La cybersécurité progresse au sein des entreprises marocaines, portée par une implication croissante des directions générales et une hausse des investissements. C’est l’un des principaux enseignements de la troisième édition de l’AUSIMètre, le baromètre annuel réalisé par PwC au Maroc et l’Association des Utilisateurs des Systèmes d’Information au Maroc (AUSIM). Si l’étude met en évidence une amélioration de la gouvernance cyber, elle souligne également l’apparition de nouveaux risques liés à l’intelligence artificielle, au cloud et aux technologies quantiques.
Réalisée auprès de 62 grandes entreprises et PME marocaines, cette édition 2026, placée sous le thème « De la défense à l’anticipation : la cybersécurité marocaine entre dans une nouvelle ère », dresse un état des lieux de la maturité numérique des organisations du Royaume et identifie les principaux défis auxquels elles sont confrontées. Les résultats ont été rassemblés dans un Livre blanc destiné à accompagner les entreprises dans le renforcement de leur résilience numérique.
L’étude met en évidence une amélioration du niveau global de maturité en cybersécurité. L’indice global atteint désormais 56 %, marquant le passage d’un niveau qualifié « En développement » à un niveau « Défini ».
Cette évolution s’accompagne d’un engagement accru des instances dirigeantes. Ainsi, 74 % des directions générales participent désormais aux décisions liées à la cybersécurité, contre 55 % un an auparavant. Parallèlement, plus de la moitié des entreprises interrogées (56 %) consacrent désormais plus de 5 % de leur budget informatique à la cybersécurité, un niveau qui rejoint les pratiques observées à l’international.
Selon les auteurs du rapport, cette évolution traduit un changement de perception : la cybersécurité n’est plus considérée comme une simple contrainte technique ou réglementaire, mais comme un enjeu stratégique intégré à la gouvernance des organisations. Les exigences réglementaires nationales, notamment la loi 05-20 et les directives de la Direction générale de la sécurité des systèmes d’information (DGSSI), contribuent également à cette structuration.
Mohamed Saad, président de l’AUSIM, estime que le cyberespace est désormais devenu un élément central du fonctionnement des économies modernes. Il souligne que les entreprises marocaines renforcent progressivement leur gouvernance, tout en rappelant que des défis importants demeurent, notamment en matière de souveraineté numérique et de développement des compétences.
Malgré ces progrès, le rapport met en lumière plusieurs « risques asymptomatiques », c’est-à-dire des vulnérabilités encore peu visibles mais susceptibles de produire des effets importants à moyen et long terme.
Le premier concerne l’intelligence artificielle. Si les entreprises reconnaissent largement son potentiel, les mécanismes de gouvernance restent encore insuffisamment développés, favorisant notamment le phénomène de « Shadow AI », caractérisé par l’utilisation non encadrée d’outils d’intelligence artificielle au sein des organisations.
Le deuxième risque identifié porte sur la dépendance croissante aux infrastructures cloud. De nombreuses entreprises ne disposent toujours pas de plans de réversibilité leur permettant de changer de fournisseur ou de récupérer leurs données en cas de besoin.
Enfin, l’étude attire l’attention sur la montée de la menace quantique, dont les conséquences potentielles sur les systèmes de chiffrement restent encore peu anticipées par les organisations marocaines. À ces défis technologiques s’ajoute une pénurie persistante de profils qualifiés en cybersécurité, qui limite les capacités d’innovation et de résilience des entreprises.
Pour Jamal Basrire, associé chez PwC et responsable Cloud Transformation & Cyber pour la France et le Maghreb, l’année 2026 marque l’entrée dans une nouvelle phase où l’intelligence artificielle malveillante accélère considérablement les capacités offensives des cyberattaquants.
Il relève par ailleurs l’existence d’une forte hétérogénéité entre les entreprises marocaines : près de 37 % affichent un niveau de maturité élevé et investissent massivement dans la cybersécurité, tandis qu’environ 30 % demeurent dans une situation plus fragile.
Dans ce contexte, il estime que l’externalisation de certaines fonctions spécialisées, comme les centres opérationnels de sécurité (SOC) ou les tests d’intrusion, constitue une solution pertinente, en particulier pour les PME qui représentent près des deux tiers de l’échantillon étudié. Il souligne toutefois que cette externalisation ne doit pas conduire les entreprises à abandonner leur pilotage stratégique, celui-ci devant rester sous leur responsabilité.
Afin d’accompagner les organisations face à ces nouveaux défis, le rapport formule plusieurs recommandations à destination des comités exécutifs.
Les auteurs préconisent d’abord de renforcer les compétences disponibles en développant des programmes de reconversion professionnelle et en ouvrant les métiers de la cybersécurité à des profils non issus des filières informatiques, avec l’appui de l’intelligence artificielle.
Ils recommandent également d’intégrer dès aujourd’hui des exigences de crypto-agilité et de résistance aux futures technologies quantiques dans les nouveaux projets technologiques.
Enfin, ils appellent les entreprises à renforcer leur gouvernance de l’intelligence artificielle et du cloud, notamment en cartographiant les usages, en définissant des politiques internes adaptées et en testant régulièrement leurs plans de sortie des infrastructures cloud.
LNT
