La cybersécurité au Kenya concerne toute entreprise connectée à internet. Le pays a enregistré 4,56 milliards de menaces cyber entre octobre et décembre 2025 selon la Communications Authority. Les pertes financières liées à la cybercriminalité atteignent 29,9 milliards de KES sur l’année 2025. Protéger ses systèmes et ses données relève de la survie opérationnelle.
Menaces cyber au Kenya : un panorama en forte hausse
Le National KE-CIRT (Kenya Computer Incident Response Team) publie des rapports trimestriels qui documentent l’ampleur du phénomène. Entre janvier et mars 2025, le pays a comptabilisé 2,54 milliards d’événements de menace cyber, soit une augmentation de 201,7 % par rapport au trimestre précédent. Les attaques système représentent plus de 97 % de ces incidents.
Les entreprises kenyanes figurent parmi les cibles prioritaires. Environ 16,5 % des entités corporate ont rencontré des menaces telles que le phishing, les botnets et les attaques par force brute. Plus de 14,2 millions d’attaques sur les terminaux ont touché 19 % des systèmes d’entreprise, incluant ransomwares, trojans et spywares. Un audit sécurité informatique régulier permet d’identifier ces vulnérabilités avant qu’elles soient exploitées par des acteurs malveillants.
Le secteur financier, l’administration publique et les services d’information concentrent plus de 43 % de tous les incidents. La fraude au paiement reste la catégorie la plus fréquente : les fraudes en ligne et par email représentent 40 % des incidents et 32 % des pertes enregistrées.
| Type de menace | Part des incidents | Impact principal |
|---|---|---|
| Attaques système | 97 % des événements détectés | Compromission des serveurs |
| Phishing et fraude email | 40 % des incidents signalés | Vol d’identifiants et pertes financières |
| Ransomware | En hausse de 95 % (santé, Q4 2024) | Blocage d’activité et rançon |
| Attaques par force brute | +42 % au Q1 2024-2025 | Accès non autorisé aux systèmes |
Cadre légal : Data Protection Act et obligations des entreprises
Le Kenya dispose d’un arsenal juridique structuré autour du Data Protection Act (DPA) de 2019. L’Office of the Data Protection Commissioner (ODPC) supervise l’application de cette loi. Toute entreprise qui collecte, traite ou stocke des données personnelles doit s’enregistrer auprès de cet organisme. Le non-respect de cette obligation expose à des sanctions financières.
L’affaire Regus Kenya illustre la réalité de ces sanctions. L’ODPC a infligé une amende de 5 millions de KES à cette entreprise pour envoi de messages marketing non sollicités après la fin d’une relation commerciale. Le tribunal a réduit la peine à 2,5 millions de KES, mais le signal reste clair : la conformité n’est pas optionnelle.
Obligations concrètes pour les entreprises
Les structures qui manipulent des données sensibles doivent nommer un Data Protection Officer (DPO). Ce responsable assure la conformité quotidienne et sert d’interlocuteur avec l’ODPC. Les activités à risque, comme le profilage ou les transferts transfrontaliers de données, exigent une évaluation d’impact (DPIA) documentée.
Le Computer Misuse and Cybercrimes Act complète le dispositif en criminalisant l’accès non autorisé aux systèmes, l’interception de données et la publication de fausses informations. Les entreprises engagées dans la digitalisation de leurs opérations doivent intégrer ces exigences dès la conception de leurs outils numériques.
Vulnérabilités spécifiques aux PME kenyanes
Les PME représentent une cible privilégiée pour les cybercriminels. Souvent dépourvues de politique de sécurité formalisée, elles cumulent plusieurs faiblesses : mots de passe faibles, absence de mises à jour système, utilisation de logiciels piratés et manque de formation du personnel. Le Kenya ne compte que 1 700 professionnels certifiés en cybersécurité pour un besoin estimé entre 40 000 et 50 000 experts, soit un déficit de 96 %.
Cette pénurie de compétences pousse les entreprises à payer 45 % au-dessus des moyennes régionales pour recruter des talents en sécurité informatique. Les PME qui n’ont pas ce budget restent exposées. Résultat ? Elles sous-traitent rarement leurs audits de sécurité et découvrent les failles après l’incident.
