OSIRIS

Observatoire sur les systèmes d’information, les réseaux et les inforoutes au Sénégal

Show navigation Hide navigation
  • OSIRIS
    • Objectifs
    • Partenaires
  • Ressources
    • Société de l’Information
    • Politique nationale
    • Législation et réglementation
    • Etudes et recherches
    • Points de vue
  • Articles de presse
  • Chiffres clés
    • Le Sénégal numérique
    • Principaux tarifs
    • Principaux indicateurs
  • Opportunités
    • Projets

Accueil > Articles de presse > Année 2026 > Février 2026 > Gallo Fall : « Reconquérir la souveraineté numérique du Sénégal après la (…)

Gallo Fall : « Reconquérir la souveraineté numérique du Sénégal après la cyber-attaque du DAF »

lundi 9 février 2026

Cybersécurité/Cybercriminalité

Gallo Fall vit et travaille au Etats Unis, pense que la protection de l’écosystème numérique de l’Afrique et son avenir est un imperative. Il a occupé plusieurs postes de direction en cybersécurité. Il a obtenu un B.S. en Informatique et Sécurité des Réseaux avec une mineure en Informatique Forensique à Dakota State University, suivi d’un Masters M.S. en Technologies de la Sécurité à l’Université du Minnesota, spécialisé en cybersécurité, infrastructures critiques et gestion des risques.

Cet article met en avant le poids symbolique des systèmes biométriques et d’identité tout en soulignant les risques à long terme liés à la compromission des données biométriques nationales. Cet éditorial souligne l’importance de la souveraineté numérique et exhorte le Sénégal et les nations africaines à prendre le contrôle de leur avenir numérique en construisant des systèmes sécurisés et résilients pour héberger et protéger ce qui compte le plus en matière de cybersécurité.

La récente cyberattaque contre la Direction de l’automatisation des fichiers (DAF) a révélé une vulnérabilité critique au cœur de notre République. Selon les informations publiques disponibles, un groupe se faisant appeler « The Green Blood Group » affirme avoir exfiltré 139 téraoctets de données hautement sensibles, perturbant ainsi la délivrance des cartes d’identité nationales et des passeports et compromettant potentiellement les informations biométriques et administratives de millions de citoyens sénégalais.

Je vous écris en tant qu’expert en cybersécurité et en gouvernance des risques pour vous exhorter à une réponse décisive qui aille au-delà des solutions techniques et s’attaque au problème fondamental : la souveraineté numérique du Sénégal.

Pour expliquer la quantité de données volées aux personnes non spécialistes, il est important de préciser que la capacité de stockage est généralement mesurée selon deux normes différentes : décimale (SI), utilisée par les fabricants de matériel, et binaire (IEC), souvent utilisée par les systèmes d’exploitation. Mo désigne les mégaoctets.

1 gigaoctet (Go) = 1000 mégaoctets, selon la norme décimale, ou 1024 mégaoctets selon la norme binaire (IEC). 1 téraoctet de stockage peut contenir environ 250 000 à 300 000 photos (en supposant des photos de 12 mégaoctets).

Une capacité de stockage de 139 téraoctets permet de stocker environ 11 583 333 photos de 12 mégaoctets chacune en utilisant la conversion décimale standard, ou 12 146 005 photos en utilisant la conversion binaire.

Qui est Green Blood Group ?

Green Blood Group est un groupe de cybercriminels motivé par l’appât du gain, observé pour la première fois en février 2026. Selon les informations disponibles, il appartient à l’écosystème des acteurs de la cybercriminalité utilisant des rançongiciels, qui combinent le vol de données et l’extorsion. Leurs activités s’inscrivent dans la tendance générale des petits groupes agiles qui utilisent des outils courants, des canaux de communication anonymes et des sites de fuite publics pour contraindre leurs victimes à payer. Le groupe exploite un site de fuite dédié sur le réseau Tor et applique un modèle de double extorsion, menaçant de divulguer publiquement les données des victimes en cas d’échec des négociations.

