Trois sigles reviennent dans toutes les conversations sérieuses sur la cybersécurité au Maroc : la DGSSI, la loi 05-20 et la DNSSI. Beaucoup d’équipes les connaissent de nom sans savoir précisément qui est concerné, par quoi, et avec quelles conséquences pratiques. Ce guide remet les trois à leur place — l’autorité, la loi, la directive — et répond à la question qui compte : qu’est-ce que cela change pour votre organisation, que vous soyez dans le périmètre réglementaire ou non. Comme toujours, nous restons sur le terrain opérationnel : la qualification juridique de votre situation relève de vos conseils et des textes, pas d’un article de blog.
Qui est la DGSSI — et qui est réellement dans son périmètre
La DGSSI — Direction Générale de la Sécurité des Systèmes d’Information — est l’autorité nationale marocaine de la sécurité des systèmes d’information. C’est elle qui porte la stratégie de l’État en la matière, publie les référentiels, et opère la veille et la réponse aux incidents au niveau national, notamment à travers maCERT.
Le cadre juridique qu’elle anime s’est consolidé en deux temps. La loi 05-20 relative à la cybersécurité, promulguée en 2020, pose les règles et mesures destinées à renforcer la sécurité et la résilience des systèmes d’information de l’État et des acteurs essentiels : administrations, collectivités territoriales, établissements et entreprises publics, autres personnes morales de droit public — et, point décisif, les infrastructures d’importance vitale, qu’elles soient publiques ou privées. Le décret n° 2-21-406, adopté en 2021, en précise l’application : il définit les mesures de protection attendues des entités concernées, y compris les opérateurs privés entrant dans le champ.
La conséquence pratique mérite d’être énoncée clairement : si vous êtes une entreprise privée « ordinaire », la loi 05-20 ne vous vise probablement pas directement. Vous entrez dans son orbite principalement de deux façons — en opérant une infrastructure d’importance vitale, ou en servant des entités qui y sont soumises. Nous y revenons plus bas, parce que c’est là que la plupart des lecteurs de ce guide se trouvent réellement.
La DNSSI en pratique : un référentiel, des classes, des mesures
La DNSSI — Directive Nationale de la Sécurité des Systèmes d’Information, dont la version en vigueur a été publiée par la DGSSI en 2023 — est le texte qui traduit les obligations en mesures concrètes. C’est le « comment » du cadre : là où la loi désigne qui doit protéger quoi, la directive décrit ce qu’un système d’information correctement protégé doit mettre en œuvre.
Deux mécanismes structurent la directive. D’abord, une classification des systèmes d’information en trois classes — A, B et C — selon leur sensibilité : la classe d’un système détermine l’exigence des mesures qui s’y appliquent. Ensuite, onze domaines de sécurité qui couvrent le spectre complet d’un programme sérieux, de la gouvernance et de l’organisation jusqu’aux contrôles techniques et à la gestion des incidents.
Pour une équipe sécurité, la DNSSI se lit donc comme un référentiel d’exigences national : classifier ses systèmes, dérouler les domaines, constater les écarts, les traiter par ordre de risque. Si vous avez déjà travaillé avec ISO 27001 ou des référentiels comparables, la démarche vous sera familière — avec une différence notable : ici, le référentiel porte l’autorité de l’État marocain.
Infrastructures d’importance vitale : les audits sont réservés à des prestataires qualifiés
Le régime le plus exigeant de la loi 05-20 vise les infrastructures d’importance vitale — les organisations, publiques ou privées, dont l’arrêt ou la compromission affecterait des fonctions essentielles du pays — et, parmi leurs systèmes, les systèmes d’information sensibles.
Pour ces systèmes, la loi ne se contente pas d’exiger des mesures : elle organise leur vérification. Les systèmes d’information sensibles des infrastructures d’importance vitale sont soumis à des audits menés par l’autorité nationale ou par des prestataires d’audit qu’elle a qualifiés — des audits qui couvrent notamment l’organisation, l’architecture, le développement et le test d’intrusion. L’entité désigne par ailleurs un responsable de la sécurité des systèmes d’information, chargé de la politique de sécurité et de son suivi.
Soyons aussi clairs que la loi : ces audits réservés appartiennent aux prestataires qualifiés par la DGSSI, et HackingByte ne détient pas cette qualification et n’en revendique aucune. Si vous êtes une infrastructure d’importance vitale, votre audit réglementaire se fait avec un prestataire qualifié — c’est un fait, pas une nuance. Notre place dans ce paysage est en amont et autour : aider une organisation à connaître son écart face à la directive avant l’audit qui compte, durcir ce qui doit l’être, et produire des preuves qui tiennent. Nous appuyons ce travail ; nous ne le remplaçons pas.
Vous n’êtes pas une IIV ? Pourquoi la DNSSI vous concerne quand même
La plupart des entreprises marocaines ne sont pas des infrastructures d’importance vitale. Trois raisons font que la directive les concerne pourtant.
La première est contractuelle : si vous fournissez des services à l’État, à un établissement public ou à une IIV — en particulier des services numériques ou un accès à leurs systèmes — la sécurité de votre client dépend en partie de la vôtre, et les exigences descendent la chaîne. Les questionnaires fournisseurs et les clauses de sécurité qui citent le cadre national sont déjà une réalité dans les appels d’offres.
