Babacar Charles Ndoye, expert en gouvernance, risque et conformité, dresse un état des lieux alarmant : les institutions publiques et privées restent vulnérables face aux menaces croissantes de cybercriminalité. Il plaide pour des stratégies robustes, une meilleure sensibilisation et la création d’une agence nationale dédiée, afin d’accompagner l’ambition du Sénégal de bâtir une économie numérique sécurisée et résiliente.
Pour commencer, pourriez-vous vous présenter et nous parler de votre parcours ?
Je suis Babacar Charles Ndoye, Expert GRC (Gouvernance- Risque & Conformité). J’ai une Expérience de plus de 20 ans dans les Technologies de l’Information , avec une forte expertise dans la Gouvernance de Sécurité des Systèmes d’Information. C’est à ce titre que j’ai piloté, pour le compte de l’Union européenne, l’étude de faisabilité de la plateforme d’interopérabilité d’échange de données pour la lutte contre la fraude et l’évasion fiscale en Côte d’Ivoire en 2024.
Dans le passé j’ai occupé des postes de responsabilités dans de grands groupe :
IT Manager du groupe Cadbury / Kraft en Suisse, géant de l’agro-alimentaire de 2008 à 2011
IT Opération Manager du leader mondial de la Pétrochimie et du Gaz INEOS, en Suisse de 2011 à 2015
Chef de Projet Sénior chez BOBST en Suisse : Bobst est le premier fournisseur mondial des équipements pour l’industrie de l’étiquette, de l’emballage flexible, du carton ondulé en 2017 ou j’ai piloté la migration de plus de 4500 postes d’utilisateurs
Chef de Projet Sénior en Sécurité chez Richemont International 3ème Industrie de luxe au monde de 2018 à 2019.
Actuellement je suis le Directeur Général de Cellule Group cabinet officiant dans les services de la cybersécurité et de la formation.
Comment évaluez-vous l’état actuel de la sécurité des données sensibles au Sénégal, tant dans le secteur public que privé ?
L’insécurité des données sensibles est plus que manifeste dans l’écosystème sénégalais. Les faits sont visibles et me pousse à la réflexion suivante : À quelle entité publique ou privé devront nous adresser un évènement majeur en cas de Cyberattaque dans ce pays ? Comment peut-on parler de Sécurité des données sensibles en ayant jamais pris en compte la gestion de la menace interne qui est la première mesure à adopter dans un environnement de traitement ou de partage de données sensibles.
Pour Rappel en 2021, deux agents du Trésor ont pu détourner 5 milliards de nos francs, grâce à une faille du système. Dans cette même structure, un agent a la latitude de valider à lui seul des virements de 50 millions à l’infini… En 2022 un journaliste avait été inculpé d’atteinte à la défense nationale sur des documents top secrets qui ont fuité, sans compter les PV d’enquêtes qui se retrouvent sur la place publique à chaque procès ou évènements de mœurs. Avec ces faits répétitifs et notoires comment se prévaloir d’avoir une bonne hygiène en Sécurité des Données Sensibles ? Le « jubb, jubeul, jubanti » doit être appliqué dans ce contexte….
Face à cet état des lieux, quelles sont, selon vous, les principales vulnérabilités auxquelles les entreprises et les institutions sénégalaises sont confrontées en matière de protection des données sensibles ?
Force est de reconnaître que nous n’avons pas la culture d’hygiène informatique qui est la base d’un environnement sécurisé, nous avons sauté beaucoup d’étapes cruciales qui ont rendu nos systèmes vulnérables.
Les entreprises et institutions sénégalaises, comme dans de nombreux pays, sont confrontées à un ensemble de vulnérabilités en matière de protection des données sensibles. Ces failles peuvent être techniques, humaines ou organisationnelles, et leur identification est cruciale pour améliorer la sécurité des données.
Les principales vulnérabilités rencontrées au Sénégal :
Menaces internes (Insider Threats)
Insuffisance des ressources techniques
Manque de politique de sécurité des données
Infrastructure de sécurité obsolète
Faiblesse des contrôles d’accès
Manque de sensibilisation et de formation
Absence de chiffrement des données
Absence d’audits de sécurité réguliers
Absence de plan de continuité d’activité (PCA)
Prolifération des appareils personnels non sécurisés
Faible conformité réglementaire : Malgré l’existence de la Commission de Protection des Données Personnelles (CDP) au Sénégal, beaucoup d’entreprises n’ont pas encore pleinement intégré la conformité aux lois sur la protection des données personnelles dans leurs processus. L’absence de cette conformité augmente le risque de sanctions légales, d’amendes, et de pertes de réputation.
