⚡ Points Clés

Le Décret Présidentiel 26-07 (janvier 2026) impose des unités dédiées de cybersécurité dans les institutions publiques algériennes mais laisse les décisions de dotation et d’exploitation à chaque institution. Ce plan définit trois niveaux — petites institutions (3 ETP), moyennes (6-8 ETP) et grandes ou opérateurs d’infrastructure critique (12-15 ETP) — avec compositions de rôles, modèles opérationnels et stratégies de recrutement pour le marché de talents algérien contraint.

En résumé : Les chefs d’institutions publiques devraient nommer le chef de l’unité de cybersécurité d’abord, comparer leur composition prévue au niveau approprié de ce plan et compléter les rôles difficiles à pourvoir avec des services managés et la coordination DZ-CERT plutôt que de laisser des lacunes de capacité.

Lire l’analyse complète ↓

Publicité

🧭 Radar de Décision

Pertinence pour l’Algérie
Élevé
Le Décret 26-07 s’applique à toute institution publique algérienne. Le mandat structurel est clair ; la question pratique à laquelle chaque chef d’institution est désormais confronté est comment construire réellement l’unité. Ce plan répond à cette question opérationnelle.
Calendrier d’action
Immédiat
Les institutions sont déjà obligées par le décret d’établir leurs unités. La fenêtre de 6 mois post-décret est l’horizon de planification naturel pour celles qui n’ont pas encore commencé, la plupart des institutions visant un statut opérationnel complet dans les 12-18 mois.
Parties prenantes clés
Chefs du Secteur Public, RSSI Nouvellement Nommés, Directeurs IT, Responsables RH et Achats
Type de décision
Stratégique
Cet article guide la conception structurelle et budgétaire d’une nouvelle fonction institutionnelle avec des implications pluriannuelles pour les opérations et la posture de risque de l’institution.
Niveau de priorité
Élevé
Le décret est en vigueur, l’environnement de menaces s’intensifie, et la mise en œuvre retardée crée à la fois un risque de conformité et un risque opérationnel.

En bref : Les chefs d’institutions publiques devraient comparer la composition prévue de leur unité de cybersécurité au niveau approprié dans ce plan, recruter ou nommer le chef d’unité d’abord, et utiliser ce chef pour concevoir le reste de l’équipe plutôt que l’inverse. Lorsque les rôles spécialisés internes sont difficiles à pourvoir, complétez avec des services managés et la coordination DZ-CERT plutôt que de laisser des lacunes de capacité. Les 90 premiers jours après la nomination du chef d’unité déterminent si l’unité devient une capacité fonctionnelle ou une boîte structurelle qui existe sur papier.

Du mandat à la réalité opérationnelle

Le Décret Présidentiel 26-07, publié au Journal Officiel le 21 janvier 2026, a établi le cadre institutionnel pour la cybersécurité au sein des institutions publiques algériennes. Il s’appuie sur le Décret Présidentiel 25-321 du 30 décembre 2025, qui a approuvé la Stratégie Nationale de Cybersécurité 2025-2029. Ensemble, ces deux décrets ont fait passer le pays de l’intention stratégique au mandat opérationnel.

L’exigence centrale du décret — une unité dédiée à la cybersécurité rendant compte à la direction institutionnelle — est une directive structurelle nette. Ce qu’il ne précise pas, parce qu’aucun décret ne le devrait, c’est comment doter, budgéter et exploiter cette unité au niveau de détail dont le chef d’institution a besoin pour la mettre réellement sur pied. Ce guide comble ce vide opérationnel avec un plan pratique basé sur les meilleures pratiques internationales adaptées aux réalités institutionnelles algériennes.

Le plan est organisé en trois tailles institutionnelles : petites institutions (moins de 200 employés), institutions moyennes (200-2 000 employés) et grandes institutions (plus de 2 000 employés ou opérateurs d’infrastructure critique). Chaque niveau a des attentes de référence, des compositions de rôles et des enveloppes budgétaires différentes.

Rôles centraux dans une unité de cybersécurité

Quelle que soit la taille institutionnelle, chaque unité de cybersécurité requiert un ensemble central de fonctions de rôle. Le nombre de personnes par rôle évolue avec la taille ; l’ensemble des fonctions ne change pas.

