Expert cybersécurité SDK Solution

• Certifié OSCP, CEH, ISO 27001 Lead Auditor
• +10 ans d'expérience en audit & pentest
• Formation dispensée dans +50 entreprises au Maroc
• Membre de la communauté maCERT

SDK Solution

Entreprise marocaine spécialisée en cybersécurité : audit, pentest, SOC, forensics, conformité et formation. Concepteur de CyberFaris et NodeAegis.

Objectifs de la formation

• Comprendre les cybermenaces actuelles avec des exemples concrets
• Adopter des comportements numériques sécurisés
• Reconnaître phishing, ransomware et ingénierie sociale
• Savoir réagir en cas d'incident de sécurité
• Maîtriser la protection des données (RGPD / Loi 09-08)
• Devenir ambassadeur cybersécurité dans son entreprise

Prérequis

Savoir utiliser un ordinateur et un navigateur web. Aucune compétence technique requise.

Secteurs les plus ciblés au Maroc

• Secteur bancaire — Phishing massif imitant CIH, Attijariwafa, BMCE, Banque Populaire
• Télécommunications — Maroc Telecom, Inwi, Orange visés par des hacktivistes et des APT
• Administrations publiques — CNSS, ministères, collectivités locales
• E-commerce & PME — Jumia.ma, Hmizate et des milliers de PME vulnérables
• Éducation — Universités et plateformes e-learning (OFPPT, UM5, UM6P)
• Santé — Hôpitaux publics et cliniques privées sans politique cyber

Institutions de cybersécurité au Maroc

• DGSSI — Direction Générale de la Sécurité des Systèmes d'Information (rattachée à l'Administration de la Défense Nationale)
• maCERT — Centre de réponse aux incidents informatiques, opérationnel 24h/7j
• CNDP — Commission Nationale de contrôle de la protection des Données à caractère Personnel
• Loi 05-20 — Loi relative à la cybersécurité (2020), applicable aux infrastructures d'importance vitale
• Loi 09-08 — Protection des données personnelles
• Décret 2-24-921 — Application de la Loi 05-20 pour les opérateurs d'importance vitale

Enjeux pour le Maroc

• Maroc Digital 2030 — La transformation numérique augmente la surface d'attaque
• Manque de 7 000 experts en cybersécurité au Maroc
• 80 % des PME marocaines n'ont aucune politique de cybersécurité
• Le e-Gov expose des millions de citoyens (Tadamun, Watiqa.ma, Achamil)

Top 5 des menaces en 2026

• Ransomware — Chiffrement + vol de données + menace de publication
• Phishing / Spear-phishing — Emails ciblés ultra-réalistes
• Attaques supply chain — Compromission via les fournisseurs
• Deepfakes IA — Voix et vidéo falsifiées
• Vol d'identité cloud — Compromission de comptes Microsoft 365/Google

Le Maroc en chiffres

• 52 millions de tentatives de cyberattaques en 2024
• Secteurs les plus ciblés : banques, telecom, administrations
• DGSSI : Directive Nationale de Sécurité des Systèmes d'Information
• maCERT : Centre de réponse aux incidents opérationnel 24/7

Pourquoi le Maroc est ciblé ?

• Position géopolitique — Hub Afrique/Europe, enjeux diplomatiques régionaux
• Transformation numérique rapide — Maroc Digital 2030, e-Gov, Smart Cities
• Secteur financier développé — Casablanca Finance City attire les cybercriminels
• Tensions régionales — Hacktivisme lié au conflit du Sahara, rivalités cyber avec des groupes algériens
• Faible maturité cyber des PME — 80 % sans politique de sécurité = cibles faciles

Groupes ciblant le Maroc

• JabaROOT DZ — Hacktiviste algérien, responsable de la fuite CNSS 2025
• Anonymous Algérie / Team_1919 — Défacements de sites gouvernementaux
• Storm-0539 — Groupe international ciblant les cartes de fidélité et paiement marocains
• FIN7 / Carbanak — Attaques sur le secteur bancaire africain dont le Maroc
• Scattered Spider — Télécom Maroc ciblé par vishing

