Les fondamentaux
L'Indonésie se positionne comme la principale économie numérique d'Asie du Sud-Est et la 16e mondiale, représentant 40 % du PIB régional. Son économie digitale croît rapidement et devrait s'élever à 130 Mds USD d'ici 2025. Avec 223 M d'internautes et 345 M de smartphones, accompagnés d'investissements croissants dans les infrastructures IT et les connexions IoT, la demande en cybersécurité s'accroît. Cependant, le pays manque de protections adéquates et de sensibilisation, le rendant vulnérable aux attaques cyber, d'après le NCSI en 2023, la cybersécurité indonésienne se place à la 49e position sur 160 pays.
En 2023, l'Agence nationale de cybersécurité (BSSN) a enregistré près de 403 M d'anomalies web, dont 4 M d'APT et 1 M de ransomwares. Des entités majeures comme Bank Syariah Indonesia, Tokopedia, Sequoia Capital, le système national d'assurance maladie (BPJS), le National Data Center (PDN), et le ministère de la Défense ont été touchées. Ces attaques de type Phishing, DDoS Attack, Ransomware Lockbit et Deepfake visent en particulier à dérober des données clientes pour ensuite les revendre sur des plateformes de DarkNet.
Pour répondre à ces défis, le gouvernement indonésien, a décidé d’axer ses efforts sur la mise en place rapide de programmes de formation IT à destination des jeunes générations, et d’un cadre réglementaire où l'on note l'adoption de la loi sur la protection des données personnelles en 2020 ("UU PDP") et de nouvelles régulations de cybersécurité par l'Autorité des Services financiers (OJK). Ces initiatives stimulent le marché de la cybersécurité, estimé à 3,5 Mds USD en 2028.
Exposition au DarkNet
La BSSN a identifié jusqu’à 1 674 185 données d’exposition affectant 429 agences. Ci-dessous, la part des expositions par secteur.
Opportunités pour l'offre française
Logiciels de sécurité informatique
83 % des entreprises en Indonésie, constituées majoritairement de TPE, PME et ETI (63 M), n'utilisent pas de logiciels de protection sous licence, principalement pour des raisons budgétaires et de manque de ressources qualifiées.
Modules d’apprentissage
Les entités publiques et privées se tournent vers des modules d’apprentissage en ligne pour la sensibilisation au Social Engineering et au Security by Design avec 86 % des développeurs qui ne priorisent pas la sécurité des applications.
IT Compliance
L'adoption de la loi "UU PDP" augmente la demande en outils de mise en conformité (anonymisation des données, Cookies Consent, migration de données).
Cloud
Le déploiement du Cloud stimule le marché de la cybersécurité, avec des solutions comme Google Drive, Dropbox, et Microsoft Azure, adressant des enjeux de sécurité des données sensibles.
Projets
Des projets faisant appel à des financements extérieurs, comme le projet "Strengthening Cyber Security Ecosystem in Indonesia" (250 M USD), visent à renforcer les défenses numériques du pays.
Source :
Ministère indonésien de Planification du Développement national (Bappenas) - List of Medium-Term Planned External Loans 2020-2024 (Blue Book), 2nd Revision (07/07/2024)
Responsabilité sociétale
Labels et certifications
La certification du collaborateur n’est à ce jour pas une norme en Indonésie. Pour accompagner la montée en compétences sur les sujets de cybersécurité, les acteurs se tournent vers des organismes mondialement reconnus tels que les Américains EC-Council, CompTIA et l’ISACA (Information Systems Audit and Control Association) proposant entre autres les certifications CEH (Certified Ethical Hacker), CHFI (Certified Hacking Forensics Investigator), CompTIA Security+ et CISA (Certified Information Systems Auditor).
La certification de l’outil, quant à elle, doit respecter la procédure d’enregistrement sur le portail OSS - Online Single Submission (https://oss.go.id/).
Source :
DG Trésor ; Presse locale ; Agence nationale de Cybersécurité et Cryptographie (BSSN) ; IFG (07/07/2024)
Clés d'accès
Le profil des partenaires / approche commerciale à privilégier
1/ L'opportunité d'ouvrir un bureau de représentation voire une filiale est fonction du type de services ou solutions technologiques vendus ; une présence de l’entreprise au plus près de ses clients / partenaires constitue un atout clé (proactivité, accompagnement, etc.).
2/ Pour la vente de services / solutions SaaS, il est possible d'intégrer le marché indonésien en direct, depuis l'étranger. Cf. la rubrique "Taxation".
3/ Le recours à un partenaire local peut s'avérer préférable s'agissant de solutions technologiques.
- Intégrateur : partenaire idéal pour des projets technologiques complexes ou nécessitant des services d'intégration, il doit disposer de projets identifiés dans son portefeuille.
- Distributeur ou agent : représentant commercial devant pouvoir compter sur un réseau déjà établi.
La réglementation spécifique liée aux enjeux environnementaux
Principales lois et réglementations (non-exhaustif) :
- Décret présidentiel n° 47/2023 : met en avant la stratégie nationale de cybersécurité.
- Loi "UU PDP" de 2020 : crée deux classifications de données (générales et spécifiques) et 11 droits pour les utilisateurs (accès, retrait, etc.).
- Règlement n° 29/SEOJK.03/2022 (OJK) : couvre l'évaluation et la gestion des risques, la protection des données, la réponse aux incidents et la formation des employés.
- Règlement n° 71/2019 : traite des cybercrimes liés aux transactions électroniques.
- Règlement n° 82/2014 du ministère indonésien de la Défense (Kemhan) : traite de la cyberdéfense militaire.
- Loi n° 11/2008 : régule les transactions électroniques ; amendée en 2016 pour clarifier le statut de "fournisseur de système électronique", etc.
Niveau de taxation
1/ Les biens importés sont sujets à de potentiels droits de douane, en fonction de leurs codes SH.
2/ Les services, solutions ou produits importés font généralement l'objet d'une Withholding Tax ou PPh (Pajak Penghasilan), calculée sur la valeur CIF + droits de douane éventuels. Cette taxe est réglée par l’importateur au moment de l’importation d’un bien, ou le client direct pour un service, ou toute forme de Royalty. Elle est à anticiper dans la structuration d'une offre commerciale, avec des taux réduits pour les pays comme la France disposant d'un accord fiscal avec l'Indonésie.
3/ Le taux normal de TVA s’élève à 11 % et devrait évoluer à 12 % au 1er janvier 2025. Elle est applicable tant aux biens et services importés que produits localement et est payée par le client final. Pour ce qui est des biens importés, une avance de TVA appelée PPn (Pajak Pertambahan Nilai) est due par l’importateur sur la valeur CIF + droits de douane de celui-ci.
Source :
Agence nationale de Cybersécurité et Cryptographie (BSSN) ; Ministère indonésien des Finances (Kemenkeu) ; KPMG (07/07/2024)