Listen to the article
Entre octobre 2025 et mai 2026, quatre incidents cyber majeurs ont frappé l’État sénégalais en moins d’un an. La Direction Générale des Impôts et des Domaines, la Direction de l’Automatisation des Fichiers, la Direction Générale de la Comptabilité Publique et du Trésor, Sénégal Numérique : trois administrations centrales au cœur du dispositif financier et régalien, et l’opérateur public numérique de l’État.
Ce calendrier resserré n’est pas une coïncidence. Il signale un changement de régime : la compromission n’est plus aléatoire — elle devient systémique.
Ce plaidoyer part de ce signal pour défendre une thèse. La cybersécurité des États engagés dans une transformation digitale rapide n’échoue pas par manque de normes. Elle échoue par dépendance structurelle à des architectures qu’ils ne maîtrisent pas. Tant que ce constat reste implicite, les stratégies cyber qui se succèdent traitent les conséquences sans toucher la cause.
Le Sénégal dispose, à ce moment précis, d’une fenêtre stratégique rare. La phase d’exécution 2025-2029 du New Deal Technologique est en cours. Les arbitrages budgétaires de la nouvelle législature s’ouvrent. Les partenaires institutionnels observent. La doctrine qui peut orienter ces choix doit être posée maintenant.
Ce plaidoyer en propose une — la Cyber Résilience 360 (CR-360) — articulée à la souveraineté numérique réelle et conçue pour réussir le New Deal Technologique plutôt que pour le subir.
Un risque qui touche la souveraineté de l’État
Les quatre incidents nationaux récents ne sont pas une suite d’accidents. Ils s’inscrivent dans une économie de l’attaque structurée. Le cybergang francophone OPERA1ER, documenté par GroupIB et Orange CERT-CC, a mené 35 attaques contre des banques, services financiers et opérateurs télécoms d’une quinzaine de pays principalement africains entre 2018 et 2022. Il n’est pas seul. La cybercriminalité organisée s’installe en régime structurel dans notre écosystème — aucun État de la sous-région ne peut traiter cela comme une exception passagère.
Le risque cyber au Sénégal a, dans cette configuration, cessé d’être un risque opérationnel parmi d’autres.
Il touche la chaîne financière publique — une administration fiscale qui ne peut plus encaisser, une chaîne de paiement publique paralysée, une compromission de la comptabilité publique érodent la capacité de l’État à se financer et la confiance des partenaires.
Il touche l’identité numérique nationale — quand des données biométriques et électorales sont exfiltrées, ce qui est perdu n’est pas seulement la confidentialité d’un fichier ; on peut changer un mot de passe, on ne change pas une empreinte digitale.
Il touche l’infrastructure numérique souveraine — un opérateur public numérique compromis expose toutes les plateformes qu’il héberge pour le compte des ministères.
Mais il touche aussi quelque chose de moins visible et plus profond : la capacité de l’État à arbitrer ses propres choix technologiques. Quand les architectures qui hébergent les fonctions critiques sont conçues hors de nos frontières, opérées par des acteurs sur lesquels nous n’avons pas de prise effective, évoluant selon des feuilles de route que nous ne maîtrisons pas, nous perdons graduellement la possibilité de définir nous-mêmes nos priorités numériques.
C’est ce risque-là qu’une doctrine de cyber résilience doit nommer frontalement.
1
La souveraineté numérique n’est pas un slogan
Le terme « souveraineté numérique » est devenu omniprésent dans les politiques publiques africaines. Mais cette présence rhétorique cache parfois une absence pratique.
Nous savons définir la souveraineté politique. Nous savons définir la souveraineté économique. Nous savons même définir la souveraineté alimentaire — nous mesurons des taux de couverture, nous pilotons des politiques de production locale.
La souveraineté numérique, dans la plupart des discours, reste un mot.
La souveraineté numérique ne saurait être une autarcie technologique : c’est d’abord la maîtrise du risque technologique, ensuite la réduction de la dépendance aux solutions étrangères.
Quel pourcentage de nos données nationales sensibles est hébergé dans la zone juridique sénégalaise ? Quelle est la capacité de nos équipes nationales à reprendre l’opération d’un système critique en cas de rupture avec un prestataire ? Quelle part des solutions logicielles utilisées par l’État, nous comprenons et nous pouvons faire évoluer ? Combien de temps s’écoulerait entre une cyberattaque sévère sur une infrastructure critique et le retour à un service minimum acceptable ?
Ces questions n’ont pas, aujourd’hui, de réponses partagées. Et tant qu’elles n’en ont pas, la souveraineté numérique reste une intention.
