FAIT : « Le Sénégal demeure l’un des rares pays de la région à ne pas disposer d’un CERT (Centre de traitement des incidents informatiques) ». C’est l’affirmation faite par le directeur général de Tex Groupe (une entreprise spécialisée dans la sécurité numérique), Daouda Sow, dans une interview accordée à l’Agence de presse sénégalaise (APS) et publiée le 15 avril 2025.
TEXTE
Le Sénégal, bien qu’engagé dans une dynamique de modernisation numérique, fait face à d’importants défis en matière de cybersécurité. Les infrastructures d’institution sensible, l’administration publique numérisée, les entreprises privées, ainsi que les usagers sont de plus en plus exposés aux cybermenaces, dans un contexte régional marqué par une recrudescence des attaques informatiques.
Plusieurs organisations et entreprises en ont été victimes notamment l’Autorité de Régulation des Télécommunications et des Postes du Sénégal (ARTP).
Le Sénégal, à l’instar d’autres pays africains comme la Côte d’Ivoire ou le Maroc, pourrait garantir une meilleure protection de ses institutions et entreprises grâce à la mise en place d’un Centre de traitement des incidents informatiques (CERT).
Le spécialiste en cybersécurité, Daouda Diagne, que Dubawa a évoqué, explique que « le mot CERT est un acronyme anglais qui signifie Computer Emergency Response Team » .
En français, poursuit-il, « cela désigne une équipe d’intervention en cas d’urgence informatique. Elle est composée de spécialistes dont la mission principale est de prévenir, détecter, analyser et résoudre les problèmes de sécurité, tels que les cyberattaques, les virus ou les failles dans les systèmes informatiques ».
Un centre de traitement des incidents informatiques (CERT) offre plusieurs services : « surveillance proactive des menaces, gestion et réponse rapide aux incidents, publication d’alertes dans le cadre d’une veille active, ainsi que la formulation de recommandations en matière de sécurité. Le premier CERT a été créé en 1988 aux États-Unis, plus précisément à l’Université Carnegie Mellon », a-t-il précisé.
Daouda Diagne indique qu’un CERT est « un maillon stratégique dans l’écosystème de la cybersécurité d’un pays [….]. Le CERT agit comme un rempart en cas d’incident ».
Pour être pleinement efficace, un CERT doit collaborer avec d’autres équipes à l’échelle mondiale afin de partager des informations et coordonner les réponses face aux menaces globales.
VÉRIFICATION
Nos recherches nous ont conduit sur le site Internet de la Direction générale du Chiffre et de la Sécurité des Systèmes d’Information (DCSSI) qui est l’autorité nationale de cybersécurité rattachée à la Présidence de la République du Sénégal.
La Direction générale du Chiffre et de la Sécurité des Systèmes d’Information est composée de 4 structures dont le Centre National Opérationnel de Cybersécurité (CNOC) qui assure la mise en œuvre des services de veille, de détection, d’alerte, d’analyse et de gestion en continu des risques et des menaces, ainsi que de réactions aux attaques des Systèmes d’Information du public et du privé (CERT/CSIRT National), en collaboration avec tout organisme national et international intervenant dans ce domaine.
L’existence, au Sénégal, d’un centre de traitement des incidents informatiques nous est confirmée par le Directeur général du Data Center de Diamniadio (situé à une trentaine de kilomètres du centre ville de Dakar), Ousmane Bob qui précise toutefois que le projet en cours vise à le matérialiser davantage pour le qualificatif pleinement de CERT national. Le Manager général du Data Center de Diamniadio explique : « si vraiment le Sénégal n’en disposait pas, tout ce qui s’est passé dernièrement n’aurait pas pu être géré.
On a vécu pas mal d’attaques : la Banque de l’Habitat, la Banque de Dakar (BDK) en ont subi (cyberattaques), et même des médias. Beaucoup de structures ont perdu beaucoup d’argent ».
Contacté par Dubawa sur ses propositions tenues lors de son entretien publié le 15 avril par l’Agence de Presse Sénégalaise , le directeur général de Tex Groupe, Daouda Sow a confirmé ses propositions, tout en apportant des précisions : « le Sénégal accuse un retard important dans la gouvernance de la cybersécurité et dans la mise en place des instruments techniques tels que le CERT national et autres ».
Il cite, à titre comparatif, des structures similaires existant dans d’autres pays du continent, comme le MaCERT (Maroc), le Ci-CERT (Côte d’Ivoire) ou encore le TunCERT (Tunisie), qu’il décrit comme pleinement opérationnels et actifs, notamment dans la publication d’alertes de vulnérabilités.
M. Sow ajoute avoir participé à un forum organisé par la Direction du Chiffre et de la Sécurité des Systèmes d’Information (DCSSI).
C’est à cette occasion, dit-il, qu’il a été informé de l’existence d’un projet de CERT, sans pour autant constater l’existence d’une structure nationale active et pleinement fonctionnelle à ce jour.
Après nos recherches, nous pouvons affirmer que OUI le Sénégal dispose d’un Centre de traitement des incidents informatiques.
L’ingénieur en gestion de la sécurité des systèmes d’information, consultant et formateur en technologies de l’information, Gérard Dacosta rappelle qu’un « CERT légitime doit répondre à plusieurs critères :
_être reconnu institutionnellement,
_disposer d’un mandat national clair,
_s’appuyer sur une base légale,
_posséder une infrastructure technique fonctionnelle,
_compter une équipe qualifiée en cybersécurité,
_offrir des services de réponse aux incidents et de veille,
_participer les acteurs au niveau national,
_respectant les normes internationales,
_proposer une plateforme de signalement,
_et garantir une certaine transparence auprès du publique ».
L’existence d’un Centre de traitement des incidents informatiques au Sénégal est donc active même si Gérard Dacosta relève quelques limites notamment :
- la rareté des techniques de publication,
- un manque de visibilité sur les moyens techniques et humains,
- une communication publique insuffisante (avec un site web partiellement inactif),
- et une coordination multisectorielle encore peu documentée.
Le Sénégal dispose bien d’un Centre de traitement des incidents informatiques, le CERT-SN, rattaché à la Direction des Systèmes d’Information Sécurisés (DSIS), composante du Centre National Opérationnel de Cybersécurité (CNOC).
Cependant, ce CERT présente encore certaines limites en comparaison aux normes régionales et internationales : faible visibilité publique, communication restreinte et coordination multisectorielle peu documentée. Ces éléments expliquent pourquoi des experts estiment qu’il ne s’agit pas encore d’un CERT « pleinement fonctionnel » ou « matérialisé » au sens strict.
Article réalisé par Fana Cissé dans le cadre de la bourse 2025 du Centre pour le journalisme, l’innovation et le développement (CJID)
pressafrik
