Cybersécurité - Directives Régionales et Lois Nationales

1. Taieb DEBBAGH Mars 2022 Cybersécurité Directives régionales et Lois nationales

2. 2 Cybersécurité : Le rôle des états https://youtu.be/itbPfBmJ4Z0

3. 3 Cybersécurité UIT – CGA : Mesures juridiques Directives & Lois Gouvernance Organisations concernées Obligations Sanctions Annexes 1 2 3 4 5 6 7

5. 5 Cybersécurité : Dates clés Politique nationale Confiance numérique et Sécurité des SI Mai 2008 Oct. 2009 Stratégie Maroc Numeric 2013 Confiance Numérique Oct. 2007 Oct. 2010 NCSM Contribution Maroc UIT – AG Mexique Oct. 2011 DGSSI maCERT

6. 6 Global Cybersecurity Agenda - 2007 MESURES JURIDIQUES Les objectifs sont les suivants : Stratégies pour l’élaboration d’un modèle de législation sur la cybercriminalité, interopérable et applicable à l’échelle mondiale Lancé par UIT en 2007, le Programme mondial de cybersécurité (GCA) est un cadre de coopération internationale visant à renforcer la confiance et la sécurité dans la société de l’information. Le GCA est conçu pour la coopération et l’efficacité, en encourageant la collaboration avec et entre tous les partenaires concernés et en s’appuyant sur les initiatives existantes pour éviter de dupliquer les efforts.

7. 7 Cybersécurité : Dates clés

8. 8 Global Cybersecurity Index Légal Législation sur la cybercriminalité Réglementation de la cybersécurité Législation anti-spam (Confinement / limitation) Mesures techniques CERT / CIRT / CSIRT Cadre de mise en œuvre des normes Organisme de normalisation Mécanismes et capacités techniques déployés pour lutter contre le spam Utilisation du cloud à des fins de cybersécurité Mécanismes de protection en ligne des enfants Mesures organisationnelles Stratégie nationale de cybersécurité Agence responsable Mesures de cybersécurité Mesures de renforcement des capacités Campagnes de sensibilisation du public Cadre de certification et d'accréditation des professionnels de la cybersécurité Programmes professionnels ou cursus académiques en cybersécurité Programmes de R&D en cybersécurité Mécanismes d'incitation Mesures de coopération Accords bilatéraux Participation à des forums/ associations internationaux Partenariats public-privé Partenariats inter-agences / intra-agences Les meilleures pratiques

9. 9 50 9 ITU - Global Cybersécurité Index – Juin 2021

10. 10 75 100 ITU - Global Cybersécurité Index – Juin 2021 160

12. 12 Définitions Objet Définition Cybersécurité l’ensemble de mesures, procédures, concepts de sécurité, méthodes de gestion des risques, actions, formations, bonnes pratiques, et technologies permettant à un système d’information de résister à des évènements issus du cyberespace, susceptibles de compromettre la disponibilité, l’intégrité ou la confidentialité des données stockées, traitées ou transmises et des services connexes que ce système offre ou qu’il rend accessibles ; Cybercriminalité l’ensemble des actes contrevenant à la législation nationale ou aux traités internationaux ratifiés par le Royaume du Maroc, ayant pour cible les réseaux ou les systèmes d’information ou les utilisant comme moyens pour commettre un délit ou un crime ; Infrastructures d’importance vitale les installations, les ouvrages et les systèmes qui sont indispensables au maintien des fonctions vitales de la société, de la santé, de la sûreté, de la sécurité et du bien-être économique ou social, et dont le dommage ou l’indisponibilité ou la destruction aurait un impact induisant la défaillance de ces fonctions ; Secteur d’activités d’importance vitale l’ensemble des activités exercées par les infrastructures d’importance vitale et concourant à un même objectif. Ces activités ont trait soit à la production et la distribution de biens ou de services indispensables à la satisfaction des besoins essentiels pour la vie des populations, ou à l’exercice des prérogatives de l’Etat ou au maintien de ses capacités de sécurité ou au fonctionnement de l’économie, dès lors que ces activités sont difficilement substituables ou remplaçables, ou qui peuvent présenter un danger grave pour la population ; Système d’information sensible système d’information traitant des informations ou des données sensibles sur lesquelles une atteinte à la confidentialité, à l’intégrité ou à la disponibilité porterait préjudice à une entité ou à une infrastructure d’importance vitale ; Incident de cybersécurité un ou plusieurs événements indésirables ou inattendus liés à la sécurité des systèmes d’information et présentant une forte probabilité de compromettre les activités d’une entité, d’une infrastructure d’importance vitale ou d’un opérateur ou de menacer la sécurité de leurs systèmes d’information ; Crise cybernétique l’état résultant de l’occurrence d’un ou plusieurs événements de cybersécurité pouvant avoir un impact grave sur la vie des populations, l’exercice de l’autorité de l’Etat, le fonctionnement de l’économie, ou sur le maintien des capacités de sécurité et de défense du pays ;

