Audit de sécurité et pentest au Maroc : PME, ETI et grandes entreprises
CyberSecure accompagne les entreprises marocaines dans leurs audits de sécurité informatique, pentests applicatifs et mise en conformité réglementaire. De Casablanca à Agadir, nos experts PASSI interviennent auprès des PME, ETI et grands groupes confrontés à l'essor des cybermenaces en Afrique du Nord.
Contexte cybersécurité au Maroc
Le Maroc s'impose comme la première économie numérique d'Afrique du Nord, avec un PIB IT en croissance de 12 % par an. L'OCP (Office Chérifien des Phosphates) a subi des tentatives d'intrusion APT ciblant ses systèmes SCADA industriels, illustrant la vulnérabilité des opérateurs d'importance vitale. Le secteur bancaire — Attijariwafa Bank, CIH Bank, BMCE — investit massivement dans la sécurité fintech face à l'explosion du mobile banking (16 millions d'utilisateurs). La Direction Générale de la Sécurité des Systèmes d'Information (DGSSI) a émis en 2023 une directive imposant des audits de sécurité annuels aux administrations et aux opérateurs télécom comme Maroc Telecom et Orange Maroc. Les pentests d'applications e-Gov (portail iDarass, plateformes e-commerce) révèlent régulièrement des vulnérabilités OWASP critiques dans les couches d'authentification et les API REST.
Secteurs accompagnés
Réglementation et conformité au Maroc
La loi 09-08 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel est supervisée par la Commission Nationale de Contrôle de la Protection des Données Personnelles (CNDP). La DGSSI (Direction Générale de la Sécurité des Systèmes d'Information) émet des directives de sécurité obligatoires pour les administrations et les OIV. Bank Al-Maghrib impose aux établissements financiers des exigences de tests d'intrusion périodiques et d'audit de conformité Basel III. La directive DGSSI 2023-01 oblige les opérateurs de services essentiels à notifier tout incident cyber dans les 72 heures.
Nos prestations au Maroc
Audit de sécurité
Diagnostic complet de votre SI selon les référentiels ANSSI, ISO 27001 et PASSI.
Test d'intrusion (Pentest)
Simulation d'attaques réalistes : web, réseau, social engineering, Red Team.
CERT / Réponse à incident
Cellule de crise 24/7, investigation forensique et remédiation post-attaque.
Audit Active Directory
Évaluation de votre AD/Azure AD, vecteur d'attaque n°1 des ransomwares.
Conformité & Réglementation
Mise en conformité avec les exigences réglementaires locales et internationales.
RSSI externalisé
Pilotage de votre sécurité informatique sans recruter en interne.
+200
Audits réalisés
24h
Réponse à incident
PASSI
Qualification ANSSI
Villes d'intervention au Maroc
CyberSecure intervient sur l'ensemble du territoire. Sélectionnez votre ville pour découvrir nos services locaux d'audit et de pentest.
Casablanca
Capital économique, hub fintech et siège des grandes banques
Voir les services
Rabat
Capitale administrative, ministères et DGSSI
Voir les services
Marrakech
Tourisme, hôtellerie et plateformes de réservation
Voir les services
Tanger
Zone franche Tanger Med, logistique et industrie
Voir les services
Agadir
Agrobusiness, pêche industrielle et tourisme balnéaire
Voir les services
Fès
Industrie traditionnelle, artisanat numérique et universités
Voir les services
FAQ — Audit & Pentest au Maroc
Quel est le coût d'un audit de sécurité informatique au Maroc ?+
Un audit de sécurité complet au Maroc est facturé entre 8 000 € et 35 000 € selon la taille du SI et le périmètre. Un pentest applicatif ciblé (5 à 10 applications) démarre à 4 500 €. Les délais vont de 3 semaines pour un audit ciblé à 2 mois pour un audit complet incluant les tests OT/SCADA.
La loi 09-08 impose-t-elle des audits de sécurité réguliers ?+
La loi 09-08 n'impose pas directement des audits périodiques, mais la directive DGSSI 2023-01 exige des audits annuels pour les opérateurs d'importance vitale et les administrations. Bank Al-Maghrib impose aux banques des tests d'intrusion au moins une fois par an, avec rapport à soumettre au superviseur.
CyberSecure intervient-il sur site au Maroc ?+
Oui, nos consultants se déplacent à Casablanca, Rabat, Tanger et dans les autres grandes villes marocaines. Nous proposons également des missions en mode hybride (kick-off sur site + tests à distance). Le déplacement est inclus dans les missions d'une durée supérieure à 5 jours.
Comment protéger les systèmes SCADA de l'OCP contre les attaques APT ?+
La protection des systèmes OT industriels passe par une segmentation réseau IT/OT stricte, un audit des automates Siemens/Rockwell selon IEC 62443, la mise en place d'une détection d'anomalies réseau (Claroty, Dragos) et des exercices Red Team ciblant les protocoles Modbus et DNP3. Délai typique : 6 à 8 semaines.
Quelles certifications les prestataires de cybersécurité doivent-ils avoir au Maroc ?+
La DGSSI recommande de faire appel à des prestataires certifiés ISO 27001 ou qualifiés PASSI (qualification française reconnue au Maroc via accords bilatéraux). CyberSecure dispose de la qualification PASSI de l'ANSSI, reconnue pour les missions au Maroc, en Tunisie et dans l'ensemble des pays francophones.
Demandez votre audit gratuit au Maroc
Un expert CyberSecure analyse vos risques en 30 minutes. Rapport de synthèse offert. Intervention sur site possible.