Aucun secteur n’est sous une pression cyber aussi forte que la finance. Une banque, un établissement de paiement ou un assureur marocain ne répond pas seulement au cadre national de la DGSSI : il relève aussi de son régulateur sectoriel, qui pose ses propres exigences de sécurité. Pour les établissements de crédit, ce régulateur est Bank Al-Maghrib — et sa directive cyber a une particularité rare : elle rend le test d’intrusion obligatoire.
Ce guide explique le cadre à deux étages qui s’applique au secteur financier, ce qu’exige la directive 3/W/2016 de Bank Al-Maghrib, le rôle de CERT-BAM, et ce que tout cela signifie concrètement pour une équipe sécurité. Il complète notre guide DGSSI / loi 05-20, qui couvre le cadre national. Comme toujours, la qualification juridique de votre situation relève de votre conseil.
Un cadre à deux étages
Réponse directe : une institution financière marocaine cumule deux niveaux d’obligations cyber — le cadre national et le cadre sectoriel.
Le premier étage est national : la loi 05-20, les référentiels de la DGSSI et la DNSSI s’appliquent aux administrations, aux opérateurs concernés et aux infrastructures d’importance vitale — catégorie dont relèvent souvent les grandes institutions financières. Le second étage est sectoriel : le régulateur du secteur ajoute ses propres règles. Pour les établissements de crédit et de paiement, c’est Bank Al-Maghrib ; pour les assureurs et mutuelles, l’ACAPS. Les deux étages se cumulent : être en règle avec l’un ne dispense pas de l’autre.
La directive 3/W/2016 de Bank Al-Maghrib : ce qu’elle exige
Réponse directe : la directive n° 3/W/2016 fixe les règles minimales que les établissements de crédit doivent respecter pour réaliser les tests d’intrusion de leurs systèmes d’information — et rend ces tests obligatoires.
Publiée en 2016, la directive cible précisément les tests d’intrusion : elle fixe les règles minimales pour les réaliser et attend un programme de tests régulier — au moins annuel —, dont les résultats sont remontés à Bank Al-Maghrib. Elle est plus étroite qu’un référentiel général de sécurité informatique, et c’est tout l’intérêt : elle isole le test et en fait une obligation supervisée. Pour une banque, le test d’intrusion cesse d’être une bonne pratique optionnelle : c’est une attente du superviseur, vérifiable et récurrente.
Le test d’intrusion, une obligation — pas une option
Réponse directe : pour un établissement de crédit, un programme de tests d’intrusion régulier n’est pas un « plus » sécurité, c’est une exigence prudentielle.
C’est ce qui distingue le secteur financier du reste de l’économie. Ailleurs, un test d’intrusion répond à un client, à un audit ISO 27001 ou à un doute interne ; dans la banque, il répond aussi au régulateur. Un programme conforme suppose une couverture pensée (externe, interne, applications et API, cloud), une cadence au moins annuelle, des constats reproductibles, une priorisation par impact, un nouveau test des corrections — et une trace exploitable pour le reporting au superviseur. Un export de scanner ne tient pas ce rôle ; un test mené par des praticiens, oui.
CERT-BAM : la réponse à incident du secteur bancaire
Réponse directe : le secteur bancaire dispose de son propre centre de réponse aux incidents, CERT-BAM, distinct du maCERT national.
Bank Al-Maghrib opère CERT-BAM, le centre de veille, de détection et de réponse aux incidents dédié au secteur financier. Là où le maCERT (rattaché à la DGSSI) coordonne la réponse au niveau national, CERT-BAM joue ce rôle pour les établissements supervisés par la banque centrale — partage de renseignement sur les menaces, alertes sectorielles, coordination en cas d’incident. Pour une équipe sécurité bancaire, cela ajoute un interlocuteur et un canal de signalement à connaître avant d’en avoir besoin.
Au-delà des banques : paiement et assurance
Réponse directe : la logique sectorielle s’étend aux établissements de paiement (sous Bank Al-Maghrib) et aux assureurs (sous l’ACAPS).
