Interview – Cybersecurity Analyst : questions techniques et comportementales

Pendant l’entretien, on attend une démarche structurée de triage → investigation → qualification → réponse, pas une simple description “je vérifierais les logs”. Je veux voir comment vous exploitez un SIEM (ex. Splunk ou Elastic) pour construire une timeline d’événements et comment vous corroborez les hypothèses avec l’EDR (ex. Microsoft Defender for Endpoint). Vous devez aussi savoir relier les signaux à un cadre d’attaque comme MITRE ATT&CK, afin de justifier le niveau de sévérité et les actions de réponse. Enfin, vous parlez KPI : par exemple viser un temps de qualification inférieur à 20 minutes et un taux de faux positifs maîtrisé sur vos règles de détection.

Un bon candidat sait poser les bonnes questions très tôt : périmètre des logs (auth, DNS, proxy, firewall), fréquence de collecte, couverture EDR, et existence de runbooks. Vous pouvez citer des métriques opérationnelles comme le MTTR (temps moyen de rétablissement) et le MTTD (temps moyen de détection) pour montrer que vous raisonnez “SOC performance”. L’entretien évalue aussi votre capacité à conserver des preuves : conservation des artefacts, export d’événements et traçabilité des actions. Si vous mentionnez une certification comme CompTIA Security+ ou une démarche de conformité (ISO 27001, NIST), c’est un plus, à condition de la relier à des pratiques concrètes.

Quand une alerte remonte, votre réponse doit montrer comment vous validez ou invalidez une hypothèse. Par exemple, si le SIEM indique un trafic sortant suspect, vous devez corréler source → destination → processus associé via l’EDR, puis enrichir les IOCs (VirusTotal pour domaines/IP, AbuseIPDB pour IP) avant de conclure. Vous devez expliquer comment vous vérifiez les signaux de persistance et de commande (process tree, commandes PowerShell encodées, usage d’outils système) et comment vous mappez les étapes au modèle MITRE ATT&CK. Une méthode claire réduit les faux positifs et accélère la réponse, ce que le recruteur veut entendre.

Sur des cas “authentification” (compte privilégié, échecs multiples, succès isolé), vous devez articuler les corrélations : événements AD/Entra ID, logs VPN/bastion, changements de groupes, et activités de réseau. Je m’attends à ce que vous citiez des outils réels : requêtes et pivots dans le SIEM, validation dans le module de tickets/IR, et, si nécessaire, une vérification dans un outil d’allowlisting ou de threat hunting interne. Côté qualité, vous devez annoncer comment vous mesurez la précision : nombre d’alertes récurrentes par règle, ratio faux positif/incidents confirmés, et fréquence des suppressions. Vous pouvez aussi mentionner un travail de tuning : seuils, exceptions contrôlées, et tests sur jeux de logs historiques.

Le recruteur évalue votre capacité à décider quand les données sont incomplètes. Vous devez montrer comment vous établissez un niveau de confiance, comment vous gérez le dilemme “continuer l’investigation” vs “isoler l’hôte”, et comment vous minimisez l’impact business tout en protégeant l’organisation. Citer des mesures concrètes comme l’activation de règles WAF complémentaires, le blocage temporaire d’IP au pare-feu, ou l’isolation réseau via le contrôle EDR prouve que vous savez agir. Vous devez également préciser comment vous communiquez le risque : note de décision, hypothèses, et prochaines actions avec un ordre de priorité.

Enfin, vous devez démontrer une logique de collaboration avec le RSSI et les équipes techniques (IT Ops, IAM). Vous expliquez comment vous structurez un retour d’expérience : revue des runbooks, mise à jour des détections, et documentation des apprentissages. Vous pouvez mentionner un framework de gestion comme NIST pour cadrer les étapes de réponse, tout en restant pragmatique. Le recruteur veut voir que votre objectif n’est pas seulement “trouver une menace”, mais réduire durablement le MTTD/MTTR et améliorer la résilience. Si vous travaillez avec un backlog de détections, vous donnez une méthode de priorisation (impact x probabilité) et vous reliez cela à des KPI mesurables.