Le groupe Green Blood semble être une nouvelle organisation de rançongiciels, et non une simple réorganisation d’un groupe déjà connu. Ce groupe dispose d’un site de fuite de données indépendant sur le réseau Tor et utilise des canaux de communication chiffrés pour interagir avec ses victimes.

Types d’extorsion :

• Extorsion directe

• Double extorsion

• Fuites de données gratuites

Pays cibles observés

Le mode de ciblage suggère une concentration sur des régions où la maturité en matière de réponse aux incidents et les exigences de divulgation des attaques par rançongiciel varient, ce qui pourrait accroître la probabilité de réussite des tentatives d’extorsion.

• Sénégal

• Inde

• Colombie

• Égypte

• Belgique

Le danger de l’externalisation de l’identité

La cyberattaque est survenue précisément au moment où l’État sénégalais était engagé dans un conflit commercial avec IRIS Corporation Berhad, l’entreprise malaisienne responsable des cartes d’identité nationales numériques du Sénégal. Dès la détection de l’intrusion, IRIS aurait demandé à la DAF (Direction de l’Automatisation des Fichiers) de désactiver tous les systèmes, tandis que son équipe technique se préparait à se rendre sur place depuis la Malaisie. Autrement dit, en pleine situation d’urgence nationale, le fonctionnement et la restauration de l’infrastructure d’identification essentielle du Sénégal dépendaient entièrement d’un fournisseur étranger situé à des milliers de kilomètres. Il ne s’agit pas d’une simple complication liée aux marchés publics, mais d’une vulnérabilité stratégique profonde : lorsque la continuité de notre système d’identification national repose sur un prestataire externe impliqué dans un différend financier avec l’État, une partie de notre souveraineté est déjà compromise. La convergence d’une cyberattaque majeure, d’un conflit commercial et d’une demande de mise hors service des systèmes nationaux révèle une faiblesse structurelle que les enquêteurs doivent examiner de près, notamment la possibilité que la relation avec le fournisseur ait elle-même créé ou amplifié les failles de sécurité actuellement exploitées.

Cet arrangement soulève trois graves préoccupations :

– Premièrement, qu’une entité privée étrangère semble exercer un contrôle opérationnel de facto sur des infrastructures nationales critiques.
– Deuxièmement, qu’un litige contractuel et financier puisse coïncider avec ou affecter indirectement la gestion d’un incident majeur de cybersécurité.
– Troisièmement, que nos actifs informationnels les plus sensibles — les données biométriques et d’identité des citoyens — soient intégrés dans un système dont la responsabilité technique centrale se situe en dehors du Sénégal.

De plus, des informations disponibles dans le domaine public suggèrent que d’autres entités stratégiques, y compris Sénégal Numérique S. A. (SENUM SA), la société d’État responsable des infrastructures numériques gouvernementales, ont également été ciblées, indiquant une campagne plus large contre nos « coffres-forts numériques » institutionnels. Associées aux attaques antérieures contre la Direction générale des Impôts et des Domaines, ces actions révèlent un schéma de vulnérabilité systémique au plus haut niveau des systèmes d’information de l’État.

La souveraineté des données comme impératif constitutionnel

La souveraineté des données est la forme contemporaine de la souveraineté étatique à l’ère numérique. Ce n’est pas un slogan technique  ; c’est un impératif constitutionnel qui doit orienter l’acquisition, l’architecture et la gouvernance de tous les systèmes d’information critiques.

La Constitution affirme la souveraineté du peuple sénégalais sur son territoire et ses institutions. Or, à l’ère numérique, cette souveraineté doit également s’étendre aux données et aux infrastructures numériques. Les bases biométriques, registres civils, fichiers fiscaux, dossiers d’immigration et listes électorales constituent l’ossature informationnelle de la République, déterminant l’identité légale, l’accès aux droits, les obligations fiscales et la participation démocratique.

