Imade Elbaraka (Deloitte): «Le potentiel du Maroc à l’export de la cybersécurité est de cinq milliards de dollars»

Le360: Un an après votre installation à Casablanca, quel est le premier bilan du DMCC?

Imade Elbaraka: C’est un bilan très positif, qui conforte la justesse et la pertinence de l’investissement dans une structure marocaine alignée au réseau mondial Deloitte. De manière factuelle, le DMCC va réaliser, à fin mai, un chiffre d’affaires de presque 10 millions d’euros. Nous avons lancé à Casablanca un centre de référence à l’échelle mondiale, doté des technologies les plus pointues, et avons très rapidement intégré le marché international. En plus de nos marchés naturels que sont la France et le Maroc, nos clients sont aussi en Suisse, aux Pays-Bas, en Espagne, en Côte d’Ivoire, au Sénégal ou encore au Canada. Le marché africain offre en particulier de belles perspectives de croissance. Ce centre, c’est une réelle offre de services en termes de cybersécurité, avec des équipes hautement qualifiées et en parfaite adhésion avec notre projet. Aujourd’hui, le DMCC compte près de 130 collaborateurs.

Nous sommes plutôt en avance sur notre programme et en moins d’un an, nous avons doublé notre superficie d’exploitation dans la zone CFC à Casablanca, passant de 2.000 m² au démarrage à 3.500 m². Par ailleurs, le centre a été certifié par la Direction générale de la sécurité des systèmes d’information (DGSSI) de l’Administration de la Défense nationale au Maroc, ce qui est une immense fierté. Actuellement, c’est la seule compagnie marocaine appartenant à un réseau mondial à avoir reçu cette certification sur l’ensemble des métiers de la cybersécurité.

Justement, cela ramène à la question du capital humain dans le secteur de la cybersécurité, au Maroc comme dans le monde. Quelles sont vos conclusions après près d’un an d’exercice depuis Casablanca Finance City (CFC)?

À l’échelle mondiale, on parle globalement d’un manque de 2 à 3 millions d’experts en cybersécurité. Le Maroc en particulier et l’Afrique plus généralement disposent d’un vivier de talents très intéressant, dont la base de formation théorique en mathématiques et en informatique est à la pointe. Il convient simplement d’affiner la formation de ces jeunes ingénieurs pour la mettre en pratique sur des cas concrets relatifs à la cybersécurité. Le résultat au DMCC est particulièrement édifiant en la matière. Par ailleurs, Casablanca Finance City est une vraie réussite pour notre pays et constitue un écosystème de «Doing business» qui n’a pas d’équivalent dans la région: on peut - et on l’a fait - recruter un jeune ingénieur togolais, ivoirien ou sénégalais en 48 heures, ce qui est un peu plus compliqué à Paris, à New York ou à Londres.

Lire aussi : Deloitte inaugure son nouveau centre de cybersécurité à Casablanca

Depuis Casablanca, on a accès à un bassin d’emplois de 400 millions de personnes, avec une équation économique intéressante et un sens de l’appartenance à une communauté, qui est animée avec brio par les équipes CFC. L’avantage fiscal du CFC n’est qu’un aspect que l’on réinvestit de toute façon dans les salaires, la formation et l’infrastructure. En un an, nous avons investi près de 2 millions d’euros dans la formation et nous observons une parité presque parfaite au niveau de nos ressources, avec, de surcroit, plusieurs nationalités et des compétences très pointues.

Le portefeuille de services de Deloitte est public. Est-ce qu’il y a un service en particulier sur lequel le DMCC a axé son offre?

Dans notre métier, nous nous trouvons au croisement de la gestion de risques, de la technologie et de la géostratégie. Au DMCC, on fournit absolument tous les services de cybersécurité, en particulier ceux qui mobilisent nos ressources les plus techniques: la sécurité offensive, la détection et la réponse, ainsi que la sécurité industrielle et des objets connectés. Nous disposons d’un laboratoire où des experts simulent des cyberattaques, comme s’ils étaient de vrais hackers, pour mieux comprendre les mécanismes sous-jacents et ainsi mieux protéger nos clients. Pour illustrer mon propos: c’est une chose de certifier la qualité incassable de ses vitres à la maison et c’en est une autre d’engager des faux cambrioleurs pour tenter d’accéder à sa maison afin de détecter «sur le terrain» les failles résiduelles. À partir du moment où l’on détecte toutes les failles possibles, on sensibilise le client aux risques potentiels.

Évidemment, nos clients sont particulièrement intéressés par le volet défensif, qui est un autre axe de notre offre de services: ce que l’on appelle le centre de surveillance, d’opération et de sécurité. Avec cet outil, on dispose de la plus grande structure en Afrique, avec des dizaines de positions en 24/7, plus de 40 outils de pointe qui tournent en permanence et des experts qui scrutent le moindre signal afin de détecter l’alerte qui pose problème.