Les établissements de paiement, également supervisés par Bank Al-Maghrib, s’inscrivent dans la même trajectoire d’exigences. Les compagnies d’assurance et mutuelles relèvent de l’ACAPS, qui pousse le secteur vers une gouvernance du risque cyber renforcée. La direction est commune à toute la finance marocaine : des exigences de sécurité démontrables, des tests réguliers, une capacité de détection et de réponse — portées non plus seulement par le bon sens, mais par le superviseur.
Comment HackingByte aide
Notre métier répond directement à ce que le superviseur attend. Nous menons le test d’intrusion qu’exige la directive 3/W/2016 — externe, interne, web et API — selon les standards internationaux (PTES, MITRE ATT&CK, OWASP), avec des constats reproductibles et un reporting exploitable devant un régulateur. Nos évaluations de sécurité et notre conseil GRC structurent le programme annuel et la gouvernance attendus. Un point d’honnêteté : les audits réglementaires réservés, le cas échéant, à des prestataires qualifiés par la DGSSI pour les systèmes sensibles des infrastructures d’importance vitale relèvent de ces prestataires — nous intervenons sur le test d’intrusion et la sécurité offensive, pas sur l’audit réservé. Et nous ne fournissons pas de conseil juridique : l’interprétation de la directive relève de votre conformité et de votre conseil.
Par où commencer
Si vous êtes une institution financière — banque, établissement de paiement, assureur —, la question n’est pas si vous testez, mais comment vous structurez un programme qui satisfait le superviseur et révèle le risque réel. Un échange de cadrage suffit à définir la couverture et la cadence.
Demander un échange de cadrage · Voir le test d’intrusion
Questions fréquentes
Qu’exige la directive 3/W/2016 de Bank Al-Maghrib ?
Elle fixe les règles minimales que les établissements de crédit doivent respecter pour réaliser les tests d’intrusion de leurs systèmes d’information, et attend un programme de tests régulier — au moins annuel — dont les résultats sont remontés à Bank Al-Maghrib. C’est la directive qui fait du test d’intrusion une obligation supervisée pour les banques.
Les banques marocaines doivent-elles réaliser des tests d’intrusion ?
Oui. Pour les établissements de crédit, le test d’intrusion est une exigence du superviseur (directive 3/W/2016), pas une simple bonne pratique : il s’inscrit dans un programme régulier, au moins annuel.
Qu’est-ce que CERT-BAM ?
Le centre de veille, de détection et de réponse aux incidents de Bank Al-Maghrib, dédié au secteur financier. Il complète, pour les établissements supervisés par la banque centrale, le maCERT national rattaché à la DGSSI.
Cela s’ajoute-t-il à la loi 05-20 et à la DGSSI ?
Oui. Le cadre est à deux étages : le cadre national (loi 05-20, DGSSI, DNSSI) s’applique, et les exigences sectorielles de Bank Al-Maghrib s’y ajoutent. Une institution financière doit tenir les deux.
Les établissements de paiement et les assureurs sont-ils concernés ?
Les établissements de paiement sont supervisés par Bank Al-Maghrib et suivent la même trajectoire d’exigences. Les assureurs et mutuelles relèvent de l’ACAPS, qui renforce les attentes en matière de gouvernance du risque cyber.
HackingByte peut-il réaliser les tests exigés ?
Oui — nous menons les tests d’intrusion et les évaluations de sécurité attendus, aux standards internationaux, avec un reporting exploitable. Les audits réservés à des prestataires qualifiés par la DGSSI (systèmes sensibles d’infrastructures d’importance vitale) relèvent en revanche de ces prestataires.
Services associés
- Test d’intrusion (pentest) — externe, interne, web et API, le test que la directive 3/W/2016 attend.
- Conseil GRC et conformité — structurer le programme annuel et la gouvernance de la sécurité.
- Évaluations de sécurité — l’état des lieux avant un programme de tests récurrent.
À lire aussi : DGSSI, loi 05-20 et DNSSI : le guide. Vous opérez au Maroc ? Découvrez comment nous travaillons : Cybersécurité au Maroc.