Chef de l’Unité de Cybersécurité (équivalent RSSI). Rend compte directement au chef de l’institution. Détient la politique de cybersécurité, le plan de réponse aux incidents, le budget et la relation avec ASSI, ANSSI, DZ-CERT et les régulateurs sectoriels. Point unique de responsabilité pour la posture cybersécurité de l’institution.

Analyste des Opérations de Sécurité. Surveille les événements de sécurité des systèmes de l’institution, trie les alertes, escalade les incidents et coordonne avec les équipes techniques sur la remédiation. Le rôle de défenseur au quotidien.

Ingénieur de Sécurité. Met en œuvre les contrôles de sécurité, configure l’outillage de détection et de prévention, durcit les systèmes et maintient la pile technologique de sécurité. Le rôle de bâtisseur qui traduit la politique en réalité technique.

Spécialiste Gouvernance, Risque et Conformité (GRC). Maintient la bibliothèque de politiques, mène des audits, gère les évaluations de risque tiers, traite la conformité à la protection des données au titre de la Loi 18-07 et coordonne le rapport réglementaire. Souvent un rôle à temps partiel dans les petites institutions ou partagé avec le département juridique.

Intervenant en Incidents. Dirige la réponse aux incidents confirmés — confinement, éradication, récupération et leçons apprises. Souvent un ingénieur de sécurité senior portant cette casquette dans les petites unités ; une fonction dédiée dans les plus grandes.

Spécialiste Gestion des Identités et des Accès. Détient la plateforme d’identité, la couverture MFA, la gouvernance OAuth, l’accès privilégié et le cycle de vie utilisateur. Les faiblesses liées à l’identité dominent le paysage d’attaque mondial ; ce rôle est de plus en plus critique même dans les organisations de taille moyenne.

Niveau 1 : Petite institution (moins de 200 employés)

Une unité de cybersécurité minimale viable pour une petite institution publique algérienne peut être construite avec trois rôles à temps plein plus des fonctions partagées :

Composition (3 ETP) :

  • Chef de l’Unité de Cybersécurité (1 ETP)
  • Analyste des Opérations de Sécurité / Ingénieur en double rôle (1 ETP)
  • Spécialiste GRC / Spécialiste Identité en double rôle (1 ETP)

Modèle opérationnel :

  • Détection et réponse aux incidents augmentées via abonnement DZ-CERT et un contrat de détection et réponse managées (MDR) pour une couverture 24/7
  • Audit annuel de sécurité conduit par un prestataire externe accrédité (au titre du cadre d’accréditation existant)
  • Exercices de simulation trimestriels et tests de pénétration annuels
  • Plateforme d’identité configurée avec MFA d’entreprise sur l’ensemble des utilisateurs

Budget annuel indicatif : Approximativement équivalent à 3-4 salaires séniors du secteur public plus un budget d’outillage et de services couvrant le contrat MDR, la licence de la plateforme d’identité, les frais d’audit et la facilitation des simulations. Le chiffre exact dépend des cadres d’achat institutionnels, mais l’ordre de grandeur est de quelques millions de dinars annuellement pour la dotation plus un montant comparable pour les outils et services.

Piège courant : Traiter l’unité comme une extension des opérations informatiques. L’intention du décret est la séparation structurelle ; le chef doit rendre compte à la direction institutionnelle, pas au directeur informatique.

Publicité

Niveau 2 : Institution moyenne (200-2 000 employés)

Une institution de taille moyenne nécessite une spécialisation plus profonde et le début d’une couverture opérationnelle dédiée :

Composition (6-8 ETP) :

  • Chef de l’Unité de Cybersécurité (1 ETP)
  • Chef Adjoint / Architecte Senior (1 ETP)
  • Analystes des Opérations de Sécurité (2 ETP)
  • Ingénieurs de Sécurité (2 ETP)
  • Spécialiste GRC (1 ETP)
  • Spécialiste Gestion des Identités et des Accès (1 ETP, optionnel au bas du niveau)

Modèle opérationnel :

