Dans un contexte où la confiance est devenue la pierre angulaire des services financiers numériques, CinetPay traverse l’une des périodes les plus délicates de son histoire. Entre cyberattaque d’envergure, tensions de trésorerie et soupçons médiatiques, la fintech, pourtant détentrice d’une licence délivrée par la BCEAO, a vu son modèle mis à rude épreuve.
Au cœur de cette tempête, son directeur général sort du silence et livre, dans cet entretien exclusif, sa lecture des faits. Il revient sans détour sur l’attaque coordonnée de septembre 2025, les failles exploitées, les impacts sur les partenaires marchands, mais aussi sur les mesures correctives engagées pour restaurer la confiance.
Face aux accusations de blanchiment relayées dans la presse sénégalaise, il apporte également des éléments de clarification et détaille la posture de coopération adoptée avec les autorités. Au-delà de la gestion de crise, cet échange met en lumière les enjeux structurels du secteur fintech en Afrique : gouvernance, cybersécurité, régulation et maturité de l’écosystème.
Transparence, responsabilité et résilience : autant de notions qui traversent cet entretien et dessinent les contours d’un acteur en pleine reconstruction, mais déterminé à s’imposer durablement dans le paysage des paiements digitaux africains.
Votre entreprise traverse une crise mêlant cyberattaque, tensions de trésorerie et soupçons médiatiques. Que s’est-il exactement passé ?
En septembre 2025, CinetPay a été la cible d’une cyberattaque coordonnée affectant nos opérations en Côte d’Ivoire, au Togo et au Burkina Faso. Des acteurs malveillants ont exploité une vulnérabilité technique pour mener des transactions frauduleuses via des comptes mobile money. L’incident a été détecté rapidement et nos protocoles de gestion de crise ont été immédiatement activés. Toutefois, une partie des fonds avait déjà été retirée avant que nous puissions en bloquer l’intégralité.
Cet événement a eu un impact ponctuel sur notre trésorerie, entraînant des retards de reversement auprès de certains partenaires marchands. Nous avons fait preuve de transparence dès le départ, en reconnaissant la situation, en déposant plainte et en prenant des engagements fermes de remboursement. Les investigations menées avec les autorités ont permis d’identifier et de poursuivre les responsables.
Nous mesurons pleinement l’impact de cette situation pour les entreprises concernées. Un plan de remboursement structuré est en cours d’exécution, et la grande majorité des partenaires impactés a déjà été remboursée. Le processus se poursuit pour les cas restants, avec un suivi rigoureux et un engagement total de notre part.
Aujourd’hui, pouvez-vous affirmer que toutes les vulnérabilités ont été corrigées ?
Aucun système ne peut garantir un risque zéro. À la suite de cet incident, nous avons mandaté le cabinet indépendant Capvalue afin de réaliser un audit complet de notre architecture. Sur la base de ses recommandations, nous avons procédé à un renforcement en profondeur de notre dispositif de sécurité. Nos environnements de trésorerie sont désormais segmentés par pays, un système de détection de fraude en temps réel a été déployé, l’authentification multi-facteurs a été généralisée et un responsable sécurité dédié a été recruté.
Nous avons également engagé des démarches structurantes, notamment la certification ISO 27001 ainsi que le renouvellement de notre conformité PCI-DSS.
Au-delà des aspects techniques, cet événement a marqué un tournant dans notre organisation. La sécurité est désormais intégrée à tous les niveaux de l’entreprise, comme une responsabilité collective et permanente. Nous restons pleinement mobilisés pour renforcer en continu nos dispositifs et garantir la protection des fonds ainsi que la confiance de nos partenaires et clients.
Vous êtes cité dans une enquête au Sénégal pour des soupçons de blanchiment. Quelle est votre version des faits ?
Les informations relayées au Sénégal ont effectivement pu créer de la confusion, et il est important d’y apporter des clarifications précises. Le 2 septembre 2025, la Division de Lutte contre la Cybercriminalité sénégalaise nous a alertés sur l’un de nos marchands, Nectar Microcredit Technologie, qui utilisait nos API à notre insu pour des activités de prêt en ligne non autorisées. Ce partenaire s’était enregistré sur notre plateforme avec des activités déclarées conformes à son registre de commerce, mais a ensuite détourné nos services à des fins irrégulières.
Notre réaction a été immédiate. Dès le 5 septembre, nous avons déposé une plainte formelle contre cette entité et son dirigeant pour usage abusif de nos outils et fausses déclarations. Dans le même temps, le contrat a été résilié, les fonds concernés ont été gelés et mis à la disposition des autorités compétentes.
Nous coopérons pleinement avec les autorités sénégalaises, et à ce jour, aucun élément ne permet d’établir une implication volontaire de CinetPay dans ces activités. Cet incident a néanmoins conduit à un renforcement significatif de nos dispositifs de contrôle, notamment sur les processus KYC et la surveillance continue des flux marchands, afin de prévenir toute utilisation abusive de notre plateforme.
Votre partenaire Dpay a récemment lancé une alerte médiatique concernant une dette non réglée. Qu’avez-vous à dire à ce sujet ?
Concernant les allégations évoquées par DPay, il est important de remettre les faits dans leur contexte. Sur le volet des remboursements, un plan structuré est en cours d’exécution, avec des versements déjà effectués. À ce jour, la grande majorité des marchands impactés a été intégralement remboursée, ce qui traduit concrètement notre engagement et notre rigueur.