13. 13 La Directive sur la sécurité des réseaux et des systèmes d'information (Directive NIS) La Directive sur la sécurité des réseaux et des systèmes d'information (Directive NIS) ((UE) 2016/1148) a pour objectif d'atteindre un niveau commun élevé de sécurité des réseaux et des systèmes d’informations dans toute l'Union Européenne. Les États membres de l'Union Européenne avaient jusqu'au 9 mai 2018 pour transposer la Directive NIS dans leur législation nationale. UE : Directive NIS

14. 14 UE : Directive NIS Le champ d'application de la conformité dans la Directive NIS : qui doit être conforme ? La Directive s'applique à : Opérateurs de services essentiels (OES - Operators of Essential Services) implantés dans l'Union Européenne et Fournisseurs de service numérique (DSP - Digital Service Providers) offrant des services à des personnes au sein de l'Union Européenne La Directive ne concerne pas les DSP considérés comme des petites entreprises ou des microentreprises (entreprises employant moins de 50 personnes dont le chiffre d’affaires annuel ou dont le bilan total est inférieur à 10 millions d’euros).

15. 15 Un Opérateur de services essentiels (OES) : c'est quoi ? La Directive NIS a pour ambition de renforcer la cybersécurité dans les secteurs dépendant fortement des technologies de l'information et de la communication (TIC). Certaines entreprises actives dans des secteurs stratégiques sont dénommées OES. La Directive NIS affecte les secteurs suivants : Eau ;Énergie ;Infrastructure numérique ;Infrastructures des marchés bancaires et financiers ;Santé ; etTransport. Q’est-ce qu’un fournisseur de service numérique (DSP) ? La Directive NIS concerne les DSP clés suivants qui procurent normalement leurs services « contre rémunération, à distance par voie électronique et à la demande individuelle d'un destinataire de services ». Les DSP peuvent être catégorisés selon les organisations suivantes : Moteurs de recherche; Services informatiques Cloud; Marchés en ligne. UE : Directive NIS

16. 16 La Directive NIS impose aux OES et DSP de : • Prendre les mesures techniques et organisationnelles appropriées pour sécuriser leurs réseaux et systèmes d'informations ; • Tenir compte des plus récents développements et considérer les risques potentiels auxquels leurs systèmes sont confrontés ; • Prendre les mesures appropriées de prévention des incidents de sécurité ou, au moins, pour en minimiser l'impact afin d'assurer la continuité du service ; et • Notifier l'autorité compétente pertinente de tout incident de sécurité revêtant un impact significatif sur la continuité du service sans délai indu. • Conséquences du défaut de conformité avec la Directive NIS Conséquences du défaut de conformité avec la Directive NIS Les États membres sont tenus de définir leurs propres règles de pénalités financières et de prendre les mesures nécessaires pour s'assurer de leur mise en œuvre. Il est probable que les États membres mettent en œuvre des pénalités similaires à celles du RGPD (Règlement Général sur la Protection des Données). La conformité peut être surveillée avec des audits de routine des OES. UE : Directive NIS

17. 17 Exigences spécifiques de conformité pour les DSP : La Directive dispose que les DSP « restent libres de prendre les mesures techniques et organisationnelles qu'ils jugent appropriées et proportionnées pour gérer les risques » tant que les mesures procurent un «un niveau de sécurité approprié» et factorisent les exigences de la Directive NIS. Les DSP doivent assurer un niveau de sécurité approprié au risque posé par l'offre des services couverts en tenant compte des éléments suivants : • Sites et systèmes de sécurité • Gestion d'incident • Gestion de continuité de l'activité • Surveillance, audit et test • Conformité aux normes internationales Outre les mesures de sécurité de l'information et de continuité de l'activité, les DSP doivent établir des mesures d'intervention sur incident selon une appréciation de la gravité de l'incident. Le Règlement d'exécution entre en vigueur le 10 mai 2018 et s'applique à tous les États membres de l'Union Européenne. UE : Directive NIS