Si ces coffres-forts numériques peuvent être ouverts, chiffrés ou pris en otage par des groupes criminels – ou indirectement influencés par des entités étrangères qui gèrent les systèmes – alors notre souveraineté n’existe que sur le papier.

L’incident de la DAF, combiné aux attaques précédentes contre des institutions telles que la Direction générale des impôts et des domaines et aux informations selon lesquelles SENUM SA, l’entreprise publique chargée de la protection des données gouvernementales, aurait également été compromise, révèle un schéma d’exploitation systématique des vulnérabilités de haut niveau. Ces violations ne sont pas des incidents isolés ; elles sont les symptômes d’une architecture qui a privilégié la rapidité et l’externalisation au détriment du contrôle national et de la résilience.

Un programme politique pour l’indépendance numérique

Compte tenu de ce qui précède, je propose respectueusement au gouvernement d’envisager les mesures suivantes, en s’appuyant sur les stratégies existantes mais en les renforçant en termes de portée et d’urgence :

1. Consacrer la souveraineté et la localisation des données pour les systèmes critiques Définir, par loi ou décret, des catégories de « données nationales critiques » (y compris les données biométriques, fiscales, de santé, électorales et de sécurité) qui doivent être stockées et traitées sur des infrastructures physiquement situées au Sénégal et exploitées sous contrôle national direct. Exiger que tout partenariat étranger impliquant de telles données inclue des dispositions claires pour l’accès de l’État au code source, aux clés cryptographiques et à la documentation opérationnelle, sans pouvoir unilatéral pour les fournisseurs externes de désactiver ou suspendre les systèmes.

2. Rééquilibrer les contrats en faveur de la capacité nationale : Examiner le contrat avec IRIS Corporation et des arrangements similaires afin de s’assurer qu’ils ne créent pas de dépendance stratégique ni ne limitent la capacité de l’État à exploiter et sécuriser ses propres systèmes. Pour les futurs appels d’offres, imposez un transfert obligatoire de technologie, des coentreprises avec des entreprises sénégalaises et des clauses de renforcement des capacités qui exigent que les partenaires étrangers forment et intègrent les équipes nationales dans la conception, l’exploitation et la défense de ces systèmes.

3. Renforcer la gouvernance et l’application de la cybersécurité nationale Donner le pouvoir à une autorité centrale nationale de cybersécurité dotée d’un mandat clair pour auditer, certifier et surveiller tous les systèmes critiques, qu’ils soient exploités par des agences publiques ou des contractants privés. Exiger des évaluations de sécurité régulières et indépendantes, des tests d’intrusion et des exercices de réponse aux incidents, avec un rapport complet au comité parlementaire compétent afin d’assurer une surveillance démocratique.

4. Investir dans les talents et l’industrie sénégalaises en cybersécurité Créer des mécanismes de financement dédiés pour la formation des ingénieurs en cybersécurité, des spécialistes en criminalistique numérique et des architectes de la sécurité via des partenariats entre gouvernement, universités et secteur privé. Encourager la croissance d’entreprises locales de cybersécurité capables de rivaliser pour des contrats d’État, préservant ainsi l’expertise et la valeur économique au Sénégal et dans la région plus large de la CEDEAO.

5. Promouvoir la transparence et la confiance du public après la faille Publier, dès que possible sans compromettre la sécurité, un rapport officiel et techniquement solide sur l’incident du DAF, détaillant l’étendue des données affectées, les mesures prises et les réformes prévues. Établir des canaux de communication clairs avec les citoyens dont les données ont pu être exposées, et développer des programmes de remédiation (tels que la surveillance renforcée, le renouvellement des documents et les services de soutien) pour atténuer les risques potentiels.