S’agissant de DPay spécifiquement, nous notons que cette entité fait actuellement l’objet d’une procédure judiciaire en Côte d’Ivoire. Nous coopérons pleinement avec les autorités compétentes et attendons les conclusions de cette procédure pour déterminer les suites à donner à ce partenariat.
Notre ligne de conduite reste inchangée : responsabilité, respect du cadre réglementaire et protection des intérêts de l’ensemble de l’écosystème.
Peut-on dire que votre plateforme a été utilisée comme canal indirect de flux frauduleux ?
Comme toute plateforme de paiement, à l’instar des institutions bancaires, nous pouvons être confrontés à des tentatives d’utilisation non conforme de nos services par certains utilisateurs. Cette réalité existe dans l’ensemble de l’industrie. La question essentielle est celle de la réaction apportée dès qu’une anomalie est identifiée.
Au Sénégal, dès que nous avons été informés du détournement de nos API par un marchand pour des activités illicites, nous avons agi en moins de 72 heures : résiliation du contrat, dépôt de plainte, gel des fonds et mise à disposition de ceux-ci aux autorités compétentes. En Côte d’Ivoire, la cyberattaque a été immédiatement signalée aux autorités judiciaires, et les procédures suivent leur cours.
Dans l’ensemble de ces situations, notre approche a été constante : action rapide, transparence et coopération totale avec les autorités.
Cet épisode a également renforcé notre exigence interne. Nous avons durci nos mesures de KYC, renforcé la vérification des marchands à l’entrée et mis en place des dispositifs de surveillance continue des flux. Une plateforme responsable ne se limite pas à contrôler l’onboarding, elle assure un suivi permanent des activités pour prévenir tout usage abusif..
Vous avez obtenu une licence BCEAO censée garantir un haut niveau de sécurité. Comment expliquer qu’une telle fraude ait pu se produire juste après ?
La licence BCEAO atteste de la conformité réglementaire d’un établissement de paiement. C’est un examen rigoureux qui porte sur la gouvernance, la solidité financière, les procédures et les systèmes. Seuls 30 acteurs fintech l’ont obtenue dans toute l’UEMOA. CinetPay en fait partie, et nous en sommes fiers. Mais aucune licence au monde ne constitue une garantie absolue contre la cybercriminalité.
Des banques internationales, des géants technologiques disposant de budgets de sécurité cent fois supérieurs au nôtre, subissent des cyberattaques. Ce qui distingue les acteurs sérieux, ce n’est pas l’absence d’incidents, c’est la capacité à réagir, à protéger ses clients et à en tirer les leçons. C’est exactement ce que CinetPay a fait. Et le fait que nous ayons obtenu cette licence démontre que le régulateur a estimé que nos fondamentaux étaient solides. L’incident de septembre est venu d’une vulnérabilité spécifique qui a depuis été corrigée.
Que dites-vous aujourd’hui aux entreprises qui hésitent à utiliser CinetPay ?
Je leur dis simplement : posez toutes les questions nécessaires. Un partenaire exigeant, qui vérifie et challenge, est un partenaire de qualité. Aujourd’hui, nous sommes en mesure d’apporter des éléments concrets : un audit de sécurité indépendant, un plan de remboursement structuré en cours d’exécution, ainsi qu’une feuille de route produit claire avec de nouvelles solutions en préparation.
Je ne prétends pas que cette crise soit sans impact ni qu’elle est anodine. Nous l’avons affrontée avec lucidité, responsabilité et engagement. Elle a renforcé notre exigence, nos standards et notre manière d’opérer.
CinetPay aujourd’hui, c’est une entreprise plus robuste, plus transparente et plus disciplinée. C’est précisément ce type de partenaire fiable et engagé que nous souhaitons être pour les entreprises africaines, sur le long terme.
La cybersécurité est-elle désormais votre priorité numéro 1 ?
La cybersécurité est une priorité permanente, pas une réaction à la crise. Ce qui a changé depuis septembre, c’est le niveau d’investissement et la gouvernance autour de cette question. Nous avons triplé notre budget sécurité, recruté des experts dédiés, et mis en place un comité de sécurité qui rend compte directement à la direction générale. Nous avons également engagé des partenariats avec des acteurs spécialisés en cybersécurité pour bénéficier d’une veille permanente et de tests d’intrusion réguliers. Mais notre priorité numéro 1 reste de servir nos marchands et de développer des solutions de paiement qui transforment le quotidien des Africains. La sécurité est le socle sur lequel tout le reste repose. C’est un prérequis, pas un objectif en soi.
Le secteur fintech africain est-il suffisamment mature pour gérer ce type de crise ?
Le secteur fintech africain est encore jeune, mais il évolue rapidement avec ambition et résilience. Comme tout écosystème en phase de structuration, il se construit aussi à travers les crises qu’il traverse. Ce qui est arrivé à CinetPay n’est pas propre à l’Afrique ; ce sont des risques auxquels sont confrontés tous les acteurs financiers à l’échelle mondiale.
Cette situation met en lumière un enjeu clé : la nécessité de renforcer l’écosystème dans son ensemble. Cela passe par des régulateurs proactifs, comme la BCEAO, par l’adoption de standards de sécurité élevés et harmonisés, ainsi que par une culture de transparence et de responsabilité en cas d’incident.
CinetPay a fait le choix de la transparence et du partage d’expérience, car nous considérons que chaque crise doit servir à élever le niveau global du secteur.
Je suis convaincu que la fintech africaine gagne en maturité. Entre les avancées réglementaires, les investissements croissants dans la sécurité et l’implication des autorités dans la lutte contre la fraude, tous les signaux montrent un écosystème en train de se structurer durablement.
