OSIRIS

Observatoire sur les systèmes d’information, les réseaux et les inforoutes au Sénégal

Show navigation Hide navigation
  • OSIRIS
    • Objectifs
    • Partenaires
  • Ressources
    • Société de l’Information
    • Politique nationale
    • Législation et réglementation
    • Etudes et recherches
    • Points de vue
  • Articles de presse
  • Chiffres clés
    • Le Sénégal numérique
    • Principaux tarifs
    • Principaux indicateurs
  • Opportunités
    • Projets

Accueil > Articles de presse > Archives 1999-2025 > Année 2025 > Septembre 2025 > Piratage massif des Impôts et Domaines : le pire arrivera si l’État ne fait rien

Piratage massif des Impôts et Domaines : le pire arrivera si l’État ne fait rien

mardi 30 septembre 2025

Cybersécurité/Cybercriminalité

Les cyberattaques, devenues presque routinières, ne devraient plus surprendre personne au Sénégal. Hier le Trésor, aujourd’hui la Direction des Impôts et Domaines : demain, qui ? La liste s’allonge et révèle, au grand jour, l’incurie de notre système de défense numérique.

La dernière attaque en date, revendiquée par le groupe d’extorsion BlackShrantac, a frappé en plein cœur la DGID. Sur leur site de fuite de données, ces cybercriminels ont publié des échantillons censés provenir de l’institution : rapports d’impôts, relevés du Trésor, documents RH avec passeports et numéros sensibles, informations réseau internes… Autant de données confidentielles qui, si elles venaient à être diffusées massivement, exposeraient non seulement les citoyens et les entreprises, mais aussi l’État sénégalais dans ses fondements.

L’ampleur de l’attaque et sa nature

Cette intrusion n’est pas un simple « ransomware » technique. BlackShrantac pratique la double extorsion : exfiltration massive de données, puis menace de publication progressive pour forcer le paiement. Des échantillons déjà publiés sur le Dark Web confirment que l’exfiltration a eu lieu ce qui signifie que, même si les systèmes étaient restaurés, les données volées restent une menace permanente (revente, diffusion, chantage).

En termes d’impact, il s’agit d’un événement à très haut risque : compromission de données fiscales, administratives et personnelles, atteinte à la confidentialité des contribuables, et surtout la fragilisation de la souveraineté numérique.

Et pourtant, nul ne saurait feindre l’étonnement. Car le problème n’est pas seulement technique. Il est structurel.

Dans certaines de nos plus hautes institutions, seuls des inspecteurs fussent ils des domaines ou des finances peuvent occuper la fonction de Directeur des Systèmes d’Information. Un paradoxe : ceux qui devraient piloter les politiques de sécurité n’ont, pour la plupart, jamais été formés à l’informatique, encore moins à la cybersécurité.

Le résultat est prévisible : des systèmes d’information vulnérables, des politiques hasardeuses ou inexistantes, et une répétition de drames numériques qui ternissent l’image et la souveraineté de l’État, tout en fragilisant le travail titanesque que ce gouvernement mène par ailleurs dans le domaine du numérique.

Mais il y a pire. La formation et la sensibilisation en cybersécurité sont pratiquement inexistantes. Je dis bien inexistantes.

Dans nos ministères, agences, directions, on déploie des infrastructures de plus en plus complexes, on parle d’identité numérique, on rêve de centralisation des données publiques… sans même préparer les agents, les cadres, ni les responsables à ce que cela implique. Or, à l’ère du numérique, le facteur humain est le premier rempart. Sans lui, aucune technologie, aussi sophistiquée soit-elle, ne saurait protéger un pays.

Imaginez un instant l’identité numérique mise en place sans une sécurité à la hauteur. Ce serait une catastrophe nationale : fuite de données massives, perte de confiance citoyenne, souveraineté numérique en miettes. Voilà le danger que nous courons, à pas feutrés mais sûrs.

Que doit faire la DGID mesures urgentes et priorités.

La DGID, sa hiérarchie et l’État doivent passer immédiatement de la sidération à l’action.

Voici une liste d’actions prioritaires et non négociables, si ce n’est déjà fait :

1.Isoler et contenir segmenter et déconnecter les systèmes compromis, couper les accès externes non essentiels.

2.Activer une cellule de crise plan de gestion d’incident opérationnel 24/7 (technique, juridique, communication).

3.Engager une réponse d’Incident (IR) professionnelle mandater sans délai une équipe d’IR / threat-intel pour déterminer l’étendue de l’exfiltration et collecter des preuves forensiques.

4.Conserver et analyser les preuves, sauvegarder logs, images disques et journaux réseau ; ne pas redémarrer ou altérer les systèmes cruciaux avant expertise.

5.Réinitialiser les accès critiques et révoquer les comptes compromis, réinitialiser mots de passe, activer l’authentification multifacteur partout surtout sur les serveurs ou services critiques.

6.Surveiller les flux sortants détecter d’éventuelles exfiltrations additionnelles et bloquer canaux suspects.

7.Notifier les autorités : informer le CERT/CSIRT national, la direction des chiffres autorisés nationale de cyber sécurité.

8.Préparer la communication publique, communiqué factuel et transparent : expliquer l’incident, les mesures prises.

9.Assister les victimes mettre en place un support dédié mesures de protection des identités) pour les agents et contribuables potentiellement exposés.

10.Mettre en œuvre des mesures pérennes, un audit complet, renforcement des sauvegardes (chiffrement et isolation), SOC Natioanle digne de ce nom permanent, et surtout un plan de formation/sensibilisation massif pour tout le personnel étatique.

