Publié le 25 Mai 2025

Tandis que le Sénégal s’engage pleinement dans la révolution numérique, un défi discret se dessine : la cybersécurité. Bien qu’elle demeure insoupçonnée par de nombreux citoyens et décideurs, elle est néanmoins le pilier essentiel de toute souveraineté numérique contemporaine. Il est vrai que le pays a fait des avancées grâce à l’application de politiques telles que le Plan Sénégal Numérique 2025, cependant, ces améliorations se traduisent par une vulnérabilité grandissante face aux menaces du numérique. D’après un rapport consolidé Smart Africa/UIT, on a officiellement enregistré plus de 2 000 incidents en 2023. Les domaines principalement ciblés comprennent la logistique, les paiements mobiles, les collectivités locales ainsi que les fournisseurs de services essentiels. On évalue que le coût des cyberattaques pour l’économie sénégalaise s’élève à plus de 75 millions de dollars. Pire encore, dans plus de 60 % des situations, la résolution de ces incidents a requis une intervention à l’étranger, généralement par le biais de fournisseurs européens, mettant en lumière une défaillance du contrôle opérationnel sur un aspect crucial de la souveraineté nationale.

Cette dépendance technologique et décisionnelle soulève une interrogation cruciale : peut-on évoquer la souveraineté numérique quand les mesures de réponse aux menaces, les instruments de sécurité, les installations de surveillance et même les diagnostics sont importés et déconnectés des contextes locaux ? Cette recherche soutient une thèse à la fois claire et structurante : l’indépendance numérique du Sénégal dépend de l’établissement d’un réseau national de cabinets de cybersécurité, adaptés au contexte local, certifiés, en liaison avec les autorités et organisés autour d’une approche axée sur la résilience. On ne doit pas considérer ces cabinets comme des sous-traitants, mais plutôt comme les fondements d’une gouvernance cyber souveraine et décentralisée. Ce document vise à illustrer, en s’appuyant sur des fondements juridiques, des statistiques sectorielles et une comparaison internationale, pourquoi chaque petite et moyenne entreprise au Sénégal devrait collaborer avec un cabinet local. Il expose également comment cette démarche pourrait éviter une crise cybernétique de grande ampleur au pays dans les années à venir.

1.    L’environnement numérique et sécuritaire du Sénégal

1.1 La transition numérique nationale

Le Sénégal a mis en œuvre des stratégies courageuses de numérisation, telles que le Plan Sénégal Numérique 2025. Les infrastructures essentielles (administrations, hôpitaux, télécommunications) sont maintenant reliées. Toutefois, cette transition numérique rapide n’a pas été soutenue par des systèmes de cybersécurité solides, en particulier pour les petites et moyennes entreprises.

1.2 Typologie des menaces numériques

Selon le rapport conjoint Smart Africa et UIT (2023), plus de 2 000 incidents cyber ont été enregistrés en 2023. Parmi eux, on compte des rançongiciels ayant visé des opérateurs logistiques, des attaques DDoS sur des plateformes de paiement mobile, et du phishing ciblant les collectivités locales. Le coût estimé des cyberattaques pour le pays dépasse les 75 millions USD annuellement.

1.3 Dépendance technologique et perte d’autonomie

L’absence d’un SOC national interconnecté aux opérateurs critiques et la faible adoption de solutions EDR ou SIEM dans les PME illustrent la vulnérabilité du pays. La majorité des réponses aux incidents majeurs sont externalisées vers l’étranger, réduisant la souveraineté opérationnelle du Sénégal.

2.    Cadre juridique de la cybersécurité au Sénégal

2.1 Lois fondamentales

Le Sénégal a adopté plusieurs textes juridiques majeurs en matière de cybersécurité. La loi n° 2011-01 sur la cybercriminalité pose les bases pénales pour lutter contre les crimes numériques. La loi n° 2016-29, plus récente, encadre la protection des données personnelles et renforce la sécurité des SI. Ces lois imposent aux entreprises des obligations de vigilance, de déclaration d’incidents et de protection des données sensibles.

