La transformation numérique rapide du continent africain s’accompagne d’une intensification des cybermenaces qui touchent directement les États, les entreprises et les citoyens. Dans la sous-région ouest-africaine, la convergence entre la digitalisation accélérée des services publics, la dépendance croissante aux infrastructures numériques et la sophistication des acteurs malveillants crée un environnement de vulnérabilité sans précédent.
Selon le rapport INTERPOL Africa Cyberthreat Assessment 2025 (4ᵉ édition), les principales menaces identifiées pour le continent demeurent les ransomwares, les escroqueries en ligne, les compromissions de courriels professionnels (BEC) et la sextorsion numérique. Le rapport note également une recrudescence des campagnes de phishing à finalité de sextorsion, souvent appuyées par des contenus générés par intelligence artificielle, où la Mauritanie figure parmi les pays les plus ciblés aux côtés du Maroc, du Mali et de l’Égypte.
Pour la Mauritanie, le rapport fait état d’une augmentation de 900 % des incidents signalés entre 2023 et 2024. Les détections de ransomware ont atteint près de 300 cas recensés (296 exactement) en 2024 — une progression exponentielle pour un pays dont la surface numérique reste encore limitée mais en forte expansion. Il convient cependant de rappeler que ces chiffres ne concernent que les incidents signalés. En l’absence d’un cadre réglementaire imposant la notification obligatoire, de canaux formalisés de signalement et d’une autorité unique habilitée à centraliser ces déclarations, la réalité est très probablement bien plus élevée. Autrement dit, la Mauritanie fait face à une menace croissante dont l’ampleur réelle demeure sous-estimée.
Les attaques récentes dans la région confirment cette tendance. La plus récente, qui a visé la Direction Générale des Impôts et Domaines du Sénégal, aurait entraîné l’exfiltration et le chiffrement d’une partie des données administratives et fiscales, ainsi qu’une perturbation des services pendant plusieurs jours. Les investigations seraient toujours en cours, mais la communication officielle a été tardive et peu transparente. Cette situation révèle un manque de préparation institutionnelle à la gestion de crise : les autorités n’ont pas su concilier une communication rapide et transparente — même partielle — avec la préservation de l’intégrité de l’enquête. Cet épisode rappelle qu’aucun pays de la sous-région n’est à l’abri.
Adoptée en février 2022, la Stratégie nationale de sécurité numérique de la Mauritanie 2022–2025 constituait une étape importante vers la mise en place d’un dispositif national de cybersécurité. Elle repose sur six objectifs stratégiques couvrant la gouvernance, la protection des infrastructures critiques, la lutte contre la cybercriminalité, la sensibilisation et le développement des compétences, ainsi que la coopération nationale et internationale.
Trois ans après son lancement, le constat reste nuancé : des avancées notables ont été enregistrées, mais leur traduction opérationnelle demeure partielle.
L’Agence Nationale de Cybersécurité et de Certification Électronique (ANCCE), bien qu’annoncée et créée par décret en avril 2024, n’est pas encore opérationnelle.
Le Centre national de supervision et de réponse aux incidents de sécurité (SOC–CSIRT), dont la mise en place constitue l’une des priorités de la stratégie nationale, a pris du retard dans sa phase d’opérationnalisation, tout comme le Référentiel Général de Sécurité (RGS), toujours non publié.
Les actions de sensibilisation et de développement des compétences, regroupées sous l’un des objectifs stratégiques, n’ont donné lieu à aucune campagne nationale visible ni à la création de cursus académiques dédiés.
Cette dernière dimension mérite pourtant une attention particulière : la sensibilisation et le renforcement des compétences constituent le pilier le plus vital de toute politique de sécurité numérique. Sans une culture nationale de la cybersécurité, aucun dispositif technique, aussi sophistiqué soit-il, ne peut produire d’effet durable.
L’approche actuellement adoptée par le Ministère de la Transition Numérique et de la Modernisation de l’Administration (MTNMA) accorde la priorité aux infrastructures et à la technologie, au détriment de la dimension humaine, organisationnelle et éducative — pourtant essentielle pour bâtir une résilience collective. Cela n’a rien de surprenant : le MTNMA joue de fait le rôle de DSI de l’État, dont la priorité première est la disponibilité et la continuité des services, à la différence d’une agence nationale de la cybersécurité, dont la mission centrale serait la gestion des risques, la conformité et la protection du cyberespace national.
Cette confusion des rôles illustre une gouvernance encore déséquilibrée. Le MTNMA cumule aujourd’hui les fonctions de planification, d’exécution des projets numériques et de supervision de la sécurité des systèmes d’information. Une telle concentration brouille les lignes de responsabilité et compromet la cohérence et la crédibilité institutionnelle de la gouvernance de la cybersécurité. En matière de cybersécurité nationale, le MTNMA ne peut être à la fois planificateur, exécutant, régulateur et contrôleur. La supervision stratégique, la coordination interministérielle et le contrôle de conformité doivent relever d’une instance indépendante — en l’occurrence l’ANCCE.
Il est donc urgent de séparer les activités de pilotage et de supervision de la sécurité des systèmes d’information de celles de conception et d’exécution des projets numériques. Une gouvernance claire, structurée et hiérarchisée constitue la condition sine qua non pour garantir la cohérence des actions, éviter les redondances et établir un cadre d’autorité reconnu. Compte tenu du caractère régalien de la cybersécurité, cette gouvernance devrait être rattachée directement à la Primature ou à la Présidence.
