L'identité numérique africaine est à vendre

Le cas de la Direction de l'automatisation des fichiers (DAF) Sénégal n'est pas un bug. C'est le symptôme d'un continent qui se numérise à vitesse grand V sans construire les fondations de sa sécurité

Le 5 février 2026, le groupe de ransomware Green Blood publie sur le dark web une revendication qui fait l'effet d'une bombe : 139 téraoctets de données appartenant à la Direction de l'Automatisation des Fichiers (DAF) du Sénégal auraient été dérobés. Cartes nationales d'identité, passeports, données biométriques, registres d'état civil, dossiers d'immigration — soit l'intégralité de l'identité administrative de 19,5 millions de citoyens sénégalais potentiellement compromise.

Le gouvernement sénégalais confirme un incident, suspend temporairement la production des cartes d'identité, ouvre une enquête. L'expert en cybersécurité Clément Domingo, alias SaxX, tire l'alarme le même jour : une publication totale des données pourrait ouvrir une filière de faux papiers d'une ampleur inédite sur le continent.

Mais au-delà du séisme sénégalais, c'est toute l'Afrique qui devrait se regarder dans ce miroir. En 2025 et 2026, les grandes victimes cyber du continent portent le même trait commun : ce sont des infrastructures critiques digitalisées en urgence, sans architecture de sécurité pensée dès la conception. Cell C en Afrique du Sud, MTN Ghana, Telecom Namibia, M-TIBA au Kenya, Air Côte d'Ivoire en février 2026 — la liste s'allonge à un rythme que les capacités de réponse actuelles ne permettent pas d'absorber.

L'Afrique ne souffre pas d'un déficit technologique. Elle souffre d'un déficit de gouvernance cyber. Tant que la sécurité restera une option post-digitalisation plutôt qu'une exigence architecturale, le continent offrira aux cybercriminels du monde entier un terrain de jeu souverain.

LA DAF, RÉVÉLATEUR D'UNE FRAGILITÉ SYSTÉMIQUE

Pour comprendre la portée réelle de l'incident sénégalais, il faut saisir ce qu'est la DAF : bien plus qu'un service administratif, c'est le système nerveux de l'identification nationale. C'est à elle que revient la gestion des cartes d'identité biométriques, des passeports, des actes d'état civil et des registres électoraux. Dans un pays qui numérise massivement son administration, la DAF est l'équivalent d'un coffre-fort national, celui que tout État tient normalement avec les protections maximales.

Or plusieurs éléments de l'incident révèlent une réalité plus préoccupante que la seule attaque : la DAF avait confié la gestion de ses systèmes biométriques à IRIS Corporation Berhad, une entreprise malaisienne. Les premières traces de compromission, détectées dès le 19 janvier 2026, auraient impliqué des serveurs liés à ce prestataire. L'État sénégalais avait en réalité externalisé la production de son identité nationale à un tiers étranger, manifestement sans garanties suffisantes de sécurité opérationnelle

C'est là le cœur du problème africain : la dépendance aux solutions technologiques importées, sans transfert de compétences ni exigences contractuelles de cybersécurité. Selon une analyse du World Economic Forum, 36 % des entreprises africaines doutent de la capacité de leur État à gérer une cyberattaque majeure. Ce chiffre n'est pas étonnant : comment gérer ce qu'on ne maîtrise pas ? UNE AFRIQUE HYPER-CONNECTÉE MAIS SOUS-PROTÉGÉE

L'Afrique affiche l'une des croissances numériques les plus rapides au monde. Le mobile money a transformé des millions de citoyens en acteurs de l'économie numérique. Les gouvernements digitalisent leurs services à marche forcée, sous la pression des bailleurs de fonds et de l'agenda de la transformation numérique.

La RDC, dans sa vision « DRC Digital Nation 2030 », ambitionne de devenir un hub numérique africain. Le Sénégal déploie son Plan Sénégal Émergent. Le Kenya est en première ligne de la fintech continentale. Mais cette digitalisation accélérée s'opère parfois dans un désert réglementaire et/ou capacitaire. Les RSSI ont été nommés dans certaines organisations sans qu'un cadre fonctionnel, un référentiel métier ou un dispositif de coordination ne soit défini.

En Afrique du Sud, le régulateur a recensé 2 374 infractions de données sur l'exercice 2024-2025, dont 82 % après avril 2025 signe non d'une explosion des attaques mais d'une obligation nouvelle de transparence. Ailleurs, les violations restent massivement dissimulées.

