Salt Typhoon : l’IA pour détecter quand la politique hésite

Un État peut choisir de ne pas sanctionner. Un attaquant, lui, ne choisit pas d’attendre.

L’info derrière l’affaire « Salt Typhoon » (campagne attribuée à des acteurs chinois) est moins un feuilleton diplomatique qu’un signal opérationnel : même quand une attaque est reconnue, la réponse politique peut rester limitée. Pour les entreprises et les administrations, ça change tout. Le risque n’est pas seulement l’intrusion — c’est la durée d’exposition, la discrétion des outils, et la répétition.

Dans cette série « Intelligence artificielle dans la cybersécurité », je défends une idée simple : quand la dissuasion étatique et les mécanismes de sanction n’alignent pas le tempo, la détection et la réponse doivent devenir plus rapides, plus automatiques, plus intelligentes. Salt Typhoon, le malware « furtif » évoqué par des responsables, et même les lenteurs de nomination côté agences (type CISA) pointent vers la même conclusion : la protection ne peut pas dépendre d’un calendrier politique.

Quand un État ne sanctionne pas, l’attaquant garde l’initiative

Réponse directe : l’absence de sanction n’efface pas la menace ; elle augmente la probabilité que l’adversaire continue, teste, et industrialise.

Les sanctions ne sont pas une technique de sécurité, c’est un outil de politique étrangère. Elles prennent du temps, elles se négocient, elles se calibrent. Et parfois, elles n’arrivent pas — pour des raisons de priorités, d’arbitrages économiques, de stratégies d’escalade/désescalade.

Pour un RSSI, une DSI ou un dirigeant, la bonne lecture est pragmatique : si l’attaquant n’est pas « coûté » immédiatement, il a un terrain favorable pour :

• Recycler les mêmes infrastructures (domaines, serveurs, relais) plus longtemps
• Affiner les TTP (tactiques, techniques, procédures) sans forte pression
• Multiplifier les cibles en s’appuyant sur la furtivité et l’automatisation

« La géopolitique peut ralentir la réponse. Les paquets réseau, eux, ne ralentissent jamais. »

En décembre 2025, ce décalage est particulièrement saillant : les organisations accélèrent leur transformation (cloud, SaaS, IA interne), pendant que les menaces étatiques misent sur l’espionnage silencieux et l’accès long terme.

Salt Typhoon et la réalité des attaques “silencieuses”

Réponse directe : les campagnes d’espionnage modernes visent la persistance et l’observation, pas le bruit — et c’est précisément là que l’IA est utile.

Les attaques attribuées à des acteurs étatiques (ou para-étatiques) recherchent souvent :

• l’accès aux messageries et aux identités (pour se déplacer sans alerter),
• des points d’observation dans les réseaux (pour cartographier),
• des données à forte valeur (juridique, R&D, gouvernance, appels d’offres),
• des accès réutilisables (tokens, clés, comptes de service).

Le problème : les signaux sont faibles. Les journaux sont incomplets. Les comportements semblent « plausibles ». Et plus l’organisation est grande, plus l’aiguille se cache dans la botte de foin.

Pourquoi les contrôles classiques ratent ces campagnes

Réponse directe : les règles statiques et les IOC seuls sont trop lents face à des adversaires patients.

Les approches traditionnelles reposent sur : signatures, listes de blocage, règles SIEM, alertes EDR « standards ». Ça marche très bien contre du crime opportuniste.

Mais une campagne furtive sait :

1. Varier les indicateurs (hashs, noms de fichiers, domaines) régulièrement
2. Utiliser des outils légitimes (LOLBins : powershell, wmic, rundll32, etc.)
3. Opérer dans les heures normales et mimer les admins
4. Limiter l’exfiltration pour éviter les pics

Le résultat ? Des alertes « moyennes » qui se perdent dans la masse. Et des compromissions qui durent.

Le malware “ultra furtif” : le signal faible devient la norme

Réponse directe : plus un malware est discret, plus la détection doit être comportementale — et donc assistée par IA.

Le RSS mentionne des avertissements officiels sur un spécimen de malware particulièrement furtif. Même sans détails techniques complets, on peut décrire le pattern que je vois le plus souvent dans les incidents avancés :

• charge utile modulable (plugins)
• exécution en mémoire (moins d’artefacts disque)
• chiffrement/obfuscation des communications
• temporisation et déclenchement conditionnel
• usage de comptes valides et d’API cloud

Autrement dit, le malware devient un “processus métier” parasite : il se confond avec l’activité normale.

Ce que l’IA sait faire mieux que nous dans ce contexte

Réponse directe : l’IA repère les incohérences à grande échelle, là où l’humain ne peut pas corréler.