Les entreprises et institutions sénégalaises doivent prendre des mesures proactives pour identifier et combler les vulnérabilités. Cela passe par des investissements dans la formation à la cybersécurité, la mise à jour des infrastructures de sécurité, l’adoption de politiques strictes de gestion des accès, et la conformité avec les régulations en vigueur. Une stratégie de sécurité robuste et continue est essentielle pour garantir la protection des données sensibles et la résilience face aux menaces croissantes.
Compte tenu de ces vulnérabilités, quelles sont les stratégies prioritaires que vous recommandez aux entreprises sénégalaises pour renforcer la sécurité de leurs données sensibles ?
Il faut connaître son propre environnement, avoir une liste exhaustive des actifs critiques pour pouvoir amorcer un SMSI (Système de Management de la Sécurité de l’Information).
Définir une politique de sécurité propre à son environnement, une politique de sécurité ce n’est pas un document Word ou PowerPoint à concevoir et à ranger dans des tiroirs, mais plutôt des procédures et des actions au quotidien à entreprendre pour assoir la sécurité bien définie des informations sensibles.
Mettre en place un diagramme de cartographie des données sensibles
Assurer la formation des personnes ressources
Avoir une culture cyber en entreprise
Le Sénégal aspire à faire de l’économie numérique un levier de croissance. Quelles sont les conditions essentielles à réunir pour que la sécurité des systèmes d’information accompagne cette ambition ?
Pour que le Sénégal puisse faire de l’économie numérique un levier de croissance tout en garantissant la sécurité des systèmes d’information (SI), plusieurs conditions essentielles doivent être réunies :
Élaboration et mise en œuvre d’une stratégie nationale de cybersécurité
Définir des normes de sécurité pour les infrastructures critiques, les administrations publiques et les entreprises privées.
Renforcer la résilience face aux cybermenaces croissantes, telles que les attaques par ransomware, le vol de données, ou les attaques DDoS.
Coordonner les efforts publics et privés pour une réponse rapide aux incidents de cybersécurité.
Renforcement du cadre légal et réglementaire
Développement des infrastructures de sécurité :
Centres de données nationaux sécurisés : Créer ou renforcer des data centers nationaux qui garantissent une haute disponibilité, la redondance des données et la protection contre les cyberattaques
Sensibilisation et formation à la cybersécurité
Renforcement des capacités en réponse aux cyber incidents
En parlant de sensibilisation, comment pourrait-on davantage sensibiliser les entreprises et les citoyens sénégalais à l’importance de la sécurité des données personnelles et sensibles ?
La sensibilisation à l’importance de la sécurité des données sensibles est essentielle pour protéger les entreprises sénégalaises contre les cybermenaces. Pour augmenter la prise de conscience, il est nécessaire de mettre en place des initiatives ciblées et continues, adaptées aux besoins locaux :
Journées nationales de la cybersécurité
Programmes de formation pour les entreprises :
Ateliers pratiques et séminaires : Organiser des sessions de formation en entreprise sur les cybers risques et la gestion des données sensibles, en collaboration avec des experts en cybersécurité.
Inclusion de la cybersécurité dans le système éducatif :
Permettre aux étudiants de participer aux projets cyber pour une prise en main
Création d’une hotline de sécurité numérique :
Mettre en place une ligne d’assistance téléphonique dédiée à la cybersécurité, où les citoyens et les entreprises peuvent obtenir des conseils, signaler des incidents ou poser des questions sur la protection des données.
Le Règlement Général sur la protection des données (RGPD) est souvent cité comme une référence en Europe. Quel est le niveau de conformité des entreprises sénégalaises à ce règlement, et quels sont les défis majeurs qu’elles rencontrent ?
Le niveau de conformité dans entreprises au Sénégal est très bas, certaines obéissent à la politique de leur maison mère et ne tiennent pas forcément compte de la réglementation en vigueur au Sénégal, ce qui fait que les données personnelles de nos citoyens sont sauvegardés en dehors du pays, sans une déclaration au préalable au niveau de la CDP. D’autres entreprises ignorent tout bonnement la mission de la CDP,
Dans cette optique, le Sénégal dispose-t-il d’une réglementation comparable au RGPD, et dans quelle mesure ces lois locales protègent-elles les données personnelles des citoyens sénégalais ?
