Je viens de me rattraper sur quelque chose de très important qui se passe dans le domaine réglementaire au Nigeria, et qui ne reçoit pas assez d’attention. La NDPC enquête officiellement sur la cyberattaque contre la CAC, et honnêtement, le schéma qui émerge ici mérite qu’on y prête attention si vous opérez dans ou avec l’infrastructure financière nigériane.

Voici ce qui s’est passé. La CAC a confirmé un accès non autorisé à certaines parties de ses systèmes le 15 avril, et d’ici le 17 avril, la Commission nationale de protection des données a lancé une enquête formelle. Le Dr Vincent Olatunji, commissaire national de la NDPC, a ordonné à leur équipe technique d’examiner les contrôles d’accès, les évaluations de la confidentialité des données et les vulnérabilités de sécurité. Ils vérifient aussi les processeurs tiers connectés à l’infrastructure de la CAC. La commission traite cela sérieusement en vertu de l’article 46(3) de la Loi nigériane sur la protection des données de 2023.

Mais ce qui est intéressant, c’est que ce n’est pas un incident isolé. Juste une semaine avant la faille de la CAC, la NDPC enquêtait déjà sur des compromissions présumées chez Remita Payment Services et Sterling Bank. Un acteur malveillant revendiquant la responsabilité a dit avoir extrait des données sensibles de clients, y compris des BVN et des documents KYC. On observe donc un schéma concentré de violations de données frappant successivement des institutions critiques nigérianes.

Les enjeux ici sont réels. La CAC gère tout le registre des entreprises et le système d’enregistrement des sociétés au Nigeria. Si cette faille a exposé des dossiers de millions d’entreprises enregistrées et de leurs dirigeants, il s’agit de données économiques fondamentales pour le pays. La déclaration de la NDPC a souligné que les acteurs malveillants utilisent désormais des tactiques de plus en plus sophistiquées — extraction massive de données combinée à des attaques coordonnées sur des systèmes interconnectés.

Quelle est la réponse réglementaire ? La NDPC indique essentiellement que le cadre de protection des données du Nigeria est solide, mais qu’ils sont clairement en mode gestion de crise. Ils appellent à renforcer les mesures de sécurité des données dans toutes les institutions et rassurent le public sur la fiabilité de l’infrastructure de l’économie numérique dans son ensemble. La CAC a conseillé aux utilisateurs de surveiller leurs enregistrements sur le portail, de mettre à jour leurs identifiants, et de rester vigilants face à toute communication suspecte.

Toute cette situation met en évidence quelque chose d’important : les violations de données deviennent plus fréquentes et coordonnées, ciblant des institutions. Si vous êtes impliqué d’une quelconque manière dans les systèmes financiers ou commerciaux nigérians, cela mérite une surveillance attentive pendant que l’enquête progresse.