Cyber risques : les entreprises marocaines appelées à se prémunir

16 juin, 2016 - 12:01

Une conférence concernant la gestion des cyber risques a été organisée par Saham Assurance. Un panel d’intervenants spécialisés dans le domaine a répondu à plusieurs questions concernant ce sujet sensible de l’ère numérique.

La conférence organisée par la compagnie d’assurance sous le thème « comment prévenir et faire face aux cyber risques » a été animée par Ghita Kittane, DRH et Communication chez Saham, et a connu la participation de Souad El Kohen, membre de la Commission nationale de Contrôle de Protection des Données à Caractère personnel (CNDP), Pierre-Edward Fraigneau, DG délégué en Afrique Nord chez American International Group (AIG), Youssef Benabdallah, DG adjoint Pôle Marché des entreprises chez Saham et Frédéric Goux, Associé du Cabinet Solucom.

El Kohen a parlé du rôle du CNDP dans la protection des données à caractère personnel conformément à ce qui est stipulé dans la loi 09-08. Cette loi a pour finalité de protéger les personnes physiques vis-à-vis du traitement des données à caractère personnel. Ainsi, les personnes concernées par la collecte et le traitement d’informations personnelles ont le droit d’être informés, sans quoi, il est interdit aux entreprises et même aux fonctionnaires de l’Etat de recueillir des informations sans le consentement des intéressés. De plus, elle garantit le droit de refuser de donner des informations et de savoir l’usage qu’il en sera fait, aussi la possibilité d’avoir accès aux informations et de modifier celles qui sont incorrectes.

Frédéric Goux a mis en garde contre les nombreuses menaces qui existent sur le Web, notamment la pratique du «Phishing» (Hameçonnage), qui reste l’une des méthodes les plus simples et les plus répandues pour ce qui est des cyberattaques. Il a indiqué que ce qui fait la dangerosité de cette technique est le fait qu’elle tire profit du côté humain, du fait qu’elle dupe les gens à divulguer leurs données personnelles aux pirates à travers des formulaires qui ont un aspect formel. En effet, les pirates se font passer pour des organismes officiels détenant des informations des utilisateurs, et les invitent à remplir un formulaire en ligne avec leurs données afin de résoudre un quelconque problème lié à leur compte. Les pirates n’ont plus qu’à exploiter les informations des victimes comme bon leur semble.

Goux a d’ailleurs insisté sur le fait que le moyen de se prémunir contre les cyber risques est de se protéger en premier lieu, de détecter et réagir et enfin de responsabiliser les gens. Il a, par ailleurs, indiqué que le Maroc a encore du retard dans le domaine de la protection contre les cyberattaques, chose qui est due principalement au fait qu’il n’est pas vraiment une cible de choix pour les pirates. Il a déclaré qu’il y’a eu certes des attaques, mais que ces dernières n’étaient pas assez importantes par rapport à ce qui se fait à l’étranger.

Pierre-Edward Fraigneau a pour sa part classifié les sources principales des cyber attaques sont dues aux :

*Erreurs et malveillances

*Le Hacktivisme

*Organisations criminelles

*Capacités d’attaques

*Hostilités entre Etats

Il a d’ailleurs fait référence au cas concernant la cyber attaque qui a ciblé la chaine française, TV5, le 8 avril 2015.L’attaque avait été revendiquée par le «Cyber Caliphate», groupe de pirates se réclamant de Daech.

Ghita Kittane, a d’ailleurs déclaré que de plus en plus de compagnies collectent et traitent les informations de leurs clients, et qu’elles devraient œuvrer à mettre en place un système de protection efficace pour ces dernières.

Youssef Benabdallah quant à lui a déclaré que les entreprises marocaines sont appelées à renforcer la sécurité de leurs données, et plus particulièrement les données concernant leurs clients. Il a à cette occasion parlé du lancement d’un nouveau service d’assurance contre les cyber attaques par Saham Assurance, dont le prix varie selon la taille, les besoins et les services de chaque entreprise.

La loi 07-03 11 relative à la cybercriminalité

Le phénomène de la cybercriminalité au Maroc fait l’objet d’une disposition législative visant à le réprimer. Il s’agit de la loi n°07-03 de 11 novembre 2003 réprimant les infractions relatives aux systèmes de traitement automatisé des données (STAD). Des dispositions enrichissant la législation pénale par des dispositions susceptibles de s’appliquer aux infractions commises par voie informatique ou électronique.

La loi n°07-03 permet de sanctionner toutes les intrusions non autorisées dans un système de traitement automatisé de données. Relèvent de la qualification pénale toutes les intrusions intentionnelles, l’accès frauduleux et le maintien frauduleux.

Parmi les actes réprimés dans la loi n°07-03, on trouve en premier lieu l’accès frauduleux. Cette infraction résulte de l’article 607-3 du code pénal 2003 (modifié en 2016) qui disposant que : «le fait d’accéder, frauduleusement, dans tout ou partie d’un système de traitement automatisé des données est puni d’un mois à trois mois d’emprisonnement et de 2.000 à 10.000 dirhams ou de l’une de ces deux peines seulement». Dès lors que le maintien ou l’accès frauduleux entraîne une altération du système, la loi marocaine prévoit un doublement de la peine. En effet, l’article 607-3, al. 3 du Code pénal dispose « La peine est portée au double lorsqu’il en est résulté soit la suppression ou la modification de données contenues dans le STAD, soit une altération du fonctionnement de ce système».

La loi marocaine incrimine également le maintien frauduleux dans un système de traitement automatisé de données. L’article 607-3 du code pénal marocain dispose :« Est passible de la même peine toute personne qui se maintient dans tout ou partie d’un système de traitement automatisé de données auquel elle a accédé par erreur et alors qu’elle n’en a pas le droit».

L’article 607-5 du Code pénal, inséré en vertu de la loi n°07-03, dispose que «Le fait d’entraver ou de fausser intentionnellement le fonctionnement d’un système de traitement automatisé des données est puni d’un an à trois ans d’emprisonnement et de 10.000 à 200.000 dirhams d’amende ou de l’une de ces deux peines seulement».

Quant aux atteintes aux données, l’article 607-6 du code pénal dispose que « Le fait d’introduire frauduleusement des données dans un système de traitement automatisé ou de détériorer ou de supprimer ou de modifier frauduleusement les données qu’il contient est puni d’un an à trois ans d’emprisonnement et de 10.000 à 200.000 dirhams d’amende ou de l’une de ces deux peines seulement ».

Pour tous ces délits, que ce soit pour les intrusions (accès et atteinte frauduleuse au STAD) et pour les atteintes (atteintes au fonctionnement et atteintes aux données d’un STAD), la tentative est punie des mêmes peines. En effet, l’article 607-8 du Code pénal dispose «La tentative des délits prévus par les articles 607-3 à 607-7 ci-dessus et par l’article 607-10 ci-après est punie des mêmes peines que le délit lui-même».

Abdellah Ouardirhi et Youssef Boukioud

Top