Pour la première fois, le Bénin publie un rapport national sur les vulnérabilités et incidents numériques, couvrant la période 2021-2024. Ce document, inédit par sa portée et sa méthodologie, dresse un état des lieux sans complaisance du paysage cyber béninois. Il met en lumière les principales failles identifiées dans les administrations publiques et les opérateurs d’infrastructures critiques, tout en esquissant les fondements d’une gouvernance plus proactive.

A l’initiative de l’Agence des Systèmes d’Information et du Numérique (ASIN), ce document, rendu public le mercredi 25 juin 2025, s’inscrit dans une dynamique de transparence que les pays africains les plus avancés sur ces questions (le Maroc, le Kenya ou l’Afrique du Sud) ont déjà adopté. Pour le cas du Bénin, les chiffres sont sans appel. La progression des vulnérabilités est nette, alors même que seulement 55% des secteurs économiques ont été couverts. Un constat qui laisse présager des risques encore largement sous-estimés, en particulier dans les domaines en phase de digitalisation rapide comme le tourisme, les transports ou les services de l’eau.

En effet, l'une des failles les plus fréquemment relevées concerne la configuration défaillante des équipements. Sur les 878 vulnérabilités recensées au total, 296 sont directement liées à des erreurs de paramétrage. Parmi elles, les plus critiques incluent les accès non autorisés (Broken Access Control, 41 cas), les fuites de données sensibles (26 cas), les failles d’authentification (24 cas), l’exécution de code à distance (23 cas) ou encore des attaques par injection SQL (18 cas). Comme l’explique Marc-André Loko, directeur général de l’ASIN, un pare-feu mal paramétré devient un simple élément décoratif, incapable de remplir sa fonction protectrice. «Il ne suffit pas d’acheter les bons outils; encore faut-il avoir les ressources humaines pour les configurer, les exploiter et les faire évoluer», a-t-il insisté. À cela s’ajoute un déficit de compétences internes, notamment chez les petits opérateurs publics. Dans le même esprit, Ouanilo Medegan Fagla, directeur du Centre National des Investigations Numériques (CNIN), a rappelé que toutes les vulnérabilités ne se valent pas. Une faille dite critique peut offrir un accès total à un attaquant, avec des conséquences potentiellement dramatiques selon la nature du système ciblé. Une brèche sur un site institutionnel peut paraître anodine face à une intrusion sur une centrale électrique comme celle de Maria-Gléta. «L’impact d’une faille ne dépend pas seulement de sa gravité intrinsèque, mais de l’environnement dans lequel elle se manifeste», a-t-il souligné.

Le rapport recense par ailleurs, 832 cas de fuites de mots de passe, concentrés dans les secteurs de la finance (406) et du service public (226) et identifie des incidents majeurs tels que des infections par malware (23), le piratage de sites web (12) ou l’activation de réseaux de botnets (7). La cause est souvent la même: logiciels obsolètes, absence de correctifs, négligence dans la gestion des droits et permissions (142 occurrences) ou simple manque de sensibilisation.

Les secteurs les plus touchés sont logiquement ceux les plus digitalisés: la finance en tête, suivie de l’administration publique et des opérateurs du numérique. Face à cette situation, le gouvernement béninois a renforcé le cadre réglementaire à travers une Politique de Sécurité des Systèmes d’Information de l’État (PSSIE), qui impose des exigences strictes dès la conception des systèmes. Des tests de sécurité avant chaque mise en production, une validation obligatoire par des autorités compétentes et un système de sanctions en cas de manquements. Autant de leviers qui visent à créer une discipline durable. Et cette exigence s’applique aussi au secteur privé. Pourtant, les audits menés révèlent des taux de conformité allant de 6% à 87%, avec des lacunes persistantes dans la gouvernance, la gestion des actifs, la sécurité réseau ou encore la sensibilisation du personnel.

Pour la détection des menaces, le Bénin s’est doté d’un Security Operations Center (SOC) au sein du BJCSIRT. Des sondes installées sur les infrastructures critiques permettent une surveillance en temps réel, capable d’identifier des comportements anormaux, comme une tentative de connexion nocturne depuis l’étranger. Mais la cybersécurité ne repose pas uniquement sur les outils. Les témoignages d’acteurs comme  Aristide Adjinacou, directeur général de l’ANIP, soulignent l’importance du facteur humain. Selon lui, les tests de pénétration ou de résistance sont devenus des réflexes, tant les projets pilotés par son institution sont sensibles. La rigueur des équipes de l'ASIN et leur capacité à accompagner avec méthode constituent aujourd’hui un maillon essentiel de la sécurité des projets publics.

Le facteur humain reste pourtant le talon d’Achille du système. Trop d’agents publics utilisent encore des adresses Gmail ou Yahoo pour leurs communications professionnelles, exposant les institutions à des risques évitables. À ce sujet, Marc-André Loko est catégorique: un email professionnel est un prérequis. Il milite pour l’adoption de solutions souveraines comme la messagerie Begicolab, développée pour les petites structures. Cette culture de la cybersécurité passe aussi par la formation: depuis plus d’un an, un programme trimestriel de sensibilisation obligatoire a été mis en place pour tous les agents. Aucun membre de comité de direction ne peut siéger sans avoir validé ce parcours. «La sécurité doit devenir une routine, pas une exception», a-t-il tranché.

Sur le volet judiciaire, la réactivité est essentielle. Les preuves numériques sont volatiles, les attaquants agiles. D’où l’importance d’une coopération étroite entre les acteurs techniques et les juridictions spécialisées, comme la CRIET. C’est une dimension encore trop peu visible mais pourtant cruciale. De même, la coopération entre acteurs économiques reste perfectible. Plusieurs intervenants ont déploré le silence de certaines entreprises victimes, par crainte d’image ou de représailles. Or, cette rétention nuit à la construction d’une réponse collective et empêche l’émergence d’un mécanisme de partage d’informations sécurisé.

Autre défi, celui de l’inclusion linguistique. Beaucoup de citoyens restent à l’écart des campagnes de sensibilisation, faute d’accès à l’information en français. Sur ce point, le Laboratoire d’Innovation Numérique récemment lancé en partenariat avec la Fondation Gates ouvre une nouvelle voie. Le tout premier projet porte sur la synthèse vocale en langue fon. Une initiative qui pourrait être étendue à d’autres langues locales, afin de construire une cybersécurité à visage humain, ancrée dans les réalités socioculturelles.

Enfin, le secteur privé est appelé à jouer un rôle beaucoup plus actif. La qualification des Fournisseurs de Services de Sécurité Numérique (FSSN) mise en place par l’ASIN vise justement à structurer l’offre, en imposant des critères clairs et un quota d’ingénieurs béninois dans les équipes soumises. L’objectif n’est pas de se substituer au privé, mais de s’assurer qu’il contribue efficacement à la protection des actifs critiques. Une logique similaire prévaut dans la coopération avec les hyperscalers. Le Bénin travaille déjà avec Google et Microsoft, dans une perspective de souveraineté numérique intégrée aux standards internationaux.

Fortuné Dotin