Loi 05-20 : ce que les entreprises marocaines doivent savoir

Promulguée en 2020, la Loi 05-20 relative à la cybersécurité marque un tournant décisif dans le cadre réglementaire marocain. Elle impose des obligations concrètes aux organismes publics, aux établissements publics et aux opérateurs d'importance vitale (OIV), et constitue la base légale sur laquelle s'appuie la DNSSI (Directive Nationale de la Sécurité des Systèmes d'Information).

Périmètre et organismes concernés

La Loi 05-20 s'applique en premier lieu aux administrations de l'État, aux collectivités territoriales, aux établissements publics et à toute entité assimilée. Elle étend son champ aux opérateurs d'infrastructures critiques : télécommunications, énergie, transport, santé, eau, finance et toute infrastructure dont l'interruption pourrait avoir un impact majeur sur la sécurité nationale ou l'économie.

Les entreprises privées qui fournissent des services essentiels à ces organismes, ou qui hébergent des données sensibles pour leur compte, entrent également dans le périmètre indirect de la loi via leurs obligations contractuelles.

Les obligations clés

• Désignation d'un RSSI — chaque organisme assujetti doit nommer un Responsable de la Sécurité des Systèmes d'Information, interlocuteur officiel de la DGSSI.
• Déclaration des incidents — tout incident de sécurité significatif doit être notifié à la DGSSI dans des délais encadrés.
• Audits de sécurité périodiques — les systèmes d'information critiques doivent faire l'objet d'audits réguliers réalisés par des prestataires agréés par la DGSSI.
• Conformité à la DNSSI — adoption des mesures techniques et organisationnelles définies dans la Directive Nationale de la Sécurité des Systèmes d'Information.
• Homologation des systèmes sensibles — les systèmes traitant des informations classifiées ou critiques doivent être homologués avant mise en production.

DNSSI : le référentiel technique de référence

La DNSSI (Directive Nationale de la Sécurité des Systèmes d'Information), publiée par la DGSSI, constitue le volet technique de la Loi 05-20. Elle définit 107 mesures de sécurité réparties en 20 domaines : gouvernance, gestion des accès, cryptographie, sécurité physique, continuité d'activité, etc. Les organismes assujettis doivent évaluer leur niveau de conformité par rapport à ce référentiel et mettre en œuvre un plan d'action correctif.

La DNSSI s'inspire des normes internationales ISO/IEC 27001 et NIST CSF, ce qui facilite l'alignement pour les organisations déjà engagées dans une démarche de certification.

Sanctions et enjeux de conformité

La Loi 05-20 prévoit des sanctions en cas de non-respect des obligations de déclaration d'incidents ou d'obstruction aux contrôles de la DGSSI. Au-delà des sanctions formelles, les organismes non conformes s'exposent à des risques de réputation significatifs et à la responsabilité civile en cas d'incident impactant leurs partenaires ou usagers.

La pression réglementaire va croissant : la DGSSI intensifie ses contrôles et les donneurs d'ordre publics intègrent désormais des clauses de conformité SSI dans leurs appels d'offres.

Par où commencer ?

Une démarche structurée commence par un audit de conformité DNSSI permettant d'identifier les écarts. Sur cette base, un plan d'action priorisé est élaboré — en tenant compte des contraintes budgétaires et du niveau de risque — pour engager les chantiers techniques et organisationnels dans le bon ordre.

G-Security Services accompagne les organismes marocains dans l'ensemble de cette démarche : audit DNSSI, assistance à la mise en œuvre, préparation aux contrôles DGSSI et désignation d'un RSSI externalisé.