Idriss Linge, Agence Ecofin
A Dakar, le 8 mai dernier, la Conférence internationale de la Banque centrale des États de l'Afrique de l'Ouest (BCEAO), l'institut d'émission commun aux huit pays de l’UEMOA.
BCEAO
Le 8 mai dernier, Dakar accueillait la Conférence internationale 2026 de la Banque centrale des États de l'Afrique de l'Ouest (BCEAO), l'institut d'émission commun aux huit pays de l'Union économique et monétaire ouest-africaine (UEMOA), sur le thème « Crypto-actifs et innovations numériques : opportunités et défis pour la stabilité monétaire et financière ». L'événement, présidé à l'ouverture par Cheikh Diba, ministre sénégalais des Finances et du Budget, a réuni des gouverneurs et vice-gouverneurs de banques centrales africaines, des représentants du Fonds monétaire international (FMI), de la Banque mondiale, de la Banque des règlements internationaux (BRI) — l'institution de coopération entre banques centrales basée à Bâle — et plusieurs experts en cybersécurité financière.
Au panel le plus suivi de la journée, consacré à la cybersécurité, à l'intégrité financière et à la protection des données des banques centrales, Mourad Abdessalem, vice-gouverneur de la Banque centrale de Tunisie (BCT) depuis décembre 2024 et lui-même ancien directeur général des études et de la coopération internationale de l'institution, a livré un plaidoyer inhabituel dans ce type de tribune institutionnelle.
Sa demande tient en une phrase : les normes internationales en matière de supervision et de mesure des crypto-actifs et des risques cyber doivent être accélérées, mais elles doivent surtout être conçues pour fonctionner dans les écosystèmes financiers africains — et non seulement copiées sur les standards des grandes économies développées.
Cet appel, lancé devant des représentants du FMI et de la BRI, intervient dans un contexte où les banques centrales africaines naviguent à vue. M. Abdessalem a illustré son propos par un exemple concret tiré de son quotidien : lorsqu'il consulte la position extérieure globale tunisienne, c'est-à-dire le tableau qui mesure les avoirs et les engagements financiers du pays vis-à-vis du reste du monde, il sait que des montants significatifs lui échappent en raison de l'absence de méthodologie commune et opérationnelle pour saisir les flux de crypto-actifs. Il travaille, dit-il, avec des chiffres estimés, sans source officielle.
C'est l'angle mort de la régulation globale, soulevé lors de l'intervention d'Abdessalem, qui mérite d'être restitué avec précision. Le FMI a publié en mars 2025 la septième édition de son Manuel de la balance des paiements et de la position extérieure globale (BPM7), qui intègre pour la première fois formellement les crypto-actifs dans le cadre statistique international. Le Bitcoin y est traité comme un « actif non financier non produit », les stablecoins comme des instruments financiers de créance, et les jetons émis sur Ethereum ou Solana comme des actifs assimilables à des actions. Les normes existent donc — mais sur le terrain, les banques centrales africaines, qui doivent collecter ces données auprès d'écosystèmes encore largement informels, peinent à traduire ces classifications conceptuelles en circuits opérationnels de collecte. Une publication du FMI elle-même reconnaît que les efforts internationaux pour mesurer les flux crypto « n'en sont qu'à leurs tout débuts ».
L’actualité qui compte pour vous, chaque jour dans votre boîte mail.
C'est précisément le point d'Abdessalem : il ne suffit pas que la norme soit publiée à Washington. Encore faut-il qu'elle soit accompagnée de directives méthodologiques, de modèles de collecte de données, de formation des équipes et d'outils techniques qui permettent à une banque centrale comme la BCT ou la BCEAO de la mettre en œuvre sans avoir à réinventer la roue. Or, dans la pratique, les institutions africaines reçoivent les manuels et doivent les opérationnaliser elles-mêmes, dans des environnements où l'écosystème crypto se développe via des opérateurs de télécommunications et des portefeuilles informels que les outils statistiques classiques ne saisissent pas.
Le contexte tunisien rend cette demande encore plus tangible. La BCT s'est engagée depuis 2024 dans une politique active de réduction de la circulation des espèces qui s'est heurtée à un paradoxe. La loi n° 41-2024 sur les chèques, en plafonnant leur montant à 30 000 dinars et en réduisant leur durée de validité à six mois, devait moderniser le système de paiement et orienter vers les solutions numériques comme la plateforme TuniChèque ou le portefeuille e-Dinar de la Poste tunisienne. Le paiement mobile a effectivement explosé de 81 % en 2025 selon les données publiées par la BCT en février 2026. Mais dans le même temps, la circulation fiduciaire a atteint le niveau inédit de 27,5 milliards de dinars début mars 2026, signe que la digitalisation forcée a aussi alimenté un repli sur le cash et l'économie informelle. Plus on digitalise, plus la cybersécurité devient un enjeu stratégique. Et plus l'économie se décashe, plus les flux numériques deviennent une cible. C'est dans cette tension qu'Abdessalem situe sa demande de normes adaptées : on ne supervise pas un écosystème tunisien comme on supervise la zone euro.
