Skip to content

Questions d'entretien Threat Intelligence

IOCs, TTPs, the MITRE ATT&CK framework, the cyber kill chain and threat actor tracking.

44 questions questions dans cette série
Activer la MFA rend-il un compte impossible à hameçonner ?

Non. La MFA élève fortement la barre, mais les facteurs OTP et push sont hameçonnables : les kits d'adversaire au milieu (ex. Evilginx) relaient la connexion et le code en temps réel, et la fatigue MFA / le push-bombing poussent l'utilisateur à approuver. Les codes capturés sont réutilisables dans leur courte fenêtre. L'erreur est « MFA = inhameçonnable » ; c'est le type de facteur qui compte. La MFA résistante au phishing — les passkeys FIDO2/WebAuthn liés à l'origine du site — est ce qui déjoue réellement cela.

Mid-levelIdentity & Access ManagementThreat Intelligence
La réponse complète
Le support reçoit un appel urgent exigeant la réinitialisation immédiate du mot de passe d'un dirigeant, sans vérification d'identité et avec beaucoup de pression temporelle. Que doit faire l'agent ?

Urgence, autorité et contournement de la vérification sont une pression d'ingénierie sociale de manuel visant un compte à forte valeur. L'agent doit suivre le processus de vérification d'identité défini avant toute réinitialisation, et escalader s'il ne peut pas être satisfait. Réinitialiser à la demande, utiliser une « question de sécurité » devinable comme la couleur préférée, ou envoyer le nouveau mot de passe par e-mail à l'appelant remettent tous le contrôle du compte du dirigeant à un attaquant.

JuniorIdentity & Access ManagementThreat Intelligence
La réponse complète
L'analyse a révélé les domaines C2 du malware et un mutex unique. Quel est le livrable de plus grande valeur pour le SOC ?

Le SOC doit agir, alors livrez un contenu de détection structuré et exploitable : IOC réseau, hachages, artefacts hôte comme le mutex, et signatures comportementales ou YARA qu'il peut déployer pour traquer et bloquer. Un récit exhaustif des appels d'API n'est pas directement opérationnel. Un seul hachage est trivialement modifié par les attaquants. Une attribution spéculative n'aide pas le SOC à se défendre. Le but : des détections que le SOC peut déployer aujourd'hui.

Mid-levelMalwareThreat Intelligence
La réponse complète
Une simulation de phishing montre que 30 % du personnel a cliqué sur le lien. Quelle est la réponse constructive ?

Un taux de clic de 30 % est un point de référence à améliorer, pas une liste de personnes à punir : associer une formation ciblée par rôle et un bouton de signalement sans friction à des défenses techniques (MFA, filtrage de courrier, moindre privilège) pour qu'un seul clic ne mène pas à une compromission, et suivre la tendance dans le temps. Humilier publiquement les employés étouffe le signalement dont vous dépendez. Déclarer le personnel irrécupérable supprime un contrôle à renforcer. Un nouveau courriel anxiogène à tous n'est pas une intervention mesurable et ne change pas le comportement.

Mid-levelGovernance, Risk & ComplianceThreat Intelligence
La réponse complète
Avec un budget limité, comment un RSSI doit-il décider de ce qu'il finance ?

Les dépenses de sécurité doivent suivre le risque, pas l'effet de mode : utiliser une analyse de risque pour orienter l'argent là où l'impact métier et la probabilité sont les plus élevés et où la couverture des contrôles actuels est la plus faible, puis mesurer la réduction obtenue. Acheter ce que vend le fournisseur à la mode ignore votre profil de menace réel et finance souvent des outils inutilisés. Répartir le budget également sous-finance les rares domaines qui comptent le plus. Copier les concurrents suppose que leur profil de risque égale le vôtre, ce qui est rarement le cas.

SeniorGovernance, Risk & ComplianceThreat Intelligence
La réponse complète
Vous avez confirmé un hôte compromis. L'entreprise exige qu'il soit effacé et remis en ligne en 10 minutes. Que défendez-vous ?

