La cybersécurité saoudienne sous Vision 2030 s’organise autour du cadre de la National Cybersecurity Authority (NCA), qui définit des contrôles obligatoires pour les entités publiques et les infrastructures critiques tout en coordonnant cyberdéfense, conformité réglementaire, réponse aux incidents et développement des compétences. Créée par décret royal en 2017, la NCA est l’institution de référence du Royaume en matière cyber.
La National Cybersecurity Authority
La NCA dispose d’un mandat large : réglementation de la cybersécurité, cyberdéfense nationale, renforcement des capacités et coopération internationale. Elle relève directement du Roi, signal de la priorité stratégique attribuée à la cybersécurité dans la hiérarchie publique.
Les Essential Cybersecurity Controls de la NCA établissent les exigences de base applicables aux entités publiques et aux opérateurs d’infrastructures nationales critiques. Ces contrôles couvrent gouvernance, défense, résilience et gestion des tiers, fournissant un cadre structuré pour mesurer la maturité cybersécurité des organisations.
Des cadres spécialisés traitent les exigences sectorielles. Les Critical Systems Cybersecurity Controls s’appliquent aux organisations exploitant des systèmes critiques pour la sécurité nationale, l’économie ou la sûreté publique. Les Cloud Cybersecurity Controls répondent aux risques de l’adoption cloud. Les Data Cybersecurity Controls fixent les exigences de protection des données sur tout leur cycle de vie.
La conformité aux contrôles NCA est obligatoire pour les entités publiques et de plus en plus adoptée par le secteur privé via les exigences contractuelles et les bonnes pratiques industrielles. La NCA conduit des évaluations de conformité et publie des benchmarks de maturité pour encourager l’amélioration continue.
Menaces et réponse aux incidents
L’Arabie saoudite fait face à un paysage de menaces cyber sophistiqué et évolutif. Premier exportateur mondial de pétrole et puissance régionale importante, le Royaume attire l’attention d’acteurs étatiques, de hacktivistes et de cybercriminels motivés financièrement. L’attaque Shamoon de 2012 contre Saudi Aramco, qui a détruit les données d’environ 35 000 postes de travail, reste un événement fondateur ayant catalysé l’investissement national en cybersécurité.
La NCA exploite un National Security Operations Centre qui surveille les menaces sur les réseaux publics et les infrastructures critiques. Ce centre coordonne détection, analyse et réponse aux incidents, donnant une visibilité centralisée sur l’environnement national de menace.
Des équipes sectorielles de réponse aux urgences informatiques opèrent en coordination avec la NCA. Saudi CERT traite la réponse générale aux incidents, tandis que des équipes spécialisées couvrent finance, énergie et télécommunications. Elles fournissent renseignement sur les menaces, avis de vulnérabilité et appui à la réponse aux organisations concernées.
Les capacités de renseignement se sont renforcées via des partenariats avec agences internationales, fournisseurs privés de threat intelligence et communautés de partage d’information. L’Arabie saoudite participe au Global Forum on Cyber Expertise et maintient des accords bilatéraux de coopération cyber avec des partenaires clés.
Protection des infrastructures critiques
La protection des infrastructures nationales critiques est une priorité de la NCA. Ces infrastructures couvrent installations énergétiques, notamment l’environnement de technologie opérationnelle de Saudi Aramco, usines de dessalement, production et distribution d’électricité, réseaux télécoms, systèmes financiers et infrastructures de transport.
La cybersécurité de la technologie opérationnelle (OT) fait l’objet d’une attention particulière. La convergence entre systèmes IT et OT dans les environnements industriels crée de nouveaux vecteurs d’attaque que les approches de sécurité informatique traditionnelles traitent mal. Les contrôles NCA dédiés à l’OT couvrent les exigences propres aux systèmes de contrôle industriel : disponibilité temps réel, systèmes hérités et opérations critiques pour la sûreté.
Saudi Aramco a investi des milliards de riyals dans la cybersécurité, établissant l’une des opérations de cybersécurité industrielle les plus sophistiquées au monde. Son Cybersecurity Operations Centre surveille des dizaines de milliers de terminaux dans les installations de production, raffineries et réseaux corporate. Détection avancée, automatisation de la réponse et capacités de résilience reflètent les enseignements tirés de Shamoon.
La cybersécurité financière est régulée via le Cyber Security Framework de SAMA, qui fixe des exigences détaillées pour banques, assureurs et fintechs. Le cadre couvre gouvernance, évaluation des risques, gestion des tiers et réponse aux incidents, avec des évaluations régulières conduites par les examinateurs de SAMA.
Marché et développement industriel
Le marché saoudien de la cybersécurité a connu une croissance rapide, dépassant 15 milliards SAR de dépenses annuelles en 2025. Les marchés publics représentent le segment le plus important, suivis par les services financiers, l’énergie, les télécommunications et la santé.
