Au Sénégal, vous dirigez une PME dans une grande ville ou une zone plus rurale. Vous avez un site web, des comptes de mobile money, peut‑être un petit serveur ou un logiciel de gestion.
Et la cybersécurité ? « C’est pour les grands comptes, pas pour moi. Je n’ai rien d’intéressant à me faire voler. »
C’est exactement ce que pensent 90 % des chefs d’entreprise sénégalais. Et c’est pourquoi ils sont des cibles faciles. En Afrique, la menace est bien réelle. Selon le baromètre 2025 d’un centre d’expertise en cybersécurité, près de 50 % des organisations ont subi une cyberattaque récente, et les cas de rançongiciels ont bondi de 47 %, ciblant en particulier les PME. Usurpation de comptes de mobile money, arnaques au faux fournisseur, rançongiciels… les attaquants savent que les PME ne sont pas protégées.
Trois idées reçues reviennent chaque semaine.
D’abord : « Je suis trop petit pour qu’on s’intéresse à moi. » C’est faux.
Les hackers automatisent leurs attaques. Ils scannent des milliers d’entreprises, grandes ou petites. Votre vulnérabilité est votre carte d’invitation.
Ensuite : « J’ai un antivirus, ça suffit. » Non.
Un antivirus ne bloque ni un phishing par WhatsApp, ni une attaque sur votre compte de mobile money, ni un vol de session via un mot de passe faible.
Enfin : « La cybersécurité coûte trop cher. »
Le coût d’une attaque pour une PME sénégalaise se situe entre 2 et 10 millions FCFA (perte d’exploitation, rançon, réputation). À l’inverse, une protection de base – formations des employés, double authentification, sauvegardes déconnectées – peut être mise en place avec un budget très accessible, bien inférieur au coût d’une attaque.
Voici trois conseils actionnables, même avec un petit budget. Activez la double authentification partout. Sur votre boîte mail professionnelle, sur votre compte mobile money pro, sur votre logiciel de facturation, et sur vos réseaux sociaux professionnels. C’est gratuit et cela bloque 99,9 % des attaques par mot de passe volé. Sauvegardez hors ligne et hors site. Vous utilisez un disque dur externe ? Il ne doit pas rester branché à l’ordinateur, sinon un rançongiciel le chiffrerait aussi.
La bonne pratique : une sauvegarde quotidienne sur un disque que vous débranchez, et une copie hebdomadaire sur un cloud sécurisé (auprès d’un prestataire local ou international avec chiffrement). Testez la restauration une fois par mois.
Formez votre équipe – vingt minutes suffisent. Le plus grand risque, c’est un clic. Envoyez un faux SMS de phishing à vos collaborateurs (avec leur accord) pour leur montrer la faille. Règles simples : ne jamais donner son mot de passe par téléphone, même si la personne prétend être du support d’un opérateur ; vérifier les numéros de mobile money avant tout paiement ; signaler tout message avec une faute d’orthographe ou une urgence factice.
Prenons un cas concret. Il y a quelques mois, un client nous contacte : sa gérante a reçu un appel d’une personne se présentant comme un technicien de son opérateur de mobile money. Sous prétexte de « sécuriser son compte suite à une tentative de fraude », on lui a demandé de donner un code reçu par SMS. Elle a failli le donner. Ce qui l’a sauvée ? Une seule règle que nous avions rappelée à toute l’équipe : « Ne communiquez jamais un code reçu par SMS, même si la personne dit travailler pour l’opérateur. » Voilà la cybersécurité des PME : ce ne sont pas des pare‑feu à 10 millions, ce sont des habitudes simples, appliquées chaque jour.
Au Sénégal, c’est la Direction générale du Chiffre et de la Sécurité des Systèmes d’Information (DCSSI) qui joue le rôle d’autorité nationale en matière de cybersécurité. Bien que son site internet ne propose pas encore de guide dédié aux PME, la DCSSI mène des actions de sensibilisation et d’assistance technique pour sécuriser les systèmes d’information des acteurs économiques, notamment via sa Direction Ingénierie et Expertise . Vous pouvez la contacter directement ou consulter son portail pour vous tenir informé des futures publications. Par ailleurs, des associations professionnelles organisent régulièrement des ateliers de sensibilisation dans la capitale. Enfin, plusieurs opérateurs télécoms locaux commencent à proposer des offres de sécurité basiques adaptées aux PME. Ces offres sont encore récentes et évoluent selon les retours des entreprises, mais elles constituent une première réponse accessible.
Vous pensez que la cybersécurité est un non‑sujet ? Attendez la première attaque. Le rançongiciel, le virement frauduleux, le compte professionnel piraté depuis des années. Ce n’est pas une question de destin, c’est une question d’anticiper.