La cybercriminalité représenterait désormais jusqu'à 10 % du PIB africain selon certaines estimations. Dans plusieurs régions du continent, plus de 30 % des crimes signalés sont déjà de nature numérique. Ce n'est plus une menace émergente : c'est une réalité économique structurelle

Un continent ne peut pas se permettre de digitaliser son État et ses entreprises sans simultanément construire l'architecture de défense qui protège cette transformation. Ce n'est pas une question de budget. C'est une question de priorité politique.

LA RÉGLEMENTATION SEULE NE SUFFIT PAS

Face à la montée des incidents, plusieurs États africains ont durci leurs cadres réglementaires. La RDC s'est doté d'un Code du Numérique, l'Algérie impose un délai de 5 jours pour signaler les violations. La Zambie traite désormais la cybersécurité comme un enjeu d'infrastructure critique, avec des sanctions pouvant aller jusqu'à 10 ans d'emprisonnement. L'Algérie a dévoilé en mars 2026 sa Stratégie Nationale 2025-2029 pour la sécurité des systèmes d'information. Le Libéria vient d'adopter son Cybercrime Act.

Mais la réglementation sans capacité opérationnelle reste une déclaration d'intention.

Il coûte encore moins cher de payer l'amende que de se conformer à la loi. Le marché de la cybersécurité africain est estimé à 2,7 milliards de dollars en 2026 — un chiffre colossal, mais qui masque une réalité : la majorité des dépenses cyber africaines alimentent des prestataires étrangers, perpétuant une dépendance technologique qui est elle-même un risque.

Le déficit de talents est un multiplicateur de vulnérabilité. On estime à 2,8 millions le nombre de postes cyber non pourvus dans le monde, et l'Afrique souffre doublement : sous-formation locale et fuite des cerveaux vers des marchés mieux rémunérateurs. Sans une stratégie continentale de développement des compétences — certifications, bootcamps, centres d'excellence régionaux — les lois resteront des coquilles vides.

QUELQUES RAISONS D'ÊTRE OPTIMISTE

Certains observateurs nuanceront ce tableau. Ils auront raison de signaler que des pays comme l'Ile Maurice, le Maroc, le Kenya ou le Rwanda disposent de frameworks cybersécurité avancés, comparables aux standards européens. Le Maroc dispose d'une DGSSI active et d'un CERT reconnu. Ces nations démontrent que la maturité cyber est atteignable en Afrique.

On notera aussi que l'incident sénégalais a déclenché une réaction publique rapide, des notifications aux citoyens, une enquête ouverte — des réflexes qu'on n'observait pas il y a cinq ans. La transparence progresse, même si elle reste insuffisante.

Mais ces exemples restent l'exception. Et même les pays les plus avancés restent exposés à une réalité implacable : dans un écosystème régional sous-sécurisé, les chaînes d'approvisionnement, les partenariats transfrontaliers et les interconnexions avec des entités plus vulnérables constituent autant de portes d'entrée pour les attaquants.

DE LA MENACE À L'ACTION

L'affaire DAF n'est pas sénégalaise. Elle est africaine. Elle est la face visible d'un déséquilibre structurel entre la vitesse de la transformation numérique et la maturité des capacités de défense. Si l'Afrique veut honorer ses ambitions numériques le hub congolais, le Kenya fintech, le Sénégal émergent, les 13 pays africains dans le top 100 mondial des écosystèmes de startups elle doit traiter la cybersécurité non plus comme un coût à minimiser, mais comme une condition sine qua non de la souveraineté numérique.

Trois urgences s'imposent : premièrement, intégrer la sécurité dès la conception de tout projet numérique public ou privé — le principe du Security by Design ne doit plus être optionnel. Deuxièmement, harmoniser les cadres réglementaires à l'échelle régionale, comme le font l'Union européenne avec NIS2 et DORA, ou comme l'UEMOA pourrait le faire en Afrique de l'Ouest. Troisièmement, investir massivement dans les talents locaux : chaque RSSI formé en Afrique est une réduction du risque systémique pour tout le continent.

La cybersécurité n'est pas l'affaire des techniciens. C'est la responsabilité des dirigeants, des ministres, des conseils d'administration. Les attaquants, eux, l'ont compris depuis longtemps.

Ce qui a été volé à Dakar en janvier 2026 ne peut pas être restitué. Ce qui peut encore être protégé, dans chaque capitale africaine, dans chaque banque, dans chaque opérateur télécom, dans chaque fintech — c'est la décision d'agir maintenant. Avant que le prochain incident écrive lui-même la feuille de route que nous aurions dû construire

Christian Ipoli Felho  |  Expert en Cybersécurité & Intelligence Économique