Après le Trésor et l’ARTP, c’est la Direction générale des Impôts et Domaines (DGID) qui a vu son système paralysé par une cyberattaque d’ampleur inédite. Le groupe criminel Black Shrantac, apparu récemment sur la scène internationale, revendique l’intrusion et affirme avoir exfiltré 1 téraoctet de données sensibles : rapports fiscaux, documents fonciers, passeports, identifiants administratifs, informations internes.
La méthode est connue : double extorsion. D’abord bloquer les systèmes, ensuite menacer de publier progressivement les données volées si la rançon – en l’occurrence 6,5 milliards de FCFA – n’est pas versée. Des échantillons déjà mis en ligne sur le dark web confirment la réalité de l’exfiltration. Ce qui signifie que, même si la DGID restaure ses serveurs, la confidentialité des données reste compromise pour longtemps.
Au-delà de la DGID, c’est l’ensemble de l’État sénégalais qui se retrouve fragilisé. Les pirates s’attaquent au cœur du système fiscal, colonne vertébrale des finances publiques, exposant à la fois la souveraineté et la confiance des citoyens. Un problème structurel, pas seulement technique Cet incident n’est pas une surprise. Il révèle au grand jour les failles chroniques d’une gouvernance numérique insuffisante. Dans certaines directions et ministères, des postes stratégiques comme celui de Directeur des Systèmes d’Information sont confiés à des cadres administratifs, souvent sans formation en informatique ou cybersécurité. La sensibilisation et la formation des agents à la sécurité numérique restent quasi inexistantes. Les investissements sont focalisés sur l’achat d’infrastructures ou de logiciels, rarement sur les ressources humaines ou les processus de sécurité. À l’heure où le Sénégal rêve de centraliser ses données publiques et de mettre en place une identité numérique nationale, l’absence d’un dispositif robuste de cybersécurité représente une bombe à retardement. Les risques pour le pays Si rien n’est fait, les conséquences pourraient être dramatiques : Atteinte à la souveraineté : un État dont les données stratégiques sont accessibles sur le dark web perd en crédibilité et en indépendance. Fraudes massives : usurpations d’identité, détournements fiscaux, manipulations financières. Perte de confiance citoyenne : si l’identité numérique est compromise dès son lancement, la défiance sera irrémédiable. Impact économique : interruption des services fiscaux, paralysie d’entreprises dépendant de l’administration, fuite des investisseurs étrangers. Selon Interpol, la cybercriminalité représente déjà 30 % des infractions recensées en Afrique de l’Ouest. Le Sénégal n’échappe pas à la règle : sextorsion, escroqueries sentimentales, faux ordres de virement… En octobre dernier, l’opération Contender 3.0 a permis d’arrêter 22 suspects au Sénégal, preuve que le phénomène prend de l’ampleur. Ce qu’il faut faire – et vite Face à la gravité de l’attaque, des mesures d’urgence s’imposent. Experts et ingénieurs en cybersécurité recommandent : Isoler les systèmes compromis et couper les accès externes. Activer une cellule de crise 24/7, mêlant technique, juridique et communication. Mandater une équipe d’investigation spécialisée pour mesurer l’étendue de l’exfiltration et préserver les preuves. Réinitialiser les accès critiques, imposer l’authentification à plusieurs facteurs. Notifier le CERT national et informer les autorités compétentes. Préparer une communication publique claire pour éviter rumeurs et paniques. Accompagner les victimes potentielles de fuite d’identités (agents, contribuables). Mettre en place une réforme pérenne : audits réguliers, chiffrement des sauvegardes, SOC national permanent, plan de sensibilisation massif pour tout le personnel de l’État. Une réforme de gouvernance indispensable Plus qu’une réaction ponctuelle, il faut une réforme structurelle. Le Sénégal doit se doter : d’une agence nationale forte et indépendante de cybersécurité, à l’image de l’ANSSI en France, capable d’imposer des standards et de sanctionner les manquements ; d’un budget récurrent dédié à la protection des infrastructures critiques ; d’un plan national de formation des agents publics à la cybersécurité ; d’une coopération renforcée avec Interpol et les CERT régionaux, car la cybercriminalité est transnationale. S’adapter ou périr Le piratage de la DGID doit être un électrochoc national. Il rappelle que la cybersécurité n’est plus un sujet secondaire mais un pilier de la souveraineté, au même titre que l’armée ou la diplomatie.