18. 18 La directive NSI2 a renforcé les capacités nationales de cybersécurité de l’UE, obligeant les États membres à élaborer une stratégie nationale de cybersécurité, à mettre en place des équipes de réponse aux incidents de sécurité informatique (CSIRT) et à désigner des autorités nationales compétentes en matière de NSI, améliorant ainsi la cyber-résilience des entités publiques et privées dans des secteurs spécifiques et dans l’ensemble des services numériques. Afin de répondre aux menaces croissantes dues à la numérisation et à l’augmentation des cyberattaques, la proposition de directive révisée NIS2 abroge la directive existante. La nouvelle proposition élargit son champ d’application, en visant à renforcer les exigences de sécurité imposées, en abordant la sécurité des chaînes d’approvisionnement, en rationalisant les obligations de déclaration, en introduisant des mesures de surveillance plus strictes et des exigences d’application plus strictes, y compris des régimes de sanctions harmonisés dans tous les États membres. Il comprend également des propositions d’échange d’informations et de coopération en matière de gestion des cybercrises aux niveaux national et européen. L’élargissement proposé du champ d’application couvert par le NIS2 obligerait effectivement davantage d’entités et de secteurs à prendre des mesures, ce qui augmenterait le niveau de cybersécurité dans l’UE à plus long terme. UE : Directive NIS2

19. 19 Conseil de l’Europe : 185 – Convention de Budapest Cette Convention est le premier traité international sur les infractions pénales commises via l'Internet et d'autres réseaux informatiques, traitant en particulier des infractions portant atteinte aux droits d'auteurs, de la fraude liée à l'informatique, de la pornographie enfantine, ainsi que des infractions liées à la sécurité des réseaux. Il contient également une série de pouvoirs de procédures, tels que la perquisition de réseaux informatiques et l'interception. Son principal objectif, énoncé dans le préambule, est de poursuivre "une politique pénale commune destinée à protéger la société contre le cybercrime, notamment par l'adoption d'une législation appropriée et la stimulation de la coopération internationale".

20. 20 2 - Directives et Lois Europe UE - DIRECTIVE NIS 2016 La Directive sur la sécurité des réseaux et des systèmes d'information (NIS) a pour objectif d'atteindre un niveau commun élevé de sécurité des réseaux et des systèmes d’informations dans toute l'Union Européenne. La NSI2 a renforcé les capacités nationales de cybersécurité de l’UE, obligeant les États membres à élaborer une stratégie nationale de cybersécurité, à mettre en place des équipes de réponse aux incidents de sécurité informatique (CSIRT) et à désigner des autorités nationales compétentes en matière de NSI, améliorant ainsi la cyber résilience des entités publiques et privées dans des secteurs spécifiques et dans l’ensemble des services numériques concernera plus d’entreprises et impliquera leurs cocontractants ; • renforcera les obligations et les sanctions ; • pourrait s’appliquer courant 2024 ; • sera complétée par une directive régissant les infrastructures critiques et par un règlement sur la sécurité informatique du secteur financier. Afrique CONVENTION MALABO 2014 Article 25: Mesures légales 1. Législations contre la cybercriminalité Chaque État Partie s’engage à adopter les mesures législatives et/ou réglementaires qu'il jugera efficaces en considérant comme infractions criminelles substantielles des actes qui affectent la confidentialité, l'intégrité, la disponibilité et la survivance des systèmes technologies de l’information et de la communication et les données qu’ils traitent et des infrastructures réseau sous-jacentes, ainsi que les mesures procédurales qu'il jugera efficaces pour rechercher et poursuivre les contrevenants. Maroc La loi 05-20 CYBERSECURITE vise la mise en place d’un cadre juridique préconisant aux entités un socle minimal de règles et de mesures de sécurité afin d’assurer la fiabilité et la résilience de leurs Systèmes d’Information. Elle a aussi pour objectifs le développement de la confiance numérique, la digitalisation de l’économie et plus généralement l'assurance de la continuité des activités économiques et sociétales de notre Pays. Et ce, afin de favoriser le développement d’un écosystème National de cybersécurité

