Une urgence?    1-866-246-2848

Pourquoi vous devriez vous inquiéter d’Emotet ?

par | février 2020 | Non classifié(e) | 0 commentaires

Les risques de Emotet

Vous ne savez pas ce qu’est Emotet ? Normal, puisque vous avez bien d’autres chats à fouetter. Pourtant, Emotet représente une menace en cybersécurité qui pourrait mettre en péril la résilience de votre entreprise.

Emotet, c’est quoi ? 

C’est un Cheval de Troie qui se cache dans des pièces jointes de courriers électroniques.

Sa particularité ? Ce maliciel combine deux éléments dangereux :

  1. Il emploie des techniques de camouflage sophistiquées qui le rendent indétectable aux yeux des logiciels de sécurité commun, comme les traditionnels anti-virus. En effet, en plus de se cacher, il possède des fonctionnalités dites polymorphiques, c’est-à-dire qu’il peut à lui seul prendre une nouvelle forme lorsqu’il est détecté, tout en persistant dans votre réseau.
  2. Il est très habile pour se répandre de lui-même dans un réseau. Il ne lui faut qu’un seul poste infecté et il trouvera son chemin à travers votre réseau pour effectuer les opérations pour lesquelles il a été conçu.

Donc un peu comme pour le VIH chez l’humain, votre réseau informatique peut être infecté et complètement compromis sans que vous vous en aperceviez. La durée moyenne d’une infection en entreprise avant sa détection est de plus de 300 jours. Et pour tout vous dire, Emotet fait des ravages depuis plus de 5 ans à travers le monde sans que personne n’ait été en mesure de l’arrêter.

Pourquoi devriez-vous vous soucier de ce vers informatique ?

Le problème principal tient au fait qu’une fois détecté, il est habituellement trop tard pour vous. En effet, dans la majorité des cas, votre département TI ne s’en apercevra que lorsque vos systèmes seront complètement chiffrés par un rançongiciel, préalablement introduit par Emotet, et probablement combiné avec une fuite (et vol) de vos données tout juste avant leur chiffrement.

En cas d’infection, les enjeux pour votre entreprise sont bien plus grands que vous ne l’imaginez. En effet, parmi les risques que vous encourez, outre la perte de données critiques, vous devrez certainement faire face à :

  • l’interruption potentielle de vos opérations en raison de pannes informatiques, se comptant en moyenne plus en semaines qu’en jours ;
  • l’atteinte à la réputation de votre organisation ;
  • les obligations de divulguer une fuite de données ;
  • et les poursuites potentielles…

Bref en d’autres termes, une infection peut vite tourner à la catastrophe !

A titre d’exemple, une compagnie d’assurance canadienne aurait payé une rançon de 950 000 $ US à des pirates…

Si vous vous croyez à l’abri, voyez par exemple la courte liste suivante des entreprises qui ont déclaré publiquement avoir été infectées et les conséquences qu’elles ont vécues : Desjardins, Piscines Trévi, Commission scolaire Des Chênes, Bonjour-santé, Ville de Longueuil, MRC de Mékinac, Revenu Québec, Centre d’histoire Sir-William-Price, Société historique du Saguenay, CIUSSS du Centre-Sud-de-l’Île-de Montréal, etc.
Tel que le démontre cette liste, très incomplète, aucune organisation, peu importe sa taille ou son industrie, n’est épargnée. Voir à ce sujet l’avis du gouvernement américain auprès des entreprises et organisations gouvernemental.

Comment est-ce possible ?

Il faut comprendre que toutes les fonctionnalités avancées d’Emotet ont une raison d’être. L’objectif du groupe criminel derrière Emotetest d’infecter votre réseau informatique pour mieux revendre un accès à celui-ci (et à toutes vos données) à un tiers de la communauté des cybercriminels. Ils ont donc tout intérêt à passer inaperçu par votre département TI.

Ce qui veut dire qu’une fois que Emotet vous a infecté, ses concepteurs font de l’argent en revendant vos systèmes infectés à des comparses, qui à leur tour, vont exploiter ces accès selon la nature de leurs propres activités. Et cette communauté est large. Trickbot, Quakbot et Ryuk sont des invités réguliers à participer à la fête :

  • Trickbot est un cheval de troie bancaire capable de voler les données des navigateurs et applications comme vos données d’identification de connexion mais aussi vos données de saisie automatique ;
  • Qakbot est aussi un cheval de troie bancaire qui peut enregistrer les frappes de touches, les activités de navigation sur le Web, les cookies enregistrés, les mots de passe, et donc aussi entraîner des vols d’identité.
  • Ryuk est un autre cheval de troie capable de voler des données sensibles mais surtout d’identifier les ressources stratégiques. Le maliciel chiffre les données du système ainsi que celles de tous les disques avec lequel il est connecté. Inversement, il prend soin d’effacer tous les fichiers de sauvegarde qu’il rencontre sur son chemin, y compris les « shadows copies » réalisées par Windows.

Que faire en tant que dirigeant d’entreprise ?

Emotet n’est pas la seule raison pour laquelle vous devriez vous préoccuper de la cybersécurité de vos systèmes. Comme dans le milieu de la santé humaine, les menaces sont nombreuses et vous n’avez personnellement que peu de temps à consacrer à celles-ci.

Donc comment vous assurer que votre organisation a les commandes en main ? La recette est à la fois complexe dans les détails, mais simple en termes de gestion :

  1. Assurez-vous que la responsabilité en matière de cybersécurité est déléguée officiellement à un membre de la direction ;
  2. Assurez-vous que ce dernier ait les ressources nécessaires pour ses fonctions : internes ou externes ;
  3. Assurez-vous que vous possédez de très bonnes copies de sauvegardes et les bons mécanismes de surveillance;
  4. Comme pour la prévention des incendies : mieux vaut prévenir que guérir. Un plan de gestion d’incident de cybersécurité est donc essentiel ;
  5. Intégrez à ce plan les expertises nécessaires à sa réalisation : juristes, assurances, cybersécurité et relations publiques  

Pour cela, Forensik peut vous accompagner à mettre en oeuvre ce plan de gestion à travers notre offre ReaKtion.

Comment notre service ReaKtion peut-il vous aider ?

ReaKtion est notre service de réponse à un incident de cybersécurité qui permet de préparer votre organisation au pire, tout en vous offrant de la flexibilité dans vos investissements.

En souscrivant à ce service, plusieurs avantages s’offrent à vous :

  1. vous serez préparés en cas de cyberattaque et donc vous gagnerez un temps considérable en cas d’incident
  2. nos spécialistes sont disponibles 24/7
  3. notre équipe de gestion des incidents traitera en priorité votre demande d’intervention face aux clients non abonnés
  4. nos experts interviendront avec du matériel et des logiciels à la fine pointe de la technologie pour réduire les impacts
  5. vous pouvez utiliser votre solde annuel en prévention

Pour en savoir plus, contactez-nous !