L’Algerie a franchi une etape decisive en matiere de gouvernance cyber. Le decret presidentiel 26-07, publie au Journal Officiel le 21 janvier 2026, impose a chaque institution publique de creer une unite de cybersecurite dediee, separee de la gestion informatique, avec un rattachement direct au responsable de l’organisation. Ce decret operationnalise la Strategie Nationale de Cybersecurite 2025-2029 et marque un tournant structurel, passant de la reponse reactive aux incidents a une defense institutionnelle proactive.
Pourquoi ce decret est important maintenant
Le secteur public algerien fait face a un paysage de menaces en escalade. Les ministeres, les entreprises publiques et les administrations locales gerent des donnees critiques allant des registres citoyens a la telemetrie des infrastructures energetiques. Pourtant, la plupart des institutions ont historiquement traite la cybersecurite comme un sous-ensemble des operations informatiques, confie a des administrateurs reseau sans ligne directe vers les decideurs.
Le decret presidentiel 25-321, signe le 30 decembre 2025, a formellement approuve la Strategie Nationale de Cybersecurite 2025-2029. Le decret 26-07 s’appuie sur cette base en passant de l’intention strategique au mandat operationnel. La distinction est essentielle : une strategie definit des objectifs, tandis qu’un decret operationnel cree des obligations institutionnelles executoires.
Le calendrier n’est pas fortuit. L’Algerie a enregistre une augmentation significative des cyberattaques ciblant les systemes gouvernementaux en 2025, avec des campagnes de phishing, des incidents de ransomware et des reconnaissances etatiques en hausse. L’Agence Nationale de Securite des Systemes d’Information (ANSS) a identifie la fragmentation institutionnelle comme la vulnerabilite principale : lorsque la cybersecurite manque d’independance organisationnelle, les incidents sont sous-declares, les budgets absorbes et la responsabilite diluee.
Ce que le decret exige
Le decret 26-07 etablit plusieurs obligations concretes pour chaque institution publique :
Des unites de cybersecurite dediees. Chaque institution doit creer une unite autonome dont la cybersecurite est la seule mission. Cette unite ne peut pas etre integree aux departements informatiques generaux. La separation garantit que les priorites de cybersecurite ne rivalisent pas avec les operations informatiques courantes pour l’attention et les ressources.
Un rattachement direct a la direction. Le responsable de l’unite de cybersecurite rend compte directement au directeur ou au ministre de l’institution, en contournant les couches intermediaires de gestion. Cette structure de rattachement reflète les bonnes pratiques recommandees par des referentiels comme le NIST et l’ISO 27001, ou la gouvernance de la securite exige une visibilite au niveau de la direction.
Des protocoles de reponse aux incidents. Les institutions doivent etablir des procedures documentees de reponse aux incidents, incluant des delais de notification obligatoires a l’ANSS. Le decret fixe des fenetres de notification specifiques pour differentes categories de severite, creant des chaines de responsabilite qui n’existaient pas auparavant.
Des audits de securite annuels. Chaque institution doit realiser des audits de cybersecurite annuels et soumettre les resultats a l’organe de controle competent. Cette exigence comble une lacune critique : de nombreuses institutions publiques algeriennes n’avaient jamais subi d’evaluation formelle de securite.
Des exigences de formation du personnel. Le decret impose une formation reguliere de sensibilisation a la cybersecurite pour tous les employes, pas seulement le personnel technique. L’ingenierie sociale reste le vecteur d’attaque le plus courant contre les entites gouvernementales, rendant la sensibilisation humaine aussi importante que les controles techniques.
Publicité
Defis de mise en oeuvre
Le mandat est ambitieux, et sa mise en oeuvre fait face a de reels obstacles.
Penurie de talents. Le vivier de cybersecurite algerien est limite. La strategie SNTN-2030 vise la formation de 500 000 specialistes TIC d’ici la fin de la decennie, mais les specialistes en cybersecurite ne representent qu’une fraction de ce pipeline. Chaque institution publique est desormais en concurrence pour un bassin limite de professionnels qualifies, et le secteur prive et les destinations d’emigration comme la France et le Canada offrent des remunerations nettement superieures.
Contraintes budgetaires. Creer des unites de cybersecurite independantes necessite des lignes budgetaires dediees pour le personnel, les outils et l’infrastructure. De nombreuses institutions publiques operent sous des contraintes fiscales serrees, et les depenses de cybersecurite ont historiquement ete repoussees dans la budgetisation gouvernementale.
Resistance culturelle. Elever la cybersecurite a une fonction rattachee a la direction perturbe les hierarchies etablies. Les directeurs informatiques habitues a controler toutes les fonctions technologiques peuvent resister a la cession d’autorite. Le succes du decret depend de la volonte des responsables institutionnels d’appliquer la separation structurelle qu’il impose.
Alignement des normes. Le decret fait reference a la conformite aux normes nationales mais ne specifie pas un cadre unifie. Les institutions peuvent interpreter les exigences differemment, creant une incoherence a travers le secteur public. Un guide de mise en oeuvre standardise de l’ANSS ameliorerait considerablement les resultats.
Point cle
Le decret presidentiel 26-07 transforme la cybersecurite d’une fonction informatique en une fonction de gouvernance a travers l’ensemble du secteur public algerien. Le mandat de creer des unites de cybersecurite independantes, rattachees a la direction, est structurellement solide et conforme aux bonnes pratiques internationales. Le succes depend de la resolution du pipeline de talents, de l’allocation de budgets dedies et de l’application de l’independance organisationnelle que le decret envisage. Les institutions qui agiront tot fixeront la norme ; celles qui traiteront cela comme un exercice de conformite resteront vulnerables.
Questions frequemment posees
Quelle est la difference entre le decret 25-321 et le decret 26-07 ?
Le decret 25-321, signe le 30 decembre 2025, a approuve la Strategie Nationale de Cybersecurite 2025-2029 en tant que document strategique definissant les objectifs et les priorites. Le decret 26-07, publie le 21 janvier 2026, est un mandat operationnel qui exige des actions institutionnelles specifiques, notamment la creation d’unites de cybersecurite dediees dans chaque institution publique.
Quelles institutions sont concernees par le decret 26-07 ?
Le decret s’applique a toutes les institutions publiques, y compris les ministeres, les entreprises publiques, les administrations locales, les universites publiques et les agences gerant des infrastructures critiques. Toute entite classee comme institution publique en droit algerien doit se conformer.
Quel impact sur le recrutement en cybersecurite en Algerie ?
Le decret augmentera considerablement la demande de professionnels qualifies en cybersecurite dans le secteur public. Les institutions seront en concurrence avec le secteur prive et les employeurs internationaux, accelerant potentiellement la croissance des salaires pour les postes de cybersecurite et augmentant la pression sur les programmes de formation pour produire des diplomes qualifies plus rapidement.
Sources et lectures complémentaires
- L’Algerie ordonne des unites de cybersecurite dans le secteur public — Ecofin Agency
- L’Algerie renforce son cadre de cybersecurite — TechAfrica News
- Reglementation algerienne de cybersecurite dans la loi n° 18-04 — Digital Policy Alert
- Lois de protection des donnees et cybersecurite en Algerie — CMS Expert Guide
- DPA Digital Digest: Algerie 2025 — Digital Policy Alert
