Sécuriser les rues et sécuriser les systèmes : le deuxième n'a pas encore de stratégie.

Les investissements dans la transformation numérique sont en cours. L'infrastructure de protection n'existe pas encore.

Un post récent sur les réseaux sociaux posait la question de la préparation d'Haïti face aux cybermenaces. L'observation est pertinente. Mais elle mérite d'être connectée à ce qui se passe concrètement en ce moment.

Haïti est en train de digitaliser son État. La Banque interaméricaine de développement a approuvé une subvention de 16 millions de dollars pour la transformation numérique de la gestion publique. La Banque mondiale a approuvé un projet de 60 millions de dollars pour renforcer la gestion des finances publiques, avec des composantes numériques. Le Conseil national de la statistique et de l'informatique (CNSI) a été réactivé en juin 2025 pour refondre l'infrastructure de données du pays.

Ces investissements répondent à une nécessité réelle. Avec un ratio impôts/PIB de 5 %, parmi les plus bas au monde, et des pertes en revenus douaniers et fiscaux estimées à des centaines de millions de dollars par an selon les analyses du FMI et de la Banque mondiale, la digitalisation des douanes et de la collecte fiscale pourrait générer entre 0,6 % et 0,9 % du PIB en revenus supplémentaires. Pour un pays qui reconstruit ses institutions, chaque point de pourcentage compte.

La digitalisation ne concerne pas uniquement les revenus. La gestion de l'identité, la traçabilité des dépenses publiques, la transparence budgétaire, la prestation de services aux citoyens : tout passe par des systèmes numériques. Pour un État qui doit reconstruire ses institutions et rétablir sa présence sur le territoire, la transformation numérique n'est pas un luxe. C'est l'infrastructure de base.

Le problème : on construit sans protection

Haïti ne dispose pas de stratégie nationale de cybersécurité documentée. Le pays n'a pas de CERT (Computer Emergency Response Team) opérationnel, contrairement à la République Dominicaine et Cuba, classés Tier 2 (« Advancing ») sur le Global Cybersecurity Index 2024 de l'ITU, ou la Jamaïque et Trinidad-et-Tobago, classés Tier 3 (« Establishing »). Haïti est classé Tier 4 (« Evolving »), avec un score de zéro sur le pilier des mesures techniques.

L'infrastructure physique est elle-même vulnérable. Les gangs coupent régulièrement les réseaux fibre (Martissant en août 2023, Arcahaie en octobre 2024). La pénétration internet est de 39,3 %, contre environ 70 % en moyenne dans les Caraïbes. L'infrastructure de Digicel, selon des techniciens du secteur, a été conçue pour 5 millions de lignes mais en supportait environ 12,9 millions en 2020, un chiffre qui reflète les cartes SIM enregistrées plutôt que les utilisateurs uniques.

C'est un angle mort stratégique et non un détail technique.

L'exemple de Costa Rica

En avril 2022, le groupe de ransomware Conti a frappé le Costa Rica. Vingt-sept institutions gouvernementales ont été touchées, y compris le ministère des Finances. Les systèmes fiscaux et douaniers ont été paralysés. Les cyberattaques successives de 2022, incluant une deuxième vague menée par le groupe Hive contre le système de santé publique, ont empêché des milliers d'employés publics de recevoir leur salaire et privé les responsables de santé d'accès aux dossiers médicaux.

Les pertes ont été estimées à plus de 125 millions de dollars les deux premiers jours par la Chambre de commerce extérieur costaricienne (CRECEX), avec des coûts continus estimés à 30 millions par jour en perturbation du commerce extérieur. Le président Chaves a déclaré l'état d'urgence national. Une première mondiale pour une cyberattaque.

Le Costa Rica avait une infrastructure de cybersécurité supérieure à celle d'Haïti. Il a mis des mois à se remettre. Haïti construit les siens aujourd'hui, sans filet de sécurité comparable.

L'Albanie offre un autre cas de figure. En juillet 2022, des acteurs étatiques iraniens ont paralysé les principaux services publics numérisés du pays, à commencer par le portail e-Albania. L'administration civile a été désorganisée pendant des semaines. L'Albanie avait massivement digitalisé ses services sans investir proportionnellement dans la sécurité.

Dans les Caraïbes, le phénomène est déjà visible. Des ransomwares ont frappé au moins dix pays CARICOM, dont Haïti. La Jamaïque a enregistré 43 millions de tentatives de cyberattaque en 2023 selon Fortinet. L'Amérique latine et les Caraïbes constituent la région la moins protégée au monde en matière de cybersécurité, avec un score moyen de 10,2 sur 20 selon le cadre d'évaluation de la Banque mondiale et une croissance des incidents de 25 % par an sur la dernière décennie.

La dimension géopolitique

Un élément supplémentaire mérite l'attention. Huawei Marine (aujourd'hui HMN Technologies) a effectué en 2013 la mise à niveau du réseau sous-marin BDSNi, un système d'environ 2,700 kilomètres de câbles reliant plus de 20 sites à travers les Bahamas, avec une extension vers Haïti via Great Inagua. Les autorités et analystes américains ont identifié des risques sécuritaires liés à la présence dominante de Huawei dans les télécommunications bahaméennes, à environ 50 miles des côtes américaines. La FCC a depuis désigné Huawei et ZTE comme menaces à la sécurité nationale.

Pour un pays qui digitalise son administration publique, le choix de l'infrastructure sur laquelle reposent ces systèmes n'est pas secondaire.

En parallèle, pas en séquence

Les pays qui ont réussi leur transformation numérique partagent un point commun : ils n'ont pas attendu de construire les systèmes avant de les sécuriser.

L'Estonie a intégré la sécurité dès la conception après les cyberattaques de 2007. Le Rwanda a déployé plus de 100 services gouvernementaux numériques via sa plateforme Irembo, accompagnés d'investissements parallèles en cybersécurité. La Banque mondiale elle-même promeut une approche de « cybersecurity-by-design » dans ses projets de transformation numérique.

La subvention de la BID pour Haïti inclut un volet cybersécurité. C'est un début. Reste à déterminer si ce volet est dimensionné à la hauteur de la menace, ou s'il s'agit d'une ligne budgétaire dans un projet dominé par d'autres priorités.

Ce que notre situation exige

Le Premier ministre Fils-Aimé est, depuis le 7 février 2026, l'unique autorité exécutive du pays. Un calendrier électoral conditionnel est en place. Les investissements internationaux dans la transformation numérique sont en cours de décaissement.

Pendant que l'État reprend le contrôle de ses rues, la construction de ses systèmes numériques avance. Ces deux chantiers de sécurité ne peuvent pas fonctionner en silos, avec un qui attend que l'autre soit terminé. La digitalisation de l'État et la construction d'une capacité de cybersécurité sont deux faces du même chantier. Et le calendrier pour les mener est le même.

La question qui se pose maintenant : qui, dans l'appareil d'État actuel, a le mandat et l'expertise pour s'assurer que les systèmes en construction aujourd'hui résisteront aux attaques de demain ?