Questions d'entretien Incident Responder
Containment, eradication, recovery and the forensic mindset of handling a live security incident.
Un scan antivirus complet est revenu propre — cela prouve-t-il que la machine n'est pas compromise ?
Non. L'antivirus est un signal, pas une preuve. Il manque les attaques sans fichier et en mémoire, les échantillons inédits ou obfusqués, l'abus d'outils légitimes (living-off-the-land) et les rootkits conçus pour s'y cacher. L'absence de preuve n'est pas une preuve d'absence — la vraie assurance vient de la télémétrie EDR, de l'analyse forensique de la mémoire, de l'analyse comportementale et de la chasse aux IOC. Considérer un scan antivirus propre comme la preuve d'un système propre est une erreur classique de réponse à incident.
Votre compte a été piraté — changer simplement le mot de passe suffit-il à éjecter l'attaquant ?
Pas à lui seul. De nombreux systèmes maintiennent valides les sessions existantes et les jetons déjà émis après un changement de mot de passe — jetons OAuth de rafraîchissement, « mots de passe d'application », clés d'API et cookies persistants — si bien qu'un attaquant disposant d'une session active peut rester. La bonne réponse est de changer le mot de passe ET d'invalider toutes les sessions et jetons, révoquer les identifiants d'application, et auditer les appareils MFA et les paramètres de récupération. Croire qu'une réinitialisation seule éjecte l'attaquant est une erreur classique de réponse à incident.
Un serveur semble compromis — le redémarrer ou l'éteindre règle-t-il le problème ?
Non. La plupart des vraies intrusions établissent une persistance (services, tâches planifiées, clés de démarrage, implants) qui survit à un redémarrage, donc l'attaquant revient simplement. Pire, éteindre efface les preuves volatiles — processus en cours, connexions réseau, malware en mémoire et clés de chiffrement — dont vous avez besoin pour cadrer l'incident. La bonne action est de confiner en isolant l'hôte tout en préservant la mémoire, puis d'enquêter. Redémarrer ou éteindre comme « solution » est un réflexe néfaste.
Vous devez reconstituer ce qu'un attaquant a fait sur trois jours. Quelle est la bonne approche ?
Une reconstitution d'incident fiable provient de la corrélation de télémétries indépendantes en une seule chronologie : journaux d'authentification, données de processus/exécution de l'EDR, horodatages MAC du système de fichiers, flux réseau et événements SIEM, afin d'ordonner les actions et de borner la portée. Un seul journal ou le dernier événement à lui seul manque la chaîne et peut être trompeur ou falsifié. Deviner à partir d'une source ou interroger l'attaquant ne sont pas des méthodes d'investigation. La corrélation entre sources indépendantes révèle l'activité complète de l'attaquant et résiste à un attaquant ayant modifié l'une d'elles.
Vous remettez une image disque forensique au service juridique. Qu'est-ce qui garantit son intégrité et sa recevabilité ?
L'intégrité probante repose sur le hachage de l'image lors de l'acquisition (par exemple SHA-256) et la vérification ultérieure du hachage pour prouver qu'elle est inaltérée, le maintien d'une chaîne de possession documentée, et l'analyse d'une copie de travail pour que l'original reste intact. Renommer le fichier ne fait rien pour l'intégrité, et le compresser pour gagner de l'espace ne prouve pas l'intégrité ni n'aide la recevabilité. Toucher à l'original risque une destruction de preuves qui peut faire écarter la preuve. Hachez, documentez la possession et travaillez sur une copie vérifiée.
Pendant une réponse à incident, vous trouvez un vide suspect dans les journaux d'authentification. Que concluez-vous et que faites-vous ?
Un vide dans les journaux locaux pendant un incident peut signifier des journaux effacés ou falsifiés, une étape anti-forensique courante, donc ne traitez pas l'absence de journaux comme une absence d'activité. Recoupez avec des journaux centralisés/transférés, l'EDR et les données réseau que l'attaquant n'a probablement pas pu altérer, et consignez le vide d'intégrité comme un constat. Supposer que le serveur était inactif fait confiance à des preuves que l'attaquant contrôle peut-être, traiter le vide comme une preuve que rien ne s'est passé est exactement la conclusion qu'il veut, et supprimer d'autres journaux détruit ce qui reste. Corroborez plutôt avec une télémétrie indépendante.
Le support reçoit un appel urgent exigeant la réinitialisation immédiate du mot de passe d'un dirigeant, sans vérification d'identité et avec beaucoup de pression temporelle. Que doit faire l'agent ?
Urgence, autorité et contournement de la vérification sont une pression d'ingénierie sociale de manuel visant un compte à forte valeur. L'agent doit suivre le processus de vérification d'identité défini avant toute réinitialisation, et escalader s'il ne peut pas être satisfait. Réinitialiser à la demande, utiliser une « question de sécurité » devinable comme la couleur préférée, ou envoyer le nouveau mot de passe par e-mail à l'appelant remettent tous le contrôle du compte du dirigeant à un attaquant.
Lors de l'investigation d'un serveur Linux compromis, où cherchez-vous la persistance de l'attaquant ?
La persistance Linux se cache dans les chemins d'exécution planifiée et de démarrage : cron et timers/unités systemd, clés ajoutées dans authorized_keys SSH, fichiers rc du shell et scripts de profil modifiés, et binaires de service ou bibliothèques préchargées trojanisés. Examinez-les systématiquement. L'historique du navigateur et les réglages du fond d'écran ne sont pas des mécanismes de persistance, et redémarrer ne supprimera rien qui se rétablit au démarrage — cela ne fait que le relancer. Tout l'intérêt de la persistance est de survivre aux redémarrages, donc un redémarrage ne prouve rien.
Sur un hôte Linux, vous trouvez un fichier accessible en écriture par tous, appartenant à root et portant le bit SUID. Quel est le risque et votre action ?
Un binaire SUID-root s'exécute avec les privilèges de root, et s'il est accessible en écriture par tous, un attaquant peut le remplacer ou le modifier pour exécuter du code arbitraire en tant que root — une voie classique d'élévation de privilèges locale. Retirez le bit SUID, corrigez le propriétaire et les permissions, et enquêtez sur l'origine de cette mauvaise configuration, car elle peut indiquer une compromission. Chiffrer le fichier laisse intact le chemin exécutable, et le renommer ne fait que déplacer le problème sans supprimer l'élévation. Aucune de ces options ne traite la cause racine.
Une menace s'exécute uniquement en mémoire, sans aucun fichier sur le disque. Comment l'analysez-vous ?
