Face aux récentes cyberattaques ayant visé des infrastructures étatiques majeures, telles que la Direction de l'automatisation du fichier (DAF), la Direction générale des impôts et domaines (DGID) et la Direction générale de la comptabilité publique et du trésor (DGCPT), le Sénégal se trouve « à un tournant de son histoire technologique et sécuritaire ». C'est le diagnostic posé par Malick Fall, consultant en cybersécurité et CEO de Polaris Secure Technologies, qui avertit que « ignorer ou minimiser la gravité de ces incidents serait une faute stratégique lourde de conséquences ». Pour y faire face, l'expert décline une stratégie globale articulée en trois temps.
L'urgence absolue repose sur la sécurisation immédiate des entités non encore impactées. Malick Fall recommande de mener « des audits de sécurité immédiats sur toutes les administrations critiques » afin de « faire l’état des lieux de la cybersécurité de nos joyaux ». Cette démarche cartographique évitera d'« investir de façon désorganisée et pas optimale ».
Sur le plan opérationnel, il préconise la « supervision permanente des actifs critiques » ainsi que le déploiement d'une « cellule nationale de réponse aux incidents opérationnelle 24h/24 ». La sécurisation technique immédiate passe aussi par la « mise à jour systématique des systèmes d’exploitation et logiciels », le « backup et la restauration des systèmes » et le « chiffrement des données sensibles au repos et en transit ».
Parce que le facteur humain demeure « la première faille », l'expert juge indispensable de rendre obligatoire « une formation à la cyber-hygiène pour l’ensemble des agents de l’État ». À cela doit s'ajouter « la mise en place de la résilience des infrastructures » pour éliminer définitivement « les indisponibilités longues ».
Sur le long terme, la riposte doit devenir structurelle via l'élaboration d'une stratégie nationale de cybersécurité dotée de budgets dédiés. Cela implique également le développement des compétences locales par des « formations, des écoles et organismes spécialisés et des partenariats universitaires », ainsi que la réduction progressive de la « dépendance à des infrastructures et logiciels étrangers non maîtrisés » pour asseoir la souveraineté technologique du pays.
Interrogé par l'APS sur la gestion de l'information par les autorités, le consultant regrette que la communication de crise soit « souvent sous-estimée ». Prenant l'exemple du Trésor public, il souligne que la DGCPT « n’a confirmé ni attaque informatique, ni exfiltration de données, ni demande de rançon ». Or, prévient-il, « ce mutisme, même compréhensible techniquement, crée un vide que les rumeurs et les médias sociaux s’empressent de combler ».
Pour Malick Fall, la doctrine de communication de l'État doit reposer d'abord sur la rapidité d'une première prise de parole factuelle. « Dès qu’un incident est confirmé, l’État doit communiquer en 24-48 heures maximum » pour rassurer l'opinion. De plus, « la protection des usagers doit être une boussole dans la communication ».
Si des données personnelles sont compromises, « les citoyens concernés ont le droit d’être informés pour se protéger » en changeant leurs mots de passe ou en surveillant leurs comptes. L'expert appelle enfin à « une communication de crise professionnalisée, avec un porte-parole unique [et] des messages calibrés », suggérant que la Direction générale du chiffre et de la sécurité des systèmes d’informations (DCSSI) constituerait « une voix autorisée » pour assumer ce rôle.