Ransomware au Maroc : Protégez Votre Entreprise en 2026
Ransomware au Maroc 2026 : types d'attaques courants, coûts réels en DH, 10 mesures de protection essentielles et plan de réponse aux incidents pour PME.
Une journée ordinaire qui tourne mal
En avril 2025, une entreprise marocaine de distribution basée à Casablanca a vu ses 200 postes de travail chiffrés en moins de 45 minutes. L'attaque a démarré à 6h47 du matin, avant l'arrivée des premiers employés. Quand le directeur informatique est arrivé à 8h00, tous les serveurs étaient hors ligne, les sauvegardes locales chiffrées, et un message en anglais exigeait 50 000 USD en Bitcoin. Le coût réel de l'incident : l'entreprise a estimé ses pertes à 800 000 DH entre l'arrêt de l'activité, la reconstruction des systèmes et les commandes clients perdues. Elle n'a pas payé la rançon. Elle a mis 18 jours pour rouvrir ses portes.
Ce scénario n'est pas exceptionnel. Les cyberattaques au Maroc ont augmenté de 42 % entre 2023 et 2024 selon les données DGSSI, une tendance qui s'est confirmée en 2025 avec plus de 20,7 millions de tentatives détectées au premier semestre selon le maCERT. Le ransomware en représentait près de 30 % des incidents signalés. Ce guide couvre tout ce que vous devez savoir pour protéger votre entreprise, des types d'attaques actifs au Maroc aux 10 mesures concrètes à déployer, jusqu'au plan d'action à suivre si vous êtes touché. Pour un panorama plus large de la cybersécurité pour les PME, consultez notre guide cybersécurité PME Maroc 2026.
État des lieux : les ransomwares au Maroc en 2026
Une menace qui n'épargne plus personne
Le ransomware, ou rançongiciel en français, chiffre les données d'une entreprise et exige le paiement d'une rançon pour les restituer. Pendant longtemps, les dirigeants de PME marocaines pensaient que ce type d'attaque ciblait uniquement les grandes organisations. Les chiffres montrent le contraire.
Selon la DGSSI, les PME et TPE représentent 60 % des cibles identifiées lors des incidents signalés au maCERT. La raison est pragmatique : les grandes entreprises marocaines ont renforcé leurs défenses. Les PME, elles, restent pour beaucoup accessibles via des techniques simples, un accès RDP exposé sur internet, un mot de passe réutilisé, un employé qui ouvre une pièce jointe infectée.
Le Maroc figure régulièrement parmi les pays africains les plus ciblés par les cyberattaques, aux côtés du Kenya et de l'Afrique du Sud, selon plusieurs rapports de threat intelligence (Kaspersky, Check Point, Trend Micro). Ce positionnement, combiné à l'accélération de la transformation numérique des entreprises marocaines, crée un environnement à risque élevé.
42%
Hausse des incidents cyber (2023-2024)
30%
Des incidents impliquent un ransomware
2,3M MAD
Coût moyen d'une attaque pour une PME
60%
Des cibles sont des PME/TPE
Les groupes actifs qui ciblent les entreprises marocaines
Les ransomwares ne sont pas des outils uniques : ce sont des familles gérées par des groupes criminels organisés. Entre 2024 et début 2026, plusieurs groupes ont été identifiés dans des incidents touchant des entreprises nord-africaines, dont le Maroc :
| Groupe | Méthode principale | Secteurs ciblés au Maroc |
|---|---|---|
| LockBit 3.0 | Double extorsion, RDP | Finance, industrie, distribution |
| Qilin | Phishing ciblé, vol de credentials | Santé, services professionnels |
| Akira | Compromission VPN, mouvement latéral | PME tous secteurs |
| APT73 (Bashe) | Exfiltration avant chiffrement | Secteur public, grandes entreprises |
| RaaS génériques | Kits loués, phishing de masse | TPE/PME mal protégées |
Le modèle "Ransomware-as-a-Service" (RaaS) a changé la donne : des individus sans compétences techniques avancées louent des kits d'attaque pour quelques centaines de dollars. L'opération CNSS d'avril 2025, bien que différente dans sa nature (vol de données sans chiffrement), illustre la réalité de cette menace industrialisée.
