Salt Typhoon, rootkits et conformité

Lorsque les responsables américains ont commencé à parler publiquement de l'acteur menaçant connu sous le nom de Typhon de selIl était clair que cela dépassait le cadre de simples attaques désorganisées. Mais pour les responsables de la conformité, la question la plus importante était de savoir comment une campagne de cette ampleur pouvait se dérouler aussi longtemps au sein de systèmes censés être conformes.

Au centre de cet espace se trouve un point focalPourtant, de nombreuses organisations pensent avoir déjà réglé ce problème… à savoir, les rootkits.

Pourquoi le typhon du sel représente une menace pour la conformité

Typhon de sel (alias Terre Estrie, Empereur fantôme, CélèbreMoineau et UNC2286Salt Typhoon est le nom donné par les agences de renseignement et de cybersécurité américaines à une campagne de cyberespionnage liée à la Chine, révélée au grand public fin 2024 et début 2025. Contrairement à de nombreux incidents de cybersécurité majeurs, Salt Typhoon n'était pas associé à des rançongiciels ni à des vols de données manifestes. Il s'agissait plutôt d'une opération discrète et de longue haleine visant à obtenir un accès permanent aux infrastructures de télécommunications et de réseau des États-Unis et des pays alliés.

Salt Typhoon ciblait l'infrastructure de télécommunications centrale plutôt que des terminaux ou des applications individuels. En s'infiltrant dans les couches de gestion du réseau et les systèmes d'identité, les attaquants pouvaient observer et potentiellement influencer les communications sans déclencher d'alertes classiques.

Ceci pose problème aux experts en conformité. La plupart des cadres de conformité partent du principe que le risque peut être géré par une combinaison de contrôles documentés, de restrictions d'accès, de journalisation et d'évaluations périodiques. Salt Typhoon a démontré qu'un adversaire peut remplir toutes ces conditions et rester indétecté. Il ne s'agissait pas d'un problème de sécurité, mais d'un problème de gouvernance.

Pourquoi les rootkits constituent un problème de conformité

Pour de nombreux responsables de la conformité et de la gouvernance, le terme rootkit Cela donne l'impression d'être un vestige d'une autre époque de la cybersécurité, quelque chose associé aux logiciels malveillants et aux anciens systèmes d'exploitation. Salt Typhoon illustre bien l'évolution de ces tactiques.

Salt Typhoon illustre cette évolution. Plutôt que d'installer des logiciels malveillants ou de modifier des fichiers système, la campagne s'est appuyée sur des voies d'accès et des outils d'administration de confiance. Les attaquants n'avaient pas besoin de dissimuler de fichiers ou de processus, car ils agissaient dans des environnements auxquels la plupart des organisations font naturellement confiance. 

C’est ce qui rend les activités de type rootkit modernes si dangereuses du point de vue de la conformité. Les modèles de sécurité traditionnels supposent que les comportements malveillants enfreignent les politiques, déclenchent des alertes ou laissent des traces numériques. Salt Typhoon a démontré qu’un adversaire sophistiqué peut se passer de tout cela et conserver un accès étendu et durable. Les attaquants n’ont pas tant contourné les contrôles qu’ils n’ont opéré en toute aisance au sein de ceux-ci.

Le point aveugle de la conformité : le typhon du sel mis au jour

La plupart des cadres de conformité sont conçus en partant du principe que les failles de sécurité seront visibles. Or, ce principe est de plus en plus erroné.

Le typhon Salt a révélé plusieurs angles morts structurels qui existent dans les environnements réglementés.

• Premièrement, de nombreux programmes de conformité privilégier la vérification plutôt que l'efficacitéDes politiques existent, des journaux sont collectés et des contrôles d'accès sont effectués. Cependant, ces contrôles sont souvent évalués isolément, sans tenir compte de leur capacité à détecter une intrusion. 
• En second lieu, Les cadres de conformité s'appuient souvent sur des limites théoriques plutôt que pratiques.Les périmètres de réseau et les limites d'autorisation sont toujours utilisés pour définir les responsabilités, même lorsque les attaquants opèrent au-delà de ces périmètres. 
• Troisièmement, Les évaluations de conformité sont généralement des exercices statiquesL’incident Salt Typhoon a démontré le danger de ce modèle. Une organisation peut réussir un audit et être malgré tout compromise le lendemain, voire l’être déjà pendant l’audit lui-même.

Ces problèmes deviennent particulièrement évidents lorsqu'on examine comment les principaux cadres de conformité traitent les comportements de type rootkit.

Comment le NIST lutte contre les menaces de type rootkit

Les publications du NIST constituent le fondement de nombreux programmes de conformité américains, notamment FedRAMP et CMMC. Théoriquement, le NIST offre une couverture étendue des types de menaces que représente Salt Typhoon. En pratique, cependant, les contrôles sont souvent interprétés de manière trop restrictive.

