contact@amelegalconseils.com 00228 91 86 35 35
← Retour au blog
Cybersécurité/OSE

Opérateurs de services essentiels au Togo : ce que la désignation change réellement pour votre organisation

14 juillet 2026 · AMELEGAL

Être désigné opérateur de services essentiels (OSE) n'est pas un label : c'est l'entrée dans un régime d'obligations opposables, assorti d'un audit annuel et de sanctions. Panorama du dispositif togolais et de ses points de friction pratiques.

La transformation numérique du Togo a un revers mesurable. Entre 2021 et 2024, l'Agence nationale de la cybersécurité (ANCy) indique avoir enregistré et traité plus de 333 000 incidents sur le territoire national, la volumétrie annuelle passant de 39 168 cas en 2021 à 181 088 en 2024. Lors de son bilan présenté en décembre 2025, l'Agence relevait que près de 80 % des cybermenaces recensées relèvent de la fraude et de l'escroquerie en ligne, et confirmait la poursuite de la Stratégie nationale de cybersécurité 2024-2028. Dans ce contexte, la conformité des opérateurs de services essentiels cesse d'être un sujet technique pour devenir un sujet de responsabilité dirigeante.

333 000+
incidents traités (2021-2024)
39 168
incidents en 2021
181 088
incidents en 2024
~80 %
fraude et escroquerie en ligne

1. Un dispositif à trois étages

Le régime togolais des OSE repose sur une architecture normative simple mais souvent mal identifiée par les entreprises concernées.

01. La loi

La loi n° 2018-026 du 7 décembre 2018 sur la cybersécurité et la lutte contre la cybercriminalité, modifiée par la loi n° 2022-009, qui pose le principe : les opérateurs dont l'activité conditionne la défense nationale, la sûreté publique, la stabilité économique ou la sécurité nationale sont soumis à des règles de sécurité destinées à protéger leurs infrastructures.

02. Le décret « OSE »

Le décret n° 2019-095/PR du 8 juillet 2019 relatif aux opérateurs de services essentiels, aux infrastructures essentielles et aux obligations y afférentes fixe les critères et modalités de désignation des OSE, la déclaration des infrastructures essentielles (IE) et les obligations attachées. La liste des services essentiels figure en annexe du décret.

03. L'arrêté opérationnel

L'arrêté n° 2022-040/PMRT du 29 juin 2022 portant adoption des règles de cybersécurité en République togolaise, pris sur le fondement de l'article 11 du décret OSE. C'est le texte opérationnel : il contient le référentiel que l'OSE doit appliquer, sous peine de sanctions.

Deux acteurs institutionnels

L'ANCy, créée par le décret n° 2019-022/PR du 13 février 2019, est l'autorité nationale de sécurité des systèmes d'information : elle désigne les OSE, fixe les règles et en surveille l'application. La société d'économie mixte Cyber Defense Africa (CDA), délégataire de l'ANCy, opère le CERT.tg et le SOC national et se voit confier, par contrat de délégation de service public, le contrôle annuel des OSE.

2. Quatre domaines, quatorze sous-domaines

Les règles de cybersécurité s'articulent autour de quatre domaines déclinés en quatorze sous-domaines de contrôle, chacun assorti de contrôles et de sous-contrôles précis :

Gouvernance (G)

Gouvernance et leadership, politique de sécurité et plan de sécurité d'opérateur (PSO), conformité et audit, gestion des risques, ressources humaines, relations fournisseurs.

Protection (P)

Contrôle d'accès, gestion des actifs, sécurité des réseaux et des communications, acquisition et maintenance des systèmes d'information, sécurité des opérations, sécurité physique et environnementale.

Défense (D)

Gestion des incidents de sécurité, adossée à un service de surveillance, de détection, d'analyse et de qualification des évènements de sécurité (SOC).

Résilience (R)

Gestion de la continuité des activités.

Ce référentiel n'est pas une simple transposition d'ISO 27001. Il s'en inspire — comme du NIST 800-53, des contrôles CIS et de PCI DSS — mais il ajoute des exigences chiffrées et directement vérifiables qui deviennent, une fois l'opérateur désigné, des obligations juridiques et non des bonnes pratiques.

3. Les exigences chiffrées à ne pas manquer

L'expérience des premiers cycles d'accréditation montre que les non-conformités portent moins sur la stratégie que sur des points opérationnels datés. Parmi les plus structurants :

4. Les obligations déclaratives : le premier réflexe après la désignation

La notification de désignation comme OSE déclenche des délais qui courent immédiatement. Ils sont fréquemment manqués, faute d'avoir été identifiés.

Ces déclarations ne sont pas des formalités : elles conditionnent la capacité de l'ANCy et de son délégataire à qualifier un incident et à mobiliser le bon interlocuteur en situation de crise.

