Introduction
Le 30 décembre 2025, le Président Tebboune a signé le Décret Présidentiel n° 25-321, approuvant officiellement la Stratégie Nationale de Cybersécurité de l’Algérie pour 2025–2029. Une semaine plus tard, le 7 janvier 2026, le Décret Présidentiel n° 26-07 a établi le cadre opérationnel de la cybersécurité au sein des institutions publiques, imposant la création d’unités dédiées à la cybersécurité dans l’ensemble de l’administration. Le décret a été publié au Journal Officiel le 21 janvier 2026.
Ensemble, ces deux décrets représentent l’avancée la plus significative en matière de politique de cybersécurité dans l’histoire de l’Algérie — une architecture réglementaire complète qui façonnera la manière dont le pays défend son infrastructure numérique, dont les entreprises doivent configurer leur posture de sécurité, et dont la profession de la cybersécurité se développera au cours des cinq prochaines années.
Cet article propose une analyse détaillée du contenu de la stratégie, de l’architecture institutionnelle mise en place, et des implications pratiques pour les agences gouvernementales, les entreprises du secteur privé et les professionnels de la cybersécurité.
Le contexte stratégique : pourquoi une stratégie nationale, pourquoi maintenant ?
Le calendrier de la Stratégie Nationale de Cybersécurité de l’Algérie reflète des pressions à la fois internes et externes.
Interne : l’ampleur de la menace
L’Algérie a enregistré plus de 70 millions de cyberattaques en 2024, selon les données de Kaspersky qui classaient le pays au 17e rang mondial parmi les nations les plus ciblées. Les solutions de sécurité ont bloqué plus de 13 millions de tentatives de phishing et neutralisé près de 750 000 pièces jointes malveillantes durant la même période. Ces chiffres reflètent la surface d’attaque croissante créée par la numérisation rapide des services gouvernementaux, du secteur bancaire et des télécommunications.
Interne : l’accélération de la numérisation
La Stratégie Nationale de Transformation Numérique (SNTN) du gouvernement, dévoilée en mai 2025 par la Haute-Commissaire à la Numérisation Meriem Benmouloud, a fixé des objectifs ambitieux sous la bannière « Algérie Numérique 2030 » — comprenant la numérisation complète des services publics, le développement de cinq centres de données nationaux ou plus, et la formation de 500 000 experts TIC actifs d’ici 2030. Chacune de ces initiatives élargit la surface d’attaque numérique. Une stratégie nationale de cybersécurité constitue la couche de sécurité qui rend la numérisation durable plutôt qu’imprudente.
Externe : le paysage des menaces régionales et mondiales
Les cyberattaques étatiques ciblant les infrastructures nationales, les attaques par rançongiciel (ransomware) contre les secteurs critiques et les compromissions de la chaîne d’approvisionnement (supply chain) sont une caractéristique croissante du paysage mondial des menaces. L’infrastructure énergétique de l’Algérie — les vastes opérations pétrolières et gazières de Sonatrach — constitue une cible de très haute valeur. Une stratégie nationale de cybersécurité fournit le cadre de défense de ces actifs.
Alignement réglementaire : conformité FATF
L’Algérie demeure sur la liste grise du FATF (juridictions sous surveillance accrue) en février 2026, bien que la session plénière du FATF de février 2026 ait noté que l’Algérie a substantiellement achevé son plan d’action et justifie une évaluation sur site pour vérifier la mise en œuvre durable. La cybersécurité du secteur financier est étroitement liée à la conformité LBC/FT (Lutte contre le Blanchiment de Capitaux et le Financement du Terrorisme) — des contrôles de cybersécurité robustes empêchent les accès non autorisés et les transactions frauduleuses qui génèrent des préoccupations en matière de blanchiment d’argent. La stratégie de cybersécurité renforce le cadre plus large d’intégrité financière.
