Cyberattaques. L'ANCFCC prévoit un audit de sécurité de son système d'information
Dans une démarche de prévention et à la suite des récentes cyberattaques dont le Maroc a été la cible, l'ANCFCC a lancé un appel d'offres international pour la mise en œuvre d'un audit de sécurité qui permettra d'immuniser son système d'information contre d'éventuelles attaques.
L'Agence nationale de la conservation foncière et de la cartographie (ANCFCC) a lancé un appel d'offres international pour la mise en œuvre d’un audit de sécurité de son système d'information.
L’annonce publiée le jeudi 19 juin fait savoir que cette prestation vise la mise en conformité de l’Agence avec la directive nationale de la sécurité des systèmes d’information ainsi qu’avec la loi 05-20 relative à la cybersécurité.
Cet appel d'offres intervient après une étude de mise en conformité du système de l’Agence réalisée en 2022 et le contexte actuel de fuites de données foncières ayant affecté la plateforme notariale Tawtik le 2 juin 2025.
Contrairement au test de conformité, l'audit de sécurité permet d'évaluer la robustesse d'un système, de détecter toute trace d'activité malveillante éventuelle et d'identifier le maximum de failles exploitables par une cyberattaque.
Cet audit visera également à vérifier le parfait alignement avec les directives de la Direction générale de la sécurité des systèmes d'information (DGSSI).
Afin d’atteindre cet objectif, le prestataire sélectionné devra effectuer plusieurs tâches, dont l’audit organisationnel, l’audit technique, l'analyse de risques et l’étude BIA (capacité à restaurer les systèmes et les données en cas de défaillance).
Des intrusions par des pirates éthiques pour sécuriser l'ANCFCC
L'audit devra couvrir les systèmes d'information actuellement en fonction au niveau du site central, incluant la Direction de la cartographie ainsi qu’un échantillon de trois services extérieurs qui seront audités.
En premier, il devra réaliser une réévaluation du niveau de maturité du SI et mesurer les écarts avec la norme ISO 27001 et les directives de la DGSSI sur les axes suivants :
- Politique et organisation de la sécurité de l'information ;
- Sécurité liée aux ressources humaines ;
- Sécurités physiques et environnementales ;
- Acquisition, développement et maintenance des systèmes d'information ;
- Gestion des incidents…
L'audit technique constitue l'élément pivot de cette mission. Il permettra une analyse détaillée de la sécurité du système d'information en identifiant les vulnérabilités et risques associés, incluant les intrusions actives (fraudes, accès non autorisés, interception de données sensibles) ainsi que les menaces virales et automatisées.
Il évaluera également la protection du périmètre réseau contre l'exploitation malveillante des plateformes et les attaques externes (amplification d'attaques, relais de spam, déni de service) et mesurera la robustesse des infrastructures internet au regard des principes fondamentaux de sécurité : confidentialité, intégrité, disponibilité et gestion des autorisations.
Deux types de tests d'intrusion sont prévus pour évaluer la sécurité du système d'information de l'ANCFCC dans le cadre de cet audit technique :
- En interne, le prestataire de service devra examiner la sécurité des composants du système d'information. Cela inclut les serveurs et les bases de données, en identifiant leurs vulnérabilités et leurs niveaux de criticité, ainsi que les forces et les faiblesses des dispositifs.
- En externe, l'auditeur devra agir comme un pirate éthique de haut niveau technique. Il mènera des tests techniques à distance, sans aucune connaissance préalable de la structure de la plateforme. Son objectif sera d'identifier et d'exploiter les vulnérabilités par des tests et analyses.
Dans le but d'assurer la sécurité des prestations, la réalisation de ces tests d'intrusion est soumise à l'obtention d'une autorisation préalable de l'agence.
De plus, il est impératif que les consultants proposés soient sélectionnés parmi ceux qui sont qualifiés PASSI et dont le nom figure dans le document d'homologation émis par la DGSSI.
À l’issue de l’audit technique, une analyse des risques permettra d’actualiser la cartographie globale des risques de sécurité. Cette analyse devra respecter les normes ISO 27005, ISO 27001 et son annexe ISO 27002.
Son rôle sera aussi d'identifier et de classer les risques, et de proposer les actions pour les atténuer.
Ce qu’il faut retenir
- Contrairement à ce que prétend le groupe de pirates à l'origine de la fuite de données de Tawtik, l'ANCFCC n'a à ce jour subi aucune cyberattaque.
- L'appel d'offres international lancé par l'institution vise précisément à immuniser au maximum son système d'information contre d'éventuelles attaques.
- Face à l'importance croissante des risques cybercriminels, les experts sondés par Médias24 s'accordent unanimement sur la nécessité d'investir dans des audits techniques de manière périodique.
- Conformément aux recommandations de la DGSSI, l'audit de sécurité de l'ANCFCC requiert l'application des méthodologies les plus récentes pour se prémunir contre les risques cybercriminels.
- Les institutions stratégiques dont dépendent des infrastructures vitales devront se conformer aux directives de la DGSSI.
LIRE AUSSI
Après les attaques, il est temps de changer notre approche de la cybersécurité (expert)
Ce que révèle l’attaque contre la CNSS sur la cybersécurité au Maroc (expert)
À découvrir
à lire aussi
Article : Iran : après une brève réouverture, retour à des restrictions strictes dans le détroit d’Ormuz
Après une reprise limitée du trafic, les navires sont à nouveau filtrés et contraints à des itinéraires imposés, sous supervision des forces iraniennes.
Article : Industrie : extension d’une unité de Fortune Maroc à Bouskoura, 220 MDH d’investissement
Cette extension marque une nouvelle étape pour l’industriel, engagé depuis 2014 dans la fabrication locale après une phase initiale d’importation.
Article : Electronic invoicing, explained by Younès Idrissi Kaitouni, Director General of Taxes
Speaking before business operators brought together by Médias24 as part of its “Grands Rendez-vous” series, Younès Idrissi Kaitouni, Director General of Taxes, outlined the technical framework and underlying rationale of Morocco’s future electronic invoicing system. Here is what you need to know about a reform set to reshape commercial and tax practices across the country, with rollout scheduled for 2026.
Article : La facturation électronique expliquée par Younès Idrissi Kaitouni, directeur des impôts
Face aux opérateurs économiques réunis par Médias24 dans le cadre de son cycle des Grands Rendez-vous, Younès Idrissi Kaitouni, directeur général des impôts, a levé le voile sur les contours techniques et la philosophie de la future facturation électronique. Voici tout ce qu'il faut savoir sur ce chantier qui bouleversera les pratiques commerciales et fiscales dans le pays. et qui sera lancé cette annéé 2026.
Article : Salaires, retraites, IR… le gouvernement défend son bilan social à 5 mois des élections
Après plusieurs rounds de négociations, l’exécutif met en avant un bilan chiffré des concessions accordées sur les salaires, la protection sociale et les retraites, tout en affichant sa volonté d’aller plus loin sur les dossiers encore ouverts, des statuts particuliers à la réforme du Code du travail.
Article : Driss El Azami: “We are working to come first” as the PJD sets out its ambitions and hints at surprises
Five months ahead of the September 2026 parliamentary elections, Driss El Azami El Idrissi, the PJD’s first vice-secretary general, appeared on Médias24’s “12/13”. Mixing assessment, measured self-criticism and electoral ambition, he defended the trajectory of a party seeking to reclaim its place in the political landscape.