⚡ Points Clés

Le Décret présidentiel n° 26-07, en vigueur depuis janvier 2026, impose à chaque institution publique algérienne de créer une unité cybersécurité dédiée — ouvrant un marché de passation de marchés immédiat pour les entreprises IT locales. Avec plus de 70 millions de cyberattaques en 2024 et la plupart des institutions dépourvues de talents internes, le décret génère une demande structurelle et récurrente en cartographie des risques, services de sécurité gérés et formations auprès de 600+ organismes publics.

En résumé: Enregistrez-vous à l’ARMP, créez un service de conformité Décret 26-07 packagé avec une tarification claire, et priorisez les premières missions de référence — la fenêtre pour verrouiller des contrats MSSS pluriannuels avant la formalisation des appels d’offres se ferme au troisième trimestre 2026.

Lire l’analyse complète ↓

🧭 Radar de Décision

Pertinence pour l’Algérie
Élevée
Le Décret 26-07 crée un marché de commande publique obligatoire — chaque institution publique doit créer une unité de cybersécurité, générant une demande directe de services pour les entreprises IT algériennes, les conseillers juridiques et les prestataires de sécurité.
Calendrier d’action
Immédiat
Les délais de passation de marchés dans le cadre du décret sont déjà en cours. Les entreprises qui établissent des packages conformité et s’inscrivent à l’ARMP maintenant captureront les premiers contrats institutionnels.
Parties prenantes
Entreprises IT algériennes, startups cybersécurité, prestataires enregistrés ARMP, RSSI et DSI des institutions publiques, Ministère de l’Économie Numérique
Type de décision
Stratégique
Pour les entreprises IT, le décret représente un canal de revenus pluriannuel nécessitant un positionnement délibéré, le développement des capacités et une infrastructure de marchés publics.
Niveau de priorité
Élevé
L’avantage du premier entrant est significatif — les institutions doivent satisfaire aux exigences du décret, et les entreprises disposant de packages conformité et d’une inscription ARMP seront les premières à recevoir des contrats.

En bref: Les entreprises IT algériennes devraient construire un package de services de conformité au Décret 26-07 maintenant, s’inscrire à l’ARMP, et identifier 3 à 5 institutions publiques comme clients cibles pour les premiers contrats. Les clauses de mandat de dotation en personnel cybersécurité et les provisions d’externalisation sont les ancrages contractuels les plus valorisés — les entreprises qui tarifent ces services pour les budgets institutionnels et structurent des modèles d’engagement récurrents domineront ce marché.

Publicité

La Réalité des Marchés Publics Derrière le Décret 26-07

Le Décret présidentiel n° 26-07, promulgué le 7 janvier 2026 et publié au Journal officiel le 21 janvier, crée un défi immédiat en matière de ressources humaines et de compétences pour chaque institution publique algérienne. Le décret est sans ambiguïté : chaque institution doit créer une unité cybersécurité dédiée qui (1) opère séparément de la fonction de gestion informatique, (2) relève directement du chef de l’institution, (3) élabore et supervise la politique de cybersécurité, (4) effectue la cartographie des risques, et (5) gère le signalement des incidents aux autorités compétentes.

Le problème est que la plupart des institutions publiques algériennes — ministères, wilayas, agences publiques, entreprises publiques — ne disposent pas des talents internes en sécurité pour constituer ces unités ex nihilo. L’Algérie a enregistré plus de 70 millions de cyberattaques en 2024, dont 13 millions de tentatives de phishing et 750 000 pièces jointes malveillantes bloquées — un environnement de menaces qui exige des spécialistes formés, et non des administrateurs réseau reconvertis. Le pipeline de formation en cybersécurité du ministère de l’Enseignement supérieur se développe, mais l’offre de professionnels certifiés reste bien en deçà de la demande institutionnelle que le décret 26-07 vient de créer.

L’opportunité qui en résulte pour les entreprises de services IT algériennes est structurelle et durable. Les institutions publiques ne peuvent pas satisfaire aux exigences du décret par le seul recrutement — elles auront besoin d’un appui externe pour l’évaluation des risques, la conception de l’architecture de sécurité, les plateformes de surveillance des incidents, la formation du personnel et les services de sécurité gérés continus. Contrairement à un projet d’infrastructure ponctuel, le soutien aux unités cybersécurité génère des contrats de services récurrents. Comprendre comment se positionner sur ce marché exige de maîtriser à la fois le mécanisme de passation des marchés et les services spécifiques que le décret impose.

