Conformité cyber au Maroc
Tout savoir sur les obligations de cybersécurité applicables au Maroc. Référentiels obligatoires, normes recommandées, autorités compétentes et sanctions.
Référentiels obligatoires
Les référentiels de conformité imposés par la réglementation au Maroc.
DNSSI v2.0
DGSSI
Directive Nationale de la Sécurité des Systèmes d'Information. Référentiel obligatoire pour les organismes publics, OIV et OSE au Maroc.
Voir le détailLoi 05-20
DGSSI
Loi marocaine sur la cybersécurité. Cadre juridique définissant les obligations, sanctions et le cadre institutionnel.
Homologation DGSSI
DGSSI
Processus d'homologation de sécurité des SI en 4 phases pour les organismes publics et infrastructures critiques.
Standards recommandés
Les normes internationales les plus pertinentes pour le marché maroc.
ISO 27001:2022
ISO/IEC
Système de management de la sécurité de l'information. La certification la plus reconnue internationalement.
Voir le détailSOC 2 Type II
AICPA
Trust Services Criteria. Indispensable pour les entreprises marocaines servant des clients internationaux.
Voir le détailCadres méthodologiques
Des frameworks complémentaires pour structurer votre démarche de sécurité.
EBIOS RM
ANSSI
Méthodologie d'analyse de risques francophone. Très utilisée au Maroc pour les projets d'homologation.
NIST CSF 2.0
NIST
Framework de cybersécurité structuré. Complémentaire avec la DNSSI pour une couverture globale.
CIS Controls v8
CIS
Contrôles de sécurité critiques priorisés. Bon point de départ pour les PME marocaines.
Contexte réglementaire maroc
Autorité compétente
DGSSI (Direction Générale de la Sécurité des Systèmes d'Information), rattachée à l'Administration de la Défense Nationale.
Sanctions
Art. 19 Loi 05-20 : amendes de 100 000 à 1 000 000 MAD. Doublement en cas de récidive. Peines d'emprisonnement de 1 à 5 ans pour les cas graves.
Cadre institutionnel
La DGSSI est rattachée à l'Administration de la Défense Nationale. Elle coordonne la cybersécurité nationale et supervise l'application de la DNSSI et de la Loi 05-20.
Entités concernées
Administrations publiques, Opérateurs d'Importance Vitale (OIV), Opérateurs de Services Essentiels (OSE), infrastructures critiques et leurs sous-traitants.