L’IA (et plus largement le machine learning) apporte une valeur forte sur :

• Anomalies de comportement : connexions inhabituelles, séquences d’actions atypiques, élévations de privilèges « pas comme d’habitude »
• Corrélations multi-sources : identité + endpoint + réseau + cloud + messagerie
• Détection de mouvements latéraux : patterns de découverte, accès à des partages, scans « lents »
• Priorisation : réduire 10 000 alertes à 20 investigations crédibles

Le point clé : ce n’est pas « l’IA magique ». C’est l’IA au service d’une hygiène de données (logs complets, normalisés, exploitables) et d’un modèle opérationnel (SOC, runbooks, réponse).

IA en cybersécurité : une stratégie “policy-agnostic”

Réponse directe : vous devez pouvoir détecter et contenir une campagne d’espionnage même si personne ne sanctionne, ne communique, ou ne confirme publiquement.

Quand une nomination se bloque dans une agence, quand un communiqué tarde, quand les signaux diplomatiques sont ambigus… l’organisation n’a pas ce luxe. Elle doit agir sur ce qu’elle contrôle.

Le triptyque qui marche : identité, comportement, automatisation

Réponse directe : la combinaison IAM + analyse comportementale + réponse automatisée réduit le temps d’exposition.

Je recommande une approche en trois couches, très concrète :

1. Sécurité des identités (IAM/IGA/PAM)

   • MFA résistant au phishing quand possible
   • réduction des comptes à privilèges permanents
   • rotation et gouvernance des secrets (clés, tokens)

2. Détection comportementale pilotée par IA

   • UEBA (User and Entity Behavior Analytics)
   • détection d’anomalies sur la messagerie (règles de transfert, connexions inhabituelles)
   • analyse des graphes d’accès (qui accède à quoi, depuis où, et à quel rythme)

3. Réponse et remédiation semi-automatiques

   • quarantaine d’un endpoint à risque
   • invalidation de tokens et sessions
   • suspension de compte + reset conditionnel
   • micro-segmentation d’urgence sur un segment impacté

Phrase à garder en tête : « L’objectif n’est pas de tout bloquer. L’objectif est de raccourcir la fenêtre entre intrusion et containment. »

“People Also Ask” : l’IA remplace-t-elle un SOC ?

Réponse directe : non. Elle augmente la capacité du SOC et améliore la qualité des décisions.

Un SOC reste indispensable pour :

• contextualiser le métier (ce qui est normal vs suspect)
• trancher quand il y a ambiguïté (faux positifs)
• piloter la remédiation sans casser la production

L’IA, elle, fait gagner du temps là où l’humain s’épuise : tri, corrélation, scoring, et suggestion d’actions.

Plan d’action en 30 jours contre les menaces type Salt Typhoon

Réponse directe : vous pouvez réduire le risque rapidement en instrumentant mieux, puis en automatisant quelques réponses à fort impact.

Voici une feuille de route réaliste (et franchement plus utile qu’un grand discours) :

Jours 1–7 : rendre les attaques visibles

• Activer/valider les logs critiques : IAM, EDR, DNS, proxy, cloud, messagerie
• Centraliser dans un SIEM ou une plateforme unifiée de détection
• Définir 10 scénarios prioritaires (accès anormal, création de règles mail, élévation de privilèges, etc.)

Jours 8–15 : introduire la détection IA là où le signal est faible

• Déployer ou renforcer UEBA sur les identités et comptes de service
• Mettre en place des baselines par équipe (IT, finance, R&D)
• Exiger une corrélation identité + endpoint sur les alertes critiques (sinon, bruit)

Jours 16–30 : automatiser 5 réponses qui comptent

• Révoquer tokens/sessions en cas d’anomalie forte
• Isoler un poste si exécution suspecte + contact C2 probable
• Bloquer les règles de transfert mail externes non approuvées
• Forcer reset + MFA step-up sur accès à privilèges
• Ouvrir automatiquement un ticket enrichi (preuves, timeline, actifs touchés)

Si vous ne savez pas par quoi commencer : messagerie + identité. Dans l’espionnage, c’est souvent là que tout se joue.

Ce que cette affaire dit vraiment aux dirigeants

Réponse directe : la cybersécurité doit être conçue pour des scénarios où la réponse publique est minimale.

Salt Typhoon n’est pas seulement une histoire de sanctions. C’est un rappel que l’attaque sophistiquée est devenue une routine : patience, furtivité, et objectif d’accès durable.

La bonne nouvelle ? Les entreprises ont aujourd’hui un levier très concret : l’intelligence artificielle en cybersécurité pour détecter des comportements improbables, corréler des signaux faibles, et déclencher des actions rapides. Là où la réponse politique peut être lente, la réponse opérationnelle doit être immédiate.

Si vous deviez prendre une décision avant la fin d’année (et on est le 20/12/2025, c’est le moment des arbitrages), j’en choisirais une : investir dans une chaîne “détection IA → réponse automatisée → gouvernance des identités”. C’est le meilleur ratio effort/réduction de risque contre l’espionnage moderne.

Et la question qui reste, inconfortable mais utile : si une campagne comme Salt Typhoon vous visait demain, sauriez-vous la voir en moins de 24 heures — même si personne ne la nomme publiquement ?