NISTSP 800-53

NIST800-53 Il comprend des contrôles étendus relatifs au contrôle d'accès, à l'intégrité du système, à la surveillance et à la gestion des incidents. Les familles de contrôles concernées incluent :

• Le contrôle d'accès (AC) régit l'accès privilégié et la séparation des tâches. 
• L'AU (Audit et Responsabilité) définit les attentes en matière de journalisation et de surveillance. 
• L'IA (Identification et Authentification) traite de la garantie d'identité. 
• SC (Protection des systèmes et des communications) couvre la sécurité du réseau. 
• L'intégrité des systèmes et des informations (SI) traite de la détection des logiciels malveillants et des anomalies. 

Le problème est que ces mesures sont souvent mises en œuvre incorrectement ou au mauvais niveau. Par exemple, votre organisation pourrait sécuriser les appareils et les applications des utilisateurs finaux sans prendre en compte l'infrastructure réseau et les politiques de gouvernance essentielles en dehors de ces familles de contrôle. 

NIST SP 800-171 et 800-172

NIST800-171 et sa version améliorée, NIST800-172, sont particulièrement pertinentes car elles traitent explicitement des menaces persistantes avancées.

Ces cadres mettent l'accent sur :

• Un suivi continu plutôt qu'un examen périodique. 
• Détection des comportements anormaux. 
• Protection contre les adversaires sophistiqués. 
• Journalisation et auditabilité améliorées. 
• Chasse aux menaces et défense proactive. 

Cependant, dans de nombreux programmes de conformité, ces contrôles sont considérés comme des objectifs plutôt que comme des processus. Ils sont documentés, mais insuffisamment dotés des ressources nécessaires. L'affaire Salt Typhoon illustre ce qui se produit lorsque des adversaires exploitent précisément cette faille.

CMMC et le défi de l'accès persistant

Le CMMC vise à rehausser le niveau de sécurité des organisations traitant des informations non classifiées contrôlées. À des niveaux de maturité plus élevés, il prend explicitement en compte les menaces avancées et les adversaires persistants.

Salt Typhoon met en lumière un défi pratique pour la conformité CMMC : la mise en place de contrôles pour se défendre contre les APT ne se fait pas automatiquement.

Une organisation peut être entièrement conforme au CMMC (et, par définition, aux normes NIST 800-171 et 800-172) et pourtant ne pas détecter un adversaire opérant discrètement au sein de systèmes de confiance.

FedRAMP et l'illusion de la sécurité des frontières

FedRAMP a réalisé des progrès considérables ces dernières années, notamment en mettant l'accent sur les principes de confiance zéro, la surveillance continue et la gestion des risques liés à la chaîne d'approvisionnement. Cependant, l'attaque Salt Typhoon souligne un défi persistant pour les fournisseurs de services cloud et d'infrastructure.

FedRAMP 20x repose fortement sur des limites de système définies, des artefacts de surveillance continue, l'agrégation et l'analyse des journaux, et des évaluations périodiques. 

Cependant, des adversaires sophistiqués opèrent de plus en plus en dehors de ces limites, tout en influençant les systèmes qui s'y trouvent. Lorsqu'ils compromettent l'infrastructure d'identité, le routage réseau ou les couches de télécommunications, ils n'interagissent généralement jamais directement avec les systèmes couverts par l'autorisation FedRAMP. Il en résulte une fausse impression de sécurité : les contrôles semblent efficaces, mais l'environnement dans son ensemble est compromis.

Ce que les responsables de la conformité doivent retenir

Le typhon salé est une nouvelle réalité pour les responsables de la conformité en 2026. Les menaces émergent par l'exploitation patiente des systèmes de confiance.

Salt Typhoon souligne pourquoi des référentiels comme NIST, CMMC et FedRAMP continuent d'évoluer vers une surveillance continue, les principes de confiance zéro et un contrôle comportemental. Pour les responsables de la conformité, l'avenir réside dans l'abandon des listes de contrôle et la compréhension du comportement de ces mécanismes sous pression.

Nous fournissons un soutien en matière de gestion des risques et de conformité pour chaque cadre réglementaire et de conformité majeur du marché, notamment :

• FedRAMP
• GovRAMP
• GDPR
• NIST800-53
• DFARS NIST 800-171, 800-172
• CMMC
• SOC 1, SOC 2
• HIPAA
• PCI DSS 4.0
• IRS 1075, 4812
• COSO SOX
• Série ISO 27000
• Série ISO 9000
  
• CJIS
• Plus de 100 cadres

Et bien plus encore. Nous sommes la seule solution de gestion des risques et de conformité autorisée par FedRAMP et StateRAMP au monde.

Continuum GRC est une cybersécurité proactive® et le seul FedRAMP et Autorisé par l'ÉtatRAMP Plateforme mondiale d'audit de cybersécurité. Appelez le 1-888-896-6207 pour discuter des besoins de votre organisation en matière de cybersécurité et découvrir comment nous pouvons vous aider à protéger vos systèmes et à garantir votre conformité.