Skip to content

Questions d'entretien Cybersecurity (General)

The questions every cybersecurity candidate should be ready for — fundamentals that come up regardless of the specific role.

84 questions questions dans cette sérieLancer un quiz
AES-256 est-il radicalement plus sûr qu'AES-128 dans le monde réel ?

En pratique, non. AES-128 exige déjà environ 2^128 d'effort pour être cassé par force brute — totalement infaisable — donc AES-256 ne vous rend pas réellement plus sûr face à la force brute ; il ajoute surtout de la marge (réserve post-quantique, conformité). Les deux sont standardisés et non cassés. Votre mode (GCM), la gestion des nonces et celle des clés comptent bien plus que 128 contre 256. « AES-256 est deux fois plus sûr » est l'idée fausse.

Mid-levelCryptography
La réponse complète
Un scan antivirus complet est revenu propre — cela prouve-t-il que la machine n'est pas compromise ?

Non. L'antivirus est un signal, pas une preuve. Il manque les attaques sans fichier et en mémoire, les échantillons inédits ou obfusqués, l'abus d'outils légitimes (living-off-the-land) et les rootkits conçus pour s'y cacher. L'absence de preuve n'est pas une preuve d'absence — la vraie assurance vient de la télémétrie EDR, de l'analyse forensique de la mémoire, de l'analyse comportementale et de la chasse aux IOC. Considérer un scan antivirus propre comme la preuve d'un système propre est une erreur classique de réponse à incident.

Mid-levelMalwareDFIR (Forensics & Incident Response)
La réponse complète
Une empreinte digitale ou un scan facial est-il un exemple de « quelque chose que vous savez » ?

Non. Les trois catégories de facteurs d'authentification sont quelque chose que vous savez (mot de passe/PIN), quelque chose que vous avez (jeton/téléphone) et quelque chose que vous êtes (biométrie). Une empreinte digitale ou un scan facial relève de « quelque chose que vous êtes », un trait physique mesuré. Le piège : la biométrie n'est pas un secret et ne peut pas être renouvelée — si le gabarit de votre empreinte fuite, vous ne pouvez pas changer votre empreinte. C'est pourquoi la biométrie fonctionne mieux comme un facteur, déverrouillant souvent une clé locale, que comme remplacement autonome du mot de passe.

JuniorIdentity & Access Management
La réponse complète
La validation des entrées côté client (JavaScript) rend-elle votre application sécurisée ?

Non. La validation côté client est un pur confort d'usage — un attaquant peut désactiver JavaScript, modifier la requête dans le navigateur ou Burp, ou appeler votre API directement avec curl, ce qui la contourne totalement. Les contrôles de sécurité (validation, autorisation, assainissement) doivent s'imposer sur le serveur, le seul endroit que vous maîtrisez. L'erreur est de prendre le navigateur pour une frontière de confiance ; il ne l'est pas, car le client tourne sur la machine de l'attaquant. Les contrôles côté client sont parfaits pour un retour rapide, jamais pour la sécurité.

JuniorWeb Security
La réponse complète
Comment déchiffrer un hash SHA-256 pour retrouver l'entrée d'origine ?

On ne le déchiffre pas — les hashs cryptographiques sont des fonctions à sens unique sans inverse. « Cracker » un hash, c'est deviner des entrées candidates, les hacher et comparer (dictionnaire, force brute, rainbow tables), ce qui explique justement pourquoi on utilise des hashs lents et salés pour les mots de passe. Aucune clé ne « déchiffre » un hash. Si une donnée peut être déchiffrée, c'est qu'elle a été chiffrée, pas hachée — et le Base64 est un encodage réversible, pas du hachage.

JuniorCryptography
La réponse complète
Votre antivirus a signalé le fichier EICAR — cela signifie-t-il que vous êtes infecté par un virus ?

Non. Le fichier de test EICAR est une chaîne ASCII délibérément inoffensive de 68 octets que tous les éditeurs d'antivirus s'accordent à détecter, afin de vérifier en toute sécurité la détection et les alertes sans manipuler de vrai malware. Une détection signifie que votre antivirus fonctionne — pas que vous êtes infecté. Ce n'est pas un virus et il ne fait rien s'il est exécuté. Confondre une détection de test EICAR avec une vraie infection est un piège classique en début de carrière.

JuniorMalware
La réponse complète
HTTPS cache-t-il à votre FAI ou à votre réseau le site que vous visitez ?

En grande partie non. Le nom d'hôte de destination est envoyé en clair dans l'extension SNI du ClientHello de TLS, et votre requête DNS le révèle généralement aussi, de sorte qu'un FAI ou un réseau peut voir QUEL site vous visitez même en HTTPS — il ne peut simplement pas lire le chemin ni le contenu. Le ClientHello chiffré (ECH) et le DNS-over-HTTPS peuvent combler cette faille, mais ils ne sont pas universels. « HTTPS cache tout » est l'idée fausse.

Mid-levelNetworkingWeb Security
La réponse complète
HTTPS protège-t-il les données stockées en base (données au repos) ?

Non. TLS/HTTPS sécurise les données en transit entre client et serveur ; une fois reçues, elles sont déchiffrées et traitées en clair par l'application, puis stockées selon la configuration de la base. Protéger les données au repos est un sujet distinct — chiffrement de disque/colonne, un KMS et le contrôle d'accès. Confondre « on utilise HTTPS » avec « nos données stockées sont chiffrées » est une idée fausse courante et dangereuse.

JuniorCryptographyWeb Security
La réponse complète
Passer le site en HTTPS empêche-t-il les injections SQL et le XSS ?

Non. HTTPS chiffre le canal pour que les attaquants ne puissent ni lire ni altérer le trafic en transit, mais l'entrée malveillante arrive, est déchiffrée et traitée par votre application exactement comme avant. L'injection SQL et le XSS sont des failles applicatives corrigées par des requêtes paramétrées et l'encodage de sortie, pas par le chiffrement du transport. L'erreur suppose que le chiffrement assainit le contenu — il ne le fait pas ; l'attaquant envoie simplement la charge via la connexion HTTPS.

JuniorWeb Security
La réponse complète
La navigation privée / incognito cache-t-elle votre activité à votre FAI ou votre employeur ?