Le malware fileless vit dans la mémoire des processus (injection, chargement réflectif, LOLBins), donc acquérez et analysez une image mémoire pour trouver le code injecté, les modules suspects et les relations entre processus. Un scan antivirus du disque et un disque propre ne vous disent rien d'un implant en mémoire. La corbeille est hors sujet. L'analyse mémoire est le bon outil quand il n'y a pas de fichier à trier, et vous devez capturer avant tout redémarrage de l'hôte.
Un hôte affiche une note de rançon. En appui de l'IR comme analyste de malware, quelle est la contribution initiale la plus utile ?
L'identification de la famille guide les décisions : à partir de la note, de l'extension et des IOC, vous pouvez signaler l'existence d'un décrypteur gratuit, les TTP typiques du groupe (y compris le vol de données pour extorsion) et le rayon d'impact probable, au profit de l'équipe IR. Reformater détruit les preuves et l'information de portée. La grammaire de la note n'est pas exploitable. Recommander de négocier est une décision métier et juridique, pas le premier geste de l'analyste. Identifiez d'abord, puis aidez l'IR.
Votre échantillon ne fait rien dans le sandbox, mais le SOC l'a observé actif sur un vrai hôte. Quelle est la raison probable et votre réponse ?
Les malwares vérifient couramment les artefacts de VM/sandbox, les durées d'exécution courtes ou l'interaction utilisateur et restent dormants s'ils les détectent. Déguisez et durcissez la VM d'analyse, prolongez l'exécution ou passez sur bare metal, et extrayez le comportement depuis une image mémoire de l'hôte vivant. Supposer qu'il est cassé ou que l'hôte se trompe ignore un échantillon prouvé malveillant en conditions réelles. Un redémarrage ne change rien car la logique d'évasion se déclenche à chaque exécution.
Le SOC vous remet un .exe suspect récupéré sur la machine d'un utilisateur. Quelle est votre PREMIÈRE étape d'analyse ?
Commencez par un triage statique dans un environnement isolé : calculez les empreintes, extrayez les chaînes, inspectez les en-têtes PE et les imports, et vérifiez la réputation, afin de comprendre l'échantillon avant de risquer l'exécution. L'exécuter sur votre propre poste peut vous infecter, vous et le réseau. Téléverser des échantillons clients avec des noms identifiants divulgue des données sensibles à des tiers. Le supprimer détruit la preuve et la possibilité de bâtir des détections.
L'EDR signale un processus lisant la mémoire de LSASS. Pourquoi est-ce important et que faites-vous ?
LSASS stocke des identifiants et secrets en cache, donc un processus inattendu lisant sa mémoire est la signature d'un vol d'identifiants (par exemple un dump de type mimikatz). Triez le processus fautif et son parent, isolez l'hôte pour stopper le mouvement latéral, et renouvelez les identifiants susceptibles d'avoir été capturés — y compris les comptes privilégiés et de service. Cela n'a rien à voir avec le rendu graphique ou l'espace disque, et l'ignorer comme normal peut mener à une compromission de tout le domaine. Les distracteurs d'apparence anodine sont précisément la façon dont les analystes ratent une intrusion active.
Un utilisateur a ouvert un document Office et activé les macros ; l'EDR montre ensuite un processus enfant engendré par Word. Quelle est votre première action ?
Word engendrant un processus enfant juste après l'activation des macros est un schéma classique d'accès initial par document malveillant. Isolez l'hôte pour limiter la propagation, capturez les preuves volatiles, et enquêtez sur le processus engendré, son activité réseau et toute persistance. Demander à l'utilisateur de fermer le fichier ou réparer Office ne traite pas une charge utile en cours d'exécution qui a peut-être déjà tourné. Ne rien faire parce que le fichier est arrivé par e-mail est à l'envers — l'e-mail est précisément le vecteur de livraison de cette attaque. Confinez d'abord, puis enquêtez.
Sous Windows, une alerte montre une nouvelle tâche planifiée lançant PowerShell depuis %TEMP%. De quoi s'agit-il probablement et quelle est votre action ?
Un logiciel légitime exécute rarement PowerShell depuis %TEMP% via une tâche planifiée fraîchement créée — c'est une technique courante de persistance et d'exécution. Examinez la définition de la tâche, le script invoqué, le processus créateur et la chronologie, confinez l'hôte, et balayez l'environnement à la recherche du même motif. Les mises à jour ne ressemblent pas à cela, faire confiance aveuglément aux tâches planifiées ignore une TTP connue, et supprimer System32 casse le système d'exploitation sans rien faire contre la menace. Les trois premières options reflètent toutes un jugement dangereusement faible.
Pourquoi un RSSI devrait-il mener des exercices de simulation de réponse à incident AVANT un incident ?
Les simulations répètent le côté humain et décisionnel de la RI — qui a l'autorité de déclarer un incident, comment circule la communication juridique/RP/direction, et où le manuel se brise — afin que la première fois où vous prenez ces décisions ne soit pas en pleine crise réelle. Il est bien moins coûteux de trouver les failles lors d'un exercice qu'en pleine violation. Ce n'est pas une case de conformité vide, ce n'est pas pour attribuer des blâmes sur des incidents passés, et c'est transverse, pas réservé au SOC — la direction doit s'entraîner aux décisions qu'elle seule peut prendre.
Un fournisseur SaaS clé annonce une violation susceptible d'inclure vos données. Quels sont les premiers gestes du RSSI ?
Une violation chez un fournisseur est aussi votre incident : déclencher la réponse à incident pour cadrer quelles données et intégrations ont été exposées, faire tourner tous les secrets partagés, clés API et relations de confiance SSO, évaluer vos propres obligations de notification réglementaire et tenir le fournisseur à sa divulgation. Attendre passivement le fournisseur vous fait perdre le contrôle de votre propre calendrier et de vos obligations. Une résiliation publique du contrat est un effet de manche prématuré avant même de connaître votre exposition. Supposer que vous n'êtes pas touché saute précisément l'évaluation qu'attendent les régulateurs et vos clients.
Vous découvrez que CloudTrail (journalisation d'audit du plan de contrôle) est désactivé dans un compte de production. Pourquoi est-ce important et que faites-vous ?
Sans journaux d'audit du plan de contrôle, vous êtes aveugle à qui a fait quoi au niveau cloud, et détection, forensique et conformité dépendent toutes de cet enregistrement. Activez CloudTrail immédiatement, à l'échelle de l'org, en livrant vers un bucket séparé, à accès contrôlé et résistant à la falsification (immuable). Dire que ça n'a pas d'importance tant que rien ne va mal ignore que vous n'auriez aucun historique le jour où ça ira mal. Attendre un incident signifie que les premières actions décisives sont déjà non journalisées et irrécupérables. Les journaux applicatifs ne capturent pas l'activité API, IAM ou console du plan de contrôle.
