Cyberattaque contre la CNSS marocaine : une atteinte grave aux systèmes de traitement automatisé de données (STAD). Par Yasser Elkouri, Doctorant.

Cyberattaque contre la CNSS marocaine : une atteinte grave aux systèmes de traitement automatisé de données (STAD).

Par Yasser Elkouri, Doctorant.

3780 lectures 1re Parution: 5  /5

Explorer : # cyberattaque # cybersécurité # protection des données # gouvernance numérique

Le 8 avril 2025, la Caisse nationale de Sécurité sociale (CNSS) du Maroc a été la cible d’une cyberattaque majeure, entraînant la fuite de données sensibles concernant des millions de citoyens. Cette attaque soulève des questions cruciales sur la sécurité des systèmes d’information des institutions publiques et met en lumière les lacunes du cadre juridique marocain en matière de cybersécurité.

-

I. Introduction.

Le 8 avril 2025, le Maroc a été secoué par une cyberattaque d’une ampleur inédite visant la Caisse nationale de Sécurité sociale (CNSS), un organisme public crucial chargé de la gestion des prestations sociales pour des millions de citoyens. Cet incident, qui s’inscrit dans un contexte international de multiplication des attaques informatiques contre les infrastructures critiques, a mis en péril l’intégrité et la confidentialité de données personnelles sensibles, incluant des informations d’ordre médical, financier et administratif.

L’attaque a rapidement été revendiquée par un groupe cybercriminel opérant sur le darknet, lequel a diffusé un échantillon de fichiers volés pour prouver la véracité de son accès aux serveurs internes de la CNSS. Ce leak initial a provoqué une onde de choc parmi les assurés sociaux, et relancé avec urgence les débats autour de la cybersécurité des institutions publiques marocaines.

Au-delà de son impact technique, cet acte malveillant soulève des interrogations fondamentales sur le degré de préparation des établissements publics face aux menaces numériques, mais aussi sur la capacité de l’État à faire appliquer un cadre juridique répressif efficace en matière de cybercriminalité. Le Maroc s’est doté dès 2003 d’une législation encadrant les atteintes aux systèmes de traitement automatisé de données (STAD), à travers la loi n° 07-03 modifiant le Code pénal, mais sa mise en œuvre reste confrontée à de nombreux défis pratiques, techniques et judiciaires.

L’analyse de cette attaque ne peut ainsi se limiter à une simple lecture technique. Elle impose une réflexion plus large sur l’état de la souveraineté numérique nationale, la résilience des systèmes d’information publics, et la nécessité de repenser les stratégies de gouvernance numérique à l’échelle étatique. En ce sens, l’incident de la CNSS constitue un cas d’étude critique, révélateur des tensions existantes entre développement digital accéléré et insuffisance des dispositifs de protection.

Dans cette perspective, cet article propose une lecture juridique et stratégique de l’événement, articulée autour de trois axes principaux :

  • l’analyse de la qualification juridique des faits au regard du droit pénal marocain ;
  • l’évaluation de la réponse institutionnelle apportée par la CNSS ;
  • les enjeux de gouvernance numérique révélés par l’attaque et les perspectives de réforme.

II. Déroulement et nature de l’attaque.

Le 8 avril 2025, la CNSS a été la cible d’une série d’attaques informatiques sophistiquées visant à contourner les dispositifs de sécurité de ses systèmes d’information. Bien que les détails techniques précis de l’intrusion n’aient pas encore été rendus publics par les autorités, le communiqué officiel de l’institution daté du 12 avril 2025 évoque clairement une fuite de données personnelles dont l’origine et l’étendue sont en cours d’évaluation. Ce type d’attaque s’apparente à ce que la littérature spécialisée qualifie de data breach, c’est-à-dire une violation de la confidentialité des données provoquée par un accès non autorisé à un système protégé.

Selon les premières analyses relayées par des spécialistes en cybersécurité sur des forums techniques et sur les réseaux sociaux, le mode opératoire pourrait relever d’une attaque par exploitation de vulnérabilités logicielles, combinée à une phase de mouvement latéral permettant à l’attaquant de naviguer discrètement dans l’environnement interne de la CNSS. Ce type de scénario est classique dans les campagnes de type Advanced Persistent Threat (APT), menées par des acteurs disposant de ressources techniques avancées et d’une connaissance approfondie des systèmes cibles.

