La Caisse nationale de sécurité sociale (CNSS) vient d’engager un projet d’envergure pour renforcer la sécurité de son système d’information. L’institution, qui avait été frappée en avril dernier par une fuite de données sensibles, entend tourner la page de cet épisode en s’alignant sur les standards les plus exigeants en matière de cybersécurité.
Le programme lancé repose sur l’élaboration d’une cartographie complète des risques IT, actualisée et structurée selon les prescriptions de la Direction générale de la sécurité des systèmes d’information (DGSSI) et de la Directive nationale de la sécurité des systèmes d’information (DNSSI). Ce chantier, confié dans le cadre d’un marché public, doit être mené à bien en 90 jours. Il inclut une revue critique de la cartographie existante afin de détecter les vulnérabilités et de proposer des réponses concrètes.
L’ambition est claire : doter la CNSS d’une gouvernance des risques numériques conforme aux meilleures pratiques internationales. Le cahier des charges détaille des objectifs stratégiques précis, allant de l’évaluation et de la hiérarchisation des menaces actuelles et potentielles, à l’intégration des risques liés aux prestataires et fournisseurs IT, en passant par l’articulation avec le Plan de continuité d’activité et le Plan de secours informatique.
Le périmètre couvert est large. Il englobe les applications critiques de la CNSS, les infrastructures techniques telles que serveurs, bases de données et réseaux, mais aussi les processus métiers et l’ensemble des données sensibles, qu’elles soient personnelles ou financières. Le prestataire devra livrer plusieurs livrables clés : une analyse critique de l’existant, une cartographie consolidée conforme aux référentiels de la DGSSI, des plans d’action détaillés, des scénarios de risques, ainsi que des supports méthodologiques et de formation.
Ce projet s’inscrit dans une dynamique nationale de renforcement de la cybersécurité. Lors du « Regional Cyber Week » organisé en septembre à Rabat, le nouveau directeur de la DGSSI, le général de brigade Abdellah Boutrig, avait rappelé l’urgence d’une réponse collective face aux menaces : à chaque progrès numérique correspond un risque, d’où la nécessité d’une stratégie coordonnée et durable.
Pour la CNSS, l’enjeu dépasse la simple mise en conformité. L’institution, en pleine transformation digitale, doit garantir à ses assurés et affiliés que leurs données personnelles et financières sont protégées. La fuite d’informations survenue au printemps, dont une partie avait circulé sur les réseaux sociaux, avait mis en lumière la vulnérabilité des infrastructures et l’importance de la confiance numérique. Si l’institution avait alors assuré que nombre de ces données étaient inexactes ou tronquées, l’incident a servi d’électrochoc et précipité le lancement d’un dispositif de sécurisation plus ambitieux.
Avec ce chantier, la CNSS se dote d’un cadre méthodologique solide pour identifier, prévenir et corriger les risques informatiques. Une étape clé dans son processus de digitalisation, mais aussi un signal adressé à l’ensemble des organismes publics et privés confrontés à une montée en puissance des cyberattaques.