2.2 Responsabilité des entreprises

Les entreprises sont tenues responsables en cas de négligence. La non-déclaration d’une faille de sécurité ou la perte de données clients peut entraîner des sanctions de la part de la Commission de Protection des Données Personnelles (CDP). Les PME sont particulièrement vulnérables, car elles manquent souvent de cadre formel de sécurité, exposant leurs dirigeants à des risques juridiques et réputationnels.

2.3 Lacunes réglementaires

Aucune obligation spécifique n’impose aujourd’hui aux PME sénégalaises de recourir à un expert externe. Il est donc essentiel d’intégrer cette exigence dans une future réforme législative pour sécuriser le tissu économique national.

3.    Le cabinet sénégalais de cybersécurité comme levier de souveraineté

3.1 Le manque de DSSI/RSSI dans les PME

Selon l’Observatoire Afrique Numérique (2023), moins de 2 % des PME sénégalaises disposent d’un RSSI ou d’un DSSI. Le manque de ressources humaines spécialisées rend l’option du cabinet externe la seule stratégie réaliste et accessible pour structurer une sécurité numérique efficace.

3.2 Valeur ajoutée stratégique d’un cabinet local

Un cabinet sénégalais apporte une expertise contextualisée, une réactivité en cas d’incident, et une conformité renforcée aux lois locales. Il permet aussi de mutualiser les coûts entre plusieurs clients, facilitant l’accès à une cybersécurité de qualité à moindre coût.

3.3 Réduction des risques juridiques et réputationnels

En cas d’attaque, un cabinet peut documenter l’incident, prouver les mesures prises, et accompagner l’entreprise dans ses échanges avec la CDP. Cela renforce la défense juridique de l’entreprise et limite ses pertes en cas de crise.

4.    Modèles comparés en Afrique

4.1 Le Maroc – DGSSI

Le Maroc dispose d’une Direction Générale de la Sécurité des Systèmes d’Information (DGSSI) depuis plus de dix ans. Elle opère le maCERT et encadre les prestataires. La loi 05-20 y impose des obligations fortes aux opérateurs publics et privés.

4.2 Côte d’Ivoire – ANSSI-CI

La Côte d’Ivoire a structuré sa stratégie autour de l’ANSSI-CI. Elle a intégré le secteur privé dans son plan national de cybersécurité (PNCS) et collabore avec des partenaires comme Orange Cyberdefense Afrique.

4.3 Rwanda – modèle intégré et éducatif

Le Rwanda a créé une Autorité nationale de cybersécurité et une politique d’inclusion numérique forte. Elle articule cybersécurité et innovation à travers le programme Smart Rwanda.

4.4 Synthèse et leçons

Le Sénégal peut s’inspirer de ces exemples en créant un modèle hybride : piloté par une autorité forte, interconnecté aux cabinets privés locaux, avec un réseau de veille et un socle juridique renforcé.

5.    Recommandations et gouvernance collaborative

Il est désormais essentiel de considérer les sociétés de cybersécurité sénégalaises comme des participants clés dans le domaine de la transformation numérique et de la souveraineté du pays. Ils ne peuvent plus se permettre d’être en dehors des politiques publiques. La nouvelle agence nationale dédiée à la cybersécurité doit établir un système d’accréditation strict, accompagné d’une certification de qualité fondée sur des normes techniques, éthiques et opérationnelles. Ces firmes ne se contenteront plus d’être des fournisseurs, elles deviendront des alliées de confiance. Ils participeront à l’audit, à la formation, à la gestion des incidents et à l’évaluation des risques, en collaboration directe avec les autorités.

Il est prévu de créer un réseau national de SOC interconnectés, organisé autour de points régionaux aptes à surveiller les infrastructures essentielles en temps réel, à corréler les alertes et à intervenir de manière coordonnée lors d’une crise. Ces centres d’opérations de sécurité (SOC) seront dirigés conjointement par l’agence nationale et les cabinets certifiés. L’organisation territoriale doit assurer une couverture intégrale du pays, avec des points de relais locaux capables d’intervenir rapidement, à proximité et en ayant une bonne connaissance du terrain. C’est cette proximité qui constituera un avantage face aux menaces changeantes du cyberespace.

