CNSS : Des failles de sécurité depuis 2020, malgré un budget de 4,8 MDH en 2024

Un mardi noir pour la cybersécurité au Maroc. Quelques heures après l'attaque contre le ministère, le groupe JabaRoot DZ a revendiqué une intrusion majeure dans les systèmes de la Caisse nationale de sécurité sociale (CNSS). Les hackers ont accédé à des attestations et déclarations de salaires d'entreprises, ainsi qu'à la liste nominative des salariés. Ce sont ainsi 53 576 fichiers PDF concernant 500 000 entreprises et 2 millions de salariés qui ont été compromis.

Cyberattaque inédite au Maroc : des hackers algériens dévoilent des données sensibles de la CNSS et du ministère de l'Emploi

La CNSS était pourtant consciente de la sensibilité extrême des données hébergées et avait été alertée sur la faiblesse de la sécurisation de son système d'information. En janvier 2020, Yabiladi avait déjà révélé un accès non sécurisé aux données de 3,5 millions d'assurés du secteur privé sur le site de la CNSS, incluant le numéro de CIN, l'adresse postale, les numéros de compte bancaire, ainsi que l'historique des remboursements de santé et des bulletins de salaires sur quatre ans. Les équipes informatiques de la CNSS avaient alors corrigé cette faille, sans conséquence pour les assurés, grâce à la vigilance d'un lanceur d'alerte et le travail d'un média.

On aurait pu penser que cette expérience avait servi de leçon. Les budgets alloués à la cybersécurité avaient d'ailleurs été augmentés en conséquence. En 2024, la CNSS avait lancé au moins deux appels d'offres liés à la cybersécurité, pour un montant total de 4,8 millions de dirhams.

Deux appels d'offres pour une énorme fuite de données

Selon nos informations, le premier appel d'offres (12/2024) a été remporté par Dataprotect, une société marocaine spécialisée dans les solutions de cybersécurité, créée en 2008 et présente dans plusieurs pays en Afrique, en Europe et au Moyen-Orient. Cet appel d'offres portait sur un audit des pratiques de sécurité des systèmes d'information, pour un montant de 2,75 millions de dirhams. Dataprotect était alors le seul soumissionnaire.

Le second appel d'offres (96/2024) a été remporté par Modcod, une entreprise spécialisée en cybersécurité créée en 2018 et basée à Rabat. Ce marché, d'une valeur de 1,6 million de dirhams, concernait une solution de prévention des intrusions, assortie d'un contrat de maintenance annuel de 480 000 dirhams.

JabaRoot le coupable mais où sont les responsables ?

Il est préoccupant de constater si peu de soumissionnaires pour des appels d'offres aussi stratégiques sur le plan sécuritaire et aussi importants sur le plan financier. Les Marocains s'interrogeront légitimement sur l'intégrité du processus de sélection, notamment au vu des failles récurrentes et de la gravité de la fuite de données de mardi.

Les responsabilités incombent en fin de compte aux dirigeants de la CNSS. Bien que le risque zéro n'existe pas, les alertes successives et les moyens financiers et techniques mis en œuvre auraient dû éviter une telle fuite de données massives.

Il s'agit ici de sécurité nationale, de protection des données et de confiance en nos institutions. Mais ce n'est pas tout, cette fuite de données aura également un impact sur les relations humaines et professionnelles, avec les choix de rémunérations d'entreprises exposés au grand jour.