Ce que le Décret Exige Concrètement — et Ce que Cela Signifie pour les Prestataires

1. La Cartographie des Risques est le Service d’Entrée

Le décret impose spécifiquement aux unités cybersécurité d' »identifier les risques par une cartographie dédiée et de déployer des plans de remédiation appropriés ». La cartographie des risques — documenter les actifs numériques d’une institution, les points d’accès, les catégories de données et les vecteurs de menace — est le service fondamental qu’aucune institution ne peut contourner et que la plupart ne peuvent pas réaliser en interne sans appui spécialisé.

Pour les entreprises de services IT, les missions de cartographie des risques présentent trois avantages commerciaux. Premièrement, elles sont délimitées dans le temps — généralement 4 à 12 semaines pour une institution de la taille d’un ministère — ce qui les rend plus faciles à proposer et à exécuter que les contrats de services gérés à durée indéterminée. Deuxièmement, elles produisent un livrable (la cartographie des risques et le plan de remédiation) qui devient le document de référence pour toutes les décisions cybersécurité ultérieures, ancrant la relation de l’entreprise avec l’institution. Troisièmement, elles sont généralement financées sur des lignes budgétaires opérationnelles plutôt que sur des lignes d’investissement en capital, ce qui rend l’approbation plus rapide que pour les achats majeurs d’infrastructure.

Le livrable de cartographie des risques doit inclure : un inventaire des actifs numériques (systèmes, terminaux, segments réseau), une évaluation des acteurs menaçants adaptée au secteur de l’institution, un audit des contrôles d’accès et un plan de remédiation priorisé avec calendrier et estimations de coûts. Les entreprises qui ont développé une méthodologie standardisée pour la cartographie des risques dans le contexte du secteur public algérien — tenant compte de la pile technologique spécifique (infrastructure Windows prédominante, centres de données sur site, adoption limitée du cloud) — peuvent livrer ces missions à des prix compétitifs tout en maintenant des standards de qualité qui les différencient des concurrents moins chers produisant des évaluations génériques.

2. La Capacité de Réponse aux Incidents est l’Ancre du Contrat Récurrent

Le décret exige que les unités cybersécurité « assurent une surveillance continue et des audits réguliers » et « imposent un signalement immédiat des incidents aux autorités ». Ces deux obligations requièrent une capacité opérationnelle continue que la plupart des institutions ne peuvent pas maintenir avec leurs seules ressources internes — créant une opportunité naturelle de services de sécurité gérés (MSSS).

Selon l’analyse de la Stratégie nationale de cybersécurité 2025-2029, l’environnement de sécurité national requiert une capacité de surveillance continue de l’ensemble des institutions publiques. Un contrat MSSS structuré autour de la conformité au décret 26-07 couvre généralement : la surveillance des événements de sécurité 24h/24 et 7j/7 via un système SIEM (Security Information and Event Management), des rapports d’audit mensuels soumis au format requis pour la direction institutionnelle, des playbooks de réponse aux incidents personnalisés à l’environnement de l’institution, et une ligne d’escalade pour les incidents actifs. L’ASSI (Agence de la Sécurité des Systèmes d’Information) et DZ-CERT sont les organismes officiels de signalement pour les incidents du secteur public — les entreprises qui aident les institutions à construire et tester leurs flux de signalement d’incidents apportent une valeur de conformité directe au-delà des services de surveillance génériques.

La tarification des contrats MSSS sur le marché algérien varie de 3 millions à 15 millions de DZD annuels selon la taille de l’institution et le périmètre. Pour les entreprises IT capables de livrer à l’extrémité inférieure de cette fourchette avec une qualité démontrable, le marché adressable dans les quelque 60 ministères et 600+ agences publiques d’Algérie représente une opportunité de revenus récurrents significative.