Éradiquer avant de comprendre la portée laisse l'attaquant persister sur des systèmes que vous n'avez pas trouvés et simplement revenir. Chassez vite les IOC et les identifiants volés sur tout le parc, identifiez chaque hôte touché et chaque mécanisme de persistance, puis éradiquez partout d'un coup. Effacer un seul hôte est du whack-a-mole qui alerte l'attaquant tout en laissant ses autres points d'ancrage intacts. Une coupure totale d'internet d'une semaine est disproportionnée et nuit à l'entreprise. Supprimer juste le fichier malveillant ignore la persistance, le mouvement latéral et les identifiants déjà volés.

SeniorDFIR (Forensics & Incident Response)Threat Intelligence
La réponse complète
Votre SIEM déclenche 500 alertes « échec de connexion » par jour, presque toutes du bruit, et les analystes ignorent désormais la règle. Quel est le bon réflexe ?

Réduisez les faux positifs par l'ingénierie de détection, pas en vous aveuglant. Réajustez pour que les alertes ne se déclenchent que sur les motifs qui comptent — un même mot de passe testé sur de nombreux comptes (spraying), un compte attaqué de nombreuses fois (stuffing/force brute), voyage impossible — tout en gardant les événements bruts consultables sur un tableau de bord. Mesurez ensuite la précision des alertes dans le temps. Désactiver la règle supprime un signal réel, une suppression globale crée un angle mort permanent, et embaucher des gens pour trier du bruit pur ne passe pas à l'échelle et les épuise.

Mid-levelDFIR (Forensics & Incident Response)Threat Intelligence
La réponse complète
Vous remarquez qu'un seul hôte effectue des milliers de requêtes DNS inhabituelles et longues de type TXT vers un seul domaine. Quelle est l'explication la plus probable et l'action ?

Des requêtes TXT à fort volume et forte entropie, ou de longs sous-domaines vers un seul domaine, sont une signature classique de tunneling DNS / C2-exfiltration : des données sont passées en douce dans le DNS pour échapper au filtrage de sortie. Capturez un échantillon de requêtes pour analyse, sinkholez ou bloquez le domaine pour couper le canal, et pivotez vers l'hôte pour trouver le processus responsable. L'écarter comme du cache normal ou un site lent laisse passer une exfiltration en cours. Redémarrer le serveur DNS ne fait rien contre le poste compromis et perturbe juste la résolution de noms.

Mid-levelNetworkingThreat Intelligence
La réponse complète
Lundi 9h, quatre alertes sont ouvertes. Laquelle traitez-vous EN PREMIER ?

Triez par impact et accessibilité : un dumping d'identifiants (signature mimikatz) sur un contrôleur de domaine est un événement touchant les joyaux de la couronne, pouvant mener à la compromission complète du domaine ; traitez-le en premier. Le scan de ports externe a déjà été bloqué par l'IDS, l'extension de navigateur non approuvée est de faible gravité, et un certificat TLS expiré sur une machine de test interne est informatif. La compétence SOC clé est de prioriser par rayon d'impact et probabilité d'escalade, pas par l'ancienneté ni le « bruit » de l'alerte.

Mid-levelDFIR (Forensics & Incident Response)Threat Intelligence
La réponse complète
Quels sont les bénéfices et les risques de l'usage de l'IA dans le SOC ?

L'IA aide le SOC en triant et dédupliquant les alertes, en résumant les incidents, en enrichissant le contexte, en rédigeant des détections et en accélérant l'intégration des analystes — réduisant la fatigue et le temps de présence. Les risques : conclusions hallucinées ou fausses avec assurance, biais d'automatisation où les analystes cessent de vérifier, prompt injection via des données de logs ou d'alertes contrôlées par l'attaquant, fuite de données sensibles vers des modèles tiers, et adversaires utilisant les mêmes outils. Gardez un humain dans la boucle, vérifiez les sorties et isolez les entrées non fiables.

