Depuis quelques jours, des documents attribués à la Caisse Nationale de Sécurité Sociale (CNSS) circulent en ligne, présentés comme des fuites issues d’une attaque informatique ayant ciblée plusieurs entités nationales.
Dans un communiqué publié, le 7 avril, en réaction, la Caisse parle de contenus « souvent faux, inexacts ou tronqués ». Une réponse qui ne lève pas toutes les zones d’ombre, notamment sur la nature exacte des données compromises.
enSanté.ma a tenté de joindre les responsables de la CNSS pour obtenir des éclaircissements sur l’exposition potentielle de données sensibles liées aux dossiers médicaux des affiliés. Aucune réponse ne nous a été communiquée au moment de la rédaction de ces lignes.
Des garanties légales qui peinent à rassurer
Au Maroc, le traitement des données à caractère personnel est encadré par la loi 09-08, censée protéger les citoyens contre toute utilisation abusive de leurs informations privées. Ce texte impose aux organismes publics et privés le respect d’un certain nombre d’obligations, notamment en matière de consentement et de sécurité. La CNDP, l’autorité en charge du contrôle, a déjà rappelé l’importance de ces principes dans plusieurs précédents dossiers.
Lorsqu’il s’agit de données médicales, le risque ne se limite pas à l’usage frauduleux. Une fuite peut entraîner une atteinte directe à la vie privée, mais aussi des formes de stigmatisation ou d’exclusion, notamment dans le monde du travail ou de l’assurance. Dans le cas présent, l’absence de précisions officielles sur ce qui a été réellement compromis entretient le flou.
Des voix s’élèvent dans le secteur numérique
Plusieurs experts en sécurité numérique, interrogés par notre rédaction, soulignent que les institutions publiques sont particulièrement exposées. Selon l’un d’eux, « les systèmes qui gèrent des millions de profils assurés doivent être dotés de protocoles de défense avancés. Une faille, même partielle, peut avoir des répercussions durables ». Il appelle à une refonte des systèmes d’information et à une meilleure transparence après chaque incident.
Cette cyberattaque soulève une interrogation bien plus large : les institutions publiques sont-elles réellement équipées pour garantir la sécurité des données des citoyens ?
La question prend tout son sens lorsqu’on considère les efforts financiers déjà consentis. Rien qu’en 2024, plusieurs marchés ont été passés pour renforcer la cybersécurité au sein d’organismes comme la CNSS. Il est notamment question de contrats dépassant les 4 millions de dirhams, destinés à l’acquisition de pare-feux sophistiqués et à la réalisation d’audits de sécurité.
Des outils ont donc été achetés, des prestations signées… Pourtant, les systèmes semblent rester vulnérables. Est-ce un problème d’implémentation ? De suivi ? Ou d’efficacité réelle des solutions déployées ? Et surtout : ces marchés, souvent très techniques, sont-ils suffisamment encadrés et évalués en termes de résultats concrets ?
Autant de questions que cette affaire met brutalement sur la table, dans un contexte où la transformation numérique s’accélère, sans toujours garantir la maîtrise des risques.
Dans le silence actuel de la CNSS, c’est aussi la confiance des assurés qui se joue. Car au-delà du piratage, c’est la manière dont l’institution gère la crise qui déterminera sa crédibilité à long terme.