Secteurs les plus ciblés au Maroc
D'après les données disponibles des prestataires de cybersécurité opérant au Maroc et des bulletins maCERT, certains secteurs concentrent davantage d'incidents :
| Secteur | Facteur de vulnérabilité |
|---|---|
| Finance et assurance | Données bancaires à forte valeur, transferts de fonds |
| Santé et cliniques privées | Dossiers patients, systèmes critiques non patchés |
| Industrie et manufacturing | Systèmes OT/SCADA connectés, interruption coûteuse |
| Distribution et commerce | Données clients, accès aux plateformes e-commerce |
| BTP et promotion immobilière | Flux financiers importants, équipes IT réduites |
| Cabinets professionnels | Données confidentielles de tiers, capacité de payer |
Les vecteurs d'entrée les plus fréquents
Trois vecteurs d'accès représentent la grande majorité des incidents ransomware au Maroc :
- Phishing par email : 37 % des cas. Un email imitant la DGI, une banque ou un fournisseur pousse un employé à ouvrir une pièce jointe ou cliquer un lien.
- RDP exposé : des milliers d'entreprises marocaines exposent leur bureau à distance directement sur internet avec des mots de passe faibles. Des outils automatisés testent des milliers de combinaisons par heure.
- Vulnérabilités non patchées : des logiciels obsolètes ou des systèmes non mis à jour permettent une intrusion sans interaction humaine.
Comment fonctionne une attaque ransomware
Pour se protéger efficacement, il faut comprendre comment une attaque se déroule. Le chiffrement des fichiers n'est pas la première étape. C'est la dernière. Les attaquants passent en moyenne 7 à 21 jours dans votre réseau avant de déclencher le chiffrement.
Étape 1 - Intrusion initiale
L'attaquant trouve une première porte d'entrée. La plus fréquente : un email de phishing qu'un employé ouvre, un accès RDP avec un mot de passe faible, ou une vulnérabilité dans un logiciel non mis à jour. À cette étape, souvent un seul poste est compromis.
Étape 2 - Reconnaissance et cartographie
Une fois dans le réseau, l'attaquant passe plusieurs jours à cartographier l'infrastructure en silence : quels serveurs existent, où sont stockées les données importantes, qui a quels droits d'accès. Les outils utilisés (PowerShell, PsExec, ADFind) sont des outils légitimes d'administration Windows, ce qui rend leur détection difficile.
Étape 3 - Élévation de privilèges
L'objectif suivant est d'obtenir les droits d'administrateur du domaine. Cela permet de contrôler l'ensemble du réseau. Des techniques comme Kerberoasting ou le vol de hachages de mots de passe permettent d'atteindre ce niveau rapidement si votre infrastructure n'est pas correctement durcie.
Étape 4 - Mouvement latéral
Avec des droits élevés, l'attaquant se propage sur tous les serveurs accessibles, les postes de travail et les systèmes de stockage. Il identifie les sauvegardes et les systèmes critiques. C'est à cette étape que votre plan de sauvegarde et la segmentation réseau font toute la différence.
Étape 5 - Exfiltration des données
Avant de chiffrer quoi que ce soit, les groupes modernes copient vos données sensibles vers leurs serveurs. Cette "double extorsion" signifie qu'une restauration depuis les sauvegardes ne supprime pas leur levier : ils menacent toujours de publier vos données si vous ne payez pas.
Étape 6 - Destruction des sauvegardes et chiffrement
Les sauvegardes accessibles depuis le réseau sont chiffrées ou supprimées en premier. Puis, souvent via une stratégie de groupe (Group Policy), l'attaquant déclenche simultanément le chiffrement sur tous les systèmes connectés. En quelques minutes, toute votre infrastructure est hors service.
Étape 7 - Demande de rançon
Sur chaque poste chiffré apparaît une note indiquant un montant, une adresse Bitcoin pour payer, et souvent un site .onion avec un compte à rebours. La pression psychologique est intentionnelle.
Combien coûte un ransomware à une entreprise marocaine ?
La plupart des dirigeants pensent au montant de la rançon quand on parle de ransomware. C'est une erreur d'évaluation. La rançon, même si elle est payée, représente rarement le poste de coût le plus élevé.
