Menu
fermer
Pour répondre aux cybermenaces, Bank Al-Maghrib (BAM) impose des règles strictes pour garantir la sécurité des systèmes d'information des établissements de crédit, en s'appuyant sur la Directive n°3/W/2016.
Avec l’évolution rapide de la digitalisation, les banques marocaines sont de plus en plus exposées aux cyber-risques. Pour répondre à ces nouvelles menaces, Bank Al-Maghrib (BAM) impose des règles strictes pour garantir la sécurité des systèmes d'information des établissements de crédit, en s'appuyant sur la Directive n°3/W/2016. Cette directive exige que les banques réalisent des tests d'intrusion réguliers, renforcent leur protection des données, et assurent la sécurité des informations dans un cadre d’externalisation vers le cloud.
La première étape pour chaque établissement consiste à cartographier les risques associés à ses systèmes d'information, en identifiant les vulnérabilités potentielles vis-à-vis des cyberattaques. La directive impose aux établissements d'élaborer cette cartographie afin de repérer les zones critiques qui nécessitent une protection renforcée.
Pour évaluer ces risques, BAM demande que les banques élaborent un programme annuel de tests, prenant en compte les exigences légales et contractuelles. Ces tests permettent d'analyser l’état de sécurité du système et d’évaluer la capacité de réponse face aux cyberattaques.
Les tests d’intrusion et externalisation vers le Cloud
Les tests d'intrusion représentent un pilier fondamental de la sécurité informatique exigée par BAM. Réalisés à intervalles réguliers, ils visent à détecter les failles de sécurité des systèmes internes et externes. L'article 4 de la directive exige que les établissements adaptent ces tests en fonction de la criticité des systèmes et de leur volume d’activité.
Ces tests, effectués aussi bien de l’intérieur que de l’extérieur du réseau informatique, sont basés sur différentes approches : certains sont réalisés sans connaissances préalables sur les systèmes cibles, tandis que d'autres s’appuient sur des informations spécifiques, permettant de détecter les faiblesses de manière ciblée.
Avec la montée de l’externalisation vers le cloud, BAM impose des mesures spécifiques pour encadrer cette pratique. Tout projet d'externalisation nécessite l'accord préalable de Bank Al-Maghrib, qui peut vérifier à tout moment la conformité des services externalisés avec les réglementations de sécurité.
Les banques doivent également mettre en place un cadre de gouvernance pour surveiller les risques liés au cloud, en veillant à ce que les fournisseurs de services de cloud (FSC) respectent les exigences de confidentialité, d’intégrité, et de disponibilité des données. Un dispositif de contrôle régulier est exigé pour surveiller les risques et assurer la continuité des activités en cas d’incidents.
La responsabilité des prestataires externes et la protection des données
Dans le cadre de l’externalisation, BAM impose des clauses strictes aux prestataires pour garantir la sécurité des données, incluant des accords de confidentialité et des engagements spécifiques sur la destruction des enregistrements après la fin des missions. Les prestataires externes doivent aussi réaliser des tests d’intrusion pour vérifier la résilience de leurs systèmes et soumettre les résultats à BAM.
Pour prévenir tout risque lié aux cyberattaques, chaque établissement est tenu de documenter les résultats des tests et de les partager avec son comité d’audit. BAM exige également des banques qu'elles disposent d'équipes internes qualifiées pour superviser les tests, assurant ainsi une meilleure maîtrise des vulnérabilités .
Les cyber-risques représentent aujourd’hui une des plus grandes menaces pour les établissements financiers. En imposant des tests d'intrusion réguliers, des protocoles de sécurité pour l'externalisation, et des mesures de protection des données, Bank Al-Maghrib établit un cadre solide pour protéger les banques marocaines contre les cyberattaques.