OSIRIS

Observatoire sur les systèmes d’information, les réseaux et les inforoutes au Sénégal

Show navigation Hide navigation
  • OSIRIS
    • Objectifs
    • Partenaires
  • Ressources
    • Société de l’Information
    • Politique nationale
    • Législation et réglementation
    • Etudes et recherches
    • Points de vue
  • Articles de presse
  • Chiffres clés
    • Le Sénégal numérique
    • Principaux tarifs
    • Principaux indicateurs
  • Opportunités
    • Projets

Accueil > Articles de presse > Archives 1999-2025 > Année 2025 > Septembre 2025 > Piratage massif des Impôts et Domaines : le pire arrivera si l’État ne fait rien

Piratage massif des Impôts et Domaines : le pire arrivera si l’État ne fait rien

mardi 30 septembre 2025

Cybersécurité/Cybercriminalité

Les cyberattaques, devenues presque routinières, ne devraient plus surprendre personne au Sénégal. Hier le Trésor, aujourd’hui la Direction des Impôts et Domaines : demain, qui ? La liste s’allonge et révèle, au grand jour, l’incurie de notre système de défense numérique.

La dernière attaque en date, revendiquée par le groupe d’extorsion BlackShrantac, a frappé en plein cœur la DGID. Sur leur site de fuite de données, ces cybercriminels ont publié des échantillons censés provenir de l’institution : rapports d’impôts, relevés du Trésor, documents RH avec passeports et numéros sensibles, informations réseau internes… Autant de données confidentielles qui, si elles venaient à être diffusées massivement, exposeraient non seulement les citoyens et les entreprises, mais aussi l’État sénégalais dans ses fondements.

L’ampleur de l’attaque et sa nature

Cette intrusion n’est pas un simple « ransomware » technique. BlackShrantac pratique la double extorsion : exfiltration massive de données, puis menace de publication progressive pour forcer le paiement. Des échantillons déjà publiés sur le Dark Web confirment que l’exfiltration a eu lieu ce qui signifie que, même si les systèmes étaient restaurés, les données volées restent une menace permanente (revente, diffusion, chantage).

En termes d’impact, il s’agit d’un événement à très haut risque : compromission de données fiscales, administratives et personnelles, atteinte à la confidentialité des contribuables, et surtout la fragilisation de la souveraineté numérique.

Et pourtant, nul ne saurait feindre l’étonnement. Car le problème n’est pas seulement technique. Il est structurel.

Dans certaines de nos plus hautes institutions, seuls des inspecteurs fussent ils des domaines ou des finances peuvent occuper la fonction de Directeur des Systèmes d’Information. Un paradoxe : ceux qui devraient piloter les politiques de sécurité n’ont, pour la plupart, jamais été formés à l’informatique, encore moins à la cybersécurité.

Le résultat est prévisible : des systèmes d’information vulnérables, des politiques hasardeuses ou inexistantes, et une répétition de drames numériques qui ternissent l’image et la souveraineté de l’État, tout en fragilisant le travail titanesque que ce gouvernement mène par ailleurs dans le domaine du numérique.

Mais il y a pire. La formation et la sensibilisation en cybersécurité sont pratiquement inexistantes. Je dis bien inexistantes.

Dans nos ministères, agences, directions, on déploie des infrastructures de plus en plus complexes, on parle d’identité numérique, on rêve de centralisation des données publiques… sans même préparer les agents, les cadres, ni les responsables à ce que cela implique. Or, à l’ère du numérique, le facteur humain est le premier rempart. Sans lui, aucune technologie, aussi sophistiquée soit-elle, ne saurait protéger un pays.

Imaginez un instant l’identité numérique mise en place sans une sécurité à la hauteur. Ce serait une catastrophe nationale : fuite de données massives, perte de confiance citoyenne, souveraineté numérique en miettes. Voilà le danger que nous courons, à pas feutrés mais sûrs.