Cartographie des attaques 2024-2026

Variantes du phishing

• Phishing classique — Email de masse imitant une banque, un service connu
• Spear-phishing — Email ciblé et personnalisé pour une personne spécifique
• Whaling — Ciblage des dirigeants (PDG, DG, DAF)
• Smishing — Phishing par SMS (« Votre colis est en attente... »)
• Vishing — Phishing vocal par téléphone
• Quishing — QR code malveillant
• Clone phishing — Copie d'un email légitime déjà reçu

Types de malwares

• Virus — Se propage en infectant d'autres fichiers
• Trojan (cheval de Troie) — Se déguise en logiciel légitime
• Spyware — Espion silencieux (keylogger, screenlogger)
• Worm — Se propage seul sur le réseau
• Rootkit — Se cache profondément dans le système
• Wiper — Détruit les données sans demander de rançon

Ransomware — Le business model criminel

• Simple extorsion — Chiffrement des fichiers → payer pour déchiffrer
• Double extorsion — Chiffrement + menace de publication des données
• Triple extorsion — + pression sur clients/partenaires de la victime
• RaaS — Ransomware-as-a-Service : les développeurs louent leur outil à des « affiliés »

6 principes de manipulation (Cialdini)

• Urgence — « Votre compte sera bloqué dans 2h ! »
• Autorité — « C'est le DG qui demande ce virement »
• Réciprocité — « Je vous ai aidé, rendez-moi ce service »
• Rareté — « Offre exclusive, dernière chance ! »
• Sympathie — Se faire passer pour un collègue amical
• Preuve sociale — « Tous vos collègues ont déjà validé »

Techniques terrain

• Prétexting — Inventer un scénario crédible pour obtenir des infos
• Baiting — Clé USB « perdue » dans le parking
• Tailgating — Suivre quelqu'un pour entrer dans un bâtiment sécurisé
• Quid pro quo — Offrir de l'aide en échange d'un accès
• Shoulder surfing — Regarder par-dessus l'épaule pour lire un mot de passe
• Dumpster diving — Fouiller les poubelles pour trouver des documents

Deepfakes & IA — La nouvelle arme

L'IA générative permet de créer des voix et vidéos falsifiées indétectables à l'œil nu.

• Clonage vocal avec 3 secondes d'audio
• Deepfake vidéo en temps réel sur Teams/Zoom
• Emails de phishing hyper-personnalisés écrits par ChatGPT
• Faux profils LinkedIn avec photos générées par IA

Smishing — Les SMS frauduleux au Maroc

• « Maroc Telecom » — « Votre facture de 847 MAD est impayée. Payez sous 24h pour éviter la coupure » + lien frauduleux
• « Barid Bank » — « Votre carte est bloquée. Confirmez vos données sur baridbank-secure.com » (faux domaine)
• « CIH Bank » — « Activité suspecte sur votre compte. Vérifiez immédiatement »
• « CNSS » — « Votre attestation est prête. Téléchargez-la ici » (fichier malveillant)
• « Amana / La Poste » — « Votre colis est en attente. Frais de livraison : 12 MAD »

Arnaques WhatsApp au Maroc

• Faux concours — « Marjane offre 5000 MAD de bons d'achat » → formulaire voleur de données
• Arnaque à la loterie — « Vous avez gagné le tirage spécial Mohammed VI »
• Faux support technique — « Je suis de Inwi, votre ligne va être coupée »
• Arnaque à l'emploi — « Offre d'emploi ONCF/RAM — Envoyez votre CIN et CV »
• Piège sentimental — Faux profils Facebook/Instagram ciblant des victimes marocaines pour des transferts Western Union

Vishing — appels frauduleux ciblant le Maroc

• « Bonjour, je suis de la police économique. Votre compte est impliqué dans un blanchiment. Donnez-moi vos coordonnées »
• « Service technique CIH Bank. Nous détectons une fraude sur votre carte. Confirmez le code reçu par SMS » → vol du OTP
• « DGSN : Votre CIN est expirée. Payez le renouvellement en ligne »
• Technique du « faux fils arrêté » — « Votre fils est au commissariat. Envoyez 10 000 MAD pour sa libération »

