Renseignement sur les menaces en Algérie : MISP, ISAC sectoriels et la feuille de route d’intégration DZ-CERT pour 2026

Pourquoi le décret 26-07 reconfigure la conversation sur le partage de menaces

Le décret présidentiel n° 26-07 du 7 janvier 2026 impose à chaque ministère, agence et entreprise publique de mettre en place une unité de cybersécurité dédiée qui rend compte directement au chef de l’organisation, fonctionne indépendamment de la gestion des systèmes d’information, et coordonne avec l’Agence de la Sécurité des Systèmes d’Information (ASSI) la réponse aux incidents. Le décret exige également que ces unités élaborent des cartes des menaces, déploient des plans de remédiation et intègrent des clauses de cybersécurité dans les contrats d’externalisation.

Pour la première fois, le texte réglementaire crée un propriétaire clairement nommé à l’intérieur de chaque entité publique, avec mandat pour consommer, produire et agir sur le renseignement de menaces. Cette question de propriété a historiquement été le verrou de la défense collaborative. Lorsque la responsabilité était diffusée entre l’informatique, l’audit et le juridique, personne n’avait l’autorité de signer un accord de partage d’information, de fédérer des indicateurs de compromission (IOC), ou d’engager du temps de personnel sur un groupe de travail sectoriel. Le décret tranche cette ambiguïté par écrit.

La prochaine étape de cette stratégie est opérationnelle. Une unité de cybersécurité a besoin de flux, de playbooks et de pairs. Elle doit savoir — en heures, non en semaines — que le même kit de phishing utilisé contre la Banque A lundi vise la Banque B mercredi. C’est le rôle d’un Centre de partage et d’analyse d’information, et c’est le complément naturel des nouvelles unités du décret 26-07.

Ce que MISP fait réellement — et pourquoi les ISAC sectoriels l’utilisent

MISP — la plateforme open-source de partage d’informations sur les malwares et les menaces — est le standard international de fait pour les opérations d’ISAC. Elle est gratuite, auditée et adoptée par FIRST, les communautés CSIRT de l’OTAN, et des dizaines de groupes sectoriels, dont le Financial Services ISAC américain, le TLD-ISAC européen et le REN-ISAC de l’enseignement supérieur. Le Information Sharing SIG de FIRST exploite sa propre instance MISP soutenue par le CIRCL (Luxembourg), l’organisation à l’origine de MISP.

MISP résout trois problèmes concrets pour tout groupe sectoriel. Premièrement, elle normalise les données de menace dans un modèle objet structuré (événements, attributs, objets, galaxies), de sorte qu’un IOC contribué par une banque peut être consommé par machine par le SIEM, le pare-feu ou l’EDR d’une autre banque, sans reformatage manuel. Deuxièmement, elle implémente les standards ouverts STIX et TAXII pour l’export multi-plateforme — un flux MISP peut être ingéré par Splunk, Elastic, QRadar, Sentinel, Suricata IDS et la plupart des plateformes commerciales de renseignement sur les menaces (TIP). Troisièmement, elle applique des contrôles de partage (TLP, groupes de partage, listes de distribution) pour que le renseignement sensible reste à l’intérieur du cercle de confiance qui l’a produit.

Le projet MISP Compliance publie des lignes directrices pour la création d’un ISAC couvrant la gouvernance, les critères d’adhésion, les modèles de cadre juridique et l’intégration technique — l’épine dorsale opérationnelle qui transforme un accord de bonne volonté en communauté fonctionnelle.

Pour un groupe sectoriel algérien, l’implication est que la question technologique est essentiellement résolue. Il n’y a pas de logiciel à acheter, pas de licence à négocier, pas de verrouillage fournisseur. Le travail restant est la gouvernance et la confiance — exactement le travail que le décret 26-07 rend possible en nommant une unité et un propriétaire responsable par institution.

DZ-CERT comme ancrage : ce qui est déjà en place

Le nœud d’ancrage de toute architecture ISAC algérienne est déjà opérationnel. DZ-CERT est hébergé par CERIST à Ben Aknoun, à Alger, et est membre de FIRST et d’AfricaCERT. Son mandat couvre la collecte, l’analyse et la diffusion du renseignement sur les cybermenaces, la coordination avec les CERT internationaux et la réponse opérationnelle.