Que doit faire la DGID mesures urgentes et priorités.

La DGID, sa hiérarchie et l’État doivent passer immédiatement de la sidération à l’action.

Voici une liste d’actions prioritaires et non négociables, si ce n’est déjà fait :

1.Isoler et contenir segmenter et déconnecter les systèmes compromis, couper les accès externes non essentiels.

2.Activer une cellule de crise plan de gestion d’incident opérationnel 24/7 (technique, juridique, communication).

3.Engager une réponse d’Incident (IR) professionnelle mandater sans délai une équipe d’IR / threat-intel pour déterminer l’étendue de l’exfiltration et collecter des preuves forensiques.

4.Conserver et analyser les preuves, sauvegarder logs, images disques et journaux réseau ; ne pas redémarrer ou altérer les systèmes cruciaux avant expertise.

5.Réinitialiser les accès critiques et révoquer les comptes compromis, réinitialiser mots de passe, activer l’authentification multifacteur partout surtout sur les serveurs ou services critiques.

6.Surveiller les flux sortants détecter d’éventuelles exfiltrations additionnelles et bloquer canaux suspects.

7.Notifier les autorités : informer le CERT/CSIRT national, la direction des chiffres autorisés nationale de cyber sécurité.

8.Préparer la communication publique, communiqué factuel et transparent : expliquer l’incident, les mesures prises.

9.Assister les victimes mettre en place un support dédié mesures de protection des identités) pour les agents et contribuables potentiellement exposés.

10.Mettre en œuvre des mesures pérennes, un audit complet, renforcement des sauvegardes (chiffrement et isolation), SOC Natioanle digne de ce nom permanent, et surtout un plan de formation/sensibilisation massif pour tout le personnel étatique.

Gouvernance et prévention : une réforme indispensable

Ce n’est pas seulement une affaire de pages techniques. C’est une affaire de gouvernance. Il faut sortir des pratiques où des postes critiques sont confiés par habitude administrative plutôt que par compétence. La cybersécurité doit être élevée au rang de politique publique, portée par une institution nationale forte, indépendante et transverse, capable d’auditer, d’imposer et de sanctionner. Sans cela, nous serons toujours dans un éternel recommencement !

Le modèle existe ailleurs. La France a son ANSSI, qui agit sans dépendre de la présidence ni de la primature. D’autres pays africains ont compris l’urgence et avancent, pendant que nous nous enlisons dans nos archaïsmes bureaucratiques.

Le Sénégal ne peut plus attendre. La cybersécurité doit devenir une priorité nationale, un pilier de la souveraineté, au même titre que l’armée ou la diplomatie. Sinon, demain, ce n’est pas seulement un ministère qui tombera, mais l’État tout entier qui vacillera.

S’adapter ou périr : voilà l’alternative.

Pape Guèye
Ingénieur en cyber sécurité

NB :

Un ransomware, c’est un virus qui bloque les fichiers ou les systèmes d’une entreprise afin qu’elle ne puisse plus les utiliser, sauf si elle paie une rançon. C’est comme si un voleur entrait dans ta maison, mettait tous tes meubles sous cadenas et ne te donnait la clé qu’en échange d’argent

(Source : Senews, 30 septembre 2025)

Fil d'actu

  • Charte de membre Africollector Burkina NTIC (25 février 2026)
  • TIC ET AGRICULTURE AU BURKINA FASO Étude sur les pratiques et les usages Burkina NTIC (9 avril 2025)
  • Sortie de promotion DPP 2025 en Afrique de l’Ouest Burkina NTIC (12 mars 2025)
  • Nos étudiant-es DPP cuvée 2024 tous-tes diplomés-es de la Graduate Intitute de Genève Burkina NTIC (12 mars 2025)
  • Retour sur images Yam Pukri en 2023 Burkina NTIC (7 mai 2024)

