Dans un contexte de cybermenaces en pleine expansion, le Nigeria s’apprête à imposer aux entreprises une obligation de divulgation des attaques. Une initiative qui pourrait bien marquer un tournant dans la lutte contre la cybercriminalité en Afrique.
La National Information Technology Development Agency (NITDA), l’autorité nigériane de régulation technologique, entend briser le tabou entourant les cyberattaques. Kashifu Abdullahi, son directeur général, a souligné lors du GITEX Africa au Maroc le 9 avril dernier que les organisations doivent désormais partager les incidents de sécurité ou, à défaut, transmettre des renseignements. Une nécessité face à l’évolution rapide du paysage cyber, marqué par l’essor de l’intelligence artificielle et l’interconnexion croissante des systèmes.
Une culture du silence préjudiciable Les attaques ciblant les institutions financières et les agences gouvernementales se multiplient, comme en témoigne l’incident récent touchant la Corporate Affairs Commission. Pourtant, le taux de déclaration des fraudes reste alarmement faible : seulement 37 % des institutions financières ont signalé des incidents en 2023, selon les données de la Nigeria Inter-Bank Settlement System (NIBSS). Le Financial Institutions Training Centre (FITC) a quant à lui recensé 14 697 incidents de fraude au troisième trimestre 2025, pour un montant total de 5,26 milliards de nairas (3,81 millions de dollars).
Abdullahi explique cette réticence à communiquer par des préoccupations d’image, désormais obsolètes dans un écosystème numérique interconnecté. « Lorsque des attaquants exploitent une faille chez une banque pour ensuite accéder à d’autres systèmes comme Remita, l’idée que le silence préserve la réputation doit être abandonnée », déclare-t-il.
Vers un cadre de cybersécurité coordonné La NITDA collabore avec le Bureau du Conseiller à la Sécurité Nationale et le Ministère des Communications pour renforcer la coordination entre les acteurs publics et privés. Le ministre Bosun Tijani a annoncé en avril 2026 la création d’un conseil de coordination en cybersécurité, chargé de mettre en place un cadre national de résilience cyber basé sur la responsabilité, le partage d’informations et l’alignement des politiques.
De son côté, la Banque centrale du Nigeria a lancé le 30 mars un outil d’auto-évaluation de la cybersécurité (CSAT), obligeant les institutions financières à évaluer leur préparation face aux menaces. Une initiative qui reconnaît officiellement l’IA comme outil de lutte contre la criminalité financière.
Dans le sillage des régulations internationales Cette approche s’inscrit dans une tendance mondiale vers l’obligation de divulgation des violations. En Europe, le RGPD impose aux organisations de notifier les utilisateurs en cas de risque élevé. En Afrique, l’Algérie exige une déclaration sous 5 jours, tandis que le Kenya impose un délai de 48 heures. La loi sud-africaine POPIA va plus loin en obligeant les notifications aux régulateurs et aux personnes concernées.
Selon le Fonds monétaire international, un renforcement des mécanismes de déclaration et de partage d’informations entre institutions financières améliorerait significativement la résilience collective face aux cybermenaces. En adoptant cette transparence forcée, le Nigeria pourrait bien durcir les conditions d’exploitation de son système financier par les cybercriminels.
Un virage stratégique pour la sécurité numérique Cette initiative marque un tournant dans la stratégie de cybersécurité nigériane. En imposant une culture de transparence, les régulateurs espèrent créer un environnement où le partage d’informations deviendra la norme plutôt que l’exception. Une approche qui pourrait servir de modèle à d’autres pays africains confrontés à des défis similaires en matière de cybersécurité.