Le 7 avril 2025, la Banque Sunu, anciennement BICIS, a été la cible d’une cyberattaque ayant entraîné le détournement de plus de 211 millions FCFA (environ 320 000 euros). Des comptes de clients, dont des professionnels comme des notaires et pharmaciens, ont été visés. L’attaque est survenue dans un contexte sensible de migration informatique. L’enquête en cours met en lumière un réseau criminel organisé et interroge la capacité des institutions bancaires africaines à sécuriser leurs infrastructures numériques face à des menaces de plus en plus complexes.
Une brèche informatique exploitée lors d’une migration
La cyberattaque s’est produite alors que la Banque Sunu procédait à une migration de son système informatique, passant de l’application Connexis à une nouvelle plateforme baptisée « My Sunu Corporation ». Cette phase de transition aurait exposé des vulnérabilités critiques. Selon des experts cités dans la presse sénégalaise, les périodes de migration sont particulièrement sensibles, les nouveaux systèmes étant parfois mal configurés ou insuffisamment protégés au départ.
Les auteurs de l’attaque ont ainsi réussi à s’introduire dans les systèmes de la banque pour initier des virements frauduleux. Les fonds ont été dispersés sur plusieurs comptes appartenant à des prête-noms, puis partiellement convertis en USDT, une cryptomonnaie adossée au dollar. Ce procédé, devenu courant dans les opérations de blanchiment numérique, a compliqué les efforts de traçabilité des autorités.
Une enquête révèle un réseau criminel organisé
L’enquête, menée par la Section de recherches de Dakar, a permis l’arrestation de plusieurs suspects. Parmi eux, Khadim Khouma, gérant d’une entreprise non agréée, aurait mis à disposition des comptes pour recevoir les fonds détournés. Son employé, Modou Diom, aurait joué un rôle d’intermédiaire en collectant des coordonnées bancaires. Le principal suspect, Sunday Akamibé, ressortissant nigérian présumé à la tête du réseau, est actuellement en fuite. Une perquisition dans ses locaux a permis la saisie de liquidités et de stupéfiants, suggérant une possible connexion entre cybercriminalité et trafic de drogue.
D’autres personnes, dont des commerçants et des responsables de points de transfert d’argent, sont activement recherchées. L’affaire met en évidence la sophistication croissante des réseaux criminels opérant dans la sous-région, mêlant activités numériques, blanchiment et trafic illicite.
Réactions judiciaires et poursuites engagées
Le parquet financier de Dakar a ouvert une information judiciaire pour plusieurs infractions graves, incluant l’intrusion frauduleuse dans un système informatique, le vol aggravé, le blanchiment de capitaux et le trafic de stupéfiants. Les personnes interpellées devaient être présentées devant le juge le 24 juin 2025. Les autorités judiciaires n’excluent pas un élargissement de la procédure à l’international, en particulier pour retrouver le suspect principal présumé.
Conséquences pour la Banque Sunu et le secteur bancaire
Cet incident a fragilisé la confiance des clients, notamment des professions réglementées, dont les comptes ont été ciblés. À ce jour, la Banque Sunu n’a pas publié de communiqué officiel détaillant l’ampleur des pertes ni les mesures envisagées. Toutefois, des analystes estiment que la banque devra non seulement renforcer ses dispositifs de sécurité numérique, mais également restaurer sa réputation par des actions concrètes, telles que des audits indépendants ou des indemnisations.
Ce cas souligne plus largement la vulnérabilité des banques africaines face aux menaces cyber. Selon un rapport de l’Union africaine et de la Commission économique pour l’Afrique, près de 90% des institutions financières du continent ne disposent pas de protocoles de cybersécurité conformes aux standards internationaux, tels que la norme ISO/IEC 27001.
Cryptomonnaies et blanchiment : une équation difficile à résoudre
L’utilisation de cryptomonnaies, comme l’USDT, dans le transfert de fonds frauduleux pose un défi grandissant aux régulateurs africains. Bien qu’encore marginales, ces monnaies numériques sont de plus en plus employées dans des circuits informels. Au Sénégal, les autorités surveillent avec inquiétude l’essor des transactions non bancarisées et les failles des mécanismes de vérification d’identité (KYC – Know Your Customer).
La Banque Centrale des États de l’Afrique de l’Ouest (BCEAO) pourrait être amenée à renforcer ses lignes directrices en matière de régulation des crypto-actifs, en lien avec les dispositifs de lutte contre le blanchiment et le financement du terrorisme.
Une prise de conscience nécessaire pour le secteur
L’affaire Sunu constitue un signal d’alerte pour l’ensemble du secteur bancaire ouest-africain. Face à l’accélération de la digitalisation, les établissements financiers doivent non seulement moderniser leurs outils, mais aussi sécuriser l’ensemble de la chaîne informatique, depuis les serveurs jusqu’aux terminaux clients. Tests de vulnérabilité, audits de code, formation du personnel et sensibilisation des clients aux techniques de hameçonnage (phishing) sont autant de chantiers prioritaires.
À travers cet incident, c’est toute la question de la souveraineté numérique et de la capacité des États à anticiper les menaces cyber qui est posée. La coopération entre autorités judiciaires, régulateurs bancaires et acteurs technologiques devient plus que jamais indispensable.