  • SOC interne de Niveau 1 opérant pendant les heures ouvrables ; contrat MDR pour la couverture après les heures et le week-end
  • Plan de réponse aux incidents documenté avec rotation d’astreinte nommée
  • Exercices de simulation trimestriels ; test de pénétration annuel à portée complète plus évaluations ciblées
  • Programme de gestion des risques fournisseurs avec surveillance continue des fournisseurs de premier rang
  • Plateforme d’identité avec MFA complet, gestion des accès privilégiés et revue OAuth trimestrielle

Budget annuel indicatif : Significativement plus important que le Niveau 1, avec un coût de personnel reflétant 6-8 rôles spécialisés plus une pile d’outillage incluant SIEM, plateforme d’identité, gestion des vulnérabilités et détection d’endpoint. La plupart des institutions moyennes investiront également dans la formation à la certification formelle pour le personnel (CISSP, CEH, ISO 27001 lead implementer/auditor).

Piège courant : Sous-investir dans la gestion des identités et des accès tout en surinvestissant dans l’outillage périmétrique. Les schémas d’attaque modernes ciblent l’identité ; la répartition budgétaire devrait refléter cela.

Niveau 3 : Grande institution / Infrastructure critique (plus de 2 000 employés)

Les grandes institutions publiques et les opérateurs d’infrastructure critique requièrent une capacité de Centre d’Opérations de Sécurité complète avec une couverture interne 24/7 et des fonctions spécialisées :

Composition (12-15 ETP) :

  • Chef de l’Unité de Cybersécurité / RSSI (1 ETP)
  • RSSI Adjoint / Responsable des Opérations (1 ETP)
  • Responsable SOC (1 ETP)
  • Analystes SOC de Niveau 1 (3-4 ETP, couverture en équipes)
  • Analystes SOC de Niveau 2 / Ingénieurs de Détection (2 ETP)
  • Chef de la Réponse aux Incidents (1 ETP)
  • Architectes / Ingénieurs de Sécurité (2 ETP)
  • Chef GRC avec équipe (2 ETP)
  • Chef Gestion des Identités et des Accès (1 ETP)
  • Analyste de Renseignement sur les Menaces (1 ETP, optionnel mais recommandé)

Modèle opérationnel :

  • SOC interne 24/7 complet avec playbooks documentés et fonction d’ingénierie de détection
  • Intégration de flux de renseignement sur les menaces et chasse aux menaces proactive
  • Gestion complète des risques fournisseurs avec surveillance continue
  • Plateforme d’identité mature avec gestion des accès privilégiés et gouvernance OAuth
  • Exercice annuel d’équipe rouge plus bug bounty continu ou tests externalisés où approprié
  • Intégration directe avec ASSI, ANSSI et DZ-CERT pour une réponse coordonnée

Budget annuel indicatif : Engagement substantiel multi-annuel en capital plus opérationnel. Les coûts de personnel pour 12-15 professionnels spécialisés à des taux compétitifs dominent. La pile d’outillage ajoute un coût significatif — SIEM/XDR, plateformes de renseignement sur les menaces, plateformes GRC, gestion des vulnérabilités et infrastructure d’identité. Le budget de formation et de certification est non-négligeable étant donné le rythme d’évolution du domaine.

Piège courant : Construire la liste des capacités avant de recruter le leadership. Un RSSI fort concevra l’unité de manière appropriée pour le contexte institutionnel ; un RSSI faible héritera d’une liste de capacités conçue par quelqu’un d’autre et aura du mal à l’opérer.

Recrutement dans un marché de talents contraint

Le vivier de talents en cybersécurité de l’Algérie s’élargit mais reste contraint par rapport à la demande. Les programmes élargis de certification en cybersécurité du Ministère de la Formation Professionnelle, le partenariat Huawei ICT Academy pour la formation en TIC et cybersécurité, et les programmes universitaires construisent tous le pipeline, mais la majeure partie de la production atteindra la maturité institutionnelle sur un horizon de 2-3 ans.

