SOC OT pour Sonatrach & Sonelgaz : le plan 2026

Publié le mai 31, 2026 · Dernière mise à jour juin 1, 2026 · par ALGERIATECH Editorial

⚡ Points Clés

Une enquête sectorielle 2026 a établi que 99 opérateurs pétroliers et gaziers sur 100 ont signalé au moins un incident cyber OT depuis février 2026, et 85 % fonctionnent avec cinq employés OT-sécurité ou moins. Le Décret 26-07, signé le 7 janvier 2026, donne à Sonatrach et Sonelgaz une fenêtre réglementaire définie pour concevoir un SOC conscient des protocoles SCADA fondé sur l’architecture Purdue + IEC 62443, des plateformes de visibilité OT-natives et une réponse à incident coordonnée avec l’ASSI.

En résumé: Les responsables sécurité de Sonatrach et Sonelgaz devraient lancer dès maintenant une découverte d’actifs OT de 90 jours sur deux ou trois installations représentatives, déployer une plateforme OT-native à côté du SIEM existant, et co-concevoir l’interface de réponse à incident avec l’ASSI et le DZ-CERT dans les 6 à 12 prochains mois.

Lire l’analyse complète ↓

🧭 Radar de Décision

Relevance for Algeria
Élevé
▾

Le Décret 26-07 s’applique directement à Sonatrach, Sonelgaz et à tout opérateur d’infrastructure critique ; le secteur énergétique représente plus de 20 % du PIB et la plus grande surface cyber-physique concentrée du pays.

Action Timeline
6-12 mois
▾

La découverte d’actifs et les pilotes de déploiement peuvent commencer immédiatement ; les exercices de playbook coordonnés avec l’ASSI sont réalistes en moins d’un an si le budget et la gouvernance se débloquent en 2026.

Key Stakeholders
Équipes sécurité Sonatrach/Sonelgaz, ASSI, DZ-CERT

Decision Type
Stratégique
▾

Il s’agit d’une construction organisationnelle et architecturale qui façonne la posture opérationnelle pendant des années, pas d’une simple décision d’achat de produit.

Priority Level
Élevé
▾

Le Décret 26-07 crée une échéance réglementaire, et les données de menaces 2026 montrent que les incidents dans le secteur énergétique ont atteint des niveaux quasi-saturés chez les opérateurs mondiaux.

En bref: Les responsables sécurité de Sonatrach et Sonelgaz devraient lancer une découverte d’actifs OT de 90 jours sur deux ou trois installations représentatives, aligner une plateforme de visibilité OT-native à côté du SIEM existant plutôt qu’à sa place, et co-concevoir l’interface de réponse à incident avec l’ASSI et le DZ-CERT dès maintenant — avant le premier audit au niveau du conseil. L’architecture, les équipes et le mandat réglementaire s’alignent ; les 6 à 12 prochains mois sont la fenêtre de construction.

Pourquoi le Moment SOC du Secteur Énergétique Algérien Est Arrivé

Le secteur énergétique algérien se trouve à un point d’inflexion délibéré. Le Décret présidentiel 26-07, publié le 7 janvier 2026 dans le cadre de la Stratégie Nationale de Cybersécurité 2025-2029, exige de chaque institution publique la mise en place d’une unité cybersécurité dédiée — structurellement séparée des opérations IT et rattachée directement au responsable de l’organisation. Pour Sonatrach (environ 45 milliards de dollars de chiffre d’affaires à l’export en 2024) et Sonelgaz (près de 12 millions de clients électricité), ce décret transforme ce qui relevait jusqu’ici de la « bonne pratique » en modèle opérationnel défini, articulé aux orientations de l’ASSI et aux obligations de coordination du DZ-CERT.

Le tableau mondial des menaces aiguise l’opportunité. Une enquête opérateurs Hydrocarbon Processing de 2026 a constaté que 99 opérateurs pétroliers et gaziers sur 100 ont signalé au moins un incident cyber OT depuis février 2026, avec des rançongiciels touchant des systèmes connectés à l’OT chez 48 % des répondants. Le suivi des menaces industrielles de Dragos a identifié 119 groupes de rançongiciels ciblant des organisations industrielles en 2025, en hausse de 49 % sur un an, affectant 3 300 organisations dans le monde. Resecurity a classé l’énergie parmi les secteurs d’infrastructure critique les plus visés alors que les tensions géopolitiques ont entraîné une hausse mesurable des attaques, les adversaires utilisant de plus en plus les points d’appui IT comme tremplins vers les mouvements latéraux OT.

Pour les équipes énergie algériennes, la lecture est claire : le mandat réglementaire, la trajectoire des menaces et la conversation budgétaire convergent. Un SOC OT dédié — distinct d’un SOC IT traditionnel — est la réponse structurelle qu’appellent les 6 à 12 prochains mois.