Une souveraineté qui ne se mesure pas est une souveraineté qui ne se gouverne pas. Et une souveraineté qui ne se gouverne pas n’est, à terme, qu’une formule.
Pour transformer ce mot en réalité pilotable, la doctrine Cyber Résilience 360 propose trois indicateurs opérationnels :
• un Indice de Souveraineté Réelle (ISR) qui mesure le degré effectif de maîtrise d’un système numérique critique en croisant capacité interne, maîtrise opérationnelle et dépendance externe critique ;
• un Seuil de Non-Maîtrise Critique (SNMC) qui identifie les zones de bascule à partir desquelles le contrôle souverain n’est plus assuré ;
• un Taux de Résilience Opérationnelle (TRO) qui mesure, après un incident réel ou un exercice de crise, la fraction des services critiques effectivement maintenue.
Ces trois indicateurs ne sont pas une nouveauté absolue. Ils sont, dans la doctrine que nous défendons, l’outillage qui permet de transformer un principe politique en objet de gouvernance.
L’ISR a vocation à devenir un indicateur de pilotage gouvernemental, suivi au plus haut niveau de l’État, au même titre que les indicateurs macroéconomiques qui orientent les arbitrages budgétaires.
Cyber Résilience 360 — une doctrine au service du New Deal Technologique
L’innovation centrale de CR-360 n’est pas conceptuelle, elle est organisationnelle.
Aucun ministère, aucun opérateur, aucune entreprise sénégalaise ne peut, seul, financer et opérer les capacités cyber qu’exige la situation.
Ce qu’aucun acteur ne peut faire seul doit être mutualisé.
Quatre Centres Opérationnels de Sécurité sectoriels constituent l’épine dorsale opérationnelle de la doctrine — un SOC bancaire sous l’égide de la BCEAO, un SOC télécommunications sous l’égide de l’ARTP, un SOC souverain pour les administrations centrales opéré par l’autorité nationale, et un SOC industriel critique pour l’énergie, les hydrocarbures et les mines sous l’égide des autorités sectorielles concernées.
La mutualisation transforme une exigence inaccessible isolément en standard atteignable collectivement.
Cette innovation organisationnelle suppose trois conditions doctrinales que CR-360 explicite.
Un pivot intellectuel d’abord.
La cyber sécurité classique raisonne en 5D — Deter, Detect, Deny, Delay, Defeat : empêcher l’attaque par couches successives.
CR-360 fait un autre choix : raisonner en 4T — Treat, Transfer, Tolerate, Terminate : organiser la continuité de la mission quand la compromission survient.
La défense périmétrique ne disparaît pas ; elle cesse d’être l’horizon.
Ce qui devient central, c’est la capacité à fonctionner sous compromission — parce qu’à l’échelle où nous sommes, la compromission sévère n’est plus une hypothèse mais un fait à organiser.
Un pilotage par indicateurs ensuite.
ISR, SNMC, TRO rendent la souveraineté numérique mesurable au niveau organisationnel, sectoriel et national.
Sans cette instrumentation, la mutualisation est un slogan administratif de plus ; avec elle, elle devient un objet de gouvernance.
Une gouvernance consolidée enfin.
L’évolution de la DCSSI vers une Agence Nationale de la Cyber Résilience et de l’IA (ANCIA) — logée à la Présidence ou à la Primature, dotée d’autonomie budgétaire, d’une capacité de recrutement et d’attraction d’expertise, de pouvoirs propres d’audit et
2
d’opposabilité, et d’une articulation interministérielle de plein droit — prolonge et consolide le travail engagé en lui donnant les moyens institutionnels que la situation appelle.
L’ensemble s’inscrit dans quatre programmes prioritaires du New Deal Technologique qui se renforcent :
• la souveraineté numérique et la cyber résilience (PR-P_03),
• l’Infrastructure Publique Numérique comme pivot autour duquel s’articulent identité, signature, paiement et interopérabilité (PR-P_04),
• la modernisation du système d’information de l’État (PR-P_05),
• la dématérialisation des procédures administratives (PR-P_06).
Ces quatre programmes ne se traitent pas séparément ; ils fonctionnent comme un système.
CR-360 propose le cadre doctrinal qui leur permet de le faire — et qui les inscrit dans les standards internationaux (NIST CSF 2.0, NIS2, ISO/IEC 27001, IEC 62443) sans s’y soumettre.
Cinq propositions pour la phase 2025-2029
Cette doctrine n’a de valeur que par les arbitrages qu’elle permet.
