Dans le but d’accélérer la transformation digitale de notre pays et stimuler la croissance du secteur numérique national, la promotion de l’utilisation des technologies Cloud a été placée au cœur de la nouvelle stratégie nationale. Pour ce faire, il est envisagé, dans le cadre de cette stratégie, de mettre en avant le recours aux technologies du Cloud et inciter les administrations, les établissements et entreprises publics, les collectivités territoriales et aussi tous les autres acteurs économiques à recourir à l’usage de cette technologie lors de l’externalisation de leurs systèmes d’information.

Cette orientation stratégique reste justifiée par les nombreux avantages et opportunités offerts par la technologie du Cloud. Grâce à son effet structurant, le Cloud offre en effet un accès flexible aux ressources informatiques, réduit les coûts d’infrastructures, permet une évolutivité rapide, facilite la collaboration à distance et fournit des services à valeur ajoutée tels que la sauvegarde et l’analyse des données et la sécurité.

L’évolution des usages vers le Cloud va conduire incontestablement les entités et les infrastructures d’importance vitale à s’interroger sur les critères de sélection et d’arbitrage entre les offres, en fonction des spécificités et de la sensibilité de leurs systèmes d’information, et sur la démarche à adopter pour gérer les risques de sécurité.

Pour cela, la Direction Générale de la Sécurité des Systèmes d’Information (DGSSI) a élaboré, en exécution des Hautes Instructions Royales, un décret qui encadre le recours aux services Cloud par les entités et les infrastructures d’importance vitale, disposant de systèmes d’information sensibles, via la mise en place d’un régime de qualification des prestataires Cloud.

Les responsables desdites entités et infrastructures sont, pour rappel, invitées en application des dispositions de la loi 05-20 et son décret d’application, à prendre les mesures nécessaires pour protéger leurs actifs informationnels et leurs systèmes d’information, en fonction de leur degré de sensibilité, et ce conformément aux directives et aux référentiels édités par la DGSSI. En outre, l’article 25 de la loi 05-20 précitée stipule que ces responsables doivent aussi recourir à des services, produits ou solutions définis par l’autorité nationale, permettant le renforcement des fonctions de sécurité.

S’inscrivant dans l’application de ces dispositions, ce décret propose un régime de qualification des prestataires Cloud et définit les règles de choix de ces prestataires lorsque la gestion de systèmes d’information sensibles et de données sensibles, au sens de la loi n° 05-20, leur est confiée.

En matière de cybersécurité, ce régime permettra aux commanditaires de disposer des garanties sur la compétence des prestataires et de leurs personnels, sur la qualité des mesures techniques, organisationnelles et de sécurité en place et sur la confiance qui peut leur être accordée.

En substance, le régime de qualification basé sur un référentiel d’exigences, est structuré autour de deux niveaux de qualification. Lorsque les responsables des entités et des infrastructures d'importance vitale recourent à des services Cloud pour héberger, gérer ou exploiter en partie ou en totalité leurs systèmes d'information sensibles, ils doivent faire appel à des prestataires qualifiés de niveau 1. Ces prestataires doivent être constitués sous forme de sociétés de droit marocain et doivent aussi déployer l’ensemble de leurs systèmes d’exploitation et d’administration des services sur le territoire national.

Ce premier niveau de qualification a pour objectif de permettre à notre pays d'exercer sa juridiction, notamment en matière de cybersécurité, et de contrôler les activités des prestataires Cloud qui gèrent et manipulent des systèmes d’information sensibles.

Le deuxième niveau de qualification prévoit des conditions supplémentaires de nature juridique et technique. Il est exigé lorsqu’il est question de traiter, gérer ou stocker des données sensibles au sens de la loi 05-20 précitée. L’objectif étant de s’assurer que ces données sensibles, eu égard à leur confidentialité, sont traitées sur des infrastructures contrôlées par des sociétés assujetties uniquement aux législations nationales, en dehors de tout droit extraterritorial.

Pour tenir compte enfin du niveau actuel de maturité de l’écosystème national des prestataires des services Cloud et étant donné que l’offre marché nécessaire pour couvrir l’ensemble des besoins ne sera déployée qu’à terme, une mesure transitoire a été prévue, ouvrant la voie aux entités et aux infrastructures d’importance vitale de recourir, en cas d’absence d’une offre nationale de service Cloud, à des prestataires non qualifiés. Dans le cadre de la démarche d’homologation prévue par la loi sur la cybersécurité, la décision d’opter pour des solutions Cloud devrait relever de la plus haute autorité de l’entité ou de l’IIV. Elle doit être éclairée par une étude d’impact, notamment métier et juridique, ainsi qu’une analyse de risques pour évaluer les conséquences du recours au Cloud sur la sécurité des systèmes, et le cas échéant sur la confidentialité des données sensibles.