Dans un contexte où la confiance est devenue la pierre angulaire des services financiers numériques, CinetPay traverse l’une des périodes les plus délicates de son histoire. Entre cyberattaque d’envergure, tensions de trésorerie et soupçons médiatiques, la fintech, pourtant détentrice d’une licence délivrée par la BCEAO, a vu son modèle mis à rude épreuve.
Au cœur de cette tempête, son directeur général sort du silence et livre, dans cet entretien exclusif, sa lecture des faits. Il revient sans détour sur l’attaque coordonnée de septembre 2025, les failles exploitées, les impacts sur les partenaires marchands, mais aussi sur les mesures correctives engagées pour restaurer la confiance.
Face aux accusations de blanchiment relayées dans la presse sénégalaise, il apporte également des éléments de clarification et détaille la posture de coopération adoptée avec les autorités. Au-delà de la gestion de crise, cet échange met en lumière les enjeux structurels du secteur fintech en Afrique : gouvernance, cybersécurité, régulation et maturité de l’écosystème.
Transparence, responsabilité et résilience : autant de notions qui traversent cet entretien et dessinent les contours d’un acteur en pleine reconstruction, mais déterminé à s’imposer durablement dans le paysage des paiements digitaux africains.
Votre entreprise traverse une crise mêlant cyberattaque, tensions de trésorerie et soupçons médiatiques. Que s’est-il exactement passé ?
En septembre 2025, CinetPay a été la cible d’une cyberattaque coordonnée, touchant simultanément nos opérations en Côte d’Ivoire, au Togo et au Burkina Faso. Des fraudeurs ont exploité une vulnérabilité technique pour siphonner des fonds via des comptes mobile money.
L’intrusion a été détectée rapidement et nos protocoles de crise ont été immédiatement activés, mais une partie des fonds avait déjà été retirée avant que nous puissions l’intercepter.
Cet incident a directement impacté notre trésorerie, entraînant des retards de reversement auprès de certains partenaires marchands. Nous avons reconnu cette situation dès septembre 2025, pris des engagements fermes de remboursement et déposé des plaintes. Les enquêtes menées depuis ont permis d’identifier et de poursuivre les responsables.
Nous mesurons ce que cette situation a représenté pour les entreprises concernées. Un plan de remboursement structuré est en cours d’exécution et la grande majorité des entreprises impactées a déjà été remboursée. Nous ne sommes pas encore au terme du processus, mais nous avançons avec détermination et je m’y engage personnellement.
Aujourd’hui, pouvez-vous affirmer que toutes les vulnérabilités ont été corrigées ?
Personne ne peut garantir un risque zéro. Après l’incident, nous avons mandaté un cabinet indépendant pour auditer l’ensemble de notre architecture. Sur la base de cet audit, nous avons entièrement refondu notre infrastructure de sécurité.
Nos environnements de trésorerie sont désormais segmentés par pays, un système de détection de fraude en temps réel a été déployé, l’authentification multifacteur a été renforcée, et un responsable sécurité dédié a été recruté. Nous sommes également en cours de certification ISO 27001 et de renouvellement PCI-DSS.
Au-delà des outils, cette crise a profondément transformé notre culture : la sécurité n’est plus un département, c’est une responsabilité partagée par tous, à tous les niveaux. Nous restons vigilants et engagés à protéger les fonds et la confiance de nos clients.
Vous êtes cité dans une enquête au Sénégal pour des soupçons de blanchiment. Quelle est votre version des faits ?
Les articles publiés au Sénégal ont créé de la confusion et entaché notre réputation. Il est donc important de clarifier les faits, avec documents à l’appui si vous souhaitez vérifier.
Le 2 septembre 2025, la Division de lutte contre la cybercriminalité sénégalaise nous a alertés qu’un de nos marchands, Nectar Microcredit Technologie, utilisait nos API à notre insu pour des activités de prêt en ligne illégal. Ce marchand s’était inscrit sur notre plateforme en déclarant des activités de création d’applications en microfinance, correspondant à son registre de commerce, mais détournait nos services pour des activités financières illicites.
Notre réaction a été immédiate. Le 5 septembre, nous avons : déposé une plainte formelle contre Nectar Microcredit Technologie et son gérant pour utilisation abusive de nos outils, pratiques commerciales trompeuses et fausses déclarations ; et résilié le contrat, gelé ses fonds sur nos comptes et mis ces fonds à la disposition des autorités.
Nous coopérons pleinement avec les autorités sénégalaises et aucun élément, à ce jour, ne permet d’établir une implication volontaire de CinetPay dans des activités irrégulières.
Cette situation nous a également permis de renforcer nos procédures : le contrôle du KYC est désormais plus strict, et tous les flux marchands font l’objet d’une surveillance continue afin de prévenir toute utilisation abusive.
