Skip to content

Un utilisateur signale avoir cliqué sur un lien dans un e-mail suspect et saisi son mot de passe sur la page. Quelle est votre PREMIÈRE action ?

Réponse courte

Supposez le mot de passe déjà compromis : forcez une réinitialisation ET invalidez les sessions et jetons actifs du compte, car un simple reset n'évince pas un attaquant qui détient déjà une session active ou un jeton de rafraîchissement. Chassez ensuite les connexions anormales, les invites MFA, les règles de boîte mail et les autorisations OAuth créées pendant la fenêtre d'exposition. Supprimer l'e-mail ou dire à l'utilisateur de changer son mot de passe « la prochaine fois » laisse le compte grand ouvert. Un scan antivirus traite le malware sur le poste, pas les identifiants volés dans le cloud.

Quand un utilisateur admet avoir saisi son mot de passe sur une page de phishing, considérez l'identifiant comme déjà entre les mains de l'attaquant. La question teste si vous comprenez que la compromission de compte moderne est rarement stoppée par un simple changement de mot de passe — et que la rapidité du confinement compte plus que le rangement de la boîte mail.

Pourquoi le reset plus la révocation de session est la bonne réponse

Une réinitialisation ferme une porte, mais les attaquants qui ont phishé des identifiants s'authentifient souvent immédiatement et obtiennent un cookie de session ou un jeton de rafraîchissement OAuth. Ces jetons survivent au changement de mot de passe. Vous devez donc faire les deux : réinitialiser le mot de passe et révoquer les sessions/jetons actifs (déconnexion partout, révocation des jetons, ré-authentification forcée). Ensuite seulement, vous chassez — examinez les journaux de connexion (voyage impossible, nouvelles IP), recherchez les règles de transfert récemment créées, les consentements d'applications OAuth et les enrôlements MFA ajoutés pendant la fenêtre de l'attaquant.

Pourquoi les autres options sont dangereuses

  • Supprimer l'e-mail et passer à autre chose — cela traite l'appât, pas la brèche. L'identifiant est déjà parti ; le nettoyage de la boîte ne change rien à l'accès de l'attaquant.
  • « Changez-le à votre prochaine connexion » — chaque heure de délai est du temps de présence offert. L'attaquant peut modifier les paramètres de récupération, exfiltrer du courrier ou rebondir avant la prochaine connexion.
  • Lancer un scan AV complet et attendre — l'antivirus chasse le malware sur le portable. Cet incident concerne des identifiants cloud volés, pas nécessairement une infection. Attendre le scan brûle la fenêtre de confinement critique pendant que le compte reste exploitable.

Ce que le recruteur évalue

Il veut voir que vous distinguez la compromission du poste de la compromission de l'identité et que vous choisissez le bon contrôle. Le bon candidat nomme la double action (reset et invalidation session/jeton), puis enchaîne sur le cadrage : qu'a touché l'attaquant, et a-t-il établi une persistance via la MFA ou des règles de boîte mail ? Ce jugement — contenir l'identité d'abord, enquêter ensuite — est au cœur de la réponse au phishing d'identifiants.

Questions de suivi probables

  • Un attaquant a enrôlé son propre appareil MFA pendant la session. Comment votre procédure de reset le détecterait-elle ?
  • Quels journaux récupéreriez-vous pour cadrer ce que l'attaquant a fait avec les identifiants volés ?
  • En quoi les jetons de session et les jetons de rafraîchissement OAuth modifient-ils votre confinement au-delà d'une réinitialisation de mot de passe ?

Sources

Certifications

Recevez 100 questions d'entretien en cybersécurité + réponses

Laissez votre e-mail et nous vous enverrons le pack PDF gratuit et le jeu de flashcards.

Pas de spam. Désabonnez-vous à tout moment.