La CNSS a indiqué que certaines données personnelles ont été exfiltrées et partiellement diffusées sur des canaux non officiels, ce qui tend à confirmer la nature offensive et ciblée de l’attaque. Cette fuite comporte des risques graves pour les assurés : usurpation d’identité, escroqueries par ingénierie sociale, et exploitation de données médicales à des fins malveillantes. Ces dangers sont aggravés par l’absence d’une notification individualisée aux victimes, ce qui limite leur capacité à se protéger de manière proactive.

À l’heure actuelle, aucun groupe n’a officiellement revendiqué l’attaque, bien que des fragments de fichiers CNSS aient été repérés sur des espaces de type data leak markets, suggérant une logique de monétisation des données. Cela oriente l’hypothèse vers un cybercrime à motivation financière, bien qu’une autre piste - celle du cyber-activisme ou de l’espionnage d’État - ne puisse être totalement écartée dans le contexte géopolitique régional.

La réponse immédiate de la CNSS, à travers la limitation de certaines fonctionnalités en ligne, témoigne d’une tentative de confinement, mais révèle aussi une architecture encore vulnérable aux menaces internes et externes. Cet épisode souligne le manque de cyberrésilience des systèmes critiques nationaux, et la nécessité urgente d’adopter une approche proactive fondée sur les normes ISO/IEC 27001 et la surveillance continue des incidents.

III. Qualification juridique de l’attaque au regard du droit marocain.

L’attaque subie par la CNSS le 8 avril 2025 relève clairement, du point de vue juridique, d’une atteinte aux systèmes de traitement automatisé de données (STAD), telle que définie par la loi n° 07-03 du 11 novembre 2003, modifiant et complétant le Code pénal marocain. Cette législation, introduite dans un contexte de montée des cybermenaces à l’échelle internationale, prévoit un ensemble de dispositions incriminant l’accès frauduleux, la modification, la suppression ou l’altération de données dans un système informatique protégé.

L’article 607-3 du Code pénal, dans sa formulation actuelle, punit de six mois à deux ans d’emprisonnement et d’une amende de 10.000 à 100.000 dirhams, "le fait d’accéder ou de se maintenir frauduleusement dans tout ou partie d’un système de traitement automatisé de données". Lorsque l’accès frauduleux a permis la suppression, la modification ou l’extraction de données - ce qui semble être le cas ici - la peine est portée à cinq ans d’emprisonnement, conformément à l’article 607-5.

Dans le cas de la CNSS, l’attaque remplit plusieurs éléments constitutifs de ces infractions :

  • Accès non autorisé : les assaillants ont réussi à contourner les mesures de sécurité pour pénétrer un système informatique protégé.
  • Exfiltration de données : les données personnelles de nombreux assurés ont été extraites, puis diffusées partiellement sur Internet.
  • Atteinte au fonctionnement du système : la CNSS a dû temporairement restreindre l’accès à certains services en ligne, démontrant un impact concret sur l’intégrité des opérations.

Il est également pertinent d’examiner la possible qualification de divulgation ou diffusion non autorisée de données personnelles, un délit prévu par la loi n° 09-08 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel, adoptée en 2009. Cette loi confère à la Commission Nationale de Contrôle de la Protection des Données à Caractère Personnel (CNDP) un pouvoir de sanction et d’instruction en cas de manquement.

Dès lors, deux régimes juridiques convergent dans le traitement de cet incident :

  • Le droit pénal informatique pour réprimer l’intrusion et le vol de données ;
  • Le droit de la protection des données personnelles, qui impose aux responsables de traitement, comme la CNSS, des obligations en matière de sécurité, de notification des violations et de coopération avec les autorités de contrôle.

Ce chevauchement juridique renforce la gravité des faits : l’attaque constitue non seulement un acte criminel passible de lourdes sanctions, mais aussi un manquement possible aux obligations légales de cybersécurité incombant à un organisme public. La jurisprudence marocaine en la matière reste encore rare, mais des précédents comme l’affaire dite de la fuite du portail étudiant (2021) ou les intrusions dans les systèmes municipaux de Casablanca (2022) ont posé les bases d’une interprétation stricte de la loi.

