Le Trésor public sénégalais vient de subir une nouvelle cyberattaque, confirmant une tendance alarmante pour Dakar. En seulement six mois, trois administrations centrales ont été touchées, révélant les failles critiques de la cybersécurité nationale. Cet incident survient dans un contexte où l’État accélère la dématérialisation de ses services, augmentant mécaniquement les risques d’intrusions malveillantes. La récurrence des attaques, de plus en plus rapprochées, soulève des questions sur l’efficacité des systèmes de protection en place sur les infrastructures stratégiques.
Cette offensive contre la Direction générale du Trésor et de la comptabilité publique s’ajoute à deux autres cybermenaces majeures en 2023. En octobre, le portail de la Direction générale des impôts et des domaines avait été victime d’une intrusion. En janvier, c’était au tour du service de production des cartes nationales d’identité d’être compromis, perturbant un dispositif clé au service des citoyens. Ces trois événements tracent une carte des vulnérabilités inquiétante : finances publiques, fiscalité et état civil, les piliers de l’administration sénégalaise.
Dématérialisation rapide, protections à la traîne
Comme de nombreux pays africains engagés dans une modernisation administrative, le Sénégal a lancé des projets numériques ambitieux sans toujours aligner ces avancées sur des mesures de sécurité adaptées. La transformation digitale des services publics, présentée comme un moteur d’efficacité et de transparence, nécessite pourtant des investissements massifs en protection des données, en surveillance continue et en formation des agents. Le décalage croissant entre le rythme de la digitalisation et celui du renforcement des défenses crée une brèche que les cybercriminels exploitent sans pitié.
Les attaquants poursuivent généralement trois objectifs : extorquer une rançon via un rançongiciel, voler des données sensibles pour les revendre, ou déstabiliser symboliquement les institutions étatiques. Concernant le Trésor public, qui gère les flux financiers de l’État, les conséquences d’une intrusion prolongée seraient dramatiques. Une compromission prolongée pourrait paralyser l’exécution des dépenses publiques, perturber le suivi des comptes des collectivités locales ou encore fragiliser la gestion de la dette intérieure. Les autorités n’ont pas encore dévoilé l’étendue exacte de l’attaque ni la quantité de données éventuellement dérobées.
L’Afrique, nouvelle terre de prédilection des cybercriminels
Le Sénégal n’est malheureusement pas un cas isolé. Ces deux dernières années, plusieurs pays africains engagés dans des programmes ambitieux de gouvernement électronique ont subi des offensives d’envergure. La multiplication des connexions internet, la généralisation des paiements mobiles et le basculement progressif des registres publics vers le cloud offrent un terrain de jeu idéal aux cybercriminels, qu’ils agissent depuis le continent ou à l’étranger. Le rapport bénéfice/risque de ces attaques reste largement en faveur des assaillants : les rançons potentielles sont colossales, tandis que les poursuites judiciaires transfrontalières restent rares et complexes.
Pourtant, Dakar dispose d’un cadre institutionnel a priori solide, avec la Commission de protection des données personnelles (CDP) et les dispositifs portés par l’Agence de l’informatique de l’État (ADIE). Cependant, la coordination entre administrations, la réactivité face aux incidents et la culture de cybersécurité au sein des agents publics restent des défis majeurs. La multiplication des attaques pourrait forcer l’adoption d’une stratégie nationale plus stricte, incluant des audits réguliers, des simulations d’attaques et des obligations de notification renforcées.
Quelles mesures politiques immédiates ?
Pour le gouvernement, l’enjeu dépasse désormais le cadre technique : c’est une question de confiance citoyenne. La réussite de la dématérialisation des services publics dépend de la garantie que les données fiscales, biométriques et financières des Sénégalais sont correctement sécurisées. Trois incidents en six mois érodent cette confiance et mettent en péril les arguments en faveur de la poursuite des grands projets numériques. La pression devrait également s’exercer sur les prestataires techniques sélectionnés par l’État, dont certains privilégient encore le coût au détriment de la robustesse des solutions proposées.
Au-delà des frontières du Sénégal, ces attaques en série rappellent que la souveraineté numérique africaine ne se limite pas à l’hébergement local des données ou au développement d’applications nationales. Elle exige une capacité réelle à détecter, contrer et neutraliser des intrusions de plus en plus sophistiquées, pour protéger les infrastructures vitales du continent.