Ce centre est par ailleurs interconnecté avec nos cinq autres centres mondiaux: Toronto, Washington DC, Madrid, Hyderabad et Kuala Lumpur. Cette interconnexion ne s’entend pas au sens des données - qui restent évidemment le plus souvent chez le client ou bien sur le sol marocain s’agissant des clients locaux - mais plutôt au sens du partage des dernières menaces détectées, sur l’analyse proactive des incidents et de la menace (Threat Intelligence) et, enfin, sur la contribution aux failles nouvelles dites «Zero Day». Cela veut simplement dire qu’un client marocain peut bénéficier d’un réseau de cyber centers de référence à l’échelle mondiale, ce qui rend notre offre incomparable. Enfin, ce dispositif n’exclut pas les besoins bien compris de souveraineté du Maroc et la possibilité de délivrer aussi des services de confiance destinés à protéger les données sensibles des entreprises et administrations du Royaume. Les offres de «souveraineté» qui fonctionnent très bien en Europe ou en Amérique du Nord peuvent être répliquées en toute indépendance au Maroc, voire améliorées.

Cela va donc bien plus loin que la simple certification du système informatique, par exemple?

Le risque cyber est systémique et invisible. On ne le voit pas et on a du mal à l’anticiper. Si une panne informatique survient, cela se voit et l’on peut redémarrer le système avec succès. Mais cela n’est pas le cas pour un incident cyber. Dans la vraie vie, une faille de cybersécurité peut avoir lieu sans que le client ne le sache, elle peut rester silencieuse, provoquer beaucoup de dégâts, et lorsque l’on s’en aperçoit, c’est souvent trop tard. Plusieurs entreprises déposent le bilan tous les mois en Europe à cause d’un problème cyber et cela sera le cas malheureusement au Maroc dans les années qui viennent. Et c’est extrêmement significatif.

Lire aussi : Le Maroc en passe de devenir une puissance économique régionale, selon une étude de Deloitte (Document)

Il existe des solutions, mais c’est d’abord une affaire de prise de conscience. Dès lors qu’on intègre cette dimension, on peut imaginer les impacts que cela peut avoir sur une chaîne d’approvisionnement en énergie ou de stockage de carburants, une banque, une unité de production de farine, un port ou un hôpital et, finalement, sur toutes les activités du pays.

Il faut, à mon sens, accroître la sensibilisation à cette nouvelle équation de nos décideurs dans les secteurs privé et public.

Que représente le Maroc dans vos ambitions après un an d’activité à CFC?

Le marché marocain est en pleine maturation. L’ensemble du continent représente 10% du chiffre d’affaires de cybersécurité de Deloitte France et Afrique francophone. Nous cherchons bien entendu à développer ces marchés, mais notre ambition actuelle, à la faveur des contrats que nous allons remporter localement, est de continuer d’agir pour tirer le marché vers le haut.

Nous souhaitons accroître le niveau d’exigence et de compréhension afin que l’ensemble de l’écosystème marocain de la cybersécurité puisse progresser. Nous n’avons pas l’ambition ni la volonté de concurrencer les acteurs locaux en cyber – qu’il faut au contraire encourager tant le potentiel du marché est énorme – mais plutôt d’essayer de tirer l’offre nationale vers le haut au sens technique et en termes de qualité de services et de niveau d’excellence qui doit être à la pointe mondialement. Il y a par ailleurs un capital humain exceptionnel au Maroc.

Ce qui manque aussi, c’est la prise de risques en termes d’investissements. J’espère là aussi que nous avons défini un standard: avec plus de 500 millions de dirhams investis dans le centre, l’activité est d’ores et déjà rentable et notre business case est aligné avec la vision stratégique définie avec le comité exécutif de Deloitte et son CEO Gianmarco Monsellato. Nous disposons également d’une agence nationale de cybersécurité (la DGSSI) de premier ordre, qui encourage l’investissement et qui tire la communauté cyber vers le haut. L’arsenal juridique n’est pas en reste et est plutôt relativement mature, en particulier en termes de protection des données personnelles et des actifs sensibles du pays.

En conclusion et en guise d’ouverture, je voudrais exprimer ma conviction profonde qu’il faut faire confiance aux jeunes entrepreneurs marocains du secteur en leur offrant des capacités significatives d’investissement à la fois dans les technologies et dans la formation. De surcroit, je suis persuadé qu’il faut être ambitieux et adopter une approche industrielle dans le secteur: fabrication d’équipements cyber «made in Morocco», dépôt de brevets commercialisables, encouragement de la R&D et consolidation économique des petits acteurs locaux pour construire des champions nationaux. Ce faisant, le Maroc a probablement le potentiel pour exporter plusieurs milliards de dollars par an de services et d’équipements en cybersécurité. C’est ma conviction profonde et on s’attelle humblement à rendre cela possible avec nos clients, nos confrères et nos partenaires publics et privés.