Les grands fournisseurs internationaux maintiennent une présence significative dans le Royaume. Palo Alto Networks, CrowdStrike, Fortinet, IBM Security, Check Point et d’autres acteurs disposent de bureaux locaux, centres de support et écosystèmes de partenaires. Le marché saoudien est l’une des plus grandes opportunités cybersécurité du Moyen-Orient.
Des entreprises domestiques ont émergé, soutenues par l’encouragement de la NCA au développement industriel local. Services de sécurité managés, tests d’intrusion, conseil conformité et développement de produits ont constitué des activités viables pour servir clients publics et privés.
Le programme SIREN de la NCA encourage le développement de produits cybersécurité domestiques par préférences d’achat, incubation et mécanismes de co-investissement. Il vise à bâtir des capacités souveraines et à réduire la dépendance aux technologies étrangères pour les applications critiques.
Développement de la main-d’oeuvre
La pénurie de talents cybersécurité est mondiale, mais particulièrement aiguë en Arabie saoudite, où la transformation numérique rapide crée une demande très supérieure à l’offre. La NCA estime le besoin à plus de 30 000 professionnels d’ici 2030, ce qui impose un investissement massif dans éducation, formation et attraction des talents.
La Saudi Federation for Cybersecurity, Programming, and Drones (SAFCSP) opère programmes de formation, compétitions et campagnes de sensibilisation visant les jeunes Saoudiens. CyberHub, sa plateforme de formation, offre des cours de cybersécurité du niveau débutant à avancé, avec des milliers de participants annuels.
Les programmes universitaires se sont développés, avec des diplômes dédiés dans plusieurs universités saoudiennes. Prince Mohammed bin Fahd University, Imam Mohammed ibn Saud Islamic University et d’autres établissements ont créé des cursus alignés sur les standards internationaux et les cadres de compétences NCA.
L’obtention de certifications professionnelles est encouragée par subventions publiques et incitations employeurs. Les professionnels saoudiens détiennent de plus en plus de certifications CISSP, CISM, CEH et autres titres reconnus, construisant une communauté professionnelle alignée sur les standards mondiaux.
Le programme CyberStar de la NCA identifie et développe des talents à haut potentiel par formation intensive, mentorat et appui au placement. Il cible des profils éducatifs variés, en reconnaissance du fait que les talents cyber peuvent émerger de parcours non traditionnels.
Évolutions réglementaires
La Cybercrime Law établit des sanctions pénales pour accès non autorisé, vol de données, perturbation de systèmes et infractions liées aux contenus. Les peines incluent prison et amendes calibrées selon la gravité de l’infraction et la sensibilité des systèmes affectés.
La Personal Data Protection Law (PDPL) établit des obligations de notification des violations de données, imposant aux organisations de signaler les incidents significatifs à SDAIA et aux personnes affectées dans des délais définis. Les actions d’application sous PDPL créent des précédents pour la conformité des données dans le secteur privé.
Les standards internationaux, notamment ISO 27001 et le NIST Cybersecurity Framework, sont largement adoptés par les organisations saoudiennes. Les cadres NCA s’en inspirent tout en intégrant des exigences propres au Royaume.
Défis
Le rythme de la transformation numérique élargit continuellement la surface d’attaque. À mesure que les services publics passent en ligne, que les objets connectés prolifèrent dans les villes intelligentes et que les entreprises adoptent le cloud, le volume et la diversité des actifs à protéger augmentent fortement.
La cybersécurité de la chaîne d’approvisionnement devient un sujet majeur. L’interconnexion numérique des organisations crée des chemins de propagation pour des incidents en cascade. La gestion du risque cyber de tiers dans des écosystèmes fournisseurs complexes exige des capacités avancées d’évaluation et de surveillance.
La sécurité des systèmes hérités reste difficile. Les entités publiques et entreprises opérant des plateformes anciennes peinent à appliquer des contrôles modernes à des systèmes conçus avant les menaces contemporaines. Les programmes de migration et de modernisation traitent cette dette technique, mais ils demandent temps et investissement.
Perspectives
La trajectoire d’investissement cybersécurité de l’Arabie saoudite devrait continuer à s’accélérer jusqu’en 2030, portée par l’expansion des infrastructures numériques, l’évolution des menaces et les exigences réglementaires. L’approche de la NCA, combinant réglementation, construction de capacités, développement industriel et main-d’oeuvre, fournit une base solide de résilience nationale.
La maturité cybersécurité du Royaume sera testée par des acteurs de menace de plus en plus sophistiqués visant son économie numérique. L’adéquation des investissements défensifs, l’efficacité des cadres réglementaires et la suffisance du développement des talents détermineront la capacité du Royaume à protéger les gains de sa transformation numérique. La cybersécurité n’est pas seulement un enjeu technologique : c’est un impératif de sécurité nationale qui conditionnera la durabilité des ambitions d’économie numérique de Vision 2030.