Le Trésor public sénégalais a subi une cyberattaque le 10 mai 2026, perturbant ses systèmes d’information et forçant l’activation d’un plan de continuité. L’absence de détails sur l’origine et l’ampleur des dégâts alimente les inquiétudes, dans un pays déjà marqué par des attaques contre la Direction générale des impôts et des domaines (DGID) en octobre 2025 et une tentative de détournement de 8 millions de dollars visant une société pétrolière. Cette nouvelle attaque, ciblant directement les caisses de l’État, soulève des questions cruciales sur la sécurisation des infrastructures financières publiques dans l’espace UEMOA.
Une escalade des cyberattaques contre les finances publiques
L'attaque du 10 mai 2026 contre le Trésor public sénégalais s'inscrit dans une série d'incidents ciblant les institutions financières de l'UEMOA. Retour sur une menace croissante.
Rançon de 250 000 $ exigée
Attaque contre le fisc sénégalais. Les hackers demandent une rançon pour débloquer les systèmes.
Tentative de détournement de 8 M$
Cybercriminels tentent de détourner 8 millions de dollars des comptes d'une société pétrolière sénégalaise.
🔴 Cyberattaque majeure
Systèmes d'information paralysés. Plan de continuité activé. Aucun détail sur l'origine ou l'ampleur des dégâts.
🎯 Pourquoi le Trésor public ?
Paiements des salaires
Fonctionnaires et agents de l'État
Règlements fournisseurs
Chaîne d'approvisionnement de l'État
Émissions de dette
Confiance des investisseurs
Contexte : Multiplication des cyberattaques contre les institutions financières publiques et privées en Afrique de l'Ouest (source : Union africaine).
Une paralysie, même partielle, peut entraîner des retards de paiement et éroder la confiance des partenaires internationaux.
— Analyse Cauris • Cyberattaque Trésor public
Un incident au cœur de la machine étatique
Le choix du Trésor public comme cible n’est pas anodin. En tant que gestionnaire des comptes de l’État et des collectivités locales, il centralise les flux financiers essentiels : paiements des salaires, règlements des fournisseurs, émissions de dette. Une paralysie, même partielle, peut entraîner des retards de paiement et éroder la confiance des partenaires internationaux. La réaction des autorités, qui se sont contentées d’invoquer un « plan de continuité » sans préciser les mesures techniques, trahit un embarras certain. Comparé à l’attaque contre la DGID en 2025, où une rançon de 250 000 dollars avait été exigée, la cible actuelle est bien plus sensible.
Un contexte régional de cybermenace croissante
Cette attaque s’inscrit dans une tendance lourde en Afrique de l’Ouest : la multiplication des cyberattaques contre les institutions financières publiques et privées. Selon des données de l’Union africaine, l’Afrique de l’Ouest a enregistré une augmentation de 34 % des cyberincidents entre 2024 et 2025, les services publics étant particulièrement visés. Au Sénégal, le total des infractions numériques a dépassé plusieurs milliers en 2025, des escroqueries en ligne au piratage de bases de données. La tentative de détournement de 8 millions de dollars d’une société pétrolière en 2025 montre que les attaquants ciblent désormais les secteurs stratégiques.
Les enjeux de transparence et de souveraineté numérique
L’opacité qui entoure l’incident actuel est préoccupante pour plusieurs raisons. D’une part, elle prive les partenaires techniques et financiers – FMI, Banque mondiale – d’une évaluation précise des risques, alors même que le Sénégal sollicite régulièrement des appuis budgétaires. D’autre part, elle interroge sur l’état de préparation des administrations face à des menaces de plus en plus sophistiquées. Le directeur général du Trésor, Amadou Tidiane Gaye, n’a pas communiqué de date de retour à la normale.
Des similitudes avec les attaques précédentes
Le mode opératoire rappelle celui de l’attaque contre la DGID d’octobre 2025, attribuée au groupe Black Shantrac. Dans les deux cas, les autorités ont tardé à fournir des informations, ce qui avait nourri des rumeurs sur l’ampleur des dégâts. Aujourd’hui, le silence sur l’origine de l’attaque – groupe criminel, hacktivistes ou acteur étatique – empêche une réponse coordonnée.
Conséquences macroéconomiques potentielles
Au-delà des perturbations immédiates, c’est la crédibilité du Trésor public en tant qu’émetteur de titres souverains qui est en jeu. Les investisseurs obligataires, déjà attentifs aux notations financières, pourraient intégrer un risque de cybersécurité dans leurs primes de risque. Or, le Sénégal doit lever environ 300 milliards de francs CFA sur le marché régional en 2026 pour financer son budget. Toute incertitude sur la fiabilité des systèmes de paiement peut renchérir le coût de la dette.
Le défi de la cybersécurité pour l’UEMOA
Cette attaque pose la question de la mutualisation des moyens de défense numérique au sein de l’Union. La Banque centrale des États de l’Afrique de l’Ouest (BCEAO) a lancé en 2025 une stratégie régionale de cybersécurité financière, mais sa mise en œuvre reste inégale. Le Sénégal, qui héberge le siège de plusieurs institutions régionales, pourrait devenir un laboratoire pour des réponses collectives. Cependant, la répétition des incidents montre que les efforts actuels sont insuffisants.
Alors que les économies ouest-africaines accélèrent leur digitalisation, la sécurité des infrastructures financières publiques devient un enjeu de stabilité macroéconomique. Le Sénégal illustre une tendance régionale où les cyberattaques se multiplient, ciblant des institutions autrefois considérées comme à l’abri. La réponse des autorités dans les prochains jours déterminera si cet incident reste un épisode isolé ou s’il devient un tournant dans la prise de conscience de la fragilité numérique des États.