3. Les Contrats d’Externalisation Doivent Inclure des Clauses de Sécurité

Le décret 26-07 exige explicitement que les unités cybersécurité « promeuvent la coordination avec les organismes de commande publique et de sécurité interne pour intégrer des clauses cybersécurité dans les contrats d’externalisation ». Cette disposition a une implication commerciale directe : tout prestataire de services IT qui vend des logiciels, du matériel ou des services gérés à une institution couverte par le décret 26-07 doit être prêt à accepter des clauses contractuelles de cybersécurité dans ses accords commerciaux.

Ces clauses portent généralement sur : les exigences de traitement des données et de contrôle d’accès, les délais de notification des incidents, les droits d’audit de l’unité cybersécurité de l’institution et la responsabilité en cas de violation de données imputable aux systèmes ou au personnel du prestataire. Les entreprises qui rédigent proactivement des annexes cybersécurité standard pour leurs contrats publics — et les mettent à disposition des responsables des marchés institutionnels lors du processus d’appel d’offres — se différencient des concurrents qui traitent la négociation de clauses comme une friction plutôt qu’une valeur ajoutée. Le décret crée une exigence institutionnelle ; les entreprises qui réduisent la friction pour y répondre remportent davantage de marchés.

Publicité

Ce que Cela Signifie pour les Entreprises de Services IT Algériennes

La fenêtre de marché est ouverte maintenant. Les institutions couvertes par le décret 26-07 ont débuté la mise en œuvre en janvier 2026 et font face à un besoin opérationnel immédiat, non théorique. Voici la feuille de route de positionnement et d’exécution pour les entreprises qui concurrencent sur ce marché.

1. Créez un Package de Conformité Décret 26-07 Tarifé pour les Budgets Institutionnels

Créez un produit nommé — pas une mission de conseil sur mesure, mais un service packagé spécifiquement intitulé autour de la conformité au décret 26-07 — incluant les trois livrables de base : rapport de cartographie des risques, modèle de politique cybersécurité et contrat MSSS avec reporting d’audit mensuel. Les responsables des marchés publics répondent aux services nommés et délimités avec des prix clairs ; les mandats de conseil ouverts nécessitent des cycles d’approbation plus longs.

Les cycles budgétaires institutionnels dans le secteur public algérien reposent sur des dotations fiscales annuelles. La loi de finances 2026 alloue des ressources pour l’infrastructure numérique et la sécurité dans les ministères. Les entreprises capables de qualifier leur package décret 26-07 sous la ligne budgétaire « infrastructure de sécurité numérique » — et de démontrer la valeur de conformité spécifiquement au chef de l’institution auquel l’unité cybersécurité est rattachée — gagnent en traction plus rapidement que celles qui s’adressent au département informatique.

2. Enregistrez-vous à l’ARMP et Constituez Votre Portefeuille de Références Publiques

L’accès aux opportunités d’appels d’offres publics en Algérie passe par l’enregistrement ARMP (Autorité de Régulation des Marchés Publics) et la plateforme nationale de commande publique. Les entreprises non enregistrées à l’ARMP sont exclues des procédures d’appel d’offres concurrentiel au-dessus du seuil de gré à gré. Le Code des marchés publics 2022 permet le gré à gré pour les contrats technologiques où un seul prestataire peut satisfaire aux spécifications techniques — mécanisme le plus courant pour les missions spécialisées en cybersécurité — mais l’entreprise doit néanmoins être un fournisseur agréé.

Le portefeuille de références compte : les institutions réalisant leur diligence raisonnable sur les prestataires de services cybersécurité recherchent des livraisons documentées dans des institutions comparables. Une entreprise ayant réalisé une cartographie des risques dans deux ministères est qualifiée pour soumissionner à un troisième ; une entreprise sans références dans le secteur public ne concourt que sur le prix. Prioriser les missions initiales — même à des tarifs inférieurs au marché — pour constituer ce portefeuille de références est la bonne stratégie de positionnement en première année d’un nouveau marché public de la cybersécurité.

