Les operateurs d'infrastructures vitales (OIV) au Maroc sont tenus par la loi 05-20 d'evaluer la cybersecurite de leurs fournisseurs. Cela signifie : questionnaires, audits et exigences contractuelles. En tant que fournisseur, mieux vaut etre prepare que surpris. Voici les 10 questions qui arrivent — et ce que vous devez pouvoir repondre.

Pourquoi c'est urgent : les OIV qui travaillent deja sur leur conformite DGSSI envoient des questionnaires fournisseurs des maintenant. Vous pourriez recevoir un e-mail demain.

1

Avez-vous une politique formelle de securite de l'information ?

Votre client veut savoir si vous avez un document de politique approuve par la direction. Une certification ISO 27001 repond directement a cette question.

Conseil : meme sans certification, vous pouvez rediger un document de politique.
2

Comment gerez-vous l'acces aux systemes et donnees clients ?

Acces base sur les roles, MFA, revue periodique des comptes, procedures de revocation lors du depart d'employes.

Conseil : documentez votre politique d'acces et demontrez l'utilisation du MFA.
3

Avez-vous une procedure de reponse aux incidents ?

La loi 05-20 exige la declaration au maCERT. Votre client veut savoir : si quelque chose se passe chez vous, combien de temps avant qu'il le sache ?

Conseil : etablissez un plan simple avec procedure d'escalade et delais de notification.
4

Comment securisez-vous les acces distants ?

Si vous accedez a distance aux systemes de votre client, il veut savoir comment vous securisez et surveillez ces connexions.

Conseil : utilisez toujours le MFA, la journalisation et un acces limite dans le temps.
5

Effectuez-vous une gestion des vulnerabilites ?

Scannez-vous regulierement les vulnerabilites ? A quelle vitesse corrigez-vous les failles critiques ?

Conseil : un scan mensuel et une politique de correction avec des SLA suffisent dans la plupart des cas.
6

Quelle est votre strategie de sauvegarde et de restauration ?

Faites-vous des sauvegardes regulieres ? Sont-elles hors ligne ou immuables ? La restauration est-elle testee ?

Conseil : testez votre procedure de restauration au moins annuellement et documentez les resultats.
7

Formez-vous vos employes a la sensibilisation securite ?

Le phishing est le vecteur d'attaque le plus utilise. Votre client veut savoir si vos employes sont formes.

Conseil : une formation annuelle avec simulation de phishing est le standard.
8

Verifiez-vous les antecedents de vos employes et sous-traitants ?

Particulierement pertinent si vos employes ont acces a des environnements ou donnees sensibles du client.

Conseil : integrez vos exigences de verification dans votre politique RH et contrats fournisseurs.
9

Acceptez-vous de conferer des droits d'audit ?

La loi 05-20 oblige les OIV a pouvoir auditer leurs fournisseurs. Etes-vous pret a cooperer ?

Conseil : integrez des clauses d'audit dans vos contrats standard — cela rassure les clients.
10

Avez-vous un processus d'amélioration continue de votre sécurité ?

La cybersécurité n'est pas un projet ponctuel. Les clients veulent savoir si vous travaillez structurellement à l'amélioration : revues périodiques, retours d'expérience après incidents et ajustements face aux nouvelles menaces.

Conseil : documentez votre cycle d'amélioration (Plan-Do-Check-Act) et montrez que vous tirez les leçons des incidents et audits — cela vous distingue de la concurrence.

Pouvez-vous repondre a ces questions ?

Si vous devez repondre "non" ou "je ne sais pas" a trois questions ou plus, il est temps d'agir. Non pas parce que la loi vous l'impose directement, mais parce que vos clients vont l'exiger. Et le concurrent qui a tout en ordre est pret a prendre votre place.

Besoin d'aide pour vous preparer ?

Resotech aide les fournisseurs avec une approche pragmatique de preparation : du diagnostic rapide a l'accompagnement complet ISO 27001. Vous n'avez pas a tout faire d'un coup — mais vous devez commencer.

Nous contacter