Analyse critique

Critique factuelle

Cette section vise à proposer une lecture analytique, neutre et documentée de l’écosystème de la cybersécurité au Cameroun. Elle ne constitue ni un jugement, ni une dénonciation, mais un outil d’éclairage pour la gouvernance, les décideurs et les acteurs techniques.

🔄 Mise à jour — Mars 2025

L'analyse initiale signalait l'inexistence d'une autorité nationale de protection des données personnelles. La loi n° 2024/017 du 23 décembre 2024, promulguée postérieurement à la rédaction du présent document, comble cette lacune sur le plan législatif. Les passages concernés ont été mis à jour en conséquence.

Ce qui existe

1.1 Cadre institutionnel

Le Cameroun dispose de plusieurs structures et mécanismes liés à la cybersécurité :

  • Des institutions publiques en charge des télécommunications, du numérique et de la sécurité.
  • Un cadre réglementaire relatif à la cybercriminalité, à la protection des systèmes d'information et aux communications électroniques.
  • Des initiatives ponctuelles de sensibilisation et de formation.

Ces éléments constituent une base institutionnelle réelle, témoignant d'une prise de conscience progressive des enjeux numériques.

📊 Chiffre clé — Activité de l'ANTIC (2025)

L'Agence Nationale des Technologies de l'Information et de la Communication (ANTIC) traite en moyenne 200 réquisitions judiciaires par jour en 2025, témoignant d'une montée en charge significative de son activité opérationnelle face à la cybercriminalité.

1.2 Écosystème technique et humain
  • Présence d'experts locaux en cybersécurité (consultants, ingénieurs, chercheurs).
  • Existence d'entreprises privées spécialisées (audit, sécurité des SI, formation).
  • Développement de filières académiques et de formations en informatique et cybersécurité.

Cet écosystème reste actif mais fragmenté, avec peu de coordination visible au niveau national.

1.3 Communication sur les incidents
  • Certains incidents font l'objet de communications officielles ou médiatiques.
  • La presse relaie ponctuellement des cas de cybercriminalité (escroqueries, fraudes, attaques présumées).

Toutefois, la communication demeure irrégulière et non standardisée.

Ce qui manque

2.1 Données publiques structurées
  • Absence de base de données publique et centralisée sur les cyberincidents.
  • Manque de statistiques officielles régulièrement mises à jour.
  • Données souvent dispersées, incomplètes ou difficiles à vérifier.

Cela limite l'analyse des tendances, des impacts et des priorités réelles.

💰 Impact financier documenté

Les pertes liées à la cybercriminalité au Cameroun ont atteint 12,2 milliards FCFA en 2021, avec une progression de +91 % en un an. Ces chiffres, issus des rapports officiels, illustrent l'accélération du phénomène et l'insuffisance des mécanismes de prévention et de réponse en place à cette période.

L'absence de publication annuelle consolidée rend difficile le suivi de cette trajectoire au-delà de 2021.

2.2 Transparence et traçabilité
  • Peu d'informations détaillées sur la nature exacte des incidents.
  • Délais importants entre la survenue d'un incident et sa communication publique.
  • Rarement d'analyses post-incident accessibles.

Cette situation renforce la sous-déclaration et la méconnaissance des risques.

2.3 Indicateurs de gouvernance
  • Absence d'indicateurs clairs permettant d'évaluer :
    • la résilience numérique,
    • la maturité cyber des secteurs,
    • l'évolution du niveau de menace.

Sans indicateurs, la prise de décision reste largement qualitative.

2.4 Coordination et mutualisation
  • Peu de mécanismes visibles de partage d'information entre acteurs publics, privés et académiques.
  • Faible mutualisation des retours d'expérience.

Cela limite l'apprentissage collectif face aux menaces.

🔐 Fait structurel — Souveraineté des données numériques

Selon le Forum national sur la cybersécurité, le Cameroun ne contrôle pas ses données numériques nationales. Ce constat, longtemps associé à l'inexistence d'une autorité de protection des données personnelles, a connu une évolution législative majeure : la loi n° 2024/017 du 23 décembre 2024 relative à la protection des données à caractère personnel institue formellement une telle autorité, définie à l'article 53 comme un organisme public indépendant chargé de veiller à l'application de la loi, de délivrer les autorisations de traitement, de traiter les réclamations et de coopérer avec les autorités étrangères compétentes.

Toutefois, l'article 53 alinéa 2 renvoie la création, l'organisation et le fonctionnement de cette autorité à un décret du Président de la République, non encore publié à ce jour. Par ailleurs, l'article 73 accorde aux responsables de traitement un délai de dix-huit mois à compter de la promulgation pour se mettre en conformité, soit jusqu'en juin 2026. Le cadre juridique est posé ; son opérationnalisation effective reste à confirmer.

