⚡ Points Clés

Le Décret présidentiel 26-07, en vigueur depuis le 21 janvier 2026, impose à chaque institution publique algérienne de constituer une unité dédiée de cybersécurité, rattachée directement à la direction de l’institution — distincte de la DSI, avec autorité sur la cartographie des risques, l’audit et le filtrage des marchés. Cette feuille de route à 90 jours séquence le déploiement : Jours 1–30, mise en place de l’unité et verrouillage de la ligne de rapport ; Jours 31–60, première cartographie des risques et politique de cybersécurité signée ; Jours 61–90, ligne de signalement d’incidents vers ASSI et clauses de sécurité dans chaque nouveau contrat d’externalisation.

En résumé: Traitez le Décret 26-07 comme un projet à 90 jours, pas comme un dossier de conformité ouvert. Nommez un responsable de l’unité dès le Jour 1, protégez une ligne budgétaire séparée de la DSI et installez la cadence de travail avec ASSI dès le départ — pas au troisième mois.

Lire l’analyse complète ↓

🧭 Radar de Décision

Pertinence pour l’Algérie
Élevée
toutes les entités publiques doivent se conformer
Calendrier d’action
Immédiat
décret en vigueur depuis le 21 janvier 2026
Parties prenantes clés
CISO, DSI, équipes DSI ministérielles, ASSI, responsables achats
Assessment: CISO, DSI, équipes DSI ministérielles, ASSI, responsables achats. Review the full article for detailed context and recommendations.
Type de décision
Tactique
Assessment: Tactique. Review the full article for detailed context and recommendations.
Niveau de priorité
Critique
Assessment: Critique. Review the full article for detailed context and recommendations.

En bref: Les équipes IT du secteur public algérien devraient traiter le Décret 26-07 comme un projet à 90 jours plutôt que comme un exercice de conformité ouvert. Les jours 1 à 30 mettent en place l’unité et verrouillent la ligne de rapport, les jours 31 à 60 livrent la première cartographie des risques et la politique signée, et les jours 61 à 90 raccordent le signalement d’incidents à ASSI et filtrent le pipeline d’achats. Protégez le budget de l’unité de l’absorption par la DSI et installez la cadence ASSI dès le départ.

Publicité

Du texte du décret au plan projet

Le Décret présidentiel n° 26-07, signé le 7 janvier 2026 et publié au Journal officiel le 21 janvier, dote le secteur public algérien d’un mandat clair pour bâtir des unités dédiées à la cybersécurité au sein de chaque institution. Le décret fixe la destination — une unité qui rapporte à la direction de l’institution, pilote la politique de cybersécurité, conduit la cartographie des risques, surveille les systèmes et coordonne avec ASSI sur les incidents — mais laisse le séquencement à chaque chef d’institution. C’est une caractéristique, pas une lacune : cela permet aux ministères, wilayas et entreprises publiques de calibrer le déploiement à leur propre surface de menace et à leur réalité d’effectifs. L’opportunité aujourd’hui consiste à transformer cette flexibilité en un projet discipliné et inscrit dans le temps.

Un cadre à 90 jours fonctionne parce qu’il correspond au tempo de fonctionnement de l’administration publique algérienne. Une année fiscale complète est trop lente pour entretenir la dynamique et trop facile à reléguer ; un sprint de 30 jours est trop court pour mener honnêtement un cycle de cartographie des risques et une revue de sécurité des prestataires. Quatre-vingt-dix jours — soit environ un trimestre budgétaire — offrent à la direction de l’institution trois points de contrôle distincts (Jour 30, Jour 60, Jour 90), chacun avec son livrable, et une cadence de reporting défendable vis-à-vis d’ASSI et du Conseil national qui valide les orientations stratégiques au titre de la Stratégie nationale de cybersécurité 2025-2029.

C’est aussi pour cela que cette feuille de route se lit comme une opportunité plutôt que comme une charge de conformité. Les institutions qui bougeront les premières seront celles qui rédigeront le manuel pratique que toutes les autres entités publiques finiront par copier — et les équipes IT qui pilotent ces déploiements bâtiront le type de profondeur opérationnelle (vraies cartes de risques, vraies répétitions de signalement d’incidents, vrais contrôles de marchés) qui est réellement rare aujourd’hui sur le marché du travail public algérien. Le Décret 26-07 est le moment où « responsable cybersécurité » cesse d’être un intitulé de poste pour devenir une discipline.