Non. Le mode privé/incognito empêche seulement le navigateur local d'enregistrer l'historique, les cookies et les données de formulaire après la session — il ne change rien au chemin réseau. Votre FAI, le proxy de votre employeur, le résolveur DNS et les sites où vous vous connectez voient encore votre activité. L'erreur est « incognito = invisible » ; en réalité c'est de la confidentialité face aux autres utilisateurs du même appareil, pas de l'anonymat face au réseau.

JuniorWeb SecurityNetworking
La réponse complète
127.0.0.1 est-elle la seule adresse de bouclage ?

Non. Toute la plage 127.0.0.0/8 est réservée au bouclage, donc 127.0.0.2, 127.1.1.1, et ainsi de suite résolvent toutes vers l'hôte local. C'est crucial pour le SSRF et le contournement de listes d'autorisation — un attaquant peut utiliser 127.0.0.2 ou d'autres encodages pour esquiver un contrôle naïf « bloquer 127.0.0.1 » — et pour lier plusieurs services locaux. (En IPv6, le bouclage est l'unique adresse ::1.)

JuniorNetworkingLinux Internals
La réponse complète
L'adresse MAC d'un appareil est-elle permanente et unique au monde ?

Non. Une MAC est attribuée par le fabricant (OUI plus identifiant de l'appareil) et « gravée », mais pratiquement chaque système d'exploitation permet de la remplacer en logiciel (macchanger, ip link set address). Les adresses MAC sont donc usurpables et ne doivent pas servir à l'authentification — le filtrage MAC est faible, et les téléphones randomisent désormais leur MAC par confidentialité. « Permanente et unique » est l'idée fausse.

JuniorNetworking
La réponse complète
Activer la MFA rend-il un compte impossible à hameçonner ?

Non. La MFA élève fortement la barre, mais les facteurs OTP et push sont hameçonnables : les kits d'adversaire au milieu (ex. Evilginx) relaient la connexion et le code en temps réel, et la fatigue MFA / le push-bombing poussent l'utilisateur à approuver. Les codes capturés sont réutilisables dans leur courte fenêtre. L'erreur est « MFA = inhameçonnable » ; c'est le type de facteur qui compte. La MFA résistante au phishing — les passkeys FIDO2/WebAuthn liés à l'origine du site — est ce qui déjoue réellement cela.

Mid-levelIdentity & Access ManagementThreat Intelligence
La réponse complète
Le NAT fait-il office de pare-feu et sécurise-t-il votre réseau ?

Non. Le NAT (et le PAT) associe des adresses privées à une IP publique et, par effet de bord, rejette les connexions entrantes non sollicitées car aucune correspondance n'existe pour elles. Ce n'est pas une politique de sécurité — pas d'inspection, pas de règles, pas de journalisation — et la traversée de NAT, le hole punching et le C2 initié en sortie passent sans problème. Le NAT est un outil d'adressage ; il vous faut un vrai pare-feu. « NAT = pare-feu » est l'idée fausse.

Mid-levelNetworking
La réponse complète
Votre compte a été piraté — changer simplement le mot de passe suffit-il à éjecter l'attaquant ?

Pas à lui seul. De nombreux systèmes maintiennent valides les sessions existantes et les jetons déjà émis après un changement de mot de passe — jetons OAuth de rafraîchissement, « mots de passe d'application », clés d'API et cookies persistants — si bien qu'un attaquant disposant d'une session active peut rester. La bonne réponse est de changer le mot de passe ET d'invalider toutes les sessions et jetons, révoquer les identifiants d'application, et auditer les appareils MFA et les paramètres de récupération. Croire qu'une réinitialisation seule éjecte l'attaquant est une erreur classique de réponse à incident.

Mid-levelIdentity & Access ManagementDFIR (Forensics & Incident Response)
La réponse complète
Les données envoyées via HTTP POST sont-elles cachées ou plus sûres que via GET ?

Non. POST place simplement les paramètres dans le corps de la requête au lieu de l'URL ; ce corps est en clair et parfaitement visible pour quiconque voit le trafic, sauf en HTTPS. POST est préférable pour les actions qui modifient l'état et garde les paramètres hors des URL, des journaux et de l'historique, mais il n'offre aucune confidentialité en soi. L'erreur confond « pas dans l'URL » et « chiffré » — seul TLS chiffre les données de l'une ou l'autre méthode en transit.

JuniorWeb Security
La réponse complète
Un serveur semble compromis — le redémarrer ou l'éteindre règle-t-il le problème ?

Non. La plupart des vraies intrusions établissent une persistance (services, tâches planifiées, clés de démarrage, implants) qui survit à un redémarrage, donc l'attaquant revient simplement. Pire, éteindre efface les preuves volatiles — processus en cours, connexions réseau, malware en mémoire et clés de chiffrement — dont vous avez besoin pour cadrer l'incident. La bonne action est de confiner en isolant l'hôte tout en préservant la mémoire, puis d'enquêter. Redémarrer ou éteindre comme « solution » est un réflexe néfaste.

Mid-levelDFIR (Forensics & Incident Response)Malware
La réponse complète
Quel port utilise traceroute ?

Question piège : il n'existe pas de port unique pour traceroute. Le traceroute Unix classique envoie des datagrammes UDP vers des ports élevés et improbables à partir de 33434 environ, avec un TTL croissant ; le tracert de Windows utilise plutôt ICMP Echo. Il fonctionne en lisant les messages ICMP Time Exceeded que renvoient les routeurs à l'expiration du TTL, et non en visant un port réservé. Et ICMP lui-même n'a aucun port.

JuniorNetworking
La réponse complète
Utiliser un VPN vous rend-il anonyme en ligne ?

Non. Un VPN chiffre le trafic jusqu'au serveur VPN et masque votre IP à la destination, mais le fournisseur peut voir et journaliser votre activité, et les connexions, cookies et l'empreinte du navigateur vous identifient toujours. Cela déplace la confiance de votre réseau local/FAI vers l'opérateur du VPN — c'est de la confidentialité vis-à-vis du réseau local, pas de l'anonymat. Tor et une discipline opérationnelle stricte sont d'autres outils pour un autre objectif.

JuniorNetworkingGovernance, Risk & Compliance
La réponse complète
Quelles sont les phases du cycle de vie de la réponse à incident, et pourquoi l'ordre est-il important ?