Enfin, si l’attaque est imputée à un acteur basé à l’étranger, se posera alors la question de la compétence juridictionnelle du Maroc et de la coopération internationale en matière de cybercriminalité, notamment à travers les conventions de Budapest (2001) et de l’Union Africaine sur la cybersécurité (Convention de Malabo, 2014), à laquelle le Royaume est signataire.

IV. Analyse de la réponse institutionnelle de la CNSS.

Dans les jours qui ont suivi l’attaque, la CNSS a publié un communiqué daté du 12 avril 2025, confirmant avoir été victime d’un incident de sécurité informatique ayant conduit à une fuite de données personnelles. Dans cette déclaration, l’institution affirme avoir rapidement enclenché ses procédures internes de sécurité, en collaboration avec les autorités compétentes, tout en minimisant la portée des dommages par des propos rassurants : certaines des données publiées seraient "fausses, inexactes ou tronquées", et les systèmes seraient "progressivement rétablis dans des conditions sécurisées".

IV.1. Communication de crise : entre minimisation et flou technique.

Sur le plan de la communication de crise, la réponse de la CNSS présente plusieurs limites. D’une part, l’absence d’un rapport technique public sur l’ampleur de la brèche, les données compromises, et les mesures correctives précises a contribué à alimenter une incertitude parmi les assurés. D’autre part, aucun dispositif de notification individuelle n’a été mis en place pour informer les personnes concernées - ce qui pourrait constituer une violation de l’article 22 de la loi 09-08, qui impose une information claire en cas de violation des données.

Selon la Commission nationale de contrôle de la protection des données à caractère personnel (CNDP), tout responsable de traitement ayant connaissance d’une fuite de données à grande échelle doit non seulement en informer l’autorité, mais aussi notifier les personnes impactées, afin qu’elles puissent exercer leurs droits (accès, rectification, opposition).

IV.2. Gestion opérationnelle : mesures curatives plutôt que préventives.

La CNSS a pris des mesures immédiates telles que la suspension temporaire de certaines fonctionnalités sur le portail électronique, la réinitialisation des systèmes internes, et la publication de recommandations à l’intention des usagers : modification des mots de passe, vigilance face au phishing, vérification des canaux de communication.

Toutefois, ces réactions relèvent davantage de la gestion curative d’une crise que d’un plan de continuité d’activité anticipé. Aucun élément ne permet d’attester de la mise en place préalable d’un Plan de Reprise d’Activité (PRA) ou d’un Plan de Continuité d’Activité (PCA) tel que prévu par les normes ISO/IEC 27031 et 22301 sur la résilience organisationnelle. Cela soulève des interrogations sur la maturité cyber de l’institution.

IV.3. Responsabilité et obligation de diligence.

D’un point de vue juridique, la CNSS, en tant que responsable de traitement public, est tenue de prendre toutes les mesures nécessaires pour assurer la sécurité des données à caractère personnel qu’elle détient. L’article 23 de la loi 09-08 précise que le responsable de traitement "doit veiller à ce que les données ne soient pas accessibles à des tiers non autorisés" et prendre "les précautions utiles à la préservation de leur intégrité".

Le défaut de mesures de sécurité suffisantes pourrait, en cas de plainte, fonder une responsabilité administrative devant la CNDP, voire une action en responsabilité civile, si un dommage avéré peut être rattaché à un défaut de diligence. En l’absence d’audit public post-incident, il est difficile à ce stade d’évaluer la conformité des pratiques de la CNSS aux normes réglementaires.

IV.4. Silence institutionnel et déficit de transparence.

Enfin, notons que la CNSS n’a pas communiqué de données chiffrées sur :

  • le volume exact des fichiers affectés
  • la période d’exposition des systèmes compromis
  • le nombre de victimes identifiées
  • la date de découverte de la faille.

Un tel déficit de transparence est en contradiction avec les bonnes pratiques de cyber-résilience recommandées par l’ANSSI (France), l’ENISA (UE) et le Forum africain sur la cybersécurité, qui encouragent une approche fondée sur la responsabilité et la reddition de comptes.

