Les réseaux mobiles n'ont jamais été aussi connectés. Les téléphones fonctionnent presque partout et permettent aux utilisateurs de passer sans difficulté d'un pays et d'un réseau à l'autre. Cette interconnectivité rend possible l'itinérance, assure le bon fonctionnement du commerce mondial et supporte toutes les activités, des services bancaires mobiles aux appels internationaux. Mais une plus grande 'interconnectivité s'accompagne d'une exposition accrue. Chaque connexion a un autre réseau est un point d'entrée potentiel pour une attaque, et ces points d'entrée se multiplient tous les jours.
Sur l'année dernière, les réseaux ont été confrontés à des menaces diversifiées, allant des rançongiciels (ransomwares) et fuites de données jusqu'aux campagnes DDoS à grande échelle utilisant des proxys résidentiels et des changements rapides d'adresses IP pour submerger plus de 1 000 cibles simultanément. De plus, les cybercriminels utilisent désormais l'IA et l'automatisation pour lancer des attaques plus rapides et plus ciblées qui se fondent dans le trafic légitime et s'adaptent en temps réel aux contre-mesures. Dans le secteur des télécommunications, nous avons constaté une augmentation des cyberattaques, allant des attaques d'ingénierie sociale, qui mettent hors ligne des services entiers, aux logiciels malveillants cachés dans les protocoles d'itinérance qui échappent à la détection pendant des semaines.
Malheureusement, il y a des disparités dans les niveaux de sécurité entre les opérateurs mobiles. Certains réseaux utilisent encore certains protocoles traditionnels, tels que le SS7 qui ont été conçus avant la prolifération de la cybercriminalité à grande échelle. Environ 3,9 milliards d'abonnés sont encore connectés à des systèmes SS7, et cela représente une surface d'attaque suffisamment importante que les cybercriminels puissent exploiter.
Itinérance : une vulnérabilité sous-estimée
L'itinérance permet aux utilisateurs de rester connectés lors de leurs déplacements à l'étranger. Elle repose sur des protocoles de signalisation partagés et des accords de longue date entre opérateurs Mais ces mêmes éléments introduisent des angles morts. Aussi bien que les opérateurs qui ont évolué vers des protocoles de signalisation aux normes plus récentes se voient forcés de maintenir des protocoles plus anciens et moins sécurisés pour pouvoir offrir l'itinérance à leurs abonnés avec des opérateurs qui n'ont pas évolué leurs protocoles de signalisation.
Cela crée des opportunités pour les cybercriminels qui savent comment exploiter ces lacunes. Après avoir pénétré les défenses d'un partenaire vulnérable, ils peuvent pivoter vers des environnements plus sécurisés, en masquant leur activité dans les flux de trafic légitimes. Divers logiciels malveillants, comme le GTPDOOR qui dissimule les communications dans la signalisation GTP-C standard, et sont particulièrement conçus pour contourner entièrement les défenses traditionnelles.
De telles vulnérabilités sont encore plus évidentes dans les environnements d'itinérance, où la signalisation doit être transférée entre plusieurs opérateurs, principalement de deux pays différents. Cela crée un manque s de visibilité et offre davantage d'opportunités aux attaquants de dissimuler des activités malveillantes au sein d'un trafic par ailleurs légitime.
La nécessité d'une détection proactive des menaces
Les opérateurs télécoms utilisent depuis longtemps des systèmes de détection d'intrusion pour repérer les activités suspectes. Ces outils sont conçus pour détecter les menaces en se basant sur des signatures connues ou des comportements anormaux sur le réseau. Ils constituent un élément clé de la détection, mais ils découvrent souvent les problèmes après coup, lorsque le mal est déjà fait.
Une approche qui intervienne plus tôt dans le processus est donc nécessaire. Dans les environnements d'interconnexion entre-opérateurs, généralement, les menaces ne deviennent visibles que tardivement. Lorsque des anomalies sont détectées, l'intrusion a très probablement déjà eu lieuet l'attaquant a réussi à s'implanter. Une détection proactive des menaces pourra révéler des indicateurs précoces d'activités anormales, même en l'absence de signature connue ou si les seuils de référence ne sont pas dépassés.
De plus en plus, les opérateurs se tournent vers des structures, tels que le Mobile Threat Intelligence Framework (MoTIF) de la GSMA, pour mieux comprendre comment les pirates opèrent sur les réseaux mobiles, de la 2G à la 5G. Cette approche structurée décompose les menaces, telles que la fraude, l'usurpation d'identité et l'usurpation de signalisation, aidant les équipes de sécurité à harmoniser leurs méthodes de détection et à coordonner des contre-mesures plus rapides et plus cohérentes.