Faux sites e-commerce marocains

• Copies de Jumia.ma, Hmizate.ma, Marjane.ma
• Produits « en promotion exceptionnelle » — prix trop bas pour être réels
• Paiement par carte puis aucune livraison
• Données de carte bancaire revendues sur le dark web
• Vérifier le domaine exact et chercher le certificat

Cas CNSS — Avril 2025 (Détail)

Contexte : La CNSS gère les données sociales de tous les salariés du secteur privé au Maroc.

Attaquant : JabaROOT DZ (groupe hacktiviste algérien)

Motivation : Géopolitique (tensions régionales)

Données exfiltrées :

• 1,9 million de salariés marocains
• 500 000 entreprises
• CIN, noms complets, salaires détaillés
• RIB bancaires, numéros d'affiliation
• Historique des déclarations sociales

Publication : Fichiers CSV publiés sur Telegram en accès libre

Impact : Risque d'usurpation d'identité pour des millions de Marocains. Panique nationale. Enquête DGSSI.

Cas Maroc Telecom — Smishing massif 2024

Vecteur : Campagne de SMS imitant Maroc Telecom

Technique :

• SMS : « Facture IAM impayée de 847,50 MAD. Délai : 24h avant coupure »
• Lien vers iam-paiement-facture.com (faux domaine)
• Page clone parfaite du portail de paiement IAM
• Demande de numéro de carte CMI ou Visa
• Milliers de cartes compromises en 72h

Leçon : IAM/Maroc Telecom ne demande JAMAIS de paiement par SMS avec un lien. Toujours aller directement sur iam.ma

Cas phishing banques marocaines (2024-2026)

• CIH Bank — Faux emails « mise à jour de sécurité » renvoyant vers un clone du portail CIH Online
• Attijariwafa Bank — Faux site attijari-online-sec.com collectant les codes d'accès
• BMCE / Bank of Africa — SMS « compte bloqué » avec lien vers un faux portail
• Banque Populaire — Campagne WhatsApp avec faux PDF « Relevé de compte » (malware)
• Barid Bank — Cible privilégiée car forte base de clients non-bancaraisés, moins sensibilisés

Les PIRES mots de passe (encore utilisés en 2025)

Comment créer un mot de passe FORT

• Méthode phrase secrète : « MonChat!Mange3Poissons@Midi » — facile à retenir, impossible à deviner
• Minimum 14 caractères avec majuscules, chiffres, symboles
• Unique pour chaque compte — JAMAIS réutiliser
• Gestionnaire de mots de passe : Bitwarden (gratuit), KeePass, 1Password

Authentification Multi-Facteurs (MFA)

• SMS — Mieux que rien, mais interceptable (SIM swapping)
• App TOTP — Google Authenticator, Microsoft Authenticator (recommandé)
• Clé physique FIDO2 — YubiKey (le plus sûr)
• Passkeys — Le futur : Apple, Google, Microsoft les déploient

Les 10 réflexes pour identifier un email suspect

• 1. Vérifier l'expéditeur — Le nom affiché ≠ l'adresse réelle (survoler !)
• 2. Analyser l'URL — Survoler AVANT de cliquer. Domaine correct ?
• 3. Urgence suspecte — « Action requise sous 24h » = alerte rouge
• 4. Fautes d'orthographe — Même si les IA font moins de fautes…
• 5. Pièce jointe inattendue — .exe, .scr, .js, .docm = DANGER
• 6. Demande inhabituelle — Virement, mot de passe, données personnelles
• 7. Design approximatif — Logos flous, mise en page différente
• 8. Salutation générique — « Cher client » au lieu de votre nom
• 9. Lien raccourci — bit.ly, tinyurl = impossible de voir la destination
• 10. Trop beau pour être vrai — « Vous avez gagné un iPhone ! »