Décret Présidentiel 25-321 : Les éléments fondamentaux de la stratégie
Le Décret Présidentiel n° 25-321, signé le 30 décembre 2025, approuve la Stratégie Nationale de Cybersécurité pour 2025–2029, visant à renforcer la protection des administrations publiques et des infrastructures numériques de l’État. La stratégie repose sur cinq piliers stratégiques :
Pilier 1 : Gouvernance et renforcement institutionnel
La stratégie consolide l’architecture institutionnelle pour la coordination nationale de la cybersécurité, en s’appuyant sur le cadre établi par le Décret Présidentiel n° 20-05 du 20 janvier 2020 (modifié ultérieurement par le Décret n° 25-298 du 10 novembre 2025) :
- CNSSI (Conseil National de la Sécurité des Systèmes d’Information) poursuit son rôle d’organe de coordination stratégique au niveau national, opérant au sein du Ministère de la Défense Nationale — définissant les politiques, coordonnant entre les ministères et représentant l’Algérie dans les forums internationaux de cybersécurité
- ASSI (Agence de Sécurité des Systèmes d’Information, également désignée ANSSI dans certains textes juridiques) sert de bras d’exécution technique et opérationnel — coordination de la réponse aux incidents, divulgation des vulnérabilités, certification des produits de cybersécurité et orientation technique des secteurs
- DZ-CERT (Algerian Computer Emergency Response Team), hébergé par le CERIST, continue de coordonner la réponse aux incidents cybernétiques nationaux avec des capacités élargies et des protocoles de réponse accélérés
Pilier 2 : Protection des infrastructures critiques
La stratégie désigne des catégories spécifiques d’infrastructures d’information critiques (IIC) — incluant l’énergie, les télécommunications, l’eau, les transports, les services financiers et les services gouvernementaux — et établit des exigences de sécurité différenciées pour chacune. Les opérateurs d’IIC font face à des obligations renforcées comprenant :
- Des audits de sécurité obligatoires selon un calendrier défini
- Le signalement des incidents à l’ASSI dans des délais définis (les fenêtres spécifiques seront précisées dans les directives de l’ASSI)
- Des exigences de continuité d’activité et de reprise après sinistre (disaster recovery)
- L’utilisation de produits de cybersécurité approuvés pour des applications spécifiques à haut risque
Pilier 3 : Renforcement des capacités et développement du capital humain
Reconnaissant que la capacité technique constitue la contrainte limitative pour la mise en œuvre de toute stratégie de cybersécurité, le cadre 2025–2029 inclut des objectifs explicites de développement du capital humain :
- L’expansion des programmes de formation en cybersécurité dans les universités et les centres de formation professionnelle, en lien avec les 285 000 nouvelles places de formation professionnelle annoncées pour 2026 — qui incluent de nouveaux programmes de qualification en cybersécurité orientés certification
- Des programmes de certification alignés sur les normes internationales (implémenteurs ISO 27001, CISSP, CEH)
- Des programmes de compétitions en cybersécurité (CTF — Capture the Flag) pour identifier et développer les talents
- La coopération internationale pour le transfert de compétences et la formation avec les partenaires du MENAFATF, les programmes de l’UE et les accords bilatéraux
Pilier 4 : Renforcement du cadre juridique et réglementaire
La stratégie trace une feuille de route pour le développement réglementaire, incluant des mises à jour :
- Des dispositions du code pénal sur la cybercriminalité, alignées sur l’évolution des normes internationales — notamment, l’Algérie préside le Comité ad hoc des Nations Unies sur la cybercriminalité qui a récemment élaboré la Convention des Nations Unies sur la cybercriminalité
- Des réglementations sectorielles en matière de cybersécurité pour la banque, la santé et l’énergie
- Des textes d’application relatifs à la protection des données personnelles dans le cadre de la Loi 18-07
- Des exigences de marchés publics intégrant la cybersécurité dans les contrats TIC
Pilier 5 : Coopération internationale
La stratégie de cybersécurité de l’Algérie comporte explicitement des dimensions internationales :
- Participation active aux groupes de travail sur la cybersécurité du MENAFATF
- Accords de coopération bilatérale en cybersécurité avec la France, les institutions de l’UE, les membres de la Ligue arabe et les programmes de l’Union africaine
- Participation aux programmes de renforcement des capacités en cybersécurité de l’UNODC et de l’UIT pour l’Afrique
- Dispositifs de partage d’informations avec les CERT des pays partenaires
- La présidence par l’Algérie du Comité ad hoc des Nations Unies sur la cybercriminalité positionne le pays comme une voix significative dans l’élaboration des normes mondiales en matière de cybercriminalité