Mid-levelAI & LLM SecurityThreat Intelligence
La réponse complète
Distinguez le credential stuffing du password spraying, en précisant comment chacun apparaît dans les journaux.

Le credential stuffing rejoue des paires identifiant:mot de passe connues issues de fuites tierces, en pariant sur la réutilisation des mots de passe — taux de réussite élevé par tentative, souvent réparti sur de nombreuses IP et machines pour paraître humain. Le password spraying essaie un ou deux mots de passe courants (comme Winter2026!) sur de nombreux comptes afin de rester sous les seuils de verrouillage. Le stuffing exploite la réutilisation ; le spraying exploite les mots de passe partagés faibles. La MFA déjoue les deux.

Mid-levelIdentity & Access ManagementDFIR (Forensics & Incident Response)Threat Intelligence
La réponse complète
Expliquez la Cyber Kill Chain de Lockheed Martin et comment une équipe bleue l'utilise.

La Cyber Kill Chain modélise une intrusion en sept étapes séquentielles : reconnaissance, militarisation, livraison, exploitation, installation, commande et contrôle (C2), et actions sur les objectifs. Les défenseurs associent des détections et des contrôles à chaque étape ; comme les étapes sont séquentielles, briser un seul maillon — bloquer l'e-mail de phishing, tuer le C2 — perturbe toute l'attaque. Cela pousse à détecter tôt plutôt qu'à la seule intrusion finale.

Mid-levelThreat IntelligenceDFIR (Forensics & Incident Response)Networking
La réponse complète
Expliquez l'exfiltration de données par DNS et comment une équipe bleue la détecterait.

L'exfiltration DNS encode des données volées dans des requêtes DNS (par ex. de longs labels de sous-domaine envoyés à un serveur autoritaire contrôlé par l'attaquant), en abusant du fait que le DNS est presque toujours autorisé en sortie et souvent non surveillé. Détectez-la par des anomalies : volume de requêtes anormalement élevé vers un domaine, sous-domaines longs / à forte entropie, nombreux sous-domaines uniques par domaine parent, abus d'enregistrements TXT/NULL, et requêtes vers des domaines récemment enregistrés ou rares.

SeniorNetworkingDFIR (Forensics & Incident Response)Threat Intelligence
La réponse complète
Quelles sont les phases du cycle de vie de la réponse à incident, et pourquoi l'ordre est-il important ?

Le modèle classique est PICERL : Préparation, Identification (détection), Confinement, Éradication, Restauration et Retour d'expérience. Le NIST le regroupe en : Préparation ; Détection et analyse ; Confinement, éradication et restauration ; et Activité post-incident. L'ordre compte car il faut cerner et confiner avant d'éradiquer, et l'on ne restaure qu'une fois la menace supprimée — sinon on réinfecte. C'est une boucle, pas une ligne : le retour d'expérience nourrit la préparation.

JuniorDFIR (Forensics & Incident Response)Threat Intelligence
La réponse complète
Expliquez la différence entre les indicateurs de compromission (IOC) et les indicateurs d'attaque (IOA).

Un IOC est un artefact forensique prouvant que quelque chose de malveillant s'est déjà produit — un hash de fichier malveillant, une IP ou un domaine de C2, une clé de registre connue comme néfaste. Un IOA est un signal comportemental d'une attaque qui se déroule, indépendamment des outils précis — par ex. un document Word qui lance PowerShell, puis se connecte à Internet. Les IOC sont réactifs et faciles à contourner en changeant un hash ; les IOA capturent l'intention et survivent aux changements d'outils.

Mid-levelThreat IntelligenceDFIR (Forensics & Incident Response)
La réponse complète
Qu'est-ce qu'un honeypot, quels types existent, et quelle valeur apporte-t-il à une équipe bleue ?