Un outil de surveillance signale qu'un bucket S3 est public et qu'il contient des exports de données clients. Quelle est votre PREMIÈRE action ?
Des données clients publiques constituent une exposition active : remédiez d'abord à l'accès en activant Block Public Access et en corrigeant la politique du bucket et la politique IAM pour stopper la fuite en cours. Récupérez ensuite les journaux d'accès (S3 server access logs / événements de données CloudTrail) pour évaluer ce qui a réellement été atteint, puis déclenchez les processus de violation et de notification prévus par la politique. Créer un ticket pour le prochain sprint laisse des données réglementées exposées pendant des jours. Copier les données ailleurs crée une seconde copie mais laisse le bucket d'origine ouvert. Renommer ne change rien à ses permissions.
Un ordinateur portable compromis est sur votre bureau, toujours allumé, avec un processus suspect en cours d'exécution. Pour préserver les preuves, que faites-vous ?
Suivez l'ordre de volatilité. La RAM, les connexions réseau actives et la table des processus disparaissent à l'arrêt ; capturez-les donc en premier, puis prenez une image forensique du disque en documentant les empreintes et une chaîne de possession ininterrompue. Un arrêt propre détruit les preuves résidentes en mémoire — y compris le malware sans fichier et les clés qui n'existent qu'en RAM. Copier-puis-supprimer altère la scène et brise l'intégrité. Lancer l'antivirus de l'entreprise modifie le système et peut mettre en quarantaine ou supprimer l'artefact même que vous devez analyser.
Un rançongiciel est en train de chiffrer activement les partages de fichiers sur tout le réseau, maintenant. Quelle est votre première priorité ?
Le confinement prime sur la restauration prématurée : stoppez la propagation en isolant les segments touchés et en coupant le vecteur — désactivez le compte de service abusé, bloquez SMB entre segments, retirez l'hôte de staging — tout en préservant les preuves, puis éradiquez et restaurez. Restaurer dans un réseau qui chiffre encore reperd les données restaurées. Payer la rançon n'arrête pas le chiffrement en cours et comporte un risque légal et de sanctions. Couper le courant de toutes les machines détruit les preuves volatiles et peut corrompre des fichiers en cours d'écriture, compliquant une restauration propre.
Vous avez confirmé un hôte compromis. L'entreprise exige qu'il soit effacé et remis en ligne en 10 minutes. Que défendez-vous ?
Éradiquer avant de comprendre la portée laisse l'attaquant persister sur des systèmes que vous n'avez pas trouvés et simplement revenir. Chassez vite les IOC et les identifiants volés sur tout le parc, identifiez chaque hôte touché et chaque mécanisme de persistance, puis éradiquez partout d'un coup. Effacer un seul hôte est du whack-a-mole qui alerte l'attaquant tout en laissant ses autres points d'ancrage intacts. Une coupure totale d'internet d'une semaine est disproportionnée et nuit à l'entreprise. Supprimer juste le fichier malveillant ignore la persistance, le mouvement latéral et les identifiants déjà volés.
Pendant le test, vous trouvez des indices qu'un VRAI attaquant est déjà à l'intérieur de l'environnement du client. Et maintenant ?
Découvrir une intrusion active est une urgence hors bande : les règles d'engagement doivent définir une procédure d'escalade, alors déclenchez-la immédiatement, préservez les preuves et évitez de contaminer un incident en cours. Continuer à tester peut interférer avec le vrai attaquant ou détruire les preuves mêmes dont les intervenants ont besoin. Tenter d'expulser l'attaquant vous-même est hors périmètre, risqué et peut l'alerter. Attendre le rapport final pourrait signifier des jours de violation continue et de perte de données.
Vous remarquez qu'un seul hôte effectue des milliers de requêtes DNS inhabituelles et longues de type TXT vers un seul domaine. Quelle est l'explication la plus probable et l'action ?
Des requêtes TXT à fort volume et forte entropie, ou de longs sous-domaines vers un seul domaine, sont une signature classique de tunneling DNS / C2-exfiltration : des données sont passées en douce dans le DNS pour échapper au filtrage de sortie. Capturez un échantillon de requêtes pour analyse, sinkholez ou bloquez le domaine pour couper le canal, et pivotez vers l'hôte pour trouver le processus responsable. L'écarter comme du cache normal ou un site lent laisse passer une exfiltration en cours. Redémarrer le serveur DNS ne fait rien contre le poste compromis et perturbe juste la résolution de noms.
Un utilisateur signale avoir cliqué sur un lien dans un e-mail suspect et saisi son mot de passe sur la page. Quelle est votre PREMIÈRE action ?
Supposez le mot de passe déjà compromis : forcez une réinitialisation ET invalidez les sessions et jetons actifs du compte, car un simple reset n'évince pas un attaquant qui détient déjà une session active ou un jeton de rafraîchissement. Chassez ensuite les connexions anormales, les invites MFA, les règles de boîte mail et les autorisations OAuth créées pendant la fenêtre d'exposition. Supprimer l'e-mail ou dire à l'utilisateur de changer son mot de passe « la prochaine fois » laisse le compte grand ouvert. Un scan antivirus traite le malware sur le poste, pas les identifiants volés dans le cloud.
Distinguez le credential stuffing du password spraying, en précisant comment chacun apparaît dans les journaux.
Le credential stuffing rejoue des paires identifiant:mot de passe connues issues de fuites tierces, en pariant sur la réutilisation des mots de passe — taux de réussite élevé par tentative, souvent réparti sur de nombreuses IP et machines pour paraître humain. Le password spraying essaie un ou deux mots de passe courants (comme Winter2026!) sur de nombreux comptes afin de rester sous les seuils de verrouillage. Le stuffing exploite la réutilisation ; le spraying exploite les mots de passe partagés faibles. La MFA déjoue les deux.
Expliquez la Cyber Kill Chain de Lockheed Martin et comment une équipe bleue l'utilise.
La Cyber Kill Chain modélise une intrusion en sept étapes séquentielles : reconnaissance, militarisation, livraison, exploitation, installation, commande et contrôle (C2), et actions sur les objectifs. Les défenseurs associent des détections et des contrôles à chaque étape ; comme les étapes sont séquentielles, briser un seul maillon — bloquer l'e-mail de phishing, tuer le C2 — perturbe toute l'attaque. Cela pousse à détecter tôt plutôt qu'à la seule intrusion finale.
Expliquez l'exfiltration de données par DNS et comment une équipe bleue la détecterait.
L'exfiltration DNS encode des données volées dans des requêtes DNS (par ex. de longs labels de sous-domaine envoyés à un serveur autoritaire contrôlé par l'attaquant), en abusant du fait que le DNS est presque toujours autorisé en sortie et souvent non surveillé. Détectez-la par des anomalies : volume de requêtes anormalement élevé vers un domaine, sous-domaines longs / à forte entropie, nombreux sous-domaines uniques par domaine parent, abus d'enregistrements TXT/NULL, et requêtes vers des domaines récemment enregistrés ou rares.
