Des cibles privilégiées pour les cybercriminels
Les startups et TPE marocaines, en pleine transformation numérique, deviennent des cibles privilégiées pour les cybercriminels. Leur manque de ressources dédiées à la cybersécurité les rend particulièrement vulnérables. En effet, contrairement aux grandes entreprises disposant de départements dédiés à la cybersécurité, les startups et TPE opèrent souvent sans aucune ligne budgétaire spécifique pour se protéger. Cette carence, combinée à une idée faussement rassurante selon laquelle elles seraient «trop petites pour être attaquées», en fait des cibles de choix. «Les startups se focalisent sur leurs projets et leurs métiers, en plus sur la levée du fond. Aucune sécurité by design n’est mise en œuvre dès le départ. Aucune gouvernance sécurité n’est prise en compte et je ne parle pas des procédures et politiques de sécurité qui sont totalement oubliées», alerte Azzedine Ramrami, directeur Recherche & Développement (R&D) du Groupe Yokamos.
Les cybercriminels ne ciblent pas seulement les grandes bases de données ou les infrastructures critiques. Ils s’attaquent aux points d’entrée les plus faciles. Une startup qui stocke des données sensibles (informations clients, méthodes de paiement, propriété intellectuelle) et ne possède ni protocole de sauvegarde ni pare-feu digne de ce nom est une aubaine. Selon une étude de SecureWeb, 53% des entreprises marocaines ne considèrent pas la cybersécurité comme une priorité, même après avoir été informées des risques. De plus, 78% n’adoptent une stratégie de cybersécurité qu’après avoir subi une attaque.
Une donnée que les écosystèmes de l’entrepreneuriat au Maroc n’arrivent toujours pas à intégrer dans les programmes d’accompagnement des startuppers. Constat appuyé par M. Ramrami qui explique qu’aucune partie dans l’écosystème des startups ne prend en compte le «secure by design» dès la conception du projet. Sauf pour les startups en cybersécurité qui mettent en œuvre quelques procédures pour se protéger.
Conséquences : des dégâts parfois irréversibles
Les cyberattaques engendrent des perturbations majeures : pertes financières, arrêt des activités, atteinte à la réputation, voire fermeture pure et simple. Le rapport Ausimètre 2024 indique que 32% des entreprises marocaines ont subi des pertes supérieures à 500.000 DH à la suite de fuites de données, et 6% ont enregistré des pertes dépassant 10 millions de dirhams. «Une seule attaque peut suffire à mettre en péril l’existence même d’une startup», prévient Ali El Azzouzi, directeur général de DataProtect.
Le vol de propriété intellectuelle, en particulier dans les startups innovantes (fintech, healthtech, e-commerce), peut ruiner des années de recherche. Les attaques par ransomware, qui chiffrent les données jusqu’à paiement d’une rançon, se multiplient, tout comme les fraudes par phishing, souvent initiées via des e-mails malveillants ou des liens piégés.
Un environnement encore peu mature malgré les initiatives
Selon une étude de SecureWeb, 78% des petites entreprises au Maroc n’adoptent une politique de cybersécurité qu’après avoir été victimes d’une attaque. Cette approche réactive est symptomatique d’un manque de sensibilisation profond. Si des efforts ont été engagés, à travers notamment la Stratégie nationale de cybersécurité 2030, l’enjeu est d’en faire une priorité pour tout l’écosystème entrepreneurial.
Le Maroc multiplie les partenariats internationaux, à l’instar des accords signés avec les Émirats arabes unis, et soutient des initiatives locales comme celles portées par Defendis ou Issroad. Des formations sont proposées via les Technoparks et les chambres de commerce. Mais les freins restent nombreux : manque de profils compétents, absence de politique interne de sécurité, dépendance à des outils grand public inadéquats.
La cybersécurité : un investissement et un avantage concurrentiel
Intégrer la cybersécurité dans la stratégie d’une startup n’est pas qu’une obligation morale ou réglementaire : c’est une question de survie, mais aussi de compétitivité. Une entreprise capable de démontrer une posture sécuritaire forte inspire la confiance de ses clients, de ses partenaires et de ses investisseurs. «La cybersécurité est un sport d’équipe», rappelle Thiebaut Meyer, du Google Cloud. C’est au CEO de porter cette culture, et non uniquement au CTO. Chaque collaborateur, quel que soit son rôle, doit comprendre les risques et adopter les bons réflexes.
Les experts s’accordent à dire que l’analyse des risques est la première étape à franchir. Identifier ce qui coûterait le plus cher à l’entreprise en cas d’attaque (perte de données, interruption de service, vol d’actifs…) permet de mieux orienter les efforts de protection. C’est aussi un levier pour la mobiliser toute l’équipe autour d’un enjeu commun.
Des initiatives pour renforcer la résilience
Face à ces défis, des initiatives émergent pour soutenir les startups et TPE marocaines :
- Formations et sensibilisation : des programmes de formation en cybersécurité sont proposés par des institutions comme le Technopark et des entreprises spécialisées.