Ce que le Décret 26-07 exige réellement

L’exigence structurelle est nette et bien délimitée. Selon le reportage de l’Agence Ecofin sur le décret, chaque institution publique doit créer une unité dédiée de cybersécurité qui (1) fonctionne séparément de la direction technique des systèmes d’information, (2) rapporte directement au chef de l’institution plutôt qu’au DSI, (3) conçoit et supervise la politique de cybersécurité de l’institution, (4) mène la cartographie des risques et les plans de remédiation associés, (5) surveille les systèmes et conduit des audits réguliers, (6) signale immédiatement les incidents aux autorités compétentes, et (7) assure la conformité avec la législation sur la protection des données personnelles. L’unité doit aussi se coordonner avec la fonction achats et les organes de sécurité interne dès lors que l’institution externalise un travail touchant à ses systèmes d’information.

Ce dernier point pèse plus qu’il n’y paraît. Il insère l’unité cybersécurité dans tous les marchés publics IT signés par l’institution après janvier 2026 — l’unité examine les clauses de sécurité des prestataires, fixe les exigences minimales pour les sous-traitants et valide les arrangements d’externalisation avant la clôture du dossier d’achat. Pour les institutions qui s’approvisionnent largement auprès d’intégrateurs locaux ou qui signent des contrats cloud et d’hébergement, c’est la partie du décret avec l’empreinte opérationnelle la plus large.

Le décret complète aussi le mandat existant du CISO. Le cadre national algérien de cybersécurité a institutionnalisé le rôle de Chief Information Security Officer dans les institutions publiques depuis 2020, comme l’a documenté TechAfrica News dans sa revue de janvier 2026. Le Décret 26-07 ne remplace pas le CISO — il lui donne un véhicule organisationnel (l’unité) et une ligne de rapport directe vers le chef de l’institution.

Publicité

Qui doit se conformer et la réalité du calendrier

Le champ du décret est large : toutes les institutions et administrations publiques sont concernées, ce qui en pratique signifie chaque ministère, chaque administration de wilaya, chaque entreprise publique (EPE/EPIC), chaque agence de régulation et chaque opérateur étatique exploitant des systèmes d’information critiques. Universités, hôpitaux et grandes administrations de sécurité sociale et fiscale tombent dans le même périmètre, même si leurs profils de menace sont assez différents.

Le décret ne publie pas d’échéance calendaire explicite, ce qui fait du calendrier un jugement par chaque chef d’institution. Cela dit, le contexte politique plus large — le Décret présidentiel n° 25-321 du 30 décembre 2025 approuvant la Stratégie nationale de cybersécurité 2025-2029, le Décret 26-07 une semaine plus tard, et une surface de menace documentée de plus de 70 millions de tentatives de cyberattaques contre l’Algérie sur la seule année 2024 — crée une dynamique descendante claire. Les institutions encore en phase de planification au troisième trimestre 2026 seront visiblement en retard, tant vis-à-vis d’ASSI que de leurs propres organes d’audit.

L’inférence pratique : traiter le Jour 1 du plan à 90 jours comme la date à laquelle le chef de l’institution nomme formellement un responsable d’unité cybersécurité. À partir de cette décision, 90 jours amènent l’unité à « opérationnelle », pas à « parfaite ». L’étape du Jour 90, c’est une unité qui dispose d’une politique publiée, d’une première cartographie des risques, d’une ligne de signalement d’incidents vers ASSI et d’une clause de sécurité dans chaque nouveau contrat d’externalisation.

Ce que les équipes IT du secteur public doivent faire

1. Jours 1-30 : créer l’unité, nommer un responsable et verrouiller la ligne de rapport

Les 30 premiers jours relèvent de la gouvernance, pas de la technologie. Le chef de l’institution émet une note interne désignant l’unité cybersécurité, nomme le responsable de l’unité (l’équivalent CISO sous le Décret 26-07) et confirme par écrit que ce responsable rapporte directement à la direction de l’institution — pas via le directeur IT. C’est l’étape structurelle la plus importante de toute la feuille de route : si l’unité finit par rapporter à la fonction IT qu’elle est censée auditer, l’intention du décret est défaite dès le Jour 1.

En parallèle, le responsable recrute ou désigne l’équipe fondatrice. Un minimum défendable pour une petite institution est de trois personnes : le responsable, un analyste opérations de sécurité et un ingénieur sécurité ou responsable gouvernance. Les institutions plus grandes (plus de 2 000 agents ou opérateurs d’infrastructures critiques) devraient prévoir 8 à 12 personnes au Jour 90, mises à l’échelle à partir des mêmes trois fonctions cœur. Les fiches de poste doivent être rédigées avant le démarrage du recrutement, et la place de l’unité dans l’organigramme doit être publiée en interne pour que chaque autre direction sache où adresser les notifications d’incidents.

