Fuites de données en Afrique : une réalité silencieuse qui pourrait exploser

La question qui dérange

En janvier 2026, la France a enregistré 250 millions de données personnelles exposées. En mars 2026, Standard Bank — l'une des plus grandes banques d'Afrique — subissait une exfiltration de 1,2 téraoctet de données clients, avec publication progressive en ligne. En avril 2026, MTN Group confirmait une intrusion affectant ses clients dans plusieurs pays africains.

Ces incidents africains sont réels. Ils sont documentés. Mais ils occupent une fraction infime de l'espace médiatique et analytique consacré aux fuites de données, comparé à ce que génèrent des incidents similaires en Europe ou en Amérique du Nord.

La question s'impose : est-ce parce que l'Afrique est moins touchée par les violations de données ? Ou parce qu'elle n'a pas encore les mécanismes — juridiques, institutionnels, médiatiques — pour les voir, les mesurer et en parler ?

Ce qui est documenté : trois cas récents

Standard Bank : 1,2 To et une enquête du régulateur

Le 23 mars 2026, Standard Bank — présente dans 20 pays africains — révèle un accès non autorisé à des données clients. Noms, numéros d'identité, coordonnées et numéros de compte figurent parmi les données compromises. Dans les semaines suivantes, 1,2 téraoctet de données issues d'une attaque simultanée contre Standard Bank et Liberty sont progressivement publiées en ligne, au fil de "data dumps" quotidiens.

L'Information Regulator sud-africain, chargé de l'application du POPIA (Protection of Personal Information Act), ouvre une enquête formelle et demande des comptes à la banque sur ses contrôles d'accès, son authentification, son chiffrement et ses systèmes de détection d'intrusion. C'est précisément ce que prévoit le POPIA — mais cette loi ne s'applique qu'en Afrique du Sud. Les 19 autres pays d'opération de Standard Bank ont des cadres de protection des données très variables.

FlySafair : des données passagers exposées lors d'une vente flash

Le 6 mai 2026, la compagnie aérienne FlySafair lance une vente promotionnelle à 12 rands le billet. Une vulnérabilité technique dans le système de chat accompagnant la vente expose publiquement, pendant quelques heures, les noms et adresses e-mail des clients participant à la promotion. L'incident est limité en durée mais illustre un phénomène courant : les vulnérabilités émergent souvent lors de pics de trafic, quand les systèmes sont le plus sollicités et les équipes le plus sous pression.

MTN : 288 millions d'abonnés, un incident discret

Nous avons traité séparément l'incident MTN d'avril 2026. Ce qui mérite d'être souligné ici, c'est le contraste entre l'ampleur potentielle — MTN opère dans 18 pays africains avec 288 millions d'abonnés — et la discrétion relative avec laquelle l'incident a été traité dans l'espace public africain. Aucune sanction régulatrice n'a été annoncée dans la majorité des marchés concernés.

Pourquoi l'Afrique sous-déclare ses fuites

Plusieurs mécanismes expliquent cette invisibilité.

L'absence d'obligation légale dans la majorité des pays. En Europe, le RGPD impose une notification à l'autorité de protection des données dans les 72 heures suivant la découverte d'une violation. En Afrique, seuls quelques pays ont des obligations similaires : l'Afrique du Sud avec le POPIA, le Kenya avec le Data Protection Act de 2019, le Rwanda, le Ghana, et quelques autres. Dans la grande majorité des 54 États africains, il n'existe pas d'obligation légale de déclarer une violation de données. Si on n'est pas obligé de parler, on ne parle pas.

La culture du silence dans les entreprises et administrations. Dans de nombreux contextes africains, une violation de données est perçue avant tout comme un risque réputationnel à minimiser, et non comme un incident à gérer transparentement. Les conseils d'administration et les directions générales privilégient la discrétion, parfois encouragés par des conseils juridiques mal adaptés aux réalités de la cybersécurité moderne.

