Décret présidentiel 26-07 : l’Algérie impose des unités de cybersécurité dédiées dans chaque institution publique

Pourquoi ce décret est important maintenant

La transformation numérique de l’Algérie s’accélère. Le gouvernement a lancé plus de 500 projets numériques pour 2025-2026, dont 75 pour cent consacrés à la modernisation des services publics. Les portails d’administration électronique, les systèmes de paiement numériques et les bases de données hébergées dans le cloud élargissent la surface d’attaque du secteur public plus vite que les défenses ne peuvent suivre.

Le paysage des menaces a évolué en conséquence. En 2024, l’Algérie a enregistré plus de 70 millions de cyberattaques, selon les données de Kaspersky, plaçant le pays au 17e rang mondial parmi les nations les plus ciblées. Les systèmes algériens ont également intercepté plus de 13 millions de tentatives de phishing et près de 750 000 pièces jointes malveillantes au cours de la même période.

Jusqu’à présent, la cybersécurité dans la plupart des institutions publiques algériennes était reléguée au second plan — gérée de manière informelle par le technicien informatique disponible, noyée au sein des services informatiques généraux, et rarement portée à l’attention de la direction. Le décret présidentiel 26-07 change entièrement cette dynamique.

Le décret intervient à un moment où le secteur public algérien est simultanément plus numérisé et plus exposé que jamais. Les ministères migrent vers des plateformes hébergées dans le cloud, les autorités fiscales traitent des déclarations électroniques et les hôpitaux publics déploient des dossiers de santé électroniques. Chacune de ces initiatives élargit la surface d’attaque — et jusqu’à présent, aucune exigence réglementaire ne garantissait que quelqu’un, qui que ce soit, surveillait le périmètre.

Ce que le décret présidentiel 26-07 exige

Signé le 7 janvier 2026 et publié au Journal officiel le 21 janvier 2026, le décret 26-07 définit l’organisation et le fonctionnement des structures de cybersécurité au sein de toutes les institutions, administrations et agences publiques. Voici ses mandats principaux :

Cartographie des risques et conception des politiques. L’unité est chargée de concevoir et superviser la mise en œuvre de la politique de cybersécurité de l’institution, en commençant par une identification approfondie des risques par le biais d’une cartographie dédiée. Cela signifie que chaque institution publique doit cataloguer ses actifs informationnels, identifier les vulnérabilités, évaluer les menaces et produire un registre formel des risques — pour beaucoup, c’est une première.

Plans de remédiation. Une fois les risques cartographiés, l’unité doit déployer des plans de remédiation priorisant les vulnérabilités les plus critiques. Cela inclut les calendriers de mise à jour, les revues de contrôle d’accès, les initiatives de segmentation réseau et les exigences de chiffrement des données.

Surveillance continue. Le décret impose une surveillance continue des systèmes d’information de l’institution pour détecter les menaces et incidents. Pour de nombreux organismes publics, c’est une capacité entièrement nouvelle qui nécessite un investissement dans des outils de gestion des informations et événements de sécurité (SIEM), des systèmes de détection d’intrusion et une capacité opérationnelle 24h/24.

Coordination obligatoire avec l’ASSI. Chaque unité doit maintenir une coordination active avec l’Agence de sécurité des systèmes d’information (ASSI), l’autorité nationale de cybersécurité de l’Algérie sous la tutelle du ministère de la Défense nationale. Les incidents significatifs doivent être signalés immédiatement. Cela crée un pipeline centralisé de renseignement sur les menaces qui n’existait pas auparavant à cette échelle.

La stratégie nationale de cybersécurité derrière le décret

Le décret 26-07 n’existe pas isolément. Il constitue le bras opérationnel d’un cadre stratégique plus large.

Le 30 décembre 2025, le décret présidentiel n° 25-321 a formellement adopté la Stratégie nationale de cybersécurité pour 2025-2029. Cette stratégie a été dévoilée publiquement par l’ASSI le 3 mars 2026 lors d’une présentation à Alger, marquant une étape majeure dans la gouvernance de la cybersécurité en Algérie.

