CNSS, cybersécurité et gouvernance : regards croisés du DG Atlas et du senior advisor DSI de Atlas

Suite aux récents événements ayant affecté la CNSS, la question de la cybersécurité et de la gouvernance numérique s’impose avec acuité dans le débat public. Au-delà du secteur public, cet incident soulève de profondes interrogations pour les grandes entreprises privées : sont-elles prêtes à faire face à une crise cyber ? Disposent-elles d’une gouvernance suffisamment robuste ?

Pour y répondre, La Nouvelle Tribune a croisé les regards de deux experts du management de transition exécutif, Amine Belkeziz, Directeur Général d’Atlas Transition, et Michel Devos, Senior Advisor IT du cabinet.

Atlas Transition est un cabinet de conseil opérationnel qui mobilise, sur des périodes critiques, des dirigeants de transition expérimentés capables de piloter temporairement des fonctions stratégiques — IT, finance, opérations, RH — en contexte de transformation ou de crise.

Dans un contexte marocain où la prise de conscience des enjeux IT progresse rapidement, notamment au sein des directions générales, ils proposent ici une lecture directe et constructive des leviers dont disposent les COMEX pour anticiper, piloter et renforcer leur résilience numérique.

L’affaire CNSS a marqué les esprits. Mais en quoi concerne-t-elle directement les grandes entreprises privées ?

Amine Belkeziz :
Ce n’est pas une histoire de bug ou de panne. C’est une alerte sérieuse sur la gouvernance. La CNSS avait des outils, des prestataires, un système d’alerte… mais personne ne tenait la barre. Et ça, je le vois souvent dans les entreprises marocaines : tout est là, sauf le pilotage global.
Michel Devos :
Et ce n’est pas un cas isolé. On est face à un vrai phénomène. Les entreprises sont souvent très équipées — parfois même trop — mais sans direction claire. Les DSI sont coupés des enjeux métiers. Les comités d’audit se rassurent avec un rapport… alors qu’en réalité, ce n’est pas le papier qui compte, c’est la capacité à réagir vite. Et ça, c’est une question de gouvernance.

Où est le vrai problème selon vous ? Les moyens ? La culture ? Le pilotage ?

Amine Belkeziz :
Les moyens, on les a. Ce qui manque, c’est l’intégration de la cybersécurité au bon niveau décisionnel. On ne peut plus traiter ça comme un sujet purement IT. C’est un enjeu de COMEX. Le jour où ça explose, ce n’est pas le DSI qu’on regarde, c’est le DG.
Michel Devos :
Oui, mais il faut éviter l’effet inverse aussi : trop de contrôle tue l’action. Si le COMEX veut tout verrouiller, on ralentit tout. Il faut apprendre à déléguer intelligemment. Un RSSI bien mandaté, avec les bons moyens, peut devenir un véritable levier. Mais encore faut-il lui donner la légitimité.

Que peut faire un COMEX, concrètement, sans tomber dans une usine à gaz ?

Amine Belkeziz :
Trois choses simples à mettre en place :
1. Désigner un sponsor cybersécurité au sein du COMEX — pas dans l’IT, mais côté DG, DAF ou COO.
2. Exiger un plan de réponse activable en 48 heures. Pas un fichier Word qui dort dans un dossier.
3. Organiser une simulation de crise, même minimaliste. L’important, c’est de tester les réflexes.
Michel Devos :
Je rajoute un point souvent négligé : impliquer les fonctions métiers. En cas de crise, ce sont la DRH, la Communication et le Juridique qui montent en première ligne. Pas juste le CTO. Et ça, il faut l’anticiper. Ces équipes doivent apprendre à bosser ensemble avant que la crise n’éclate.

Vous avez des exemples vécus dans des entreprises marocaines ?

Amine Belkeziz :
Trois cas récents :
• Industrie : fuite de documents RH, tensions sociales, menace syndicale. Le COMEX n’avait aucun protocole. L’IT, de son côté, se dédouanait.
• Banque régionale : 72 heures de panne sur l’e-banking. Et personne n’a relevé la crise.
• Retail : une fusion de données clients, phishings ciblés sur les VIP. Résultat : 8 % de CA en moins.
Michel Devos :
Dans tous ces cas, ce n’est pas la faille technique qui a fait mal. C’est le manque de réactivité, l’absence de message cohérent, les cafouillages internes. Et ça, c’est 100 % une question de gouvernance.

Structurer une gouvernance cyber, combien ça coûte ? Et l’inaction, combien coûte-t-elle ?

Amine Belkeziz : Un incident mal géré peut coûter des millions : perte de chiffre d’affaires, clients stratégiques qui s’en vont, tension sociale, image abîmée… Pour moins de 500 000 dirhams, on peut structurer un dispositif solide, qui sécurise la continuité et renforce la crédibilité externe. C’est un investissement, pas une dépense.
Michel Devos : Et le vrai sujet, c’est la perception. J’ai vu deux entreprises vivre le même type de fuite. L’une avait un plan, une communication prête, un COMEX aligné. Elle en est sortie renforcée. L’autre ? Désengagement des actionnaires. Structurer, ce n’est pas juste se protéger. C’est valoriser son leadership.

À savoir – Ce que dit le droit

En cas d’incident, l’inaction peut coûter cher.
• Loi 09-08 (CNDP) : obligation de protéger les données.
• Directive 2023 : recommandations renforcées pour la gestion des incidents.
• Risques : faute de gestion, non-alignement ESG, perte de confiance des actionnaires.

En clair : ignorer la cybersécurité, c’est aujourd’hui un vrai risque juridique et managérial.

Le mot de la fin ?

Amine Belkeziz :
On ne vous reprochera pas d’avoir été attaqué. On vous reprochera de ne pas y avoir été préparé.
L’erreur, aujourd’hui, c’est l’inaction.
Michel Devos :
Et souvenez-vous : quand ça explose, ce n’est pas votre DSI qu’on appelle. C’est le DG.