Pour 2026, les institutions publiques construisant des unités de cybersécurité devraient considérer trois voies de recrutement :

  1. Transfert interne avec formation intensive. Identifier le personnel à fort potentiel dans les fonctions IT, audit interne ou conformité et investir dans la certification formelle (CISSP, CISM, ISO 27001 Lead Auditor). C’est la voie la plus rapide vers une équipe culturellement intégrée.
  2. Recrutement externe depuis les secteurs régulés. Les professionnels de la cybersécurité des banques, télécoms et secteur de l’énergie ont des compétences transférables et une exposition à des opérations de sécurité matures.
  3. Partenariat avec des fournisseurs de services managés. Pour les rôles difficiles à pourvoir (analystes SOC 24/7, renseignement sur les menaces), augmenter les équipes internes avec des services managés plutôt que d’attendre des embauches directes qui pourraient ne pas se matérialiser.

Travailler avec ASSI et DZ-CERT dès le premier jour

Chaque unité de cybersécurité établie au titre du Décret 26-07 devrait établir des relations opérationnelles avec l’Agence de Sécurité des Systèmes d’Information (ASSI), l’Agence Nationale de Sécurité des Systèmes d’Information (ANSSI), et DZ-CERT (opérant sous CERIST) dès le premier trimestre d’opérations. Cela inclut :

  • S’abonner aux avis et flux de renseignement sur les menaces lorsqu’ils sont disponibles
  • Désigner un point de contact principal et de secours pour les notifications d’incidents
  • Participer à tout forum de coordination cybersécurité spécifique au secteur
  • Documenter et tester le chemin d’escalade des incidents avant qu’un incident réel ne survienne

Ces relations font partie de l’efficacité de l’unité, pas d’ajouts optionnels.

Suivez AlgeriaTech sur LinkedIn pour des analyses tech professionnelles Suivre sur LinkedIn
Suivez @AlgeriaTechNews sur X pour des analyses tech quotidiennes Suivre sur X

Publicité

Questions Fréquemment Posées

Quelle est l’unité de cybersécurité minimale viable au titre du Décret 26-07 ?

Le décret lui-même fixe l’exigence structurelle (une unité dédiée rendant compte à la direction institutionnelle) sans spécifier les niveaux de dotation. Opérationnellement, l’unité minimale viable pour une petite institution est de trois professionnels à temps plein — un chef d’unité, un rôle combiné opérations/ingénierie, et un rôle combiné GRC/identité — augmenté par un contrat de détection et réponse managées, des audits externes réguliers et un déploiement de plateforme d’identité avec MFA d’entreprise. En dessous de ce seuil, l’unité ne peut pas s’acquitter de manière significative des responsabilités impliquées par le décret.

Comment les institutions devraient-elles gérer la pénurie de talents ?

Une combinaison de trois approches fonctionne le mieux. D’abord, investir dans le transfert interne et la formation intensive à la certification pour le personnel à fort potentiel issu de l’IT, l’audit ou la conformité. Ensuite, recruter sélectivement dans les secteurs régulés comme la banque et les télécoms où existent des opérations de cybersécurité matures. Troisièmement, s’associer à des fournisseurs de détection et réponse managées pour combler les lacunes de couverture 24/7 et les fonctions spécialisées comme le renseignement sur les menaces qui sont particulièrement difficiles à doter en interne. Les programmes élargis de formation professionnelle en cybersécurité de l’Algérie augmenteront la capacité du pipeline sur un horizon de 2-3 ans.

Quelle est la relation entre l’unité de cybersécurité et les opérations IT existantes ?

L’intention du décret est la séparation structurelle. L’unité de cybersécurité ne doit pas être une fonction subordonnée au sein des opérations IT ; elle doit rendre compte directement à la direction institutionnelle. Cette séparation garantit que les priorités cybersécurité ne concurrencent pas les priorités opérationnelles routinières IT pour l’attention et les ressources, et que les incidents sont signalés et remédiés plutôt qu’absorbés. En pratique, l’unité de cybersécurité et les opérations IT travaillent en étroite collaboration — l’unité définit les exigences de sécurité que l’IT met en œuvre — mais les lignes hiérarchiques et la responsabilité sont distinctes.

Sources et lectures complémentaires