CERIST gère le Réseau Académique et de Recherche (ARN) d’Algérie et le registre du domaine .dz via NIC.DZ, un rôle qu’il occupe depuis l’introduction d’Internet en Algérie en 1994. Cette histoire institutionnelle compte : CERIST exploite déjà le type d’infrastructure neutre, non commerciale et de confiance qu’exige la gouvernance d’un ISAC. Il n’est pas en concurrence avec les institutions membres pour des activités de sécurité, ce qui est la propriété la plus importante d’un hub ISAC.

L’adhésion de DZ-CERT à FIRST offre également aux ISAC algériens un canal par défaut pour l’ingestion de renseignement international. FIRST.org exploite sa propre instance MISP pour ses membres, ce qui signifie qu’un ISAC bancaire algérien apparié à DZ-CERT peut — en principe — recevoir des flux d’IOC internationaux curatés le jour même de leur publication à Tokyo, Londres ou Bruxelles. Le canal transfrontalier existe ; il faut juste que la fédération nationale s’y branche.

L’ASSI fixe la politique et certifie les produits de cybersécurité. CERIST et DZ-CERT exploitent l’infrastructure technique. Les unités de cybersécurité imposées par le décret 26-07 se trouvent à l’intérieur de chaque institution. Cette pile à trois couches — politique, hub et membre — est l’architecture de manuel de tout système ISAC national fonctionnel, de FS-ISAC aux États-Unis aux ISAC sectoriels européens coordonnés par l’ENISA.

Ce que les RSSI d’entreprises algériennes devraient faire

1. Déployer une instance MISP interne avant de rejoindre tout groupe sectoriel

Avant de discuter de la fédération avec des pairs, une organisation devrait exploiter son propre nœud MISP et l’alimenter pendant 60 à 90 jours. L’objectif est la maturité opérationnelle : un analyste capable de rédiger un événement, d’attacher des indicateurs avec les bons drapeaux to_ids, de définir la distribution Traffic Light Protocol, et d’extraire le flux dans Suricata ou le SIEM existant via TAXII. MISP est gratuit, mais le déployer correctement est un savoir-faire — et rejoindre un ISAC avec une pratique interne immature signifie que l’organisation consommera du renseignement sans en redonner, ce qui affaiblit la communauté. Prévoyez un analyste de menaces à plein temps, un flux enrichi depuis la liste des communautés MISP, et un pilote interne de 90 jours avant de demander la fédération.

2. Mobiliser GIE Monétique et l’ABEF pour amorcer un ISAC bancaire sectoriel

Le secteur bancaire algérien a la plus forte densité de participants crédibles à un ISAC dans le pays. GIE Monétique — créé en 2014 et fédérant Algérie Poste et 18 banques — fonctionne déjà comme un organe neutre de confiance pour la coordination du secteur, avec plus de 17 millions de cartes interbancaires émises au T1 2024. Une communauté MISP du secteur bancaire, gouvernée par l’ABEF (Association des Banques et Établissements Financiers) et techniquement appariée à DZ-CERT, reproduirait le modèle FS-ISAC qui protège plus de 5 000 entreprises membres dans 75 pays. Les premiers flux à ingérer sont évidents : kits de phishing visant les porteurs de cartes CIB, indicateurs de jackpotting des distributeurs, et malwares liés à SWIFT. Commencez avec trois à cinq banques pivots ; ajoutez les autres après que le premier cycle trimestriel de renseignement aura démontré sa valeur.

3. Faire des IOC lisibles par MISP une exigence d’achat pour les services managés de sécurité

Chaque nouveau contrat SOC, engagement MSSP ou achat EDR en 2026 devrait spécifier une sortie de renseignement compatible MISP. La formulation à insérer dans l’appel d’offres : « le fournisseur publiera des indicateurs curatés vers une instance MISP cliente au format MISP JSON ou STIX 2.1 sur une base quotidienne, avec scoring de confiance et marquages TLP ». Ce levier contractuel est la manière dont les banques européennes ont constitué des stocks de renseignement sectoriels à grande échelle sans financer de nouvelles infrastructures — chaque MSSP devenait un contributeur de flux. Le même levier fonctionne en Algérie aujourd’hui. Les RSSI qui incluent cette clause maintenant auront une bibliothèque de flux utilisable 12 mois avant les pairs qui traitent le renseignement comme un achat séparé ultérieur.

