Les conséquences de la cyberguerre peuvent être plus ravageuses et pernicieuses que celles de la guerre conventionnelle. Les dégâts incalculables provoqués par le piratage des données sensibles de la CNSS, revendiqué par un groupe de hackers algériens, en est la parfaite illustration.
Ahmed Zoubaïr
La digitalisation du monde de l’entreprise expose celle-ci à une série de menaces. Les captations de data, l’intrusion malveillante d’un système ou encore la manipulation à but mercantile, sont devenues monnaie courante. D’où la nécessité impérieuse pour les entreprises d’investir dans des moyens de protection solides afin d’assurer leur protection et leur pérennité. De nos jours, toute guerre qu’elle soit larvée ou déclarée est accompagnée d’une dimension numérique. Les conséquences de la cyberguerre peuvent être plus ravageuses et pernicieuses que celles de la guerre conventionnelle. Le piratage des données sensibles de la CNSS, revendiqué par un groupe de hackers algériens, en est la parfaite illustration. Cette dataleak, sans précédent dans l’histoire du Maroc de par son ampleur, a provoqué des dégâts incommensurables à tous les niveaux (économiques, financiers, professionnels, sociaux, personnels, juridiques…), révélant au grand jour des écarts de salaires colossaux dans les entreprises tant privées que publiques. Ce qui relevait du domaine du secret et de la confidentialité ne l’est plus puisque tout le monde, y compris le citoyen lambda, connait les revenus de tout le monde, ce qui n’est pas sans conséquences sur le climat social déjà plombé par la vie chère et les rapports professionnelles à l’intérieur de nombreuses sociétés où l’égalité de rémunération pour un travail ou grade égal n’est pas, chiffres à l’appui, souvent respectée.
Découvrir par exemple que son collègue touche plus que lui alors qu’il occupe un poste hiérarchiquement important ou que sa boite est truffée de salariés fantômes grassement payés n’a rien de plaisant, cela crée de la tension au travail et met les patrons dans une situation pour le moins embarrassante. Le mécontentement s’est propagé comme un venin jusque dans les entreprises familiales où des employés issus de la même famille ont constaté en consultant la grille des salaires déclarés que le père fondateur ne pratique pas l’équité salariale entre ses propres enfants. Ambiance… On peut multiplier à l’envi les cas de figure vécus comme une injustice par de nombreux salariés, et qui sont de nature à mettre à mal la convivialité au travail. Tout cela c’est du pain béni pour les syndicats qui ne manqueront pas, alors que le 1er mai approche, d’utiliser la question des écarts de revenus pour faire monter les enchères.
Ce n’est que là qu’un aspect des dégâts provoqués par la captation de la base de données de la CNSS. Plus qu’une simple atteinte aux données personnelles, nous sommes en face d’une acte de violation de l’intimité de plus de 2 millions d’assurés dont les coordonnées relèvent désormais du domaine public. L’usurpation d’identité est une pratique courante et la possibilité que leurs numéros de CIN tombent entre des mains malveillantes pose un problème sécuritaire de premier plan. Une entreprise aussi stratégique que la CNSS qui manipule de la data hautement sensible aurait dû procéder autrement pour se prémunir contre des cyberattaques. Recourir aux services de la Direction générale de la sécurité des systèmes d’information (DGSSI) rattachée à la Défense nationale. Cette direction réalise plusieurs missions dont l’assistance et le conseil pour le compte des « administrations et organismes publics ainsi que pour le secteur privé pour la mise en place de la sécurité de leurs systèmes d’information », la veille technologique pour anticiper les évolutions numériques et proposer des solutions de confiance en matière de sécurité des systèmes d’information.
La DGSSI organise aussi des sessions de formation au profit du personnel des entités relevant du secteur public. Il est surprenant que les dirigeants de la CNSS, dont le caractère stratégique n’échappe à personne, n’aient pas jugé utile de s’attacher ses services, lui préférant des boîtes dans le privé… ! Sous d’autres cieux, le monde économique fait appel à de grands noms de la défense spécialisés dans la cyber sécurité et non aux enseignes locales dont l’expertise n’est pas reconnue. On ne badine pas avec les informations sensibles de la nation. En France par exemple, la cyberdéfense est garante de la souveraineté nationale. Avec de nombreux acteurs, le ministère des Armées contribue de manière importante à la protection des systèmes d’information dans le cyberespace. Dans son avis de 2024 consacré au bilan d’étape de l’AMO, le Conseil économique, social et environnemental (CESE) a d’ailleurs émis des réserves sur la politique d’externalisation par la CNSS du traitement des dossiers maladies jugée non » sans risques pour la protection des données personnelles ». Une pratique à haut risque pour le principe de cloisonnement des données et la protection de leur confidentialité. Dans ce contexte violent et très tendu, les États deviennent des cibles directes, avec des conséquences pour leurs infrastructures administratives, leurs services essentiels comme les transports, la finance et leurs populations. Omniprésente dans le monde trouble d’aujourd’hui, cette dimension cybernétique doit être prise en compte par les dirigeants marocains pour construire un « bouclier numérique » digne de ce nom.
Fuite de la base de données de la CNSS : La CNDP invite les victimes à la saisir…
La Commission nationale de contrôle de la protection des données à caractère personnel (CNDP) tient à sensibiliser les différents publics contre les risques liés à l’utilisation de données à caractère personnel, qui seraient issues d’une fuite, ou publiées sur des canaux non autorisés et ce, suite à la série d’attaques de cybersécurité ayant fait fuiter, en particulier, des données de la Caisse Nationale de la Sécurité Sociale (CNSS). Dans un communiqué, la CNDP rappelle que le traitement licite de données à caractère personnel repose sur le consentement éclairé de la personne concernée ou sur un cadre légal autorisé par la loi n°09-08, ajoutant que toute information obtenue en dehors de ce cadre est illicite, et son utilisation constitue une infraction.
Le président de la CNDP Omar Seghrouchni.
A cet égard, la CNDP souligne qu’elle est, en particulier, investie de prérogatives d’investigation et d’enquête, en vertu de l’article 30 de la loi n°09-08, lui permettant de s’assurer que les responsables du traitement des données à caractère personnel, d’une part effectuent ce traitement en conformité avec la loi n°09-08, et d’autre part, que les données à caractère personnel traitées sont protégées d’une manière conforme aux dispositions de l’article 24 de la loi n°09-08. A ce titre, et conformément à sa mission, précise le communiqué, la CNDP se tient prête à recevoir et traiter les plaintes de toute personne physique estimant être victime de fuites ou de publication illicite de données personnelles et diligentera une enquête pour vérifier la conformité du traitement desdites données aux dispositions de la loi n°09-08 et de ses textes d’application, notamment à la lumière des premières vérifications réalisées par certains acteurs qui ont permis de relever que certains documents fuités, attribués à cette attaque cybernétique, se sont avérés faux, inexacts ou tronqués.
