Etre consultant·e en cybersécurité au Maroc

En tant que consultants en cybersécurité, nos missions sont très diversifiées et varient en fonction des besoins de chaque client. Nous réalisons notamment des audits de sécurité et de mise en conformité règlementaire. Les entreprises marocaines, comme les entreprises étrangères établies au Maroc, sont tenues de respecter la directive nationale de la sécurité des systèmes d’information imposée par la DGSSI[1], l’équivalent marocain de l’ANSSI[2]. L’accompagnement au respect de la norme ISO 27001 fait aussi de nos missions. A cela, s’ajoutent des accompagnements aux analyses de risques et à la mise en place de SOC[3]. La sensibilisation, la formation et la mise en place de plan de résilience et de continuité d’activité en cas de cyber-attaque font aussi partie de nos attributions. Orange Cyberdefense Maroc étant encore une structure assez jeune – elle a été créée en 2018 – nous participons activement à sa structuration et aux actions commerciales.

Aucune journée ne se ressemble. En plus des missions évoquées précédemment, notre quotidien est marqué par le développement d’Orange Cyberdefense Maroc. Il existe l’équivalent de la certification PASSI[4] au Maroc et, en ce moment, nous travaillons activement pour l’obtenir. Concrètement, même si l’essentiel de notre temps de veiller au delivery chez nos clients, nous sommes également très investis sur les aspects commerciaux, recrutement et structuration d’Orange Cyberdefense Maroc.

Nous sommes amenés à collaborer très souvent ensemble mais également avec le reste des consultants du bureau comme avec les équipes d’intégration. C’est l’un des aspects les plus enrichissants de notre travail : nous sommes amenés à tisser des liens car nous travaillons quasiment tous ensemble sur chaque nouvelle mission.

En comparaison de l’Europe, le marché cyber marocain est encore jeune. Les clients ont besoin d’un accompagnement à la fois stratégique et opérationnel très précis : souvent, ils ne savent pas comment appréhender le sujet de la cybersécurité. Notre position de conseil est ainsi renforcée : nous devons être très présents dans l’identification des besoins, la vulgarisation des concepts et la sensibilisation aux nouvelles tendances. Nos clients ont une véritable appétence de savoirs, ils posent beaucoup de questions et les échanges sont très riches. En outre, c’est un marché très compétitif en termes de prix. Bien que la législation soit moins stricte, notamment sur la sécurisation des données personnelles, les choses bougent, et vite. Certains clients se noient dans les normes et ont besoin d’un accompagnement de bout en bout de notre part. C’est génial d’évoluer dans ce secteur à ce moment précis : la prise de conscience et la volonté de se conformer aux bonnes pratiques sont réelles et il y a tout à construire. Nous sentons que nous sommes attendus, c’est stimulant.

Le sujet de la cyber-résilience est encore émergent au Maroc mais les entreprises s’y intéressent de plus en plus. L’attaque du ransomware WannaCry en 2017 a fait figure d’électrochoc. Aussi, il faut savoir que le Maroc fait partie des trois pays les plus ciblés par les cybercriminels en Afrique. Plus globalement, plusieurs déclencheurs ont stimulé les grands acteurs marocains à s’intéresser à la gestion de crise. Le ransomware Wannacry mais également les clients des entreprises que nous accompagnons dont certains sont devenus particulièrement exigeants et demandeurs de garanties sur la capacité de leurs prestataires à faire face à une cyber-attaque. Aussi, l’ouverture à l’international et la présence de grands groupes mondiaux ont accélérer cette volonté de mieux se préparer à l’éventualité d’une crise. Le secteur financier, qui est de loin le plus ciblé par les pirates, cherche à se faire accompagner sur ces aspects de continuité et d’anticipation. Les banques ont la volonté de tester leurs capacités de résistance et de continuité d’activité. Nous devons tout de même encore évangéliser certaines notions ; pour la plupart des entreprises, la gestion de crise est avant tout une affaire de communication et les scénarios testés sont très souvent liés à des catastrophes naturelles ou des crises affectant leur cœur de métier comme par exemple une crise financière. Nos clients ont du mal à voir l’aspect transverse d’une crise cyber. C’est aussi notre travail de les guider sur ces points. Nous observons tout de même que les choses bougent, l’Etat est de plus en plus exigeant avec les organismes d’importance vitale (OIV), notamment sur cet aspect continuité et certains secteurs ont même l’ambition de réaliser des exercices de crise conjoints à plusieurs autres OIV.

Notes

[1]Direction générale de la sécurité des systèmes d’information

[2]Agence nationale de la sécurité des systèmes d’information

[3]Security Operation Center

[4]Prestataires d’audit de la sécurité des systèmes d’information