Sur le terrain, la dépendance aux paiements mobiles amplifie le risque. Avec 37,9 millions d’utilisateurs M-Pesa actifs, les transactions digitales constituent une surface d’attaque massive. Les PME qui acceptent les paiements via Lipa Na M-Pesa sans sécuriser leur infrastructure exposent à la fois leurs fonds et les données de leurs clients.
- Absence de pare-feu ou d’antivirus professionnel sur les postes de travail
- Mots de passe partagés entre employés sans politique de rotation
- Sauvegardes inexistantes ou stockées sur le même réseau que les données de production
- Utilisation de réseaux Wi-Fi publics pour des opérations sensibles
- Aucune procédure de réponse en cas d’incident de sécurité
Bonnes pratiques de protection pour les entreprises au Kenya
La sécurisation d’une entreprise kenyane repose sur des mesures techniques et organisationnelles combinées. Le marché de la cybersécurité au Kenya, estimé à 92,64 millions de dollars d’ici 2029 avec une croissance annuelle de 10,54 %, témoigne de la prise de conscience croissante du secteur privé.
Mesures techniques prioritaires
L’authentification à deux facteurs (2FA) bloque la majorité des tentatives de phishing. Un certificat SSL sécurise les échanges entre le site web de l’entreprise et ses visiteurs. Les mises à jour régulières des systèmes d’exploitation et des logiciels corrigent les failles connues que les attaquants exploitent en priorité.
Les entreprises qui investissent dans l’optimisation de leur site web gagnent aussi en sécurité : un site techniquement sain résiste mieux aux injections SQL, aux attaques XSS et aux tentatives de défacement. Concrètement, un audit technique couvre à la fois performance et sécurité.
Formation des équipes
70 % des incidents cyber au Kenya ciblent exclusivement le pays, selon les analyses de menaces récentes. Les attaquants adaptent leurs campagnes de phishing au contexte local : faux emails de la KRA (Kenya Revenue Authority), fausses notifications M-Pesa, arnaques liées aux appels d’offres gouvernementaux. Former les employés à reconnaître ces tentatives réduit drastiquement le taux de compromission.
| Mesure | Coût estimé | Impact |
|---|---|---|
| Antivirus professionnel (par poste) | 3 000 à 8 000 KES/an | Protection contre malwares et ransomwares |
| Certificat SSL | Gratuit (Let’s Encrypt) à 15 000 KES | Chiffrement des données en transit |
| Formation cybersécurité (équipe) | 50 000 à 150 000 KES | Réduction de 60 à 80 % des incidents humains |
| Sauvegarde cloud automatisée | 5 000 à 20 000 KES/mois | Reprise d’activité après incident |
Ressources et accompagnement disponibles au Kenya
Le gouvernement kenyan déploie plusieurs dispositifs pour renforcer la posture cyber du pays. La National Cybersecurity Strategy 2022-2027, pilotée par le National Computer and Cybercrimes Coordination Committee (NC4), structure la réponse nationale. Un Security Operations Centre (SOC) gouvernemental centralise la surveillance des menaces à l’échelle nationale.
Les entrepreneurs qui prévoient de créer une entreprise au Kenya intègrent la cybersécurité dans leur budget de lancement. L’ODPC publie des guides spécifiques pour les PME et MSME, disponibles gratuitement sur son site. Ces documents couvrent les obligations légales, les bonnes pratiques de traitement des données et les procédures d’enregistrement.
Les hubs technologiques de Nairobi, comme iHub et Nairobi Garage, proposent des ateliers de sensibilisation à la sécurité informatique. Les certifications professionnelles reconnues au Kenya incluent désormais des parcours dédiés à la cybersécurité, répondant partiellement au déficit de compétences du marché.
Pour les entreprises actives dans le commerce international avec le Kenya, la conformité au Data Protection Act facilite les échanges transfrontaliers de données, exigence croissante des partenaires commerciaux européens et américains.
Prochaine étape : réaliser un diagnostic de sécurité de votre infrastructure. Identifier les trois failles les plus critiques. Corriger ces points en priorité. Les premiers résultats se mesurent sous 2 à 4 semaines.
Explorez nos autres ressources
Retrouvez tous nos guides pratiques pour entreprendre, commercer et investir au Kenya.