Peut-on dire que votre plateforme a été utilisée comme canal indirect de flux frauduleux ?
Toute plateforme de paiement, comme toute banque, peut être confrontée à des risques d’utilisation non conforme de ses services par certains utilisateurs. Cela arrive partout dans le monde, y compris dans les plus grandes institutions financières. La vraie question est : comment réagissez-vous lorsque vous le découvrez ?
Au Sénégal, dès que nous avons appris qu’un marchand détournait nos API pour des activités illicites, nous avons résilié son contrat en moins de 72 heures, déposé plainte, gelé ses fonds et mis ces fonds à la disposition des autorités. En Côte d’Ivoire, nous avons signalé la cyberattaque aux autorités judiciaires dès sa détection. Les poursuites suivent leur cours.
Dans les deux cas : action immédiate, transparence et coopération avec la justice. Mais j’en tire aussi une leçon plus profonde : nos procédures de KYC marchands doivent être plus robustes. Nous avons renforcé la vérification d’identité et le contrôle continu des activités de nos marchands. Une plateforme responsable ne vérifie pas seulement à l’entrée : elle surveille en continu.
Vous avez obtenu une licence BCEAO censée garantir un haut niveau de sécurité. Comment expliquer qu’une telle fraude ait pu se produire juste après ?
La licence BCEAO atteste de la conformité réglementaire d’un établissement de paiement. C’est un examen rigoureux qui porte sur la gouvernance, la solidité financière, les procédures et les systèmes. Seuls 30 acteurs fintech l’ont obtenue dans toute l’UEMOA. CinetPay en fait partie, et nous en sommes fiers.
Mais aucune licence au monde ne constitue une garantie absolue contre la cybercriminalité. Des banques internationales, des géants technologiques disposant de budgets de sécurité cent fois supérieurs au nôtre, subissent eux aussi des cyberattaques.
Ce qui distingue les acteurs sérieux, ce n’est pas l’absence d’incidents, c’est la capacité à réagir, à protéger ses clients et à en tirer les leçons. C’est exactement ce que CinetPay a fait. Et le fait que nous ayons obtenu cette licence démontre que le régulateur a estimé que nos fondamentaux étaient solides. L’incident de septembre est venu d’une vulnérabilité spécifique qui a, depuis, été corrigée.
Que dites-vous aujourd’hui aux entreprises qui hésitent à utiliser CinetPay ?
Je leur dis : posez-moi les questions que vous avez. Je préfère un partenaire qui doute et qui vérifie à un partenaire qui signe sans regarder. Ce que nous pouvons leur montrer aujourd’hui, c’est un audit de sécurité indépendant, un plan de remboursement en cours d’exécution et de nouveaux produits qui seront bientôt lancés.
Je ne vais pas prétendre que la crise est derrière nous, comme si de rien n’était. Nous sommes une équipe qui a regardé la pire situation en face et qui a continué à travailler. C’est le type de partenaire que je veux être pour les entreprises africaines.
La cybersécurité est-elle désormais votre priorité numéro 1 ?
La cybersécurité est une priorité permanente, pas une réaction à la crise. Ce qui a changé depuis septembre, c’est le niveau d’investissement et la gouvernance autour de cette question. Nous avons triplé notre budget sécurité, recruté des experts dédiés et mis en place un comité de sécurité qui rend compte directement à la direction générale. Nous avons également engagé des partenariats avec des acteurs spécialisés en cybersécurité afin de bénéficier d’une veille permanente et de tests d’intrusion réguliers.
Mais notre priorité numéro 1 reste de servir nos marchands et de développer des solutions de paiement qui transforment le quotidien des Africains. La sécurité est le socle sur lequel tout le reste repose. C’est un prérequis, pas un objectif en soi.
Le secteur fintech africain est-il suffisamment mature pour gérer ce type de crise ?
Le secteur fintech africain est jeune, ambitieux et en pleine croissance. Comme tout secteur en phase de maturation, il apprend aussi de ses crises. Ce qui est arrivé à CinetPay peut arriver à n’importe quel acteur, en Afrique comme ailleurs.
Ce que cette crise révèle, c’est le besoin d’un écosystème plus structuré : des régulateurs proactifs comme la BCEAO, des standards de sécurité partagés entre les acteurs et une culture de la transparence en cas d’incident. CinetPay a choisi la transparence. Nous partageons ouvertement notre expérience pour que tout le secteur en bénéficie.
Je crois profondément à la maturité de la fintech africaine. Le fait que la BCEAO ait mis en place un cadre réglementaire pour les fintechs, que des acteurs comme CinetPay investissent dans la sécurité et que les autorités judiciaires poursuivent les fraudeurs montre que l’écosystème se structure et se renforce.
