À l’heure où les cyberattaques occupent une place croissante dans le débat public et alimentent parfois inquiétudes et spéculations, “Les Après-midis de la Tech” ont offert un espace d’éclairage et de pédagogie. Invité spécial de l’émission, le Directeur général de la Direction générale de la cybersécurité et des systèmes d’information (DCSSI) a apporté une lecture structurée et factuelle de la cybersécurité au Sénégal, loin des raccourcis et des jugements hâtifs. Son intervention a permis de replacer les enjeux dans leur contexte historique, institutionnel et opérationnel, tout en mettant en lumière les actions menées par l’État.

Au cœur du propos du Colonel Aly Mime, une idée forte s’est imposée : le signalement des cyberincidents n’est pas un angle mort de la politique publique, mais son efficacité repose avant tout sur l’existence d’un cadre légal contraignant. Entre montée en puissance progressive des capacités nationales, coordination opérationnelle des crises et réforme en profondeur du dispositif juridique à travers un projet de loi structurant, le Directeur général a dessiné les contours d’une cybersécurité sénégalaise en construction, pensée comme un pilier à part entière de la sécurité nationale.

D’emblée, il a insisté sur la nécessité d’adopter une lecture historique de la cybersécurité nationale. Selon lui, on ne peut apprécier ni les forces ni les limites du système actuel sans remonter aux premières bases posées dès 2008, lorsque le Sénégal s’est doté de textes juridiques pionniers dans le domaine. Depuis lors, le cadre a évolué, les menaces se sont transformées, les technologies ont changé, et l’État a progressivement ajusté ses réponses. L’enjeu aujourd’hui n’est donc pas de repartir de zéro, mais de capitaliser sur cet héritage pour bâtir un dispositif plus robuste, cohérent et adapté aux réalités contemporaines.

Mandat institutionnel et montée en puissance progressive

C’est dans ce contexte qu’il a longuement expliqué les missions et les prérogatives de la Direction du Chiffre et de la sécurité des systèmes d’information, qu’il convient d’analyser sous deux angles complémentaires. D’un côté, le mandat légal et institutionnel, qui confère à la DCSSI des missions comparables à celles des autorités nationales de cybersécurité dans de nombreux pays. De l’autre, les moyens humains et matériels, qui conditionnent la capacité d’action opérationnelle. Sur ce point, il a tenu à préciser que la direction est devenue opérationnelle de manière progressive à partir de l’année 2022, avec une accélération notable après la validation par les autorités de son plan stratégique. Ce plan, désormais en cours de mise en œuvre, prévoit un renforcement significatif des ressources humaines et techniques, récemment validé, afin de permettre à la structure de monter durablement en puissance.

Toutefois, a-t-il souligné, la DCSSI n’a pas attendu de disposer de l’ensemble des moyens idéaux pour agir. Dès le plan stratégique, elle produit régulièrement des documents d’orientation, d’analyse et de recommandation à destination des autorités, contribuant à structurer la réflexion nationale sur la cybersécurité. Elle agit également sur le plan normatif, en s’appuyant notamment sur la Politique de sécurité des systèmes d’information de l’État, élaborée dès 2017 et alignée sur les standards internationaux de type ISO 27000. Cette politique impose aux administrations une organisation claire, avec des responsables de la sécurité des systèmes d’information identifiés, des procédures définies et une obligation de conformité. Selon le Directeur général, si ces mesures étaient rigoureusement appliquées, la survenance de nombreuses cyberattaques deviendrait hautement improbable.

Le signalement des cyberincidents, au cœur du débat

Mais c’est surtout sur la question du signalement des cyberincidents que son intervention a marqué les esprits. Il a été particulièrement clair et ferme sur ce point. Le principe de la notification des incidents est bien pris en compte dans la politique de sécurité de l’État, mais son effectivité dépend avant tout du cadre légal. En d’autres termes, sans une loi contraignante prévoyant des obligations claires et des sanctions, il est difficile d’imposer à toutes les entités, notamment les infrastructures critiques, de déclarer systématiquement les cyberattaques sévères dont elles sont victimes. Les textes existants, bien que fondateurs, ne prévoient pas toujours ce volet coercitif, ce qui limite leur portée opérationnelle.

C’est précisément pour répondre à cette problématique qu’a été élaboré le projet de loi sur la protection des infrastructures critiques et la sécurité numérique. Présenté comme une véritable loi cadre de la cybersécurité, ce texte vise à combler les lacunes juridiques actuelles. Il intègre l’obligation de signalement des incidents graves, encadre les responsabilités des acteurs, prévoit des mécanismes de sanction et donne une base juridique solide à l’ensemble du dispositif national. Pour le Directeur général, quelle que soit la forme institutionnelle retenue – direction générale, agence ou autorité indépendante – c’est bien la loi qui confère la légitimité, l’autorité et la capacité de contrainte nécessaires pour faire respecter les règles.

Coordination opérationnelle et gestion des crises

Sur le plan opérationnel, il a rappelé que la coordination de la réponse aux cyberattaques est assurée à travers le cadre national de gestion de crise, connu sous l’acronyme CADARCA. Ce dispositif, activé lors de chaque cyberattaque majeure relayée par la presse, permet de mobiliser l’ensemble des expertises disponibles, aussi bien au sein de l’administration que dans le secteur privé. Forces de sécurité, experts techniques, prestataires accrédités et acteurs nationaux sont ainsi réunis pour assurer l’investigation, la remédiation et le rétablissement rapide des systèmes affectés. Cette approche traduit une volonté assumée de partenariat public-privé, considérée comme indispensable face à des menaces de plus en plus complexes.

Le Directeur général a également tenu à clarifier le débat sur la gouvernance de la cybersécurité. Selon lui, la fréquence des cyberattaques ne saurait être un indicateur de mauvaise gouvernance. Des pays plus avancés, fortement dépendants du numérique, subissent mécaniquement davantage d’attaques. Le véritable critère d’évaluation réside dans la capacité à anticiper, à détecter, à réagir efficacement et à renforcer la résilience des systèmes. De ce point de vue, le Sénégal n’a pas attendu de subir des attaques pour se doter d’un dispositif institutionnel couvrant la prévention, la sensibilisation, la formation, l’investigation, la répression et la coordination stratégique.

Le facteur humain et l’enjeu de la résilience nationale

Enfin, il a insisté sur un point souvent sous-estimé : l’humain demeure le maillon le plus vulnérable de la chaîne de cybersécurité. Au-delà des technologies et des infrastructures, la formation, la sensibilisation, la culture de cybersécurité et le respect des procédures sont essentiels. Des audits réguliers, des plans de remédiation réalistes et des investissements ciblés sont nécessaires pour corriger durablement les vulnérabilités identifiées.

Au terme de son intervention, un message s’est imposé avec clarté. La question centrale n’est pas de savoir si le Sénégal est attaqué, mais s’il est suffisamment organisé pour absorber le choc, se relever rapidement et tirer les leçons de chaque incident. À travers la montée en puissance progressive de la DCSSI et l’adoption attendue du projet de loi sur la protection des infrastructures critiques et la sécurité numérique, l’État sénégalais entend précisément répondre à cet enjeu stratégique.

(Source : Le Techobservateur, 27 février 2026)