En parallèle, les centres des opérations de sécurité subissent une pression croissante. Une de nos récentes études montre qu'avec 360 000 incidents par an, le triage des incidents peut rapidement se transformer en goulot d'étranglement. En effet, sans outils intelligents pour faire le tri, certaines menaces passent entre les mailles du filet ou ne sont détectées qu'après avoir causé des dommages.
Le rôle évolutif de l'IA dans la sécurité des télécommunications
Les cybercriminels utilisent de plus en plus l'IA générative pour lancer des attaques sophistiquées plus rapidement et à plus grande échelle. Les outils qui nécessitaient autrefois une expertise technique, incluant la génération de logiciels malveillants, la création d'appâts de phishing ou l'adaptation en cours d'attaques, sont désormais largement accessibles. Ils ont pour conséquence d'augmenter la fréquence et la sophistication des attaques contre les réseaux de télécommunications. En réponse, les Opérateurs Télécoms explorent également l'IA générative afin de réduire les temps de réponse aux incidents et d'améliorer la détection en renforçant les analyses au sein de leurs centres des opérations de sécurité. Dans cette course à l'IA en temps réel, le parti qui dispose des outils les plus rapides et les plus adaptatifs aura l'avantage.
L'IA est donc devenue un élément central de la détection des menaces, en particulier dans les environnements combinant des volumes de données importants et des interactions complexes. Les modèles d'IA peuvent analyser la télémétrie (telemetry), identifier des écarts subtiles et corréler l'information entre différents flux qui, autrement, resteraient cloisonnés. L'IA améliore la précision de la détection tout en réduisant les faux positifs.
Elle permet également l'automatisation des contre-mesures. Lorsqu'une anomalie est détectée, l'IA peut déclencher des mesures d'endiguement, bloquer le trafic suspect, isoler les systèmes affectés ou lancer des workflows de protection spécifiques. Cela permet de réduire d'une part la pression sur les équipes de sécurité et d'autre part d'accélérer le rétablissement des activités.
Mais le progrès technologique fait aussi évoluer les menaces. Les attaques par déni de service distribué (DDoS) ont considérablement augmenté, avec une hausse constatée de 166 % du volume de trafic au cours de l'année dernière. Elles sont désormais en grande partie basées sur des techniques adaptatives. Au lieu d'utiliser des vecteurs fixes, les attaquants changent de tactique en cours d'attaque, réagissant en temps réel aux défenses. De plus, 60 % de tout le trafic DDoS en 2024 provenaient de botnets. Les proxys résidentiels sont utilisés à grande échelle, donnant aux attaquants accès à des millions d'adresses IP apparemment propres.
Des groupes tels que Killnet et NoName016(57) exploitent activement ces outils pour lancer des attaques de faible ampleur, mais à fort impact, sur des infrastructures de télécoms, et souvent pour des raisons géopolitiques. Leur tactique principale est basée sur l'anticipation des contre-mesures, et la seule façon de contrer cela est avec la collecte d'information en temps réel complémentée d'une assistance décisionnelle autonome.
Ne pas confondre sécurité des télécommunications et sécurité informatique
Une idée préconçue laisse croire que les outils de sécurité destinés aux entreprises suffisent aux opérateurs télécoms, alors qu'en réalité, les réseaux de télécommunications sont fondamentalement différents. Les systèmes informatiques gèrent des applications, des terminaux et des centres de données, en plus de cela, l'infrastructure télécom inclut des protocoles de signalisation, tels que Diameter et GTP, des fonctions de réseaux multifournisseurs et des millions d'appareils connectés à travers des couches cœurs, RAN et transport.
Un pare-feu ou un outil de détection des menaces conçu pour des systèmes informatiques peut manquer des menaces dissimulées dans le trafic de signalisation, ou ne pas être assez réactif pour préserver la disponibilité du réseau. Des défenses spécialement conçues pour les télécoms, telles que les solutions EDR (Endpoint Detection and Response) critiques, les XDR (Extended Detection and Response) spécifiques aux télécoms et la détection d'intrusions par paquets, sont nécessaires pour maintenir les performances et détecter les attaques visant divers services, tels que l'itinérance, la VoLTE ou le slicing en 5G.
Ces outils doivent être conformes aux réglementations et aux normes spécifiques aux télécommunications, telles que la 3GPP et la NIS2, qui exigent la divulgation des incidents sous 24 heures. A mesure que la barre que les réglementations deviennent plus exigeants, les conséquences d'une non-conformité sont plus lourdes que jamais pour les entreprises. Par exemple, en vertu de la loi britannique sur la sécurité des télécommunications (UK Telecom Security Act), toute non-conformité peut entraîner des amendes pouvant atteindre 10 % du chiffre d'affaires mondial, ou 100 000 livres sterling par jour.