Décomposition des coûts réels
| Poste de coût | PME 15-50 employés | PME 50-200 employés |
|---|---|---|
| Rançon (si payée) | 150 000 - 500 000 DH | 300 000 - 1 500 000 DH |
| Arrêt d'activité (par semaine) | 80 000 - 300 000 DH | 250 000 - 800 000 DH |
| Reconstruction des systèmes | 50 000 - 150 000 DH | 100 000 - 400 000 DH |
| Perte de données non récupérables | Variable selon activité | Variable selon activité |
| Frais juridiques et notification CNDP | 20 000 - 60 000 DH | 40 000 - 120 000 DH |
| Impact réputation et perte de contrats | Difficile à chiffrer | Difficile à chiffrer |
| Coût total estimé (hors rançon) | 300 000 - 800 000 DH | 700 000 - 2 000 000 DH |
La DGSSI estime le coût moyen d'une attaque ransomware sur une PME marocaine à 2,3 millions de DH. Ce chiffre inclut toutes les composantes, pas uniquement la rançon. Il reflète la réalité d'une entreprise de 40 à 80 personnes paralysée deux à trois semaines.
Le coût caché : les 18 mois suivants
Selon des études internationales (National Cyber Security Alliance, Verizon DBIR), jusqu'à 60 % des petites entreprises victimes d'une cyberattaque majeure cessent leurs activités dans les 18 mois suivants. Bien que ces données portent principalement sur le marché nord-américain, la vulnérabilité des PME marocaines face à des arrêts prolongés est comparable. Les causes sont cumulatives : perte de confiance des clients, coûts de reconstruction, perturbations opérationnelles répétées, et souvent l'impossibilité de répondre aux exigences de conformité des donneurs d'ordres.
Comparaison avec le coût de la protection
Pour une PME de 30 personnes, un programme de protection couvrant les mesures fondamentales décrites dans ce guide revient à 4 000 - 8 000 DH par mois, soit 48 000 - 96 000 DH par an. Face à un coût d'incident estimé à 300 000 DH minimum, le calcul est direct. La protection contre les menaces n'est pas une dépense optionnelle.
Avant de chiffrer un budget, notre auto-diagnostic cybersécurité identifie en 5 minutes les principales faiblesses qui exposent votre entreprise au ransomware (sauvegardes, MFA, formation, segmentation réseau).
Les 10 mesures de protection essentielles contre le ransomware
Ces 10 mesures sont ordonnées par priorité. Les cinq premières ont l'impact le plus immédiat sur votre résilience face au ransomware. Commencez par là.
1. Sauvegardes 3-2-1 déconnectées du réseau
La règle 3-2-1 : 3 copies de vos données, sur 2 supports différents, dont 1 hors site. Mais la règle fondamentale du ransomware s'y ajoute : au moins une copie doit être hors ligne ou immuable, inaccessible depuis le réseau principal. Les sauvegardes connectées au réseau sont chiffrées en même temps que le reste. Un service de sauvegarde cloud avec rétention de versions (90 jours minimum) pour un usage professionnel coûte entre 500 et 3 000 DH par mois selon le volume. C'est la mesure avec le meilleur retour sur investissement.
Testez vos restaurations. Une sauvegarde dont on n'a jamais testé la restauration n'est pas une sauvegarde : c'est une illusion de protection.
2. Mises à jour et gestion des correctifs
La majorité des ransomwares exploitent des vulnérabilités connues pour lesquelles des correctifs existent depuis des semaines ou des mois. Un système d'exploitation Windows non mis à jour, une appliance VPN en version obsolète, un plugin WordPress non patché : chacun représente une porte d'entrée.
Mettez en place un processus de gestion des correctifs : inventaire des systèmes, cycle mensuel de mise à jour, priorisation des correctifs critiques (CVE score 9+) en 48 heures. Pour les PME sans équipe IT dédiée, un service managé peut intégrer cette fonction.
3. Protection email et anti-phishing
Puisque le phishing est le vecteur d'entrée n°1, sécuriser votre messagerie est une priorité. Cela inclut plusieurs couches :
- Filtrage anti-spam et anti-malware au niveau du serveur mail
- Analyse des pièces jointes en sandbox (exécution dans un environnement isolé avant livraison)
- DMARC, DKIM et SPF configurés pour empêcher l'usurpation de votre domaine
- Alerte visuelle sur les emails provenant de l'extérieur de l'organisation
Microsoft 365 Defender ou Google Workspace Advanced Protection couvrent la plupart de ces fonctions si vous avez souscrit les bonnes licences.
