Le Sénégal fait face à une série préoccupante de cyberincidents touchant ses institutions administratives et financières stratégiques. Entre fin 2025 et mai 2026, plusieurs directions clés ont été affectées, révélant des failles récurrentes en matière de cybersécurité malgré les ambitions de digitalisation accélérée du pays (New Deal Technologique).
Une vague d’attaques sur les institutions sensibles
- DGID (Direction générale des Impôts et des Domaines) — Octobre 2025 : Attaque revendiquée par le groupe Black Shrantac. Près de 1 To de données fiscales, déclarations et informations administratives exfiltrées. Rançon demandée (environ 10 millions d’euros selon certaines sources). Services paralysés pendant plusieurs jours.
- DAF (Direction de l’Automatisation des Fichiers) — Janvier/février 2026 : Intrusion détectée le 19 janvier, revendiquée par le Green Blood Group (nouveau groupe apparu en 2026). Exfiltration massive de données biométriques, registres d’état civil, fichiers d’immigration et documents d’identité concernant des millions de Sénégalais (139 Go ou plus selon les annonces). Suspension temporaire de la production des CNI. Risques élevés d’usurpation d’identité et de fraude.
- DGCPT (Direction générale de la Comptabilité publique et du Trésor) — 10-11 mai 2026 : Dernier incident en date. Un « incident » affectant une partie des systèmes d’information a été annoncé le 11 mai par le Directeur général Amadou Tidiane Gaye. Des sources médiatiques font état d’une exfiltration d’environ 70 Go de données sensibles circulant déjà sur le dark web (documents financiers, paiements publics, etc.). Mesures conservatoires activées et plan de continuité mis en œuvre. Les services sont en cours de rétablissement, mais le flou persiste sur l’ampleur exacte.
D’autres incidents antérieurs (vol d’ordinateurs à la DGCPT en 2024, tentatives sur d’autres entités) s’ajoutent à ce tableau.
Vulnérabilités structurelles mises en évidence
Ces attaques successives soulignent plusieurs faiblesses persistantes :
- Centralisation des données sensibles sans protection suffisante face aux menaces externes (ransomware double extortion).
- Accélération de la digitalisation (plateformes comme SenTrésor, nouvelles CNI biométriques) sans maturation parallèle de la cybersécurité (audits, formation, infrastructures résilientes).
- Dépendance à des partenaires étrangers (ex. : IRIS Corporation pour les CNI), qui peut créer des points d’entrée supplémentaires.
- Communication officielle minimaliste (« incident technique » plutôt que cyberattaque assumée), qui complique la transparence et la réponse collective.
La Police nationale a enregistré des milliers d’infractions cyber en 2025, mais les capacités de prévention et de réponse aux attaques sophistiquées sur les systèmes étatiques restent limitées.
Impacts et enjeux
- Pour les citoyens : Risques accrus de vol d’identité, fraudes, chantage et arnaques basées sur les données fuitées.
- Pour l’État : Perturbations des services publics essentiels (paiements, trésorerie, identités), atteinte à la souveraineté numérique et perte de confiance.
- Économiques : Retards dans les recettes fiscales, paiements publics et opérations avec les partenaires.
Perspectives et recommandations
Les autorités multiplient les messages rassurants et activent des plans de continuité, mais experts et observateurs appellent à une refonte urgente :
- Audits indépendants des systèmes critiques.
- Renforcement des capacités nationales (formation, Agence de la Donnée et de l’ADIE).
- Investissements dans la souveraineté numérique (hébergement local, défense en profondeur).
- Coopération internationale et cadre législatif plus robuste.
La multiplication des incidents en moins d’un an montre que les vulnérabilités ne sont pas isolées mais structurelles. Sans une réponse à la hauteur, la confiance dans la transformation numérique de l’administration sénégalaise risque d’être durablement érodée.
La situation reste évolutive, particulièrement autour de la DGCPT et des données exposées sur le dark web. Des enquêtes sont en cours.
enligne.sn