Sénégal : après la cyberattaque, le trésor public face au paiement des salaires
Le ministre sénégalais des Finances, Cheikh Diba, a assuré que les salaires des agents de l’État seront versés malgré l’incident informatique qui perturbe depuis douze jours les systèmes du Trésor public. Cette crise, non officiellement qualifiée de cyberattaque par les autorités, intervient après plusieurs intrusions visant des administrations sensibles au Sénégal, dont les Impôts et la Direction de l’Automatisation des Fichiers.
Le ministre des Finances et du Budget Cheikh Diba a assuré vendredi 22 mai devant l’Assemblée nationale que les agents de l’État percevront leurs salaires avant la fin du week-end, malgré l’incident informatique qui affecte partiellement les systèmes de la Direction générale de la Comptabilité publique et du Trésor (DGCPT) depuis le dimanche 10 mai 2026. Il a également garanti que les autres charges financières de l’État seraient honorées dans les mêmes délais.
La DGCPT avait rendu public l’incident le 11 mai dans un communiqué signé par son directeur général Amadou Tidiane Gaye, faisant état d’un « incident affectant une partie de ses systèmes d’information » et indiquant avoir activé son plan de continuité d’activité. L’institution n’avait pas précisé la nature de la perturbation. Les opérations de rétablissement ont débuté le 18 mai, huit jours après la détection, selon les informations communiquées par la direction. La reprise reste qualifiée de progressive.
Des sources spécialisées en cybersécurité avaient livré, dès les jours suivant l’incident, des éléments que la DGCPT n’a pas confirmés officiellement. Selon le site Le Monde du Numérique, qui cite des observations sur des forums cybercriminels, un groupe se présentant sous le nom « AuditTeam » aurait revendiqué le 10 mai l’exfiltration de plus de 70 gigaoctets de données et aurait affiché la DGCPT sur son site de publication de données volées, assorti d’un compte à rebours avant divulgation publique. Le même site indique qu’un cybercriminel utilisant le pseudonyme « w00l_ysh1 » avait publié le 8 mars 2026, deux mois avant l’incident, une annonce proposant à la vente des accès VPN, des privilèges d’administrateur de serveur Windows et des accès à des serveurs financiers internes de la DGCPT sur un forum clandestin. L’Agence de presse sénégalaise (APS) avait également mentionné des données exposées sur le dark web, sans quantifier le volume.
La DGCPT centralise l’exécution des dépenses publiques, gère la dette de l’État et assure la comptabilité de l’ensemble des administrations. Elle prend en charge mensuellement la masse salariale de la fonction publique, qui représente une part significative des dépenses courantes de l’État sénégalais.
Trois administrations touchées en moins d’un an
L’incident de la DGCPT est le troisième à frapper une administration financière ou d’état civil sénégalaise depuis octobre 2025. En octobre 2025, la Direction générale des Impôts et des Domaines (DGID) avait été affectée par une attaque attribuée par des sources spécialisées au groupe BlackShantrac, qui avait réclamé une rançon estimée entre 250 000 dollars et 6,5 milliards de francs CFA selon les sources. En février 2026, la Direction de l’Automatisation des Fichiers (DAF), responsable de la production des cartes nationales d’identité, avait subi une intrusion revendiquée par le groupe « The Green Blood », qui affirmait avoir exfiltré 139 téraoctets de données biométriques et électorales. Cet incident avait conduit à la suspension temporaire de la production des cartes d’identité.
Ces trois incidents partagent un mode opératoire similaire : exfiltration de données, publication sur des sites de fuite, et pression par compte à rebours avant divulgation publique, caractéristiques des groupes pratiquant la double extorsion dans le domaine du rançongiciel. Dans aucun des trois cas les autorités sénégalaises n’ont confirmé publiquement le versement d’une rançon ni précisé l’étendue exacte des données compromises.
Les systèmes en reprise progressive
La DGCPT n’a pas communiqué sur la nature précise des données potentiellement compromises ni sur les mesures techniques engagées pour sécuriser ses infrastructures contre de futures intrusions. La qualification d’« incident » retenue dans les communications officielles, en lieu et place du terme « cyberattaque », est conforme à la pratique de communication de crise observée dans des administrations comparables en Afrique de l’Ouest.
Le ministère des Finances n’avait pas non plus, au moment de la déclaration de Cheikh Diba devant l’Assemblée nationale, précisé si les données personnelles des agents de la fonction publique figuraient parmi les informations potentiellement exposées. La question du périmètre exact des systèmes affectés restait ouverte douze jours après la détection de l’incident.