L'urgence soulevée par Abdessalem prend tout son sens à la lumière du diagnostic formulé au même panel par les experts du Boston Consulting Group qui ont présenté des données récentes sur la maturité en matière de cybersécurité des banques africaines. Le coût moyen d'une cyberattaque sophistiquée, longtemps de l'ordre de plusieurs centaines de milliers de dollars, est tombé à moins d'un dollar grâce à l'intelligence artificielle générative. Le temps de préparation d'une campagne, qui se mesurait en semaines, se mesure désormais en minutes. L'expertise technique requise s'efface : un prompt en langage naturel suffit pour orchestrer une attaque qui, hier, mobilisait une équipe de spécialistes. Et l'échelle change tout : un attaquant humain ne pouvait viser qu'une cible à la fois ; un agent automatisé, en attaque des milliers, en continu, sans fatigue.
Face à ce basculement, les banques africaines présentent un score moyen de maturité cyber de 2 sur 5, contre 3,4 dans le reste du monde, selon l'évaluation BCAT 2024 du cabinet. Entre 25% et 50% des systèmes de cœur bancaires du continent sont obsolètes, contre 10 à 15% à l'échelle mondiale. Et moins de 10% des interfaces de programmation bancaires africaines sont sécurisées par les protocoles d'authentification modernes (OAuth2 ou authentification à facteurs multiples), contre plus de 80 % ailleurs.
Le diagnostic posé est sans détour : les banques du continent cumulent un cœur informatique vieillissant et non mis à jour, ainsi que des couches d'ouverture aux fintechs largement non sécurisées. Pour des agents d'intelligence artificielle qui scannent automatiquement les vulnérabilités, c'est une combinaison explosive.
C'est précisément ce que d'autres intervenants ont confirmé lors du panel. André Wameso, gouverneur de la Banque centrale du Congo (RDC) depuis août 2025, a reconnu publiquement que la fonction de responsable de la sécurité des systèmes d'information n'existait pas à la BCC avant son arrivée et qu’il avait introduite comme une étape de base. Il a également indiqué que trois millions de Congolais utilisaient déjà des portefeuilles crypto via les opérateurs de télécommunications pour investir en bitcoins, sans qu'aucun cadre réglementaire ne s'applique à cette activité.
Kealeboga Masalila, vice-gouverneur de la Banque du Botswana, a pour sa part insisté sur le fait que la gouvernance cyber devait être intégrée explicitement dans la supervision prudentielle, et étendue aux prestataires tiers — opérateurs mobiles et fintechs — dont la concentration crée désormais un risque systémique.
La portée politique de l'intervention d'Abdessalem dépasse la seule question statistique. En demandant aux institutions internationales d'accélérer et d'adapter, il pose en filigrane une question rarement formulée aussi directement dans une enceinte de banque centrale : les normes prudentielles, statistiques et cyber, telles qu'elles sont produites par le FMI, la BRI ou le Conseil de stabilité financière, sont adaptées pour quels écosystèmes ? La réponse permanente est que cela fonctionne pour les juridictions disposant de cadres d'API bancaires ouverts, de cellules nationales de cybersécurité matures, d'organismes de protection des données opérationnels et de marchés crypto régulés.
Les banques centrales africaines, elles, doivent appliquer ces cadres à des systèmes où le mobile money domine, où les opérateurs de télécommunications jouent un rôle quasi-bancaire sans en avoir le statut, où les ressources cyber sont souvent absentes de la gouvernance des établissements, et où l'adoption des crypto-actifs se fait massivement en dehors de tout périmètre supervisé. Ce qui s'applique en pratique à Francfort ou à Singapour ne se transpose pas mécaniquement à Tunis, Kinshasa ou Gaborone.
L'enjeu n'est pas seulement technique. Il est également politique et budgétaire. Renforcer le dispositif cyber d'une banque centrale et de son écosystème de supervision coûte cher — entre les systèmes de SOC (centres opérationnels de sécurité), les compétences humaines à recruter et à retenir face à la concurrence du privé, et les audits réglementaires obligatoires que des établissements régionaux de taille moyenne ne peuvent pas assumer seuls. Abdessalem l'a admis sans détour : « Il n'y a pas de zéro risque. ». Mais il y a, structurellement, des écarts de capacité que les normes internationales ne corrigent pas et qui peuvent même creuser un fossé supplémentaire si elles imposent des standards inatteignables.
La conférence de Dakar s'est achevée sans annonce d'un cadre régional contraignant pour les crypto-actifs. Mais elle aura installé, à un niveau institutionnel rarement atteint, une demande claire : que les normes internationales de demain soient écrites avec les banques centrales africaines, et non seulement à leur intention. La demande a été faite. Reste à voir si elle sera entendue à Washington et à Bâle.
Idriss Linge, Agence Ecofin
