Cybersécurité au Sénégal : la confiance numérique comme condition

14 avril 2026

Le Sénégal s’engage aujourd’hui dans une phase structurante de sa transformation numérique. Le New Deal Technologique, lancé en février 2025, s’inscrit dans une trajectoire plus large visant à renforcer la compétitivité, la souveraineté et la résilience du pays à l’horizon 2050.

Avec un investissement annoncé de 1 105 milliards FCFA, des objectifs de création de valeur significatifs et une ambition forte en matière de connectivité, cette dynamique ouvre des perspectives concrètes pour les administrations, les entreprises et l’ensemble de l’écosystème économique.

Cette accélération s’accompagne d’une évolution structurelle des risques, qui ne relève pas uniquement d’un enjeu technique mais traduit une transformation plus profonde des modèles opérationnels et des dépendances des organisations. À mesure que les services, les données et les infrastructures se numérisent, les dépendances technologiques augmentent, tout comme l’exposition aux cybermenaces : attaques ciblées, fuites de données, interruptions d’activité.

Dans ce contexte, la cybersécurité ne peut plus être abordée comme un sujet technique isolé. Elle constitue une condition de fiabilité, et donc de fonctionnement, de l’économie numérique.

La question n’est donc plus de savoir s’il faut sécuriser la transformation numérique, mais dans quelle mesure celle-ci peut se déployer durablement sans un socle de confiance solide.

Cet article propose une lecture structurée du contexte sénégalais : cadres stratégiques, socle réglementaire, signaux récents et implications concrètes pour les organisations.

Le New Deal Technologique : une architecture interdépendante

Le New Deal Technologique s’inscrit dans la trajectoire Sénégal Vision 2050 et repose sur quatre axes stratégiques complémentaires, définis comme structurants pour le développement numérique du pays à l’horizon 2034. Pris ensemble, ces axes traduisent une ambition claire : faire du numérique un levier de transformation économique, sociale et institutionnelle.

Le premier axe, consacré à la souveraineté numérique, vise à établir une gouvernance forte et cohérente du numérique en renforçant la maîtrise des infrastructures, des données et des systèmes critiques. Il pose les bases d’un environnement numérique sécurisé, durable et moins dépendant des acteurs externes.

Le deuxième axe concerne la digitalisation des services publics. L’objectif est de construire une administration plus efficace, accessible et centrée sur l’usager, notamment à travers la dématérialisation des services et l’intégration des systèmes d’information publics. L’intelligence artificielle y est également identifiée comme un levier d’amélioration des services.

Le troisième axe porte sur le développement de l’économie numérique. Il combine plusieurs dimensions complémentaires, notamment le déploiement d’une connectivité haut débit sur l’ensemble du territoire, l’inclusion numérique, le développement de l’entrepreneuriat et de l’innovation, l’intégration de l’intelligence artificielle dans les usages et la transformation numérique des filières économiques.

Enfin, le quatrième axe traduit une ambition de leadership africain dans le numérique. Il repose sur le développement d’un écosystème performant, structuré autour de hubs technologiques, de la montée en compétence des talents, de l’attractivité pour les investissements directs étrangers et de l’émergence de champions nationaux.

Cette structuration présente une cohérence d’ensemble et positionne le numérique non plus comme un simple outil de modernisation, mais comme un levier stratégique de développement. Elle repose toutefois sur un point clé, souvent sous-estimé : l’interdépendance croissante entre ces différents piliers.

Une transformation qui crée de nouvelles dépendances

Chaque axe renforce les autres, mais introduit également des dépendances supplémentaires, qui deviennent des vecteurs de risque si elles ne sont pas maîtrisées. À mesure que les services se numérisent, que les systèmes s’interconnectent et que les usages se diffusent à grande échelle, la dépendance au numérique devient structurelle.

Cette dépendance transforme le numérique en un facteur direct de continuité opérationnelle et de performance économique.

Le véritable enjeu ne réside pas uniquement dans la cybersécurité en tant que telle, mais dans la maîtrise des dépendances numériques qu’elle révèle.

Dans ce contexte, la robustesse des systèmes, la maîtrise des données et la capacité à gérer les incidents deviennent des conditions de continuité et de fiabilité.

