SENEGAL-ADMINISTRATION-TIC

Dakar, 18 mai (APS) – Les récentes cyberattaques visant des administrations stratégiques sénégalaises ne relèvent plus d'”incidents isolé” et traduisent une “vulnérabilité profonde des infrastructures numériques publique”, a alerté l’ingénieur en cybersécurité Malick Fall, estimant que le Sénégal fait face à un “signal d’alarme systémique”.

“Trois administrations stratégiques touchant à l’identité civile, à la fiscalité et désormais à la comptabilité publique ont été ciblées en moins d’un an”, a-t-il relevé dans un entretien accordé à l’APS, considérant que “la répétition de ces incidents met à nu des fragilités structurelles”.

Selon Malick Fall, “pris séparément, chacun de ces incidents aurait pu être perçu comme un simple problème technique”, mais leur enchaînement et la nature des institutions visées révèlent “une exposition structurelle” des systèmes publics.

“Quand des institutions névralgiques à l’instar du fisc, de l’état civil et de la comptabilité publique ont été durement frappées par une vague de cyberattaques et d’intrusions informatiques les unes après les autres, on ne parle plus d’acte isolé ou opportuniste”, a fait valoir le CEO et fondateur de Polaris Secure Technologies.

Ce cabinet de conseil spécialisé en cybersécurité opérant au Sénégal et en France propose des services d’audit, de conseil, de formation et de cybersécurité managée.

L’expert souligne qu’en 2024, “plus de 10 millions de cybermenaces ont été détectées et bloquées au Sénégal”. Il ajoute, citant des données de Kaspersky, une multinationale de cybersécurité, que les attaques exploitant des failles logicielles ont été doublées, passant dans le pays de  “155.000 à plus de 293.000 incidents en un an”.

Pour expliquer cette vulnérabilité, Malick Fall évoque d’abord “le déficit d’investissement en cybersécurité”, la sécurité informatique demeurant “une ligne budgétaire sacrifiée au profit des projets visibles” dans plusieurs administrations africaines, a-t-il déploré.

Il pointe également “le facteur humain”, notamment le phishing – technique de cybercriminalité où des fraudeurs se font passer pour des tiers de confiance – et l’ingénierie sociale qui demeurent “les vecteurs d’entrée les plus efficaces”.

“Un agent clique sur un lien malveillant, et c’est toute l’institution qui est exposée”, a-t-il expliqué.

“Cybercrime-as-a-service”, ou le modèle économique criminel

L’ingénieur mentionne aussi “des systèmes vieillissants”, avec des logiciels obsolètes, non mis à jour et utilisant parfois “des configurations par défaut qui multiplient les failles”.

Entre autres faiblesses, il a relevé  “l’absence de cloisonnement entre les systèmes”, qui facilite “le déplacement latéral” des pirates lorsqu’un réseau est compromis.

Il estime en outre que la digitalisation accélérée des services publics sans intégration de la cybersécurité “dans le processus” contribue à accroître les risques.

“La +Security by design+ ainsi que la sécurité de l’exploitation des services sont vitales dans ce processus de digitalisation forcée”, a-t-il soutenu.

Selon lui, les méthodes utilisées par les cybercriminels connaissent également une mutation préoccupante en Afrique de l’Ouest.

”On ne parle plus d’hacktivistes opportunistes. On parle de groupes organisés […] qui ciblent, planifient, exfiltrent et négocient”, a-t-il dit, évoquant notamment des groupes tels que BlackShantrac et The Green Blood.

Il décrit un modèle de “cybercrime-as-a-service”, marqué par une professionnalisation croissante des attaques, des campagnes de phishing dopées à l’intelligence artificielle et des compromissions passant désormais par la chaîne d’approvisionnement numérique, via des sous-traitants ou prestataires techniques.

Malick Fall a aussi insisté sur ce qu’il qualifie de “phénomène de fuite de cerveaux inversée dans la cybercriminalité”, en faisant allusion aux  profils techniques qualifiés rejoignant des réseaux criminels transnationaux.

SMD/BK