Quelle est la différence entre un EDR et un antivirus traditionnel à base de signatures ?
L'antivirus traditionnel compare les fichiers à des signatures de malwares connus et les bloque ou les met en quarantaine — efficace contre les menaces connues, faible contre les attaques nouvelles ou sans fichier. L'EDR enregistre en continu le comportement du poste (processus, réseau, registre, mémoire), utilise l'analyse comportementale pour détecter l'activité suspecte, et permet aux intervenants d'investiguer, de traquer et de contenir ou restaurer à distance. L'AV est de la prévention par signature ; l'EDR ajoute visibilité, détection et réponse.
Quelles sont les phases du cycle de vie de la réponse à incident, et pourquoi l'ordre est-il important ?
Le modèle classique est PICERL : Préparation, Identification (détection), Confinement, Éradication, Restauration et Retour d'expérience. Le NIST le regroupe en : Préparation ; Détection et analyse ; Confinement, éradication et restauration ; et Activité post-incident. L'ordre compte car il faut cerner et confiner avant d'éradiquer, et l'on ne restaure qu'une fois la menace supprimée — sinon on réinfecte. C'est une boucle, pas une ligne : le retour d'expérience nourrit la préparation.
Expliquez la différence entre les indicateurs de compromission (IOC) et les indicateurs d'attaque (IOA).
Un IOC est un artefact forensique prouvant que quelque chose de malveillant s'est déjà produit — un hash de fichier malveillant, une IP ou un domaine de C2, une clé de registre connue comme néfaste. Un IOA est un signal comportemental d'une attaque qui se déroule, indépendamment des outils précis — par ex. un document Word qui lance PowerShell, puis se connecte à Internet. Les IOC sont réactifs et faciles à contourner en changeant un hash ; les IOA capturent l'intention et survivent aux changements d'outils.
Citez les moyens courants par lesquels un malware persiste sur un hôte Windows entre les redémarrages, et comment vous les traqueriez.
La persistance est la façon dont un malware survit aux redémarrages et aux déconnexions. Les incontournables sous Windows sont les clés Run/RunOnce du registre (HKLM et HKCU), les tâches planifiées et les services Windows, plus les dossiers de démarrage, les abonnements aux événements WMI et le détournement de DLL. On les traque avec autoruns/Sysinternals, Sysmon et les journaux d'événements — en cherchant des binaires non signés, des chemins étranges comme %AppData% et des entrées créées juste après la compromission initiale.
Expliquez l'ordre de volatilité et pourquoi il dicte la séquence de collecte des preuves en DFIR.
L'ordre de volatilité classe les preuves selon leur vitesse de disparition, pour collecter les plus fragiles en premier. Grosso modo : registres/cache CPU, puis RAM et état d'exécution (processus, connexions réseau, ARP), puis fichiers temporaires/swap, puis disque, puis journalisation et données de supervision distantes, et enfin supports d'archivage et sauvegardes. On travaille aussi sur des copies forensiques, on les hashe, et on maintient une chaîne de possession pour que la preuve reste recevable.
Où les hashes de mots de passe utilisateur sont-ils stockés sous Windows et sous Linux, et pourquoi les attaquants visent-ils ces fichiers ?
Sous Windows, les hashes des comptes locaux (NTLM) résident dans la ruche SAM sous C:\Windows\System32\config\SAM, protégée tant que l'OS tourne ; les identifiants vivants se trouvent dans la mémoire de LSASS, et les hashes de domaine sont dans NTDS.dit sur un contrôleur de domaine. Sous Linux, les hashes sont dans /etc/shadow (lisible uniquement par root), tandis que /etc/passwd contient les métadonnées de compte. Les attaquants les volent pour casser les mots de passe hors ligne ou faire du pass-the-hash.
Expliquez l'injection de processus, donnez quelques techniques, et dites comment une équipe bleue la détecte.
L'injection de processus exécute le code de l'attaquant dans l'espace mémoire d'un processus légitime pour que l'activité se fonde dans la masse et hérite de la confiance de ce processus. Les techniques classiques incluent l'injection de DLL (CreateRemoteThread + LoadLibrary), le process hollowing (lancer un processus bénin suspendu, le démapper, y écrire du code malveillant) et l'injection d'APC. Les défenseurs la détectent via les hooks d'API de l'EDR, des relations parent/enfant ou des régions mémoire anormales (RWX, mémoire exécutable non adossée à un fichier) et les événements CreateRemoteThread de Sysmon.
Qu'est-ce qu'un ransomware, et décrivez-moi comment réagir lorsqu'il chiffre activement les systèmes.
Un ransomware est un malware qui chiffre (et de plus en plus exfiltre) des données, puis exige un paiement. En cas actif : isoler les hôtes touchés du réseau sans les éteindre si vous pouvez préserver la mémoire, cerner l'ampleur, le patient zéro et la souche, préserver les preuves, trouver et évincer le point d'ancrage et toute porte dérobée, puis restaurer depuis des sauvegardes hors ligne réputées saines. Payer est un dernier recours et ne garantit jamais la récupération.
Comparez l'analyse statique et dynamique de malwares, en incluant les forces et limites de chacune.
L'analyse statique examine un échantillon sans l'exécuter — hashes, chaînes, imports, en-têtes et désassemblage — donc elle est sûre et couvre tout, mais elle est déjouée par le packing et l'obfuscation. L'analyse dynamique détone l'échantillon dans un bac à sable isolé et observe le comportement réel — fichiers, registre, processus, réseau — ce qui perce l'obfuscation mais ne révèle que ce qui s'exécute dans cette session et peut être contourné par des malwares conscients du bac à sable. Les analystes combinent les deux.
Qu'est-ce qu'un honeypot, quels types existent, et quelle valeur apporte-t-il à une équipe bleue ?
Un honeypot est un système ou service leurre sans usage métier légitime, délibérément exposé pour attirer les attaquants. Comme rien de bénin ne devrait jamais le toucher, toute interaction est une alerte hautement fiable. Les honeypots à faible interaction émulent des services à peu de frais ; ceux à forte interaction sont de vrais systèmes qui livrent une intel plus riche mais comportent plus de risque. Les honeytokens sont la même idée appliquée à de faux identifiants, fichiers ou enregistrements. Valeur : détection précoce, peu de faux positifs et threat intelligence.
Quels ID d'événements et journaux Windows consulteriez-vous en premier lors d'une enquête sur une intrusion ?
