Les récentes cyberattaques contre des services publics stratégiques au Sénégal ont montré que la cybersécurité n’est plus un sujet réservé aux informaticiens, mais un enjeu de souveraineté, de confiance publique et de protection des droits des citoyens. Quand des institutions comme la Direction générale des Impôts et des Domaines (DGID) ou la Direction de l’Automatisation des Fichiers (DAF) sont paralysées, ce ne sont pas seulement des serveurs qui tombent : ce sont des vies administratives et économiques qui se retrouvent à l’arrêt.

Des attaques qui font payer la facture aux citoyens

En 2025, la DGID a été frappée par une cyberattaque majeure de type rançongiciel qui a neutralisé des systèmes essentiels et perturbé les services fiscaux. Les assaillants ont réclamé une rançon chiffrée à plusieurs milliards de francs CFA. Des estimations relayées par la presse évoquaient un coût potentiel de plusieurs milliards de francs CFA par jour pour l’État, si la paralysie se prolongeait, entre recettes retardées, désorganisation et pertes de productivité.

En 2026, c’est la DAF qui a annoncé la suspension provisoire de la production des cartes nationales d’identité sur tout le territoire à la suite d’un incident informatique assimilé par beaucoup à une cyberattaque. Plusieurs semaines de perturbations ont suivi, ce qui a bloqué des milliers de citoyens dans leurs démarches : inscriptions universitaires, concours, voyages, opérations bancaires, accès à certains services de base.

Dans les deux cas, les citoyens ont subi les conséquences d’événements techniques sur lesquels ils n’avaient aucun contrôle : impossibilité de payer leurs impôts dans les délais, impossibilité de disposer d’une pièce d’identité valide, incertitude sur la protection de leurs données. La facture des cyberattaques se paie donc en milliards pour l’État, mais aussi en temps, en stress et en opportunités perdues pour les usagers.

Quand la vulnérabilité technique se transforme en risque humain

Un système d’information vulnérable, ce n’est pas seulement un service qui tombe quelques jours. C’est un risque prolongé dès lors que des données sensibles ont pu être exfiltrées ou manipulées.

Les attaques contre des bases de données comme celles de la DGID ou de la DAF exposent à plusieurs dangers majeurs :

• Usurpation d’identité : avec des copies de cartes d’identité, d’extraits de naissance, de numéros d’identifiants ou de documents fiscaux, des fraudeurs peuvent contracter des crédits, ouvrir des comptes, souscrire des lignes téléphoniques ou mener des opérations illégales au nom des victimes.
• Fraudes et chantage : des informations détaillées sur le patrimoine, les revenus ou la situation sociale d’une personne ou d’une entreprise peuvent servir de levier pour de l’extorsion ou du chantage.
• Manipulation et perte de confiance : si l’intégrité des données n’est plus garantie, c’est la fiabilité des décisions administratives qui est remise en cause. Une simple suspicion de manipulation peut suffire à creuser la défiance.

Au-delà des aspects purement techniques, ces risques ont un impact direct sur les droits fondamentaux : droit à l’identité, droit à la protection des données personnelles, droit à un service public continu et prévisible.

La cybersécurité comme compétence citoyenne

Dans un contexte où de plus en plus de services publics et privés passent au numérique, la cybersécurité doit devenir une compétence citoyenne de base, au même titre que savoir lire et écrire. Il ne s’agit pas de transformer chaque citoyen en expert, mais de lui donner les bons réflexes pour se protéger et comprendre ce qui est en jeu.

Quelques axes clés de cette éducation à la sécurité numérique :

• Comprendre la valeur des données : une copie de carte d’identité, un numéro de téléphone, une adresse e-mail ou des informations fiscales ne sont pas des détails anodins, mais des briques d’identité numérique qui, combinées, peuvent être exploitées contre la personne.
• Adopter des réflexes simples : mots de passe robustes et différents selon les services, activation de l’authentification à deux facteurs quand c’est possible, prudence face aux liens et pièces jointes non sollicitées, vérification des sources avant de communiquer des informations sensibles.
• Savoir réagir en cas de doute : identifier les interlocuteurs de confiance, signaler rapidement les incidents, garder des traces et demander de l’aide à des structures compétentes plutôt que se taire par honte ou peur.

Pour les agents publics, cette culture doit être renforcée par des formations régulières, des tests, des simulations d’attaque et une responsabilisation claire. Un seul clic malheureux dans une administration stratégique peut suffire à ouvrir une brèche à l’échelle nationale.

La société civile, maillon essentiel de la résilience numérique

Face à ces enjeux, la société civile sénégalaise a un rôle stratégique à jouer. Elle peut être un relais de sensibilisation à travers les ONG, les associations de quartier, les organisations de jeunesse, les mouvements citoyens et les médias. Elle peut aussi être un contre-pouvoir sur la transparence, en demandant des comptes lorsque des incidents majeurs surviennent et en exigeant que les citoyens potentiellement impactés soient informés. Elle peut enfin être un partenaire technique, grâce aux communautés de développeurs, aux hackers éthiques, aux clubs universitaires de cybersécurité et aux experts indépendants capables de contribuer à l’identification des failles et à la diffusion de bonnes pratiques.

Ce rôle est d’autant plus important que la protection des infrastructures critiques ne peut pas reposer uniquement sur des textes de loi ou des solutions techniques. Elle nécessite une vigilance partagée, une culture commune de la sécurité et un dialogue permanent entre institutions, secteur privé, experts et citoyens.

Faire de la cybersécurité un pilier de la démocratie numérique

La transformation numérique du Sénégal est une opportunité pour moderniser l’État, améliorer l’accès aux services et soutenir le développement économique. Mais elle ne sera durable que si la cybersécurité et la protection des données deviennent des priorités claires, assumées et partagées.

Concrètement, cela suppose de considérer la sécurité des systèmes publics comme un investissement stratégique, d’intégrer la citoyenneté numérique dans les politiques publiques d’éducation et de gouvernance, de renforcer les cadres juridiques sur la protection des données personnelles et la notification des incidents, et de donner une place structurée à la société civile et aux experts indépendants dans la gouvernance du numérique.

Les événements récents autour de la DGID et de la DAF ne doivent pas être traités comme de simples épisodes isolés, mais comme des signaux forts : le Sénégal est entré dans une ère où la stabilité de l’État, la protection des citoyens et la confiance dans les institutions passent aussi par la robustesse de l’espace numérique. Construire cette robustesse est une responsabilité collective, et la société civile en est l’un des acteurs les plus déterminants.

Regard d’ingénieure en cybersécurité et de coordinatrice citoyenne

En tant que coordinatrice de CitizenLab Sénégal et élève ingénieure en cybersécurité, je vois ces incidents comme des occasions douloureuses mais utiles pour changer de niveau. Ils montrent que la sécurité ne peut plus être gérée en coulisses, entre techniciens, pendant que le reste de la société découvre les conséquences une fois la crise déclarée. Il faut désormais construire un langage commun entre décideurs, experts techniques et citoyens, pour que chacun comprenne ce qu’il peut faire, ce qu’il doit exiger et comment réagir.

Mon engagement, à la croisée entre participation citoyenne et cybersécurité, est de contribuer à cette passerelle : traduire les enjeux techniques en messages compréhensibles, porter la voix des citoyens dans les espaces de décision numérique, et rappeler que derrière chaque base de données, il y a des personnes, des droits et des vies qu’il faut protéger.

Par Penda Fall, Coordinatrice de CitizenLab Sénégal et élève ingénieure en cybersécurité.