Phishing au Sénégal : un sport national des cybercriminels en 2026
Le phishing est la porte d'entrée n°1 (62 % des incidents observés au Sénégal en 2024-2025). Plus efficace que toute attaque technique, il exploite directement l'humain. Plus la PME grandit, plus les employés visés se multiplient, plus la surface d'attaque grandit.
Bonne nouvelle : le phishing est la menace la plus facile à réduire significativement. Un programme bien conçu (formation + simulations + technique) baisse le taux de clic phishing de 30 % à moins de 5 % en 12 mois.
J'ai déployé ce programme chez 8 PME sénégalaises. Voici la méthode complète.
H2 : Reconnaître un email de phishing en 10 secondes
Signe 1 — Faute d'orthographe ou de grammaire. "Votre compte a été compromit", "Cliquez ici pour réinitialisé". Les pirates traduisent souvent depuis l'anglais ou utilisent des outils approximatifs.
Signe 2 — URL bizarre. Survoler le lien (sans cliquer) affiche l'URL réelle. "uba-senegal.com" légitime vs "uba-sn.security-login.tk" frauduleux. Méfiance pour .tk, .ml, .xyz, .top peu utilisés par les banques. Méfiance aussi pour les sous-domaines trompeurs : "ubasenegal.com.phishingsite.com" pointe vers phishingsite.com pas ubasenegal.com.
Signe 3 — Urgence factice. "Votre compte sera bloqué dans 24h !", "Action requise immédiatement", "Dernier rappel". Les institutions sérieuses laissent du temps. L'urgence court-circuite la réflexion.
Signe 4 — Expéditeur usurpé. "UBA Sécurité" depuis "security-uba@protonmail.com" au lieu d'un domaine @uba.sn. Vérifier le domaine email exact, pas juste le nom affiché.
Signe 5 — Demande inhabituelle. Votre banque ne vous demandera JAMAIS votre mot de passe par email. La DGID ne vous demandera pas de payer par crypto. Le service IT ne vous demandera pas votre mot de passe Office 365 par email.
Signe 6 — Pièce jointe suspecte. .exe, .zip, .iso, fichier Office macro-activé (.docm, .xlsm). Les vraies factures sont en PDF non protégé.
Signe 7 — Salutation générique. "Cher client", "Bonjour" au lieu de votre vrai nom. Si votre banque a votre nom, elle l'utilise.
Signe 8 — Logo ou mise en page légèrement décalée. Couleurs UBA légèrement différentes, logo flou, polices incohérentes.
Signe 9 — Domaine d'envoi récent. Outils en ligne (whois, urlscan.io) permettent de vérifier l'âge du domaine. Domaine créé hier = très suspect.
Signe 10 — Faux contexte légal ou fiscal. "Remboursement DGID en attente", "Rappel COSEC sécurité sociale", "Notification Trésor public". Vérifier toujours via les canaux officiels.
H2 : Programme de formation phishing en 4 étapes
Étape 1 — Audit initial (baseline). Envoyer une simulation phishing à toute l'équipe sans préavis. Mesurer le taux de clic. Médiane PME sénégalaise non formée : 28-42 %.
Étape 2 — Formation initiale (1h tous employés). Module vidéo + ateliers pratiques. Reconnaître les 10 signes, procédure d'alerte (bouton "Signaler phishing" Outlook / Gmail), exemples réels Sénégal.
Étape 3 — Simulations mensuelles automatisées. Outil dédié envoie automatiquement des faux mails phishing. Si l'employé clique : redirection vers page d'apprentissage 5 min. Si signale correctement : félicitations + statistique équipe.
Étape 4 — Reporting + amélioration continue. Tableau de bord trimestriel : taux de clic, taux de signalement, employés à risque (formation renforcée), tendances par département.
H2 : Outils — comparatif KnowBe4 vs Hoxhunt vs Microsoft
| Outil | Prix / user / an | Caractéristiques | Idéal pour |
|---|---|---|---|
| KnowBe4 | 5 500-9 500 FCFA | Leader mondial, catalogue énorme (200+ modules), simulations automatisées | PME structurées 20-500 employés |
| Hoxhunt | 9 500-15 000 FCFA | Gamification poussée, micro-apprentissage quotidien, IA adaptative | Équipes engageantes, jeunes employés |
| Microsoft Attack Simulator (M365 BP / E5) | inclus M365 BP | Simulations basiques intégrées Microsoft 365 | Si déjà sur M365 BP |
| Cofense PhishMe | 8 000-12 000 FCFA | Très bon reporting, intégration SOC | Grosses PME 100+ employés |
| Phished.io | 5 000-7 500 FCFA | Européen, RGPD natif | PME avec présence européenne |
Recommandation 2026 PME 10-50 employés. KnowBe4 si budget standard. Hoxhunt si culture employés jeunes / fortement engageante. Microsoft Attack Simulator si déjà sur M365 BP (utiliser ce qui est inclus avant d'acheter).