Le modèle classique est PICERL : Préparation, Identification (détection), Confinement, Éradication, Restauration et Retour d'expérience. Le NIST le regroupe en : Préparation ; Détection et analyse ; Confinement, éradication et restauration ; et Activité post-incident. L'ordre compte car il faut cerner et confiner avant d'éradiquer, et l'on ne restaure qu'une fois la menace supprimée — sinon on réinfecte. C'est une boucle, pas une ligne : le retour d'expérience nourrit la préparation.

JuniorDFIR (Forensics & Incident Response)Threat Intelligence
La réponse complète
Expliquez la différence entre les indicateurs de compromission (IOC) et les indicateurs d'attaque (IOA).

Un IOC est un artefact forensique prouvant que quelque chose de malveillant s'est déjà produit — un hash de fichier malveillant, une IP ou un domaine de C2, une clé de registre connue comme néfaste. Un IOA est un signal comportemental d'une attaque qui se déroule, indépendamment des outils précis — par ex. un document Word qui lance PowerShell, puis se connecte à Internet. Les IOC sont réactifs et faciles à contourner en changeant un hash ; les IOA capturent l'intention et survivent aux changements d'outils.

Mid-levelThreat IntelligenceDFIR (Forensics & Incident Response)
La réponse complète
Expliquez l'ordre de volatilité et pourquoi il dicte la séquence de collecte des preuves en DFIR.

L'ordre de volatilité classe les preuves selon leur vitesse de disparition, pour collecter les plus fragiles en premier. Grosso modo : registres/cache CPU, puis RAM et état d'exécution (processus, connexions réseau, ARP), puis fichiers temporaires/swap, puis disque, puis journalisation et données de supervision distantes, et enfin supports d'archivage et sauvegardes. On travaille aussi sur des copies forensiques, on les hashe, et on maintient une chaîne de possession pour que la preuve reste recevable.

Mid-levelDFIR (Forensics & Incident Response)Windows InternalsLinux Internals
La réponse complète
Qu'est-ce qu'un ransomware, et décrivez-moi comment réagir lorsqu'il chiffre activement les systèmes.

Un ransomware est un malware qui chiffre (et de plus en plus exfiltre) des données, puis exige un paiement. En cas actif : isoler les hôtes touchés du réseau sans les éteindre si vous pouvez préserver la mémoire, cerner l'ampleur, le patient zéro et la souche, préserver les preuves, trouver et évincer le point d'ancrage et toute porte dérobée, puis restaurer depuis des sauvegardes hors ligne réputées saines. Payer est un dernier recours et ne garantit jamais la récupération.

Mid-levelMalwareDFIR (Forensics & Incident Response)
La réponse complète
Expliquez comment SPF, DKIM et DMARC fonctionnent ensemble pour empêcher l'usurpation d'e-mail.

SPF publie quelles IP peuvent envoyer du courrier pour un domaine. DKIM ajoute une signature cryptographique pour que le destinataire puisse vérifier que le message n'a pas été altéré et provient bien du domaine. DMARC relie les résultats SPF/DKIM à l'en-tête From: visible via l'« alignement », dit aux destinataires quoi faire en cas d'échec (none/quarantine/reject) et envoie des rapports. SPF et DKIM seuls ne protègent pas le From que voit l'utilisateur — c'est DMARC qui l'impose.

Mid-levelNetworkingWeb SecurityIdentity & Access Management
La réponse complète
Quels ID d'événements et journaux Windows consulteriez-vous en premier lors d'une enquête sur une intrusion ?

Le journal Security est primordial : 4624 connexion réussie (avec type de connexion), 4625 connexion échouée, 4634/4647 déconnexion, 4672 privilèges spéciaux attribués, 4720 compte créé, 4688 création de processus (avec ligne de commande si activée), et 4768/4769 Kerberos. Ajoutez 7045 installation de service (journal System), 4698 tâche planifiée créée, et la journalisation des blocs de script PowerShell (4104). Le type de connexion et l'audit des lignes de commande sont ce qui rend ces journaux utiles.

Mid-levelWindows InternalsDFIR (Forensics & Incident Response)
La réponse complète
Comment stocker les mots de passe, et pourquoi utiliser bcrypt/scrypt/argon2 plutôt que des hachages rapides ?

Stockez les mots de passe avec une fonction de hachage de mots de passe délibérément lente, salée et adaptative — bcrypt, scrypt ou Argon2 — jamais un hachage générique rapide comme SHA-256 ou MD5. Les hachages rapides sont conçus pour la vitesse, donc des attaquants avec des GPU peuvent tester des milliards d'essais par seconde contre une base de données fuitée. Les hachages lents ont un facteur de travail ajustable (et un coût mémoire) qui rend chaque essai coûteux, gardant le brute force impraticable même après une fuite.

Mid-levelCryptographyIdentity & Access Management
La réponse complète
Qu'est-ce qu'un sel dans le hachage de mots de passe, pourquoi l'utilise-t-on, et qu'est-ce qu'un poivre ?

Un sel est une valeur aléatoire unique générée par utilisateur et combinée au mot de passe avant le hachage. Il garantit que des mots de passe identiques produisent des hachages différents et rend inutiles les attaques précalculées comme les tables arc-en-ciel, puisque l'attaquant aurait besoin d'une table distincte par sel. Les sels sont stockés à côté du hachage. Un poivre est une valeur secrète supplémentaire, la même pour tous les utilisateurs, conservée séparément (par exemple, dans la config de l'application ou un HSM) de sorte qu'une fuite de base de données seule ne suffise pas.

JuniorCryptographyIdentity & Access Management
La réponse complète
Comment une application d'authentification TOTP génère-t-elle ces codes à 6 chiffres ?

TOTP (mot de passe à usage unique basé sur le temps) combine un secret partagé, établi à l'enrôlement, avec l'heure courante divisée en fenêtres fixes (généralement 30 secondes). Il exécute HMAC sur le compteur de pas de temps avec le secret, puis tronque le résultat en un code à 6 chiffres. L'application et le serveur détiennent tous deux le même secret et la même horloge, donc ils calculent indépendamment le même code — aucun appel réseau nécessaire. Le code change à chaque fenêtre.

JuniorCryptographyIdentity & Access Management
La réponse complète
Pouvez-vous expliquer la triade CIA et pourquoi elle est importante ?

La triade CIA désigne les trois objectifs fondamentaux de la sécurité de l'information : la confidentialité (seules les parties autorisées peuvent lire les données), l'intégrité (les données ne sont pas modifiées sans autorisation) et la disponibilité (les utilisateurs autorisés accèdent aux systèmes quand ils en ont besoin). Presque chaque contrôle se rattache à un ou plusieurs de ces objectifs.

