La cyberattaque ayant visé, début octobre, la Direction générale des impôts et des domaines (DGID) du Sénégal, puis celle qui a frappé quelques mois plus tôt la Banque de l’habitat du Sénégal (BHS), ont mis en lumière la vulnérabilité persistante des infrastructures numériques stratégiques du pays. Deux épisodes distincts, mais révélateurs d’un même enjeu : la capacité de l’État et des institutions financières à faire face à des menaces cyber de plus en plus structurées.

Dans le cas de la DGID, l’attaque, attribuée à un groupe opérant par rançongiciel, a entraîné l’indisponibilité partielle des services fiscaux en ligne pendant plusieurs jours. Les assaillants ont revendiqué l’exfiltration de données administratives sensibles et exigé une rançon estimée à plusieurs milliards de francs CFA. Si les autorités sont restées prudentes sur l’ampleur exacte des informations compromises, l’incident a perturbé les déclarations et paiements électroniques, touchant directement le fonctionnement de l’administration fiscale.

Quelques mois auparavant, fin 2024, la Banque de l’habitat du Sénégal avait elle aussi été ciblée par une attaque de type ransomware. Selon les éléments cités dans le VINKA Cyber Index 2025, nouveau baromètre panafricain analysant plus de 250 organisations en Afrique de l’Ouest et centrale, l’incident aurait conduit à la compromission de données concernant plusieurs centaines de milliers de clients, avec une demande de rançon estimée à environ un million de dollars. Là encore, au-delà de l’impact financier immédiat, c’est la question de la confiance dans les institutions qui a été posée.

Au-delà du secteur bancaire, les attaques par phishing, les tentatives de fraudes en ligne et les intrusions dans les systèmes d’information d’entreprises privées se multiplient, dans un contexte où les dispositifs de détection et de réponse restent inégalement déployés. Cette extension du risque à l’ensemble du tissu économique renforce la dimension systémique de la menace.

Ces attaques s’inscrivent dans une dynamique régionale de fond. Le VINKA Cyber Index 2025 souligne que la majorité des structures évaluées se situent à un niveau de maturité cyber qualifié d’« intermédiaire ». Un niveau qui, selon les auteurs du rapport, peut donner un sentiment trompeur de maîtrise.

« Dans la plupart des pays, nous constatons que la stratégie cyber existe sur le papier, mais rarement dans les réflexes quotidiens », analyse Patricia Pedhom Nono, associée de VINKA en charge du conseil.
Pour Patricia Pedhom Nono, « en Afrique francophone, la cybersécurité ne doit plus être un sujet d’IT. C’est un sujet de survie économique ».

Le rapport met en évidence des vulnérabilités structurelles persistantes : 86 % des organisations analysées présentent une mauvaise hygiène réseau, 87 % des vulnérabilités technologiques — souvent liées à des systèmes obsolètes — et 27 % des comportements utilisateurs à risque, ce qui confirme le rôle central du facteur humain dans les intrusions. Selon elle, dans la plupart des organisations, « l’attaque ne commence pas par un malware, mais par un simple email ouvert trop vite ».
Mais le VINKA Cyber Index insiste sur un point clé : l’existence d’un cadre réglementaire ne garantit pas la résilience opérationnelle. Manque de talents spécialisés, budgets limités, faible généralisation des centres de supervision de sécurité (SOC) et absence de plans de continuité d’activité testés régulièrement constituent des failles majeures.

Comme encore une poignée de pays africains, sur le plan institutionnel, le Sénégal dispose pourtant d’un cadre juridique relativement avancé, avec des lois sur la cybercriminalité et la protection des données personnelles, ainsi qu’une stratégie nationale dédiée.

Le pays affiche un score intermédiaire, autour de 67 sur 100, dans le Global Cybersecurity Index de l’Union internationale des télécommunications. Mais les attaques contre la DGID et la BHS illustrent l’écart persistant entre l’existence de textes et leur traduction opérationnelle.

« Le cadre existe, mais il manque souvent de moyens humains, techniques et organisationnels pour être pleinement efficace », observe Patricia Pedhom Nono.

Selon le rapport, les organisations situées sous le seuil “avancé” sont jusqu’à cinq fois plus exposées au risque de cyberattaque que celles ayant intégré la cybersécurité dans leur gouvernance stratégique.
Au Sénégal, où de nombreuses entreprises ont déployé des solutions de base — antivirus, pare-feu, sauvegardes —, la cybersécurité reste souvent réactive, peu intégrée aux décisions managériales et pas assez alignée sur les enjeux business.

Dans ce contexte, le marché sénégalais de la cybersécurité apparaît appelé à se structurer davantage. Cabinets de conseil, auditeurs spécialisés et acteurs de la résilience numérique sont de plus en plus sollicités pour accompagner administrations et entreprises dans l’évaluation de leurs risques, la mise à niveau de leurs dispositifs de sécurité et l’intégration de la cybersécurité dans la gouvernance stratégique. Pour VINKA, qui se positionne comme un acteur panafricain du conseil en résilience numérique, l’enjeu consiste précisément à traduire les enseignements du Cyber Index en recommandations opérationnelles adaptées aux réalités locales.

Au-delà des pertes financières et des atteintes potentielles aux données, ces cyberattaques posent enfin la question de la continuité de l’action publique et des services essentiels. L’enjeu pour les dirigeants n’est plus seulement de disposer de protections techniques, mais de savoir si leurs organisations sont capables d’absorber une attaque sans compromettre durablement leur activité. « La vraie question pour un dirigeant n’est plus “sommes-nous protégés ?”, mais “sommes-nous prêts à encaisser une attaque sans mettre en péril notre activité ?” », met en avant l’experte de VINKA.

Dans une économie sénégalaise de plus en plus numérisée, la cybersécurité apparaît ainsi comme un enjeu vital de résilience de l’État et du système financier, au croisement des impératifs technologiques, économiques et institutionnels.

(Source : Social Net Link, 21 janvier 2026)