Les sociétés de télécommunications figurent parmi les cibles privilégiées des cybercriminel-le-s, car elles exploitent des infrastructures essentielles. Leurs réseaux constituent le socle des communications nationales: téléphonie mobile, Internet, services d’urgence et connectivité professionnelle dépendent tous de leur bon fonctionnement ininterrompu. Une panne, une interruption de service ou une attaque ciblée peuvent avoir des conséquences à l’échelle nationale, perturber des services essentiels, impacter la sécurité publique ou l’activité économique.
Pour se défendre contre les cyberattaques, Sunrise a rassemblé une équipe de spécialistes hautement qualifiés. Le SOC est chargé de protéger l’infrastructure numérique de l’entreprise, les données client ainsi que les systèmes internes contre les cyberattaques. Son travail combine surveillance en temps réel, réponse aux incidents, vigilance face aux menaces et mesures préventives. L’ensemble de ces activités permet à Sunrise de détecter rapidement les attaques, de les stopper efficacement et d’en limiter l’impact.
Prévenir les menaces: la mission centrale du Security Operations Center (SOC) de Sunrise
Chaque mois, des entreprises comme Sunrise traitent des millions de requêtes sur leurs sites web commerciaux. Ces données servent de base à la surveillance de la sécurité, permettant de repérer rapidement des schémas inhabituels, des anomalies ou de potentielles vagues d’attaques.
Le SOC de Sunrise s’appuie sur diverses solutions de recherche, d’analyse et de corrélation d’évènements afin de collecter et traiter d’immenses volumes de données techniques provenant de l’ensemble du réseau Sunrise. Ce système open source stocke une vaste bibliothèque constamment actualisée et contenant des milliards de fichiers individuels relatifs à la sécurité.
Ces fichiers proviennent de diverses sources internes à l’infrastructure numérique: pare-feux, filtres de trafic web, services DNS, systèmes de connexion ou serveurs VPN. Chacune de ces sources apporte un élément d’information sur l’activité des systèmes accessibles au public comme sur celle des systèmes internes.
En centralisant ces données, le SOC dispose de la visibilité nécessaire pour protéger au mieux Sunrise et ses client-e-s. L’équipe intervient rapidement en cas de comportements inhabituels, enquête sur les menaces potentielles et analyse toute tentative d’attaque ou de mauvaise utilisation des services Sunrise ou des données client.
Des milliers de bots malveillants bloqués chaque mois
Parmi le trafic légitime, Sunrise identifie chaque mois plusieurs milliers de tentatives automatisées de la part de «bots malveillants». Ces derniers cherchent à tester des identifiants volés, repérer des vulnérabilités ou aspirer le contenu des sites. Le SOC analyse le trafic afin de distinguer les tentatives de connexion humaines des tentatives automatisées.
«Même lors de journées relativement calmes, le système détecte plusieurs centaines de tentatives de connexion automatisées en seulement douze heures», précise Adam Oczos, responsable de la cyberdéfense chez Sunrise. Lors des pics d’alerte, le système déclenche automatiquement des mesures de protection, bloque les requêtes malveillantes et alerte l’équipe en temps réel.
Lors des périodes d’attaques les plus intenses en 2025, Sunrise a subi des vagues ciblées de tentatives de connexion et d’attaques automatisées, qui se sont étalées sur plusieurs semaines consécutives. «Certains week-ends, nous avons observé des millions de tentatives de ce type», indique M. Oczos.
Sunrise SOC bloque chaque mois des milliers de bots malveillants, assurant ainsi la sécurité des utilisateurs/-trices et des client-e-s.
Ces incidents surviennent fréquemment la nuit ou pendant des plages horaires que les attaquant-e-s estiment moins surveillées, comme le vendredi après-midi ou lors des jours fériés. Même un faible nombre de connexions réussies peut entraîner des actions automatisées supplémentaires de la part des cybercriminel-le-s, telles que des transactions frauduleuses ou des tentatives de collecte de données personnelles.
C’est pourquoi le SOC collabore étroitement avec l’équipe interne de prévention de la fraude et le service client afin d’examiner immédiatement tout schéma de connexion suspect. Des mesures de surveillance et de sécurité de haut niveau fonctionnent en continu, 24 heures sur 24 et 7 jours sur 7, tout au long de l’année.
Les tensions géopolitiques ont favorisé l’émergence d’attaquants sophistiqués, en particulier des réseaux de bots malveillants. L’équipe accorde une attention renforcée à ces vastes réseaux d’appareils compromis, qui sont discrètement contrôlés par des auteurs/-trices de menaces cherchant à perturber les organisations, à masquer l’origine réelle des attaques ou à provoquer de puissants flux de trafic numérique susceptibles de submerger des parties d’Internet.
«Les botnets sont actuellement utilisés pour des actions allant de la paralysie d’infrastructures à la validation d’identifiants utilisateur, voire à l’obtention d’accès administrateur», explique Adam Oczos. C’est pourquoi le SOC surveille activement les auteurs/-trices de menaces en liaison avec des régions comme la Russie ou l’Iran, dès que leurs activités semblent cibler les infrastructures télécoms.
Parmi les botnets les plus connus figurent Aisuru-Kimwolf et ResHydra, que les expert-e-s disent capables de mener des attaques d’ampleur inédite, d’influencer les tensions géopolitiques ou même de menacer des infrastructures nationales. «Autrefois, les préoccupations concernaient les sites web; aujourd’hui, elles concernent les pays», déclare Craig Labovitz, responsable technologique de la division Deepfield chez Nokia, dans une citation tirée du «Wall Street Journal».
Sunrise protège ses systèmes grâce à l’intelligence collective
En combinant des techniques d'empreintes digitales, des pare-feux d'applications Web et des flux internationaux de renseignements sur les menaces, Sunrise détecte et bloque les activités malveillantes. Le trafic est filtré par des couches de sécurité hébergées dans le cloud et des contrôles internes qui bloquent automatiquement les schémas nuisibles.
Le renseignement sur les menaces est fondamental: Sunrise collabore avec des groupes européens de sécurité télécom, des organisations suisses CERT et d’autres acteurs du secteur. Ces partenariats permettent l’échange des indicateurs de compromission, de listes d’adresses IP à bloquer et d’informations sur les menaces émergentes. Le SOC intègre directement ces données dans ses systèmes, ce qui lui permet de détecter et de bloquer en temps réel l’infrastructure malveillante déjà identifiée.
En résumé, le cadre solide de cybersécurité et de cyberdéfense mis en place par Sunrise, ainsi que son approche collaborative, sont et demeurent la clé pour protéger ses activités et les données client, y compris dans un contexte marqué par des conflits et des guerres à travers le monde.