La deuxième est référentielle : la DNSSI est, de fait, l’étalon national de ce qu’une organisation sérieuse met en œuvre. Quand un partenaire, un assureur ou un grand client marocain évalue votre posture, c’est la grille de lecture la plus naturelle du marché. S’aligner volontairement sur ses domaines, à proportion de vos risques, est rarement un mauvais investissement.
La troisième est simplement stratégique : les cadres réglementaires s’étendent avec le temps, rarement l’inverse. Les organisations qui ont déjà classifié leurs systèmes et traité leurs écarts abordent chaque extension de périmètre — ou chaque incident — avec une longueur d’avance.
RSSI, incidents et maCERT : les obligations de fonctionnement
Au-delà des mesures techniques, le cadre installe un fonctionnement. Les entités concernées désignent un responsable de la sécurité des systèmes d’information — l’interlocuteur qui porte la politique de sécurité, en suit l’application et rend compte régulièrement des menaces et des incidents. Et lorsqu’un incident de sécurité survient, les entités du périmètre le déclarent à l’autorité nationale, qui opère la réponse coordonnée à travers maCERT.
Pour les équipes, cela signifie deux capacités à construire avant d’en avoir besoin : détecter — on ne déclare pas ce qu’on ne voit pas — et qualifier vite, avec des journaux exploitables et une chaîne de décision connue. C’est exactement le genre de capacité qui se teste : un incident simulé révèle en une journée ce qu’une politique de gestion des incidents met des années à ne pas dire.
Par où commencer : mesurer l’écart avant qu’un tiers ne le fasse
Que vous soyez dans le périmètre réglementaire ou simplement décidé à vous aligner sur le référentiel national, la séquence raisonnable est la même — et elle commence par une mesure honnête de l’écart.
Concrètement : classifier vos systèmes selon leur sensibilité réelle ; dérouler les domaines de la directive face à l’existant ; hiérarchiser les écarts par risque plutôt que par facilité ; puis vérifier sur le terrain que les mesures déclarées tiennent. C’est le travail que nous menons en conseil GRC pour la partie référentiel et gouvernance, en évaluation de sécurité pour l’état des lieux technique, et en test d’intrusion quand il s’agit de prouver — preuves à l’appui — ce qui cède réellement face à un attaquant. Le tout produit ce qu’un audit, un client ou une autorité demandera de toute façon : des écarts nommés, des priorités défendables, des preuves datées.
Loi 05-20, loi 09-08, RGPD : trois régimes, un seul programme de preuves
Une organisation marocaine sérieuse vit rarement sous un seul texte. La loi 05-20 et la DNSSI regardent la résilience de vos systèmes ; la loi 09-08 et la CNDP regardent les données personnelles que vous traitez ; et le RGPD s’ajoute dès que vous servez des personnes situées dans l’UE. Trois régimes, trois autorités — mais un socle commun : savoir ce que vous opérez et traitez, le protéger à proportion du risque, et pouvoir le prouver.
La conséquence pratique est la même que pour la conformité données personnelles : un seul programme de sécurité, documenté une fois, alimente les trois conformités. Inventaire et classification, mesures alignées sur un référentiel, preuves de fonctionnement, capacité de détection et de réponse — chaque texte y puise ce qu’il exige. Les organisations qui construisent trois chantiers parallèles paient trois fois le même travail, en moins bien.
Si une échéance approche — un appel d’offres qui cite le cadre national, un questionnaire fournisseur, un audit à préparer — parlez-nous de votre situation : un échange de cadrage suffit à dimensionner le travail réel.
Pour une vue d’ensemble de nos services de cybersécurité au Maroc, consultez notre page Maroc.
Questions fréquentes
Qu’est-ce que la DGSSI ?
La Direction Générale de la Sécurité des Systèmes d’Information est l’autorité nationale marocaine de la cybersécurité. Elle porte le cadre réglementaire issu de la loi 05-20, publie la DNSSI et les référentiels associés, et opère la réponse aux incidents au niveau national, notamment via maCERT.
Qui doit appliquer la DNSSI ?
Les entités visées par la loi 05-20 et ses textes d’application : administrations de l’État, collectivités territoriales, établissements et entreprises publics, autres personnes morales de droit public, et infrastructures d’importance vitale, publiques ou privées. La détermination précise de votre situation relève des textes et de vos conseils.
Qu’est-ce qu’une infrastructure d’importance vitale ?
Une organisation — publique ou privée — dont l’indisponibilité ou la compromission des systèmes affecterait des fonctions essentielles du pays. Ces infrastructures portent les obligations les plus exigeantes du cadre, en particulier sur leurs systèmes d’information sensibles.
Qui peut auditer un système d’information sensible ?
Les audits des systèmes d’information sensibles des infrastructures d’importance vitale sont menés par l’autorité nationale ou par des prestataires d’audit qualifiés par elle. HackingByte ne détient pas cette qualification et n’en revendique aucune — nous intervenons en amont, sur la préparation, l’écart face à la directive et la preuve de sécurité.
La loi 05-20 s’applique-t-elle aux entreprises privées ?
Directement, surtout si elles opèrent une infrastructure d’importance vitale ; indirectement, dès qu’elles servent des entités du périmètre — par les exigences contractuelles et les questionnaires fournisseurs. Et même hors périmètre, la DNSSI reste le référentiel national le plus naturel pour structurer un programme de sécurité au Maroc.