Loi 05.20 : Une nouvelle loi pour consolider l’arsenal juridique marocain relatif à cybersécurité

Elle a pour objectif de préconiser des moyens de protection assurant ainsi le développement de la confiance numérique, la digitalisation de l’économie et plus généralement l’assurance de la continuité des activités économiques et sociétales du Maroc.

Face à l’évolution des risques de cybercriminalité à l’échelle mondiale, le Maroc s’est bâti au cours de ces dernières années un arsenal juridique relatif à la cybersécurité et à la protection de données englobant notamment : la loi 07.03 en 2003, la loi 53.05 en 2007, la loi 09.08 en 2009 et la dernière en date, la loi 05.20 relative à la cybersécurité dont le projet a été adopté par la chambre des représentants le 06 Juillet 2020.

Cette loi 05.20 vise à renforcer la protection et la résilience des infrastructures d’importance vitale (systèmes d’informations des administrations de l’Etat, des collectivités territoriales, des établissements et entreprises publics) tout en fixant également un certain nombre d’obligations pour les « opérateurs » numériques (exploitants des réseaux publics de télécommunication, fournisseurs d’accès à Internet, prestataires de services de cybersécurité et de services numériques, éditeurs de plateformes Internet et toute autre personne morale de droit public).

La loi 05.20 définie les exigences techniques et organisationnelles en matière de cybersécurité à mettre en œuvre pour les IIV telles que la protection des données (classification des données à mettre en œuvre), la gestion des risques, la continuité d’activité (mise en place et maintien en conditions opérationnelles d’un plan de continuité d’activité), l’audit régulier des SI par des prestataires qualifiés PASSI* etc.

Côté opérateurs, des obligations de reporting (signalement d’incident susceptible d’affecter la sécurité des SI clients), assistance (assistance technique du comité de gestion des crises)  et prévention (organisation de cycles de formation et d’exercices au profit du personnel) sont également prévues par la loi.

Ce texte de loi prévoit également la création de deux institutions : la commission stratégique de la cybersécurité ayant pour mission de fixer les grandes orientations de l’Etat en matière de cybersécurité et l’Autorité Nationale de la Cybersécurité qui aura pour mission d’exercer les orientations fixées par la commission.

*Etant un acteur ambitieux dans les prestations de services de cybersécurité au Maroc et en vue de se conformer aux dernières exigences légales, Orange Cyberdefense a entamé la procédure d’homologation PASSI (Prestataires d’Audit de la Sécurité des Systèmes d’Information).