Le dilemme du chercheur
L’Algérie possède une communauté croissante de chercheurs en cybersécurité et de hackers éthiques qualifiés. Beaucoup sont autodidactes, perfectionnant leurs compétences via les compétitions CTF (Capture The Flag), les plateformes HackerOne et Bugcrowd, et l’étude indépendante. Mais quand il s’agit de signaler des vulnérabilités dans les systèmes algériens — sites gouvernementaux, portails bancaires, infrastructure télécom — ces mêmes chercheurs font face à une incertitude juridique qui décourage l’activité même qui améliorerait la cybersécurité de l’Algérie.
Le problème est simple et sérieux : l’Algérie n’a aucune disposition de safe harbor pour la recherche en sécurité de bonne foi. Aucune politique de divulgation de vulnérabilités (VDP) n’est publiée par une agence gouvernementale majeure. Et la législation principale sur la cybercriminalité — la loi 09-04 du 5 août 2009 — contient des dispositions suffisamment larges pour criminaliser l’acte de découvrir et signaler une vulnérabilité, même avec une intention purement constructive.
Cela crée un effet dissuasif. Les chercheurs qui découvrent qu’un site ministériel fuit des données citoyennes, ou qu’une API bancaire expose des informations de comptes, font face à un choix binaire : signaler et risquer des poursuites, ou rester silencieux. La plupart choisissent le silence.
Les récentes avancées en gouvernance de cybersécurité — dont la Stratégie Nationale de Cybersécurité 2025-2029 (décret présidentiel n° 25-321) et l’établissement d’unités de cybersécurité dédiées (décret présidentiel n° 26-07, janvier 2026) — ne traitent pas de la divulgation responsable ni des protections juridiques pour les chercheurs de bonne foi.
La loi 09-04 : le champ de mines juridique
La loi 09-04 criminalise l’accès non autorisé aux systèmes d’information avec des peines de trois mois à un an d’emprisonnement et des amendes de 50 000 à 100 000 DZD pour l’infraction de base. Les peines sont doublées quand les systèmes ciblés appartiennent à la défense nationale ou aux institutions publiques.
Le problème critique est la définition de l’« accès non autorisé ». La loi ne distingue pas entre l’accès malveillant non autorisé et la recherche en sécurité de bonne foi. Il n’y a pas d’exception d’« intention », pas de défense d’« intérêt public ».
Internationalement, ce vide a été comblé par divers mécanismes. Les Pays-Bas ont été pionniers des directives de divulgation coordonnée en 2013. Le département de Justice américain a révisé sa politique CFAA en mai 2022. La directive NIS2 de l’UE exige de chaque État membre de désigner un CSIRT pour la coordination de la divulgation. L’Algérie n’a aucune guidance équivalente.
Advertisement
Cas et conséquences : quand les chercheurs parlent
Des chercheurs algériens dans les forums de cybersécurité décrivent des rencontres allant de l’indifférence aux menaces implicites lorsqu’ils tentent de signaler des vulnérabilités. Le scénario typique : un chercheur découvre une vulnérabilité (injection SQL, base de données exposée, contournement d’authentification) et peine à trouver un contact sécurité. Certains rapportent avoir été avertis que signaler une vulnérabilité pourrait être interprété comme un aveu d’accès non autorisé.
L’alternative souterraine est pire. Les vulnérabilités découvertes dans les systèmes algériens circulent dans des groupes Telegram privés et forums du dark web. L’escalade des cyberconflits transfrontaliers dans la région — dont les incidents cyber Algérie-Maroc de 2025 — démontre que les vulnérabilités non corrigées ont des conséquences réelles.
Construire un cadre de divulgation : ce dont l’Algérie a besoin
Un cadre viable nécessite une action à trois niveaux. Au niveau juridique, un amendement à la loi 09-04 ou une nouvelle directive devrait établir un safe harbor pour les chercheurs agissant de bonne foi. Au niveau institutionnel, DZ-CERT devrait établir un portail de divulgation coordonnée. Au niveau organisationnel, les entités algériennes opérant des services numériques critiques — banques, télécom, portails gouvernementaux — devraient publier des politiques de divulgation de vulnérabilités.
Pour les organisations avec budget, des programmes bug bounty formels créeraient une incitation de marché pour l’amélioration de la sécurité. Algérie Télécom, Djezzy, Ooredoo et SATIM — le switch de paiement interbancaire national connectant 19 institutions membres — bénéficieraient tous de programmes pilotes exploitant le vivier de talent existant.
Advertisement
🧭 Radar de Décision
| Dimension | Évaluation |
|---|---|
| Pertinence pour l’Algérie | Élevé — l’Algérie a du talent en sécurité mais aucun cadre juridique leur permettant de contribuer à la cybersécurité nationale via la divulgation responsable |
| Calendrier d’action | Immédiat pour les VDP organisationnels ; 6-12 mois pour les directives réglementaires ; 12-24 mois pour un safe harbor législatif |
| Parties prenantes clés | Ministère de la Justice, Ministère de la Poste et des Télécommunications, CERIST/DZ-CERT, ANPDP, secteur bancaire (ABEF), opérateurs télécom, communauté de recherche en sécurité |
| Type de décision | Stratégique |
| Niveau de priorité | Élevé |
En bref : L’Algérie criminalise l’acte de découvrir des vulnérabilités sans distinguer entre attaquants et défenseurs. Un safe harbor juridique, un portail national de coordination des vulnérabilités et des politiques de divulgation publiées par les grandes organisations transformeraient la posture de cybersécurité de l’Algérie en donnant les moyens aux chercheurs qui veulent aider.
Sources et lectures complémentaires
- Algeria Law 09-04 on Cybercrime Prevention — WIPO Lex
- Netherlands Responsible Disclosure Policy — Government.nl
- US DOJ Policy on Charging CFAA Cases (2022) — Department of Justice
- EU NIS2 Directive Article 12 — Coordinated Vulnerability Disclosure
- ENISA Coordinated Vulnerability Disclosure Policies in the EU
- DZ-CERT Algerian Computer Emergency Response Team — CERIST
- Algeria Cybersecurity Framework 2025-2029 — TechAfrica News
- HackerOne Vulnerability Disclosure Best Practices
Advertisement