En août 2025, le Chef du gouvernement a signé un arrêté qui change la donne pour le cloud au Maroc. Ce texte, publié au Bulletin officiel n° 7432, fixe un référentiel de qualification précis pour tous les prestataires de services cloud qui travaillent avec des entités sensibles. Concrètement, il traduit les obligations du décret n° 2-24-921 d’octobre 2024 en exigences techniques et organisationnelles mesurables.
Pour les entreprises concernées, choisir un prestataire cloud non qualifié n’est plus une option. Voici ce que ce référentiel contient et ce qu’il change pour vous en 2026.
Pour comprendre les fondamentaux du cloud souverain et ses avantages, consultez d’abord notre guide complet sur le cloud souverain au Maroc.
Ce qu’il faut retenir
- L’arrêté n° 3-17-25 du 1er août 2025 crée un référentiel de qualification officiel pour les prestataires cloud.
- Il s’applique aux entités et infrastructures d’importance vitale disposant de données sensibles.
- Deux niveaux de qualification : le Niveau 1 (standard) et le Niveau 2 (souveraineté totale sur le territoire marocain).
- La DGSSI est l’autorité qui instruit et délivre la qualification.
- Le référentiel couvre plus de 15 domaines : chiffrement, contrôle d’accès, localisation des données, gestion des incidents, audits, convention de service.
- Tout prestataire qualifié est soumis à un audit annuel minimum par un auditeur lui-même qualifié.
Quel est le cadre légal derrière ce référentiel ?
Ce référentiel ne sort pas de nulle part. Il s’inscrit dans un dispositif juridique construit sur plusieurs années.
De la loi 05-20 au décret cloud de 2024
La loi n° 05-20 relative à la cybersécurité, adoptée en 2020, a confié à la DGSSI (Direction Générale de la Sécurité des Systèmes d’Information) la mission de protéger les systèmes d’information critiques. En octobre 2024, le décret n° 2-24-921 a précisé les conditions dans lesquelles les entités sensibles peuvent recourir au cloud. L’arrêté du 1er août 2025 est venu compléter le dispositif. Il définit les exigences concrètes que chaque prestataire doit remplir pour obtenir sa qualification cloud.
Qui est soumis à cette obligation ?
Le texte vise les entités et infrastructures d’importance vitale disposant de systèmes d’information ou de données sensibles. En pratique, cela englobe les ministères, les établissements publics, les opérateurs télécoms, les banques et les entreprises stratégiques. Toute entité de ce type qui externalise ses données vers le cloud doit faire appel à un prestataire qualifié par la DGSSI.
Les PME qui ne relèvent pas de cette catégorie ne sont pas directement soumises à l’obligation. Elles peuvent en revanche choisir un prestataire qualifié pour renforcer leur crédibilité et leur posture de sécurité.
Les deux niveaux de qualification expliqués
Le référentiel distingue deux niveaux. Le choix du niveau dépend de la sensibilité des données et du degré de souveraineté exigé.
Niveau 1 : qualification standard avec encadrement strict
Le Niveau 1 impose le respect de toutes les exigences techniques et organisationnelles du référentiel. Le prestataire peut réaliser certaines opérations de support depuis l’étranger. Ces interventions à distance doivent alors passer par une passerelle sécurisée (poste de rebond). Une personne habilitée, ayant satisfait aux vérifications de sécurité du référentiel, doit superviser chaque action en temps réel depuis le Maroc.
Niveau 2 : données et administration exclusivement au Maroc
Le Niveau 2 ajoute des contraintes fortes. Les données sensibles doivent être stockées, traitées et administrées exclusivement depuis le territoire marocain. Les clés de chiffrement restent sous le contrôle unique du client (le “commanditaire” dans le texte). Les données techniques (identités des administrateurs, journaux, certificats, configurations d’accès) doivent aussi résider au Maroc, sans exception. En cas d’incident de sécurité, le prestataire de Niveau 2 doit faire appel uniquement à un prestataire de réponse aux incidents lui-même qualifié.
Comparaison des deux niveaux
| Critère | Niveau 1 | Niveau 2 |
| Données sensibles | Hébergées selon la convention de service | Exclusivement au Maroc |
| Données techniques | Au Maroc (recommandé) | Au Maroc (obligatoire et exclusif) |
| Support à distance | Possible via passerelle sécurisée | Possible avec contrôle strict |
| Clés de chiffrement | Gérées par le prestataire | Connues uniquement du client |
| Administration du service | Depuis le Maroc ou l’étranger (encadrée) | Depuis le territoire marocain |
| Réponse aux incidents | Procédure documentée | Prestataire d’incident qualifié obligatoire |
| Audit DGSSI | Oui, annuel minimum | Oui, annuel minimum |
Les exigences techniques clés du référentiel
Le référentiel couvre plus de 15 domaines. Voici les points que les entreprises doivent vérifier chez leur prestataire.
Chiffrement et gestion des clés
Le prestataire doit chiffrer les données en transit et au repos. Les protocoles utilisés doivent être à jour et conformes aux standards internationaux. Pour le Niveau 2, les clés privées de chiffrement des données stockées doivent être connues uniquement du client. Le prestataire doit aussi mettre en place un cycle de vie complet des clés : génération, distribution, stockage, révocation et destruction sécurisée. Les mots de passe sont conservés uniquement sous forme de hachage salé.
