Lesotho 2023 : la cyberattaque qui a immobilisé les paiements interbancaires
En décembre 2023, un incident cyber à la Banque centrale du Lesotho a conduit à la suspension de systèmes et rendu les transactions interbancaires impossibles pendant la réponse initiale. Pour les petites économies, la résilience d'une banque centrale est une infrastructure nationale.
Publié le
26 mai 2026
Lecture
~4 min
Score Afrique
Sévérité
Partager
↗

Quand l'incident d'une institution devient celui d'un pays
Le 11 décembre 2023, la Banque centrale du Lesotho (Central Bank of Lesotho, CBL) a subi un incident de cybersécurité sur ses systèmes. Dans un communiqué signé le 12 décembre, elle indique avoir enquêté sur l'incident et travailler au rétablissement des systèmes. Elle assure alors le public qu'elle n'a subi aucune perte financière ou autre, tout en précisant avoir suspendu certains systèmes afin d'empêcher une infiltration supplémentaire.
Cette décision de confinement entraîne une conséquence directe pour les usagers : la banque centrale prévient que certains paiements peuvent être retardés pendant le retour à la normale. Le 13 décembre, un communiqué conjoint de la CBL et de la Bankers Association of Lesotho précise l'ampleur du problème : l'indisponibilité en cours du National Payments System rend impossible, pour toutes les banques locales, l'exécution de transactions interbancaires dans le pays.
Les faits établis par les communiqués officiels
Les trois communiqués publics de décembre permettent de reconstituer une séquence sobre. Le 11 décembre, l'incident est constaté. Le 12 décembre, la banque confirme l'incident, indique avoir suspendu certains systèmes et anticipe des retards de paiement. Le 13 décembre, la banque centrale et l'association bancaire annoncent que les transactions interbancaires ne peuvent plus être honorées au moyen du système national indisponible, et qu'elles mettent en place des processus de continuité.
Le 15 décembre, un nouveau communiqué conjoint annonce que le secteur bancaire peut de nouveau traiter les transferts interbancaires grâce à l'activation du processus de continuité, pendant qu'une solution permanente est recherchée. Les clients sont prévenus que des délais restent possibles, le traitement des paiements étant effectué manuellement.
Ces sources officielles établissent l'impact opérationnel et les mesures de continuité. Elles ne publient pas, dans les documents cités, de rapport technique complet identifiant le vecteur initial, détaillant un éventuel rançongiciel ou attribuant l'incident à un groupe criminel précis. Ces points ne doivent donc être affirmés qu'avec des sources supplémentaires clairement qualifiées.
Pourquoi un système de paiement est une infrastructure critique
Une banque centrale ne se limite pas à la politique monétaire. Elle opère ou supervise des mécanismes qui permettent aux banques de régler les obligations entre elles. Lorsqu'un client paie un fournisseur hébergé dans une autre banque, qu'une entreprise exécute sa paie ou qu'une institution transfère des fonds, la disponibilité des rails interbancaires est déterminante.
Dans une économie de taille limitée, cette concentration peut rendre l'impact d'un incident particulièrement visible. Une interruption n'affecte pas seulement une application interne : elle touche simultanément banques commerciales, entreprises, ménages et administrations. Le cas du Lesotho montre aussi qu'une mesure de sécurité justifiée, isoler des systèmes pour empêcher une propagation, peut elle-même avoir un coût de disponibilité. La bonne décision de sécurité doit donc être accompagnée d'un mode de continuité immédiatement exploitable.
Le rôle décisif du traitement manuel
Le retour aux transferts via un processus manuel a fourni une capacité de secours. Mais un traitement manuel impose des limites : files d'attente, contrôles supplémentaires, rapprochements plus lents, risque d'erreur et visibilité réduite pour le client. Il est utile pour restaurer une fonction essentielle, non pour maintenir durablement le niveau de service d'un système national moderne.
Cette expérience justifie des exercices réguliers de continuité entre banque centrale et banques participantes. Les équipes doivent savoir quels paiements sont prioritaires, comment authentifier une instruction hors système principal, comment éviter une double exécution lors de la reprise et comment informer le public sans encourager une ruée ou des fraudes opportunistes.
Les enseignements pour les systèmes financiers africains
Les marchés africains développent le paiement instantané, les portefeuilles mobiles, l'interopérabilité et les règlements numériques publics. Cette innovation augmente les bénéfices de l'inclusion financière, mais renforce également l'importance des systèmes de règlement et de leurs connexions. La sécurité des plateformes centrales ne peut pas être traitée uniquement par chaque banque participante.
Les banques centrales devraient considérer les scénarios cyber comme des scénarios de stabilité opérationnelle : isolement réseau, reprise sur environnement sain, transfert manuel contrôlé, communication interbancaire et retour synchronisé à la production. Les régulateurs devraient également exiger des institutions participantes qu'elles puissent continuer à servir leurs clients et expliquer les délais lorsque le rail central est indisponible.
Priorités concrètes
- Tester au moins annuellement une indisponibilité cyber du système national de paiement avec l'ensemble des banques participantes et opérateurs essentiels.
- Maintenir des mécanismes de règlement de secours, avec contrôles de fraude, limites de montant, journalisation et procédure de réconciliation après reprise.
- Segmenter les environnements critiques et préparer des restaurations isolées afin que la mesure de confinement ne se transforme pas en interruption prolongée.
- Publier lors d'un incident des informations distinctes sur la sécurité des fonds, la disponibilité des paiements et les délais prévus.
- Intégrer fintech, mobile money et paiements gouvernementaux aux plans de continuité lorsque leurs règlements dépendent du même écosystème.
Conclusion
Le Lesotho a fourni en décembre 2023 une illustration claire de la dépendance nationale aux infrastructures de paiement numériques. La banque centrale a publiquement affirmé ne pas avoir subi de perte financière, mais l'incident a néanmoins interrompu les paiements interbancaires avant leur reprise en mode de continuité. La leçon pour l'Afrique est nette : la résilience cyber d'un système de paiement central se mesure d'abord à sa capacité à préserver la circulation de l'économie.
— ◆ —