21. 21 2 - Directives et Lois Europe FR - la loi n°2013-1168 du 18 décembre 2013, Le Premier ministre définit la politique et coordonne l’action gouvernementale en matière de sécurité et de défense des systèmes d’information. Il dispose à cette fin de l’autorité nationale de sécurité des systèmes d’information, l’ANSSI, rattachée au secrétaire général de la défense et de la sécurité nationale Afrique CI LOI 2013-451 du 19 juin 20/3 Cybercriminalité Art. 2. - La présente loi a pour objet de lutter contre la cybercrlminalité. Art. 3. - Sont soumis aux dispositions de la présente lol, les infractions relatives 4 la cybercriminalité, ainsi que les infractions pénales dont la constatation requiert la collecle d’une preuve électronique. SN LOI 2008-11 du 25 janvier 2008 Cybercriminalité La première partie, consacrée au droit pénal substantiel, comporte trois titres traitant de l’adoption d’infractions spécifiques aux technologies de l’information et de la communication et de l’adaptation de certaines incriminations et de certaines sanctions aux technologies de l’information et de la communication ; ML : La loi n° 2019-056 du 5 décembre 2019, portant Répression de la Cybercriminalité. Elle s’applique à « toute infraction commise au moyen des technologies de l’information et de la communication (TIC) en tout ou partie sur le territoire de la République du Mali, toute infraction commise dans le cyberespace et dont les effets se produisent sur le territoire national » (article 2). Maroc Décret n° 2-21-406 du 15 juillet 2021 Ce décret vise principalement à définir les mesures de protection des systèmes d'information des administrations de l'Etat, des établissements et entreprises publics et toute autre personne morale de droit public, ainsi que ceux des infrastructures d'importance vitale et des opérateurs privés.

23. 23 3.1 - Gouvernance Europe UE NIS Article 7-1b : un cadre de gouvernance pour atteindre les objectifs et les priorités de la stratégie nationale sur la sécurité des réseaux et des systèmes d'information, y compris les rôles et responsabilités des organes gouvernementaux et des autres acteurs concernés ; Afrique CONVENTION MALABO Article 27 : Structures nationales de suivi de la cybersécurité 1. Gouvernance de la cyber sécurité Chaque État Partie s’engage à adopter des mesures nécessaires pour mettre en place un dispositif institutionnel approprié pour une prise en charge de la gouvernance de la cyber sécurité. La gouvernance de la cybersécurité devra être établie en fonction d’un cadre national qui soit en mesure de répondre aux défis perçus et à toute question relative à la sécurité de l'information au niveau national dans le plus grand nombre possible de domaines de la cybersécurité. Maroc Article 35 : Comité stratégique – élaborer et évaluer les orientations stratégiques de l’Etat en matière de cybersécurité et veiller sur la résilience des systèmes d’information des entités, des infrastructures d’importance vitale et des opérateurs Article 36 : Comité de Gestion de Crise Est chargé d’assurer une intervention coordonnée en matière de prévention et de gestion de crise par suite d’incidents de cybersécurité.

24. 24 3.2 - Gouvernance Europe FR : ANSSI Service du Premier ministre, rattaché au Secrétariat général de la défense et de la sécurité nationale (SGDSN), l’Agence nationale de la sécurité des systèmes d’information (ANSSI) est l’autorité nationale chargée d’accompagner et de sécuriser le développement du numérique. Acteur majeur de la cyber sécurité, l’ANSSI apporte son expertise et son assistance technique aux administrations et aux entreprises avec une mission renforcée au profit des opérateurs d’importance vitale (OIV). Elle assure un service de veille, de détection, d’alerte et de réaction aux attaques informatiques. CERT-FR assure le rôle de CSIRT gouvernemental français. Il est membre du FIRST qui est le réseau international des CERT et de la TF-CSIRT qui est son pendant européen. Le CERT-FR est l’émanation de la composante de réaction aux incidents informatiques de l’ANSSI au sein de la communauté des CSIRT depuis 2002. Afrique CI : ARTIC - Autorité de Régulation des Télécommunications & TIC a été créée par l’Ordonnance n°2012-293 du 21 mars 2012 • Elle est une autorité administrative indépendante dotée de la personnalité juridique et de l’autonomie financière • Outre ses missions de régulation des télécommunications, l’ARTCI s’est vue confiée de nouvelles prérogatives notamment : • Protection des données à caractère personnel; • Lutte contre la cybercriminalité; • Régulation des transactions électroniques; • Protection et sécurisation des réseaux et systèmes d’information CI-CERT (janv. 2020) est le point focal national en matière de cybersécurité et agit comme le principal centre de coordination de la réponse aux incidents de sécurité et la protection des infrastructures critiques nationales. Au plan international, il collabore avec tous les points focaux de l’écosystème des CERT. Maroc Article 38 : Autorité Nationale (DGSSI) coordonner les travaux relatifs à l’élaboration et à la mise en œuvre de la stratégie de l’Etat et veiller à l’application des orientations du comité stratégique de la cybersécurité ; maCERT (Moroccan Computer Emergency Response Team) est le centre de veille, détection et réponse aux attaques informatiques. La Direction de gestion de ce centre qui fait partie des quatre directions de la DGSSI est chargée de la mise en œuvre, en relation avec les autres administrations, de systèmes de veille, de détection, d'alerte des événements susceptibles d'affecter la sécurité des systèmes d'information de l'Etat et de la coordination de la réaction à ces événements

