Décret 26-07 six mois après : comment les organismes publics algériens créent leurs unités de cybersécurité en 2026

Ce qui a changé en janvier 2026

Le Décret présidentiel 26-07, publié le 21 janvier 2026, est l’instrument de cybersécurité le plus conséquent que l’Algérie ait produit depuis l’institutionnalisation du rôle de RSSI dans le secteur public via le Décret 20-05. Il impose à chaque ministère, agence publique et entreprise d’État algériens de créer une unité de cybersécurité dédiée — séparée de la direction IT, rattachée directement au chef de l’institution, et alignée sur l’Agence de Sécurité des Systèmes d’Information (ASSI) sous tutelle du Ministère de la Défense Nationale.

Le décret est arrivé avec le dévoilement de la Stratégie nationale de sécurité des systèmes d’information 2025-2029 le 4 mars 2026. La stratégie cadre la cyber-résilience autour de trois piliers — prévention, détection, réponse — et engage l’Algérie à « renforcer la souveraineté numérique », équiper l’État en ressources humaines qualifiées et créer un environnement réglementaire approprié. Un projet de loi en préparation introduira des exigences obligatoires de cybersécurité avec un pouvoir d’application que le décret seul n’apporte pas aujourd’hui.

Six mois après publication, la question de fond pour les DSI des organismes publics algériens n’est plus « devons-nous nous conformer » mais « comment opérationnaliser ceci sans manuel modèle ». Le décret décrit la destination ; il ne précise pas les organigrammes, les échelles RH ni les KPI. Chaque institution écrit désormais le sien.

L’écart opérationnel que le Décret 26-07 n’a pas comblé

Trois choix de conception opérationnelle restent non résolus dans le secteur public algérien en avril 2026 :

D’abord, la ligne hiérarchique. Le décret dit « rattaché au chef d’institution » mais la plupart des ministères ont déjà un Secrétaire Général ou Directeur de Cabinet faisant office d’unique entonnoir exécutif. Certaines institutions ont placé le chef d’unité de cybersécurité au niveau SG-1 (pair du directeur IT) ; d’autres l’ont placé en SG-2 (sous une direction risque ou conformité). Les deux sont défendables. Le choix qui s’aligne proprement sur le modèle de coordination de l’ASSI est le SG-1, car le chef d’unité devient un pair autorisé quand DZ-CERT remonte un incident d’envergure nationale.

Deuxièmement, la frontière avec la direction IT. Les DSI algériens ont historiquement été propriétaires de tout ce qui touche au réseau, aux serveurs et à l’identité. Le mandat de l’unité de cybersécurité chevauche désormais les trois. Sans matrice RACI explicite, le mode de défaillance le plus probable est que l’unité de cybersécurité devient une équipe de paperasse qui édicte des politiques que la DSI ignore. Le correctif est une répartition écrite : la cybersécurité possède la politique, la détection des menaces, le commandement d’incident et le risque fournisseur ; l’IT possède l’exploitation, l’application des correctifs et le provisionnement d’identité. Les deux équipes co-rédigent les runbooks de réponse.

Troisièmement, le problème d’effectifs. L’évaluation publiée par l’Algérie elle-même cite une pénurie sévère de talents en cybersécurité — bien documentée dans l’article du dossier publié sur le Décret 26-07 de mars 2026. Avec plus de 100 organismes publics au niveau ministériel plus des centaines d’entreprises d’État, la vague de demande issue du seul Décret 26-07 pourrait dépasser 800-1 200 postes. La stratégie 2025-2029 désigne les 285 000 places de formation professionnelle annoncées dans le programme global de compétences comme un levier d’offre, mais le volet « analyste opérations cybersécurité » reste petit comparé à la demande.

Ce que cela signifie pour les DSI du secteur public algérien

1. Adoptez une unité minimale viable à trois rôles avant fin 2026

Une structure de départ défendable se compose de trois rôles : un chef d’unité (équivalent RSSI institutionnel), un analyste sécurité opérationnelle (gestion des alertes SIEM, gestion des vulnérabilités, triage d’incidents) et un responsable conformité et audit (suivi des obligations de reporting ASSI, politique interne, risque fournisseur). En dessous de trois rôles l’unité ne peut pas tourner en rotation 24/5 ni absorber un incident réel. Au-dessus de trois rôles vous engagez un calendrier de constitution que les canaux de recrutement algériens actuels ne peuvent pas tenir en 2026. Les DSI publics qui démarrent avec un seul « référent cybersécurité » — courant dans les déploiements début 2026 — découvriront lors de leur premier exercice ASSI que la structure est trop maigre pour réagir.

