Data centers : Epine dorsale d’une souveraineté numérique en gestation [INTÉGRAL]

Ce 29 mai s’est ouverte à Marrakech la seconde édition du GITEX Africa, le plus grand événement de la Tech sur le continent. Pour le Royaume, cette grand-messe qui réunit géants du numérique, startups et investisseurs est une manière de se positionner en tant que puissance numérique en Afrique, une ambition que portent les autorités publiques depuis plusieurs années.
 
Pour réussir à décrocher ce statut, le Maroc doit d’abord assurer sa souveraineté numérique, avant d’espérer se projeter sur le reste du continent. Le pays ne peut pas se passer du contrôle, même partiel, de ses infrastructures numériques et de la protection de ses données, assurant ainsi son indépendance technologique et la sécurité de ses informations.
 
“La souveraineté numérique constitue un nouvel espace géostratégique dans lequel les États doivent défendre leurs intérêts dans le cadre d’une concurrence mondialisée”, nous explique Mouad Agouzoul, expert en numérique et auteur du policy paper intitulé “Souveraineté Numérique : Pourquoi le Maroc ne peut y échapper”, publié par l’Institut Marocain d’Intelligence Stratégique (IMIS).
 

 
Dans le monde interconnecté d'Internet et face aux géants du numérique, cette tâche paraît difficile, surtout avec un marché national restreint et un écosystème qui manque de maturité et des compétences requises. Pour y arriver, “la voie la plus évidente et la plus pragmatique serait de concentrer les budgets et les énergies sur les ANIV (Actifs Numériques d’Importance Vitale) : câbles sous-marins, data centers souverains et solutions de cybersécurité. Cela constitue déjà un défi de taille pour le Royaume”, poursuit notre expert.
 
Le premier jalon dans cette ambition est de contrôler ses données, donc de les territorialiser. Cela passe inéluctablement par la mise en place de data centers capables de stocker les informations les plus sensibles et de les protéger contre tout piratage, intrusion ou détournement. Sur ce volet, la loi 05-20 relative à la cybersécurité impose que les données sensibles soient “exclusivement hébergées sur le territoire national”.
 
Dans ce domaine, le marché national est en pleine expansion. Selon les projections du centre de recherche Research and Markets, le marché des data centers au Maroc devrait croître de plus de 80% d’ici 2028, et attirer des IDE de l’ordre de 51 millions de dollars en 2028, contre 27 millions de dollars en 2022, soit une croissance annuelle de 11,18%.
 
Le dernier acteur international en date, le géant Oracle, a signé un accord en marge du GITEX Africa avec le ministère de la Transition numérique, le ministère de l’Investissement et l’AMDIE pour ouvrir deux régions de cloud public au Maroc, à Casablanca et Settat, avec un investissement de 1,4 milliard de dirhams. Cela permettra aux clients marocains de profiter des services cloud tout en conservant leurs données sur le territoire national.
 

 
Le principal fournisseur marocain de centres de données et de solutions multicloud, N+ONE, a, quant à lui, annoncé en décembre 2023 la construction d’un nouveau data center à Nouaceur, d'une superficie de 2.000 m², qui sera opérationnel avant la fin de cette année. Ces projets s'ajouteront aux 23 data centers certifiés Tier qui existent sur le territoire national, faisant du Maroc le leader africain dans ce domaine, surpassant l'Afrique du Sud qui n'en a certifié que 21.
 
Suffisant pour affirmer notre souveraineté numérique ? Loin de là. Au Maroc, le souci de sécuriser les données ne concerne principalement que les administrations publiques et les grandes entreprises dans les domaines des banques, des télécommunications et de la finance. Cinq banques détiennent des data centers ayant déjà obtenu une certification de niveau Tier III : Bank Al-Maghrib, Bank of Africa, Barid Al-Maghrib, la Banque Centrale Populaire, et le Crédit Agricole du Maroc.
 
En ce qui concerne le secteur public, le ministère de l’Economie et des Finances et la CDG possèdent chacun un data center certifié de niveau Tier pour le design et/ou les installations construites. Par ailleurs, le seul data center certifié Tier dans le secteur universitaire au Maroc est celui de l’Université Polytechnique de Benguerir.
 
La grande majorité des PME, quant à elles, font appel au cloud ou à des entreprises étrangères, ce qui constitue une vulnérabilité pour notre souveraineté numérique. Cette vulnérabilité s’est particulièrement manifestée en mars 2021, lorsqu’un incendie s’est déclaré dans le data center de l’entreprise française OVHcloud à Strasbourg, avec des répercussions majeures sur des sites d’entreprises et institutions marocains, comme le site medicament.ma.
 

 
Pour atteindre une véritable percée dans ce domaine, plusieurs obstacles restent à dépasser. “Un data center souverain correspond forcément à des usages souverains, c’est-à-dire une réelle mise en application de l’obligation d’héberger les données publiques dans ce type de structure. Si les données publiques sont hébergées en dehors du territoire national, à quoi bon détenir des infrastructures d’hébergement souveraines ? C’est donc une question de choix et de stratégie numérique publique”, analyse Mouad Agouzoul.
 
L’autre obstacle est d’ordre financier. “Construire un data center souverain en capacité d’héberger les données sensibles à un niveau de performance et de sécurité à l’état de l’art nécessite des budgets importants. Des solutions existent comme les PPP (Partenariats Public-Privé) pour mobiliser à la fois des fonds publics et des fonds privés. Inwi nous offre un bel exemple avec son offre de cloud souverain et sa certification « Cloud Hébergé au Maroc »”, poursuit notre expert.
 