JuniorCryptographyIdentity & Access Management
La réponse complète
Expliquez la défense en profondeur et donnez un exemple.

La défense en profondeur consiste à superposer plusieurs contrôles de sécurité indépendants afin que, si l'un échoue, les autres protègent encore l'actif. Elle suppose qu'aucun contrôle n'est parfait — par exemple en combinant pare-feu, segmentation réseau, protection des terminaux, MFA, moindre privilège et chiffrement, plutôt que de se fier au seul périmètre.

JuniorNetworkingIdentity & Access Management
La réponse complète
Pouvez-vous expliquer la différence entre hachage, chiffrement et encodage ?

L'encodage (comme le Base64) est un changement de format réversible sans secret — ce n'est pas de la sécurité. Le chiffrement est réversible avec une clé et protège la confidentialité. Le hachage est une fonction à sens unique produisant un condensé de longueur fixe, utilisé pour les vérifications d'intégrité et le stockage des mots de passe, et ne peut pas être inversé pour retrouver l'entrée.

Mid-levelCryptographyWeb Security
La réponse complète
Expliquez la différence entre un IDS et un IPS.

Un IDS (système de détection d'intrusion) surveille le trafic et lève des alertes mais ne bloque pas — il est généralement hors bande. Un IPS (système de prévention d'intrusion) se place en ligne dans le chemin du trafic et peut activement rejeter ou bloquer le trafic malveillant. L'IPS prévient, mais un faux positif peut casser du trafic légitime.

JuniorNetworkingThreat Intelligence
La réponse complète
Expliquez le principe du moindre privilège et comment vous l'appliqueriez.

Le moindre privilège signifie que chaque utilisateur, processus et service ne reçoit que l'accès minimal requis pour sa tâche, et rien de plus. Cela limite le rayon d'impact d'un compte compromis, réduit le risque de menace interne et diminue la surface d'attaque. On l'applique via l'accès basé sur les rôles, des revues d'accès régulières et l'élévation juste-à-temps.

Mid-levelIdentity & Access ManagementCloud
La réponse complète
Qu'est-ce que la MFA, et pourquoi est-elle plus sûre qu'un mot de passe seul ?

La MFA exige au moins deux facteurs d'authentification de catégories différentes — quelque chose que vous savez (mot de passe), quelque chose que vous possédez (téléphone/jeton), quelque chose que vous êtes (biométrie). Elle aide car un attaquant qui vole un facteur, comme un mot de passe, ne peut toujours pas se connecter sans les autres. La MFA résistante à l'hameçonnage comme FIDO2 est la plus forte.

JuniorIdentity & Access Management
La réponse complète
Qu'est-ce que l'hameçonnage, et quels contrôles mettriez-vous en place pour le réduire ?

L'hameçonnage est une ingénierie sociale qui pousse les gens à révéler des identifiants, envoyer de l'argent ou exécuter un malware, généralement via de faux e-mails ou sites. La défense est en couches : filtrage et authentification des e-mails (SPF/DKIM/DMARC), MFA pour limiter les dégâts d'identifiants volés, formation de sensibilisation, et un moyen simple de signaler les messages suspects.

JuniorThreat IntelligenceIdentity & Access Management
La réponse complète
Expliquez le chiffrement symétrique et asymétrique et quand utiliser chacun.

Le chiffrement symétrique utilise une seule clé secrète partagée pour chiffrer et déchiffrer et il est rapide, mais les deux parties doivent déjà partager la clé. L'asymétrique utilise une paire de clés publique/privée, résolvant le problème de distribution des clés mais plus lentement. De vrais protocoles comme TLS utilisent la crypto asymétrique pour échanger une clé symétrique, puis basculent vers le symétrique pour les données en masse.

JuniorCryptography
La réponse complète
Expliquez la différence entre TCP et UDP et quand utiliser chacun.

TCP est orienté connexion et fiable : il utilise une poignée de main en trois temps, garantit une livraison ordonnée et retransmet les paquets perdus. UDP est sans connexion et rapide, sans garantie de livraison, d'ordre ni de congestion. On utilise TCP pour l'exactitude (web, e-mail, transfert de fichiers) et UDP pour le trafic sensible à la vitesse (DNS, VoIP, streaming, jeux).

JuniorNetworking
La réponse complète
Comment distinguez-vous une vulnérabilité d'une menace et d'un risque ?

Une vulnérabilité est une faiblesse (logiciel non corrigé). Une menace est un acteur ou un événement qui pourrait l'exploiter (un groupe de rançongiciel). Le risque est la combinaison de la probabilité qu'une menace exploite une vulnérabilité et de l'impact si elle le fait. Risque = menace x vulnérabilité x impact, et c'est ce que l'on priorise réellement.

JuniorThreat Intelligence
La réponse complète
Qu'est-ce qu'un pare-feu, et quelle est la différence entre un pare-feu sans état et un pare-feu à état ?

Un pare-feu contrôle le trafic entre zones réseau en l'autorisant ou en le refusant selon des règles. Un pare-feu sans état évalue chaque paquet isolément par rapport aux règles ; un pare-feu à état suit l'état des connexions pour autoriser le trafic de retour des sessions qu'il a permises. Les pare-feu nouvelle génération ajoutent la connaissance de la couche applicative.

JuniorNetworking
La réponse complète
Qu'est-ce qu'un zero-day, et comment se défendre contre quelque chose sans correctif ?

Un zero-day est une vulnérabilité que l'éditeur ne connaît pas encore (ou n'a pas corrigée), de sorte que les défenseurs ont eu « zéro jour » pour la corriger. Comme aucun correctif n'existe, la défense repose sur des contrôles en couches, la détection comportementale, la segmentation, le moindre privilège et une réponse rapide aux incidents plutôt que sur une signature.

Mid-levelThreat IntelligenceMalware
La réponse complète
ARP est-il un protocole TCP ou UDP ?

Ni l'un ni l'autre. ARP est un protocole de couche 2 (couche liaison) encapsulé directement dans une trame Ethernet, et non dans un paquet IP. Comme il ne circule jamais sur IP, il ne peut utiliser ni TCP ni UDP, qui sont des transports de couche 4 nécessitant IP en dessous. Le rôle d'ARP est de résoudre une adresse IP connue en l'adresse MAC correspondante sur le même segment de réseau local.