H2 : Protection email — SPF + DKIM + DMARC
Besoin d'un site web professionnel ?
Kolonell crée des sites web qui attirent des clients, optimisés pour le marché sénégalais. Devis gratuit en 2 minutes.
Sans ces 3 protocoles, n'importe qui peut envoyer un email "depuis" votre domaine. Conséquence : les pirates usurpent votre PDG et vos partenaires reçoivent du faux courrier signé à votre nom.
SPF (Sender Policy Framework). Enregistrement DNS qui liste les serveurs autorisés à envoyer du mail depuis votre domaine. Exemple TXT : "v=spf1 include:_spf.google.com include:spf.protection.outlook.com -all".
DKIM (DomainKeys Identified Mail). Signature cryptographique de chaque mail sortant. Les destinataires vérifient la signature. Configuration via console DNS + console mail provider (Google Workspace, Microsoft 365, Brevo).
DMARC (Domain-based Message Authentication, Reporting and Conformance). Politique d'application + reporting. Vous indiquez ce qu'il faut faire des mails qui échouent SPF/DKIM : "quarantine" (spam) ou "reject" (refuser). Exemple TXT : "v=DMARC1; p=quarantine; rua=mailto:dmarc-reports@votredomaine.sn".
Outils gratuits de vérification. mxtoolbox.com (test SPF + DKIM + DMARC), dmarcian.com (analyse rapports DMARC), Google Postmaster Tools.
H2 : Procédure d'alerte interne — qui fait quoi en cas de phishing suspecté
Si vous suspectez un mail phishing reçu.
- NE PAS cliquer sur les liens ni télécharger les pièces jointes
- Cliquer sur le bouton "Signaler phishing" (Outlook / Gmail) ou transférer le mail à phishing@votredomaine.sn
- Supprimer le mail
- Si vous avez cliqué par erreur : changer immédiatement le mot de passe concerné + alerter IT
Si vous avez fourni vos identifiants par erreur.
- Changer immédiatement le mot de passe sur le service concerné
- Changer aussi le mot de passe partout où vous utilisez ce même mot de passe (raison de plus pour ne jamais réutiliser un mot de passe)
- Activer MFA si pas déjà fait
- Alerter IT pour vérifier les connexions récentes et audit logs
FAQ
Combien de temps pour réduire le taux de clic phishing ?
3-6 mois pour passer sous 10 %. 12 mois pour passer sous 5 %. Au-delà : palier difficile car 1-3 % d'humains cliqueront toujours (fatigue, distraction). C'est pourquoi la prévention seule ne suffit pas : combiner avec MFA, EDR, et plan de réponse incident.
KnowBe4 ou Hoxhunt en 2026 ?
KnowBe4 : référence marché, contenu plus large, légèrement moins cher. Hoxhunt : gamification + IA adaptive plus modernes, mieux pour générations Y/Z, plus cher. Tester les deux en demo gratuite 30 jours avant achat.
Faut-il licencier un employé qui clique 3 fois ?
Non. Le clic phishing n'est pas une faute, c'est un symptôme d'éducation insuffisante. Sanction : formation renforcée + accompagnement individuel. Si l'employé clique 5+ fois sur 3 mois : conversation managériale + simulation supervisée.
MFA suffit-il à se protéger du phishing ?
Non. Le phishing évolué (Adversary-in-the-Middle, kits Evilginx) peut contourner le MFA TOTP. Solution avancée : passkeys (FIDO2) ou hardware key YubiKey qui résistent au phishing par design (vérification de domaine cryptographique).
SPF DKIM DMARC : combien ça coûte à déployer ?
0 FCFA en licences. Coût en temps consultant : 80 000-180 000 FCFA pour un déploiement complet PME (audit DNS actuel, configuration, période de tuning DMARC en monitoring puis durcissement vers reject, formation IT interne).
Discutons de votre cas
Si vous voulez auditer la maturité phishing de votre équipe et déployer un programme de prévention au Sénégal, nous pouvons concevoir cette mission. WhatsApp +221 77 596 93 33.
Mohamed Bah
Fondateur, Kolonell
Passionné par le digital et l'entrepreneuriat en Afrique, Mohamed accompagne les entreprises sénégalaises dans leur transformation digitale depuis 2020. Fondateur de Kolonell, il croit que chaque PME mérite une présence en ligne professionnelle et accessible.