BEC — Business Email Compromise

L'arnaque au président / fraude au virement :

• Le « DG » envoie un email urgent demandant un virement
• Adresse quasi-identique : entreprise-ma.com vs entreprisé.ma
• Pression psychologique : confidentialité, urgence, autorité
• Pertes moyennes : 125 000 $ par incident (FBI)

Messageries : WhatsApp, Telegram, Signal

• WhatsApp — Chiffré E2E mais méta-données collectées par Meta
• Telegram — NON chiffré par défaut ! Activer « Chat Secret »
• Signal — Le plus sécurisé, recommandé par les experts
• Règle : ne JAMAIS envoyer de mot de passe ou données sensibles par messagerie

M-Wallet & paiement mobile au Maroc

Avec le développement de M-Wallet (Inwi Money, Orange Money, MT Cash), les arnaques se multiplient :

• Faux SMS de remboursement — « Vous avez un remboursement de 500 MAD. Confirmez sur ce lien »
• QR codes piégés — Collés dans les cafés et restaurants pour voler les données de paiement
• Fraude « Transfert d'argent » — « J'ai fait un transfert par erreur. Renvoyez-moi 2000 MAD » (il n'y a jamais eu de transfert)
• Interception OTP — Appel de « la banque » demandant le code SMS reçu = vol du code 3D Secure

Sécurité des paiements en ligne au Maroc

• Toujours vérifier l'URL : le site marchand doit être .ma et avoir un certificat SSL valide
• Privilégier la carte virtuelle CMI (e-carte) pour les achats en ligne
• Activer les notifications SMS pour chaque transaction
• Ne JAMAIS partager le code 3D Secure reçu par SMS
• Signaler les fraudes au Centre Monétique Interbancaire (CMI)

Phishing par email — Modèles marocains

Exemples réels de phishing ciblant le Maroc :

• Faux email DGI : « Votre déclaration fiscale présente une anomalie. Régularisez sous 48h »
• Faux email CNSS : « Téléchargez votre attestation d'immatriculation » [malware joint]
• Faux email ANAPEC : « Offre d'emploi correspondant à votre profil. Envoyez vos documents »
• Faux email RAM : « Votre billet Casablanca-Paris a été modifié. Confirmez vos données »
• Faux email assurance : « Votre contrat CNMA arrive à expiration. Renouvelez en ligne »

Chiffres des fraudes au Maroc

HTTPS ≠ Sécurité totale

Le cadenas HTTPS signifie que la connexion est chiffrée, PAS que le site est légitime.

• 82 % des sites de phishing utilisent HTTPS en 2025
• Certificats SSL gratuits (Let's Encrypt) utilisés par les attaquants
• Toujours vérifier le domaine complet dans la barre d'adresse

Téléchargements piégés

• Drive-by download — Infection automatique en visitant un site compromis
• Fausses mises à jour — « Votre Chrome est obsolète, cliquez ici »
• Logiciels crackés — 90 % contiennent des malwares
• Toujours télécharger depuis le site officiel

WiFi public — Les risques réels

• Evil Twin — Faux point d'accès WiFi imitant le réseau légitime (« Café_WiFi_Free »)
• Man-in-the-Middle — L'attaquant intercepte tout le trafic entre vous et le routeur
• Packet sniffing — Capture des identifiants sur les connexions non chiffrées

✓ Règles de sécurité WiFi public :

• Toujours utiliser un VPN sur les réseaux publics
• Ne JAMAIS accéder à la banque en ligne sur un WiFi public
• Désactiver la connexion WiFi automatique
• Préférer le partage de connexion 4G/5G

Extensions de navigateur malveillantes

• Un simple addon Chrome peut lire TOUS vos mots de passe
• Permissions excessives : « Lire et modifier vos données sur tous les sites »
• N'installer que des extensions connues et vérifiées
• Vérifier régulièrement les extensions installées

