⚡ Points Clés

Décret 26-07 : L’Algérie impose des unités cybersécurité dans les institutions publiques — les PME avec des contrats publics font face à des exigences contractuelles en cascade dès 2026.

En résumé: Cartographiez vos contrats publics pour identifier les lacunes sécuritaires, nommez un responsable de la sécurité et établissez une procédure de notification des incidents — avant l’arrivée du cycle d’audit.

Lire l’analyse complète ↓

🧭 Radar de Décision

Pertinence pour l’Algérie
Élevée
le Décret 26-07 affecte directement chaque PME avec des contrats publics
Calendrier d’action
Immédiat
les cycles de marchés intégrant des clauses de sécurité débutent en 2026
Parties prenantes clés
Responsables conformité des PME, directeurs achats, responsables IT au service des clients publics
Assessment: Responsables conformité des PME, directeurs achats, responsables IT au service des clients publics. Review the full article for detailed context and recommendations.
Type de décision
Stratégique
Assessment: Stratégique. Review the full article for detailed context and recommendations.
Niveau de priorité
Élevé
Assessment: Élevé. Review the full article for detailed context and recommendations.

En bref: Les PME algériennes ayant des contrats publics doivent agir maintenant : cartographier les lacunes contractuelles en matière de sécurité, nommer un responsable de la sécurité et construire une procédure de notification des incidents qui reflète les normes du Décret 26-07 que vos clients publics seront tenus d’appliquer.

Publicité

Ce que le Décret 26-07 a réellement changé

Le cadre de gouvernance cybersécurité de l’Algérie a franchi une étape décisive le 7 janvier 2026, avec la signature du Décret présidentiel n° 26-07, publié au Journal officiel le 21 janvier 2026. Le décret n’introduit pas la cybersécurité comme un concept nouveau — il l’opérationnalise. Chaque institution publique, des ministères aux entreprises publiques, doit désormais créer une unité dédiée à la cybersécurité qui relève directement du chef de l’institution, opère indépendamment de la fonction technique de gestion des systèmes d’information, et assume la pleine responsabilité en matière de cartographie des risques, de réponse aux incidents et de coordination des audits.

Il s’agit d’un changement structurel, pas d’une simple note de politique. La séparation d’avec la gestion informatique est intentionnelle : elle empêche la cybersécurité d’être subordonnée aux priorités opérationnelles, une configuration qui a historiquement permis l’accumulation silencieuse des risques. L’unité doit maintenir une surveillance continue, conduire des audits réguliers des systèmes et signaler immédiatement les incidents aux autorités nationales — notamment à l’ANSSI (Agence nationale de la sécurité des systèmes d’information) et au DZ-CERT.

Pour les PME du secteur privé, particulièrement celles qui fournissent des services, des infrastructures cloud ou des solutions logicielles aux institutions publiques, le décret crée un effet de propagation en matière de conformité. Le Décret 26-07 exige explicitement que les unités cybersécurité publiques veillent à ce que « des clauses de sécurité soient incluses dans les contrats d’externalisation ». Toute PME algérienne ayant un client gouvernemental devra désormais répondre à des exigences contractuelles de cybersécurité.

L’écosystème juridique plus large entourant le décret est également important. Le Décret présidentiel n° 20-05 (janvier 2020), modifié par le Décret n° 25-298 (novembre 2025), établissait déjà le cadre national de sécurité des systèmes d’information. La Loi n° 09-04 (août 2009) criminalise l’accès non autorisé, avec des peines d’emprisonnement de deux mois à dix ans et des amendes de DZD 5 000 à DZD 10 000 000. Le Décret 26-07 est la couche d’application construite au-dessus de ces fondements.

Le paysage des menaces en chiffres

Le décret n’a pas été émis dans le vide. L’Algérie s’est classée 17e parmi les nations les plus ciblées au monde en 2024, avec plus de 70 millions de tentatives de cyberattaques dans l’année. Plus de 13 millions de tentatives de phishing ont été bloquées par les systèmes nationaux, et près de 750 000 pièces jointes malveillantes ont été détectées et stoppées. Les PME constituent un point d’entrée privilégié pour les acteurs malveillants, précisément parce qu’elles disposent souvent de contrôles plus faibles que les institutions publiques qu’elles servent.

À l’échelle mondiale, les chiffres confirment l’urgence. Le FBI Internet Crime Complaint Center a rapporté que les compromissions de messagerie professionnelle (BEC) et fraudes associées ont généré 2,77 milliards de dollars de pertes pour 21 442 incidents en 2024 uniquement. Les attaques par chaîne d’approvisionnement — où un fournisseur moins protégé devient le point d’entrée vers une cible mieux défendue — sont devenues le modèle dominant. Les institutions publiques algériennes qui mettent en place des unités cybersécurité rigoureuses exigeront le même niveau de leur chaîne d’approvisionnement.

Publicité

Ce que les responsables conformité des PME algériennes doivent faire maintenant

1. Cartographier l’exposition contractuelle envers les institutions publiques avant le début du cycle d’audit

La première étape n’est pas technique — elle est contractuelle. Chaque contrat actif avec une institution publique doit être examiné pour identifier les clauses de sécurité existantes et les comparer à ce qu’exige désormais le Décret 26-07. L’ANSSI est habilitée à préciser les normes de sécurité que les contrats d’externalisation doivent respecter, et la prochaine génération de cycles de marchés publics intégrera ces exigences par défaut. Si vos contrats actuels ne comportent pas de procédures de notification des incidents, d’engagements de contrôle d’accès ou de clauses de coopération aux audits, vous êtes déjà en retard sur la norme que vos clients publics seront bientôt contractuellement tenus d’appliquer.

