C'est l'une des affirmations les plus frequentes dans les comites de direction marocains : "Nous sommes certifies ISO 27001, donc la loi 05-20 ne nous pose aucun probleme." Le raisonnement semble logique. Vous avez investi dans un standard international reconnu, passe des audits et obtenu votre certificat. Mais la realite est plus nuancee — et cette nuance peut vous couter cher.

La reponse courte : Non, l'ISO 27001 ne vous rend pas automatiquement conforme a la loi 05-20. C'est un excellent fondement, mais la loi impose des exigences supplementaires que votre SMSI ne couvre probablement pas.

Pourquoi cette croyance est si repandue

L'ISO 27001 et la loi 05-20 partagent effectivement un terrain commun : gestion des risques, controle d'acces, gestion des incidents et amelioration continue. La confusion est donc comprehensible. Mais la loi 05-20 est une legislation nationale — et une legislation impose des obligations qui depassent ce qu'un systeme de management prescrit.

Les 6 ecarts que votre certificat ISO 27001 ne couvre pas

1 Declaration obligatoire des incidents au maCERT

La loi 05-20 exige que les incidents significatifs soient declares a la DGSSI via le maCERT dans des delais definis. L'ISO 27001 impose d'avoir une procedure de gestion des incidents, mais ne fixe pas de delais de notification aux autorites nationales.

2 Classification des systemes d'information

La loi 05-20 exige une classification formelle des systemes d'information selon des criteres definis par la DGSSI. L'ISO 27001 classe les actifs informationnels, mais pas necessairement selon le referentiel DGSSI specifique au Maroc.

3 Responsabilite des dirigeants

La loi 05-20 impose des sanctions penales aux dirigeants en cas de non-conformite. L'ISO 27001 exige un "engagement de la direction" mais ne prevoit pas de responsabilite juridique personnelle.

4 Environnements OT dans le perimetre

Beaucoup de certifications ISO 27001 se limitent a l'environnement IT. La loi 05-20 ne fait pas de distinction : si vos systemes industriels (SCADA, PLC, automates) sont critiques, ils doivent etre inclus dans le perimetre de securite.

5 Audit par des prestataires accredites DGSSI

La loi 05-20 impose des audits periodiques realises par des prestataires d'audit accredites par la DGSSI. Un audit ISO 27001 par un organisme certificateur ne remplace pas cette obligation specifique.

6 Designation d'un RSSI

La loi exige la designation d'un Responsable de la Securite des Systemes d'Information (RSSI) avec des competences definies. L'ISO 27001 requiert une gouvernance de securite, mais pas necessairement un role specifique de RSSI tel que defini par la DGSSI.

Ce que l'ISO 27001 vous apporte reellement

L'ISO 27001 reste un excellent point de depart. Les organisations disposant d'un SMSI mature ont une avance considerable pour la conformite a la loi 05-20 :

  • Une approche systematique du risque
  • Des procedures et politiques documentees
  • Un cycle PDCA d'amelioration continue
  • Des mesures de securite sur le controle d'acces, le chiffrement et la journalisation

Il ne s'agit pas de remplacer votre ISO 27001 — il s'agit de combler les ecarts specifiques a la loi 05-20.

Que devez-vous faire maintenant ?

  1. Analyse d'ecarts — comparez votre SMSI actuel avec les exigences de la loi 05-20 et les referentiels DGSSI
  2. Elargir le perimetre — integrez les environnements OT, la supply chain et la continuite d'activite
  3. Procedure de declaration — mettez en place un processus de notification au maCERT conforme aux delais requis
  4. Impliquer les dirigeants — formalisez leur role dans la gouvernance de la cybersecurite
  5. Documenter et tester — la DGSSI verifie la mise en oeuvre effective, pas seulement les politiques sur papier

Conseil : commencez par une analyse d'ecarts basee sur votre documentation ISO 27001 existante. Vous identifierez rapidement ou se situe l'effort supplementaire — souvent moins important que prevu.

Voulez-vous connaitre vos ecarts ?

Resotech realise des analyses d'ecarts loi 05-20 pour les organisations certifiees ISO 27001. Nous connaissons les deux referentiels de l'interieur et vous aidons a cibler les points manquants.

Nous contacter