûts d’investissement et de fonctionnement informatiques.

• Le recentrage sur le cœur de métier de l’organisation en confiant les fonctions qui demandent une expertise particulière à des prestataires externes.

• La possibilité de faire évoluer le système de manière agile. Les prestataires proposent des offres qui peuvent évoluer à la hausse ou à la baisse permettant à l’organisation de s’adapter de manière plus agile aux nouveaux besoins métier auxquels elle est confrontée.

• Le fait de tirer profit de l’expérience du prestataire. Ce dernier est en mesure d’être constamment à la pointe de la technologie et peut donc mettre à disposition de ses clients des solutions à jour, fiables et performantes.

Le recours au modèle externalisé au Maroc est depuis plusieurs années assez répandu. Les opérateurs marocains abritent ainsi les systèmes d’informations et datacenter nominaux d’établissements, publics et privés, marocains et internationaux.