L’Architecture d’un SOC Conscient des Protocoles SCADA

Un SOC OT n’est pas un SOC IT auquel on ajoute des sources de logs. L’objectif d’ingénierie à l’intérieur d’une raffinerie Sonatrach ou d’une sous-station Sonelgaz est la continuité opérationnelle et la sûreté, pas la vitesse de patching. Les contrôles de niveau IT — mises à jour fréquentes d’agents, analyses agressives des terminaux, changements de segmentation non annoncés — peuvent perturber une conversation Modbus ou DNP3 d’une manière qui se répercute sur le procédé physique. Un SOC conscient des protocoles SCADA hérite donc d’une architecture de référence différente : le modèle Purdue posé sur le cadre IEC 62443 zones-et-conduits, avec la surveillance passive par défaut et le sondage actif strictement encadré.

Trois choix d’architecture distinguent la construction. D’abord, les plateformes de visibilité OT-natives comprennent les protocoles industriels (Modbus, DNP3, IEC 61850, OPC UA, S7) que les règles SIEM classiques ne parsent pas. Les analystes du secteur convergent vers une liste courte de plateformes dédiées — Dragos pour le renseignement sur les menaces industrielles et la réponse aux incidents, Nozomi Networks pour la couverture des actifs cyber-physiques et la visibilité distribuée à grande échelle, et TXOne pour la protection des terminaux OT et la segmentation, selon la comparaison 2026 des plateformes OT/ICS de Reliamag. Ensuite, le SIEM reste l’épine dorsale de corrélation mais est alimenté par la télémétrie OT via une passerelle unidirectionnelle ou un schéma de diode de données soigneusement délimité, afin que le SOC d’entreprise hérite de la visibilité OT sans ouvrir de chemin de retour vers le réseau de procédé. Enfin, le modèle Purdue continue de définir où les systèmes se situent, tandis que l’IEC 62443 définit avec quoi ils peuvent dialoguer via ses zones et conduits — les deux cadres sont complémentaires, pas concurrents.

Le résultat est un SOC capable de remonter une alerte sur une écriture Modbus illégitime vers une station de compression sans demander d’abord à l’opérateur d’usine d’installer un nouvel agent sur le PLC.

Comment les Équipes Sonatrach et Sonelgaz Peuvent le Bâtir

1. Commencer par la découverte d’actifs OT avant toute règle d’alerte

La décision la plus levier des premiers mois consiste à inventorier le parc OT avant de décider quoi détecter. La même enquête Hydrocarbon Processing a établi que 87 % des opérateurs pétroliers et gaziers affirment qu’ils détecteraient une intrusion en moins de 24 heures, alors que seulement 16 % fondent cette confiance sur une surveillance OT continue — le reste devine. Pour les sites amont de Sonatrach et les sous-stations Sonelgaz, les 90 premiers jours devraient financer un pilote de surveillance passive sur deux ou trois installations représentatives (une amont, une aval ou sous-station, une passerelle bureau-IT). Le livrable est un inventaire vérifié des PLC, RTU, IHM, postes d’ingénierie et des protocoles qu’ils utilisent réellement en production. Une logique de détection sans inventaire produit des alertes que le SOC ne peut pas trier.

2. Déployer une détection OT dédiée à côté du SIEM — pas à sa place

La détection OT et le SIEM d’entreprise sont superposés, pas substitués. L’analyse Forescout 2026 a documenté un record de 2 155 vulnérabilités ICS dans 508 avis, avec la fabrication et l’énergie en tête des secteurs touchés. Une plateforme OT-native parse ces avis spécifiques aux fournisseurs et les anomalies protocolaires ; le SIEM les corrèle avec les signaux identité, VPN et IT pour que l’analyste voie un incident au lieu de deux demi-images. Les équipes Sonatrach et Sonelgaz devraient viser une architecture unidirectionnelle où le capteur OT vit dans le réseau de procédé, exporte une copie des détections vers le SIEM d’entreprise et n’accepte jamais de changements de configuration entrants depuis le côté IT. Ce schéma préserve l’intégrité du système instrumenté de sécurité pendant que le SOC conserve la vue unifiée dont il a besoin.

3. Bâtir le playbook de réponse à incident aligné sur l’ASSI

Le Décret 26-07 transforme la réponse à incident d’un manuel interne en un flux coordonné avec l’ASSI et le DZ-CERT. Les équipes Sonatrach et Sonelgaz peuvent utilement anticiper les détails opérationnels : une matrice de sévérité documentée qui relie l’impact OT (perte de visibilité, perte de contrôle, activation du système instrumenté de sécurité) aux délais de notification ; un point de contact pré-établi au centre opérationnel CNOSSI de l’ASSI ; et des exercices sur table qui déroulent de bout en bout un scénario rançongiciel-IT-pivotant-vers-OT avec les équipes juridique, communication et direction d’usine réunies. L’analyse récente de la stratégie nationale de cybersécurité décrit le rôle de l’ASSI comme bras d’exécution technique et opérationnel — les équipes énergie qui construisent leur playbook avec cette interface à l’esprit trouveront la coordination réglementaire plus facile et plus rapide.

