VEILLE ACTIVE·
Accueil/Analyses/GH·THREAT-AF
THREAT-AFGH494AFRAnalyse

Operation Sentinel : ce que 574 arrestations disent de la cybercriminalité africaine

INTERPOL a coordonné Operation Sentinel dans 19 pays africains, avec 574 arrestations, 3 millions de dollars récupérés, plus de 6 000 liens malveillants désactivés et six variantes de rançongiciels déchiffrées. Au-delà des chiffres, l'opération montre que la cybercriminalité africaine se traite désormais comme une infrastructure à démanteler.

Publié le

4 juin 2026

Lecture

~4 min

Score Afrique

94AFR

Sévérité

4

Partager

Salle d'opérations cyber africaine avec analystes et infrastructure réseau.
Image éditoriale générée par IA

Une opération africaine, pas un simple communiqué de police

Operation Sentinel, coordonnée par INTERPOL du 27 octobre au 27 novembre 2025, a mobilisé 19 pays africains contre trois familles de menaces : les escroqueries aux faux ordres de virement, l'extorsion numérique et les rançongiciels. Le bilan public est significatif : 574 arrestations, 3 millions de dollars récupérés, plus de 6 000 liens malveillants désactivés et six variantes de rançongiciels déchiffrées.

Ces chiffres ne doivent pas être lus comme une victoire ponctuelle. Ils signalent plutôt une transformation du problème : la cybercriminalité africaine n'est plus seulement une succession d'affaires isolées. Elle fonctionne par infrastructures, liens frauduleux, portefeuilles, scripts, comptes mules, groupes de messagerie, hébergements et chaînes de blanchiment. La réponse devient donc elle aussi infrastructurelle.

Ce qui a été documenté

INTERPOL indique qu'Operation Sentinel s'inscrit dans l'African Joint Operation against Cybercrime, avec un financement du Royaume-Uni et l'appui du projet GLACY-e de l'Union européenne et du Conseil de l'Europe. L'opération ciblait des menaces déjà identifiées comme croissantes dans l'évaluation 2025 des cybermenaces en Afrique : BEC, extorsion numérique et ransomware.

Le communiqué cite un cas au Ghana où une institution financière a subi une attaque par rançongiciel chiffrant 100 téraoctets de données et entraînant le vol d'environ 120 000 dollars, avec perturbation de services critiques. Il cite aussi des réseaux de fraude et d'extorsion opérant dans plusieurs pays. Les détails techniques de chaque arrestation ne sont pas publics ; il faut donc éviter d'attribuer à un même groupe toutes les affaires traitées par l'opération.

Pourquoi c'est important pour les organisations africaines

La valeur d'Operation Sentinel est d'abord opérationnelle. Une entreprise africaine victime de BEC ou de ransomware n'est souvent qu'un point dans une chaîne transfrontalière : l'e-mail vient d'un domaine compromis, le paiement part vers une mule locale, l'infrastructure est hébergée ailleurs, les victimes sont dispersées, et les acteurs changent d'identité selon les plateformes. Une enquête strictement nationale voit rarement toute la chaîne.

La coordination policière réduit cette asymétrie. Quand les forces de l'ordre partagent indicateurs, liens, comptes, portefeuilles et modes opératoires, elles peuvent relier des incidents qui paraissent mineurs séparément. Pour les RSSI, banques, fintechs et opérateurs, cela signifie que le signalement n'est pas seulement une obligation administrative : c'est une donnée d'intelligence qui peut contribuer à faire tomber une infrastructure plus large.

Le cas du Ghana comme avertissement financier

L'exemple ghanéen est particulièrement instructif. Une institution financière qui voit 100 To de données chiffrées ne fait pas face à un simple incident informatique. Elle doit gérer continuité de service, risque de fraude, confiance des clients, obligations réglementaires, négociation éventuelle, restauration et communication. Le montant volé, environ 120 000 dollars selon INTERPOL, n'est qu'une partie du dommage.

Pour les banques et fintechs africaines, le risque principal est systémique : un incident dans une institution peut affecter paiements, recouvrement, agents, API de partenaires et services clients. Le secteur financier africain a investi massivement dans l'expérience utilisateur et la vitesse de transaction ; il doit investir avec la même discipline dans la restauration, la segmentation et la traçabilité.

Ce que les États doivent retenir

Les opérations INTERPOL montrent qu'une capacité continentale se construit, mais aussi que les écarts restent importants. Les pays disposant d'unités cyber, de CERT actifs, de points de contact judiciaires et de procédures de gel des fonds profitent davantage de ces opérations. Les autres risquent de devenir des zones de rebond pour les infrastructures criminelles.

Les gouvernements devraient donc considérer les opérations coordonnées comme un test de maturité. Peut-on recevoir un indicateur et agir en quelques heures ? Peut-on identifier un compte mule, préserver la preuve et bloquer des fonds ? Peut-on demander rapidement des données à un hébergeur ou à une plateforme étrangère ? Peut-on communiquer sans compromettre l'enquête ? Ces capacités comptent autant que l'achat d'outils de cybersécurité.

Le rôle des victimes dans la réponse collective

Un point reste souvent sous-estimé : la qualité du signalement initial. Beaucoup d'organisations hésitent à déclarer une fraude par peur de réputation, de sanction ou de complexité administrative. Pourtant, dans une opération comme Sentinel, un domaine frauduleux, un numéro de compte, une adresse de portefeuille ou un message d'extorsion peut devenir un lien entre plusieurs affaires. Le silence d'une victime protège rarement l'organisation ; il protège surtout l'infrastructure criminelle qui continuera à servir contre d'autres.

Recommandations pratiques

  • Les organisations devraient signaler rapidement BEC, extorsion et ransomware avec domaines, adresses IP, portefeuilles, comptes bancaires et captures horodatées.
  • Les banques et fintechs devraient créer des canaux de gel d'urgence avec les unités cyber et les cellules de renseignement financier.
  • Les CERT nationaux devraient publier des bulletins post-opération anonymisés pour transformer les arrestations en apprentissage défensif.
  • Les conseils d'administration devraient suivre le temps de restauration et le temps de signalement, pas seulement le montant perdu.
  • Les États devraient intégrer les procureurs, régulateurs financiers et autorités de protection des données aux exercices cybercrime.

Conclusion

Operation Sentinel confirme que la cybercriminalité africaine est devenue un phénomène organisé, transfrontalier et industrialisé. La réponse ne peut pas rester dispersée. Les arrestations sont importantes, mais l'enjeu durable est ailleurs : transformer chaque incident signalé en renseignement exploitable, chaque infrastructure démantelée en leçon défensive, et chaque opération régionale en capacité permanente.

— ◆ —

Sources

À lire ensuite

THREAT-AF

Ransomware dans les hôpitaux d'Afrique de l'Ouest : le secteur santé sous pression