Skip to content

Vous avez confirmé un hôte compromis. L'entreprise exige qu'il soit effacé et remis en ligne en 10 minutes. Que défendez-vous ?

Réponse courte

Éradiquer avant de comprendre la portée laisse l'attaquant persister sur des systèmes que vous n'avez pas trouvés et simplement revenir. Chassez vite les IOC et les identifiants volés sur tout le parc, identifiez chaque hôte touché et chaque mécanisme de persistance, puis éradiquez partout d'un coup. Effacer un seul hôte est du whack-a-mole qui alerte l'attaquant tout en laissant ses autres points d'ancrage intacts. Une coupure totale d'internet d'une semaine est disproportionnée et nuit à l'entreprise. Supprimer juste le fichier malveillant ignore la persistance, le mouvement latéral et les identifiants déjà volés.

C'est une question de pression : l'entreprise veut l'hôte effacé et en ligne en dix minutes, et un répondeur junior cède. Le geste senior est de résister de façon constructive — contenir l'hôte connu, mais cadrer avant d'éradiquer, car une éradication prématurée sur une seule machine est la façon dont les intrusions deviennent des brèches récurrentes.

Pourquoi « cadrer d'abord » est la réponse

Un seul hôte compromis confirmé est rarement toute l'histoire. Un attaquant compétent a probablement bougé latéralement, volé des identifiants et planté de la persistance (tâches planifiées, services, web shells, clés Run du registre, comptes pirates) sur des hôtes que vous n'avez pas encore identifiés. Si vous effacez la seule machine connue, vous alertez l'attaquant et il revient simplement par un point d'ancrage jamais découvert. Vous chassez donc d'abord les IOC et les identifiants volés sur tout le parc, cartographiez chaque hôte touché et chaque mécanisme de persistance, puis éradiquez partout en une action coordonnée — refusant à l'attaquant un retour discret.

Surtout, cadrer ne signifie pas laisser l'hôte connu actif : vous l'isolez immédiatement pour répondre à l'urgence, puis cadrez en parallèle. L'entreprise obtient son confinement sans sacrifier une éradication propre.

Pourquoi les autres options échouent

  • Effacer et restaurer maintenant — rapide mais aveugle. C'est du whack-a-mole : vous retirez un nœud, alertez l'adversaire, et laissez ses autres points d'ancrage et identifiants volés pleinement utilisables. Il reviendra, souvent plus discret.
  • Couper toute l'entreprise d'internet jusqu'à la semaine prochaine — follement disproportionné pour un seul hôte confirmé. Cela inflige d'énormes dégâts métier et n'est pas nécessaire pour contenir une intrusion cadrée ; l'isolation ciblée suffit.
  • Supprimer juste le fichier malveillant — ignore la persistance, le mouvement latéral et les identifiants déjà volés. Le fichier est un symptôme ; le supprimer laisse la maladie.

Ce que le recruteur évalue

Il veut un répondeur senior capable de résister à la pression métier et d'articuler la discipline cadrer-puis-éradiquer, en parallélisant isolation et chasse pour que l'entreprise obtienne tout de même un confinement rapide. Nommer les angles persistance et identifiants — et l'éradication coordonnée et simultanée — montre que vous comprenez comment les attaquants survivent à une remédiation bâclée.

Questions de suivi probables

  • Comment cadrez-vous rapidement sans donner à l'entreprise un calendrier ouvert — que pouvez-vous paralléliser ?
  • Quels artefacts de persistance et de mouvement latéral chasseriez-vous sur tout le parc ?
  • Comment isolez-vous l'hôte connu pour satisfaire l'entreprise pendant que vous finissez le cadrage ?

Sources

Certifications

Recevez 100 questions d'entretien en cybersécurité + réponses

Laissez votre e-mail et nous vous enverrons le pack PDF gratuit et le jeu de flashcards.

Pas de spam. Désabonnez-vous à tout moment.