Cybersécurité au Sénégal : la vision stratégique de la DCSSI

À une époque où les cyberattaques prennent une place de plus en plus importante dans le débat public, suscitant à la fois préoccupations et interprétations parfois excessives, « Les Après-midis de la Tech » ont constitué un cadre propice à la clarification et à la sensibilisation. Invité de l’émission, le Directeur général de la Direction générale du Chiffre et de la Sécurité des Systèmes d’Information (DCSSI) a proposé une analyse rigoureuse et objective de la situation de la cybersécurité au Sénégal, dépassant les simplifications et les jugements hâtifs. Son intervention a permis de replacer les enjeux dans leurs dimensions historique, institutionnelle et opérationnelle, tout en mettant en exergue les efforts engagés par l’État.

Au centre de son intervention, le Colonel Aly MIME a mis en avant une idée essentielle : le signalement des cyberincidents ne constitue pas une faiblesse de l’action publique, mais son efficacité demeure étroitement liée à l’existence d’un cadre juridique contraignant. À travers une montée en puissance progressive des capacités nationales, une meilleure coordination des réponses aux incidents et une réforme ambitieuse du cadre légal portée par un projet de loi structurant, il a esquissé les fondements d’une cybersécurité nationale en pleine consolidation, considérée comme un élément stratégique de la sécurité globale.

Dès l’entame de son propos, il a souligné l’importance d’adopter une perspective historique pour appréhender la cybersécurité au niveau national. Selon lui, l’évaluation des forces et des limites du dispositif actuel ne peut se faire sans revenir aux premières initiatives engagées depuis 2008, marquées par l’adoption de textes juridiques précurseurs. Depuis lors, le contexte a évolué : les menaces se sont diversifiées, les technologies ont progressé et les réponses institutionnelles se sont adaptées progressivement. L’enjeu actuel consiste ainsi non pas à reconstruire entièrement le système, mais à s’appuyer sur les acquis existants pour renforcer un dispositif plus cohérent, résilient et en phase avec les défis contemporains.

Mandat institutionnel et montée en puissance progressive

Dans ce contexte, le Directeur général a présenté les missions de la DCSSI sous un double angle : son cadre légal, comparable à celui des autorités nationales de cybersécurité, et ses moyens humains et techniques, essentiels à son action. Il a précisé que la direction est devenue pleinement opérationnelle à partir de 2022, avec une accélération liée à la mise en œuvre de son plan stratégique visant à renforcer ses capacités.

Il a également souligné que, malgré des ressources en cours de consolidation, la DCSSI mène déjà des actions concrètes, notamment à travers la production de documents d’orientation et la mise en œuvre de normes de sécurité, dont la Politique de sécurité des systèmes d’information de l’État alignée sur les standards internationaux. Selon lui, une application rigoureuse de ces mesures permettrait de réduire significativement les risques de cyberattaques.

Le signalement des cyberincidents, au cœur du débat

L’intervention du Directeur général a particulièrement mis en lumière la question du signalement des cyberincidents. Il a souligné que, bien que ce principe soit intégré dans la politique de sécurité de l’État, son application reste limitée en l’absence d’un cadre juridique contraignant imposant des obligations claires et des sanctions.

Pour y remédier, un projet de loi sur la protection des infrastructures critiques et la sécurité numérique a été élaboré. Présenté comme une loi cadre, il vise à renforcer le dispositif national en instaurant l’obligation de déclaration des incidents, en clarifiant les responsabilités et en prévoyant des mécanismes de sanction. Selon lui, seule une base légale solide permet d’assurer l’autorité et l’efficacité de la politique de cybersécurité.

Coordination opérationnelle et gestion des crises

Sur le plan opérationnel, le Directeur général a rappelé que la gestion des cyberattaques repose sur le cadre national gestion de crise (CADARCA), qui permet de mobiliser rapidement les acteurs publics et privés pour assurer l’investigation, la remédiation et le rétablissement des systèmes. Cette approche traduit l’importance du partenariat public-privé face à la complexité des menaces. Il a également précisé que la fréquence des cyberattaques ne reflète pas nécessairement une mauvaise gouvernance, mais plutôt le niveau de numérisation d’un pays. Le véritable enjeu réside dans la capacité à prévenir, détecter et répondre efficacement aux incidents. À cet égard, le Sénégal dispose déjà d’un cadre institutionnel couvrant l’ensemble des dimensions de la cybersécurité

Le facteur humain et l’enjeu de la résilience nationale

Enfin, il a insisté sur un point souvent sous-estimé : l’humain demeure le maillon le plus vulnérable de la chaîne de cybersécurité. Au-delà des technologies et des infrastructures, la formation, la sensibilisation, la culture de cybersécurité et le respect des procédures sont essentiels. Des audits réguliers, des plans de remédiation réalistes et des investissements ciblés sont nécessaires pour corriger durablement les vulnérabilités identifiées.

Au terme de son intervention, un message s’est imposé avec clarté. La question centrale n’est pas de savoir si le Sénégal est attaqué, mais s’il est suffisamment organisé pour absorber le choc, se relever rapidement et tirer les leçons de chaque incident. À travers la montée en puissance progressive de la DCSSI et l’adoption attendue du projet de loi sur la protection des infrastructures critiques et la sécurité numérique, l’État sénégalais entend précisément répondre à cet enjeu stratégique.