- Solutions adaptées : des startups marocaines, telles que Defendis, développent des solutions innovantes pour aider les petites entreprises à se protéger contre les cybermenaces.
- Partenariats internationaux : le Maroc a signé des accords de coopération en cybersécurité avec des pays comme les Émirats arabes unis, visant à renforcer les capacités nationales.
Il est donc impératif que les startups et TPE marocaines intègrent la cybersécurité dans leur stratégie dès la création. Cela passe par la mise en place de politiques de sécurité, la formation des employés, l’utilisation d’outils adaptés et la collaboration avec des experts.
Les recommandations pour un écosystème plus sûr
L’écosystème marocain gagnerait à intensifier les campagnes de sensibilisation et à intégrer la cybersécurité dans les programmes de formation dès l’université. Les incubateurs, les fonds d’investissement et les institutions publiques devraient intégrer des critères de sécurité dans leurs appels à projets ou à financement. Enfin, le renforcement du cadre réglementaire et la création d’une instance nationale de réponse rapide aux incidents cyber pourraient renforcer la posture globale du Royaume.
Le directeur R&D du groupe Yokamos conseille par ailleurs aux jeunes entrepreneurs de mettre en œuvre le «secure by design» en implémentant la défense en profondeur avec le nom trust ou le Zero Trust. «À minima des politiques de sécurité, la gouvernance qui va avec, les outils pour mettre en œuvre la protection des données, en particulier les brevets et les secrets de fabrication», explique l’expert. Et de rappeler aussi la nécessité de suivre des formations de sensibilisation à la cybersécurité.
Face à l’ampleur des cybermenaces, la cybersécurité ne doit plus être considérée comme un luxe ou une option pour les startups marocaines. Elle constitue un pilier essentiel de leur pérennité et de leur crédibilité. La prévention, la formation, et la culture du risque doivent devenir les règles d’or dès les premiers pas de l’entrepreneuriat. Investir dans la cybersécurité, c’est investir dans l’avenir.
Jalal Benabdouh, entrepreneur IT, co-fondateur de Seven et de la startup Tandem AI : «La startup doit intégrer la sécurité by design pour survivre»
Le Matin : Vous êtes à la tête de deux structures dans le numérique, Seven et Tandem AI. Quelles sont leurs spécificités ?
Jalal Benabdouh :
Seven est un cabinet marocain spécialisé dans les services numériques. Nous accompagnons les grandes entreprises dans leurs projets de transformation digitale, de valorisation de la donnée et d’intégration de l’intelligence artificielle (IA). Tandem AI, quant à elle, est une startup que nous avons cofondée récemment, et qui se concentre sur l’automatisation des processus documentaires grâce à l’IA. C’est une plateforme capable d’analyser automatiquement des dossiers complexes, comme des demandes de crédit, en un temps record. L’idée est de faire gagner un temps précieux à nos clients dans des secteurs à forte densité administrative, notamment la finance.
Vous manipulez donc des données sensibles. Quel regard portez-vous sur la valeur de ces données ?
La donnée est un actif stratégique, et tout l’écosystème en est aujourd’hui conscient. Elle a une valeur énorme – économique, opérationnelle, réglementaire. Mais cette valeur est avant tout contextuelle. Un RIB, un numéro de CIN, une adresse peuvent avoir une valeur réglementaire ou commerciale selon leur usage. C’est pourquoi les entreprises doivent apprendre à catégoriser, classer, gérer et valoriser ces données de manière structurée. Le simple fait de savoir combien un client dépense en restauration ou quelle est sa capacité d’épargne, par exemple, ouvre un potentiel d’exploitation considérable.
La multiplication des cyberattaques, notamment celle ayant ciblé la CNSS, change-t-elle la donne pour les entreprises ?
Absolument. Cette attaque a servi de choc de conscience. Elle a démontré que même lorsque la donnée est hébergée en local, elle n’est pas forcément en sécurité. Cela a mis en lumière l’importance non seulement des technologies, mais surtout des processus, de la gouvernance, de la vigilance humaine. Nous avons ressenti une prise de conscience immédiate chez nos clients, avec une accélération des demandes de mise à niveau, une réévaluation des risques, et parfois une pause temporaire sur certains projets data.
Est-ce que cette vulnérabilité pourrait ralentir l’essor des startups marocaines dans le numérique ?
À court terme, oui. Certains donneurs d’ordre peuvent hésiter à confier leurs données à une jeune pousse. Mais sur le moyen et long terme, c’est l’inverse qui peut se produire. Si les startups intègrent la sécurité by design, elles renforceront leur crédibilité, leur capacité à scaler, et même leur attractivité pour les investisseurs. Cela va donc, à terme, professionnaliser l’écosystème. Les structures d’accompagnement doivent aussi jouer leur rôle en formant et en sensibilisant les startups à ces enjeux.