Gouvernance et prévention : une réforme indispensable

Ce n’est pas seulement une affaire de pages techniques. C’est une affaire de gouvernance. Il faut sortir des pratiques où des postes critiques sont confiés par habitude administrative plutôt que par compétence. La cybersécurité doit être élevée au rang de politique publique, portée par une institution nationale forte, indépendante et transverse, capable d’auditer, d’imposer et de sanctionner. Sans cela, nous serons toujours dans un éternel recommencement !

Le modèle existe ailleurs. La France a son ANSSI, qui agit sans dépendre de la présidence ni de la primature. D’autres pays africains ont compris l’urgence et avancent, pendant que nous nous enlisons dans nos archaïsmes bureaucratiques.

Le Sénégal ne peut plus attendre. La cybersécurité doit devenir une priorité nationale, un pilier de la souveraineté, au même titre que l’armée ou la diplomatie. Sinon, demain, ce n’est pas seulement un ministère qui tombera, mais l’État tout entier qui vacillera.

S’adapter ou périr : voilà l’alternative.

Pape Guèye
Ingénieur en cyber sécurité

NB :

Un ransomware, c’est un virus qui bloque les fichiers ou les systèmes d’une entreprise afin qu’elle ne puisse plus les utiliser, sauf si elle paie une rançon. C’est comme si un voleur entrait dans ta maison, mettait tous tes meubles sous cadenas et ne te donnait la clé qu’en échange d’argent

(Source : Senews, 30 septembre 2025)

Fil d'actu

  • Charte de membre Africollector Burkina NTIC (25 février 2026)
  • TIC ET AGRICULTURE AU BURKINA FASO Étude sur les pratiques et les usages Burkina NTIC (9 avril 2025)
  • Sortie de promotion DPP 2025 en Afrique de l’Ouest Burkina NTIC (12 mars 2025)
  • Nos étudiant-es DPP cuvée 2024 tous-tes diplomés-es de la Graduate Intitute de Genève Burkina NTIC (12 mars 2025)
  • Retour sur images Yam Pukri en 2023 Burkina NTIC (7 mai 2024)

Liens intéressants

  • NIC Sénégal
  • ISOC Sénégal
  • Autorité de régulation des télécommunications et des postes (ARTP)
  • Fonds de Développement du Service Universel des Télécommunications (FDSUT)
  • Commission de protection des données personnelles (CDP)
  • Conseil national de régulation de l’audiovisuel (CNRA)
  • Sénégal numérique (SENUM SA)

Navigation par mots clés

  • 2233/2631 Régulation des télécoms
  • 174/2631 Télécentres/Cybercentres
  • 1715/2631 Economie numérique
  • 883/2631 Politique nationale
  • 2452/2631 Fintech
  • 278/2631 Noms de domaine
  • 1022/2631 Produits et services
  • 737/2631 Faits divers/Contentieux
  • 368/2631 Nouveau site web
  • 2631/2631 Infrastructures
  • 912/2631 TIC pour l’éducation
  • 95/2631 Recherche
  • 122/2631 Projet
  • 1702/2631 Cybersécurité/Cybercriminalité
  • 939/2631 Sonatel/Orange
  • 821/2631 Licences de télécommunications
  • 142/2631 Sudatel/Expresso
  • 505/2631 Régulation des médias
  • 632/2631 Applications
  • 527/2631 Mouvements sociaux
  • 813/2631 Données personnelles
  • 70/2631 Big Data/Données ouvertes
  • 328/2631 Mouvement consumériste
  • 180/2631 Médias
  • 326/2631 Appels internationaux entrants
  • 847/2631 Formation
  • 49/2631 Logiciel libre
  • 1071/2631 Politiques africaines
  • 512/2631 Fiscalité
  • 85/2631 Art et culture
  • 290/2631 Genre
  • 885/2631 Point de vue
  • 519/2631 Commerce électronique
  • 748/2631 Manifestation
  • 160/2631 Presse en ligne
  • 62/2631 Piratage
  • 103/2631 Téléservices
  • 464/2631 Biométrie/Identité numérique
  • 159/2631 Environnement/Santé
  • 170/2631 Législation/Réglementation
  • 198/2631 Gouvernance
  • 894/2631 Portrait/Entretien
  • 72/2631 Radio
  • 381/2631 TIC pour la santé
  • 158/2631 Propriété intellectuelle
  • 29/2631 Langues/Localisation
  • 535/2631 Médias/Réseaux sociaux
  • 989/2631 Téléphonie
  • 96/2631 Désengagement de l’Etat
  • 616/2631 Internet
  • 57/2631 Collectivités locales
  • 206/2631 Dédouanement électronique
  • 623/2631 Usages et comportements
  • 514/2631 Télévision/Radio numérique terrestre
  • 275/2631 Audiovisuel
  • 1644/2631 Transformation digitale
  • 194/2631 Affaire Global Voice
  • 105/2631 Géomatique/Géolocalisation
  • 162/2631 Service universel
  • 331/2631 Sentel/Tigo
  • 87/2631 Vie politique
  • 847/2631 Distinction/Nomination
  • 17/2631 Handicapés
  • 370/2631 Enseignement à distance
  • 389/2631 Contenus numériques
  • 294/2631 Gestion de l’ARTP
  • 89/2631 Radios communautaires
  • 914/2631 Qualité de service
  • 270/2631 Privatisation/Libéralisation
  • 67/2631 SMSI
  • 254/2631 Fracture numérique/Solidarité numérique
  • 1383/2631 Innovation/Entreprenariat
  • 670/2631 Liberté d’expression/Censure de l’Internet
  • 23/2631 Internet des objets
  • 87/2631 Free Sénégal
  • 617/2631 Intelligence artificielle
  • 99/2631 Editorial
  • 30/2631 Gaming/Jeux vidéos
  • 12/2631 Yas

2026 OSIRIS
Plan du site - Archives (Batik)

Suivez-vous