Un honeypot est un système ou service leurre sans usage métier légitime, délibérément exposé pour attirer les attaquants. Comme rien de bénin ne devrait jamais le toucher, toute interaction est une alerte hautement fiable. Les honeypots à faible interaction émulent des services à peu de frais ; ceux à forte interaction sont de vrais systèmes qui livrent une intel plus riche mais comportent plus de risque. Les honeytokens sont la même idée appliquée à de faux identifiants, fichiers ou enregistrements. Valeur : détection précoce, peu de faux positifs et threat intelligence.

JuniorThreat IntelligenceNetworkingDFIR (Forensics & Incident Response)
La réponse complète
Expliquez la différence entre un IDS et un IPS.

Un IDS (système de détection d'intrusion) surveille le trafic et lève des alertes mais ne bloque pas — il est généralement hors bande. Un IPS (système de prévention d'intrusion) se place en ligne dans le chemin du trafic et peut activement rejeter ou bloquer le trafic malveillant. L'IPS prévient, mais un faux positif peut casser du trafic légitime.

JuniorNetworkingThreat Intelligence
La réponse complète
Qu'est-ce que l'hameçonnage, et quels contrôles mettriez-vous en place pour le réduire ?

L'hameçonnage est une ingénierie sociale qui pousse les gens à révéler des identifiants, envoyer de l'argent ou exécuter un malware, généralement via de faux e-mails ou sites. La défense est en couches : filtrage et authentification des e-mails (SPF/DKIM/DMARC), MFA pour limiter les dégâts d'identifiants volés, formation de sensibilisation, et un moyen simple de signaler les messages suspects.

JuniorThreat IntelligenceIdentity & Access Management
La réponse complète
Comment distinguez-vous une vulnérabilité d'une menace et d'un risque ?

Une vulnérabilité est une faiblesse (logiciel non corrigé). Une menace est un acteur ou un événement qui pourrait l'exploiter (un groupe de rançongiciel). Le risque est la combinaison de la probabilité qu'une menace exploite une vulnérabilité et de l'impact si elle le fait. Risque = menace x vulnérabilité x impact, et c'est ce que l'on priorise réellement.

JuniorThreat Intelligence
La réponse complète
Qu'est-ce qu'un zero-day, et comment se défendre contre quelque chose sans correctif ?

Un zero-day est une vulnérabilité que l'éditeur ne connaît pas encore (ou n'a pas corrigée), de sorte que les défenseurs ont eu « zéro jour » pour la corriger. Comme aucun correctif n'existe, la défense repose sur des contrôles en couches, la détection comportementale, la segmentation, le moindre privilège et une réponse rapide aux incidents plutôt que sur une signature.

Mid-levelThreat IntelligenceMalware
La réponse complète
Qu'est-ce qui est pire en détection de sécurité : un faux positif ou un faux négatif ?

D'un point de vue purement sécurité, un faux négatif est généralement pire : il signifie qu'une vraie attaque n'a pas été détectée, donc pas de réponse, pas de confinement, et la brèche peut rester tapie sans être découverte. Mais les faux positifs ne sont pas anodins : en grand nombre, ils provoquent la fatigue d'alerte, où les analystes commencent à ignorer les alertes et manquent la vraie. La bonne réponse nomme le compromis, pas seulement un gagnant.

Mid-levelDFIR (Forensics & Incident Response)Threat Intelligence
La réponse complète
Comment établissez-vous un référentiel de la normalité, et comment vous aide-t-il à détecter les anomalies ?

Un référentiel est un modèle du comportement normal d'un hôte, d'un utilisateur, d'un compte ou d'un segment réseau — quels processus s'exécutent, qui se connecte d'où et quand, les volumes de données typiques, les intervalles normaux de beaconing. Une fois la normalité connue, les anomalies (paires processus parent-enfant rares, binaires vus pour la première fois, connexions à des heures inhabituelles, exfiltration de données inhabituelle) deviennent détectables comme des écarts. L'établissement d'un référentiel est le fondement de la détection d'anomalies, mais il exige un historique propre suffisant et une gestion soigneuse des changements légitimes pour ne pas se noyer sous les faux positifs.