4. EDR - détection et réponse sur les endpoints
Un antivirus classique ne suffit plus. Les ransomwares modernes utilisent des techniques dites "living off the land" (exploitation des outils légitimes de Windows) qui ne correspondent à aucune signature connue. Un EDR (Endpoint Detection and Response) analyse les comportements plutôt que les signatures : si un processus commence à chiffrer des fichiers en masse, l'EDR l'arrête et alerte, même si le malware est nouveau.
Des solutions comme CrowdStrike Falcon, SentinelOne ou Microsoft Defender for Endpoint sont disponibles au Maroc. Pour une PME de 20 postes, le coût se situe entre 2 000 et 6 000 DH par mois selon la solution et l'intégrateur. RMG Solutions -- le seul prestataire IT au Maroc à couvrir cybersécurité, infrastructure et ERP sous un même toit -- déploie ces solutions en combinaison avec une surveillance de sécurité continue pour les entreprises qui ont besoin d'une détection 24h/24.
5. Segmentation du réseau
Si votre réseau est plat - tous les équipements sur le même segment - un seul poste compromis donne accès à tout le reste. La segmentation divise votre réseau en zones : postes utilisateurs, serveurs de fichiers, serveurs de production, systèmes de sauvegarde, chacun isolé par des règles de pare-feu strictes.
Concrètement, une PME de 50 personnes devrait au minimum séparer les postes utilisateurs des serveurs, et isoler les sauvegardes dans un VLAN dédié sans accès direct depuis les postes. Cette configuration réduit drastiquement le périmètre d'un incident.
6. Authentification multi-facteurs (MFA) sur tous les accès distants
Le RDP, les VPN, Microsoft 365, les applications web internes : tout accès depuis l'extérieur de l'entreprise doit exiger un second facteur d'authentification. Un mot de passe volé seul ne suffit plus. Le MFA bloque 99 % des attaques par credential stuffing selon les données Microsoft.
L'implémentation est souvent gratuite (Microsoft Authenticator, Google Authenticator) ou peu coûteuse. C'est l'une des mesures les plus rapides à déployer avec l'un des meilleurs ratios protection/coût.
Un audit de cybersécurité permet d'identifier précisément vos vulnérabilités avant qu'un attaquant ne le fasse. C'est le point de départ pour prioriser vos investissements en protection.
Besoin d'un accompagnement ?
Laissez vos coordonnées, un expert RMG Solutions vous recontacte sous 24h.
7. Principe du moindre privilège
Chaque utilisateur et chaque système ne doit avoir accès qu'à ce dont il a strictement besoin pour son travail. Un comptable n'a pas besoin d'accès aux serveurs de production. Un commercial n'a pas besoin d'accéder aux sauvegardes. Un technicien externe ne doit pas avoir de compte administrateur permanent.
Auditez les droits d'accès dans votre Active Directory. Désactivez les comptes inactifs. Supprimez les accès administrateurs locaux inutiles. Ce travail prend quelques jours mais réduit considérablement la surface d'attaque.
8. Formation et sensibilisation des employés
Les études convergent : entre 74 % et 90 % des incidents de sécurité ont un facteur humain. Un employé qui clique sur un lien de phishing, ouvre une pièce jointe suspecte ou utilise son mot de passe professionnel sur un site personnel est la première cible des attaquants.
La formation n'est pas un événement annuel. Elle doit être continue : simulations de phishing régulières, rappels courts sur les bonnes pratiques, procédure claire pour signaler une anomalie sans crainte de jugement. Une heure de formation par trimestre peut réduire le taux de clics sur des phishings simulés de 60 %.
9. Plan de réponse aux incidents (PRI)
Vous ne devez pas décider sous pression ce qu'il faut faire quand votre réseau est chiffré à 7h00 du matin. Les décisions prises dans la panique coûtent cher. Un plan de réponse aux incidents documente, avant que l'incident n'arrive, qui fait quoi : qui décide d'isoler les systèmes, qui contacte le prestataire, qui communique avec les clients, qui contacte les autorités.