La stratégie poursuit trois objectifs principaux : protéger les infrastructures critiques, sécuriser les données sensibles de l’État et assurer la continuité des services publics dans un contexte de transformation numérique rapide. Ces objectifs se déclinent en plusieurs piliers :

1. Audits de sécurité des infrastructures critiques — les systèmes bancaires, énergétiques, de télécommunications, hydrauliques et de transport doivent faire l’objet d’évaluations obligatoires en cybersécurité.
2. Renforcement des capacités — aligné sur 285 000 nouvelles places de formation professionnelle, incluant des programmes de certification dédiés à la cybersécurité.
3. Réglementations sectorielles de cybersécurité — des règles spécifiques pour les secteurs bancaire, sanitaire et énergétique, administrées par les régulateurs sectoriels (Bank of Algeria pour la banque, ARPCE pour les télécommunications).
4. Coopération internationale — renforcement de la participation de l’Algérie aux réseaux mondiaux de partage de renseignements sur les menaces.
5. Sensibilisation et prévention — amélioration de la sensibilisation à la cybersécurité auprès des institutions publiques et des citoyens, y compris l’envoi de notifications SMS aux citoyens via les opérateurs mobiles pour les informer de la stratégie.

L’ASSI, en collaboration avec le Haut-Commissariat à la numérisation, a également lancé des initiatives complémentaires incluant un Data Center national, un Cloud national, un Référentiel national de gouvernance des données et une Infrastructure réseau souveraine.

Le défi des talents : d’où viendront les effectifs ?

L’ambition du décret se heurte à une réalité brutale : l’Algérie ne dispose pas d’un nombre suffisant de professionnels en cybersécurité pour pourvoir ces postes obligatoires.

À l’échelle mondiale, le déficit de main-d’œuvre en cybersécurité est estimé à 4,8 millions de postes non pourvus selon l’étude ISC2 2024 sur la main-d’œuvre en cybersécurité, et la pénurie est particulièrement aiguë en Afrique, qui ne compte qu’environ 20 000 professionnels certifiés en cybersécurité à l’échelle du continent, selon le Forum économique mondial.

Centres de compétences. Le ministère de la Poste et des Télécommunications a inauguré le premier Centre de compétences à Sétif le 20 février 2025, offrant des formations gratuites de courte durée en cybersécurité, intelligence artificielle, cloud computing et IoT. Des centres supplémentaires ont depuis ouvert à Annaba, Chlef et Oran, avec l’objectif d’étendre le réseau à l’échelle nationale.

Expansion de la formation professionnelle. Le gouvernement a réservé 285 000 nouvelles places de formation professionnelle à partir de février 2026, les programmes de certification en cybersécurité figurant parmi les filières prioritaires.

Partenariat avec Huawei. En vertu d’un mémorandum signé entre le ministère de la Formation professionnelle et Huawei Algérie, les stagiaires de trois instituts — l’Institut national spécialisé en TIC de Rahmania, l’INSFP de Bousmail et l’Institut africain de formation professionnelle de Boumerdès — reçoivent une formation en cloud computing, cybersécurité et IA, sanctionnée par un diplôme conjointement délivré par le ministère et Huawei. Quelque 8 000 étudiants algériens ont déjà bénéficié de précédentes coopérations de formation entre l’Algérie et Huawei.

Programmes universitaires. Plusieurs universités algériennes ont lancé ou élargi des masters en sécurité de l’information, bien que la production reste modeste par rapport à la demande. L’École nationale supérieure d’informatique (ESI) d’Alger et l’Université des sciences et de la technologie Houari Boumediene (USTHB) proposent des spécialisations en cybersécurité, mais le nombre annuel de diplômés reste de l’ordre de quelques centaines — une fraction de ce que le décret exige.

Chapitre OWASP Alger. Le chapitre OWASP d’Alger offre une plateforme communautaire de partage de connaissances en cybersécurité, avec des rencontres et des sessions de formation régulières qui complètent l’enseignement formel. Le chapitre a participé à des événements officiels de communication sur la cybersécurité organisés par le ministère de la Défense nationale. Ces initiatives de terrain sont précieuses mais ne peuvent, à elles seules, répondre à la demande institutionnelle.