Comparaison régionale (lecture synthétique)

3.1 Tendances observées dans la sous-région

Dans plusieurs pays d'Afrique centrale et de l'Ouest, on observe :

  • La mise en place d'observatoires ou de centres nationaux de cybersécurité.
  • La publication régulière de rapports ou bulletins cyber.
  • Des collaborations plus visibles entre institutions, universités et secteur privé.
3.2 Positionnement du Cameroun

Le Cameroun dispose :

  • d'un potentiel humain et technique comparable,
  • d'un cadre institutionnel existant,

mais accuse un retard sur la visibilité des données, la documentation publique et la structuration des analyses.

Sur le plan législatif, une avancée significative est à noter : la loi n° 2024/017 du 23 décembre 2024 comble la lacune jusqu'alors identifiée en matière de protection des données personnelles. Elle aligne le Cameroun sur les standards régionaux en instituant une autorité indépendante de protection des données, un régime d'autorisation préalable des traitements, des droits explicites pour les personnes concernées et un dispositif de sanctions administratives et pénales graduées. Ce retard est désormais davantage opérationnel qu'institutionnel : le décret d'application instituant formellement l'autorité n'avait pas encore été publié à la date de rédaction de la présente analyse.

Ce retard informationnel se traduit concrètement : les 12,2 milliards FCFA de pertes en 2021 et la progression de +91 % en un an n'ont pas fait l'objet d'un suivi public annuel depuis lors. Les 200 réquisitions judiciaires quotidiennes traitées par l'ANTIC en 2025 démontrent pourtant que la menace, elle, ne marque pas de pause.

3.3 Opportunités
  • Capitaliser sur les bonnes pratiques régionales.
  • Développer une approche progressive et contextualisée.
  • Faire de la transparence factuelle un levier de résilience.
  • Assurer l'opérationnalisation effective de l'Autorité de protection des données à caractère personnel instituée par la loi n° 2024/017 du 23 décembre 2024, dont la mise en place concrète demeure subordonnée à la publication du décret présidentiel prévu à l'article 53 alinéa 2.
Conclusion — Rôle de l'Observatoire

L'Observatoire de la cybersécurité au Cameroun se positionne comme :

  • un outil de structuration de l'information,
  • un espace d'analyse factuelle et documentée,
  • un complément aux initiatives existantes,
  • un levier pour renforcer la gouvernance cyber.

Les chiffres disponibles — 12,2 milliards FCFA de pertes, +91 % en un an, 200 réquisitions judiciaires par jour — confirment l'urgence d'une réponse structurée. L'adoption de la loi n° 2024/017 du 23 décembre 2024 marque une rupture institutionnelle réelle : le Cameroun dispose désormais d'un cadre légal complet en matière de protection des données personnelles. Le maillon critique se déplace toutefois de l'inexistence juridique vers l'effectivité opérationnelle — le décret présidentiel d'organisation de l'Autorité de protection des données, prévu par l'article 53 alinéa 2, conditionne la capacité réelle de cette institution à exercer ses missions de contrôle, de sanction et de délivrance des autorisations.

``` Les trois modifications structurelles apportées sont les suivantes. Le bloc 2.4 reformule entièrement le constat sur l'autorité de protection des données en distinguant ce que la loi établit définitivement de ce qui reste conditionnel au décret présidentiel. La section 3.2 intègre un paragraphe intermédiaire qui repositionne le retard camerounais comme désormais opérationnel plutôt qu'institutionnel, sans effacer le constat informationnel qui reste valide. La conclusion et la section 3.3 remplacent les appels à créer l'autorité par des appels à la rendre opérationnelle, ce qui est factuellement exact et analytiquement plus précis.
98% officiels

Taux de communication officielle

98% Satisfaisant

46 incidents sur 47 ont fait l'objet d'une communication via une source identifiable.

Vérifié 36 (77%)
Média public 8 (17%)
Source interne 2 (4%)
Faible 1 (2%)

Classement par secteur

1
Secteur Financier et Bancaire
100%
20/20
2
Administration Publique et Institutions
100%
8/8
3
Santé
100%
2/2
4
Énergie et Transports
100%
5/5
5
Éducation et Recherche
100%
2/2
6
Agro-industriel
100%
1/1
7
Télécommunications et Technologie
89%
8/9

📐 Note méthodologique — Le taux de communication officielle mesure la part d'incidents pour lesquels une source identifiable a pu être établie. Il se met à jour automatiquement à chaque modification d'incident.

Notre mission : Pourquoi cet observatoire ?

La transformation numérique du Cameroun s’accélère :…
01

Notre mission : Pourquoi cet observatoire ?

La transformation numérique du Cameroun s’accélère : administrations en ligne, services financiers numériques, interconnexion des infrastructures critiques
Lire plus
01

Gouvernance et cadre juridique de la cybersécurité au Cameroun

02

Gouvernance et cadre juridique de la cybersécurité au Cameroun

Lire plus
02

Lois sur la cybercriminalité

Principales lois existantes au Cameroun en matière…
03

Lois sur la cybercriminalité

Principales lois existantes au Cameroun en matière de cybercriminalité et de cybersécurité (cadre juridique qui encadre les infractions, la sécurité des systèmes
Lire plus
03
Signaler
un incident