Un avertissement africain plus large

L’expérience du Sénégal résonne avec une réalité africaine plus large. Des contrats nationaux d’identification aux systèmes d’immigration en passant par les plateformes de villes intelligentes, de nombreux États africains se sont tournés vers des fournisseurs externes pour des infrastructures numériques clés en main. Bien que ces dispositifs puissent accélérer la modernisation, ils créent souvent des dépendances opaques et exposent les systèmes publics fondamentaux à des risques à la fois cybercriminels et géopolitiques. Les pays qui ont commencé à internaliser les capacités de cybersécurité et à exercer un contrôle renforcé sur leurs données — comme ceux qui créent des agences nationales de cybersécurité et investissent massivement dans les industries numériques nationales — démontrent qu’une autre voie est possible.

L’Afrique ne peut pas se permettre un avenir où l’identité de nos citoyens, les registres électoraux et les archives d’État résident effectivement à la merci d’acteurs extérieurs, qu’il s’agisse de hackers du dark web ou de vendeurs dans des capitales lointaines. La violation du DAF devrait donc être étudiée non seulement à Dakar, mais dans chaque capitale où des systèmes biométriques et d’identité sont acquis ou renouvelés.

De l’appel d’alarme au plan

La priorité immédiate du gouvernement est à juste titre de contenir l’incident du DAF : rétablir les services, évaluer l’ampleur complète de la compromission des données et coopérer avec les enquêteurs pour identifier et poursuivre les responsables. Mais une fois le feu immédiat maîtrisé, le Sénégal doit résister à la tentation de « revenir à la normale », car c’est précisément la normalité qui a rendu cette crise possible.

Au contraire, cette faille devrait servir de modèle pour un programme national de souveraineté numérique — un programme qui remet les citoyens, institutions et experts sénégalais au centre de notre infrastructure identitaire. Si nous considérons ce moment comme un point d’inflexion plutôt qu’une gêne à enterrer, le Sénégal peut émerger comme un leader continental dans une gouvernance numérique responsable et souveraine.

Le groupe Sang Vert a peut-être révélé nos faiblesses, mais il a aussi clarifié notre chemin. La question maintenant est de savoir si nous allons la suivre.

Transformer la crise en opportunité

Le Sénégal a l’opportunité de transformer cet incident grave en catalyseur d’un changement structurel positif. En affirmant la souveraineté numérique, en développant des capacités nationales solides et en rééquilibrant ses partenariats, le pays peut émerger comme un leader régional en matière de gouvernance numérique sécurisée et responsable. Dans un contexte où de nombreux États africains se posent des questions similaires concernant les systèmes d’identité gérés par l’étranger et les violations de données à grande échelle, la réponse du Sénégal enverra un signal puissant à travers le continent.

Je suis convaincu que le Sénégal possède le capital humain, la maturité institutionnelle et le statut diplomatique nécessaires pour tracer cette voie. Ce qu’il faut maintenant, c’est une décision politique claire : traiter l’infrastructure numérique et la cybersécurité non pas comme des questions techniques secondaires, mais comme des éléments fondamentaux de la sécurité nationale et de la souveraineté.

Je suis disponible pour aider le Sénégal à sécuriser ce qui compte le plus et à améliorer sa posture de gestion des risques en cybersécurité.

Si vous avez des questions ou souhaitez un suivi, merci de m’envoyer un e-mail à fallgallo@gmail.com.

(Source : Seneweb, 9 février 2026)

Fil d'actu

  • TIC ET AGRICULTURE AU BURKINA FASO Étude sur les pratiques et les usages Burkina NTIC (9 avril 2025)
  • Sortie de promotion DPP 2025 en Afrique de l’Ouest Burkina NTIC (12 mars 2025)
  • Nos étudiant-es DPP cuvée 2024 tous-tes diplomés-es de la Graduate Intitute de Genève Burkina NTIC (12 mars 2025)
  • Retour sur images Yam Pukri en 2023 Burkina NTIC (7 mai 2024)
  • Quelles différences entre un don et un cadeau ? Burkina NTIC (22 avril 2024)