Le Sénégal dispose belle et bien d’une loi sur la protection des données personnelles sous la gestion de :
La Commission de Protection des Données Personnelles (CDP) est une Autorité Administrative Indépendante (AAI) instituée par la loi n° 2008-12 du 25 janvier 2008 portant sur la protection des données à caractère personnel. Qui à diverses missions à savoir :
Mission de Veille, de Sensibilisation, de Conseils et Propositions.
Mission d’instruction de Dossiers.
Mission d’Audit, de Contrôle et d’Investigation.
Peut prononcer une sanction à l’égard d’un responsable de traitement de données à caractère personnel.
La CDP fait face à pas mal de défi parmi lesquels on peut citer :
Un Budget insuffisant pour les opérations
Un Manque de ressources humaines pour mener à bien ses missions,
La lenteur de la part des autorités à valider des derniers changements significatifs apportés sur la loi en vigueur, qui rend obligatoire la présence d’un DPO (délégué à la protection des Données) en entreprise.
Toujours sur le plan international, quelle est l’importance de la collaboration entre le Sénégal et les instances internationales pour améliorer la protection des données à l’échelle nationale ?
En 2016, le Sénégal a adhéré à la Convention 108 et à son protocole additionnel sur les flux transfrontières, le Sénégal entre dans une ère de développement d’un business éthique sur les données à caractère personnel.
La Convention 108, officiellement connue sous le nom de “Convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel”, est un traité international adopté par le Conseil de l’Europe le 28 janvier 1981. C’est le premier instrument juridique contraignant au niveau international visant à protéger les individus contre les abus potentiels liés à la collecte et au traitement de leurs données personnelles.
La collaboration entre le Sénégal et les instances internationales est cruciale pour renforcer la protection des données à l’échelle nationale. Dans un monde de plus en plus interconnecté, les enjeux de la cybersécurité et de la protection des données personnelles dépassent les frontières.
Le Sénégal est aussi membre du Réseau Africain des autorités de la Protection des Données Personnelles (RAPDP) crée à Ouagadougou en Septembre 2016.
En ce qui concerne les acteurs de la protection des données, comment le rôle du Délégué à la Protection des Données est-il perçu et intégré dans les organisations sénégalaises ?
S’il y a une chose dont les organisations ont pris conscience : c’est la nécessité d’avoir un DPO. Le DPO officie en tant que Chef d’orchestre de la Conformité en matière de la Protection des Données au sein de l’organisme qui le désigne, il sera principalement chargé d’informer et Conseiller l’organisme qui l’a désigné, ainsi que ses employés.
Le rôle du Délégué à la Protection des Données (DPD), ou Data Protection Officer (DPO), est de plus en plus reconnu et intégré dans les organisations sénégalaises, mais sa perception et son implantation varient selon le type d’organisation, son niveau de maturité numérique, et sa sensibilisation aux enjeux de la protection des données.
Le DPO occupe une position stratégique au sein de l’organisation. Son rôle consiste non seulement à s’assurer de la conformité légale, mais aussi à :
Créer une culture de la protection des données
Superviser les traitements de données
Gérer les incidents de sécurité
Pensez-vous que le Sénégal dispose d’un nombre suffisant de DPO qualifiés ?
Malheureusement NON, La CDP a recommandé l’existence de profil DPO obligatoire dans la mise à jour de la loi n° 2008-12 du 25 janvier 2008, qui tarde à être validée par les autorités.
Malgré son importance croissante, le DPO rencontre encore plusieurs défis au Sénégal :
Manque de ressources : Dans certaines organisations, le rôle du DPD est souvent mal défini ou attribué à une personne ayant déjà d’autres responsabilités, comme le responsable IT ou le directeur juridique. Cela peut limiter l’efficacité du DPD, faute de temps et de moyens pour se consacrer pleinement à la protection des données.
Faible sensibilisation : Beaucoup d’entreprises, notamment les petites et moyennes entreprises (PME), ne sont pas encore pleinement conscientes de la nécessité d’un DPO, ce qui peut retarder son intégration.