Enfin, il ne faut pas oublier le fort impact écologique de ce type d’installations. Un data center est très gourmand en énergie, ce qui entraîne un bilan carbone très élevé, surtout en prenant en compte que l'électricité au Maroc dépend fortement du charbon. C'est pourquoi il est essentiel d'encourager le couplage de ces infrastructures avec des centrales éoliennes et solaires.
 
Le data center est également très consommateur d'eau, nécessitant de grandes quantités pour le refroidissement. Un centre de données de taille moyenne peut consommer des dizaines de millions de mètres cubes d'eau par an. Cela peut poser problème pour un pays traversant une grave crise hydrique comme le Maroc, d'où l'intérêt de réfléchir au recyclage de l'eau pour ce type d'infrastructures.
 

 
L'émergence d’un tissu dense de data centers sur le territoire national est fondamentale dans toute stratégie numérique. Comme le note le rapport de l’IMIS, il y a une corrélation reconnue entre le volume de centres de données présents sur un territoire et l’ampleur du développement de l’économie numérique locale. Ces données stockées au Maroc sont également une ressource fondamentale pour le développement de toute technologie se basant sur la big data et l’IA.

 
Je pense que le Maroc a la taille, l’arsenal juridique et les compétences suffisantes pour exercer sa souveraineté numérique sur certains domaines clés. Il serait utopique d’imaginer tordre le bras des GAFAM, des NATU et des BATX. Il faut bien comprendre que la souveraineté numérique totale n’existe pas, y compris pour les géants tels que les USA et la Chine. Le Maroc est en capacité d’atteindre une souveraineté numérique relative, basée sur un fléchage des crédits et des efforts sur les ANIV et sur les autres domaines, une solution pourrait être d’opter pour une relation gagnant-gagnant de type « co-souveraineté » numérique. C’est-à-dire d’ouvrir un marché numérique donné, en échange d’un certain niveau de transfert de compétences, voire de technologies. C’est par exemple le schéma que l’on observe entre l'américain Oracle qui a décidé de s'allier à la firme marocaine N+One pour déployer son centre cloud régional africain au Maroc.
 

 
Sans hésitation, l’Intelligence Artificielle. L’UM6P et l’AI Movement œuvrent en ce sens, et le savoir-faire et les compétences marocaines en la matière sont reconnus à travers le monde. Le Maroc peut viser d’être un leader régional en la matière. L’IA, c’est d’abord des mathématiques et de l’algorithmique. Couplée à une puissance de calcul importante, cela devient un outil intéressant et utile pour les entreprises et les administrations. D’ailleurs, le 5 juin prochain, sous le haut patronage de Sa Majesté le Roi, aura lieu à l’UM6P Rabat le plus grand Sommet africain sur le sujet. Par ailleurs, l’UM6P héberge le plus puissant supercalculateur africain «African Supercomputing Center», dédié à la recherche et à l’innovation, propulsant le Maroc dans le top 100 mondial.
 

 
Cette stratégie repose sur deux piliers majeurs qui sont la digitalisation des services publics (évidemment) et le soutien à l’économie numérique, notamment avec le fléchage de crédits et la mise en place de dispositifs incitatifs pour créer des solutions numériques, ce que nous appelons dans le policy paper les lions numériques ! Le premier pilier est une sorte de continuité, un incrément de valeur dans la chaîne de valeur numérique nationale. Le second pilier est plus novateur, car il fait la part belle à l’économie numérique et à la mise en valeur de la ressource clé du numérique : les compétences !
 

La Direction Générale de la Sécurité des Systèmes d'Information (DGSSI), créée par décret le 21 septembre 2011, joue un rôle central dans la cybersécurité nationale. Rattachée à l'Administration de la Défense Nationale, elle est responsable de la protection des systèmes d'information critiques et de la gestion des risques cybernétiques au niveau national.
 
En 2023, la DGSSI a mis à jour la Directive Nationale de la Sécurité des Systèmes d'Information (DNSSI), alignée sur la loi n° 05-20 sur la cybersécurité. Cette directive vise à renforcer la résilience des infrastructures d'importance vitale (IIV) contre les cybermenaces. Les entités concernées disposent de six mois pour se conformer aux nouvelles mesures de sécurité.
 
Au cours de l’année dernière, la DGSSI a déjoué 150 cyberattaques et publié 464 bulletins et notes, parmi lesquels 133 bulletins à caractère critique. Elle a également contrôlé 56 applications et traité des cyber-incidents signalés par des tiers ou détectés par le Centre de veille​.
 

Le standard Tier délivré par Uptime Institute définit quatre niveaux d’exigences pour les data centers, le plus haut étant le niveau Tier IV. Le niveau Tier I correspond aux exigences de base qu’un data center doit satisfaire, incluant la disponibilité des équipements avec une alimentation et un refroidissement sans interruption, ainsi qu’une zone physique pour les systèmes informatiques, les pannes ne devraient pas dépasser 29 heures par an pour les data centers de ce type.
 
Le niveau Tier II est accordé aux data centers qui disposent d’équipements supplémentaires pour améliorer le refroidissement, la maintenance et la sécurité afin que les temps d’arrêt ne dépassent pas 22 heures annuellement. Le niveau Tier III est attribué aux data centers qui offrent une meilleure redondance avec des équipements de pointe pour minimiser la durée des pannes, qui ne devrait pas dépasser 1,6 heure par an.
 
Le niveau Tier IV est accordé aux data centers avec un niveau de performance élevé et des équipements comportant plusieurs systèmes physiquement isolés afin de limiter le temps d’arrêt à 26 minutes par an.
 
Au niveau africain, le Maroc figure en tête concernant le nombre de data centers répondant aux standards Tier, avec 23 data centers ayant obtenu une certification de niveau. Le Royaume dépasse ainsi, en nombre de data centers certifiés, l’Afrique du Sud qui est le leader de l’activité sur le continent, démontrant la qualité des installations nationales.