Le rapport d’audit 2024/25 met en évidence de sérieux dysfonctionnements dans la mise en œuvre de la stratégie nationale de cybersécurité, entre projets à la traîne, gouvernance défaillante et suivi insuffisant des incidents.

L’audit révèle des retards marqués dans plusieurs initiatives jugées essentielles. Sur l’ensemble des projets liés à la cybersécurité, un seul avait été achevé à octobre 2025. Quinze autres étaient toujours en cours, tandis que quatre n’avaient pas encore démarré. Des projets pourtant stratégiques, comme la création d’un laboratoire de cybercriminalité, restaient à un stade préliminaire, sans même le lancement d’un appel d’offres.

Selon le rapport, ces retards s’expliquent notamment par un manque de ressources financières et humaines. À cela s’ajoute une dépendance à d’autres institutions pour la mise en œuvre de certains projets, ce qui ralentit davantage leur progression. L’audit souligne également un déficit de suivi au niveau du ministère, impactant négativement l’ensemble de la stratégie. La gouvernance institutionnelle est elle aussi remise en question. Le National Cybersecurity Committee, organe clé prévu par la législation, n’a pas fonctionné de manière régulière. Après quelques réunions initiales, il n’était toujours pas pleinement opérationnel à la fin de 2025, en raison notamment de l’absence de nomination formelle de ses membres. Par ailleurs, la gestion des incidents de cybercriminalité présente des lacunes notables. Le système MAUCORS+ a enregistré 5 625 cas sur la période 2024-2025, soit une hausse de 79 % comparativement à 2021-2022. Malgré cette augmentation significative, aucun mécanisme efficace de suivi des cas n’a été mis en place. Enfin, l’absence d’indicateurs de performance (KPI) pour évaluer les actions de CERT-MU limite la capacité des autorités à mesurer concrètement l’efficacité des mesures entreprises.