Ces derniers mois, plusieurs plateformes et structures sensibles ont été perturbées ou exposées à des fuites de données présumées. La dernière attaque visant le Trésor public, avec l’évocation de près de 70 gigaoctets de données potentiellement compromises, a ravivé les inquiétudes autour de la capacité de l’administration à protéger ses infrastructures numériques. Pour les experts interrogés, cette récurrence traduit surtout des failles structurelles dans la gouvernance de la cybersécurité.
Pour Gérard Joseph Francisco Dacosta, stratège en cybersécurité et souveraineté numérique, qui rappelle qu’« il n’existe pas de sécurité à 100 %. Même les grandes puissances sont attaquées », la vulnérabilité d’un système ne se mesure pas uniquement à sa capacité à empêcher une intrusion, mais surtout à sa faculté à détecter rapidement une attaque, limiter les dégâts et rétablir les services. « Le véritable problème au Sénégal, c’est la résilience. Quand un système tombe, comment le remet-on en marche ? Est-ce qu’on sait qu’un intrus est déjà dans le système ? Est-ce qu’on surveille correctement les infrastructures ? », s’interroge-t-il.
L’expert estime que les administrations publiques sénégalaises accusent un retard dans la surveillance continue des réseaux, la détection des intrusions et les plans de reprise après incident. Des lacunes qui rendent les institutions plus exposées face à des cybercriminels de mieux en mieux organisés.
Des attaques criminelles ou des opérations de déstabilisation ?
Aucune revendication officielle n’a, pour l’instant, permis d’identifier clairement les auteurs de l’attaque contre le Trésor public, même si l’institution affirme dans un communiqué publié ce lundi 18 mai que « les analyses techniques réalisées à ce stade confirment que cet incident résulte d’actes malveillants ». Mais plusieurs pistes sont évoquées. Gérard Dacosta estime que deux scénarios restent plausibles. « Soit certains groupes sont en train de s’entraîner avant de viser des cibles plus sensibles, soit il y a une tentative de déstabilisation », avance-t-il. L’expert appelle toutefois à relativiser certains chiffres relayés autour des volumes de données prétendument dérobés. Selon lui, certains groupes jouent aussi sur « l’effet psychologique » pour renforcer la pression sur leurs victimes et accroître leur visibilité.
Pour Gallo Fall, expert en cybersécurité basé aux États-Unis, les attaques récentes portent surtout la signature de groupes criminels spécialisés dans les rançongiciels. « Ces attaques sont souvent motivées par des intérêts financiers », explique-t-il, évoquant des systèmes bloqués contre demande de rançon ou des données revendues sur le dark web. En ce sens, il juge particulièrement préoccupante l’hypothèse d’une fuite massive de données du Trésor public. Selon lui, 70 gigaoctets peuvent représenter « des millions de documents » contenant des informations budgétaires, des contrats publics, des coordonnées bancaires ou encore des paiements de salaires.
« Une fois diffusées sur le dark web, ces données peuvent être exploitées pendant des années par des fraudeurs ou des réseaux criminels », alerte-t-il. L’expert souligne que les conséquences dépassent largement le cadre administratif. Des données compromises peuvent servir à des usurpations d’identité, des campagnes de phishing ciblées ou encore à la fabrication de faux documents administratifs. Ainsi, l’expert en protection des infrastructures critiques appelle également les autorités à communiquer davantage après ce type d’incident. « Après une cyberattaque, il faut informer les citoyens, expliquer ce qui s’est passé et dire quelles mesures sont prises », estime-t-il.
Une digitalisation plus rapide que la sécurisation
Pour les deux experts, la multiplication des attaques est aussi la conséquence directe de l’accélération de la transformation numérique de l’État. Paiements en ligne, plateformes fiscales, marchés publics digitalisés, services administratifs dématérialisés sont autant d’avancées qui augmentent mécaniquement les surfaces d’exposition. « Plus vous digitalisez, plus vous devenez vulnérable », résume Gérard Dacosta. Selon lui, chaque connexion supplémentaire, chaque appareil ou réseau utilisé par les agents publics représente une porte d’entrée potentielle pour des attaquants.
Gallo Fall parle, lui, d’un « paradoxe de la digitalisation ». « Plus vous digitalisez vite sans vous sécuriser, plus vous perdez de souveraineté », dit-il. « Chaque nouveau système numérique mal sécurisé devient une extension de la surface d’attaque offerte aux adversaires ». Il dénonce en ce sens l’utilisation de systèmes obsolètes, des protocoles d’accès insuffisamment sécurisés et un manque d’anticipation stratégique dans les projets numériques publics. « Il faut beaucoup de stratégie en matière de surveillance, de détection, de contrôle des accès, de gouvernance politique, de formation et de sensibilisation des employés, et aussi de vérification des antécédents et des prestataires. Parce qu'on ne peut pas dépendre, par exemple, des prestataires étrangers », dénonce-t-il.
La question sensible des prestataires étrangers
Au-delà des failles techniques, plusieurs interrogations émergent aussi autour de la dépendance du Sénégal envers des technologies et prestataires étrangers.
Gallo Fall estime que le pays doit renforcer son contrôle sur les infrastructures critiques et les clés de chiffrement utilisées pour protéger les données sensibles. Il cite notamment le précédent de la DAF où, selon lui, certaines clés de sécurité étaient contrôlées par un prestataire extérieur. « On peut utiliser des technologies étrangères, mais il faut les maîtriser et garder le contrôle stratégique », insiste-t-il.
Même position chez Gérard Dacosta, qui estime que la souveraineté numérique ne signifie pas un rejet des technologies internationales, mais plutôt la capacité pour les ingénieurs sénégalais de comprendre, administrer et sécuriser ces outils sans dépendre systématiquement d’experts étrangers.
Le risque d’une perte de confiance
Pour les spécialistes, les conséquences d’attaques répétées pourraient devenir économiques et politiques. Une administration numérique perçue comme vulnérable risque d’affaiblir la confiance des citoyens dans les plateformes publiques, mais aussi celle des partenaires internationaux. « Si les systèmes qui produisent les données financières ou budgétaires sont compromis, cela pose un problème de crédibilité », avertit Gallo Fall.
Gérard Dacosta redoute, lui, un scénario de paralysie généralisée comparable à celui vécu par l’Estonie en 2007 après une série de cyberattaques massives. « On peut se réveiller un jour avec des plateformes publiques bloquées, des services interrompus et un pays paralysé numériquement », prévient-il. Ils appellent ainsi à faire de la cybersécurité une priorité stratégique nationale, au même titre que la défense ou la sécurité territoriale.
Former, retenir et mobiliser les talents locaux
Face à la montée des cybermenaces, les experts plaident enfin pour un investissement massif dans les compétences locales. Tous deux estiment que le Sénégal dispose déjà de profils qualifiés, mais peine à les retenir ou à leur offrir un cadre de travail attractif. « Beaucoup d’ingénieurs sont partis à l’étranger faute de conditions suffisantes », regrette Gérard Dacosta, qui appelle à créer un environnement stable et valorisant pour les spécialistes du numérique.
Gallo Fall insiste également sur la nécessité d’impliquer davantage la diaspora sénégalaise dans les stratégies nationales de cybersécurité. « Il y a des compétences sénégalaises partout dans le monde qui peuvent aider le pays », affirme-t-il. Ils estiment que le Sénégal ne pourra protéger durablement ses infrastructures numériques sans construire une véritable doctrine nationale de cybersécurité, fondée sur la prévention, la souveraineté technologique et le développement d’une expertise locale forte.