2. Négociez une lettre de partenariat avec DZ-CERT dans les 90 premiers jours

DZ-CERT est le pendant opérationnel de l’ASSI pour la gestion des incidents, et c’est le seul organisme algérien doté du flux de threat intel et de la capacité forensique pour soutenir une vraie réponse à incident en 2026. Les unités de cybersécurité des organismes publics qui attendent un incident pour se présenter à DZ-CERT perdront 24 à 48 heures de temps de confinement. Dans les 90 premiers jours d’existence de l’unité, le chef d’unité devrait signer un protocole d’escalade écrit avec DZ-CERT précisant : annuaire de contact 24/7, seuils de classification pour le reporting obligatoire, chaîne de garde des preuves, et engagements d’exercices conjoints. C’est de l’hygiène opérationnelle que le décret n’exige pas mais que toute fonction RSSI mature pratique.

3. Construisez une échelle de recrutement adossée aux 285 000 places de formation professionnelle

La stratégie 2025-2029 positionne la formation professionnelle comme canal d’offre dominant pour les talents en cybersécurité. Les DSI publics devraient concevoir une voie d’entrée junior-analyste explicitement alignée sur les diplômés de la formation professionnelle — une rotation structurée de 12 mois à travers le triage d’alertes SOC, l’analyse de vulnérabilités et le soutien à l’audit, jumelée à un mentor interne unique. L’article publié sur les filières IA/cloud/cybersécurité de la formation professionnelle algérienne documente déjà la structure de ces programmes ; tirez ce matériel dans vos descriptions de poste. Les organismes publics qui se disputent avec le secteur privé le petit vivier d’analystes seniors expérimentés perdront l’enchère ; ceux qui construisent un pipeline depuis les diplômés professionnels et les font grandir en interne pourvoiront leurs unités durablement.

4. Définissez trois KPI que l’ASSI et le chef d’institution reconnaissent tous deux

Résistez à la tentation de publier un tableau de bord avec vingt KPI. Les trois qui comptent à la fois pour l’ASSI et le chef d’institution en 2026 sont : (a) délai moyen d’accusé de réception d’une alerte DZ-CERT (cible : moins d’1 heure en heures ouvrables, moins de 4 heures hors heures), (b) pourcentage de vulnérabilités haute sévérité corrigées dans les 14 jours de divulgation (cible : 95 % et plus), et (c) pourcentage du personnel ayant complété le module annuel de sensibilisation à la cybersécurité de l’institution (cible : 90 % et plus). Ils sont auditables, vérifiables en externe, et s’alignent sur les piliers prévention-détection-réponse du décret. Ajoutez de la complexité en 2027 une fois que l’unité a 12 mois de données de référence.

5. Lancez votre premier exercice de simulation au T3 2026, pas en 2027

Une unité de cybersécurité qui n’a pas répété un incident est une unité de paperasse. Programmez le premier exercice interne au T3 2026, avec trois scénarios issus des menaces actives 2025-2026 : ransomware dans un ERP d’entreprise d’État, vol d’identifiants par hameçonnage d’un haut responsable, et compromission de la chaîne d’approvisionnement d’un fournisseur logiciel. Invitez un observateur DZ-CERT. Documentez les écarts révélés par l’exercice — presque certainement : autorité de décision floue, contact hors heures manquant, modèle de communication client non défini — et assignez des propriétaires avec des dates de correctif à 30 jours. L’article publié sur les exercices ransomware pour PME peut être adapté directement au contexte secteur public.

Travailler avec l’ASSI et le calendrier de conformité

Le calendrier de conformité 12 mois pour un organisme public algérien en 2026 devrait s’ancrer sur trois jalons fixes. À fin du T2, l’unité doit exister sur l’organigramme avec un chef nommé et au moins un poste d’analyste pourvu. À fin du T3, la lettre de partenariat avec DZ-CERT doit être signée et le premier exercice doit avoir eu lieu. À fin du T4, l’institution doit avoir publié sa première politique interne de cybersécurité, complété un inventaire d’actifs de référence, et reporté ses trois KPI au chef d’institution et à l’ASSI. Les institutions qui touchent ces trois jalons seront prêtes quand le projet de loi de cybersécurité atterrira avec des pouvoirs d’application formels — probablement en 2027 — et auront construit le muscle opérationnel que le décret entend. Les institutions qui diffèrent la mise en place rattraperont leur retard pendant que les inspections ASSI commencent et que DZ-CERT route déjà les incidents via les canaux plus rapides de leurs pairs.

Questions Fréquemment Posées

Sources et lectures complémentaires

• Algeria Strengthens Cybersecurity Framework to Protect National Infrastructure — Tech Africa News
• 2025-2029 National Information Systems Security Strategy Unveiled — African News DZ
• Algeria Public-Sector Cybersecurity Update — SAMENA Council
• CMS Expert Guide to Data Protection and Cyber Security Laws — Algeria