JuniorNetworking
La réponse complète
Votre test XSS avec alert() se déclenche mais la fenêtre est vide : qu'est-ce que cela vous indique ?

Cela confirme le XSS. Si alert() s'est déclenché du tout, c'est que le navigateur a analysé et exécuté votre JavaScript injecté dans le contexte de la page : c'est la vulnérabilité. Une fenêtre vide signifie simplement que l'argument chaîne que vous avez transmis ne s'est pas affiché comme prévu (gestion des guillemets, encodage ou altération du contexte ont cassé le message), pas que la charge est bloquée. Le point d'exécution est actif ; vous affinez la charge à partir de là.

SeniorWeb Security
La réponse complète
Faut-il compresser puis chiffrer, ou chiffrer puis compresser ?

Compresser d'abord, puis chiffrer. Un bon chiffrement produit une sortie statistiquement indiscernable de l'aléatoire, donc le texte chiffré n'a plus aucun motif à compresser : compresser après est inutile. La mise en garde importante : compresser ensemble des données secrètes et des données contrôlées par l'attaquant avant le chiffrement peut fuiter de l'information via la longueur du texte chiffré, ce qui est exactement le cas des attaques CRIME et BREACH.

Mid-levelCryptography
La réponse complète
Activer CORS vous protège-t-il du CSRF ?

Non. CORS n'est pas une défense contre le CSRF : il assouplit en réalité la politique de même origine pour qu'une page puisse lire des réponses cross-origin qu'elle ne pourrait pas lire autrement. Le CSRF n'a pas besoin de lire la réponse ; il a juste besoin que le navigateur de la victime envoie une requête authentifiée qui modifie l'état. Les vraies défenses sont les jetons anti-CSRF, l'attribut de cookie SameSite, et la vérification d'Origin/Referer.

SeniorWeb Security
La réponse complète
Pourquoi les données « supprimées » sont-elles souvent encore récupérables ?

Parce que « supprimer » n'efface normalement pas les données. Cela enlève les métadonnées du système de fichiers (le pointeur/l'entrée de répertoire) et marque les blocs comme libres, mais les octets d'origine restent sur le disque jusqu'à ce que le système d'exploitation réutilise ces blocs pour de nouvelles données. Tant que cette réécriture n'a pas eu lieu, des outils forensiques peuvent extraire le contenu directement.

JuniorDFIR (Forensics & Incident Response)
La réponse complète
Quelle est la différence entre encodage, chiffrement et hachage ?

L'encodage transforme les données dans un autre format pour la compatibilité et est entièrement réversible par quiconque sans clé (par ex. Base64, encodage d'URL) : il n'offre aucune confidentialité. Le chiffrement n'est réversible qu'avec une clé et c'est lui qui assure la confidentialité. Le hachage est une fonction à sens unique : on ne peut pas retrouver l'entrée à partir de la sortie, ce qui le rend adapté aux contrôles d'intégrité et au stockage des mots de passe (avec un sel et une KDF lente).

JuniorCryptography
La réponse complète
Qu'est-ce qui est pire en détection de sécurité : un faux positif ou un faux négatif ?

D'un point de vue purement sécurité, un faux négatif est généralement pire : il signifie qu'une vraie attaque n'a pas été détectée, donc pas de réponse, pas de confinement, et la brèche peut rester tapie sans être découverte. Mais les faux positifs ne sont pas anodins : en grand nombre, ils provoquent la fatigue d'alerte, où les analystes commencent à ignorer les alertes et manquent la vraie. La bonne réponse nomme le compromis, pas seulement un gagnant.

Mid-levelDFIR (Forensics & Incident Response)Threat Intelligence
La réponse complète
Sur un pare-feu, préféreriez-vous qu'un port soit filtré ou fermé ?

Filtré. Un port filtré rejette silencieusement le paquet, donc le scanner n'obtient aucune réponse et doit attendre un délai d'expiration : il n'apprend rien sur l'existence même de l'hôte, et le scan est considérablement ralenti. Un port fermé renvoie un RST TCP, qui confirme que l'hôte est vivant et répond, offrant gratuitement à l'attaquant une valeur de reconnaissance.

Mid-levelNetworking
La réponse complète
Si un site affiche le cadenas / HTTPS, est-il sûr ?

Non. Le cadenas signifie que le transport est chiffré et que le certificat est valide pour ce domaine : il ne dit rien sur l'honnêteté de l'opérateur ni sur le caractère malveillant du contenu. Des certificats gratuits et automatisés font que les sites d'hameçonnage et de logiciels malveillants ont presque toujours un cadenas parfaitement valide. HTTPS protège le canal, pas la destination.

JuniorWeb Security
La réponse complète
HTTPS empêche-t-il totalement les attaques de l'homme du milieu ?

Pas à lui seul. HTTPS empêche le MITM uniquement quand la validation du certificat est strictement appliquée et que le client atteint le site en HTTPS dès le départ. Si une AC malveillante est de confiance (proxy d'entreprise, racine installée par un logiciel malveillant), si l'utilisateur passe outre les avertissements de certificat, ou si du SSL stripping rétrograde la connexion vers HTTP avant le démarrage de TLS, un attaquant peut toujours se placer au milieu.

Mid-levelNetworking
La réponse complète
HTTPS est-il la même chose que SSL ? Et quelle est la différence entre SSL et TLS ?

HTTPS n'est pas un protocole à part entière : c'est du HTTP ordinaire circulant dans un tunnel TLS chiffré. SSL est l'ancien nom : SSL 2.0/3.0 sont les prédécesseurs obsolètes et non sécurisés de TLS, qui les a remplacés (TLS 1.0 à 1.3). Quand les gens disent « certificat SSL » ou « SSL », ils désignent presque toujours en réalité TLS.

JuniorNetworkingCryptography
La réponse complète
MD5 et SHA-256 sont tous deux des hachages rapides : pourquoi aucun ne convient pour stocker des mots de passe ?

Parce qu'ils sont rapides. MD5 et SHA-256 sont conçus pour la vitesse, ce qui est exactement l'inverse de ce qu'il faut pour les mots de passe : un attaquant qui vole les hachages peut calculer des milliards de tentatives par seconde sur un GPU. La solution est une fonction de dérivation de clé délibérément lente et coûteuse en mémoire — bcrypt, scrypt ou Argon2 — combinée à un sel par utilisateur et à un facteur de travail ajustable.

