تهدف الإستراتيجية الوطنية الرقمية الجديدة إلى تعميم رقمنة الخدمات الإدارية العمومية من أجل تجويد الخدمات المقدمة للمواطنين وكذا الى تنمية الاقتصاد الرقمي. ولهذا الغرض ومن أجل تسريع التحول الرقمي وتعزيز نمو القطاع الرقمي الوطني، تم اعتماد عدد من المحفزات ووضعها في صلب الاستراتيجية الوطنية أبرزها استخدام الخدمات الرقمية السحابية وذلك عن طريق تشجيع الإدارات والمؤسسات العمومية والمقاولات الى اللجوء الى استخدام هذه التكنولوجيا في حال الاستعانة بمصادر خارجية لإدارة نظم المعلومات.

وتسعى بلادنا انطلاقا من هذا التصور الى الاستفادة من الفرص العديدة التي توفرها الحوسبة السحابية خصوصا عندما يتعلق الأمر بخفض تكاليف البنية التحتية والاستهلاك المرن للموارد واستغلال مجموعة متنوعة من الخدمات المعلوماتية حسب الطلب بالإضافة الى العديد من الخدمات ذات القيمة المضافة تساعد على حفظ المعطيات وتحليلها وحمايتها.

ورغم أن استخدام الحوسبة السحابية يوفر هذا الكم من المزايا، إلا أنه يطرح في الآن نفسه بعض التحديات الأمنية والتي يجب التعامل معها بشكل استباقي خصوصا عندما يتعلق الأمر بالمعطيات ونظم المعلومات ذات الطبيعة الحساسة. وتتجلى أبرز هده التحديات في إمكانية استهداف الهجمات السيبرانية للبنى التحتية السحابية بسبب تركيز وتجميع المعطيات والخدمات بالإضافة الى وقع بعض القوانين العابرة للحدود التي تفرض على مقدمي الخدمات الرقمية السحابية الخاضعين لهذه القوانين تسليم المعطيات عند الطلب إلى سلطات بلدانهم.

ولهذا الغرض، أصبح من الضروري وضع قواعد ومعايير واضحة لاختيار عروض الخدمات الرقمية السحابية وتحديد المنهجية الذي يجب اتباعها من طرف الهيئات والبنيات التحتية ذات الأهمية الحيوية الخاضعة للقانون 05-20 المتعلق بالأمن السيبراني وذلك لحماية وتأمين المعطيات ونظم المعلومات ذات الطبيعة الحساسة حسب مدلول القانون.

ولهذه الغاية، قامت المديرية العامة لأمن نظم المعلومات بصفتها السلطة الوطنية المكلفة بالأمن السيبراني، تنفيذاً للتعليمات الملكية السامية، بإعداد مرسوم لتأطير استخدام الخدمات الرقمية السحابية من قبل الهيئات والبنيات التحتية ذات الأهمية الحيوية التي تمتلك أنظمة معلومات حساسة، من خلال وضع نظام لتأهيل مقدمي هذه الخدمات.

وللتذكير، فبموجب أحكام القانون 05-20 ومرسومه التطبيقي، يتعين على مسؤولي الهيئات والبنيات التحتية الحيوية اتخاذ التدابير اللازمة لحماية أصولها ونظمها المعلوماتية، حسب درجة حساسيتها، وفقا للتوجيهات وطبقا للدلائل المرجعية الصادرة عن المديرية العامة لأمن نظم المعلومات. وبالإضافة إلى ذلك، تنص المادة 25 من القانون 05-20 المذكور أعلاه على أنه يجب على هؤلاء المسؤولين أيضا اللجوء الى الخدمات والمنتجات والحلول التي تحددها السلطة الوطنية، وذلك لتعزيز سلامة نظم المعلومات وتقوية مناعتها.

وفي إطار تطبيق هذه المقتضيات، يقترح المرسوم كما سلف الذكر نظامًا لتأهيل مقدمي الخدمات الرقمية السحابية ويحدد معايير وشروط تأهيل مقدمي هذه الخدمات عندما يعهد إليهم بإدارة نظم المعلومات الحساسة والمعطيات الحساسة. ويهدف نظام التأهيل الى توفير ضمانات كافية بشأن كفاءة مقدمي الخدمات وجودة التدابير التنظيمية والأمنية المعمول بها ودرجة الثقة التي يمكن وضعها فيهم.

ويتمحور نظام التأهيل المقترح حول مستويين اثنين. المستوى الأول خاص بمقدمي الخدمات الخاضعين للقانون المغربي الذين يحترمون الشروط الواردة في مرجع المتطلبات والمتوفرين على بنية تحتية وتجهيزات وأنظمة تشغيل وإدارة خدمات متواجدة داخل التراب الوطني. ويخول المشروع لمقدمي الخدمات المؤهلين في المستوى الأول إدارة كل أو جزء من أنظمة المعلومات الحساسة الخاصة بالهيئات والبنيات التحتية ذات الأهمية الحيوية. بينما تبقى معالجة المعطيات الحساسة أو إدارتها أو تخزينها من صلاحيات مقدمي الخدمات المؤهلين في المستوى الثاني الذي يخضع لشروط إضافية ذات طبيعة قانونية وتقنية، الهدف منها هو أن تتم معالجة هذه المعطيات الحساسة، بالنظر إلى سريتها، داخل التراب المغربي، من طرف شركات خاضعة حصرا للقانون المغربي، بمنأى عن أي قانون آخر عابر للحدود.

وفي الأخير ولمراعاة الوضعية الحالية لقطاع مقدمي الخدمات الرقمية السحابية بالمغرب ومستوى نضجه، ونظرًا لأن العرض اللازم لتغطية جميع احتياجات الهيئات والبنيات التحتية ذات الأهمية الحيوية من الخدمات الرقمية السحابية سوف يتم توفيره بصفة تدريجية، فقد تم التنصيص على السماح بصفة انتقالية باللجوء الى مقدمي خدمات غير مؤهلين في حالة عدم وجود عروض مؤهلة. ويتعين وجوبا على مسؤولي هذه المؤسسات في هذه الحالة اتخاد قرار في هذا الشأن بعد إنجاز دراسة للأثر وبعد تحليل المخاطر التي يمكن أن تترتب عن اللجوء للخدمات الغير مؤهلة على أمن نظم المعلومات وعلى سرية المعطيات الحساسة.