Ce plan doit être testé via des simulations au moins une fois par an. Les équipes qui ont déjà simulé une réponse à incident reprennent leur activité deux fois plus vite que celles qui découvrent le processus en situation réelle. Au-delà de la réponse à incident, la résilience face au ransomware repose aussi sur un Plan de Continuité d'Activité (PCA) et un Plan de Reprise d'Activité (PRA) testés. Notre guide PCA/PRA pour PME marocaines couvre la méthodologie ISO 22301, les coûts de mise en place et les RPO/RTO contractuels.
10. Assurance cyber
L'assurance cyber ne remplace pas les mesures de protection, mais elle couvre les coûts résiduels qu'aucune protection ne peut totalement éliminer. Une offre d'assurance cyber dédiée aux entreprises marocaines est en cours de développement selon l'annonce du ministère des Finances en avril 2025.
En attendant, des courtiers comme AGMA ou Howden Maroc proposent des polices cyber à des entreprises marocaines, souvent adossées à des compagnies d'assurance européennes. Une couverture de base pour une PME de 50 personnes peut se négocier entre 15 000 et 50 000 DH par an. Lisez les conditions de souscription attentivement : la plupart des assureurs exigent des preuves de mesures de protection (MFA, sauvegardes, antivirus à jour) pour valider la couverture.
PME non protégée
- Sauvegardes locales accessibles depuis le réseau
- RDP ouvert sur internet avec mot de passe simple
- Antivirus basique non mis à jour
- Aucune formation employés sur le phishing
- Pas de plan de réponse documenté
PME avec protection de base
- Sauvegardes 3-2-1 avec copie hors ligne testée mensuellement
- RDP désactivé, VPN avec MFA obligatoire
- EDR avec détection comportementale
- Simulation phishing trimestrielle + procédure de signalement
- PRI testé, prestataire de réponse aux incidents identifié
Que faire en cas d'attaque ransomware ?
Vous découvrez le message de rançon sur vos écrans. Voici ce qu'il faut faire dans l'ordre, sans panique.
Les premières 30 minutes sont critiques
1. Isoler immédiatement les systèmes atteints. Déconnectez les machines du réseau (débranchez les câbles réseau, désactivez le Wi-Fi). Ne les éteignez pas encore - certains chiffrements en cours peuvent être stoppés, et les preuves forensiques sont encore en mémoire.
2. Identifier le périmètre. Quels systèmes sont touchés ? Lesquels ne le sont pas encore ? Les serveurs de sauvegarde sont-ils atteints ? Cette information guide les décisions suivantes.
3. Activer votre plan de réponse aux incidents. Appelez votre prestataire de cybersécurité. Si vous n'en avez pas, appelez le maCERT (Direction Générale de la Sécurité des Systèmes d'Information) qui peut orienter vers des ressources d'urgence.
4. Ne tentez pas de déchiffrer par vous-même. Ne téléchargez pas d'outils "de déchiffrement" trouvés sur internet - beaucoup sont des malwares supplémentaires.
5. Documenter et photographier. Prenez des photos des messages de rançon et des erreurs affichées. Ces éléments sont nécessaires pour la déclaration aux autorités et potentiellement pour les assureurs.
Dans les 24 heures
Contacter les autorités marocaines. La Brigade Nationale de la Police Judiciaire (BNPJ) dispose d'une unité cybercriminalité. La maCERT peut être contactée via le site de la DGSSI. Ces déclarations sont importantes : elles créent un dossier officiel, peuvent activer une aide technique, et sont requises si vous êtes sujet à des obligations de notification.
Notifier la CNDP si des données personnelles ont potentiellement été compromises. La loi 09-08 prévoit une obligation de notification. Notre article sur la loi 09-08 protection des données détaille les délais et modalités.
Évaluer les sauvegardes disponibles. Y a-t-il des sauvegardes hors ligne intactes ? Depuis quelle date ? Quel est le Recovery Time Objective (RTO) réaliste ? Cette évaluation conditionne la décision de payer ou non.
Communiquer en interne. Informez vos employés de la situation. Un message simple, factuel, qui leur indique quels systèmes sont indisponibles et qui contacter pour les urgences opérationnelles. Le vide d'information génère des rumeurs qui compliquent la gestion de crise.