Mid-levelCryptography
La réponse complète
Quel port utilise ping ?

Question piège : ping n'utilise aucun port. Il s'exécute sur ICMP, un protocole de couche 3 qui repose directement sur IP. Les ports n'existent que dans les protocoles de couche 4 comme TCP et UDP, donc ICMP (et donc ping) n'en a aucun. ICMP utilise à la place des champs de type et de code, par ex. Echo Request type 8 et Echo Reply type 0.

JuniorNetworking
La réponse complète
Combien de paquets sont échangés dans la poignée de main TCP en trois temps ?

Trois. Le client envoie un SYN, le serveur répond par un SYN-ACK combiné (un seul paquet qui à la fois accuse réception du SYN du client et envoie le propre SYN du serveur), et le client termine par un ACK. L'astuce est que SYN-ACK est un seul paquet, pas deux, donc le total est de trois — exactement ce que désigne « en trois temps ».

JuniorNetworking
La réponse complète
Que sont les revues d'accès (recertification) et pourquoi importent-elles ?

Les revues d'accès (recertification) sont des vérifications périodiques où un propriétaire responsable confirme que l'accès de chaque personne reste justifié, et révoque ce qui ne l'est pas. Elles constituent le filet de sécurité qui détecte la dérive de privilèges, les comptes orphelins et les droits accordés pour un projet terminé. Le contrôle ne fonctionne que si un propriétaire compétent — généralement le manager ou le propriétaire de la ressource — examine réellement l'accès au lieu de le valider machinalement, et si les révocations sont appliquées.

Mid-levelIdentity & Access ManagementGovernance, Risk & Compliance
La réponse complète
Qu'est-ce que la fédération d'identités, et quel rôle joue un fournisseur d'identité ?

La fédération d'identités établit une relation de confiance entre un fournisseur d'identité (IdP) qui authentifie les utilisateurs et des fournisseurs de services (parties de confiance) qui consomment cette authentification. L'IdP vérifie l'utilisateur et émet une assertion ou un jeton signé ; le fournisseur de services lui fait confiance au lieu de gérer ses propres identifiants. Cela permet le SSO inter-domaines et un contrôle centralisé, mais concentre le risque : compromettez l'IdP et vous compromettez tout ce qui lui fait confiance.

Mid-levelIdentity & Access ManagementCloud
La réponse complète
Que dit la recommandation moderne NIST 800-63B sur les mots de passe ?

Le NIST SP 800-63B moderne privilégie la longueur à la complexité : autoriser de longues phrases secrètes (au moins 8, en prendre en charge 64+), accepter tous les caractères y compris les espaces, et ne pas imposer de règles de composition comme « une majuscule, un symbole ». Filtrer les nouveaux mots de passe contre les listes de mots de passe compromis, abandonner l'expiration périodique obligatoire (renouveler uniquement en cas de preuve de compromission), et abandonner les « questions de sécurité » fondées sur la connaissance. Le but : des règles qui résistent aux vraies attaques au lieu d'agacer les utilisateurs vers des schémas prévisibles.

JuniorIdentity & Access Management
La réponse complète
Qu'est-ce qui rend la MFA « résistante au hameçonnage », et comment FIDO2/passkeys y parviennent ?

La MFA résistante au hameçonnage signifie que le second facteur ne peut pas être rejoué contre le vrai site même si l'utilisateur est trompé. Les passkeys FIDO2/WebAuthn y parviennent grâce à une cryptographie à clé publique liée à l'origine : l'authentificateur signe un défi lié au domaine du vrai site, de sorte qu'un identifiant capturé par un site sosie ou un attaquant-au-milieu est inutile. Les codes TOTP et les invites par notification restent hameçonnables car ils peuvent être relayés en temps réel.

Mid-levelIdentity & Access ManagementCryptography
La réponse complète
Qu'est-ce que la gestion des accès à privilèges (PAM) et quel problème résout-elle ?

Le PAM contrôle et surveille les comptes qui peuvent causer le plus de dégâts — administrateurs de domaine, root, comptes de service. Il met en coffre et fait tourner leurs identifiants pour qu'aucun secret ne soit partagé ou codé en dur, courtise les sessions pour que les administrateurs ne voient jamais le mot de passe brut, enregistre ce que font les utilisateurs privilégiés, et accorde idéalement l'élévation juste-à-temps plutôt qu'un accès permanent. L'objectif est de réduire le rayon d'impact des comptes que les attaquants convoitent le plus.

Mid-levelIdentity & Access Management
La réponse complète
Qu'est-ce que SCIM, et comment soutient-il le provisionnement joiner-mover-leaver ?

SCIM (System for Cross-domain Identity Management) est une API REST/JSON et un schéma standard pour créer, mettre à jour et supprimer des comptes utilisateurs entre applications. Relié à un système RH ou à un IdP, il automatise le cycle de vie joiner-mover-leaver : les comptes et droits sont provisionnés à l'embauche, ajustés au changement de poste, et — surtout — déprovisionnés au départ, éliminant les comptes orphelins que les attaquants adorent.

Mid-levelIdentity & Access ManagementCloud
La réponse complète
Quels ports utilisent SSH, HTTP, HTTPS, DNS, RDP et SMB, et pourquoi sont-ils importants ?

SSH utilise TCP 22, HTTP TCP 80, HTTPS TCP 443, DNS le 53 (UDP et TCP), RDP TCP 3389 et SMB TCP 445. Connaître les ports réservés permet de lire la sortie d'un scan, d'écrire des règles de pare-feu et de trier les alertes rapidement — un service sur son port attendu plutôt qu'inattendu est un signal immédiat.

JuniorNetworking
La réponse complète
Comment fonctionne la résolution DNS — récursif vs autoritaire ?

Un résolveur stub demande un nom à un résolveur récursif. S'il n'est pas en cache, le résolveur récursif parcourt la hiérarchie : il interroge un serveur racine (qui pointe vers le TLD), le serveur TLD (qui pointe vers les serveurs autoritaires du domaine) et enfin le serveur autoritaire, qui détient l'enregistrement réel. La réponse est mise en cache en chemin selon son TTL. Le DNS utilise le port 53 — UDP pour la plupart des requêtes, TCP pour les volumineuses.

