Règles cyber infrastructures critiques Algérie 2026

Publié le avril 16, 2026 · par ALGERIATECH Editorial

⚡ Points Clés

L’Algérie a enregistré plus de 70 millions de cyberattaques en 2024 (17e au niveau mondial), déclenchant la Stratégie nationale de cybersécurité 2025-2029 à cinq piliers du décret présidentiel 25-321 et le décret 26-07, qui imposent des unités cyber dédiées rendant compte au chef exécutif dans les banques, la santé et l’énergie. Les audits sectoriels se déploient sur 2026-2027 sous la supervision de l’ASSI.

En résumé : Engagez votre régulateur sectoriel par écrit ce trimestre et cartographiez les actifs existants par rapport au socle ASSI avant l’arrivée d’une lettre d’audit.

Lire l’analyse complète ↓

🧭 Radar de Décision

Pertinence pour l’Algérie
Élevée
▾

Les décrets 25-321 et 26-07 lient directement chaque banque, hôpital, opérateur énergétique et ministère algérien — le socle réglementaire pour le reste de la décennie.

Calendrier d’action
Immédiat
▾

Les institutions publiques disposaient d’une fenêtre de 90 jours à partir du décret 26-07 pour désigner un RSSI ; les audits sectoriels se déploient sur 2026-2027.

Parties prenantes clés
RSSI, DSI, comités de risque des conseils d’administration, régulateurs sectoriels (Bank of Algeria, ARPCE, Ministère de la Santé), ASSI

Type de décision
Stratégique
▾

Les structures de gouvernance, les lignes hiérarchiques et les investissements pluriannuels dans les talents doivent être décidés au niveau du comité exécutif dès maintenant.

Niveau de priorité
Critique
▾

La non-conformité expose à des sanctions de supervision, des restrictions de licence et des dommages à la réputation dans un régime d’audit transparent.

En bref : Confirmez votre classification IIC par écrit auprès du régulateur sectoriel ce trimestre, mettez en place une unité de cybersécurité rendant compte directement au chef exécutif (et non au DSI), et commandez une évaluation d’écart par rapport au socle ASSI avant qu’un auditeur ne réserve le créneau à votre place.

Un cadre réglementaire bâti pour la résilience nationale

Avec le décret présidentiel 25-321 du 30 décembre 2025, l’Algérie a formellement adopté la Stratégie nationale de cybersécurité 2025-2029, la tentative la plus ambitieuse du pays pour codifier ce que protéger un périmètre numérique national signifie. Deux semaines plus tard, le décret 26-07 du 7 janvier 2026 a traduit cette stratégie en règles opérationnelles : chaque institution publique doit désormais créer une unité de cybersécurité dédiée — distincte de la direction informatique — rendant compte directement au chef de l’organisation.

La stratégie s’articule autour de cinq piliers, mais la partie qui compte le plus pour les RSSI se trouve dans le troisième pilier : des réglementations de cybersécurité sectorielles pour les banques, la santé et l’énergie. Cette phrase, aussi brève soit-elle, signale une rupture avec l’approche uniforme antérieure de l’Algérie. Les régulateurs sectoriels — Bank of Algeria pour les banques, ARPCE pour les télécoms, et le Ministère de la Santé pour les hôpitaux et cliniques — doivent désormais publier des manuels sur mesure qui s’appuient sur le socle national fixé par l’ASSI (l’Agence de la sécurité des systèmes d’information opérant sous le Ministère de la Défense nationale).

Qui doit se conformer, et quand

Les décrets définissent une hiérarchie d’obligations claire. Au sommet se trouvent les opérateurs d’infrastructures d’information critiques (IIC) — les organisations dont la compromission perturberait les services essentiels. Six secteurs sont explicitement nommés : énergie, télécommunications, eau, transports, services financiers et services gouvernementaux. La santé est en cours d’intégration via des orientations sectorielles en cours de rédaction en 2026.

Pour les banques — tant publiques (BNA, CPA, BADR, BEA, BDL, CNEP) que privées (Société Générale Algérie, AGB, Trust Bank, Natixis Algérie et autres) — la Bank of Algeria agit en tant que régulateur sectoriel. Des audits de sécurité obligatoires doivent se déployer sur 2026 et 2027, les obligations les plus lourdes reposant sur les institutions qui exploitent la commutation des cartes (GIE Monétique, SATIM) ou qui présentent une importance systémique.

Pour la santé, la stratégie vise à la fois les CHU publics et les cliniques privées qui gèrent des dossiers patients électroniques. Avec le déploiement du programme national de dossier de santé et la transformation numérique au niveau hospitalier, les cliniques qui ignoraient auparavant les obligations cyber se retrouvent désormais à l’intérieur du périmètre IIC.

Pour l’énergie, Sonatrach et Sonelgaz — ainsi que leurs filiales et fournisseurs ICS — opèrent déjà sous des règles classifiées adjacentes à la défense. La stratégie 2025-2029 formalise ce qui était auparavant traité comme une exception de sécurité nationale, en faisant entrer la sécurité des technologies opérationnelles dans le périmètre réglementaire civil.

Les échéances varient. Les institutions publiques sont déjà liées par le décret 26-07 (publié au Journal officiel le 21 janvier 2026) et disposaient d’une fenêtre de 90 jours pour désigner un RSSI. Les opérateurs IIC privés sont intégrés via des circulaires sectorielles attendues tout au long de 2026.