Liens intéressants

  • NIC Sénégal
  • ISOC Sénégal
  • Autorité de régulation des télécommunications et des postes (ARTP)
  • Fonds de Développement du Service Universel des Télécommunications (FDSUT)
  • Commission de protection des données personnelles (CDP)
  • Conseil national de régulation de l’audiovisuel (CNRA)
  • Sénégal numérique (SENUM SA)

Navigation par mots clés

  • 4607/5194 Régulation des télécoms
  • 365/5194 Télécentres/Cybercentres
  • 3651/5194 Economie numérique
  • 1922/5194 Politique nationale
  • 5009/5194 Fintech
  • 547/5194 Noms de domaine
  • 2887/5194 Produits et services
  • 1548/5194 Faits divers/Contentieux
  • 793/5194 Nouveau site web
  • 5194/5194 Infrastructures
  • 1728/5194 TIC pour l’éducation
  • 200/5194 Recherche
  • 257/5194 Projet
  • 4353/5194 Cybersécurité/Cybercriminalité
  • 1841/5194 Sonatel/Orange
  • 1640/5194 Licences de télécommunications
  • 297/5194 Sudatel/Expresso
  • 1012/5194 Régulation des médias
  • 1350/5194 Applications
  • 1154/5194 Mouvements sociaux
  • 1754/5194 Données personnelles
  • 130/5194 Big Data/Données ouvertes
  • 616/5194 Mouvement consumériste
  • 385/5194 Médias
  • 675/5194 Appels internationaux entrants
  • 1951/5194 Formation
  • 99/5194 Logiciel libre
  • 2248/5194 Politiques africaines
  • 1049/5194 Fiscalité
  • 170/5194 Art et culture
  • 614/5194 Genre
  • 1914/5194 Point de vue
  • 1045/5194 Commerce électronique
  • 1542/5194 Manifestation
  • 341/5194 Presse en ligne
  • 136/5194 Piratage
  • 213/5194 Téléservices
  • 959/5194 Biométrie/Identité numérique
  • 314/5194 Environnement/Santé
  • 406/5194 Législation/Réglementation
  • 420/5194 Gouvernance
  • 2010/5194 Portrait/Entretien
  • 155/5194 Radio
  • 813/5194 TIC pour la santé
  • 309/5194 Propriété intellectuelle
  • 68/5194 Langues/Localisation
  • 1115/5194 Médias/Réseaux sociaux
  • 2096/5194 Téléphonie
  • 221/5194 Désengagement de l’Etat
  • 1051/5194 Internet
  • 133/5194 Collectivités locales
  • 502/5194 Dédouanement électronique
  • 1249/5194 Usages et comportements
  • 1082/5194 Télévision/Radio numérique terrestre
  • 580/5194 Audiovisuel
  • 3282/5194 Transformation digitale
  • 402/5194 Affaire Global Voice
  • 163/5194 Géomatique/Géolocalisation
  • 327/5194 Service universel
  • 700/5194 Sentel/Tigo
  • 192/5194 Vie politique
  • 1647/5194 Distinction/Nomination
  • 35/5194 Handicapés
  • 720/5194 Enseignement à distance
  • 729/5194 Contenus numériques
  • 635/5194 Gestion de l’ARTP
  • 187/5194 Radios communautaires
  • 1946/5194 Qualité de service
  • 457/5194 Privatisation/Libéralisation
  • 139/5194 SMSI
  • 477/5194 Fracture numérique/Solidarité numérique
  • 2809/5194 Innovation/Entreprenariat
  • 1392/5194 Liberté d’expression/Censure de l’Internet
  • 48/5194 Internet des objets
  • 180/5194 Free Sénégal
  • 760/5194 Intelligence artificielle
  • 232/5194 Editorial
  • 24/5194 Yas

2026 OSIRIS
Plan du site - Archives (Batik)

Suivez-vous