Mid-levelThreat IntelligenceDFIR (Forensics & Incident Response)
La réponse complète
Comment chasseriez-vous le beaconing C2 dans la télémétrie réseau ?

Le beaconing C2 est le check-in périodique qu'un implant effectue auprès de son contrôleur. Chassez-le dans la télémétrie réseau/proxy/DNS en cherchant la régularité : connexions vers une destination à intervalles quasi fixes (même avec du jitter), petites requêtes uniformes, faibles ratios données-entrantes / données-sortantes, destinations rares de longue durée, et empreintes TLS/JA3 suspectes ou user-agents étranges. Le signal est le rythme et la rareté de la destination, pas le payload — qui est généralement chiffré.

SeniorThreat IntelligenceDFIR (Forensics & Incident Response)
La réponse complète
Comment décidez-vous des sources de journaux et de la télémétrie dont vous avez besoin pour chasser efficacement ?

Partez des techniques que vous voulez détecter, puis remontez jusqu'à la télémétrie qui les révèle — le mappage des sources de données d'ATT&CK y aide. En pratique, les sources à plus forte valeur sont la télémétrie endpoint des processus/lignes de commande et des chargements de modules (EDR/Sysmon), les journaux d'authentification et d'identité, le DNS et les flux proxy/réseau, et les journaux du plan de contrôle cloud. Vous auditez ensuite ce que vous collectez et conservez réellement face à ce dont chaque technique a besoin, exposant les angles morts. Une technique invisible dans tout journal n'est pas encore chassable.

Mid-levelThreat IntelligenceDFIR (Forensics & Incident Response)
La réponse complète
Décrivez-moi le cycle de vie d'une détection, de l'idée à la règle maintenue.

L'ingénierie de détection traite les détections comme un produit logiciel doté d'un cycle de vie : identifier une menace ou technique à couvrir, étudier la télémétrie et le comportement, développer la règle, la tester face à des données de vrais positifs et bénignes, la déployer (souvent par étapes), la valider par émulation d'adversaire, puis l'ajuster en continu pour les faux positifs et retirer les règles qui ne se justifient plus. Chaque étape est documentée et versionnée, et la couverture est suivie par rapport à un cadre comme ATT&CK.

SeniorThreat IntelligenceDFIR (Forensics & Incident Response)
La réponse complète
Que sont les living-off-the-land binaries (LOLBins), et comment chasseriez-vous leur abus ?

Les LOLBins (living-off-the-land binaries) sont des outils système légitimes, signés et préinstallés — comme certutil, bitsadmin, mshta, rundll32, regsvr32, wmic, powershell — que les attaquants détournent pour télécharger, exécuter ou persister tout en se fondant dans l'activité d'administration normale. Comme le binaire lui-même est de confiance, on ne peut pas détecter sur le fichier ; on détecte sur le contexte : arguments de ligne de commande anormaux, processus parents inhabituels, connexions réseau inattendues depuis ces outils, et exécution depuis des chemins étranges ou par des utilisateurs inhabituels.

SeniorThreat IntelligenceDFIR (Forensics & Incident Response)
La réponse complète
Expliquez la Pyramid of Pain et comment elle façonne l'endroit où vous investissez l'effort de détection.

La Pyramid of Pain classe les types d'indicateurs selon le coût pour un attaquant de les modifier une fois que vous détectez dessus. Les hashs sont triviaux à altérer (en bas), puis les adresses IP, les noms de domaine, les artefacts réseau/hôte, les outils, et enfin les TTP au sommet — qu'un attaquant ne peut changer qu'en réoutillant fondamentalement son comportement. Détecter aux niveaux supérieurs cause plus de « douleur » et est plus durable, donc les programmes matures investissent l'effort de détection vers les comportements et les TTP plutôt que les seuls IOC.