4. Désigner un responsable d’unité décret 26-07 comme liaison ISAC sectoriel

L’unité de cybersécurité imposée par le décret 26-07 a besoin d’une personne nommée responsable des relations externes de partage d’information. C’est distinct du responsable réponse à incident ou SOC — c’est un rôle communautaire. Le liaison participe aux groupes de travail sectoriels, signe l’accord d’adhésion à l’ISAC, garantit la qualité des indicateurs et apporte aux pairs du renseignement interne assaini. Le rôle devrait rendre compte au chef de l’unité de cybersécurité (conformément aux exigences organisationnelles du décret), disposer d’une autorisation juridique pour partager des données dans les limites du TLP, et protéger du temps pour au moins des réunions sectorielles trimestrielles en présentiel. Sans liaison nommé, « nous partagerons le renseignement de menaces » reste une aspiration. Avec un, cela devient opérationnel.

5. Bâtir d’abord des ISAC sectoriels dans les quatre verticales à plus fort impact

Tous les secteurs n’ont pas besoin d’un ISAC dès la première année. Les quatre verticales où la valeur du partage de menaces algérien se compose le plus vite sont la banque (en raison de la fédération existante de GIE Monétique), les télécoms (Algérie Télécom, Mobilis, Djezzy et Ooredoo font face aux mêmes acteurs de menaces ciblant les MNO), l’énergie (Sonatrach, Sonelgaz et la chaîne d’approvisionnement hydrocarbures partagent des profils d’exposition ICS/OT), et la santé et services publics (hôpitaux et portails ministériels, tous deux fortement ciblés par les opérateurs de rançongiciels). Chacune de ces quatre verticales s’apparierait à DZ-CERT via une instance MISP sectorielle, et DZ-CERT assurerait l’enrichissement inter-sectoriel et le courtage de flux internationaux. Les autres secteurs — éducation, manufacture, distribution — peuvent rejoindre en année deux, une fois le modèle éprouvé.

Où cela s’inscrit dans l’écosystème cybersécurité algérien de 2026

Le décret 26-07 s’inscrit dans un tableau 2026 plus large qui inclut la Stratégie Nationale de Cybersécurité 2025-2029, le lancement du cluster IA et cybersécurité de Sidi Abdellah, le fonds startup cybersécurité de 11 M$ d’Algérie Télécom, et un pipeline de talents locaux en pleine maturation qui pousse les certifications CISSP et CEH. Chacune de ces pièces résout un goulot d’étranglement différent : le décret résout la responsabilité, la stratégie résout la direction, le cluster et le fonds résolvent l’élan commercial, et les certifications résolvent le talent.

Une architecture nationale ISAC bâtie sur MISP et ancrée sur DZ-CERT est le tissu conjonctif qui transforme ces quatre pièces en un système défensif unique. C’est la couche où les signaux du SIEM d’une banque deviennent des contrôles préventifs dans le pare-feu d’une autre banque, où une alerte OT sur un champ Sonatrach devient une mise à jour de durcissement à travers la chaîne d’approvisionnement amont, et où le renseignement international transitant par l’adhésion FIRST de DZ-CERT atteint chaque unité de cybersécurité responsable du pays en quelques heures. L’infrastructure est open-source, le mandat réglementaire existe, le hub est déjà membre de FIRST, et les secteurs prioritaires sont déjà fédérés via des institutions comme GIE Monétique. La prochaine étape est la livraison opérationnelle — et ce travail revient aux RSSI d’entreprise et aux associations sectorielles qui ont le plus à y gagner.

Questions Fréquemment Posées

Sources et lectures complémentaires

• MISP — Plateforme open-source de renseignement sur les menaces et standards ouverts
• DZ-CERT — Équipe algérienne de réponse aux incidents informatiques — CERIST
• Décret présidentiel n° 26-07 du 7 janvier 2026 — ARPCE Algérie
• Communautés et flux MISP — Projet MISP
• Lignes directrices pour la création d’un ISAC — Projet MISP Compliance (GitHub)
• Instance MISP de FIRST — FIRST.org
• Algérie — Page membre AfricaCERT