Le journal Security est primordial : 4624 connexion réussie (avec type de connexion), 4625 connexion échouée, 4634/4647 déconnexion, 4672 privilèges spéciaux attribués, 4720 compte créé, 4688 création de processus (avec ligne de commande si activée), et 4768/4769 Kerberos. Ajoutez 7045 installation de service (journal System), 4698 tâche planifiée créée, et la journalisation des blocs de script PowerShell (4104). Le type de connexion et l'audit des lignes de commande sont ce qui rend ces journaux utiles.
Comment CloudTrail et GuardDuty s'intègrent-ils dans la journalisation et la surveillance cloud ?
CloudTrail enregistre chaque appel API dans le compte — qui a fait quoi, quand, d'où — vous donnant la piste d'audit faisant autorité pour les investigations et la conformité. GuardDuty est un service géré de détection des menaces qui analyse CloudTrail, les flux VPC et les journaux DNS pour faire remonter des découvertes comme l'exfiltration d'identifiants ou le minage de cryptomonnaie. CloudTrail est la source de vérité que vous devez protéger ; GuardDuty transforme cette télémétrie en alertes exploitables.
Qu'est-ce que la confidentialité persistante parfaite et pourquoi est-ce important ?
La confidentialité persistante parfaite (PFS) signifie que chaque session dérive une clé unique d'un échange de clés éphémère jeté ensuite. Si un attaquant vole plus tard la clé privée à long terme du serveur, il ne peut toujours pas déchiffrer le trafic capturé précédemment, car cette clé n'a jamais servi à dériver les clés de session. Cela s'obtient avec un Diffie-Hellman éphémère (DHE/ECDHE).
Qu'est-ce que l'hameçonnage, et quels contrôles mettriez-vous en place pour le réduire ?
L'hameçonnage est une ingénierie sociale qui pousse les gens à révéler des identifiants, envoyer de l'argent ou exécuter un malware, généralement via de faux e-mails ou sites. La défense est en couches : filtrage et authentification des e-mails (SPF/DKIM/DMARC), MFA pour limiter les dégâts d'identifiants volés, formation de sensibilisation, et un moyen simple de signaler les messages suspects.
Qu'est-ce qu'un zero-day, et comment se défendre contre quelque chose sans correctif ?
Un zero-day est une vulnérabilité que l'éditeur ne connaît pas encore (ou n'a pas corrigée), de sorte que les défenseurs ont eu « zéro jour » pour la corriger. Comme aucun correctif n'existe, la défense repose sur des contrôles en couches, la détection comportementale, la segmentation, le moindre privilège et une réponse rapide aux incidents plutôt que sur une signature.
Pourquoi les données « supprimées » sont-elles souvent encore récupérables ?
Parce que « supprimer » n'efface normalement pas les données. Cela enlève les métadonnées du système de fichiers (le pointeur/l'entrée de répertoire) et marque les blocs comme libres, mais les octets d'origine restent sur le disque jusqu'à ce que le système d'exploitation réutilise ces blocs pour de nouvelles données. Tant que cette réécriture n'a pas eu lieu, des outils forensiques peuvent extraire le contenu directement.
Qu'est-ce qui est pire en détection de sécurité : un faux positif ou un faux négatif ?
D'un point de vue purement sécurité, un faux négatif est généralement pire : il signifie qu'une vraie attaque n'a pas été détectée, donc pas de réponse, pas de confinement, et la brèche peut rester tapie sans être découverte. Mais les faux positifs ne sont pas anodins : en grand nombre, ils provoquent la fatigue d'alerte, où les analystes commencent à ignorer les alertes et manquent la vraie. La bonne réponse nomme le compromis, pas seulement un gagnant.
Si un site affiche le cadenas / HTTPS, est-il sûr ?
Non. Le cadenas signifie que le transport est chiffré et que le certificat est valide pour ce domaine : il ne dit rien sur l'honnêteté de l'opérateur ni sur le caractère malveillant du contenu. Des certificats gratuits et automatisés font que les sites d'hameçonnage et de logiciels malveillants ont presque toujours un cadenas parfaitement valide. HTTPS protège le canal, pas la destination.
Comment établissez-vous un référentiel de la normalité, et comment vous aide-t-il à détecter les anomalies ?
Un référentiel est un modèle du comportement normal d'un hôte, d'un utilisateur, d'un compte ou d'un segment réseau — quels processus s'exécutent, qui se connecte d'où et quand, les volumes de données typiques, les intervalles normaux de beaconing. Une fois la normalité connue, les anomalies (paires processus parent-enfant rares, binaires vus pour la première fois, connexions à des heures inhabituelles, exfiltration de données inhabituelle) deviennent détectables comme des écarts. L'établissement d'un référentiel est le fondement de la détection d'anomalies, mais il exige un historique propre suffisant et une gestion soigneuse des changements légitimes pour ne pas se noyer sous les faux positifs.
Comment chasseriez-vous le beaconing C2 dans la télémétrie réseau ?
Le beaconing C2 est le check-in périodique qu'un implant effectue auprès de son contrôleur. Chassez-le dans la télémétrie réseau/proxy/DNS en cherchant la régularité : connexions vers une destination à intervalles quasi fixes (même avec du jitter), petites requêtes uniformes, faibles ratios données-entrantes / données-sortantes, destinations rares de longue durée, et empreintes TLS/JA3 suspectes ou user-agents étranges. Le signal est le rythme et la rareté de la destination, pas le payload — qui est généralement chiffré.
Comment décidez-vous des sources de journaux et de la télémétrie dont vous avez besoin pour chasser efficacement ?
Partez des techniques que vous voulez détecter, puis remontez jusqu'à la télémétrie qui les révèle — le mappage des sources de données d'ATT&CK y aide. En pratique, les sources à plus forte valeur sont la télémétrie endpoint des processus/lignes de commande et des chargements de modules (EDR/Sysmon), les journaux d'authentification et d'identité, le DNS et les flux proxy/réseau, et les journaux du plan de contrôle cloud. Vous auditez ensuite ce que vous collectez et conservez réellement face à ce dont chaque technique a besoin, exposant les angles morts. Une technique invisible dans tout journal n'est pas encore chassable.
Décrivez-moi le cycle de vie d'une détection, de l'idée à la règle maintenue.
L'ingénierie de détection traite les détections comme un produit logiciel doté d'un cycle de vie : identifier une menace ou technique à couvrir, étudier la télémétrie et le comportement, développer la règle, la tester face à des données de vrais positifs et bénignes, la déployer (souvent par étapes), la valider par émulation d'adversaire, puis l'ajuster en continu pour les faux positifs et retirer les règles qui ne se justifient plus. Chaque étape est documentée et versionnée, et la couverture est suivie par rapport à un cadre comme ATT&CK.