Formation insuffisante : Le rôle de DPO nécessite une connaissance approfondie des régulations nationales et internationales, ainsi qu’une expertise technique en sécurité des données. Or, il y a encore peu de formations spécialisées locales pour former des DPO compétents, ce qui peut constituer un frein à leur développement.
Pouvez-vous partager des exemples concrets où l’intervention d’un DPO a permis de prévenir ou de minimiser les risques de cybercriminalité au Sénégal ?
Je n’ai pas d’exemple au Sénégal, mais j’ai déjà collaboré avec un DPO qui était responsable de la gestion de crise suite à une violation de données, il était chargé de faire la déclaration au niveau de l’autorité compétente et de répondre aux victimes, il était aussi chargé de la mise en place des actions correctives.
Dans un autre registre le DPO avait remarqué une non-conformité sur le stockage des données personnelles dans une base de données non sécurisé, il a fait une demande d’audit sécurité et une mise à jour de la politique d’accès.
Lors d’une de vos interventions, vous avez évoqué la nécessité de créer une Agence Nationale indépendante pour la Sécurité des Systèmes d’Information. Quels seraient, selon vous, les principaux défis pour mettre en place une telle agence au Sénégal, et comment celle-ci pourrait-elle transformer la gestion de la cybersécurité.
Il plus que nécessaire et urgent d’avoir une agence qui assure la Gouvernance de Sécurité des Systèmes D’information dans ce pays, lorsque le débat est soulevé on nous parle d’existence d’une entité qui s’occupe dans problématiques de cybersécurité, laissez-moi vous dire qu’il n’en est rien
On était bien présent lors des attaques DDoS des sites du gouvernement, l’attaque de l’ARTP, de l’ASECNA et aucune entité battant pavillon sénégalais sur le sol n’a pu résoudre le problème.
Les autorités du pays n’ont pas la bonne information sur l’aspect sécuritaire de nos données sensibles. Je vous renvoie à l’article paru dans le journal de léral à la date du 1er Septembre concernant un vol d’ordinateur contenant des informations confidentielles et des communications non protégées du Président de la République à l’ambassade du Canada, ce qui extrêmement grave et si les faits sont réels un audit de sécurité d’urgence s’impose.
En regardant vers l’avenir, quels sont, selon vous, les futurs défis de la cybersécurité au Sénégal, et comment peut-on les anticiper dès aujourd’hui ?
Le Sénégal est bien situé sur la carte et nous sommes entré dans l’histoire en étant pays producteur de Pétrole et de Gaz, avec la digitalisation croissante des services financiers, des télécommunications et des administrations publiques, le Sénégal sera de plus en plus ciblé par des attaques sophistiquées telles que les ransomwares, les attaques de phishing, et les violations de données.
Nous devons avoir une culture cyber, pour pouvoir mettre en place des stratégies d’anticipation comme :
Renforcement de la surveillance des cybermenaces
Cartographie et Protection des infrastructures critiques
Développement des compétences en cybersécurité (les certifications seules ne suffisent pas, il faut de la compétence sur le terrain, et la meilleure manière est d’embarquer les étudiants de dernières années dans les projets cyber)
L’éducation et la formation pour développer des compétences locales en cybersécurité
L’amélioration du cadre législatif pour répondre aux nouvelles menaces et technologies
La collaboration internationale pour échanger des connaissances et des meilleures pratiques
L’innovation technologique pour anticiper les menaces et adopter des solutions de cybersécurité à la pointe de la technologie.
Enfin, que souhaiteriez-vous dire aux décideurs sénégalais concernant la priorité à accorder à la sécurité des systèmes d’information dans le cadre du développement numérique du pays ?
Une souveraineté numérique passe par la sécurité et le control total de nos données sensibles.
Il est impératif et imminent que les décideurs sénégalais fassent de la sécurité des systèmes d’information une priorité nationale dans leur stratégie de développement numérique. Cela garantira non seulement la réussite des initiatives de transformation digitale, mais aussi la protection de l’économie, des citoyens et de la souveraineté numérique du pays face aux menaces.
Cellule Group vous donne rendez-vous à Dubaï du 7 au 18 Octobre pour une formation sur la Stratégie de Sécurité des Données Sensibles / le RGPD / Rôle et Fonctions du DPO
(Source : Seneweb, 10 septrembre 2024)