2. Jours 31-60 : conduire la première cartographie des risques et rédiger la politique de cybersécurité

Le cycle de cartographie des risques est le premier grand livrable technique. L’unité inventorie les systèmes d’information de l’institution, les classe par sensibilité (en utilisant la législation sur la protection des données personnelles comme l’un des axes de classification) et mène une évaluation structurée des menaces sur chacun. La sortie est un registre de risques priorisé — pas un document de 200 pages, mais une liste de travail des 15 à 30 risques les plus matériels, avec des propriétaires nommés et des calendriers de remédiation. La situation des menaces en Algérie, rapportée par l’Agence Ecofin, est dominée par le phishing (plus de 13 millions de tentatives bloquées en 2024) et le malware par e-mail (près de 750 000 pièces jointes interceptées), ce qui signifie que le registre devrait pondérer fortement les contrôles e-mail, identité et endpoint dès la première itération.

En parallèle, l’unité rédige la politique de cybersécurité de l’institution. La politique est le document que le chef de l’institution signe pour rendre l’autorité de l’unité exécutoire sur chaque direction. Elle doit reprendre les responsabilités de l’unité telles qu’énoncées dans le Décret 26-07, faire référence au mandat CISO existant et couvrir explicitement le signalement d’incidents, l’accès aux audits et le pouvoir de l’unité de bloquer les clauses de sécurité dans les contrats d’externalisation. Le jalon du Jour 60 est « cartographie des risques rédigée + politique signée ».

3. Jours 61-90 : raccorder le signalement d’incidents à ASSI et filtrer le pipeline d’achats

Les 30 derniers jours opérationnalisent les deux exigences qui ont la plus grande conséquence à l’extérieur de l’institution : le signalement d’incidents à ASSI et le filtrage des achats. L’unité établit un point de contact unique nommé (une personne et une boîte aux lettres) pour ASSI, convient d’un schéma de classification des incidents qui s’aligne avec ce qu’ASSI attend de recevoir, et conduit au moins un exercice de simulation qui rejoue une notification d’incident de bout en bout. Le rôle de coordination d’ASSI sous le Ministère de la Défense nationale — défini dans la Stratégie nationale de cybersécurité 2025-2029 — fait de cette ligne de contact l’interface principale de l’institution avec l’État en matière de cybersécurité.

En parallèle, l’unité accompagne la fonction achats dans la mise en œuvre du nouveau modèle de clause de sécurité. Chaque dossier d’externalisation ouvert après le Jour 90 doit comporter une annexe sécurité que l’unité cybersécurité valide, couvrant la résidence des données, les contrôles sur les sous-traitants, les délais de notification d’incidents et les droits d’audit. Le jalon du Jour 90 est une unité dotée d’une vraie ligne d’incidents vers ASSI, d’une politique opérante, d’une cartographie des risques à jour et d’un filtre d’achats.

4. Construire la cadence de coordination avec ASSI dès le Jour 1, pas au troisième mois

ASSI est le partenaire stratégique, pas un régulateur à tenir à distance. Le responsable de l’unité doit traiter la relation comme un partenariat de travail pluriannuel : une cadence de reporting régulière (notes de statut mensuelles la première année, trimestrielles ensuite), une participation aux activités coordonnées par ASSI décrites dans le Cadre national de cybersécurité, et une volonté de partager des synthèses de cartographies de risques et des retours d’expérience. Les institutions qui bâtissent cette cadence tôt obtiennent un accès plus précoce au renseignement sur les menaces, un appui plus rapide en réponse à incident et une voix plus forte dans la manière dont les guides sectoriels prennent forme. L’unité doit aussi cartographier la relation avec les organes connexes — DZ-CERT pour la coordination des réponses à incidents, l’autorité de protection des données personnelles pour la conformité — et nommer des correspondants désignés pour chacun.

5. Budgétiser l’unité honnêtement et la protéger d’une absorption par la DSI

Le plus grand risque de mise en œuvre, c’est l’absorption budgétaire. Si le budget de l’unité cybersécurité est logé dans l’enveloppe de la direction IT, l’unité perdra discrètement des ressources au profit des priorités IT opérationnelles chaque trimestre. Le remède est structurel : le chef de l’institution approuve une ligne budgétaire de l’unité cybersécurité séparée, distincte des opérations IT, avec sa propre enveloppe pluriannuelle. Le jalon du Jour 90 ici, c’est un budget signé pour le reste de l’exercice 2026 et un projet pour 2027 qui protège les trois plus grandes catégories de coûts — personnel (60-70 % du budget), outillage (20-30 %) et services externes comme audits et contrats de soutien à la réponse à incident (10-15 %). Les institutions qui publient le budget de leur unité cybersécurité séparément dans leurs documents de planification interne envoient un signal clair : l’unité est une fonction permanente, pas un projet.