Que sont les living-off-the-land binaries (LOLBins), et comment chasseriez-vous leur abus ?
Les LOLBins (living-off-the-land binaries) sont des outils système légitimes, signés et préinstallés — comme certutil, bitsadmin, mshta, rundll32, regsvr32, wmic, powershell — que les attaquants détournent pour télécharger, exécuter ou persister tout en se fondant dans l'activité d'administration normale. Comme le binaire lui-même est de confiance, on ne peut pas détecter sur le fichier ; on détecte sur le contexte : arguments de ligne de commande anormaux, processus parents inhabituels, connexions réseau inattendues depuis ces outils, et exécution depuis des chemins étranges ou par des utilisateurs inhabituels.
Expliquez la Pyramid of Pain et comment elle façonne l'endroit où vous investissez l'effort de détection.
La Pyramid of Pain classe les types d'indicateurs selon le coût pour un attaquant de les modifier une fois que vous détectez dessus. Les hashs sont triviaux à altérer (en bas), puis les adresses IP, les noms de domaine, les artefacts réseau/hôte, les outils, et enfin les TTP au sommet — qu'un attaquant ne peut changer qu'en réoutillant fondamentalement son comportement. Détecter aux niveaux supérieurs cause plus de « douleur » et est plus durable, donc les programmes matures investissent l'effort de détection vers les comportements et les TTP plutôt que les seuls IOC.
Comment structureriez-vous une chasse aux menaces basée sur les TTP avec MITRE ATT&CK, et qu'est-ce qui fait une bonne chasse ?
La chasse basée sur les TTP utilise MITRE ATT&CK comme carte : choisissez une technique pertinente pour votre modèle de menace (idéalement à faible couverture), formez une hypothèse concrète sur la façon dont elle apparaîtrait dans votre télémétrie, identifiez les sources de données qui la révèlent, interrogez-les et analysez les résultats. Une bonne chasse est délimitée, guidée par des hypothèses, liée à un comportement réel d'adversaire, reproductible, et produit un résultat durable — une nouvelle détection, une lacune de couverture documentée, ou la preuve que la technique est absente — qu'elle trouve ou non une compromission.
Qu'est-ce que l'User and Entity Behaviour Analytics (UEBA), et quelles menaces attrape-t-elle ?
L'UEBA (User and Entity Behaviour Analytics) construit des référentiels comportementaux pour les utilisateurs et les entités (hôtes, comptes de service, appareils) et utilise des statistiques ou l'apprentissage automatique pour scorer les écarts comme du risque. Elle excelle face aux menaces sans signature nette : identifiants compromis, abus interne et déplacement latéral — p. ex. un utilisateur accédant soudain à des systèmes qu'il ne touche jamais, à des heures inhabituelles, ou déplaçant des volumes de données anormaux. Elle complète la détection basée sur des règles plutôt que de la remplacer, et nécessite un ajustement pour éviter les faux positifs dus aux changements de comportement légitimes.
Qu'est-ce que la chasse aux menaces, et en quoi diffère-t-elle de l'attente des alertes ?
La chasse aux menaces est la pratique proactive, guidée par des hypothèses, qui consiste à fouiller la télémétrie pour y trouver l'activité d'un adversaire que les détections existantes ont manquée. Contrairement au tri des alertes — réactif et qui attend qu'un outil se déclenche — la chasse part d'une question (« si un attaquant faisait X, quelles preuves verrais-je ? »), la teste face aux données, et soit trouve quelque chose, soit produit une nouvelle détection. Elle suppose que la prévention et les alertes sont imparfaites et qu'un adversaire déterminé est peut-être déjà à l'intérieur.
Qu'est-ce que Sigma, et comment transformeriez-vous un résultat de hunt en règle de détection portable ?
Sigma est un format YAML ouvert et neutre vis-à-vis des éditeurs pour décrire des détections SIEM. Vous définissez une logsource (product/category, par exemple Windows process_creation), un bloc detection avec des sélections nommées de correspondances champ/valeur, et une condition qui les combine. Un convertisseur (comme sigma-cli/pySigma) traduit la règle dans le langage de requête de votre backend réel — Splunk, Sentinel, Elastic — de sorte qu'une seule règle est portable. Elle porte aussi des métadonnées : title, level, status, faux positifs et tags ATT&CK.
Définissez les catégories courantes de malwares et expliquez comment vous classez un échantillon d'après son comportement.
On classe selon ce que l'échantillon est conçu pour faire, observé à partir de son comportement et de ses capacités. Un dropper transporte et écrit une charge utile sur le disque ; un loader récupère ou injecte l'étape suivante, souvent uniquement en mémoire ; un RAT donne à un opérateur un contrôle distant interactif ; un wiper détruit les données ou les enregistrements d'amorçage sans intention de récupération ; un ransomware chiffre les fichiers et exige un paiement. Les vrais échantillons combinent souvent les rôles — un loader qui déploie un RAT — donc on décrit la chaîne de capacités plutôt que d'imposer une étiquette unique, et on associe chaque comportement aux techniques ATT&CK.
Quand recourez-vous à Ghidra ou IDA plutôt qu'à un débogueur comme x64dbg, et comment se complètent-ils ?
Un désassembleur comme Ghidra ou IDA vous donne la carte statique complète : références croisées, pseudocode décompilé et chaque chemin de code, qu'il s'exécute ou non. Un débogueur comme x64dbg vous permet d'exécuter l'échantillon sous contrôle — poser des points d'arrêt, inspecter registres et mémoire, observer le déchiffrement se produire, et suivre le chemin que le code prend réellement avec de vraies entrées. On lit la structure et l'intention statiquement, puis on attache le débogueur pour résoudre ce que l'analyse statique ne peut pas : chaînes déchiffrées au runtime, API résolues dynamiquement, charges utiles empaquetées, et quelle branche une condition prend. Les deux ensemble comblent leurs lacunes mutuelles.
Quels sont les signes du beaconing de commande et contrôle, et comment extraire les indicateurs C2 d'un échantillon ?
Le beaconing de commande et contrôle, c'est l'implant qui appelle périodiquement la maison pour des instructions. On le reconnaît à des rappels sortants réguliers et de faible volume à intervalle à peu près fixe — souvent avec du jitter pour éviter de paraître mécanique — vers un petit ensemble de destinations, fréquemment via HTTP/HTTPS ou DNS avec des charges utiles encodées ou chiffrées et un User-Agent ou un motif d'URI distinctif. On extrait les indicateurs statiquement en tirant domaines, IP, URI et clés des chaînes et blocs de config, et dynamiquement en détonant l'échantillon contre un réseau factice et en capturant les vrais rappels, puis on associe le comportement à ATT&CK et on alimente les IOC dans la détection.