JuniorNetworking
La réponse complète
Quelle est la différence entre un proxy direct et un proxy inverse ?

Un proxy direct se place devant les clients et émet des requêtes sortantes en leur nom — pour le contrôle de sortie, le filtrage, la mise en cache et l'anonymat. Un proxy inverse se place devant les serveurs et reçoit les requêtes entrantes en leur nom — pour la répartition de charge, la terminaison TLS, la mise en cache et comme façade de sécurité pour un WAF. Le sens vers lequel il fait face, côté client ou côté serveur, est la distinction clé.

Mid-levelNetworkingWeb Security
La réponse complète
Comment fonctionne traceroute, et quel rôle joue le champ TTL ?

Traceroute découvre les routeurs entre vous et une destination en exploitant le champ TTL. Il envoie des paquets avec TTL=1, puis 2, puis 3, et ainsi de suite. Chaque routeur décrémente le TTL ; quand le TTL atteint zéro, ce routeur rejette le paquet et renvoie un message ICMP Time Exceeded, révélant son adresse. En augmentant le TTL, traceroute cartographie chaque saut dans l'ordre jusqu'à atteindre la destination.

Mid-levelNetworking
La réponse complète
Qu'est-ce que le NAT, et en quoi le PAT en diffère-t-il ?

Le NAT (Network Address Translation) réécrit l'IP source et/ou destination à mesure que les paquets franchissent une frontière, mappant généralement des adresses internes privées vers des publiques. Le PAT (Port Address Translation, ou NAT overload) étend cela en traduisant aussi les ports, laissant de nombreux hôtes internes partager une seule IP publique — chaque flux distingué par son port. Le PAT est ce que les routeurs domestiques et de bureau utilisent pour placer tout un LAN derrière une seule adresse.

Mid-levelNetworking
La réponse complète
Expliquez le modèle OSI et ce qu'apporte chaque couche.

Le modèle OSI divise le réseau en sept couches, chacune ajoutant une responsabilité : Physique (bits sur le câble), Liaison de données (trames et adressage MAC), Réseau (routage IP), Transport (TCP/UDP, ports, fiabilité), Session (gestion des connexions), Présentation (encodage, chiffrement, compression) et Application (protocoles comme HTTP). Chaque couche encapsule celle au-dessus à mesure que les données descendent la pile.

JuniorNetworking
La réponse complète
Qu'est-ce qu'un sous-réseau, et que fait un masque de sous-réseau ?

Un sous-réseau est une subdivision logique d'un réseau IP. Le masque de sous-réseau marque quels bits d'une adresse IP forment la partie réseau et quels bits forment la partie hôte — par exemple, /24 (255.255.255.0) signifie que les 24 premiers bits identifient le réseau et les 8 derniers les hôtes. Le découpage contrôle comment le trafic est routé et permet de segmenter un réseau en domaines de diffusion plus petits.

JuniorNetworking
La réponse complète
Décrivez la poignée de main TCP en trois temps.

TCP ouvre une connexion en trois étapes. Le client envoie un SYN avec un numéro de séquence initial, le serveur répond par un SYN-ACK (accusant réception du numéro du client et envoyant le sien), et le client renvoie un ACK. Après cet échange, les deux parties se sont accordées sur les numéros de séquence de départ et la connexion est établie pour une livraison fiable et ordonnée des octets.

JuniorNetworking
La réponse complète
TCP vs UDP — en quoi diffèrent-ils et quand choisir chacun ?

TCP est orienté connexion : il fait une poignée de main, numérote les octets, retransmet les pertes et contrôle la congestion, offrant une livraison fiable et ordonnée au prix de la latence et du surcoût. UDP est sans connexion et fonctionne en mode envoyer-et-oublier — pas de poignée de main, pas de retransmission, pas d'ordonnancement. Utilisez TCP quand l'exactitude compte (web, e-mail, transfert de fichiers) et UDP quand la vitesse prime sur la perfection (DNS, VoIP, jeux, vidéo).

JuniorNetworking
La réponse complète
Comment le modèle TCP/IP se compare-t-il au modèle OSI ?

Le modèle TCP/IP a quatre couches — Liaison, Internet, Transport et Application — et décrit le fonctionnement réel d'Internet. OSI en a sept. Elles correspondent étroitement : la couche Application de TCP/IP absorbe les couches Application, Présentation et Session d'OSI ; sa couche Liaison combine les couches Physique et Liaison de données d'OSI. OSI est la meilleure référence pour l'enseignement et le dépannage ; TCP/IP est la suite de protocoles réellement mise en œuvre.

JuniorNetworking
La réponse complète
Qu'est-ce qu'un VLAN, et quelle est sa valeur en matière de sécurité ?

Un VLAN (réseau local virtuel) partitionne logiquement un commutateur physique en domaines de diffusion de couche 2 distincts, de sorte que des appareils sur des VLAN différents ne peuvent pas se joindre directement, même sur le même matériel. Il est étiqueté par un marqueur 802.1Q sur les liens de trunk. La valeur de sécurité est la segmentation : isoler le trafic des utilisateurs, des serveurs, des invités et de l'IoT limite la portée des diffusions et le mouvement latéral, le trafic inter-VLAN étant forcé de passer par un routeur ou un pare-feu où la politique est appliquée.

Mid-levelNetworking
La réponse complète
Quelle est la différence entre un VPN et un proxy ?

Un VPN crée un tunnel chiffré au niveau réseau/OS, de sorte que tout le trafic d'un appareil y est routé et protégé de bout en bout — utilisé pour l'accès distant sécurisé. Un proxy opère au niveau applicatif, relayant le trafic d'applications ou de protocoles spécifiques sans nécessairement le chiffrer. Les grandes différences sont la portée (tout l'appareil vs par application) et le fait qu'un VPN chiffre par conception alors que de nombreux proxys ne le font pas.

JuniorNetworking
La réponse complète
Qu'est-ce qu'une DMZ dans l'architecture réseau, et pourquoi en utiliser une ?

Une DMZ (zone démilitarisée) est un segment réseau situé entre l'Internet non fiable et le réseau interne de confiance, hébergeant des services exposés au public comme les serveurs web, mail et DNS. Les règles de pare-feu laissent Internet atteindre la DMZ mais restreignent fortement l'accès de la DMZ au réseau interne. Le but est le confinement : si un serveur public est compromis, l'attaquant reste coincé dans la zone tampon plutôt que d'atterrir dans le LAN.