4. Doter le SOC OT pour une couverture en équipes, pas pour un effectif d’affichage

Les 85 % d’opérateurs fonctionnant avec cinq employés OT-sécurité ou moins est la contrainte structurante, pas la ligne budgétaire. Un modèle algérien viable est hybride : un petit noyau interne (3 à 5 ingénieurs seniors OT-conscients) pour l’architecture, la gestion des fournisseurs et l’astreinte, en partenariat avec un dispositif de détection managée pour le tri hors heures. Le mix de compétences importe plus que l’effectif : au moins un membre d’équipe avec expérience pratique PLC/IHM (souvent un ancien ingénieur procédé reconverti en sécurité), au moins un avec analyse de paquets protocolaires industriels, et un chemin d’escalade clair vers un pair en ingénierie procédé sur chaque site. Les filières de formation décrites dans les programmes nationaux cités par la stratégie 2025-2029 — 285 000 places annoncées pour 2026, dont les certifications cybersécurité — sont la réponse à moyen terme ; la réponse à court terme est le recrutement ciblé et les primes de rétention pour les talents formés à l’OT.

Où Cela Se Place dans l’Agenda 2027 de Sécurité des Infrastructures Critiques en Algérie

Un SOC OT bien construit n’est pas un artefact de conformité — c’est le centre opérationnel qui relie la Stratégie Nationale de Cybersécurité 2025-2029 à la réalité quotidienne d’exploiter un pipeline, une raffinerie ou une sous-station. Les flux d’hydrocarbures de Sonatrach et le réseau de Sonelgaz constituent les deux plus grandes surfaces cyber-physiques du pays, et ils sont aussi les deux candidats les plus naturels pour un déploiement d’architecture de référence que d’autres opérateurs publics (services de l’eau, ports, transport) pourront adapter plutôt que réinventer.

Le cadrage prospectif compte ici. Le secteur énergétique algérien est positionné pour publier, plutôt que d’emprunter, le modèle opérationnel — un plan de SOC conscient des protocoles SCADA produit à Alger, validé contre les orientations de l’ASSI et l’IEC 62443, peut devenir une référence régionale plutôt qu’une copie de playbooks européens ou du Golfe. L’horizon 6-12 mois est réaliste : mois 1 à 3 pour la découverte d’actifs et la validation d’architecture, mois 4 à 9 pour le déploiement de plateforme et les exercices de playbook, mois 10 à 12 pour le premier exercice sur table coordonné avec l’ASSI. Mené dans cet ordre, le SOC entre en 2027 comme une capacité opérationnelle plutôt qu’un projet bloqué — et le mandat du Décret 26-07 devient la rampe de lancement qu’il était conçu pour être.

Suivez AlgeriaTech sur LinkedIn pour des analyses tech professionnelles Suivre sur LinkedIn

Suivez @AlgeriaTechNews sur X pour des analyses tech quotidiennes Suivre sur X

Questions Fréquemment Posées

Que requiert concrètement le Décret 26-07 pour Sonatrach et Sonelgaz ?

Le Décret présidentiel 26-07, signé le 7 janvier 2026, impose aux institutions publiques et aux opérateurs d’infrastructure critique de mettre en place une unité cybersécurité dédiée, structurellement séparée de la gestion IT et rattachée directement au responsable de l’organisation. Pour les opérateurs énergétiques, cela signifie une unité avec sa propre ligne budgétaire, son mandat et ses obligations de réponse à incident coordonnée avec l’ASSI. Le décret s’inscrit dans la Stratégie Nationale de Cybersécurité 2025-2029 approuvée par le Décret 25-321, et c’est le levier opérationnel qui transforme « nous devrions avoir un SOC » en exigence définie avec une horloge réglementaire.

En quoi un SOC OT diffère-t-il d’un SOC IT classique ?

Un SOC OT surveille des systèmes de contrôle industriel — SCADA, PLC, RTU, IHM — qui parlent des protocoles (Modbus, DNP3, IEC 61850, OPC UA) que les outils de sécurité IT standards ne parsent pas. La priorité d’ingénierie est la continuité opérationnelle et la sûreté, pas la vitesse de patching ; les SOC OT s’appuient donc sur la surveillance passive, les passerelles de données unidirectionnelles et des plateformes OT-natives comme Dragos, Nozomi ou TXOne. Le SIEM reste utile comme couche de corrélation, mais la plateforme de visibilité OT est le moteur de détection principal à l’intérieur du réseau de procédé. En pratique, les deux travaillent ensemble : capteur OT en usine, corrélation SIEM en amont, vue unique pour l’analyste.

Quelle est une première étape réaliste pour une équipe énergie algérienne partant de zéro ?

Commencer par une découverte passive d’actifs OT sur deux ou trois installations représentatives — une amont, une aval ou sous-station, une passerelle IT-OT — avant d’acheter la moindre règle de détection ou de doter un service 24/7. L’enquête opérateurs Hydrocarbon Processing 2026 a établi que 87 % des opérateurs affirment qu’ils détecteraient une intrusion en moins de 24 heures, mais seulement 16 % fondent cette confiance sur une surveillance OT continue. Un sprint de découverte de 90 jours produit l’inventaire vérifié dont dépend la suite du déploiement SOC, valide le choix de plateforme contre le trafic réel de production, et donne au responsable sécurité un livrable concret à présenter en réunion de coordination ASSI et au conseil.