Que sont les packers et l'obfuscation, et comment les détecter dans un binaire ?
L'empaquetage compresse ou chiffre la vraie charge utile et y préfixe un stub qui la dépaquette en mémoire à l'exécution ; l'obfuscation transforme le code ou les données pour résister à la lecture et aux signatures. On détecte l'empaquetage à une entropie de section élevée proche de 8,0, une table d'imports minuscule ou réduite au stub, des noms de section inhabituels ou inscriptibles-exécutables comme UPX0, un point d'entrée hors de .text, une grande taille virtuelle face à une petite taille brute, et des détecteurs comme Detect It Easy ou PEiD. Aucun de ces signaux n'est concluant seul, donc les analystes en pèsent plusieurs ensemble et confirment en observant le dépaquetage à l'exécution.
Décrivez-moi le format de fichier PE de Windows et les parties que vous inspectez lors du triage d'un échantillon.
Un fichier PE commence par l'en-tête DOS et son pointeur e_lfanew vers les en-têtes PE/NT, qui contiennent le File Header et l'Optional Header (point d'entrée, image base, sous-système). Il est divisé en sections — .text pour le code, .data, .rdata, .rsrc pour les ressources — chacune avec une adresse virtuelle et une taille brute. Lors du triage, on lit la table d'imports pour les API suspectes, la table des sections pour les noms étranges et l'entropie élevée qui suggèrent l'empaquetage, le timestamp et le rich header, les ressources embarquées et toute signature numérique. Les incohérences entre ces éléments en disent long avant même d'exécuter le fichier.
Expliquez les techniques courantes d'injection de processus et les signatures d'API et comportementales qui les révèlent.
L'injection de processus exécute du code malveillant à l'intérieur d'un autre processus pour se cacher et hériter de sa confiance. L'injection distante classique alloue de la mémoire dans une cible avec VirtualAllocEx, écrit une charge utile via WriteProcessMemory, et l'exécute avec CreateRemoteThread. Les variantes incluent l'injection de DLL via LoadLibrary, le process hollowing qui démappe un processus légitime suspendu et remplace son image, l'injection APC qui met du code en file d'attente sur un thread, et le chargement réflexif ou mappé manuellement qui évite LoadLibrary entièrement. On les repère par les séquences d'API révélatrices, la mémoire RWX dans un processus normalement propre, les threads sans fichier de sauvegarde sur le disque et les anomalies parent-enfant.
Décrivez comment vous construisez un laboratoire isolé pour analyser des malwares actifs en toute sécurité.
Un laboratoire sécurisé isole le malware de tout ce qu'il pourrait endommager. Vous exécutez les échantillons dans des VM jetables sur un hyperviseur, prenez des snapshots propres pour pouvoir revenir en arrière après chaque détonation, et coupez tout accès réseau réel via un réseau host-only avec un Internet simulé (INetSim ou FakeNet) ou un segment isolé physiquement. Vous séparez la machine d'analyse d'une passerelle contrôlée, n'analysez jamais sur votre poste de travail quotidien, durcissez contre l'évasion de VM, manipulez les échantillons sous forme de zips protégés par mot de passe, et gardez l'outillage et les indicateurs hors de la VM de détonation. L'objectif est d'observer un comportement réel tout en garantissant que l'échantillon ne peut atteindre ni la production ni Internet.
Comment le malware détecte-t-il et contourne-t-il les sandbox d'analyse, et comment y faire face ?
Un malware conscient du sandbox vérifie s'il est observé avant de mal se comporter. Il cherche des artefacts de VM et d'hyperviseur (pilotes, préfixes MAC, clés de registre, CPUID), des outils d'analyse et débogueurs (noms de processus, IsDebuggerPresent, temporisation du pas-à-pas), et des signes d'un vrai utilisateur (peu de processus, aucun document récent, pas de mouvement de souris, faible uptime, petit disque). Il peut temporiser avec de longs sommeils ou ne se déclencher qu'à une date, une langue ou un domaine précis. Les analystes y font face en durcissant la VM pour la rendre réaliste, en neutralisant les vérifications par patch, en accélérant les sommeils, en simulant l'activité utilisateur, et en confirmant le comportement par désassemblage statique.
Présentez-moi votre outillage de base pour l'analyse de malwares statique versus dynamique et quand vous utilisez chacun.
L'outillage statique lit l'échantillon au repos : PEStudio, CFF Explorer et pefile pour les en-têtes et imports, FLOSS et strings pour le texte embarqué, capa pour la cartographie des capacités, et Ghidra ou IDA pour le désassemblage. L'outillage dynamique l'observe s'exécuter dans une VM isolée : Procmon et Process Hacker pour l'activité hôte, Wireshark et INetSim ou FakeNet pour le réseau simulé, Regshot pour les diffs avant/après, et x64dbg pour le pas-à-pas contrôlé. Le workflow consiste à trier statiquement, détoner dynamiquement, puis revenir au désassembleur pour combler les lacunes comportementales.
Décrivez comment vous décompressez un échantillon packé pour atteindre le code original.
La décompression récupère le code original que le packer a caché. Pour les packers connus, vous utilisez le décompresseur correspondant ou un émulateur. Pour les packers personnalisés, vous décompressez manuellement : exécutez l'échantillon dans un débogueur, laissez le stub décompresser la charge utile en mémoire, trouvez le moment où il saute vers le point d'entrée original (souvent en posant un point d'arrêt sur de la mémoire qui devient exécutable, ou sur le saut de queue), puis dumpez l'image du processus depuis la mémoire et reconstruisez la table d'adresses d'imports avec un outil comme Scylla ou PE-sieve. Le résultat est un PE exécutable ou analysable contenant la véritable charge utile.
Expliquez le fonctionnement des règles YARA et ce qui rend une règle efficace plutôt que fragile ou bruyante.
Une règle YARA comporte un bloc meta, une section strings (motifs texte, hexa ou regex, avec jokers et sauts) et une condition qui combine ces correspondances par une logique booléenne et de comptage. Une règle efficace s'appuie sur un élément durable et distinctif — un stub de code unique, un nom de mutex, un marqueur de configuration ou une combinaison d'imports inhabituelle — plutôt que sur des valeurs qu'un attaquant change trivialement comme un seul hash ou une chaîne générique. On équilibre la spécificité face aux faux positifs, on teste contre un corpus propre, et on documente la règle pour que d'autres lui fassent confiance et la maintiennent.
Présentez-moi le processus d'investigation numérique et de réponse à incident.
Le DFIR suit un processus rigoureux : identification (confirmer et délimiter l'incident), acquisition (préserver les preuves selon l'ordre de volatilité, avec images forensiques et empreintes), analyse (chronologie, cause racine, étendue de la compromission) et reporting (constats pour des publics techniques et juridiques). La chaîne de possession documente qui a manipulé chaque artefact et quand, afin que la preuve tienne si elle arrive un jour devant un tribunal. Préserver avant de remédier.