Décret Présidentiel 26-07 : L’architecture institutionnelle pour la sécurité du secteur public
Le Décret 26-07, publié au Journal Officiel le 21 janvier 2026, fournit le cadre opérationnel spécifiquement dédié à la cybersécurité au sein des institutions publiques. Ses dispositions clés :
Unités de cybersécurité obligatoires : Chaque institution publique — ministères, agences, entreprises publiques — doit établir une unité de cybersécurité dédiée, fonctionnant séparément de la fonction de gestion technique des systèmes d’information. L’unité rend compte directement au chef de l’institution et est responsable de :
- La conception et la supervision de la mise en œuvre de la politique de cybersécurité de l’institution
- L’identification des risques par une cartographie dédiée et le déploiement de plans de remédiation
- La surveillance continue des systèmes d’information de l’institution contre les menaces et les incidents
- La coordination avec l’ASSI sur les incidents significatifs et le signalement immédiat aux autorités compétentes
- La conduite ou la supervision des évaluations de sécurité des systèmes d’information
- La garantie de conformité avec les normes nationales de cybersécurité et la législation sur la protection des données personnelles
Responsables de la Sécurité des Systèmes d’Information (RSSI) : S’appuyant sur le mandat de RSSI (CISO) établi par le Décret 20-05, le Décret 26-07 clarifie l’autorité du RSSI, ses lignes hiérarchiques et les exigences minimales de compétence. Les RSSI doivent justifier d’une expertise démontrable en cybersécurité — une exigence qui, compte tenu de la pénurie de professionnels qualifiés, présente des défis immédiats en matière de capital humain.
Sécurité des tiers et de la chaîne d’approvisionnement : Les institutions publiques doivent mener des évaluations de sécurité des fournisseurs TIC et des prestataires de services dans le cadre de la diligence raisonnable en matière de marchés publics. Les contrats avec les fournisseurs TIC doivent inclure des clauses de cybersécurité alignées sur les normes nationales, coordonnées avec les organismes de marchés publics et de sécurité intérieure.
Audits de sécurité réguliers : Les institutions publiques doivent réaliser des audits de sécurité selon un calendrier défini par les directives de l’ASSI, en faisant appel à des auditeurs agréés ou à des équipes internes disposant des qualifications appropriées.
Advertisement
Implications pratiques pour les agences gouvernementales
Le Décret 26-07 crée des défis pratiques immédiats pour les institutions publiques :
Dotation en personnel des unités de cybersécurité : L’Algérie connaît une pénurie significative de professionnels qualifiés en cybersécurité. La création simultanée de centaines d’unités institutionnelles de cybersécurité nécessite soit de recruter sur un marché déjà restreint, soit de reconvertir le personnel informatique existant, soit de faire appel à des consultants externes. L’expansion de la formation professionnelle du gouvernement — 285 000 nouvelles places en 2026, incluant des programmes de certification dédiés à la cybersécurité — répond au problème d’offre à moyen terme mais pas à l’exigence immédiate en matière de recrutement.
Implications budgétaires : L’établissement d’unités de cybersécurité nécessite un budget dédié — personnel, outillage (plateformes SIEM, détection et réponse aux points de terminaison (EDR), scanners de vulnérabilités), formation et coûts d’audit. Les ministères qui n’ont historiquement pas budgétisé pour la cybersécurité doivent désormais intégrer ces coûts dans leur planification annuelle.
Acquisition technologique : La conformité au Décret 26-07 stimulera l’acquisition de produits technologiques de cybersécurité. Les plateformes SIEM, les systèmes de gestion des identités et des accès (IAM), les appliances de sécurité réseau et les outils de sécurité des points de terminaison (endpoint) sont tous requis. Cela représente une opportunité de marché significative pour les fournisseurs de cybersécurité opérant en Algérie.
Implications pour le secteur privé
Bien que le Décret 26-07 s’applique spécifiquement aux institutions publiques, la stratégie de cybersécurité plus large a des implications significatives pour les entreprises du secteur privé :
Opérateurs d’infrastructures critiques : Les entreprises privées opérant dans les secteurs d’IIC (opérateurs télécom, banques privées, établissements de santé privés, sociétés énergétiques) font face à des exigences renforcées même si elles ne sont pas des entités gouvernementales. La désignation IIC entraîne des exigences réglementaires sectorielles administrées par les régulateurs sectoriels (Banque d’Algérie pour le secteur bancaire, ARPCE pour les télécommunications).