Contrôle d’accès et authentification multifacteur
Le contrôle d’accès repose sur le principe du moindre privilège. Les droits sont révisés chaque année. Les interfaces d’administration du prestataire et celles du client sont strictement séparées. L’authentification multifacteur est obligatoire pour tout accès aux interfaces d’administration. Les comptes d’administration du prestataire ne doivent jamais être accessibles depuis un réseau public.
Localisation des données et convention de service
Le prestataire doit informer le client du lieu exact de stockage et de traitement de ses données. Pour le Niveau 2, aucune dérogation n’est possible : tout reste sur le territoire marocain.
Chaque prestation fait l’objet d’une convention de service régie par le droit marocain. Cette convention précise les responsabilités de chaque partie. Elle inclut une clause de réversibilité et la possibilité pour le client de résilier sans pénalité si le prestataire perd sa qualification. Le prestataire doit aussi fournir, sur demande, les éléments d’appréciation des risques liés à l’exposition des données à une législation étrangère.
Audits, incidents et continuité d’activité
Le prestataire doit prévoir un programme d’audit sur trois ans. Au moins un audit annuel est réalisé par un prestataire d’audit qualifié. La DGSSI peut aussi auditer le service à tout moment.
La gestion des incidents suit une procédure documentée. Le prestataire informe immédiatement le client et les autorités compétentes. Le client peut choisir les niveaux de gravité pour lesquels il souhaite être notifié. Un plan de continuité d’activité et des sauvegardes régulières sont obligatoires. Les sauvegardes sont soumises aux mêmes exigences de sécurité que le site principal.
Sécurité physique des datacenters
Le référentiel impose une organisation des locaux en trois types de zones : publiques, privées et sensibles. Les zones sensibles sont exclusivement dédiées à l’hébergement du système d’information de production. L’accès y est individualisé, tracé et conservé au moins trois mois. Des mesures de protection contre l’incendie, les fuites d’eau et les coupures électriques (onduleurs, générateurs) sont obligatoires.
Le processus de qualification en pratique
Le processus de qualification se déroule en quatre étapes, conformément aux articles 6 à 10 du décret n° 2-24-921.
Le prestataire dépose un dossier de qualification auprès de la DGSSI. Les modèles sont publiés sur le site de l’autorité nationale de cybersécurité.
La DGSSI examine le dossier. Elle peut demander des documents complémentaires sur les statuts, l’identité des associés, les personnes impliquées dans la gestion ou les références.
Le prestataire se soumet aux vérifications techniques et organisationnelles prévues par le référentiel.
La qualification est délivrée (ou refusée). Le prestataire qualifié doit mentionner son statut dans chaque convention de service.
Le référentiel précise aussi que les services de type IaaS, PaaS et SaaS sont couverts. Les prestations d’hébergement externe classique (dédié ou partagé) sont assimilées à des services IaaS. Seule la colocation est exclue du périmètre.
Ce que les entreprises doivent faire dès maintenant
Si votre organisation gère des données sensibles ou relève des infrastructures d’importance vitale, voici les actions à mener.
Vérifiez que votre prestataire cloud actuel est qualifié par la DGSSI ou en cours de qualification. Identifiez le niveau de qualification adapté à la sensibilité de vos données. Relisez votre convention de service : elle doit être conforme au référentiel (droit marocain, clause de réversibilité, localisation précisée). Exigez la transparence sur la localisation des datacenters, les mécanismes de chiffrement et les procédures de réponse aux incidents.Ce référentiel représente une avancée structurante pour l’écosystème cloud marocain. Il fixe un niveau d’exigence clair et vérifiable pour la protection des données hébergées dans le cloud.
FAQ
Qu’est-ce que le référentiel de qualification cloud marocain ?
C’est un ensemble d’exigences techniques et organisationnelles fixées par l’arrêté n° 3-17-25 du 1er août 2025. Il définit les critères que les prestataires cloud doivent respecter pour obtenir la qualification délivrée par la DGSSI. Il couvre la sécurité, le chiffrement, le contrôle d’accès, la localisation des données, les audits et la continuité d’activité.
Quelle différence entre le Niveau 1 et le Niveau 2 de qualification ?
Le Niveau 1 autorise certaines opérations depuis l’étranger, avec encadrement strict via passerelle sécurisée. Le Niveau 2 exige que toutes les données sensibles et techniques soient stockées, traitées et administrées exclusivement depuis le territoire marocain. Les clés de chiffrement restent sous le contrôle unique du client.
Quels types de services cloud sont couverts par le référentiel ?
Le référentiel couvre les services IaaS, PaaS et SaaS. Il assimile aussi l’hébergement externe classique (dédié ou partagé) aux services IaaS. Seule la colocation est exclue du périmètre.
Comment vérifier qu’un prestataire cloud est qualifié ?
La DGSSI publie sur son site les informations relatives à la qualification. Le prestataire doit mentionner son statut de prestataire qualifié et fournir l’attestation de qualification dans la convention de service signée avec vous.
Ce référentiel s’applique-t-il aux PME ?
Pas directement. L’obligation vise les entités d’importance vitale et celles qui gèrent des données sensibles. Les PME qui ne relèvent pas de cette catégorie peuvent choisir volontairement un prestataire qualifié pour renforcer leur conformité et leur sécurité.
Source : Arrêté du Chef du gouvernement n° 3-17-25 du 7 safar 1447 (1er août 2025), publié au Bulletin officiel n° 7432 du 21 août 2025. Consulter le texte intégral.
Ismail oversees SEO at NindoHost, working on expanding online visibility across African hosting markets. He creates clear, actionable tutorials and guides that help users navigate web hosting at every stage of their website journey.