7 règles pour un poste sécurisé

• 1. Mises à jour immédiates — « Rappeler demain » = fenêtre ouverte pour les hackers. 60 % des failles exploitées ont un correctif disponible
• 2. Verrouillage automatique — 5 min max. Windows: Win+L / Mac: Ctrl+Cmd+Q
• 3. Chiffrement du disque — BitLocker (Windows) / FileVault (Mac) activé
• 4. Antivirus à jour — Windows Defender suffit si bien configuré
• 5. Pas de logiciel cracké — Jamais. Utiliser des alternatives open source
• 6. Séparation pro/perso — Comptes séparés, appareils séparés si possible
• 7. Sauvegardes — Règle 3-2-1 : 3 copies, 2 supports, 1 hors site

Cloud : Google Drive, OneDrive, Dropbox

• Liens « Tout le monde avec le lien » — Accessible par quiconque, y compris les moteurs de recherche
• Partage ciblé — Toujours partager avec des adresses spécifiques
• Vérifier les partages actifs — Auditer régulièrement qui a accès
• Données sensibles — Ne JAMAIS stocker mots de passe, données clients ou financières dans des fichiers partagés non chiffrés

Règle de sauvegarde 3-2-1

• 3 copies de vos données
• 2 supports différents (disque dur + cloud)
• 1 copie hors site (cloud ou site distant)
• Tester la restauration au moins 1x par trimestre

Qu'est-ce que le Shadow IT ?

Le Shadow IT, c'est l'utilisation de services informatiques non approuvés par le service IT :

• Gmail / Yahoo Mail personnel pour envoyer des documents pro
• WeTransfer / Google Drive perso pour partager des fichiers clients
• WhatsApp pour envoyer des mots de passe ou des RIB
• ChatGPT / IA gratuite pour analyser des données confidentielles
• Clés USB personnelles non chiffrées
• Applications installées sans validation IT (VPN gratuit, cracks)

Fuites involontaires fréquentes au Maroc

• Partage Google Drive « Tout le monde » — Budgets, contrats, fichiers clients indexés par Google
• Document Word avec métadonnées — Nom d'auteur, chemin C:\Users\Ahmed\... visible dans le PDF
• Photo avec EXIF — Coordonnées GPS intégrées dans les photos de bureau publiées sur LinkedIn
• Email transféré « Forward » — Historique complet de conversation interne envoyé à un tiers
• Fichier Excel avec onglets cachés — Données confidentielles dans un onglet « masqué » mais pas protégé

Règles anti-Shadow IT

• Utiliser uniquement les outils validés par le SI
• Ne JAMAIS coller de données confidentielles dans une IA publique
• Vérifier les liens de partage cloud : « Restreint », pas « Tout le monde »
• Nettoyer les métadonnées avant d'envoyer (Propriétés → Supprimer informations)
• Signaler tout besoin d'outil au SI — ils trouveront une alternative sécurisée

Déroulement de la simulation

• Étape 1 : Un email de phishing simulé est envoyé aux participants via GoPhish
• Étape 2 : Observation : qui ouvre ? Qui clique sur le lien ? Qui saisit ses identifiants ?
• Étape 3 : Analyse des résultats en temps réel sur le tableau de bord
• Étape 4 : Décryptage collectif de chaque indice manqué

Les 12 indices d'un email de phishing

• Adresse email de l'expéditeur suspecte
• Domaine légèrement modifié (typosquatting)
• Objet alarmiste ou trop tentant
• Salutation non personnalisée
• Fautes d'orthographe ou de grammaire
• Lien qui ne correspond pas au texte affiché
• Pièce jointe inattendue
• Demande d'information sensible
• Ton d'urgence ou de menace
• Design ou logo imparfait
• Absence de signature professionnelle standard
• Provenance inhabituelle (service que vous n'utilisez pas)

Exemples d'emails analysés

Email 1 : « Votre mot de passe Microsoft 365 expire dans 24h — Cliquez ici pour le renouveler »

→ Microsoft ne demande JAMAIS de renouveler un mot de passe par email

Email 2 : « Facture impayée n°47392 — Voir le document ci-joint » [facture.pdf.exe]