Bâtir les fondations de la résilience cyber en Algérie

Une feuille de route à 90 jours n’est pas la réponse complète au Décret 26-07. C’est le point d’entrée. Ce qu’elle livre en réalité, c’est une unité opérationnelle à la fin d’un trimestre, une piste d’audit défendable pour le chef de l’institution et une relation de travail avec ASSI qui mûrira sur les deux ou trois années à venir. L’unité qui existe au Jour 91 n’est pas une capacité de cybersécurité achevée — c’est une fondation crédible que l’institution pourra développer jusqu’en 2027 et dans la seconde moitié de la fenêtre stratégique 2025-2029.

Ce que cette feuille de route signale plus largement, c’est que le Décret 26-07 a changé le modèle de fonctionnement de l’IT public en Algérie. Le DSI n’est plus la seule voix IT senior dans la pièce ; le responsable de l’unité cybersécurité dispose d’une ligne de rapport parallèle, directement vers la direction de l’institution, et d’un domaine — risques, audit, sécurité des achats, signalement d’incidents, protection des données — qui traverse chaque initiative digitale conduite par l’institution. Pour les équipes IT publiques, cela signifie des liens de travail plus étroits avec une fonction paire, une revue interne plus rigoureuse des nouveaux systèmes et une réponse structurelle à la question de savoir qui, exactement, est responsable quand quelque chose va de travers.

Bien exécutée, la mise en œuvre du Décret 26-07 dans les ministères, wilayas et entreprises publiques algériennes donnera au pays une architecture de cybersécurité en couches : une stratégie nationale au sommet, ASSI qui coordonne, des unités institutionnelles qui exécutent et un vivier de talents national qui croît parce que la demande est désormais codifiée dans la loi. Le plan à 90 jours, c’est la brique que chaque institution apporte à cette architecture.

Suivez AlgeriaTech sur LinkedIn pour des analyses tech professionnelles Suivre sur LinkedIn
Suivez @AlgeriaTechNews sur X pour des analyses tech quotidiennes Suivre sur X

Publicité

Questions Fréquemment Posées

1. Qu’exige le Décret 26-07 des institutions publiques algériennes ?

Le Décret présidentiel n° 26-07, publié au Journal officiel le 21 janvier 2026, impose à chaque institution publique algérienne d’établir une unité dédiée de cybersécurité. L’unité doit fonctionner séparément de la direction technique IT, rapporter directement au chef de l’institution, concevoir et superviser la politique de cybersécurité, conduire la cartographie des risques avec les plans de remédiation, surveiller les systèmes et les auditer régulièrement, signaler immédiatement les incidents aux autorités compétentes, assurer la conformité avec la loi sur la protection des données personnelles et se coordonner avec les achats sur les clauses de sécurité des contrats d’externalisation.

2. Qui doit se conformer au Décret 26-07 ?

Toutes les institutions et administrations publiques sont concernées — ministères, administrations de wilaya, entreprises publiques (EPE/EPIC), agences de régulation, opérateurs étatiques de systèmes d’information critiques, universités publiques, hôpitaux publics et grandes administrations de sécurité sociale et fiscale. Le décret ne publie pas d’échéance explicite ; en pratique, les institutions encore en phase de planification au troisième trimestre 2026 seront visiblement en retard sur la dynamique politique fixée par la Stratégie nationale de cybersécurité 2025-2029.

3. Comment l’unité cybersécurité travaille-t-elle avec ASSI ?

ASSI (Agence de la Sécurité des Systèmes d’Information), placée sous le Ministère de la Défense nationale, coordonne la stratégie nationale de cybersécurité et joue le rôle d’agence partenaire pour les unités institutionnelles. Chaque unité devrait désigner un point de contact nommé pour ASSI, convenir d’un schéma de classification des incidents aligné sur les attentes d’ASSI, partager des synthèses de cartographies de risques et des retours d’expérience, et rejoindre les activités coordonnées par ASSI décrites dans la stratégie 2025-2029. La relation est un partenariat de travail pluriannuel, pas un contrôle de conformité ponctuel.

Sources et lectures complémentaires