Mid-levelNetworking
La réponse complète
Expliquez la différence entre la reconnaissance passive et active, avec des exemples de chacune.

La reconnaissance passive recueille des informations sans interagir directement avec les systèmes de la cible — OSINT, enregistrements DNS, transparence des certificats. La reconnaissance active touche la cible, comme le balayage de ports ou la capture de bannières, ce qui est plus bruyant mais donne plus de détails.

JuniorNetworkingThreat Intelligence
La réponse complète
Décrivez-moi les phases d'un test d'intrusion, du lancement à la livraison.

Un test d'intrusion passe par le pré-engagement (cadrage et règles d'engagement), la reconnaissance, le balayage et l'énumération, l'exploitation, la post-exploitation et le reporting. Chaque phase alimente la suivante, et le reporting est le moment où la valeur est réellement livrée au client.

JuniorNetworkingWeb Security
La réponse complète
Un client demande pourquoi il devrait payer pour un pentest alors qu'il fait déjà des scans de vulnérabilités. Que répondez-vous ?

Un scan de vulnérabilités est un inventaire automatisé, en largeur, des faiblesses potentielles, souvent avec des faux positifs. Un test d'intrusion est mené par un humain : il valide les trouvailles, les enchaîne et démontre un impact métier réel par une exploitation effective.

JuniorNetworkingWeb Security
La réponse complète
Expliquez la défense en profondeur et donnez un exemple concret de son application.

La défense en profondeur consiste à superposer plusieurs contrôles de sécurité indépendants pour que, si l'un échoue, les autres protègent encore l'actif. Aucun contrôle n'est supposé parfait, on empile donc des mesures préventives, de détection et de réponse sur les couches réseau, hôte, application et données.

JuniorNetworkingIdentity & Access Management
La réponse complète
En quoi le hachage diffère-t-il du chiffrement, et quand utiliseriez-vous l'un plutôt que l'autre ?

Le chiffrement est réversible : avec la clé, on récupère le texte en clair ; il protège la confidentialité. Le hachage est une fonction à sens unique produisant une empreinte de taille fixe impossible à inverser ; il vérifie l'intégrité et l'identité. Les mots de passe doivent être hachés avec un algorithme lent et salé comme bcrypt ou Argon2, jamais chiffrés.

JuniorCryptography
La réponse complète
Quelle est la différence entre chiffrement symétrique et asymétrique, et quand utiliseriez-vous chacun ?

Le chiffrement symétrique utilise une seule clé partagée pour chiffrer et déchiffrer : c'est rapide, mais la clé doit être partagée de façon sûre. Le chiffrement asymétrique utilise une paire de clés publique/privée, ce qui résout la distribution des clés mais lentement. Les vrais systèmes utilisent la cryptographie asymétrique pour échanger une clé de session symétrique, puis le chiffrement symétrique rapide pour les données en masse.

JuniorCryptography
La réponse complète
Pouvez-vous expliquer en quoi EDR, XDR et SIEM diffèrent et où chacun s'inscrit ?

L'EDR est centré sur l'endpoint : il enregistre et répond à l'activité des processus, fichiers et réseau sur les hôtes. Le XDR étend cette corrélation à plusieurs domaines — endpoint, réseau, identité, e-mail, cloud — en une stack intégrée par un même éditeur. Le SIEM est la couche large d'agrégation de logs qui ingère des données de n'importe quelle source, y compris non liées à la sécurité, pour la détection, la recherche et la conformité.

JuniorDFIR (Forensics & Incident Response)Windows Internals
La réponse complète
Un utilisateur signale un e-mail suspect. Détaillez votre démarche pour le trier en toute sécurité.

Examinez l'e-mail sans cliquer : vérifiez les en-têtes et l'authentification de l'expéditeur (SPF/DKIM/DMARC), inspectez les URL et pièces jointes en sandbox ou avec des outils de réputation, puis mesurez la portée — qui d'autre l'a reçu, quelqu'un a-t-il cliqué ou saisi des identifiants. Selon les constats, remédiez en purgeant l'e-mail, en bloquant les indicateurs et en réinitialisant les identifiants exposés.

JuniorDFIR (Forensics & Incident Response)Threat IntelligenceWeb Security
La réponse complète
Nous utilisons à la fois un SIEM et un SOAR. Que fait chacun, et comment travaillent-ils ensemble ?

Un SIEM ingère et corrèle les logs de tout le parc pour générer des alertes — c'est votre couche de détection et de recherche. Un SOAR se situe en aval et automatise la réponse : il exécute des playbooks, enrichit les alertes via des intégrations, et gère les cas pour que les analystes passent moins de temps sur les étapes répétitives.

JuniorDFIR (Forensics & Incident Response)Threat Intelligence
La réponse complète
Une alerte SIEM se déclenche pour une connexion suspecte. Détaillez votre démarche de triage.

Confirmez que l'alerte est réelle avant d'agir : lisez ce qui s'est déclenché et pourquoi, puis enrichissez — qui est l'utilisateur, l'IP/géo/appareil source sont-ils attendus, est-ce un voyage impossible, y a-t-il eu des échecs antérieurs ? Classez en vrai ou faux positif, escaladez ou confinez si c'est réel (désactiver la session, forcer une réinitialisation MFA), et documentez tout pour que le prochain analyste puisse suivre votre raisonnement.

JuniorDFIR (Forensics & Incident Response)Threat IntelligenceIdentity & Access Management
La réponse complète
HTTP est sans état — alors comment les sessions fonctionnent-elles ?

HTTP est sans état — chaque requête est indépendante et n'a aucune mémoire des précédentes. Les sessions ajoutent un état par-dessus : après la connexion, le serveur émet un identifiant que le navigateur stocke dans un cookie et rejoue à chaque requête. Les sessions côté serveur conservent l'état sur le serveur, indexé par un ID de session opaque ; les jetons sans état comme les JWT mettent un état signé dans le jeton lui-même afin que le serveur puisse vérifier sans stockage.

JuniorWeb SecurityIdentity & Access Management
La réponse complète

Recevez 100 questions d'entretien en cybersécurité + réponses

Laissez votre e-mail et nous vous enverrons le pack PDF gratuit et le jeu de flashcards.

Pas de spam. Désabonnez-vous à tout moment.