Mid-levelThreat IntelligenceDFIR (Forensics & Incident Response)
La réponse complète
Comment structureriez-vous une chasse aux menaces basée sur les TTP avec MITRE ATT&CK, et qu'est-ce qui fait une bonne chasse ?

La chasse basée sur les TTP utilise MITRE ATT&CK comme carte : choisissez une technique pertinente pour votre modèle de menace (idéalement à faible couverture), formez une hypothèse concrète sur la façon dont elle apparaîtrait dans votre télémétrie, identifiez les sources de données qui la révèlent, interrogez-les et analysez les résultats. Une bonne chasse est délimitée, guidée par des hypothèses, liée à un comportement réel d'adversaire, reproductible, et produit un résultat durable — une nouvelle détection, une lacune de couverture documentée, ou la preuve que la technique est absente — qu'elle trouve ou non une compromission.

SeniorThreat IntelligenceDFIR (Forensics & Incident Response)
La réponse complète
Qu'est-ce que l'User and Entity Behaviour Analytics (UEBA), et quelles menaces attrape-t-elle ?

L'UEBA (User and Entity Behaviour Analytics) construit des référentiels comportementaux pour les utilisateurs et les entités (hôtes, comptes de service, appareils) et utilise des statistiques ou l'apprentissage automatique pour scorer les écarts comme du risque. Elle excelle face aux menaces sans signature nette : identifiants compromis, abus interne et déplacement latéral — p. ex. un utilisateur accédant soudain à des systèmes qu'il ne touche jamais, à des heures inhabituelles, ou déplaçant des volumes de données anormaux. Elle complète la détection basée sur des règles plutôt que de la remplacer, et nécessite un ajustement pour éviter les faux positifs dus aux changements de comportement légitimes.

Mid-levelThreat IntelligenceIdentity & Access Management
La réponse complète
Qu'est-ce que la chasse aux menaces, et en quoi diffère-t-elle de l'attente des alertes ?

La chasse aux menaces est la pratique proactive, guidée par des hypothèses, qui consiste à fouiller la télémétrie pour y trouver l'activité d'un adversaire que les détections existantes ont manquée. Contrairement au tri des alertes — réactif et qui attend qu'un outil se déclenche — la chasse part d'une question (« si un attaquant faisait X, quelles preuves verrais-je ? »), la teste face aux données, et soit trouve quelque chose, soit produit une nouvelle détection. Elle suppose que la prévention et les alertes sont imparfaites et qu'un adversaire déterminé est peut-être déjà à l'intérieur.

Mid-levelThreat IntelligenceDFIR (Forensics & Incident Response)
La réponse complète
Qu'est-ce que Sigma, et comment transformeriez-vous un résultat de hunt en règle de détection portable ?

Sigma est un format YAML ouvert et neutre vis-à-vis des éditeurs pour décrire des détections SIEM. Vous définissez une logsource (product/category, par exemple Windows process_creation), un bloc detection avec des sélections nommées de correspondances champ/valeur, et une condition qui les combine. Un convertisseur (comme sigma-cli/pySigma) traduit la règle dans le langage de requête de votre backend réel — Splunk, Sentinel, Elastic — de sorte qu'une seule règle est portable. Elle porte aussi des métadonnées : title, level, status, faux positifs et tags ATT&CK.

Mid-levelThreat IntelligenceDFIR (Forensics & Incident Response)
La réponse complète
Expliquez le fonctionnement des règles YARA et ce qui rend une règle efficace plutôt que fragile ou bruyante.

Une règle YARA comporte un bloc meta, une section strings (motifs texte, hexa ou regex, avec jokers et sauts) et une condition qui combine ces correspondances par une logique booléenne et de comptage. Une règle efficace s'appuie sur un élément durable et distinctif — un stub de code unique, un nom de mutex, un marqueur de configuration ou une combinaison d'imports inhabituelle — plutôt que sur des valeurs qu'un attaquant change trivialement comme un seul hash ou une chaîne générique. On équilibre la spécificité face aux faux positifs, on teste contre un corpus propre, et on documente la règle pour que d'autres lui fassent confiance et la maintiennent.