→ Double extension = exécutable déguisé en PDF

Email 3 : « DHL : Votre colis est bloqué en douane — Payez 2,50€ pour le débloquer »

→ DHL ne demande jamais de paiement par email avec un lien

Email 4 : « RH : Veuillez mettre à jour vos informations bancaires pour le virement de salaire »

→ Toujours vérifier par un autre canal (appel, visite au bureau RH)

Cadre juridique marocain

Contacts & ressources essentiels

• Votre RSSI / Service IT → Premier réflexe en cas d'incident
• maCERT → incident@macert.ma — Tél : 05 37 57 24 65
• DGSN (Police) → Brigade de lutte contre la cybercriminalité
• CNDP → contact@cndp.ma — Déclaration de traitement
• BAM (Bank Al-Maghrib) → Fraude bancaire, signalement carte
• ANRT → Arnaques télécom, smishing, usurpation numéros

L'IA au service des hackers

• Phishing IA — ChatGPT rédige des emails sans fautes, personnalisés, dans toutes les langues
• Code malveillant — IA génère des malwares polymorphes, indétectables par les antivirus classiques
• Deepfakes vocaux — Clonage de voix avec 3 secondes d'audio. Appels téléphoniques indétectables
• Deepfakes vidéo — Fausses visioconférences en temps réel sur Teams/Zoom
• Reconnaissance automatisée — IA analyse LinkedIn, Facebook, Instagram pour créer des profils de cible

Quishing — QR codes malveillants

• Faux QR codes collés sur des parcmètres, restaurants, affiches
• Redirigent vers des sites de phishing mobile
• Exploitent la confiance : « Scanner pour voir le menu »
• +587 % d'attaques par QR code en 2024 (Abnormal Security)

✓ Toujours vérifier l'URL affichée avant d'ouvrir un lien depuis un QR code

Supply Chain Attacks

Quand votre fournisseur devient le vecteur d'attaque :

• SolarWinds (2020) — 18 000 organisations compromises via une mise à jour logicielle piégée
• 3CX (2023) — Application de téléphonie VoIP compromise, des millions d'utilisateurs affectés
• PyPI / npm (2024-2025) — Packages open source empoisonnés, installés par des développeurs sans le savoir
• xz-utils (2024) — Backdoor insérée dans un outil Linux par un contributeur infiltré pendant 2 ans

Prompt Injection — Attaquer l'IA

• Manipuler un chatbot IA pour qu'il révèle ses instructions secrètes
• Contourner les filtres de sécurité avec des prompts crafted
• Empoisonnement de données d'entraînement → l'IA donne de mauvaises réponses
• Risque pour les entreprises utilisant des IA internes (fuites de données)

Scénarios deepfake au Maroc

• Faux appel PDG/DG — Virement urgent, changement de RIB fournisseur. +340% d'incidents BEC-IA au Maroc en 2024
• Fausse visioconférence — Un « partenaire » sur Teams demande des accès VPN. Cas à Tanger Free Zone (2025)
• Vidéo deepfake politique — Fausse déclaration gouvernementale diffusée sur WhatsApp, 2M de vues en 4h
• Arnaques sentimentales — Faux profils avec photos/voix générées, ciblant la diaspora marocaine
• Faux support bancaire — Appel IA imitant un conseiller CIH/AWB demandant les codes 3D Secure

Phishing IA — Nouvelle génération

• Emails parfaits en darija/français — Plus aucune faute d'orthographe, ton professionnel adapté au contexte marocain
• Personnalisation massive — L'IA analyse LinkedIn + Facebook pour créer des emails ultra-ciblés mentionnant le poste, l'entreprise, le dernier post
• Traduction en temps réel — Attaques en arabe dialectal (darija) impossibles avant 2024
• Phishing vocal (vishing IA) — Robot qui appelle en se faisant passer pour Maroc Telecom, CNSS, DGI
• Chatbots malveillants — Faux chatbot support de Wafacash ou CIH sur WhatsApp

Protocole anti-deepfake entreprise

Scénario

Votre entreprise vient d'être attaquée par un ransomware. L'écran de rançon est apparu sur le poste du directeur. Vous avez 60 minutes pour :

• Retrouver la source de l'attaque
• Identifier l'email de phishing d'origine
• Décrypter des messages encodés (Base64, César)
• Reconstituer la chronologie de la kill chain
• Appliquer les 5 réflexes de réponse à incident
• Sauver les données de l'entreprise !