25. 25 3.3 - Gouvernance Europe Afrique Maroc SN : le Gouvernement du Sénégal mettra en place une structure nationale de la cybersécurité chargée de jouer un rôle moteur dans les questions de cybersécurité et de conduire la mise en œuvre et la coordination des initiatives relatives à la cybersécurité pour le Sénégal. L’Agence De l’Informatique de l’Etat (ADIE) est une structure autonome chargée de mettre en œuvre la politique d'informatisation de l’Etat du Sénégal. Sa mission principale est de doter l’Administration d’un dispositif cohérent de traitement et de diffusion de l’information, répondant aux normes internationales en matière de qualité, de sécurité, de performance et de disponibilité CSIRT de l’ADIE intervient sur un périmètre bien déterminé : l’intranet administratif. L’équipe doit activement s’impliquer dans la gestion de la cybersécurité, dans l'appropriation des connaissances nécessaires en matière de gestion proactive et réactive des incidents de cybersécurité, dans la mise en place des politiques nécessaires pour sa cybersécurité, ou encore la mise en pratique de méthodes de travail adéquates à une culture de la cybersécurité au sein de l’intranet administratif. .

26. 26 Gouvernance

27. 27 3.4 – Gouvernance - ARTIC

29. 29 4 – Organisations concernées Europe La Directive NIS s'applique à : OPÉRATEURS DE SERVICES ESSENTIELS (OES - Operators of Essential Services) implantés dans l'Union Européenne FOURNISSEURS DE SERVICE NUMÉRIQUE (DSP - Digital Service Providers) offrant des services à des personnes au sein de l'Union Européenne La Directive ne concerne pas les DSP considérés comme des petites entreprises ou des microentreprises (entreprises employant moins de 50 personnes dont le chiffre d’affaires annuel ou dont le bilan total est inférieur à 10 millions d’euros). FR : La cybersécurité des OIV s’intègre dans le dispositif interministériel plus large de sécurité des activités d’importance vitale (SAIV) inscrit dans le code de la défense. Ce dispositif a permis d’identifier les opérateurs d’importance vitale (OIV), privés et publics, qui exploitent ou utilisent des installations jugées indispensables pour la survie de la Nation. L’article 22 de la loi de programmation militaire (loi n° 2013-1168 du 18 décembre 2013), impose aux OIV le renforcement de la sécurité : les systèmes d’information d’importance vitale (SIIV). Afrique INFRASTRUCTURES CRITIQUES Chaque État Partie s’engage à adopter des mesures législatives et/ou réglementaires qu'il jugera nécessaires pour identifier les secteurs considérés comme sensibles pour sa sécurité nationale et le bien-être de l'économie et des systèmes technologies de l’information et de la communication désignés pour fonctionner dans ces secteurs comme constituant des infrastructures critiques de l'information, en proposant à cet égard une sanction plus sévère pour les activités criminelles sur les systèmes TIC dans ces secteurs et également des dispositions pour améliorer la vigilance, la sécurité et la gestion. CI : Protection du cyberespace, des systèmes d’information nationaux et des infrastructures critiques SN : renforcer la protection des infrastructures d'information critiques (IIC) et les systèmes d'information de l’Etat du Sénégal Maroc ENTITE : les administrations de l’état, les collectivités territoriales, les établissements et entreprises publics et toute autre personne morale de droit public IIV : Infrastructures d’importance vitale : les installation, les ouvrages et les systèmes qui sont indispensables au maintien des fonctions vitales de la société, de la santé, de la sûreté, de la sécurité et du bien-être économique ou social, et dont le dommage ou l’indisponibilité ou la destruction aurait un impact induisant la défaillance de ces fonctions OPERATEURS : les exploitants des réseaux publics de communication, les fournisseurs d’accès internet, les prestataires de cybersécurité, les prestataires de services numériques et les éditeurs de plateformes internet