Mid-levelMalwareThreat Intelligence
La réponse complète
Qu'est-ce que la divulgation coordonnée de vulnérabilités et comment doit-elle fonctionner ?

La divulgation coordonnée de vulnérabilités est un processus où un chercheur signale une faille en privé à l'éditeur, les deux parties s'accordent sur la correction et un délai, et les détails ne sont publiés qu'une fois un correctif disponible (ou le délai convenu écoulé). Elle équilibre le temps laissé aux défenseurs pour corriger et le droit du public à être informé. Un fichier security.txt et une politique claire rendent le signalement sans friction ; les programmes de bug bounty ajoutent des récompenses structurées par-dessus.

Mid-levelWeb SecurityThreat Intelligence
La réponse complète
Comment utilisez-vous MITRE ATT&CK pour une défense informée par la menace ?

ATT&CK est une base de connaissances des tactiques (le pourquoi), techniques (le comment) et procédures adverses réelles. Vous l'utilisez pour cartographier vos détections existantes sur la matrice, repérer les lacunes de couverture et prioriser les techniques employées par les acteurs qui ciblent réellement votre secteur. Il offre un langage commun entre CTI, ingénierie de détection et réponse à incident, transformant « sommes-nous sécurisés ? » en une carte de couverture concrète et mesurable, fondée sur le comportement adverse réel.

Mid-levelThreat IntelligenceDFIR (Forensics & Incident Response)
La réponse complète
Qu'est-ce que le purple teaming et comment menez-vous un exercice de purple team ?

Le purple teaming est collaboratif plutôt qu'adversarial : le côté rouge exécute des TTP précis et convenus (souvent reliés à MITRE ATT&CK) pendant que le côté bleu observe sa télémétrie en temps réel pour confirmer si chaque technique est journalisée, alertée et détectable. On mesure la couverture de détection technique par technique, on ajuste les détections et comble les lacunes immédiatement, puis on re-teste. Le livrable est une détection améliorée et mesurable — pas une liste de qui a « gagné ».

Mid-levelThreat IntelligenceDFIR (Forensics & Incident Response)
La réponse complète
En quoi une mission de red team diffère-t-elle d'un test d'intrusion ?

Un pentest vise une large couverture — trouver autant de vulnérabilités que possible dans une cible délimitée. Une red team est une émulation d'adversaire pilotée par objectif : choisir un but (par ex. atteindre les données les plus précieuses), émuler les TTP d'un acteur de menace précis, rester furtif pour tester la détection et la réponse, et éviter le scan bruyant. La red team mesure l'équipe bleue et toute l'organisation, pas seulement l'actif ; les deux exigent des règles d'engagement strictes et une autorisation.

SeniorNetworkingThreat Intelligence
La réponse complète
Comment menez-vous une analyse de risque ?

Une analyse de risque identifie les actifs et leur valeur, les menaces et vulnérabilités qui pourraient les affecter, puis estime le risque comme une fonction de la vraisemblance et de l'impact. On peut la mener qualitativement (élevé/moyen/faible, rapide et subjectif) ou quantitativement (SLE × ARO = ALE, fondé sur des données mais plus difficile). Des référentiels comme NIST RMF et ISO 27005 lui donnent une structure, et la sortie alimente le traitement du risque : atténuer, transférer, éviter ou accepter.

SeniorIdentity & Access ManagementThreat Intelligence
La réponse complète
Expliquez la différence entre la reconnaissance passive et active, avec des exemples de chacune.

La reconnaissance passive recueille des informations sans interagir directement avec les systèmes de la cible — OSINT, enregistrements DNS, transparence des certificats. La reconnaissance active touche la cible, comme le balayage de ports ou la capture de bannières, ce qui est plus bruyant mais donne plus de détails.