Un socle juridique et stratégique structuré

Le Sénégal dispose d’un cadre juridique et stratégique déjà établi pour accompagner sa transformation numérique. Ce socle, souvent perçu comme technique, constitue en réalité un élément central de crédibilité et de gouvernance pour les organisations.
Il peut être lu à travers trois niveaux complémentaires.

Un cadre existant mais encore inégalement appliqué

La Stratégie Nationale de Cybersécurité (SNC 2022) définit les priorités du pays en matière de protection du cyberespace, notamment à travers le renforcement du cadre juridique, la protection des infrastructures critiques, le développement des capacités nationales et la coordination des acteurs publics et privés. Elle s’inscrit en cohérence avec le New Deal Technologique, qui introduit des exigences croissantes en matière de sécurité des systèmes publics et de souveraineté des données.

Sur le plan juridique, la loi relative à la protection des données à caractère personnel encadre directement les pratiques des entreprises et des institutions. Elle impose notamment la déclaration des traitements auprès de la CDP, le respect des droits des personnes et la mise en place de mesures de protection adaptées. Dans un contexte de numérisation accélérée, ces obligations ne relèvent plus uniquement de la conformité réglementaire. Elles deviennent un enjeu de crédibilité vis-à-vis des partenaires, des clients et des institutions.

En complément, les standards internationaux tels que ISO 27001, ISO 27005 ou ISO 22301 constituent des références largement utilisées pour structurer les démarches de cybersécurité. S’ils ne sont pas obligatoires, ils servent de base commune dans les audits, les appels d’offres et les relations avec des partenaires internationaux.

Ce cadre présente une cohérence globale. Il constitue une base structurante, mais ne garantit pas à lui seul un niveau de sécurité effectif. Il met en évidence une réalité souvent observée dans les organisations : pour de nombreuses structures, ce cadre est déjà applicable, mais reste partiellement intégré dans les pratiques opérationnelles.

Ce décalage entre cadre et mise en œuvre constitue aujourd’hui l’un des principaux indicateurs de maturité des organisations.

Dans ce contexte, la cybersécurité ne peut plus être abordée comme une exigence ponctuelle. Elle s’inscrit dans une logique de pilotage, de gestion des risques et de décision dans la durée. Autrement dit, le cadre existe.

Le défi n’est plus de définir un cadre, mais de l’exécuter.

L’actualité confirme l’évolution du risque

Les évolutions récentes montrent que les enjeux de cybersécurité ne relèvent plus uniquement d’un cadre théorique. Ils se traduisent désormais par des impacts concrets sur les organisations et le fonctionnement des services essentiels.

Un exemple marquant est la cyberattaque ayant affecté la Direction Générale des Impôts et Domaines (DGID) en octobre 2025. Cet incident a entraîné une perturbation significative des services fiscaux pendant plusieurs jours, affectant la capacité des entreprises à effectuer leurs démarches et générant des retards opérationnels. Ces perturbations ont eu des impacts directs sur la continuité des opérations pour les organisations dépendantes de ces services.

Au-delà de cet événement, d’autres signaux récents confirment cette tendance. Des perturbations ont également été observées, confirmant que l’exposition ne concerne plus uniquement des systèmes isolés, mais des fonctions critiques à l’échelle de l’État.
Ces situations ne doivent pas être interprétées comme des cas isolés, mais comme des indicateurs d’une évolution plus large. À mesure que les systèmes se numérisent et s’interconnectent, les effets d’un incident ne se limitent plus à une seule organisation. Ils peuvent se propager à l’ensemble de l’écosystème, en particulier lorsque les entreprises dépendent directement de services publics digitalisés.

Pour les organisations, l’enjeu dépasse donc la seule protection de leur système d’information. Il s’agit également de comprendre leur niveau d’exposition aux dépendances numériques externes.

Structurer la cybersécurité comme une fonction de pilotage

Le sujet n’est plus technique, il est organisationnel.

Pour les organisations, ces évolutions se traduisent par une exigence nouvelle : aborder la cybersécurité non plus comme un ensemble d’outils, mais comme une fonction de pilotage stratégique à part entière.

Ces dimensions constituent moins une liste de mesures qu’un cadre de lecture permettant d’évaluer le niveau de maturité d’une organisation.

Dans la pratique, les organisations les plus matures ne se distinguent pas par les outils qu’elles utilisent, mais par leur capacité à structurer ces dimensions de manière cohérente.