Tous les marchés publics numériques devront intégrer un volet cybersécurité. Cela implique une obligation légale d’analyse de risque, de sécurisation des données, et d’intervention d’un cabinet sénégalais reconnu. Cette clause devra figurer dans tout appel d’offres, quelle que soit l’ampleur du projet. Il s’agit ici de garantir que l’expertise locale soit mobilisée à chaque étape, pour que la cybersécurité soit pensée dès la conception et pas seulement en réaction.

Un observatoire des risques numériques devra être mis en place pour centraliser les alertes, analyser les incidents, produire des bulletins de veille et cartographier les menaces émergentes. Cet observatoire sera alimenté par les données issues des cabinets, des opérateurs, des universités et des plateformes techniques. Il servira de boussole stratégique pour le gouvernement et les acteurs économiques, et renforcera la transparence, la circulation d’information et l’anticipation collective.

La sensibilisation doit devenir un réflexe quotidien dans les PME. Le cabinet local de cybersécurité peut en être le vecteur naturel, en organisant des sessions de formation, des ateliers pratiques, des guides de survie numériques. Il devient l’allié pédagogique de terrain, celui qui explique, accompagne, rassure. Loin d’être réservé aux grandes structures, la sécurité numérique doit devenir un droit pour toutes les entreprises, quelle que soit leur taille.

6.    Conclusion : un écosystème cyber souverain, distribué et durable

Le Sénégal traverse une phase cruciale de son histoire digitale. Le défi ne se résume pas à « faire du numérique » ou à combler un retard technologique. Ce qui est en jeu va au-delà : il s’agit d’exercer une souveraineté décisionnelle dans un contexte mondialisé, conflictuel et déséquilibré, où les données, les algorithmes et les réseaux ont cessé d’être de simples instruments pour se transformer en vecteurs de pouvoir. Ainsi, la cybersécurité doit transcender son aspect technique pour être considérée comme un élément stratégique essentiel de la gouvernance nationale et territoriale.

En tant qu’expert en sécurité de l’information ayant œuvré dans divers domaines essentiels (énergie, télécommunications, finance, administration), je peux soutenir que le problème n’est pas tant d’ordre technologique que structurel. Il s’agit de notre aptitude à construire une réponse collective, robuste et enracinée localement. Cela nécessite un changement de perspective : passer d’une cybersécurité réactive à une cybersécurité proactive, d’un modèle importé vers un modèle ancré, d’une gestion centralisée vers une structure sécuritaire décentralisée.

Il ne faut plus sous-estimer l’importance du cabinet de cybersécurité sénégalais. Il doit se transformer en un intervenant stratégique totalement intégré au cadre national. Pour 98 % des PME qui n’ont pas de RSSI internes, faire appel à un cabinet local est l’unique option viable, logique et juridiquement sécurisante. Cette firme assure le rôle d’intermédiaire de confiance, de gardien opérationnel et de passerelle tactique entre la société et les autorités.

7.    Recommandations prioritaires

1. Institutionnaliser un cadre d’accréditation et de labellisation des cabinets nationaux.

2. Modifier la loi pour rendre obligatoire l’appui cyber externe pour les entités sans RSSI.

3. Créer un fonds de soutien public–privé pour la cybersécurité des PME.

4. Mettre en place un dispositif national d’assurance cyber souveraine.

5. Formaliser le rôle du cabinet dans la coordination post-attaque.

6. Renforcer le lien entre cybersécurité et intelligence économique.

7. Créer un Observatoire national de résilience numérique (ONRN).

La cybersécurité n’est plus un choix, elle est une condition d’existence pour l’État, pour l’économie et pour la démocratie. Dans ce combat, les PME ne doivent pas être les angles morts du dispositif national, mais bien les premières sentinelles de la sécurité collective. Pour cela, elles doivent être accompagnées, protégées, et structurées.

R.O.C.K. INSTITUTE © 2025