JuniorNetworkingThreat Intelligence
La réponse complète
Pourquoi les logs DNS sont-ils utiles pour la détection, et quelles menaces peut-on y trouver ?

Presque tout passe par le DNS, donc les logs DNS révèlent des menaces que d'autres sources manquent : le beaconing de command-and-control (rappels réguliers vers un domaine), le tunneling et l'exfiltration DNS (gros volume de sous-domaines longs et encodés), et les domaines générés algorithmiquement (DGA). On les détecte via des motifs comme la régularité des requêtes, l'entropie, les types d'enregistrement et le volume, plutôt que par une seule résolution suspecte.

SeniorNetworkingDFIR (Forensics & Incident Response)Threat Intelligence
La réponse complète
Une règle génère des centaines de faux positifs par jour. Comment l'affiner en toute sécurité ?

Comprenez d'abord pourquoi la règle se déclenche autant — trouvez le motif bénin commun derrière le bruit. Écrivez ensuite l'exclusion la plus étroite possible (hôte, compte ou comportement précis), documentez la justification, et validez qu'un vrai positif se déclencherait encore. Évitez les suppressions larges qui créent discrètement des angles morts.

Mid-levelDFIR (Forensics & Incident Response)Threat Intelligence
La réponse complète
Comment utiliseriez-vous le framework MITRE ATT&CK pour améliorer votre couverture de détection ?

ATT&CK est une base de connaissances des tactiques et techniques adverses réelles. Dans un SOC, vous mappez chaque règle de détection aux techniques qu'elle couvre, construisez une carte de couverture (souvent avec l'ATT&CK Navigator), puis priorisez la fermeture des lacunes selon les techniques les plus pertinentes pour votre modèle de menace et celles sur lesquelles vous n'avez aucune visibilité.

Mid-levelThreat IntelligenceDFIR (Forensics & Incident Response)
La réponse complète
Un utilisateur signale un e-mail suspect. Détaillez votre démarche pour le trier en toute sécurité.

Examinez l'e-mail sans cliquer : vérifiez les en-têtes et l'authentification de l'expéditeur (SPF/DKIM/DMARC), inspectez les URL et pièces jointes en sandbox ou avec des outils de réputation, puis mesurez la portée — qui d'autre l'a reçu, quelqu'un a-t-il cliqué ou saisi des identifiants. Selon les constats, remédiez en purgeant l'e-mail, en bloquant les indicateurs et en réinitialisant les identifiants exposés.

JuniorDFIR (Forensics & Incident Response)Threat IntelligenceWeb Security
La réponse complète
Nous utilisons à la fois un SIEM et un SOAR. Que fait chacun, et comment travaillent-ils ensemble ?

Un SIEM ingère et corrèle les logs de tout le parc pour générer des alertes — c'est votre couche de détection et de recherche. Un SOAR se situe en aval et automatise la réponse : il exécute des playbooks, enrichit les alertes via des intégrations, et gère les cas pour que les analystes passent moins de temps sur les étapes répétitives.

JuniorDFIR (Forensics & Incident Response)Threat Intelligence
La réponse complète
Une alerte SIEM se déclenche pour une connexion suspecte. Détaillez votre démarche de triage.

Confirmez que l'alerte est réelle avant d'agir : lisez ce qui s'est déclenché et pourquoi, puis enrichissez — qui est l'utilisateur, l'IP/géo/appareil source sont-ils attendus, est-ce un voyage impossible, y a-t-il eu des échecs antérieurs ? Classez en vrai ou faux positif, escaladez ou confinez si c'est réel (désactiver la session, forcer une réinitialisation MFA), et documentez tout pour que le prochain analyste puisse suivre votre raisonnement.

JuniorDFIR (Forensics & Incident Response)Threat IntelligenceIdentity & Access Management
La réponse complète

Recevez 100 questions d'entretien en cybersécurité + réponses

Laissez votre e-mail et nous vous enverrons le pack PDF gratuit et le jeu de flashcards.

Pas de spam. Désabonnez-vous à tout moment.