Fournisseurs TIC et intégrateurs de systèmes : Les entreprises fournissant des produits et services TIC au secteur public doivent satisfaire aux exigences de sécurité intégrées dans les contrats de marchés publics. Cela crée à la fois une charge de conformité et un avantage concurrentiel pour les fournisseurs capables de démontrer des références solides en matière de sécurité (certifications, résultats d’audit, rapports de tests d’intrusion).
Prestataires de services de cybersécurité : La stratégie génère une demande considérable de services de cybersécurité : fournisseurs de services de sécurité managés (MSSP), cabinets d’audit de sécurité, sociétés de tests d’intrusion (penetration testing), prestataires de RSSI en tant que service (CISO-as-a-service) et sociétés de formation à la sensibilisation à la sécurité. C’est sans doute l’opportunité commerciale la plus directe créée par la stratégie.
Startups et entreprises technologiques en général : La stratégie relève le seuil de base des attentes en matière de sécurité pour toutes les entreprises traitant des données sensibles. La conformité à la Loi 18-07 (protection des données) et la conformité en cybersécurité se recoupent de plus en plus — les entreprises qui investissent dans l’architecture de sécurité comme principe fondateur plutôt que comme réflexion tardive seront mieux positionnées tant pour la conformité réglementaire que pour la confiance des clients.
Alignement international : où se situe la stratégie algérienne à l’échelle mondiale
La Stratégie Nationale de Cybersécurité de l’Algérie 2025–2029 est globalement alignée sur les meilleures pratiques internationales telles que documentées par le NIST (National Institute of Standards and Technology), l’ENISA (European Union Agency for Cybersecurity) et l’UIT (Union Internationale des Télécommunications). Les principaux points d’alignement incluent :
- Approche fondée sur les risques : La stratégie adopte un cadre de gestion des risques (identifier, protéger, détecter, répondre, récupérer) conforme au NIST Cybersecurity Framework
- Désignation des infrastructures critiques : Les catégories d’IIC de l’Algérie sont alignées sur les classifications internationales standards
- Coordination de la réponse aux incidents : La structure DZ-CERT et ASSI reflète l’architecture CERT nationale recommandée par l’UIT et l’ENISA
- Coopération internationale : La coopération transfrontalière en matière de réponse aux incidents est une meilleure pratique reconnue compte tenu de la nature transnationale des cybermenaces
Domaines où l’approche algérienne diffère de certains cadres internationaux :
- Accent sur la gouvernance des données : La combinaison algérienne d’exigences en matière de cybersécurité et de gouvernance des données (Décret 25-320 établissant des cadres nationaux de classification, de catalogage et d’interopérabilité des données) crée des couches de conformité supplémentaires pour les administrations publiques traitant des informations classifiées
- Accent sur la coordination étatique : La stratégie met un accent significatif sur la sécurité coordonnée par l’État plutôt que sur une sécurité dictée par le marché, reflétant le modèle de développement étatique de l’Algérie
- Leadership en matière de normes internationales sur la cybercriminalité : La présidence par l’Algérie du Comité ad hoc des Nations Unies sur la cybercriminalité positionne le pays comme acteur dans l’élaboration des normes internationales en matière de cybercriminalité, plutôt que comme simple adoptant de cadres existants
La crise des talents : le talon d’Achille de la stratégie
La contrainte la plus significative pour la mise en œuvre de la Stratégie Nationale de Cybersécurité de l’Algérie est le talent. Constituer des unités de cybersécurité dédiées dans chaque institution publique, doter en personnel les centres d’opérations de sécurité pour les infrastructures critiques et fournir les services de conseil que la conformité du secteur privé exige nécessite des milliers de professionnels qualifiés en cybersécurité que l’Algérie ne possède actuellement pas.
La fuite des cerveaux dans le domaine technologique aggrave ce défi — les professionnels formés en cybersécurité qui émigrent vers la France, le Canada ou le Golfe réduisent l’offre domestique. La stratégie SNTN de l’Algérie cible explicitement une réduction de 40 % de la migration des travailleurs qualifiés d’ici 2030, reconnaissant cela comme une vulnérabilité stratégique.