Organisation

• Équipes de 4-5 personnes
• Dossier d'investigation fourni (emails, logs, captures d'écran)
• Indices cachés dans les documents
• Chronomètre projeté au mur
• Ambiance sonore « salle de crise »

Les 5 épreuves

• Épreuve 1 : Analyser 5 emails et trouver lequel est le phishing d'origine
• Épreuve 2 : Décoder un message du hacker (Base64 → texte clair)
• Épreuve 3 : Reconstituer la timeline de l'attaque à partir des logs
• Épreuve 4 : Trouver le mot de passe du serveur C2 (indice caché dans les métadonnées d'une image EXIF)
• Épreuve 5 : Appliquer la procédure de réponse à incident correcte (remplir la fiche de signalement)

Objectifs pédagogiques

• Appliquer les connaissances des jours 1 et 2 en situation réelle
• Développer le travail d'équipe face à une crise
• Ancrer les réflexes dans la mémoire par l'expérience
• Apprendre par le jeu = rétention 3× supérieure à la théorie

Qu'est-ce qu'une donnée personnelle ?

Toute information permettant d'identifier une personne directement ou indirectement :

• Directe : Nom, prénom, CIN, email nominatif
• Indirecte : Adresse IP, géolocalisation, n° de téléphone
• Sensibles : Santé, religion, opinions politiques, biométrie, origine ethnique

Loi marocaine 09-08

• Adoptée en 2009, appliquée par la CNDP
• Obligation de déclarer les traitements de données
• Consentement obligatoire des personnes
• Droit d'accès, rectification et opposition
• Transfert hors Maroc : autorisation CNDP requise
• 47 entreprises sanctionnées par la CNDP en 2024

RGPD — Ce que chaque employé doit savoir

• Minimisation : Ne collecter que les données strictement nécessaires
• Limitation : Ne conserver les données que le temps nécessaire
• Sécurité : Protéger les données par des mesures techniques et organisationnelles
• Notification : Signaler toute violation dans les 72h
• Droits des personnes : Accès, rectification, effacement, portabilité
• Sanctions : Jusqu'à 20 M€ ou 4 % du CA mondial

Le rôle du DPO

Le Data Protection Officer (DPO) est votre référent :

• Consulter avant tout nouveau traitement de données
• Signaler toute fuite ou incident de données
• Demander conseil sur le partage/stockage de données
• Il est obligatoire dans les organismes publics et les grandes entreprises

Vos obligations au quotidien

• Ne jamais envoyer de données personnelles par email non chiffré
• Verrouiller l'écran quand vous quittez votre poste
• Détruire les documents papier (broyeuse)
• Ne pas stocker de données sur des clés USB non chiffrées

Cas de sanctions Maroc

Obligations entreprise Loi 09-08

• Déclaration préalable — Tout traitement de données doit être déclaré à la CNDP avant mise en œuvre
• Finalité déterminée — Données collectées uniquement pour l'objet déclaré
• Consentement éclairé — Le citoyen doit savoir et accepter (case non pré-cochée)
• Durée de conservation — Fixée et respectée (pas de conservation illimitée)
• Sécurité des données — Mesures techniques proportionnées au risque
• Transfert hors Maroc — Autorisation CNDP obligatoire
• Droits des personnes — Accès, rectification, opposition dans un délai de 10 jours

Erreurs fréquentes des PME marocaines

• Pas de déclaration CNDP (80% des PME en infraction)
• Formulaire contact web sans mention légale CNDP
• Caméras de surveillance sans déclaration
• Base clients Excel partagée par email/WhatsApp
• Données RH stockées sur Google Drive personnel
• Pas de procédure de suppression à la demande