Le mandat du RSSI — et le déficit de talents

Un fil conducteur traverse chaque décret : le Responsable de la sécurité des systèmes d’information n’est plus un simple atout. Le décret 20-05 avait initialement établi la fonction de RSSI pour les systèmes d’information de l’État ; le décret 26-07 a désormais clarifié l’autorité du rôle, les lignes hiérarchiques et les exigences minimales de compétence. Le décret 26-07 est explicite : le RSSI doit posséder une expertise cybersécurité démontrable — pas un directeur informatique reconverti avec un nouveau titre.

C’est un défi pratique majeur. La filière algérienne de professionnels qualifiés en cybersécurité se développe, mais la demande dépasse désormais largement l’offre. La réponse de la stratégie consiste à aligner le déploiement sur 285 000 nouvelles places de formation professionnelle dans les disciplines informatiques et cybersécurité sur la période de la stratégie — un chiffre qui reflète délibérément la courbe de conformité. Les universités (USTHB, ESI, ENSIA), les instituts de formation professionnelle et les prestataires privés comme EKSec développent déjà leurs cursus autour des nouveaux décrets.

Ce que les RSSI doivent faire dans les 180 prochains jours

L’environnement réglementaire évolue vite, mais les actions concrètes pour une direction RSSI algérienne bien gérée sont de plus en plus claires :

Confirmez votre classification IIC. Si votre institution relève du secteur bancaire, de la santé, de l’énergie, de l’eau, des transports ou des télécoms, partez du principe que vous êtes dans le périmètre. Engagez le dialogue avec votre régulateur sectoriel tôt plutôt que d’attendre une lettre d’audit.
Mettez en place l’unité de cybersécurité, indépendante de l’informatique. Le décret 26-07 est sans ambiguïté : la fonction cyber rend compte au chef de l’organisation, et non au DSI. Les schémas de gouvernance doivent le refléter.
Cartographiez vos actifs par rapport au socle ASSI. Le centre opérationnel de l’ASSI (CNOSSI) est la référence technique. Aligner les inventaires d’actifs, la journalisation et les playbooks de réponse aux incidents sur ses attentes dès maintenant portera ses fruits lorsque les audits commenceront.
Préparez-vous aux audits obligatoires. Les programmes d’audit sectoriels se déploient jusqu’en 2027. Identifiez des auditeurs externes qualifiés (la liste est en cours d’élaboration par l’ASSI) et planifiez une auto-évaluation avant que l’officielle n’arrive.
Investissez dans la filière humaine. Travaillez avec les universités et les centres professionnels pour sécuriser les futurs candidats RSSI. Les 285 000 places de formation constituent le plan national — votre institution a besoin de sa propre filière d’alimentation arrimée à celui-ci.

La perspective plus large

L’Algérie construit un cadre réglementaire qui, bien que plus strict que ce à quoi la plupart des RSSI du secteur privé sont habitués, aligne le pays sur la direction prise par l’UE (NIS2), le CCG et la plupart des économies du G20. Pour les dirigeants algériens, la fenêtre permettant de traiter la cybersécurité comme un poste budgétaire informatique s’est refermée. Ce qui vient ensuite est une capacité nationale — audits de niveau bancaire, gouvernance des données de santé, résilience du secteur énergétique — et les RSSI qui bougent les premiers définiront ce à quoi ressemble la conformité pour le reste de la décennie.

Suivez AlgeriaTech sur LinkedIn pour des analyses tech professionnelles Suivre sur LinkedIn

Suivez @AlgeriaTechNews sur X pour des analyses tech quotidiennes Suivre sur X

Questions Fréquemment Posées

Quelles organisations algériennes sont désormais classées comme opérateurs d’infrastructures d’information critiques (IIC)?

La Stratégie nationale de cybersécurité 2025-2029 nomme explicitement six secteurs — énergie, télécommunications, eau, transports, services financiers et services gouvernementaux — la santé étant intégrée via des orientations sectorielles rédigées en 2026. Les banques publiques et privées, SATIM, GIE Monétique, Sonatrach, Sonelgaz, Algérie Télécom, les grands CHU et les cliniques privées gérant des dossiers patients électroniques entrent tous dans le périmètre.

Quand un RSSI doit-il être nommé en vertu du décret 26-07?

Le décret 26-07 a été publié au Journal officiel le 21 janvier 2026 et donnait aux institutions publiques une fenêtre de 90 jours pour désigner un RSSI rendant compte directement au chef de l’organisation — distinct de la direction informatique. Les opérateurs IIC privés sont intégrés via des circulaires sectorielles déployées tout au long de 2026.

Que doit prioriser un RSSI dans les 180 prochains jours?

Confirmer la portée IIC auprès du régulateur sectoriel, restructurer la gouvernance pour que l’unité de cybersécurité rende compte au chef exécutif plutôt qu’au DSI, cartographier les actifs par rapport au socle ASSI/CNOSSI, planifier une évaluation d’écart pré-audit avec un cabinet indépendant, et verrouiller une filière d’alimentation arrimée aux 285 000 places de formation professionnelle nationales déployées jusqu’en 2029.