Comment fonctionne traceroute, et quel rôle joue le champ TTL ?
Traceroute découvre les routeurs entre vous et une destination en exploitant le champ TTL. Il envoie des paquets avec TTL=1, puis 2, puis 3, et ainsi de suite. Chaque routeur décrémente le TTL ; quand le TTL atteint zéro, ce routeur rejette le paquet et renvoie un message ICMP Time Exceeded, révélant son adresse. En augmentant le TTL, traceroute cartographie chaque saut dans l'ordre jusqu'à atteindre la destination.
Qu'est-ce qu'une DMZ dans l'architecture réseau, et pourquoi en utiliser une ?
Une DMZ (zone démilitarisée) est un segment réseau situé entre l'Internet non fiable et le réseau interne de confiance, hébergeant des services exposés au public comme les serveurs web, mail et DNS. Les règles de pare-feu laissent Internet atteindre la DMZ mais restreignent fortement l'accès de la DMZ au réseau interne. Le but est le confinement : si un serveur public est compromis, l'attaquant reste coincé dans la zone tampon plutôt que d'atterrir dans le LAN.
Décrivez-moi le Kerberoasting — comment il fonctionne, pourquoi il est possible et comment les défenseurs l'arrêtent.
Tout utilisateur du domaine authentifié peut demander un ticket de service Kerberos (TGS) pour n'importe quel compte ayant un SPN. Ce ticket est chiffré avec le hachage de mot de passe NTLM du compte de service ; vous l'extrayez et cassez le mot de passe hors ligne — aucun accès privilégié requis au départ, et c'est quasi silencieux.
Expliquez les reverse shells par rapport aux bind shells et quand vous choisiriez chacun.
Un bind shell ouvre un port d'écoute sur la cible et attend que vous vous y connectiez. Un reverse shell fait que la cible se connecte en sortie vers un écouteur que vous contrôlez. Les reverse shells l'emportent généralement car le trafic sortant contourne les règles de pare-feu entrantes et le NAT.
Expliquez-moi comment vous durciriez un serveur Linux neuf exposé sur Internet.
Réduire la surface d'attaque (supprimer paquets et services inutilisés), imposer SSH par clé uniquement sans connexion root, maintenir le système à jour, exécuter un pare-feu en deny-par-défaut n'exposant que les ports nécessaires, appliquer le moindre privilège via sudo et les permissions de fichiers, activer auditd et la journalisation centralisée, et ajouter la surveillance d'intégrité ainsi qu'un MAC comme SELinux ou AppArmor.
Les deux impliquent des connexions échouées. Comment distingueriez-vous une attaque par force brute d'un password spray dans vos journaux ?
La force brute cible un seul compte avec de nombreuses tentatives de mot de passe, on voit donc beaucoup d'échecs concentrés sur un même identifiant. Le password spray inverse la logique : un ou quelques mots de passe courants essayés sur de nombreux comptes, lentement et discrètement, de sorte que chaque compte ne voit que quelques échecs. Le signal de détection est le ratio comptes/échecs et le timing, pas le nombre brut d'échecs.
Pourquoi les logs DNS sont-ils utiles pour la détection, et quelles menaces peut-on y trouver ?
Presque tout passe par le DNS, donc les logs DNS révèlent des menaces que d'autres sources manquent : le beaconing de command-and-control (rappels réguliers vers un domaine), le tunneling et l'exfiltration DNS (gros volume de sous-domaines longs et encodés), et les domaines générés algorithmiquement (DGA). On les détecte via des motifs comme la régularité des requêtes, l'entropie, les types d'enregistrement et le volume, plutôt que par une seule résolution suspecte.
Un attaquant a pris pied sur un hôte. Quels signes de mouvement latéral chercheriez-vous ?
Le mouvement latéral, c'est un attaquant qui utilise un point d'appui pour atteindre d'autres systèmes. Les signes incluent des logons réseau inattendus (type 3) et RDP (type 10), l'accès aux partages admin comme C$ et ADMIN$, des outils d'exécution distante tels que PsExec, WMI et WinRM, des motifs de pass-the-hash, et un compte normalement local qui s'authentifie soudain sur de nombreux hôtes.
Comment utiliseriez-vous le framework MITRE ATT&CK pour améliorer votre couverture de détection ?
ATT&CK est une base de connaissances des tactiques et techniques adverses réelles. Dans un SOC, vous mappez chaque règle de détection aux techniques qu'elle couvre, construisez une carte de couverture (souvent avec l'ATT&CK Navigator), puis priorisez la fermeture des lacunes selon les techniques les plus pertinentes pour votre modèle de menace et celles sur lesquelles vous n'avez aucune visibilité.
Un utilisateur signale un e-mail suspect. Détaillez votre démarche pour le trier en toute sécurité.
Examinez l'e-mail sans cliquer : vérifiez les en-têtes et l'authentification de l'expéditeur (SPF/DKIM/DMARC), inspectez les URL et pièces jointes en sandbox ou avec des outils de réputation, puis mesurez la portée — qui d'autre l'a reçu, quelqu'un a-t-il cliqué ou saisi des identifiants. Selon les constats, remédiez en purgeant l'e-mail, en bloquant les indicateurs et en réinitialisant les identifiants exposés.
Une alerte SIEM se déclenche pour une connexion suspecte. Détaillez votre démarche de triage.
Confirmez que l'alerte est réelle avant d'agir : lisez ce qui s'est déclenché et pourquoi, puis enrichissez — qui est l'utilisateur, l'IP/géo/appareil source sont-ils attendus, est-ce un voyage impossible, y a-t-il eu des échecs antérieurs ? Classez en vrai ou faux positif, escaladez ou confinez si c'est réel (désactiver la session, forcer une réinitialisation MFA), et documentez tout pour que le prochain analyste puisse suivre votre raisonnement.
Expliquez-moi ce que signifient les event IDs Windows 4624, 4625 et 4688 et comment vous les utiliseriez dans une enquête.
4624 est un logon réussi, 4625 est un logon échoué, et 4688 est une création de processus. Dans une enquête, vous utilisez 4625 pour repérer les attaques d'identifiants, 4624 (avec son type de logon et sa source) pour confirmer un accès réussi et comment il s'est produit, et 4688 pour voir ce qui a réellement été exécuté, idéalement avec l'audit de ligne de commande activé.
Recevez 100 questions d'entretien en cybersécurité + réponses
Laissez votre e-mail et nous vous enverrons le pack PDF gratuit et le jeu de flashcards.
Pas de spam. Désabonnez-vous à tout moment.