« À l’ère numérique, un État peut tomber sans un seul coup de feu, juste par l’effondrement de ses systèmes d’information », avertit un expert sénégalais.
Le choix est clair : investir dans la cybersécurité dès aujourd’hui ou accepter demain l’effondrement silencieux de notre État numérique.
La méthode est connue : double extorsion. D’abord bloquer les systèmes, ensuite menacer de publier progressivement les données volées si la rançon – en l’occurrence 6,5 milliards de FCFA – n’est pas versée. Des échantillons déjà mis en ligne sur le dark web confirment la réalité de l’exfiltration. Ce qui signifie que, même si la DGID restaure ses serveurs, la confidentialité des données reste compromise pour longtemps.
Au-delà de la DGID, c’est l’ensemble de l’État sénégalais qui se retrouve fragilisé. Les pirates s’attaquent au cœur du système fiscal, colonne vertébrale des finances publiques, exposant à la fois la souveraineté et la confiance des citoyens. Un problème structurel, pas seulement technique Cet incident n’est pas une surprise. Il révèle au grand jour les failles chroniques d’une gouvernance numérique insuffisante. Dans certaines directions et ministères, des postes stratégiques comme celui de Directeur des Systèmes d’Information sont confiés à des cadres administratifs, souvent sans formation en informatique ou cybersécurité. La sensibilisation et la formation des agents à la sécurité numérique restent quasi inexistantes. Les investissements sont focalisés sur l’achat d’infrastructures ou de logiciels, rarement sur les ressources humaines ou les processus de sécurité. À l’heure où le Sénégal rêve de centraliser ses données publiques et de mettre en place une identité numérique nationale, l’absence d’un dispositif robuste de cybersécurité représente une bombe à retardement. Les risques pour le pays Si rien n’est fait, les conséquences pourraient être dramatiques : Atteinte à la souveraineté : un État dont les données stratégiques sont accessibles sur le dark web perd en crédibilité et en indépendance. Fraudes massives : usurpations d’identité, détournements fiscaux, manipulations financières. Perte de confiance citoyenne : si l’identité numérique est compromise dès son lancement, la défiance sera irrémédiable. Impact économique : interruption des services fiscaux, paralysie d’entreprises dépendant de l’administration, fuite des investisseurs étrangers. Selon Interpol, la cybercriminalité représente déjà 30 % des infractions recensées en Afrique de l’Ouest. Le Sénégal n’échappe pas à la règle : sextorsion, escroqueries sentimentales, faux ordres de virement… En octobre dernier, l’opération Contender 3.0 a permis d’arrêter 22 suspects au Sénégal, preuve que le phénomène prend de l’ampleur. Ce qu’il faut faire – et vite Face à la gravité de l’attaque, des mesures d’urgence s’imposent. Experts et ingénieurs en cybersécurité recommandent : Isoler les systèmes compromis et couper les accès externes. Activer une cellule de crise 24/7, mêlant technique, juridique et communication. Mandater une équipe d’investigation spécialisée pour mesurer l’étendue de l’exfiltration et préserver les preuves. Réinitialiser les accès critiques, imposer l’authentification à plusieurs facteurs. Notifier le CERT national et informer les autorités compétentes. Préparer une communication publique claire pour éviter rumeurs et paniques. Accompagner les victimes potentielles de fuite d’identités (agents, contribuables). Mettre en place une réforme pérenne : audits réguliers, chiffrement des sauvegardes, SOC national permanent, plan de sensibilisation massif pour tout le personnel de l’État. Une réforme de gouvernance indispensable Plus qu’une réaction ponctuelle, il faut une réforme structurelle. Le Sénégal doit se doter : d’une agence nationale forte et indépendante de cybersécurité, à l’image de l’ANSSI en France, capable d’imposer des standards et de sanctionner les manquements ; d’un budget récurrent dédié à la protection des infrastructures critiques ; d’un plan national de formation des agents publics à la cybersécurité ; d’une coopération renforcée avec Interpol et les CERT régionaux, car la cybercriminalité est transnationale. S’adapter ou périr Le piratage de la DGID doit être un électrochoc national. Il rappelle que la cybersécurité n’est plus un sujet secondaire mais un pilier de la souveraineté, au même titre que l’armée ou la diplomatie.
« À l’ère numérique, un État peut tomber sans un seul coup de feu, juste par l’effondrement de ses systèmes d’information », avertit un expert sénégalais.
Le choix est clair : investir dans la cybersécurité dès aujourd’hui ou accepter demain l’effondrement silencieux de notre État numérique.