La première dimension concerne la clarification de la gouvernance et des responsabilités. La sécurité repose sur une organisation explicite : qui décide, qui pilote, qui intervient en cas d’incident. La formalisation d’une Politique de Sécurité des Systèmes d’Information, même simple, permet d’aligner les rôles, les règles et les priorités. Elle doit également intégrer le facteur humain, souvent sous-estimé, car les usages et les comportements constituent un maillon essentiel du dispositif de sécurité.

La deuxième dimension consiste à piloter les risques plutôt que les outils. Toutes les organisations ne font pas face aux mêmes menaces. L’identification des actifs critiques, des scénarios de risque et des impacts permet de prioriser les efforts de manière cohérente et d’éviter les investissements dispersés.

La troisième dimension porte sur la maîtrise des données et des accès. Cela implique de savoir quelles données sont sensibles, où elles se trouvent et qui peut y accéder, ainsi que de mettre en place des mécanismes adaptés de contrôle et de protection.
Enfin, la quatrième dimension concerne la préparation à l’incident et la continuité d’activité. Aucune organisation n’est totalement à l’abri. La capacité à détecter, réagir et reprendre l’activité devient donc un facteur déterminant.

Ces dimensions ne nécessitent pas nécessairement des investissements massifs.

Elles reposent avant tout sur une structuration, une priorisation et une discipline dans l’exécution.

Dans la majorité des cas, les difficultés rencontrées ne proviennent pas d’un manque de solutions, mais d’un manque de structuration.

Innover sans s’exposer : l’équilibre à trouver

L’intelligence artificielle occupe une place centrale dans les ambitions du New Deal Technologique, notamment comme levier de transformation des services, d’optimisation des opérations et de création de valeur.

Cette dynamique est pertinente et s’inscrit dans une logique d’innovation et de compétitivité. Elle s’accompagne toutefois d’une évolution des risques.

Contrairement à une perception répandue, l’intelligence artificielle ne crée pas fondamentalement de nouvelles catégories de menaces. Elle amplifie des risques déjà connus : exposition des données, dépendance aux fournisseurs, erreurs de traitement ou manque de supervision.

Ce qu’elle modifie, en revanche, c’est l’échelle, la vitesse et la portée de ces risques. Ces évolutions se traduisent notamment dans les usages quotidiens, lorsque des outils sont intégrés sans cadre clair ou sans supervision adaptée.

Dans ce contexte, l’enjeu n’est pas uniquement de sécuriser les systèmes d’intelligence artificielle en tant que tels. Il consiste à s’assurer que l’organisation dispose d’un cadre suffisamment structuré pour les intégrer de manière cohérente, notamment dans des environnements où les usages se développent plus rapidement que les capacités de contrôle.

Les organisations qui parviennent à articuler innovation et maîtrise disposent d’un avantage compétitif durable : elles innovent plus rapidement, tout en conservant un niveau de contrôle adapté à leur exposition.

La confiance numérique, levier de souveraineté

Le Sénégal pose aujourd’hui les bases d’un écosystème numérique structuré et ambitieux. Le New Deal Technologique, la Stratégie Nationale de Cybersécurité et le cadre réglementaire existant dessinent une trajectoire cohérente, alignée avec les standards internationaux et adaptée aux enjeux locaux.

Cette dynamique ouvre des perspectives réelles pour les institutions, les entreprises et l’ensemble de l’économie. Elle introduit également une exigence nouvelle.

À mesure que les usages numériques se généralisent, que les systèmes s’interconnectent et que les dépendances augmentent, la question de la fiabilité des systèmes devient centrale.

Dans ce contexte, la cybersécurité ne constitue pas un sujet périphérique ni une contrainte technique. Elle devient un facteur de continuité, de crédibilité et de maîtrise.

La cybersécurité devient un sujet de performance, pas uniquement de protection.

Les organisations qui sauront intégrer cette dimension dès aujourd’hui ne se contenteront pas d’accompagner la transformation numérique. Elles en deviendront les acteurs les plus solides.

Cette évolution s’inscrit dans une dynamique plus large, observée à l’échelle internationale, où la confiance numérique devient un facteur déterminant de développement économique et de souveraineté.

Car au-delà des technologies et des cadres, la transformation numérique repose sur un principe simple : elle ne peut se déployer durablement que dans un environnement de confiance.