Skip to content

Un utilisateur signale un e-mail suspect. Détaillez votre démarche pour le trier en toute sécurité.

Réponse courte

Examinez l'e-mail sans cliquer : vérifiez les en-têtes et l'authentification de l'expéditeur (SPF/DKIM/DMARC), inspectez les URL et pièces jointes en sandbox ou avec des outils de réputation, puis mesurez la portée — qui d'autre l'a reçu, quelqu'un a-t-il cliqué ou saisi des identifiants. Selon les constats, remédiez en purgeant l'e-mail, en bloquant les indicateurs et en réinitialisant les identifiants exposés.

Le phishing est le vecteur d'accès initial le plus courant, donc le triage de phishing est un travail quotidien de SOC. Les recruteurs posent cette question pour vérifier deux choses : que vous enquêtez en sécurité (sans cliquer sur des liens actifs), et que vous pensez à la portée, pas seulement au seul e-mail signalé.

Examiner l'e-mail en sécurité

Ne cliquez jamais. Travaillez à partir du message brut. Lisez les en-têtes : la véritable IP d'envoi et le chemin, ainsi que les résultats de SPF, DKIM et DMARC, qui vous disent si le domaine expéditeur était autorisé et le message non altéré. Vérifiez le nom affiché par rapport à l'adresse réelle (spoofing et domaines ressemblants), et cherchez les indices d'ingénierie sociale habituels — urgence, reply-to incohérent, prétextes de collecte d'identifiants.

Analyser les liens et pièces jointes

Extrayez les URL et inspectez-les avec des services de réputation ou un environnement de sandbox/détonation plutôt qu'avec votre propre navigateur. Détonez les pièces jointes en sandbox pour observer leur comportement. Les indicateurs « défangés » (hxxp://) vous évitent de cliquer par accident.

Mesurer le rayon d'impact

C'est l'étape que les juniors oublient. Cherchez dans la passerelle de messagerie et le SIEM : qui d'autre a reçu ce message ou des messages similaires ? Quelqu'un a-t-il cliqué sur le lien ou ouvert la pièce jointe ? Quelqu'un a-t-il saisi des identifiants sur la page de destination ? Un signalement représente généralement une campagne touchant de nombreuses boîtes.

Remédier de façon proportionnée

Purgez le message de toutes les boîtes affectées, bloquez le domaine expéditeur, les URL et les hachages de fichiers à la passerelle et au proxy, et ajoutez les indicateurs à la détection. Si des identifiants ont été saisis, traitez cela comme une compromission de compte : réinitialisez les mots de passe, révoquez les sessions, et surveillez les connexions consécutives.

Documenter et clôturer

Consignez les indicateurs et conclusions pour que le prochain e-mail similaire soit traité plus vite.

Pourquoi c'est important

Un traitement sûr associé à la mesure de la portée témoigne de jugement. Un analyste qui traite un seul signalement de phishing comme une campagne potentielle à l'échelle de l'organisation — et qui ne détone jamais une charge utile sur sa propre machine — est exactement la personne que les recruteurs veulent au triage de la boîte de réception.

Questions de suivi probables

  • Que vous indiquent respectivement SPF, DKIM et DMARC sur un expéditeur ?
  • Comment mesureriez-vous le rayon d'impact à l'échelle de toute l'organisation ?
  • Que faites-vous différemment si quelqu'un a déjà saisi ses identifiants ?

Sources

Certifications

Recevez 100 questions d'entretien en cybersécurité + réponses

Laissez votre e-mail et nous vous enverrons le pack PDF gratuit et le jeu de flashcards.

Pas de spam. Désabonnez-vous à tout moment.