Le pilier capital humain de la stratégie y répond par l’expansion de la formation, mais les filières de formation prennent du temps — typiquement 2 à 4 ans entre la conception du programme et le déploiement des diplômés. L’horizon 2025–2029 de la stratégie signifie que durant les deux à trois premières années, la mise en œuvre sera contrainte par la pénurie de talents plutôt que par les ressources juridiques ou financières.
Les stratégies d’atténuation à court terme incluent : les certifications accélérées financées par l’État pour le personnel informatique existant ; les partenariats de services de sécurité managés avec des prestataires internationaux ; les accords de coopération internationale intégrant des conseillers experts étrangers ; et le recrutement ciblé au sein de la communauté de la diaspora.
Conclusion : Une stratégie ambitieuse pour un moment critique
La Stratégie Nationale de Cybersécurité de l’Algérie 2025–2029, ancrée par les Décrets 25-321 et 26-07, est un cadre politique ambitieux qui identifie correctement la cybersécurité comme fondement d’une transformation numérique durable. Son architecture institutionnelle est bien conçue. Ses priorités — protection des infrastructures critiques, renforcement des capacités, coopération internationale — sont bien alignées sur les meilleures pratiques.
La stratégie sera jugée non pas sur son texte mais sur sa mise en œuvre. La pénurie de talents constitue le principal risque de mise en œuvre. L’acquisition de technologies de cybersécurité — si elle s’effectue par des processus transparents et axés sur la qualité — peut créer un marché domestique qui attire les fournisseurs internationaux et développe l’expertise locale. Les dimensions de coopération internationale peuvent accélérer le transfert de connaissances.
Pour les entreprises et les professionnels de l’écosystème technologique algérien, le message de la stratégie est clair : la cybersécurité n’est plus optionnelle. C’est une exigence réglementaire, un différenciateur de marché et une priorité stratégique nationale. Ceux qui investissent dans la construction de véritables capacités en cybersécurité — et non dans une simple conformité de façade — seront les architectes de l’Algérie numérique que la stratégie envisage.
Advertisement
Radar de Décision
| Dimension | Évaluation |
|---|---|
| Pertinence pour l’Algérie | Élevée — il s’agit du cadre réglementaire fondamental en matière de cybersécurité auquel chaque institution publique et opérateur d’IIC doit désormais se conformer |
| Calendrier d’action | Immédiat — le Décret 26-07 est déjà en vigueur ; les unités de cybersécurité doivent être établies maintenant |
| Parties prenantes clés | RSSI, directeurs informatiques, dirigeants du secteur public, prestataires de services de cybersécurité, fournisseurs TIC, institutions de formation professionnelle |
| Type de décision | Stratégique — définit les obligations de conformité et les opportunités de marché pour les 5 prochaines années |
| Niveau de priorité | Critique |
En bref : Si vous travaillez dans le secteur public algérien ou avec celui-ci, la conformité au Décret 26-07 est obligatoire et immédiate — commencez dès maintenant à planifier la structure de votre unité de cybersécurité et la nomination de votre RSSI. Pour les entreprises privées de cybersécurité, cette stratégie crée la plus forte hausse de demande de services de sécurité de l’histoire de l’Algérie. Pour les professionnels IT envisageant une spécialisation, la certification en cybersécurité est désormais l’investissement de carrière au meilleur rendement sur le marché technologique algérien.
Sources
- Algeria Strengthens Cybersecurity Framework to Protect National Infrastructure — TechAfrica News
- Algeria Adopts New Cybersecurity Framework as Digital Risks Rise — We Are Tech Africa
- Algeria Orders Cybersecurity Units in Public Sector Amid Surge in Cyberattacks — Ecofin Agency
- Presidential Decree No. 26-07 — ARPCE Official
- Cybersecurity at the Core of Algeria’s Digital Sovereignty Strategy — DzairTube
- Cybersecurity and Governance — State of Software Engineering in Algeria
- Data Protection and Cybersecurity Laws in Algeria — CMS Expert Guide
- FATF Jurisdictions Under Increased Monitoring — February 2026
- Algeria Aims for Full Digital Transformation by 2030 — We Are Tech Africa
- Algeria Plans 285,000 New Vocational Training Places in 2026 — Ecofin Agency
- DZ-CERT — Algerian Computer Emergency Response Team — CERIST
Advertisement