V. Enjeux stratégiques : souveraineté numérique et perspectives de réforme.

L’attaque contre la CNSS ne saurait être interprétée comme un simple incident technique ou un acte criminel isolé. Elle s’inscrit dans une dynamique plus large de vulnérabilisation des systèmes publics, qui interpelle directement les fondements de la souveraineté numérique de l’État marocain. En touchant un organisme national centralisé, garant de la protection sociale, l’attaque a révélé la perméabilité des infrastructures stratégiques et la nécessité de redéfinir les priorités de la gouvernance numérique.

V.1. La CNSS, un opérateur d’importance vitale numérique ?

Le Maroc ne dispose pas encore, à la date de l’attaque, d’un statut juridique consolidé des infrastructures numériques critiques (INC), à la différence de ce que proposent les cadres européens (Directive NIS2) ou certains pays africains (ex. Rwanda, Sénégal). Pourtant, les missions assurées par la CNSS - paiement des allocations, accès aux soins, affiliation sociale - lui confèrent de facto un rôle d’opérateur d’importance vitale numérique (OIVN).

En l’absence d’un cadre juridique dédié, aucun mécanisme d’audit de conformité, d’obligation de déclaration d’incident de sécurité ou de tests de pénétration récurrents n’est explicitement imposé à ces institutions. Ce vide expose les infrastructures les plus sensibles à des risques d’exploitation prolongée et silencieuse.

V.2. Le paradoxe d’une transformation digitale accélérée sans mur de sécurité.

Depuis 2017, le Maroc a multiplié les initiatives de dématérialisation des services publics dans le cadre du programme Maroc Digital 2020, poursuivi par Digital Maroc 2030. Si ces projets ont favorisé l’accessibilité et l’efficacité administrative, ils ont également accru la surface d’exposition aux cybermenaces sans mise à niveau systémique des capacités de défense.

Le cas de la CNSS illustre ce paradoxe : une institution qui s’est engagée dans la numérisation massive de ses services (portail Damancom, télédéclaration, e-affiliation), mais dont la cybermaturité reste incomplète. Ce déséquilibre a rendu l’organisme vulnérable à une attaque ciblée et potentiellement persistante.

V.3. Défis structurels de la cybersécurité publique au Maroc.

Plusieurs obstacles structurels entravent aujourd’hui la montée en puissance d’une cybersécurité souveraine :

  • Fragmentation des compétences institutionnelles entre la DGSSI, la CNDP, le Ministère de la Transition numérique et d’autres entités ;
  • Manque de mutualisation des ressources techniques entre administrations ;
  • Pénurie de profils spécialisés dans le secteur public ;
  • Faible culture du risque numérique au sein des hauts cadres décisionnaires.

La stratégie nationale de cybersécurité 2020-2025, bien qu’ambitieuse sur le papier, n’a pas encore permis de corriger ces déficits de coordination ni d’installer une gouvernance unifiée. La CNSS, comme d’autres institutions, reste encore seule face à des menaces transnationales et souvent très technicisées.

VI. Impact sur les citoyens et mesures de protection.

L’attaque contre la CNSS a exposé des millions de citoyens marocains à des risques majeurs, leurs données personnelles et sensibles se retrouvant entre les mains de cybercriminels. Les informations volées, incluant des identifiants, des dossiers médicaux et des données financières, pourraient être exploitées à des fins malveillantes. Les victimes sont désormais vulnérables à l’usurpation d’identité, avec la possibilité que leurs données servent à ouvrir des comptes bancaires frauduleux, souscrire des crédits, ou même commettre des infractions en leur nom. De plus, les escroqueries par phishing ou ingénierie sociale risquent de se multiplier, les criminels utilisant les informations volées pour cibler les victimes avec des messages trompeurs, leur extorquant davantage de données ou des fonds. La divulgation de données médicales ou administratives constitue également une atteinte grave à la vie privée, pouvant engendrer des conséquences psychologiques et sociales durables pour les personnes concernées.