La reprise d'activité
Ne remettez pas les systèmes en ligne avant d'avoir identifié et éliminé le vecteur d'entrée initial. Beaucoup d'entreprises subissent une seconde attaque dans les jours suivant la première, précisément parce qu'elles ont restauré leurs systèmes sans colmater la brèche d'origine.
La réponse aux incidents de RMG Solutions couvre cette phase critique : investigation forensique pour identifier le vecteur d'entrée, nettoyage des systèmes compromis, reconstruction sécurisée et validation avant remise en production.
Faut-il payer la rançon ?
La réponse courte des autorités : non. La réalité sur le terrain est plus nuancée.
Pourquoi les experts déconseillent le paiement
Le paiement ne garantit pas le déchiffrement. Selon les données de Cybereason, 46 % des victimes qui ont payé ont reçu des données altérées ou incomplètes. Certains groupes fournissent un déchiffreur défectueux, volontairement ou non.
Il n'empêche pas la fuite des données. Dans un scénario de double extorsion, payer pour le déchiffrement ne signifie pas que vos données ne seront pas publiées ou revendues. Certains groupes ont publié les données après paiement complet.
Il finance la prochaine attaque. Chaque rançon payée finance le développement de nouvelles variantes et attire de nouveaux acteurs vers ce modèle criminel.
Vous devenez une cible prioritaire. Les listes de "bons payeurs" circulent sur les marchés clandestins. Une entreprise qui a payé une fois est souvent re-ciblée dans les 12 mois suivants.
Les implications légales. Payer une rançon à un groupe sanctionné par les États-Unis ou l'UE peut créer des complications légales pour les entreprises qui ont des relations commerciales internationales.
Quand certaines entreprises paient quand même
Il faut être honnête : certaines entreprises paient, et parfois pour de bonnes raisons. Si une clinique médicale n'a aucune sauvegarde utilisable et que des vies dépendent de l'accès aux dossiers patients, le calcul n'est pas purement théorique. Si une entreprise risque de fermer définitivement sans ses données, et que la restauration prendrait 6 semaines contre 48 heures avec la clé, certains dirigeants choisissent de payer.
Ce choix doit être fait avec les yeux ouverts : un avocat spécialisé en cybersécurité, un expert technique pour négocier et valider le déchiffreur, et une déclaration aux autorités malgré tout. Ne payez jamais sans vérification technique que le groupe peut réellement vous fournir une clé valide.
La meilleure réponse au dilemme "payer ou ne pas payer" est de ne jamais y être confronté. Des sauvegardes hors ligne récentes, testées, éliminent la dépendance à la clé de déchiffrement.
L'approche RMG Solutions
Un antivirus ne suffit plus. Contre le ransomware, il faut couvrir toute la chaîne : prévention, détection, réponse et reconstruction. Les entreprises qui séparent leur partenaire IT de leur partenaire sécurité ont un angle mort entre les deux -- c'est exactement là que les attaquants frappent. RMG Solutions est le seul prestataire au Maroc à couvrir les cinq maillons de la cybersécurité : nous déployons la protection (EDR, durcissement des endpoints), nous surveillons (SIEM, monitoring 24h), nous répondons aux incidents, nous reconstruisons l'infrastructure après une attaque, et nous sécurisons vos données ERP. Zéro angle mort.
Basés à Hay Riad (Rabat), nous intervenons le jour même en cas d'urgence à Rabat, et en moins d'une heure à Casablanca. Pour les PME sans équipe IT dédiée, notre protection managée inclut EDR, sauvegardes hors ligne supervisées et surveillance continue. Pour celles qui ont une équipe interne, nous intervenons en complément sur la détection avancée et la réponse aux incidents.
Première étape : un audit gratuit de 30 minutes de votre exposition au risque ransomware. Contactez-nous avant qu'un attaquant ne le fasse à notre place.
Questions Fréquentes
Mon antivirus suffit-il contre les ransomwares ?
Non, dans la grande majorité des cas. Les antivirus classiques fonctionnent par reconnaissance de signatures : ils identifient les malwares connus. Les ransomwares modernes utilisent des techniques dites "living off the land" qui exploitent des outils légitimes de Windows (PowerShell, WMI) et ne correspondent à aucune signature connue. Un EDR (Endpoint Detection and Response) qui analyse les comportements est nécessaire pour détecter ces attaques. Cela ne signifie pas que votre antivirus est inutile. Il bloque une grande partie des menaces ordinaires, mais il ne suffit pas seul contre un ransomware ciblé.