3. Partenariez avec des Organismes de Formation Certifiés ASSI pour Répondre au Mandat de Formation

Le décret n’autorise pas les institutions à externaliser entièrement leur unité cybersécurité — elle doit exister en tant que fonction organisationnelle interne. Mais l’équipe interne a besoin de formation, de certification et de développement continu des compétences. Les entreprises IT qui s’associent à des organismes de formation proposant des certifications alignées ASSI (ISC2, Cisco CyberOps, CompTIA Security+) peuvent offrir aux institutions un package de conformité complet : support de services externes pour la surveillance et la réponse aux incidents, plus un parcours de formation qui développe les compétences internes sur 12 à 24 mois. Cette approche positionne l’entreprise comme un partenaire de transition plutôt que comme un créateur de dépendance — distinction que les chefs d’institution apprécient lors de l’approbation de contrats pluriannuels.

Le Modèle de Revenus et les Perspectives

Le marché immédiat du décret 26-07 — environ 600 institutions publiques qui doivent créer des unités cybersécurité — représente une opportunité de revenus pluriannuelle pour les entreprises de services IT algériennes qui se positionnent tôt. L’avantage du premier arrivant est réel : les institutions qui établissent une relation de travail avec un prestataire de services cybersécurité en 2026 ont peu de chances de re-lancer des appels d’offres annuels si l’entreprise livre de la qualité. La structure de contrat MSSS récurrent signifie que le coût initial d’acquisition des clients est amorti sur 3 à 5 ans de renouvellement de contrat.

La considération stratégique pour les entreprises est la profondeur versus l’étendue des compétences. Une entreprise qui remporte 20 institutions avec un service générique de cartographie des risques et aucune capacité de suivi MSSS fera face à la concurrence lors du renouvellement des contrats. Une entreprise qui remporte 5 institutions avec une cartographie des risques intégrée, des MSSS et une formation du personnel — et qui développe une véritable connaissance institutionnelle de l’environnement de chaque client — crée des coûts de changement qui protègent la relation. Sur un marché où l’expertise cybersécurité est rare et où les institutions sont prudentes quant au changement de prestataires en milieu de cycle de conformité, la profondeur du service est la position la plus défendable.

Suivez AlgeriaTech sur LinkedIn pour des analyses tech professionnelles Suivre sur LinkedIn
Suivez @AlgeriaTechNews sur X pour des analyses tech quotidiennes Suivre sur X

Publicité

Questions Fréquemment Posées

Le décret 26-07 s’applique-t-il aux entreprises publiques comme Sonatrach ou Sonelgaz, ou seulement aux ministères ?

Le décret s’applique à toutes les institutions et administrations publiques — ce qui, en droit administratif algérien, inclut les entreprises publiques opérant sous statut de droit public. Sonatrach, Sonelgaz, Algérie Poste et entités comparables sont couvertes. Le périmètre précis pour chaque entité dépend de sa classification juridique en droit administratif algérien, mais l’intention du décret est une couverture complète du périmètre numérique du secteur public.

Une startup sans historique de références peut-elle concourir pour des contrats au titre du décret 26-07 ?

Oui, notamment via le mécanisme de gré à gré disponible sous le Code des marchés publics 2022 pour les services techniques spécialisés. Les startups labellisées « startup nationale » bénéficient d’avantages supplémentaires dans les marchés publics au titre des dispositions de la loi de finances 2026 pour les achats innovants. La contrainte pratique est l’exigence de références — concourir sans aucune référence dans le secteur public limite la crédibilité pour les grands contrats. Le parcours recommandé est de viser d’abord des contrats de taille plus modeste (directions régionales de l’éducation, agences au niveau wilaya) avant de soumissionner pour des mandats à l’échelle ministérielle.

Quel est le calendrier pour la mise en conformité complète des institutions avec le décret 26-07 ?

Le décret est entré en vigueur dès sa publication en janvier 2026 et ne prévoit pas d’échéance de mise en conformité explicite. En pratique, les institutions mettent en œuvre à des rythmes variables selon la disponibilité budgétaire et la priorité accordée par la direction. Les entreprises qui engagent les institutions maintenant — au premier semestre 2026 — rencontrent des institutions en phase de planification, ce qui en fait la fenêtre optimale pour un engagement précoce avant que les processus de marchés concurrentiels ne se formalisent au troisième et quatrième trimestres 2026.

Sources et lectures complémentaires