Face à ces menaces, les citoyens doivent adopter des mesures de protection immédiates. Il est essentiel de surveiller activement ses comptes bancaires et ses historiques de transactions pour détecter toute activité suspecte. Changer immédiatement les mots de passe des comptes en ligne, en particulier ceux liés aux services de la CNSS, et utiliser des combinaisons complexes et uniques pour chaque plateforme, est une étape cruciale. Par ailleurs, il convient de rester méfiant face aux communications non sollicitées, qu’il s’agisse d’e-mails, de SMS ou d’appels, même si elles semblent provenir d’une source officielle. En cas de doute, il ne faut jamais divulguer d’informations personnelles et contacter directement l’institution concernée via des canaux vérifiés. Enfin, toute suspicion de fraude doit être signalée sans délai à la CNSS, à la CNDP et aux autorités compétentes pour limiter les dommages et contribuer aux enquêtes en cours.

Malgré ces précautions, l’absence de notification individuelle et transparente de la part de la CNSS complique la tâche des victimes, qui ignorent souvent si leurs données ont été compromises. Cette lacune dans la communication institutionnelle accentue leur vulnérabilité et soulève des questions sur les obligations légales de l’organisme en matière de protection des citoyens. À long terme, une meilleure sensibilisation du public aux risques cyber et un renforcement des mécanismes de transparence seraient indispensables pour restaurer la confiance et améliorer la résilience collective face à de telles attaques.

Conclusion.

L’attaque cybernétique contre la CNSS marocaine a révélé des failles critiques dans la protection des données publiques et la cyberrésilience des institutions nationales. Au-delà de l’impact technique, cet incident a mis en lumière les conséquences humaines et sociales d’une telle violation : des millions de citoyens exposés à des risques d’usurpation d’identité, de fraudes financières et d’atteintes à leur vie privée. Si des mesures individuelles de vigilance peuvent atténuer les risques, la responsabilité première incombe aux pouvoirs publics et aux organismes gestionnaires de données sensibles.

Cet événement doit servir de catalyseur pour une réforme profonde de la stratégie nationale de cybersécurité. Le Maroc a besoin d’un cadre juridique renforcé, d’une gouvernance unifiée et d’investissements durables dans les capacités de défense numérique. Parallèlement, la transparence envers les citoyens et la coopération internationale doivent devenir des priorités pour anticiper les menaces futures. La souveraineté numérique ne se construira pas seulement par des lois ou des technologies, mais par une prise de conscience collective : dans un monde hyperconnecté, la sécurité des données est un pilier fondamental des droits citoyens et de la stabilité nationale.

L’affaire de la CNSS rappelle une évidence trop souvent négligée : la cybersécurité n’est pas un enjeu technique réservé aux experts, mais un impératif de protection sociale et démocratique. Le temps est venu d’en faire une priorité politique et sociétale.

Yasser Elkouri, doctorant à la Faculté des Sciences Juridiques Economiques et Sociales de Tanger, Université Abdelmalek Essaâdi
https://www.linkedin.com/in/yasser-elkouri/

Recommandez-vous cet article ?

Donnez une note de 1 à 5 à cet article :
L’avez-vous apprécié ?

2 votes

L'auteur déclare ne pas avoir utilisé l'IA générative pour la rédaction de cet article.

Cet article est protégé par les droits d'auteur pour toute réutilisation ou diffusion (plus d'infos dans nos mentions légales).

A lire aussi :

Explorer : # cyberattaque # cybersécurité # protection des données # gouvernance numérique

  1. Dans la même rubrique
  2. Les Actualités juridiques
  3. Actualité juridique "Ailleurs dans le Monde"
  4. Maroc

La légalité des gardiens de voitures et de la pose de sabots au Maroc : une analyse juridique actualisée. Par Achraf Sym Tameloucht, Juriste.

17 avril 2025

L’obligation du taximètre et la régulation des applications de transport au Maroc. Par Achraf Sym Tameloucht, Juriste.

16 avril 2025

Le droit marocain de propriété intellectuelle à l’ère de l’intelligence artificielle. Par Elmostafa Hamdouche, Juriste.

15 avril 2025

Le cadre juridique de la marque notoire en droit marocain. Par Othmane Kharrouba, Avocat.

15 avril 2025

[Maroc] Gestion des déchets transfrontaliers : entre réglementation et risques environnementaux. Par Ahmed Benattou.

11 avril 2025

Harcèlement sexuel et moral en milieu professionnel entre rigueur juridique et éclairage neurocomportemental. Par Zakaria Garno, Professeur.

