Tribune – Cybersécurité en Tunisie : l’heure de la performance opérationnelle

Il est devenu courant, dans les cercles spécialisés, de saluer les avancées institutionnelles de la Tunisie en matière de cybersécurité. Et elles sont réelles. La stratégie nationale 2020-2025 a défini des axes clairs : protection des systèmes d’information, renforcement de la résilience nationale, développement des compétences, amélioration de la gouvernance. Le décret-loi n°2023-17 a consacré la création d’une agence dédiée, dotée d’un mandat élargi couvrant l’audit, la coordination interinstitutionnelle, la réponse aux incidents et la protection des infrastructures critiques. Ce travail de structuration mérite d’être reconnu. Mais la cybersécurité ne se gouverne pas par décret. Elle se prouve par la performance.

Un dispositif de cybersécurité mature ne se mesure pas à la solidité de son cadre normatif. Il se mesure à sa capacité opérationnelle effective : la vitesse de détection d’une intrusion, le délai de réponse à un incident, le niveau de couverture réelle des infrastructures critiques, la qualité de la coordination interinstitutionnelle sous pression.

Or sur ces indicateurs essentiels, la Tunisie ne publie pas de données consolidées. Pas de tableaux de bord publics. Pas de rapports d’activité opérationnelle accessibles. Pas de métriques sur les délais de traitement des incidents ou le taux de couverture des systèmes sensibles. À titre de comparaison, l’ANSSI française publie annuellement un panorama de la cybermenace avec des données opérationnelles précises – un référentiel de transparence que les économies émergentes qui aspirent à la crédibilité numérique ont tout intérêt à adopter.

Cette opacité n’est pas anodine. Elle empêche toute évaluation sérieuse de la maturité réelle du dispositif. Et elle prive les acteurs économiques – investisseurs, opérateurs, partenaires internationaux – des signaux de confiance dont ils ont besoin. Un système qu’on ne mesure pas est un système qu’on ne pilote pas.

Le contexte aggrave l’urgence. La numérisation de l’administration et de l’économie tunisienne progresse. Les services publics migrent vers le digital. Les transactions financières se dématérialisent. Les infrastructures critiques s’interconnectent. Chaque pas vers le numérique est un pas vers une surface d’attaque plus large.

Le secteur bancaire en est l’illustration la plus éloquente. Première cible des cyberattaques à l’échelle mondiale, il concentre des données sensibles, des flux financiers en temps réel et une exigence de continuité absolue. En Tunisie, la numérisation bancaire progresse – mais la maturité cyber des établissements, publics comme privés, reste inégale et peu documentée. Une attaque réussie contre un acteur bancaire systémique ne serait pas un incident technique. Ce serait un choc de confiance à l’échelle de l’économie nationale.

Dans ce contexte élargi – banques, énergie, santé, administration – la cybersécurité n’est plus une fonction support. C’est un levier de performance publique et un facteur de compétitivité économique. La confiance des usagers dans les services numériques, la crédibilité de la Tunisie auprès des investisseurs étrangers, la résilience de l’économie face aux chocs numériques – tout cela dépend directement de la capacité opérationnelle du dispositif national. Or cette capacité reste, à ce jour, peu documentée et peu évaluée publiquement.

Le passage d’une logique de planification à une logique de performance suppose des choix concrets et mesurables. Le premier chantier est celui de la transparence opérationnelle. L’Agence nationale de cybersécurité devrait publier annuellement des indicateurs clés : nombre d’incidents traités, délais moyens de réponse, taux de couverture des infrastructures critiques, résultats des exercices de simulation. Sans cette transparence, il est impossible de distinguer la progression réelle de l’effet d’annonce.

Le deuxième chantier est celui des SOC sectoriels. La surveillance du cyberespace national ne peut reposer sur un dispositif centralisé unique. Le secteur bancaire, en particulier, ne peut se permettre une cybersécurité de second rang : la donnée financière est souveraine, la continuité de service est non négociable et le risque systémique en cas de défaillance est immédiat. Aux côtés des secteurs énergétique et de santé, il doit disposer de centres opérationnels de sécurité dédiés, interconnectés et capables de réagir en temps réel.

Le troisième chantier est celui du capital humain. La cybersécurité est une compétence rare, coûteuse et volatile. Former des experts ne suffit pas si les conditions de rétention ne suivent pas. La fuite des compétences vers des marchés mieux rémunérés reste l’un des angles morts les plus dangereux du dispositif tunisien. Ce chantier est aussi un levier d’attraction : des projets cyber ambitieux, adossés à des outils de pilotage modernes comme l’IMIB (Indice de Maturité de l’Intelligence Bancaire ) constituent précisément le cadre qui retient et valorise les talents au lieu de les exporter.

La fenêtre d’opportunité dont dispose aujourd’hui la Tunisie pour consolider son dispositif de cybersécurité est réelle, mais elle a une durée de vie limitée. Il appartient désormais aux instances de gouvernance – autorités de régulation, directions générales des établissements publics, tutelles sectorielles – de prendre les décisions structurelles nécessaires pendant que les conditions politiques et institutionnelles le permettent encore.

La prochaine étape n’est pas une nouvelle stratégie. Ce n’est pas un nouveau texte législatif. C’est la démonstration (chiffrée, documentée, publique) que le dispositif en place est capable de détecter, de répondre et de protéger dans des délais acceptables face à des menaces réelles.

————————————————————————