Les PME marocaines sont-elles vraiment ciblées par les ransomwares ?
Oui, et de façon croissante. Les données DGSSI indiquent que 60 % des cibles identifiées sont des PME et TPE. La raison est économique : les grandes entreprises ont renforcé leur sécurité, les PME restent souvent accessibles via des techniques basiques. Le modèle "Ransomware-as-a-Service" a rendu les outils d'attaque accessibles à des individus sans compétences techniques avancées, qui cherchent les cibles les plus faciles. Une PME de 30 employés à Marrakech est aujourd'hui une cible plus réaliste pour un groupe RaaS qu'une grande banque casablancaise.
Combien de temps faut-il pour se remettre d'un ransomware ?
Cela dépend essentiellement de l'état de vos sauvegardes. Avec des sauvegardes hors ligne récentes et un plan de reprise testé, une restauration complète prend 3 à 7 jours pour une PME de taille moyenne. Sans sauvegardes utilisables, la reconstruction depuis zéro prend entre 3 semaines et 2 mois, selon la complexité de l'infrastructure. L'entreprise de distribution citée en introduction a mis 18 jours à rouvrir ses portes avec des sauvegardes partielles. Des points critiques comme l'ERP, la messagerie et les données clients doivent être priorisés dans le plan de reprise.
L'assurance cyber couvre-t-elle les ransomwares au Maroc ?
Partiellement, selon les polices disponibles. Un marché d'assurance cyber dédié aux entreprises marocaines est en cours de développement selon l'annonce du ministère des Finances en avril 2025. En attendant, des courtiers comme Howden Maroc ou AGMA proposent des polices qui peuvent couvrir les coûts de rançon, de restauration et de perte d'exploitation. Attention : la plupart des assureurs exigent que des mesures de sécurité minimales soient en place (MFA, sauvegardes, EDR) pour valider la couverture. Une police souscrite sans ces prérequis peut être contestée lors d'un sinistre.
Comment former mes employés contre le phishing ?
La formation ponctuelle ne suffit pas. L'approche la plus efficace combine plusieurs éléments : des simulations de phishing régulières (envoyez à vos employés de faux emails de phishing conçus pour ressembler aux vraies attaques), des rappels courts et concrets via email ou réunion tous les deux mois, et une procédure simple pour signaler un email suspect sans crainte d'être jugé. L'objectif n'est pas de piéger les employés mais de rendre les bons réflexes automatiques. Des plateformes comme KnowBe4 ou Proofpoint Security Awareness Training sont disponibles au Maroc via des partenaires locaux.
Que dit la loi marocaine sur les ransomwares ?
La loi 05-20 sur la cybersécurité et la loi 09-08 sur la protection des données personnelles encadrent les obligations des entreprises marocaines. En cas d'incident ransomware avec fuite de données personnelles, la loi 09-08 impose une notification à la Commission Nationale de contrôle de la protection des Données à caractère Personnel (CNDP). Les opérateurs d'infrastructures vitales (IIV) sont soumis à des obligations supplémentaires de notification à la DGSSI dans des délais stricts. Notre guide sur la conformité DGSSI détaille ces obligations. Le paiement d'une rançon n'est pas interdit par la loi marocaine, mais peut avoir des implications si le groupe sanctionné est répertorié par des organismes internationaux.
RMG Solutions peut-il intervenir en urgence lors d'un ransomware ?
Oui. Notre équipe de réponse aux incidents peut intervenir pour les entreprises touchées au Maroc. L'intervention couvre l'isolation et la stabilisation des systèmes, l'investigation forensique pour identifier le vecteur d'entrée et l'étendue de la compromission, la coordination avec les autorités (maCERT, BNPJ), et la restauration sécurisée. Contactez-nous au [email protected] pour une évaluation de votre situation. Pour les clients disposant d'un contrat de maintenance ou de sécurité managée avec nous, le temps de réponse est garanti contractuellement.
Par RMG Solutions
Intégrateur Odoo Certifié | Cybersécurité | Infrastructure | GRC
Dernière mise à jour : 30 avril 2026