Face à la montée des attaques zero-day et des techniques furtives, les opérateurs télécoms doivent passer d’une logique de détection à une approche prédictive et résiliente.
En octobre dernier, la société de sécurité Darktrace a confirmé ce que beaucoup d’entre nous dans l’industrie des télécoms considéraient comme inévitable. Un fournisseur européen de services de communication (CSP) avait finalement été victime d’une exploitation de type zero-day menée par le groupe de menace persistante avancée (APT) tristement célèbre, Salt Typhoon.
Le groupe a été observé exploitant une vulnérabilité du logiciel Citrix Netscaler déployé par le CSP, dans le cadre de ce que l’on appelle une attaque « Living off the Land » (LOTL). Il s’agit d’une technique où les pirates accèdent à un système en utilisant des applications existantes, sans déployer de logiciel malveillant supplémentaire.
Ce fut un signal d’alarme pour l’industrie en Europe. Jusqu’alors, Salt Typhoon était principalement connu pour cibler des fournisseurs de services publics, des opérateurs télécoms et des organisations du secteur public aux États-Unis. Cette attaque a confirmé que les CSP européens sont désormais eux aussi dans le viseur. Pour ces acteurs, il ne s’agit plus de savoir si leur réseau sera attaqué, mais quand.
Évaluer le niveau de préparation du secteur
La grande question est de savoir si le secteur est prêt. Le rapport Nokia Threat Intelligence 2025 révèle que seuls 13 % des professionnels de la sécurité et des réseaux interrogés estiment être pleinement préparés à répondre à une attaque zero-day, c’est-à-dire une exploitation d’une vulnérabilité inconnue au moment de son déclenchement.
Historiquement, ces attaques ciblaient principalement les entreprises utilisant des systèmes informatiques généralistes. Mais récemment, les secteurs reposant sur des technologies plus spécialisées ont vu ces attaques se multiplier. C’est notamment le cas des télécoms, avec des groupes comme Salt Typhoon qui adaptent leurs attaques aux protocoles et systèmes spécifiques du secteur. Une fois une première brèche ouverte dans le réseau, les attaquants se déplacent d’un système à l’autre afin de voler des données, en utilisant des techniques avancées post-compromission.
Les incidents impliquant des CSP sont en hausse. 64 % des professionnels de la sécurité des réseaux télécoms ont subi au moins une attaque LOTL l’an dernier, et environ un tiers en ont subi quatre ou plus. Ces attaques, qui s’appuient sur des processus légitimes et des outils autorisés, sont par nature furtives : les intrusions deviennent presque invisibles dans le flux normal d’activité du réseau. Leur détection avec les outils traditionnels de cybersécurité et de supervision devient alors extrêmement difficile.
De la détection à la prédiction
Si les outils traditionnels peinent à identifier les attaques LOTL et les zero-day, la question devient : que faut-il changer ?
Un premier levier concerne le lieu et la manière dont les menaces sont détectées. Dans les environnements télécoms, les attaques se produisent à la vitesse du réseau et ciblent souvent les technologies opérationnelles (OT), telles que les éléments du cœur de réseau, les plateformes de gestion et les systèmes de signalisation. La détection doit donc s’effectuer en temps réel, à grande échelle, sans ajouter de latence ni perturber les services.
Plutôt que de s’appuyer sur des signatures d’attaque connues ou des règles rigides, les approches les plus avancées reposent sur l’analyse comportementale. Elles identifient les écarts par rapport aux activités normales du réseau, y compris sur des protocoles spécifiques aux télécoms, même en l’absence d’un exploit connu — ce qui est crucial pour se protéger contre les menaces zero-day.
Un exemple de cette approche est l’« moteur de clustering non supervisé », capable de détecter de manière autonome des schémas d’attaque grâce à une inspection continue des paquets. Contrairement aux méthodes reposant uniquement sur des signatures existantes, cette analyse dynamique permet d’identifier des techniques d’attaque nouvelles ou personnalisées.
Les réseaux télécoms sont des environnements complexes, multi-fournisseurs, combinant systèmes hérités, virtualisés et cloud natifs. Cette complexité crée des angles morts que les attaquants exploitent, notamment lorsqu’ils se déplacent latéralement dans le réseau.
Une visibilité homogène sur l’ensemble des environnements OT — incluant le trafic réseau, les interfaces de gestion et les systèmes de contrôle critiques — est donc essentielle. Sans cela, les équipes de sécurité doivent composer avec des informations fragmentées issues de systèmes cloisonnés, ce qui ralentit la réponse et accroît les risques.
Réduire le bruit pour renforcer la confiance
La fatigue liée aux alertes constitue un autre défi croissant. À mesure que le volume de menaces augmente, la multiplication d’alertes issues d’outils isolés peut submerger les équipes et masquer les incidents réels.
Les approches de sécurité fondées sur la corrélation et l’analyse unifiée permettent d’y remédier, en reliant les événements entre eux pour offrir une vision contextualisée des incidents. Cette approche est particulièrement efficace pour détecter les attaques LOTL, qui se dissimulent dans des processus opérationnels légitimes.
En réduisant les faux positifs, les doublons et les signaux parasites, les équipes de sécurité peuvent se concentrer sur les alertes réellement critiques.
La chasse aux menaces pilotée par l’IA
L’IA est de plus en plus utilisée non seulement pour la détection, mais aussi pour la chasse proactive aux menaces. En analysant les comportements dans le temps et en s’adaptant aux évolutions du réseau comme aux nouvelles techniques d’attaque, elle permet d’identifier des schémas subtils que les méthodes manuelles ne détectent pas.
Cela favorise des opérations de sécurité plus autonomes, réduisant les tâches manuelles et permettant aux équipes humaines de se concentrer sur les décisions stratégiques liées aux risques et à la résilience.
De la réaction à la résilience
Pris ensemble, ces évolutions marquent une transition vers une cybersécurité prédictive : anticiper les attaques, en limiter l’impact et garantir la continuité des services.
Pour les CSP, de plus en plus impliqués dans la gestion d’infrastructures critiques nationales, cette évolution devient essentielle. Les exploits zero-day et les techniques LOTL ne sont plus des cas isolés, mais des réalités persistantes, dont la fréquence ne devrait qu’augmenter dans les années à venir.
Dans ce contexte, ce n’est plus la capacité de réaction, mais la résilience qui définira la prochaine génération de réseaux télécoms sécurisés et de confiance.
____________________________
Par Gerald Reddig, Global Cybersecurity Market Strategy Director, Nokia
____________________________
puis