La loi 05-20 relative a la cybersecurite, promulguee en 2020, marque un tournant pour les entreprises marocaines. Elle impose des obligations concretes aux operateurs d'infrastructures vitales (OIV) et renforce le role de la DGSSI comme autorite nationale. Pourtant, de nombreuses organisations ne savent pas par ou commencer. Ce guide propose une approche structuree.

Important : La non-conformite a la loi 05-20 expose les organisations a des sanctions administratives et penales. Les dirigeants portent une responsabilite directe.

Qui est concerne ?

La loi 05-20 vise principalement les operateurs d'infrastructures vitales (OIV) dans les secteurs strategiques :

  • Energie (electricite, hydrocarbures, energies renouvelables)
  • Eau (production, distribution, assainissement)
  • Telecommunications et technologies de l'information
  • Transport (aerien, maritime, ferroviaire, routier)
  • Finance et systeme bancaire
  • Sante
  • Industrie (phosphates, agroalimentaire, automobile)
  • Administration publique

A noter : Meme si votre entreprise n'est pas designee OIV, la mise en conformite avec les bonnes pratiques de la DGSSI est fortement recommandee. Les donneurs d'ordre et partenaires internationaux l'exigent de plus en plus.

Les obligations cles de la loi 05-20

  • Classification des systemes d'information — identifier et classifier les systemes en fonction de leur criticite
  • Mesures de securite — implementer les mesures techniques et organisationnelles definies par les referentiels DGSSI
  • Audit de securite — realiser des audits periodiques par des prestataires accredites
  • Declaration d'incidents — notifier la DGSSI (via le maCERT) de tout incident significatif
  • Plan de continuite — disposer de plans de continuite et de reprise d'activite
  • Responsable securite — designer un responsable de la securite des systemes d'information (RSSI)

Demarche de mise en conformite en 6 etapes

  • Etape 1 — Diagnostic initial : evaluez votre niveau de maturite actuel par rapport aux referentiels DGSSI. Identifiez les ecarts (gap analysis).
  • Etape 2 — Classification des actifs : inventoriez et classifiez vos systemes d'information et actifs OT selon leur criticite.
  • Etape 3 — Analyse de risques : conduisez une analyse de risques formelle couvrant les menaces IT et OT.
  • Etape 4 — Plan de traitement : definissez les mesures de securite prioritaires et planifiez leur implementation.
  • Etape 5 — Implementation : deployez les mesures techniques (segmentation, detection, controle d'acces) et organisationnelles (politiques, procedures, formation).
  • Etape 6 — Audit et amelioration continue : faites auditer votre dispositif et inscrivez la cybersecurite dans un cycle d'amelioration continue.

Le role des normes internationales

Les referentiels DGSSI s'inspirent des standards internationaux. Une demarche alignee sur ISO 27001 (pour le systeme de management) et IEC 62443 (pour les environnements OT) permet de :

  • Repondre aux exigences de la loi 05-20
  • Satisfaire les audits DGSSI
  • Obtenir des certifications reconnues a l'international
  • Rassurer les partenaires et donneurs d'ordre etrangers

Erreurs a eviter

  1. Attendre d'etre designe OIV pour agir — la preparation prend du temps, anticipez
  2. Se limiter a la documentation — la DGSSI verifie la mise en oeuvre effective, pas seulement les politiques
  3. Ignorer les environnements OT — les systemes industriels sont dans le perimetre de la loi
  4. Ne pas impliquer la direction — la cybersecurite est un enjeu strategique, pas uniquement technique

Accompagnement loi 05-20 et conformite DGSSI

Resotech vous accompagne dans toutes les etapes de mise en conformite, du diagnostic initial a la preparation aux audits DGSSI. Expertise certifiee, connaissance du cadre marocain.

Nous contacter   Scan OT gratuit