Skip to content

Pendant le test, vous trouvez des indices qu'un VRAI attaquant est déjà à l'intérieur de l'environnement du client. Et maintenant ?

Réponse courte

Découvrir une intrusion active est une urgence hors bande : les règles d'engagement doivent définir une procédure d'escalade, alors déclenchez-la immédiatement, préservez les preuves et évitez de contaminer un incident en cours. Continuer à tester peut interférer avec le vrai attaquant ou détruire les preuves mêmes dont les intervenants ont besoin. Tenter d'expulser l'attaquant vous-même est hors périmètre, risqué et peut l'alerter. Attendre le rapport final pourrait signifier des jours de violation continue et de perte de données.

Un test d'intrusion est un exercice planifié ; une intrusion réelle et active ne l'est pas. Dès l'instant où vous trouvez de véritables indicateurs de compromission qui ne sont pas les vôtres, la situation passe du test à la réponse à incident, et vos responsabilités évoluent en conséquence.

Pourquoi s'arrêter, préserver et escalader est la bonne réponse

Un bon contrat de mission anticipe précisément ce scénario : les règles d'engagement désignent un contact d'urgence et une procédure d'escalade hors bande. Déclenchez-la immédiatement. Arrêtez toute activité susceptible d'écraser des journaux ou d'altérer les systèmes touchés, préservez ce que vous avez trouvé (notes, horodatages, indicateurs) et passez le relais au client pour qu'il déclenche une réponse à incident formelle. La vitesse compte : chaque heure où un vrai attaquant reste dans l'environnement peut signifier davantage de données volées ou de systèmes compromis. Votre rôle est de donner l'alerte proprement, pas d'enquêter ni de combattre.

Pourquoi les autres options sont fausses

  • Continuer à tester. Poursuivre risque de heurter l'activité de l'attaquant, de contaminer les preuves et d'empêcher les intervenants de distinguer vos actions des siennes. « Ce n'est pas mon travail » ignore le devoir de diligence dû à un client dont les données sont activement menacées.
  • Expulser l'attaquant vous-même. C'est hors de votre périmètre, un terrain pour lequel vous n'êtes pas formé, et dangereux : vous pourriez alerter l'attaquant (qui détruirait alors des données ou brûlerait son accès), corrompre les preuves forensiques ou faire tomber des systèmes. L'expulsion est une opération de réponse à incident coordonnée, pas une action en solo.
  • Attendre le rapport final. Garder pour soi une violation active pendant des jours est indéfendable. Cela garantit la poursuite des dommages et expose vous comme le client à de graves retombées juridiques et de réputation.

Ce que sonde un recruteur

Il veut vous voir reconnaître un changement de mode — de l'offensive à la notification d'urgence — et savoir que les règles d'engagement doivent déjà contenir le mécanisme d'escalade. Le signal recherché est une escalade calme, rapide et soucieuse des preuves, pas de l'héroïsme.

Questions de suivi probables

  • Quel contact et quel processus prédéfinis dans les règles d'engagement couvrent un incident réel inattendu ?
  • Comment éviter de contaminer les preuves dès que vous soupçonnez une intrusion en cours ?
  • Comment distinguer votre propre activité de test de celle du vrai attaquant dans les journaux ?

Sources

Certifications

Recevez 100 questions d'entretien en cybersécurité + réponses

Laissez votre e-mail et nous vous enverrons le pack PDF gratuit et le jeu de flashcards.

Pas de spam. Désabonnez-vous à tout moment.