Le manque de capacité de détection. On ne déclare pas ce qu'on ne détecte pas. La plupart des organisations africaines — y compris dans le secteur financier — n'ont pas de SOC (Security Operations Center) opérationnel, ni de capacité de surveillance en temps réel de leurs flux de données. Une exfiltration massive peut passer inaperçue pendant des semaines ou des mois. C'est exactement le scénario qui s'est produit dans de nombreux cas documentés en Occident avant la généralisation des outils de détection.

L'absence de recherche en sécurité locale. En Europe et en Amérique du Nord, un écosystème dense de chercheurs en sécurité, de journalistes spécialisés, de plateformes de suivi des violations (Have I Been Pwned, breach monitoring services) contribue à rendre les incidents visibles même quand les organisations ne les déclarent pas. En Afrique, cet écosystème est embryonnaire. Il existe — TechCabal, TechPoint Africa, Africa Cybersecurity Mag publient des enquêtes de qualité — mais il manque encore de masse critique et de moyens.

Est-ce que les mêmes attaques arrivent en Afrique ?

La réponse courte est : oui. Les ransomwares, les attaques par phishing, les SIM swaps, les violations via des tiers de confiance — toutes ces techniques documentées en Europe touchent également les organisations africaines. Les groupes cybercriminels ne se limitent pas géographiquement. Ils vont là où il y a de la valeur à extraire et des défenses plus faciles à franchir.

Plusieurs signaux le confirment. Les données du marché noir montrent régulièrement des bases de données africaines en vente sur des forums comme Breach Forums ou des marchés du dark web, provenant de violations non déclarées publiquement. Les chercheurs en sécurité qui surveillent ces espaces voient des données d'institutions africaines — banques, administrations, opérateurs télécoms — proposées à la vente, sans que les organisations concernées aient jamais communiqué sur un incident.

Le modèle « extortion-only » — exfiltrer sans chiffrer, menacer de publier, négocier en silence — est particulièrement adapté à des contextes où les organisations préfèrent payer discrètement plutôt que d'admettre publiquement une violation. Certains experts pensent que ce type d'extorsion silencieuse est déjà significativement plus répandu en Afrique que les chiffres publics ne le suggèrent.

Ce qui est en train de changer

Des signaux positifs existent. L'Union africaine a adopté la Convention de Malabo, même si sa ratification reste limitée. Plusieurs pays ont adopté ou renforcé leurs lois de protection des données ces trois dernières années. L'Information Regulator sud-africain montre qu'une autorité de régulation peut exercer une pression réelle sur les grandes organisations — l'enquête sur Standard Bank en est l'illustration.

Interpol, via son projet Africa Cyber Surge, contribue à structurer la coopération régionale sur la cybercriminalité. Des initiatives comme AUDA-NEPAD et les CERT nationaux en développement dans plusieurs pays commencent à constituer une infrastructure de réponse aux incidents.

Mais la trajectoire actuelle n'est pas suffisamment rapide par rapport à la vitesse de numérisation du continent.

Ce qu'il faut faire maintenant

Pour les gouvernements : adopter des lois de protection des données avec obligation de notification, créer ou renforcer des autorités de contrôle indépendantes, financer des CERT nationaux opérationnels.

Pour les organisations : investir dans la détection avant d'investir dans la communication de crise. Un incident détecté en deux heures est gérable ; un incident détecté six mois après est une catastrophe.

Pour les médias et la société civile : développer la capacité d'investigation sur les incidents de sécurité, construire des outils de suivi des violations adaptés au contexte africain, normaliser la couverture de ces sujets.

Pour les citoyens : comprendre que leurs données ont de la valeur, que leur protection n'est pas garantie, et exiger des comptes aux organisations qui les détiennent.

Conclusion

L'Afrique n'est pas une exception numérique. Elle est soumise aux mêmes menaces, aux mêmes vecteurs d'attaque, aux mêmes groupes cybercriminels que le reste du monde. Ce qui la distingue aujourd'hui, c'est le silence : moins de lois, moins de déclarations, moins de médias spécialisés, moins de recherche publique sur les incidents.

Ce silence n'est pas une protection. C'est une dette qui s'accumule. Et comme toutes les dettes cyber, elle se paie avec intérêts.

— ◆ —