Liens intéressants

  • NIC Sénégal
  • ISOC Sénégal
  • Autorité de régulation des télécommunications et des postes (ARTP)
  • Fonds de Développement du Service Universel des Télécommunications (FDSUT)
  • Commission de protection des données personnelles (CDP)
  • Conseil national de régulation de l’audiovisuel (CNRA)
  • Sénégal numérique (SENUM SA)

Navigation par mots clés

  • 4558/5507 Régulation des télécoms
  • 352/5507 Télécentres/Cybercentres
  • 3547/5507 Economie numérique
  • 1771/5507 Politique nationale
  • 5052/5507 Fintech
  • 587/5507 Noms de domaine
  • 2124/5507 Produits et services
  • 1518/5507 Faits divers/Contentieux
  • 740/5507 Nouveau site web
  • 5507/5507 Infrastructures
  • 1931/5507 TIC pour l’éducation
  • 193/5507 Recherche
  • 242/5507 Projet
  • 3612/5507 Cybersécurité/Cybercriminalité
  • 1921/5507 Sonatel/Orange
  • 1663/5507 Licences de télécommunications
  • 283/5507 Sudatel/Expresso
  • 1023/5507 Régulation des médias
  • 1274/5507 Applications
  • 1057/5507 Mouvements sociaux
  • 1632/5507 Données personnelles
  • 142/5507 Big Data/Données ouvertes
  • 651/5507 Mouvement consumériste
  • 363/5507 Médias
  • 654/5507 Appels internationaux entrants
  • 1804/5507 Formation
  • 100/5507 Logiciel libre
  • 2256/5507 Politiques africaines
  • 1085/5507 Fiscalité
  • 172/5507 Art et culture
  • 590/5507 Genre
  • 1804/5507 Point de vue
  • 1040/5507 Commerce électronique
  • 1519/5507 Manifestation
  • 320/5507 Presse en ligne
  • 126/5507 Piratage
  • 206/5507 Téléservices
  • 953/5507 Biométrie/Identité numérique
  • 309/5507 Environnement/Santé
  • 350/5507 Législation/Réglementation
  • 415/5507 Gouvernance
  • 1830/5507 Portrait/Entretien
  • 146/5507 Radio
  • 815/5507 TIC pour la santé
  • 346/5507 Propriété intellectuelle
  • 60/5507 Langues/Localisation
  • 1100/5507 Médias/Réseaux sociaux
  • 2064/5507 Téléphonie
  • 195/5507 Désengagement de l’Etat
  • 1134/5507 Internet
  • 114/5507 Collectivités locales
  • 411/5507 Dédouanement électronique
  • 1305/5507 Usages et comportements
  • 1033/5507 Télévision/Radio numérique terrestre
  • 551/5507 Audiovisuel
  • 3571/5507 Transformation digitale
  • 388/5507 Affaire Global Voice
  • 222/5507 Géomatique/Géolocalisation
  • 327/5507 Service universel
  • 671/5507 Sentel/Tigo
  • 177/5507 Vie politique
  • 1834/5507 Distinction/Nomination
  • 34/5507 Handicapés
  • 765/5507 Enseignement à distance
  • 837/5507 Contenus numériques
  • 588/5507 Gestion de l’ARTP
  • 181/5507 Radios communautaires
  • 1907/5507 Qualité de service
  • 607/5507 Privatisation/Libéralisation
  • 132/5507 SMSI
  • 535/5507 Fracture numérique/Solidarité numérique
  • 2766/5507 Innovation/Entreprenariat
  • 1388/5507 Liberté d’expression/Censure de l’Internet
  • 46/5507 Internet des objets
  • 171/5507 Free Sénégal
  • 1473/5507 Intelligence artificielle
  • 203/5507 Editorial
  • 108/5507 Gaming/Jeux vidéos
  • 25/5507 Yas

2026 OSIRIS
Plan du site - Archives (Batik)

Suivez-vous