Les cyberattaques, devenues presque routinières, ne devraient plus surprendre personne au Sénégal. Hier le Trésor, aujourd’hui la Direction des Impôts et Domaines : demain, qui ? La liste s’allonge et révèle, au grand jour, l’incurie de notre système de défense numérique.

La dernière attaque en date, revendiquée par le groupe d’extorsion BlackShrantac, a frappé en plein cœur la DGID. Sur leur site de fuite de données, ces cybercriminels ont publié des échantillons censés provenir de l’institution : rapports d’impôts, relevés du Trésor, documents RH avec passeports et numéros sensibles, informations réseau internes… Autant de données confidentielles qui, si elles venaient à être diffusées massivement, exposeraient non seulement les citoyens et les entreprises, mais aussi l’État sénégalais dans ses fondements.

L’ampleur de l’attaque et sa nature

Cette intrusion n’est pas un simple « ransomware » technique. BlackShrantac pratique la double extorsion : exfiltration massive de données, puis menace de publication progressive pour forcer le paiement. Des échantillons déjà publiés sur le Dark Web confirment que l’exfiltration a eu lieu ce qui signifie que, même si les systèmes étaient restaurés, les données volées restent une menace permanente (revente, diffusion, chantage).

En termes d’impact, il s’agit d’un événement à très haut risque : compromission de données fiscales, administratives et personnelles, atteinte à la confidentialité des contribuables, et surtout la fragilisation de la souveraineté numérique.

Et pourtant, nul ne saurait feindre l’étonnement. Car le problème n’est pas seulement technique. Il est structurel.

Dans certaines de nos plus hautes institutions, seuls des inspecteurs fussent ils des domaines ou des finances peuvent occuper la fonction de Directeur des Systèmes d’Information. Un paradoxe : ceux qui devraient piloter les politiques de sécurité n’ont, pour la plupart, jamais été formés à l’informatique, encore moins à la cybersécurité.

Le résultat est prévisible : des systèmes d’information vulnérables, des politiques hasardeuses ou inexistantes, et une répétition de drames numériques qui ternissent l’image et la souveraineté de l’État, tout en fragilisant le travail titanesque que ce gouvernement mène par ailleurs dans le domaine du numérique.

Mais il y a pire. La formation et la sensibilisation en cybersécurité sont pratiquement inexistantes. Je dis bien inexistantes.

Dans nos ministères, agences, directions, on déploie des infrastructures de plus en plus complexes, on parle d’identité numérique, on rêve de centralisation des données publiques… sans même préparer les agents, les cadres, ni les responsables à ce que cela implique. Or, à l’ère du numérique, le facteur humain est le premier rempart. Sans lui, aucune technologie, aussi sophistiquée soit-elle, ne saurait protéger un pays.

Imaginez un instant l’identité numérique mise en place sans une sécurité à la hauteur. Ce serait une catastrophe nationale : fuite de données massives, perte de confiance citoyenne, souveraineté numérique en miettes. Voilà le danger que nous courons, à pas feutrés mais sûrs.

Que doit faire la DGID mesures urgentes et priorités.

La DGID, sa hiérarchie et l’État doivent passer immédiatement de la sidération à l’action.

Voici une liste d’actions prioritaires et non négociables, si ce n’est déjà fait :

1.Isoler et contenir segmenter et déconnecter les systèmes compromis, couper les accès externes non essentiels.

2.Activer une cellule de crise plan de gestion d’incident opérationnel 24/7 (technique, juridique, communication).

3.Engager une réponse d’Incident (IR) professionnelle mandater sans délai une équipe d’IR / threat-intel pour déterminer l’étendue de l’exfiltration et collecter des preuves forensiques.

4.Conserver et analyser les preuves, sauvegarder logs, images disques et journaux réseau ; ne pas redémarrer ou altérer les systèmes cruciaux avant expertise.

5.Réinitialiser les accès critiques et révoquer les comptes compromis, réinitialiser mots de passe, activer l’authentification multifacteur partout surtout sur les serveurs ou services critiques.

6.Surveiller les flux sortants détecter d’éventuelles exfiltrations additionnelles et bloquer canaux suspects.

7.Notifier les autorités : informer le CERT/CSIRT national, la direction des chiffres autorisés nationale de cyber sécurité.

8.Préparer la communication publique, communiqué factuel et transparent : expliquer l’incident, les mesures prises.

9.Assister les victimes mettre en place un support dédié mesures de protection des identités) pour les agents et contribuables potentiellement exposés.

10.Mettre en œuvre des mesures pérennes, un audit complet, renforcement des sauvegardes (chiffrement et isolation), SOC Natioanle digne de ce nom permanent, et surtout un plan de formation/sensibilisation massif pour tout le personnel étatique.

Gouvernance et prévention : une réforme indispensable

Ce n’est pas seulement une affaire de pages techniques. C’est une affaire de gouvernance. Il faut sortir des pratiques où des postes critiques sont confiés par habitude administrative plutôt que par compétence. La cybersécurité doit être élevée au rang de politique publique, portée par une institution nationale forte, indépendante et transverse, capable d’auditer, d’imposer et de sanctionner. Sans cela, nous serons toujours dans un éternel recommencement !

Le modèle existe ailleurs. La France a son ANSSI, qui agit sans dépendre de la présidence ni de la primature. D’autres pays africains ont compris l’urgence et avancent, pendant que nous nous enlisons dans nos archaïsmes bureaucratiques.

Le Sénégal ne peut plus attendre. La cybersécurité doit devenir une priorité nationale, un pilier de la souveraineté, au même titre que l’armée ou la diplomatie. Sinon, demain, ce n’est pas seulement un ministère qui tombera, mais l’État tout entier qui vacillera.

S’adapter ou périr : voilà l’alternative.

Pape Guèye
Ingénieur en cyber sécurité

NB :

Un ransomware, c’est un virus qui bloque les fichiers ou les systèmes d’une entreprise afin qu’elle ne puisse plus les utiliser, sauf si elle paie une rançon. C’est comme si un voleur entrait dans ta maison, mettait tous tes meubles sous cadenas et ne te donnait la clé qu’en échange d’argent

(Source : Senews, 30 septembre 2025)