31. 31 5 – Obligations Europe La directive UE repose sur un triple objectif : i) fixer des obligations aux États membres en matière de prévention et de gestion de risques et incidents touchant les réseaux et systèmes informatiques, ii) faciliter la coopération entre les États membres pour garantir l’harmonisation des règles de cybersécurité au sein de l’UE et, iii) établir des exigences en matière de sécurité pour “les acteurs du marché”. La LPM 2014-2019 française prévoit : les OIV ont l’obligation de mettre en œuvre des systèmes qualifiés de détection des évènements susceptibles d’affecter la sécurité de leurs systèmes d’information. A la charge des OIV, une obligation de déclarer sans délai au Premier ministre les incidents affectant le fonctionnement ou la sécurité de leurs SI. Les OIV doivent, d’une part respecter les règles et mesures de sécurité élaborées par le Premier ministre et, d’autre part soumettre leur SI à des audits destinés à vérifier le niveau de sécurité et le respect des règles de sécurité. Afrique MALABO Art.25 : Protection des infrastructures critiques Chaque État Partie s’engage à adopter des mesures législatives et/ou réglementaires qu'il jugera nécessaires pour identifier les secteurs considérés comme sensibles pour sa sécurité nationale et le bien-être de l'économie et des systèmes technologies de l’information et de la communication désignés pour fonctionner dans ces secteurs comme constituant des infrastructures critiques de l'information, en proposant à cet égard une sanction plus sévère pour les activités criminelles sur les systèmes TIC dans ces secteurs et également des dispositions pour améliorer la vigilance, la sécurité et la gestion. Maroc Voir obligations tableaux suivants ART. 17. Chaque entité ou infrastructure d’importance vitale informe l’autorité nationale de son responsable de la sécurité des systèmes d’information – identifier et analyser les enjeux et les risques de cybersécurité en tenant compte des évolutions réglementaires et techniques ; – définir les objectifs de cybersécurité en collaboration avec les parties prenantes et élaborer les mesures de sécurité appropriées – participer à l’élaboration et au suivi de la politique de sécurité des systèmes d’information en collaboration avec les parties prenantes ; – définir un plan d’actions annuel ou pluriannuel, pour la mise en œuvre de la politique de sécurité des systèmes d’information ; – assurer le suivi de la gestion des incidents de cybersécurité ; – rapporter régulièrement à sa hiérarchie les risques de sécurité des systèmes d’information – animer des sessions de sensibilisation au profit du personnel

32. 32 5 – Obligations

36. 36 6 - Sanctions Europe La Directive européenne précise que les Etats membres fixent eux-mêmes les sanctions applicables. Il est intéressant de souligner que le texte amendé par le Parlement européen dispose que lorsque les acteurs du marché ne respectent pas les obligations, mais qu’ils n’ont pas agi de manière intentionnelle ou à la suite d’une négligence grave, aucune sanction ne doit être prononcée FR Loi Programmation Militaire (LPM) 2014- 2019 sanctionne les manquements à la loi d’une amende de 150.000€, s’élevant à 750.000€ pour les personnes morales Afrique Convention Malabo Article 31 L’adaptation de certaines sanctions aux Technologies de l’Information et de la Communication 1. Sanctions pénales Les État Parties s’engagent à prendre des mesures nécessaires pour faire en sorte que les infractions prévues par la présente Convention soient passibles de sanctions pénales effectives, proportionnées et dissuasives. SN Article 431-8. Quiconque aura accédé ou tenté d’accéder frauduleusement à tout ou partie d’un système informatique, sera puni d’un emprisonnement de six (6) mois à trois (3) ans et d’une amende de 1.000.000 (1 500 €) à 10.000.000 francs (15 000 €) Maroc Voir détail tableau slide suivant MA Hébergement des données sensibles en dehors du territoire national, en violation de l’article 11 : 20 à 40 000 € Manque aux obligations de déclaration des incidents, en violation des dispositions prévues aux articles 8, 30 & 33 : 10 à 20 000 €

37. 37 6 – MA : Sanctions

38. Merci taieb.debbagh@abnaconseils.com Tél : +212 (0) 661 183517 38

Cybersécurité - Directives Régionales et Lois Nationales

Cybersécurité - Directives Régionales et Lois Nationales

Recomendados

Más contenido relacionado

Similar a Cybersécurité - Directives Régionales et Lois Nationales

Similar a Cybersécurité - Directives Régionales et Lois Nationales(20)

Último

Último(17)

Cybersécurité - Directives Régionales et Lois Nationales