Sécurité quantique
Si la plupart des menaces actuelles exigent une attention immédiate, il y a une prise de conscience croissante des risques qui façonneront le paysage de la sécurité dans un avenir proche. Un des risques les plus importants est l'impact potentiel de l'informatique quantique sur la confidentialité du trafic réseau et des données des abonnés.
Pour les opérateurs télécoms, l'informatique quantique est déjà un facteur clé dans leur réflexion sur la sécurité des données à long terme. Les données cryptées aujourd'hui pourraient être stockées et illégalement décryptées ultérieurement grâce au développement continu des fonctionnalités quantiques. En fait, on estime à 11 % la probabilité que le chiffrement RSA-2048 puisse être cassé d'ici cinq ans, et cela grimpe à plus de 31 % d'ici dix ans. Cela est très important pour les infrastructures qui traitent des données sensibles ou à longue durée de vie, telles que la signalisation, l'itinérance et le profil des abonnés. En conséquence, les opérateurs de télécoms commencent à adopter dès aujourd'hui la cryptographie post-quantique pour se protéger contre de futurs risques de décryptage abusif. Les analystes estiment que le marché de la cryptographie post-quantique doublera d'ici 2028 pour atteindre 530 millions USD, Cette évolution reflète une tendance croissante à privilégier une adoption anticipée et pragmatique, au lieu d'attendre que les menaces n'émergent.
Pour devancer ces risques, il est nécessaire d'examiner comment les données circulent sur les réseaux, en particulier lorsque l'interopérabilité, la diversité des fournisseurs ou les systèmes traditionnels augmentent l'exposition aux menaces. Cela inclut identifier les endroits où les protections cryptographiques actuelles pourraient s'avérer insuffisantes dans les années à venir. Les réseaux de télécommunications assurent non seulement les communications personnelles et professionnelles, mais aussi les services sensibles liés aux infrastructures nationales. Ils constituent donc des cibles de choix pour les attaquants aux objectifs à long terme. En se préparant dès maintenant, les opérateurs disposeront d'une plus grande flexibilité pour mettre à niveau leurs systèmes d'une manière progressive plutôt que d'avoir à travailler dans l'urgence lorsque les menaces quantiques deviennent immédiates.
Un changement de mentalité
Les outils de défense contre les menaces actuelles évoluent. La détection basée sur les signatures fait toujours partie de l'arsenal de protection, mais ne suffit plus à elle seule. Il faudra la combiner avec des détections d'anomalies, avec des outils d'automatisation agissant en temps réel et avec une coordination plus étroite entre les réseaux.
Les attaquants collaborent entre eux, et les stratégies de défense doivent s'adapter à cela. Grâce au partage des informations sur les menaces, comme dans le cadre de MoTIF et en tissant des liens plus étroits entre les outils d'IA et les équipes opérationnelles, les entreprises peuvent passer d'une approche réactive vers une stratégie plus active et coordonnée.
Cela répond à une réelle nécessité. Les tendances récentes montrent à quel point ces menaces sont devenues variées et évoluent rapidement. En Amérique du Nord, certains opérateurs de télécoms ont été confrontés à des campagnes de rançongiciel (ransomware) dont l'ampleur est indicative de groupes parrainés par des États. En Asie de l'Est, plusieurs fuites de données ont été causées par une exposition accidentelle, plutôt qu'à la suite d'attaques ciblées. En Europe de l'Ouest, on constate une augmentation des violations de données dont les motifs sont financiers et liés à l'espionnage. De manière générale, les attaques DDoS sont de plus en plus difficiles à gérer. En 2024, 13 % des attaques de type « carpet-bombing » ont ciblé 256 adresses IP ou plus, dont près de 3 % ont ciblés plus de 1 000 adresses.
Les nouvelles technologies exercent une pression des deux côtés. Si l'IA générative est utilisée à développer des attaques plus rapides et plus ciblées, elle aide également les défenseurs à réduire les temps de réponse et à prioriser les incidents plus efficacement. L'informatique quantique fait également partie du paysage technologique. Plus son intégration dans des applications se concrétise, plus les craintes concernant la sécurisation des réseaux contre les menaces futures augmentent. Le marché de la cryptographie post-quantique devrait atteindre 246 millions de dollars cette année, mené par la nécessité de protéger les données sensibles avant que ces menaces ne deviennent une réalité.
Il s'agit moins d'une mise à niveau tactique que d'un réalignement stratégique. Les réseaux deviennent plus complexes, les menaces plus ciblées et les réglementations exigent des mesures plus réactives. Elaborer une posture de capable d'adresser de telles exigences n'est possible qu'en intégrant des fonctionnalités et des outils d'intelligence à chaque couche, de manière proactive, collaborative et à grande échelle.
