Le Maroc s'est doté ces dernières années d'un cadre juridique et réglementaire solide en matière de cybersécurité. Avec la loi 05-20 sur la cybersécurité et le rôle renforcé de la DGSSI, les entreprises marocaines — en particulier celles opérant dans des secteurs stratégiques — font face à de nouvelles obligations. Parallèlement, les standards européens comme la NIS2 et l'IEC 62443 s'imposent comme références internationales. Comment s'y retrouver ?
À retenir : La loi 05-20 et les directives DGSSI s'appliquent aux opérateurs d'infrastructures vitales marocaines. L'alignement sur l'IEC 62443 et l'ISO 27001 est la voie la plus efficace pour répondre à ces obligations.
La loi 05-20 sur la cybersécurité
Promulguée en 2020, la loi 05-20 relative à la cybersécurité constitue le cadre légal de référence au Maroc. Elle définit :
- Les infrastructures vitales et leurs opérateurs (OIV)
- Les obligations de sécurité et de déclaration d'incidents
- Le rôle et les pouvoirs de la DGSSI comme autorité nationale
- Les exigences d'audit et de certification pour les systèmes critiques
Le rôle de la DGSSI
La Direction Générale de la Sécurité des Systèmes d'Information (DGSSI), rattachée à l'Administration de la Défense Nationale, est l'autorité nationale compétente en matière de cybersécurité au Maroc. Ses missions incluent :
- Élaborer et mettre en œuvre la stratégie nationale de cybersécurité
- Publier des référentiels et directives techniques pour les OIV
- Coordonner la réponse aux incidents de cybersécurité via le maCERT
- Accréditer les prestataires de services de cybersécurité
Secteurs concernés au Maroc
Les opérateurs d'infrastructures vitales (OIV) marocains concernés par ces obligations couvrent notamment :
- Énergie (électricité, hydrocarbures, énergies renouvelables)
- Eau (production, distribution, traitement des eaux usées)
- Télécommunications et technologies de l'information
- Transport (aérien, maritime, ferroviaire, routier)
- Finance et banque
- Santé
- Alimentation et industrie agroalimentaire
Comparatif : DGSSI / NIS2 / IEC 62443
| Aspect | DGSSI / Loi 05-20 | NIS2 (Europe) | IEC 62443 |
|---|---|---|---|
| Portée | Maroc — OIV | Union Européenne | International |
| Nature | Réglementaire / Légale | Directive européenne | Norme technique |
| Cible principale | Systèmes d'information critiques | Entités essentielles et importantes | Systèmes OT / IACS |
| Moyen de conformité | Référentiels DGSSI | ISO 27001 + IEC 62443 | Zones, conduits, SL |
Pourquoi s'aligner sur IEC 62443 et ISO 27001 ?
Les référentiels de la DGSSI s'inspirent largement des standards internationaux. En s'alignant sur l'IEC 62443 pour les environnements OT et sur l'ISO 27001 pour la sécurité de l'information globale, une entreprise marocaine répond simultanément aux exigences :
- De la loi 05-20 et des directives DGSSI
- Des donneurs d'ordre européens soumis à la NIS2
- Des appels d'offres internationaux exigeant des certifications reconnues
C'est une approche particulièrement pertinente pour les entreprises marocaines exportatrices ou travaillant avec des partenaires européens.
Par où commencer ?
Pour une entreprise souhaitant s'aligner sur le cadre réglementaire marocain tout en adoptant les meilleures pratiques internationales :
- Étape 1 : Évaluation du niveau de maturité actuel (nulmeting / gap analysis)
- Étape 2 : Identification des obligations applicables (OIV ou non)
- Étape 3 : Mise en conformité priorisée selon les risques
- Étape 4 : Documentation et préparation aux audits DGSSI
Besoin d'un accompagnement sur la conformité réglementaire ?
Resotech vous aide à naviguer dans le cadre réglementaire marocain et international, avec une expertise certifiée ISO 27001 et IEC 62443.
Nous contacter Scan OT gratuit