Aucune politique de cybersécurité ne peut réussir si elle repose uniquement sur les solutions techniques. La cybersécurité est avant tout une affaire de gouvernance et d’organisation, appuyée par la technologie : elle relève de la responsabilité souveraine de l’État.
C’est dans la clarté des responsabilités, la cohérence des politiques, la supervision indépendante et la coordination interministérielle que se construit un cyberespace résilient. Sans cela, même les meilleures solutions resteront des îlots de sécurité isolés, incapables de protéger le tissu numérique national.
Cette vision n’est pas nouvelle. Dans un entretien publié le 23 octobre 2020 sur Kassataya, intitulé « La cybersécurité reste avant tout une question de souveraineté nationale », je soulignais déjà :
“Un projet d’élaboration d’une stratégie nationale […] doit s’inscrire dans une dynamique de coordination de l’action gouvernementale et ne peut pas être porté par un ministère spécifique.”
Cinq ans après, cette observation conserve toute sa pertinence. La cybersécurité nationale ne peut être pleinement efficace que si elle est placée au cœur de la politique de défense et de souveraineté numérique, sous la supervision directe de la plus haute autorité de l’État. Entretien complet : https://cridem.org/C_Info.php?article=741992
Le retard observé dans l’opérationnalisation des structures clés, notamment l’ANCCE, interroge. Les raisons ne sont pas clairement établies, mais l’on peut s’étonner qu’un dispositif aussi stratégique demeure en attente alors que les menaces s’intensifient. Est-ce une question de priorisation, de moyens, ou de blocages institutionnels ? La question mérite d’être posée.
En attendant, cette absence de gouvernance centralisée et de cadre opérationnel laisse cohérent la porte ouverte à des fragilités internes croissantes. Parmi elles, un phénomène préoccupant : la multiplication des fuites d’informations sensibles — documents internes, correspondances officielles ou notes confidentielles — parfois transmises à des blogueurs ou commentées publiquement sans cadre légal ni déontologique clair.
Ces incidents mettent en lumière un enjeu souvent sous-estimé : l’intégration effective de la sécurité de l’information dans la gouvernance de l’État. Ces fuites ne traduisent pas seulement une faiblesse humaine ou organisationnelle, mais aussi l’absence d’un cadre structuré de gestion de la confidentialité et de protection des données critiques.
La Sécurité des Systèmes d’Information (SSI) doit ici jouer un rôle central. Elle ne se limite pas à la cybersécurité technique, mais englobe l’ensemble des dispositifs, processus et pratiques garantissant, quel que soit le support ou le mode de communication, la confidentialité, l’intégrité, la disponibilité et la traçabilité des informations sensibles.
Mettre en place des politiques claires de classification de l’information, renforcer les contrôles d’accès, encadrer la diffusion des documents officiels et instaurer une culture du secret professionnel dans l’administration constituent des leviers essentiels pour parer à ce type de dérive.
La priorité ne devrait donc pas être de rédiger une nouvelle stratégie, comme cela a été évoqué récemment dans certaines communications officielles du MTNMA, mais de mettre en œuvre efficacement celle déjà existante. L’effort doit désormais se concentrer sur l’action et la coordination :
• rendre l’ANCCE pleinement opérationnelle avec un mandat clair de supervision et de coordination, en précisant les rôles et responsabilités de chaque acteur national ;
• mettre en service le SOC–CSIRT national, organe essentiel de veille et de réponse ;
• lancer des campagnes nationales de sensibilisation et de formation à destination des agents publics, des opérateurs d’infrastructures critiques et du grand public ;
• adopter une Politique nationale de sécurité des systèmes d’information (PSSI de l’État) et désigner, au sein de chaque entité publique, un fonctionnaire chargé de la sécurité des systèmes d’information (FSSI) ;
• structurer un cadre national de compétences et de certification pour les FSSI et administrateurs techniques du secteur public ;
• encourager la création d’un écosystème privé de cybersécurité, associant entreprises locales, start-ups et prestataires de services managés ;
• renforcer la coopération régionale et internationale sur des bases pragmatiques, en favorisant la mutualisation des capacités et des bonnes pratiques avec les pays voisins.
La Mauritanie dispose aujourd’hui de tous les éléments nécessaires pour bâtir une véritable souveraineté numérique : une stratégie claire, un cadre juridique adapté et une volonté politique affichée.
Mais ces atouts demeureront symboliques tant que la mise en œuvre restera centralisée au sein d’une administration qui cumule à la fois l’exécution des projets numériques et la supervision de la protection du cyberespace.
Le temps est venu de hisser la Sécurité des Systèmes d’Information (SSI) au rang de mission nationale de sécurité et de défense, indépendante du pilotage technologique.
La Sécurité des Systèmes d’Information n’est pas un volet secondaire de la transformation numérique : elle en est la condition d’existence.
Le pays ne peut plus se permettre de retarder davantage l’opérationnalisation de son dispositif national.
La souveraineté numérique ne s’affirme pas dans les textes — elle se construit par l’action.
Ibrahima BASSExpert en Sécurité des Systèmes d’Information Octobre 2025
-
-
-
-