L’écosystème marocain est-il mature sur ces sujets ?
Très inégal. Certains secteurs comme la banque sont très avancés : ils ont compris, depuis plusieurs années, l’importance de la donnée comme avantage concurrentiel, et ont structuré leurs dispositifs de gestion et de protection. D’autres secteurs, comme l’assurance, sont un peu moins rapides, mais cela évolue. En général, la gouvernance des données – ce qu’on appelle le Data Management – reste moins mature que la simple volonté de «valoriser la data». Il faut que cette couche invisible mais essentielle se développe plus largement.
Le débat autour de la souveraineté numérique refait surface. Est-il encore possible de créer sans recourir aux technologies internationales ?
C’est extrêmement difficile. Aujourd’hui, travailler dans le numérique sans s’appuyer sur des technologies Cloud comme AWS ou Azure est presque impossible pour une startup. Mais il y a de vraies avancées au Maroc : on voit apparaître des solutions d’hébergement local, des projets de Cloud souverain. Une hybridation intelligente est possible, avec une localisation partielle des services, des partenariats régionaux et une réglementation adaptée. Mais il faut garder à l’esprit que la souveraineté n’est pas une fin en soi, c’est un équilibre entre sécurité, performance et innovation.
Les startup sont-elles soumises à des exigences réglementaires plus fortes que certaines institutions publiques ?
Parfois, oui. En tout cas, elles sont fortement challengées par leurs clients et leurs partenaires financiers. Et c’est une bonne chose. Pour nous, chez Tandem AI ou Seven, la conformité est un prérequis. On ne peut pas opérer dans les services financiers sans être irréprochable. Mais il est vrai que la réglementation gagnerait à être plus lisible et homogène. Cela aiderait tout l’écosystème.
L’intelligence artificielle, générative ou non, va générer une explosion de la donnée. Faut-il davantage réguler ou favoriser la libre circulation des données ?
Il y a deux écoles de pensée : l’approche régulée, défendue par l’Europe et des pays comme la France et l’Inde ; et l’approche plus ouverte, anglo-saxonne. Personnellement, je crois à un juste milieu. Mais surtout, il faut travailler sur le facteur culturel. Il y a un énorme travail de sensibilisation à mener auprès des collaborateurs. Aujourd’hui, beaucoup utilisent ChatGPT sans mesurer les conséquences de ce qu’ils y injectent. L’usage de l’IA en entreprise est inévitable. Il doit se faire dans un cadre, sinon il se fera en dehors.
N’est-il pas déjà trop tard pour sensibiliser les utilisateurs ?
Non, jamais. La cyberattaque contre la Caisse nationale de sécurité sociale (CNSS) a justement permis cette prise de conscience. Voir ses données personnelles circuler, être potentiellement exposé, cela marque. C’est un électrochoc qui peut produire un changement dans les pratiques individuelles, mais aussi collectives. On le voit d’ailleurs dans les réactions des entreprises, des institutions, des citoyens. L’important, maintenant, est d’accompagner ce mouvement.
La confiance numérique est-elle devenue la priorité absolue ?
Oui. Si l’on veut un écosystème numérique fort, si l’on veut que les citoyens acceptent de numériser leurs services, il faut leur garantir que leur donnée est entre de bonnes mains. Et cela vaut aussi entre startups et donneurs d’ordre. La confiance se regagnera par la transparence, la robustesse des systèmes, l’anticipation des risques. Les cyberattaques ne doivent pas freiner notre dynamique. Au contraire, elles doivent nous obliger à devenir meilleurs.
L’écosystème marocain du numérique est en pleine évolution. Les startups ont un rôle central à jouer, à condition d’être exigeantes avec elles-mêmes. Il faut dépasser la précarité du modèle pour bâtir sur la durée. Intégrer la sécurité, comprendre les enjeux réglementaires, structurer ses données… ce ne sont plus des options. Ce sont les conditions de la survie et de la croissance. La transformation digitale ne s’arrêtera pas. Elle doit juste devenir plus responsable.
10 conseils clés pour protéger sa startup des cybermenaces
1. Former tous les employés aux bons gestes (phishing, mots de passe et gestion des accès).
2. Mettre en place un plan de sauvegarde régulier des données critiques.
3. Utiliser des solutions de cybersécurité professionnelles (pare-feu, antivirus, anti-DDoS).
4. Activer l’authentification multifactorielle sur tous les comptes sensibles.
5. Changer tous les mots de passe par défaut et utiliser un gestionnaire de mots de passe.
6. Adopter une politique claire d’utilisation des appareils personnels (Byod).
7. Mettre à jour systématiquement les logiciels et systèmes.
8. Réaliser une analyse de risques régulière et identifier les actifs critiques.
9. Désigner un référent cybersécurité, même à temps partiel.
10. Anticiper avec un plan de réponse aux incidents et faire des tests de simulation.
2025-05-01 14:18:00