Cinq propositions structurantes nous semblent immédiatement actionnables dans la phase d’exécution 2025-2029 du NDT, dont l’enveloppe globale de 1 105 milliards de francs CFA est programmée sur dix ans (2025-2034).
Première proposition.
Adopter formellement la doctrine CR-360 comme cadre national de référence pour la cyber résilience, par acte présidentiel d’engagement et intégration explicite dans la stratégie nationale de cybersécurité actualisée.
Sans portage politique au plus haut niveau, la doctrine reste un document parmi d’autres.
Deuxième proposition.
Faire de l’Infrastructure Publique Numérique (PR-P_04) le périmètre prioritaire d’application avec exigences QSP critiques — qualité, sécurité, performance.
La DPI concentre identité, signature, paiement et interopérabilité, c’est-à-dire les briques que toute administration et tout opérateur public consommeront.
Une vulnérabilité unique sur la DPI se propage par cascade.
La défense en profondeur n’y est pas optionnelle, elle est condition de viabilité.
La trajectoire passwordless doit y être inscrite dès la phase de conception pour l’e-ID national.
Troisième proposition.
Construire la mutualisation sectorielle des capacités cyber par le lancement parallèle, à six mois, des quatre SOC sectoriels : bancaire (BCEAO), télécommunications (ARTP), souverain pour les administrations centrales (autorité nationale), industriel critique pour l’énergie, les hydrocarbures et les mines (autorités sectorielles concernées).
Cette mutualisation est la réponse économiquement viable au déficit capacitaire structurel de la sous-région.
Quatrième proposition.
Lancer un label QSP national — triptyque Qualité × Sécurité × Performance — opposable aux marchés publics critiques.
Trois niveaux gradués (basique, avancé, critique), porté par l’écosystème institutionnel sénégalais avec l’appui d’organismes de certification reconnus (Bureau Veritas, TüV, ISA, BSI, sur le modèle de la Certification de Sécurité de Premier Niveau de l’ANSSI française).
Le label tire le marché vers le haut sans coercition et structure le secteur privé national.
Cinquième proposition.
Engager un programme massif de développement du capital humain articulé au programme PR-P_07 du NDT (Formation et développement des compétences numériques).
Les cibles 2034 — 100 000 diplômés du numérique et 150 000 emplois directs dans le secteur — sont ambitieuses et atteignables si la trajectoire est financée et coordonnée.
Sans ce socle humain, les quatre autres propositions restent lettre morte.
Choisir, dans la durée
Quatre conditions politiques décident de la réussite de cette trajectoire.
La continuité de l’engagement — plusieurs exécutifs se succéderont d’ici 2034 ; aucun ne doit redémarrer le chantier.
La loi de programmation pluriannuelle est l’outil constitutionnel qui sanctuarise les engagements au-delà des alternances.
Le financement protégé — la cyber résilience ne se discute pas chaque année dans un budget contraint ; elle se sanctuarise par loi, complétée par des cofinancements internationaux structurés.
La coordination effective — aucun ministère ne porte seul un risque qui traverse toutes les fonctions de l’État ; le portage primatorial et l’arbitrage présidentiel sont déterminants.
La confiance citoyenne — la transformation digitale sécurisée
3
n’aboutit que si les citoyens, les entreprises et la société civile y adhèrent, par la transparence sur les incidents, la qualité de la communication de crise et le respect des libertés fondamentales.
Le Sénégal est à un moment charnière.
La doctrine que ce plaidoyer défend est, dans son fond, à notre portée.
Nous avons les concepts.
Nous avons les cadres internationaux dont nous pouvons nous inspirer sans nous y soumettre.
Nous avons les femmes et les hommes capables de la porter — agents publics, ingénieurs, RSSI, chercheurs, étudiants, citoyens engagés.
Ce qu’il nous reste à faire, c’est de l’assumer politiquement et collectivement, dans la durée.
C’est un choix stratégique.
Les États qui maîtrisent leur cyber espace construisent leur souveraineté ; les autres organisent leur dépendance.
Idy Demba Thiam
— Fondateur & CEO de Cybernum, cabinet spécialisé en transformation digitale et cybersécurité.
CISSP, ISO 27001 Lead Implementer, IEC 62443 Expert.
Consultant Banque Mondiale — Projet WARDIP.
Consultant GIZ / Union Européenne — Projet Going Digital.
Ancien Conseiller technique Digital & Cyber au Ministère de la Communication, des Télécommunications et du Numérique du Sénégal (2024-2025).
Lire l’article complet ici