1. Reconvertir le personnel informatique existant — faisable mais limité par le fait que la cybersécurité exige des compétences spécialisées au-delà de l’administration système générale.
2. Recruter dans le secteur privé — mais le vivier national de talents en cybersécurité est restreint, et les entreprises privées seront en concurrence pour les mêmes professionnels.
3. Faire appel à des consultants externes — pratique pour la cartographie des risques et les évaluations initiales, mais le décret exige des unités permanentes et dédiées, pas des missions ponctuelles.

Le modèle de coordination ASSI : comment il fonctionne en pratique

L’exigence du décret en matière de coordination obligatoire avec l’ASSI mérite une attention particulière, car elle transforme la posture de cybersécurité de l’Algérie d’une approche fragmentée à une approche centralisée.

Avant le décret 26-07, chaque institution gérait les incidents de sécurité de manière indépendante — ou, plus fréquemment, ne les gérait pas du tout. Il n’existait aucune obligation de signaler les violations, aucun système standardisé de classification des incidents et aucun mécanisme permettant à une institution d’alerter les autres sur des menaces actives.

Dans le nouveau cadre, l’ASSI joue le rôle de pôle de coordination central. Chaque unité institutionnelle de cybersécurité doit :

• Signaler immédiatement les incidents significatifs à l’ASSI, en utilisant des modèles de signalement standardisés (à définir dans les directives à venir).
• Participer au partage coordonné de renseignements sur les menaces, en recevant les avis de l’ASSI sur les menaces actives ciblant les institutions algériennes.
• Se soumettre aux audits et évaluations dirigés par l’ASSI sur demande.
• Mettre en œuvre les directives émises par l’ASSI pour la réponse d’urgence lors d’incidents cyber de niveau national.

Ce modèle reflète l’approche adoptée par les nations matures en matière de cybersécurité. La Cyber Security Agency de Singapour opère un modèle similaire de type hub-and-spoke avec ses opérateurs d’infrastructures critiques d’information. La NCA d’Arabie saoudite maintient des canaux de coordination directe avec les entités gouvernementales à travers son cadre de contrôles essentiels de cybersécurité.

Le succès de ce modèle dépend de la capacité de l’ASSI à traiter les rapports entrants, produire du renseignement exploitable et distribuer des alertes en temps réel. Si l’ASSI devient un trou noir de signalement — où les institutions déposent des rapports qui ne sont jamais traités — le mandat de coordination perdra en crédibilité et la conformité s’érodera.

Feuille de route de mise en œuvre : ce que les institutions doivent faire maintenant

Pour les dirigeants du secteur public qui lisent ce décret et se demandent par où commencer, voici une séquence pratique de mise en œuvre :

Ce qui vient ensuite

Le décret 26-07 est un socle, pas une ligne d’arrivée. Plusieurs développements sont attendus dans les mois à venir :

• Des directives de mise en œuvre de l’ASSI détaillant les effectifs minimaux, les certifications requises, les modèles de signalement et les normes d’audit.
• Des réglementations sectorielles pour les secteurs bancaire, sanitaire et énergétique, comme le prévoit la stratégie 2025-2029.
• Un mécanisme de suivi de la conformité pour évaluer les progrès institutionnels et identifier les retardataires.
• Une infrastructure de formation élargie avec des Centres de compétences supplémentaires et des partenariats de certification internationale.
• Une loi dédiée à la cybersécurité en cours de préparation, qui introduira des exigences obligatoires pour que les institutions mettent en œuvre les mesures de cybersécurité nécessaires.

Le succès du décret se mesurera finalement non par le nombre d’unités créées, mais par le nombre de cyberattaques détectées, contenues et signalées avant qu’elles ne causent des dommages. L’Algérie a tracé le schéma réglementaire. La question est désormais celle de l’exécution.

Questions fréquemment posées