5. Le cycle annuel de contrôle et d'accréditation

Le contrôle de conformité obéit à un cycle qui doit être anticipé dans le calendrier de l'entreprise. Le PSO est mis en œuvre sur les infrastructures essentielles ; le délégataire conduit l'audit annuel ; un rapport d'audit — couvert par le secret professionnel — établit si le niveau de sécurité atteint est conforme aux objectifs du PSO, au regard des menaces et vulnérabilités connues, et formule des recommandations de remédiation ; l'OSE traite les non-conformités ; le PSO est enfin mis à jour dans le cadre de la procédure d'accréditation, en tenant compte des évènements survenus durant l'année écoulée. Les règles elles-mêmes sont révisables au moins tous les deux ans.

L'OSE doit par ailleurs maintenir à jour un dossier d'accréditation contenant l'analyse de risques et les objectifs de sécurité des IE, les procédures et mesures de sécurité appliquées, ainsi que les risques résiduels, les mesures de réduction retenues et les motifs de leur acceptation (G1.2.2).

6. Trois angles morts juridiques

A. La chaîne fournisseurs

Le sous-contrôle G6.3.1 impose d'intégrer dans les contrats fournisseurs une quinzaine de stipulations : accord de confidentialité assorti de sanctions réelles, séquestre des codes sources, SLA de correction des vulnérabilités, accès au code source pendant et après le contrat pour les logiciels critiques, assurance du fournisseur contre les dommages liés à une mauvaise exécution, procédure d'escalade formalisée. Peu de contrats informatiques en vigueur au Togo satisfont aujourd'hui à cette exigence. Une revue contractuelle du portefeuille fournisseurs est, en pratique, le chantier le plus lourd de la mise en conformité.

B. L'articulation avec la protection des données

Le référentiel renvoie expressément à la confidentialité et à la protection des données à caractère personnel (G3.1.4). La loi n° 2019-014 du 29 octobre 2019 et l'action désormais effective de l'Instance de protection des données à caractère personnel (IPDCP) créent une seconde ligne d'exigences, dont les périmètres se recoupent sans se confondre. Un incident affectant une infrastructure essentielle et portant sur des données personnelles relève des deux régimes.

C. La responsabilité de la direction

Le référentiel désigne nommément le conseil d'administration comme globalement responsable de l'état de la cybersécurité de l'OSE, et le directeur général comme responsable de l'acceptation et de l'approbation des exigences. Il impose l'institution d'un comité de direction de la cybersécurité présidé par le directeur général ou son délégué, et recommande que la fonction cybersécurité ne relève pas de la direction informatique afin d'éviter tout conflit d'intérêts. La conformité OSE est donc, juridiquement, un sujet de gouvernance d'entreprise avant d'être un sujet technique.

En pratique

Que vous soyez déjà désigné, en cours de contradictoire ou simplement susceptible de l'être au regard de la liste annexée au décret OSE, quatre questions méritent d'être tranchées sans délai :

  • ?Votre périmètre d'infrastructures essentielles est-il correctement délimité ?
  • ?Vos délais déclaratifs sont-ils tenus ?
  • ?Votre PSO est-il documenté et auditable ?
  • ?Vos contrats fournisseurs supportent-ils une revue au regard du sous-contrôle G6.3.1 ?

AMELEGAL accompagne les opérateurs désignés et pressentis sur l'ensemble de la chaîne.

Qualification du périmètre, sécurisation du contradictoire de désignation, mise en conformité contractuelle de la chaîne fournisseurs, articulation avec le régime de protection des données et gestion juridique des incidents.

Textes de référence : loi n° 2018-026 du 7 décembre 2018 sur la cybersécurité et la lutte contre la cybercriminalité, modifiée par la loi n° 2022-009 ; décret n° 2019-022/PR du 13 février 2019 portant attributions, organisation et fonctionnement de l'ANCy ; décret n° 2019-095/PR du 8 juillet 2019 relatif aux opérateurs de services essentiels, aux infrastructures essentielles et aux obligations y afférentes ; décret n° 2019-098/PR du 11 juillet 2019 portant création de la société Cyber Defense Africa ; arrêté n° 2022-040/PMRT du 29 juin 2022 portant adoption des règles de cybersécurité en République togolaise (Règles de cybersécurité, version 1.0, juin 2022) ; loi n° 2019-014 du 29 octobre 2019 relative à la protection des données à caractère personnel ; Stratégie nationale de cybersécurité 2024-2028 ; données d'incidents communiquées par l'ANCy (bilan 2025).

Cet article présente une information générale et ne constitue pas une consultation juridique. — AMELEGAL

Ajouter un commentaire