2. Établir une fonction cybersécurité minimum viable, même sans unité complète

Le Décret 26-07 s’applique directement aux institutions publiques, pas aux PME. Mais la doctrine de propagation des clauses de sécurité signifie que les PME doivent démontrer une capacité équivalente lorsque leurs clients publics le demandent. Pour une PME de 10 à 50 salariés, une unité dédiée est disproportionnée — mais une fonction minimum viable ne l’est pas. Désignez un responsable de la sécurité nommément avec un mandat documenté : chargé des évaluations des risques, de l’escalade des incidents et de la coordination avec le DZ-CERT. Cette personne peut cumuler ce rôle avec d’autres responsabilités, mais la désignation doit être formelle, documentée par écrit et révisée annuellement.

3. Mettre en place des procédures de notification des incidents qui reflètent les normes du secteur public

Le décret impose aux institutions publiques l’obligation de signaler immédiatement les incidents à l’ANSSI et au DZ-CERT. Les PME de la chaîne d’approvisionnement publique hériteront de cette attente via leurs contrats. C’est le moment de construire une procédure simple de notification des incidents : une chaîne d’escalade définie, de la détection à l’examen interne, à la notification du client, puis au signalement au DZ-CERT. La procédure n’a pas besoin d’être complexe — elle doit être documentée, testée au moins une fois par an et connue de tous les employés qui gèrent des systèmes liés au secteur public.

4. Aligner les clauses de sécurité dans vos sous-contrats en aval

Si votre PME utilise des sous-traitants — développeurs logiciels, hébergeurs cloud, prestataires IT — vous devez leur imposer les mêmes exigences de sécurité que celles que vos clients publics vous imposeront. C’est ainsi que fonctionne la conformité par chaîne d’approvisionnement. Un sous-traitant défaillant est votre responsabilité juridique et réputationnelle si son accès à vos systèmes devient le point d’entrée d’une violation affectant une institution publique. Examinez tous les contrats de sous-traitance : normes de contrôle d’accès, procédures de traitement des données, obligations de notification des incidents et engagements de coopération aux audits.

5. S’inscrire auprès du DZ-CERT et s’engager dans les programmes de sensibilisation de l’ANSSI

L’ANSSI et le DZ-CERT n’opèrent pas exclusivement comme organes de contrôle — ils fournissent également des conseils, des ressources de formation et des renseignements sur les menaces aux organisations du secteur privé. Les PME qui s’inscrivent proactivement au DZ-CERT reçoivent des alertes sur les menaces spécifiques à leur secteur et peuvent accéder à une assistance technique pendant les incidents. Les programmes de sensibilisation de l’ANSSI, qui se sont considérablement développés dans le cadre de la stratégie nationale 2025-2029, comprennent des ateliers pour les responsables conformité des PME couvrant la méthodologie d’évaluation des risques et la planification de la réponse aux incidents.

Où cela s’inscrit dans l’écosystème de conformité algérien 2026

Le Décret 26-07 est l’un des piliers d’une architecture réglementaire plus large que l’Algérie a assemblée en environ quatorze mois. Le Décret présidentiel n° 25-320 (30 décembre 2025) a introduit le cadre national de gouvernance des données ; le Décret n° 25-321 a instauré la stratégie cybersécurité quinquennale à la même date ; le Décret n° 25-298 (novembre 2025) a renforcé le cadre de sécurité des systèmes d’information. Le décret de janvier 2026 opérationnalise les trois en mandatant les structures institutionnelles nécessaires à leur mise en œuvre.

Pour les PME algériennes, cette convergence crée une fenêtre de conformité — pas une crise immédiate. Les institutions publiques sont encore en train de constituer leurs unités, et l’ANSSI prendra du temps pour finaliser les orientations sectorielles d’application. Mais le cycle d’audit arrivera, et les PME qui s’en sortiront le mieux seront celles qui auront commencé à construire documentation, procédures et clarté contractuelle dès 2026, plutôt que d’attendre la première lettre d’audit.

Suivez AlgeriaTech sur LinkedIn pour des analyses tech professionnelles Suivre sur LinkedIn
Suivez @AlgeriaTechNews sur X pour des analyses tech quotidiennes Suivre sur X

Publicité

Foire aux questions

Le Décret 26-07 oblige-t-il directement les PME algériennes à créer des unités cybersécurité ?

Non — le décret s’applique directement aux institutions publiques uniquement. Cependant, il exige que ces institutions incluent des clauses de sécurité dans tous les contrats d’externalisation avec des fournisseurs privés. Les PME au service du secteur public feront face à des exigences cybersécurité contractuelles en conséquence, rendant l’alignement volontaire sur la conformité stratégiquement essentiel.

Quelle autorité fait appliquer la conformité cybersécurité pour les entreprises privées en Algérie ?

L’ANSSI et l’ARPCE sont les principaux organes d’application. Le DZ-CERT coordonne la réponse aux incidents. En vertu de la Loi n° 09-04 et de la Loi n° 18-04, les opérateurs privés font face à des sanctions administratives incluant la suspension de licence et des amendes pénales pouvant aller jusqu’à DZD 10 000 000 pour non-conformité grave.

Quel est le dispositif cybersécurité minimum viable pour une PME algérienne de 10 à 50 employés ?

Un responsable de la sécurité nommément désigné avec un mandat documenté, une évaluation des risques documentée couvrant les systèmes utilisés pour les travaux publics, une procédure d’escalade et de notification des incidents, et des clauses de sécurité formelles dans tous les sous-contrats. L’ISO 27001 est un objectif à terme — mais les lignes directrices techniques de l’ANSSI pour la mise en œuvre du Décret 26-07 définiront probablement la norme minimale acceptable.

Sources et lectures complémentaires