Eya Rziga
Les violations de cybersécurité sont restées une épine persistante dans le pied des entreprises africaines en 2025, mais les faits marquants de l’année n’ont pas été les attaques majeures. Les institutions ont perdu le luxe de garder les violations secrètes à mesure que les cyberattaques devenaient plus difficiles à dissimuler.
Introduction
Plusieurs pays africains ont renforcé les directives de signalement des violations pour les opérateurs. Parmi eux, l’Algérie, qui a imposé un délai de 5 jours aux entreprises pour signaler les violations ou payer de lourdes amendes.
Le Kenya et l’Afrique du Sud ont également fait des progrès significatifs en obligeant les organisations à traiter les violations comme des événements publics plutôt que comme des problèmes informatiques privés.
Au Kenya, les opérateurs qui découvrent une violation potentielle sont désormais tenus d’alerter les responsables du traitement des données dans les 48 heures, et les responsables du traitement sont incités à déposer un rapport préliminaire auprès du Bureau du Commissaire à la protection des données (ODPC) dans les 72 heures, même si tous les faits ne sont pas encore connus.
Les notifications tardives doivent être justifiées, et les nouvelles directives du régulateur lient directement la faiblesse de la sécurité et la mauvaise communication à des amendes, des sanctions, et même au risque de perdre le droit de traiter des données. Pour les entreprises kenyanes, cela signifie que l’ancien instinct de « attendre d’en savoir plus » comporte désormais son propre risque réglementaire.
L’Afrique du Sud a également révisé son processus de signalement des violations. Alors que la loi sur la protection des informations personnelles (POPIA) exigeait depuis longtemps des organisations qu’elles informent à la fois le régulateur et les personnes concernées après un « compromis de sécurité », en 2025, le Régulateur de l’information a renforcé la manière dont cette obligation fonctionne en pratique.
En avril, il a imposé aux entreprises d’enregistrer les violations via un portail de signalement en ligne à l’aide d’un formulaire, obligeant les opérateurs à détailler ce qui s’est passé, quelles données ont été impliquées, ce qu’ils font pour contenir la violation et ce que les individus devraient faire pour se protéger.
Selon le Régulateur de l’information d’Afrique du Sud, il y a eu 2 374 violations signalées au cours de l’exercice financier 2024/25, dont 82 % sont survenues après avril 2025. Ce chiffre a indiqué une accélération, mais a également suggéré que la divulgation devenait inévitable.
Ailleurs, la Zambie a choisi de traiter la cybersécurité comme une question d’infrastructure critique plutôt que comme une préoccupation de back-office. En avril 2025, le pays a divisé sa loi sur la cybernétique en deux : une Loi sur la cybersécurité régissant les fournisseurs de services de sécurité et les infrastructures d’information critiques, et une Loi sur la cybercriminalité traitant des infractions et des peines.
Les opérateurs des secteurs tels que l’énergie, la banque et la finance, la santé, les transports, les pensions et assurances, les TIC, l’éducation, les mines et d’autres services désignés du secteur public peuvent désormais être classés comme contrôleurs d’« informations critiques » ou d’« infrastructures d’information critiques », les plaçant sous un réseau de surveillance plus strict.
Cette désignation s’accompagne d’obligations strictes : les contrôleurs doivent s’enregistrer auprès de la nouvelle Agence zambienne de cybersécurité, conserver les informations critiques désignées hébergées en Zambie, sauf autorisation expresse de les stocker ailleurs, et notifier rapidement à l’agence tout incident de cybersécurité perçu ou réel affectant ces systèmes ou réseaux connectés.
Ils sont également tenus de se soumettre à des audits annuels, de déposer des rapports de sensibilisation à la cybersécurité et de participer à des exercices nationaux de cyberdéfense, le non-respect étant passible d’amendes allant jusqu’à 1,2 million de ZMW (48 000 $) et, dans les cas graves, de peines de prison pouvant aller jusqu’à 10 ans.
Ces changements réglementaires ont forcé la divulgation de certaines des violations les plus importantes en 2025. À une nouvelle échelle, ils ont rendu visible la manière dont les intrusions perturbent les services clients quotidiens de manière très publique.
L’exposition comme stratégie
Si 2024 nous a apporté la malheureuse violation au Service national de laboratoire de santé (NHLS) d’Afrique du Sud, le plus grand incident de santé en 2025 a été la violation M-TIBA du Kenya en octobre.
Comme une vitrine de trophées, les pirates ont publié les données siphonées sur des chaînes Telegram publiques, un schéma utilisé pour forcer les organisations à se conformer aux demandes de rançon. Les organisations détenant des données clients sensibles sont restées des entreprises fortement ciblées en 2025.
Les entreprises de télécommunications, autrefois considérées comme résilientes en raison de leur taille, sont devenues certaines des cibles les plus lucratives. Telecom Namibia, un fournisseur public, a été discrètement paralysé par une attaque de rançongiciel en décembre 2024, avec des répercussions publiques qui se sont poursuivies en janvier 2025.
Lorsque l’entreprise a refusé de payer, les attaquants ont divulgué des données de facturation sensibles appartenant à de hauts fonctionnaires du gouvernement dans le but de forcer la conformité.
Conclusion
Le 8 janvier, des pirates ont frappé l’opérateur mobile Cell C avec une violation de cybersécurité, des rapports indiquant que les auteurs, RansomHouse, avaient « illégalement divulgué l’incident » et publié des données clients volées sur le dark web, les exposant à la fraude et à l’extorsion.
En avril, le groupe MTN a divulgué une violation de données affectant ses abonnés sud-africains. Au Ghana, au moins 5 700 clients de MTN ont été directement affectés par une violation