14 avril 2025

Village de la justice et du Droit

Bienvenue sur le Village de la Justice.

Le 1er site de la communauté du droit: Avocats, juristes, fiscalistes, notaires, commissaires de Justice, magistrats, RH, paralegals, RH, étudiants... y trouvent services, informations, contacts et peuvent échanger et recruter. *

Aujourd'hui: 156 340 membres, 27868 articles, 127 257 messages sur les forums, 2 750 annonces d'emploi et stage... et 1 600 000 visites du site par mois en moyenne. *


FOCUS SUR...

• Assemblées Générales : les solutions 2025.

• Avocats, être visible sur le web : comment valoriser votre expertise ?




Tous les Articles publiés

Populaires en ce moment

Annonces d'Emploi

Forum

Formations à venir

LES HABITANTS

Membres

Professionnels du droit et autres inscrits

PROFESSIONNELS DU DROIT

Previous Next

 

Cabinet d'Avocats

 

Agir en faveur de l’accès au droit

 

Réseau de cabinets d’avocats indépendants

 

Association pour la prévention positive des cyberviolences

 

Collectif d'avocats et de médiateurs

 

Bien plus que du droit.

 

Réseau de professionnels du Droit

 

Cabinet d'avocat

 

Procédure d’appel, procédure civile, conseil, contentieux, modes amiables

 

Facilite l'accès aux professions du Droit

 

Solutions

Previous Next

 

Solutions d'informations pour professionnels du droit.

 

Maintenance informatique spécialisée pour les professionnels du droit

 

1er service entièrement en ligne pour externaliser vos appels

 

Editeur juridique et de solutions de gestion pour les métiers du droit

 

Destruction et recyclage de documents confidentiels

 

Offres pour les métiers du droit

 

Lettre recommandée électronique

 

Créateur de confiance juridique

 

Logiciels de conformité, risques et éthique

 

Editeur juridique

 

Aides et Conseils à l'installation des avocats.

 

Traducteurs assermentés

 

AI-powered Contract Management

 

Association de gestion et de comptabilité pour Avocats

 

Logiciels pour professionnels du droit.

Formateurs

Previous Next

 

Des formations spécialisées

 

Se former est une chance !

 

L’école des nouveaux juristes !

 

La Compétence juridique se recrute !

 

Se former aux métiers du Droit

 

Formations courtes ou longues à destination des professionnels du droit

 

Cabinet juridique et organisme de formation

 

Formation, recherche et innovation

Nouvelles parutions

Robert Badinter

Robert Badinter - L’œuvre d’un juste

« Un jour, je vous parlerai de la Justice...»

LexisNexis Presse

La Semaine Juridique - Édition Générale

Accédez à votre actualité juridique chaque semaine sous la plume d’auteurs de renom !

A côté du droit !

Sélection Liberalis du week-end : « Le Dernier Sacre » à la Galerie des Gobelins à Paris. 

Les coups de coeur des libraires juridiques (épisode 2).

Sélection Liberalis spécial Jour ferié : le Paradox Museum Paris.

Régulièrement nous partageons ici avec vous quelques images du net...

A voir et à Écouter... sur le Village de la justice:

- [Documentaire] Engagées, un an dans les coulisses du métier d’avocat.
- Comment bien utiliser le Village de la justice pour vos publications d’articles juridiques ?
- [Vidéo] Entretien avec Rémy Heitz, procureur général de la Cour de cassation dans l’émission Fenêtres sur cours.
- Dans les coulisses des directions juridiques de Decathlon et Bolloré Transport & Logistics.

Le Village de la justice est le 1er site de la communauté des métiers du Droit, en accès libre, créé en 1997 (en savoir plus). Avocats, juristes d'entreprises et salariés, magistrats, étudiants, notaires, huissiers, fiscalistes, RH, experts et conseils etc, y trouvent de nombreuses informations et participent à la communauté, s'informent, établissent leur réseau, recrutent... Le premier Réseau du droit ! > Découvrez notre philosophie et fonctionnement ici.

Edité par Legi Team
Editeur - Publicité
Fil RSS général du Village
Gestion des cookies - RGPD
Mentions légales - CGV - CGU
RSE
Plan du Village de la Justice
Nous écrire

Copyright © Village de la justice et auteurs publiés ici.