La loi 05-20 relative à la cybersécurité dispose, notamment dans son article 17, que le responsable de chaque infrastructure d’importance vitale (IIV) établit la liste de ses systèmes d’information sensibles et la transmet à l’autorité nationale. Le décret n°2-21-406 du 04 Hija 1442 (15 juillet 2021) pour l’application de la loi n° 05-20 relative à la cybersécurité, précise dans ses articles 10 et 11, que chaque entité et infrastructure d’importance vitale classifie ses systèmes d’information en se basant sur une analyse des impacts des incidents susceptibles de porter atteinte à la confidentialité, à la disponibilité ou à l’intégrité de ses actifs informationnels. Le niveau d’impact des incidents précités doit refléter l’importance des conséquences pouvant se traduire par l’incapacité de l’entité ou de l’IIV à :
- Accomplir ses missions ;
- Préserver la vie, la santé ou le bien être des personnes ;
- Se conformer aux lois, aux règlements et aux obligations contractuelles ;
- Préserver son image de marque et celle de l’Etat ;
- Maintenir et renforcer la confiance des citoyens et des partenaires à l’égard des services offerts, ou par la capacité de ladite IIV à affecter le fonctionnement d’entités tierces, tributaires de ses services.
Cette analyse se fait selon l’échelle de l’analyse des impacts fixée dans le décret précité. Selon l’article 12 du décret susvisé, sont réputés systèmes d’information sensibles (SIS), les systèmes d’information appartenant aux « CLASSE A » ou « CLASSE B ». Dès lors que la liste des SIS est établie, le responsable de l’entité ou de l’IIV doit compléter le formulaire ci-joint pour chaque SIS et le transmettre par voie sécurisée(*) à la DGSSI. Il sied de rappeler que la liste des infrastructures d’importance vitale, la liste des SIS ainsi que les formulaires de déclaration sont tenus secrets. En outre, et conformément au décret précité, chaque entité ou infrastructure d’importance vitale procède à la révision de la classification de ses systèmes d’information au moins une fois tous les trois (03) ans et à chaque fois que cela s’avère nécessaire.
(*) Les formulaires de déclaration peuvent être transmis à la DGSSI par voie postale ou par voie électronique.
- Dans le cas où l’envoi se fait par voie postale, les formulaires doivent être placés dans une enveloppe scellée faisant apparaitre clairement la mention « CONFIDENTIEL » et envoyée à l’adresse de monsieur le Ministre délégué auprès du Chef du Gouvernement chargé de l’Administration de la Défense Nationale.
- Dans le cas où l’envoi se fait par voie électronique, il est impératif d’envoyer les formulaires ainsi que la lettre d’acheminement à l’adresse mail declaration_SIS@dgssi.gov.ma. Cet envoi doit être chiffré avec la clé publique publiée ci-dessous.