Risques du smartphone

• Applications malveillantes — Même sur Google Play et App Store (faux positifs, apps clonées)
• Permissions excessives — Pourquoi une « lampe torche » a besoin de vos contacts ?
• SMS/MMS piégés — Liens raccourcis menant à des sites de phishing
• Bluetooth — Désactiver quand non utilisé (BlueBorne, KNOB attacks)
• Vol/perte — Toujours activer le verrouillage, Find My, chiffrement

Télétravail sécurisé — 8 règles

• 1. Toujours utiliser le VPN de l'entreprise
• 2. Environnement de travail dédié (pas le PC familial)
• 3. Sécuriser le WiFi domestique (WPA3, mot de passe fort)
• 4. Ne pas imprimer de documents sensibles à la maison
• 5. Verrouiller l'écran même à la maison (enfants, visiteurs)
• 6. Ne pas utiliser de services perso pour le travail (Gmail perso, WeTransfer)
• 7. Appels confidentiels : vérifier l'environnement (pas de café, coworking)
• 8. Signaler tout comportement suspect, même en télétravail

Réseaux sociaux — OPSEC

Ce qu'il ne faut JAMAIS publier :

• Photo de votre badge d'entreprise
• Capture d'écran avec des emails visibles
• Photo de votre poste de travail (post-its, écrans en arrière-plan)
• Organigramme de l'entreprise
• Détails sur les outils/logiciels utilisés
• Planning de voyages d'affaires (avant le voyage)

→ Les attaquants utilisent LinkedIn, Facebook et Instagram pour leur reconnaissance

Voyages d'affaires

• Emporter un appareil « jetable » si possible
• Ne jamais laisser son laptop sans surveillance
• WiFi hôtel / aéroport → VPN obligatoire
• Certains pays pratiquent l'inspection des appareils aux frontières
• Désactiver Bluetooth et AirDrop dans les lieux publics

Évaluation complète

• 50 QCM couvrant tous les modules
• Exercice pratique : identifier 10 emails (5 légitimes / 5 phishing)
• Scénarios situationnels : « Que feriez-vous si… ? »
• Score ≥ 70 % → Certificat de sensibilisation SDKSENS

Votre Plan de Sécurité Personnel — 10 actions

• Installer un gestionnaire de mots de passe (Bitwarden)
• Activer le MFA sur tous vos comptes critiques
• Vérifier vos emails sur Have I Been Pwned
• Activer le chiffrement de disque (BitLocker/FileVault)
• Mettre à jour système, navigateur et antivirus
• Configurer le verrouillage automatique (5 min max)
• Auditer les permissions de vos applications mobiles
• Sécuriser votre WiFi domestique (WPA3 + mot de passe fort)
• Sauvegarder vos données (règle 3-2-1)
• Former au moins un collègue sur les réflexes anti-phishing

Ressources pour aller plus loin

• ANSSI (France) — www.ssi.gouv.fr — Guides et bonnes pratiques
• maCERT (Maroc) — www.macert.ma — Alertes et incidents
• DGSSI (Maroc) — www.dgssi.gov.ma — Directive nationale
• Have I Been Pwned — haveibeenpwned.com — Vérifier les fuites
• VirusTotal — virustotal.com — Scanner fichiers/liens suspects
• PhishTank — phishtank.com — Base de données de phishing
• OWASP — owasp.org — Sécurité des applications web

Devenir ambassadeur cybersécurité

• Partager les bonnes pratiques avec vos collègues
• Signaler les comportements à risque (bienveillance, pas de délation)
• Participer aux futures campagnes de simulation
• Proposer des améliorations au RSSI

Certificat SDKSENS

Remise des certificats de sensibilisation à la cybersécurité. Signature de la charte d'engagement. Chaque participant repart avec :

• ✓ Certificat SDKSENS personnel
• ✓ Guide de bonnes pratiques PDF
• ✓ Checklist sécurité quotidienne
• ✓ Accès à la plateforme de ressources SDKSENS