Zeroday Cyber Academy

Candidature, CV & Carrière

Questions fréquentes en entretien cybersécurité - 80+ exemples 2026

80+ questions d'entretien cybersécurité 2026 par profil : RH, technique, SOC, pentest, AppSec, cloud, GRC, LLM. Réponses types, STAR, pièges, questions à poser.

Naim Aouaichia
16 min de lecture
  • Carrière
  • Entretien
  • Préparation
  • Cybersécurité
  • SOC
  • Pentest
  • AppSec

Un entretien cybersécurité en 2026 dépasse rarement les 3 à 5 étapes : préqualification RH, entretien technique, parfois un home assignment ou un challenge live (CTF, code review, threat model), puis entretien manager et négociation. Ce guide compile 80+ questions réelles posées en entretien selon le profil visé (SOC, pentest, AppSec, cloud, GRC, LLM security) - avec angles de réponse, pièges classiques, structure STAR pour les questions comportementales, et la liste des questions à poser au recruteur (ce qui distingue un candidat passif d'un candidat senior). Que tu prépares ton premier entretien junior ou une mobilité senior, l'objectif est le même : ne pas être surpris.

1. Anatomie d'un process d'entretien cyber typique

1.1 Étapes les plus fréquentes

  1. Pré-qualification RH (30-45 min, téléphone ou visio) : motivation, parcours, prétentions, disponibilité.
  2. Entretien technique 1 (1 h) : fondamentaux, questions ciblées sur les technos du CV.
  3. Home assignment ou technical challenge live (variable) : audit, threat model, mini-CTF, code review.
  4. Entretien manager / lead (45-60 min) : projet d'équipe, situations, soft skills.
  5. Entretien dirigeant ou cross-team (parfois) : culture, vision.
  6. Négociation et offre : RH ou hiring manager.

1.2 Variations par profil

  • Pentest / Red team : challenge HackTheBox / TryHackMe live, ou box machine en 2-4 h. Parfois OSCP/CRTP comme prérequis filtrant.
  • SOC L1/L2 : questions scénarios alerte, lecture de logs/PCAP, parfois shift de simulation.
  • AppSec : code review live (Python/Java/JS), threat model d'une feature, OWASP Top 10 questionnement.
  • Cloud security : design d'archi sécurisée, IAM AWS/Azure/GCP en exercice, kubernetes hardening.
  • GRC / Audit : cas d'audit, ISO 27001 / NIST CSF / SOC 2 en mise en situation.
  • LLM security (nouveau 2026) : threat model d'une app GenAI, prompt injection live, OWASP LLM Top 10.

1.3 Durée typique du process

  • Junior / reconverti : 2-4 semaines.
  • Confirmé : 3-6 semaines.
  • Senior / lead : 4-10 semaines.
  • Cabinet conseil top tier : peut atteindre 8-12 semaines avec multiples rondes.

2. Questions RH et motivation (10 questions)

Les classiques attendues. Préparer une réponse de 60-90 secondes pour chacune.

  1. Présentez-vous en 2 minutes. Structure : qui (rôle actuel), quoi (3-4 lignes parcours), pourquoi (motivation pour ce poste).
  2. Pourquoi la cybersécurité ? Éviter le générique ("j'aime résoudre des problèmes"). Donner un déclic concret (incident, lecture, formation, projet).
  3. Pourquoi cette entreprise / ce poste ? Avoir 2-3 raisons spécifiques (mission, technos, équipe). Avoir lu le site web et la fiche poste 3 fois.
  4. Pourquoi quitter votre poste actuel ? Toujours positif : "recherche d'environnement plus technique / plus international / plus orienté X". Jamais de critique du précédent employeur.
  5. Quel est votre projet professionnel à 3-5 ans ? Cohérent avec le poste : "approfondir le pentest cloud puis évoluer vers du tech lead red team".
  6. Vos forces et faiblesses ? Faiblesse vraie + plan d'action concret pour progresser. Pas la fausse faiblesse type "je suis perfectionniste".
  7. Comment gérez-vous le stress / une crise ? Donner un exemple concret incident géré.
  8. Préférez-vous travailler seul ou en équipe ? "Les deux selon le contexte" + exemples.
  9. Vos prétentions salariales ? Préparer fourchette argumentée + connaître le marché (Glassdoor, JoinRise, données ANSSI/INSEE).
  10. Disponible quand ? Connaître son préavis exact. Ne jamais dire "négociable" sans cadre.

2.1 Pièges courants

  • Mentionner une motivation argent/sécurité d'emploi en premier.
  • Critiquer un ancien employeur ou collègue.
  • Donner une fourchette salariale floue.
  • Ne pas avoir de question sur l'entreprise.

3. Questions techniques transverses (20 questions)

Posées quel que soit le profil cyber visé.

3.1 Réseau et systèmes

  1. Décris la triade CIA et pourquoi c'est fondamental. Confidentialité, Intégrité, Disponibilité - colonne vertébrale de toute analyse risque.
  2. Différence TCP / UDP, donne 3 exemples d'usage. Donne aussi handshake 3-way, ports communs.
  3. Que se passe-t-il quand je tape https://exemple.fr dans mon navigateur ? DNS → TCP → TLS handshake → HTTP request → réponse. Détail attendu = niveau attendu.
  4. Que sont les modèles OSI et TCP/IP, à quoi servent-ils ? Layers 1-7, mapping protocoles.
  5. Comment fonctionne TLS 1.3 ? Handshake compressé, cipher suites, forward secrecy, 0-RTT.
  6. Différence symétrique vs asymétrique - exemples. AES vs RSA/ECC, performance, usages.
  7. Comment fonctionne un HSM ? Stockage matériel sécurisé de clés, cas d'usage paiement, AC, signature.
  8. Différence authentification, autorisation, accounting (AAA). Auth = qui, autz = quoi, accounting = audit.

3.2 Cryptographie et identité

  1. Différence hash, MAC, signature numérique. Intégrité vs intégrité+auth (clé) vs intégrité+auth+non-répudiation.
  2. Pourquoi ne jamais stocker un mot de passe en clair, même hashé sans salt ? Rainbow tables, attaques massives, recommandation Argon2/bcrypt/scrypt.
  3. OAuth 2.0 vs OpenID Connect vs SAML. Authz vs authn, contextes d'usage.
  4. Différence MFA, 2FA, passwordless. Facteurs (savoir/avoir/être), passkeys WebAuthn/FIDO2.
  5. Quelle différence entre RBAC et ABAC ? Roles vs attributes, scalabilité, complexité.

3.3 Sécurité défensive

  1. Comment expliques-tu la défense en profondeur ? Couches indépendantes, fail-safe.
  2. Différence entre IDS, IPS, EDR, XDR. Détection vs prévention, host vs network vs cross.
  3. Qu'est-ce que MITRE ATT&CK et comment l'utilises-tu ? Framework TTP, mapping détections, threat modeling.
  4. Comment réponds-tu à un incident type ransomware ? Étapes NIST IR : préparation, détection, containment, éradication, récupération, post-mortem.

3.4 Sécurité offensive

  1. Décris une kill chain (Lockheed Martin) et donne un exemple. 7 phases, exemple APT.
  2. Différence vulnérabilité, exploit, payload. Vocabulaire fondamental.
  3. Comment fais-tu une reconnaissance passive vs active ? OSINT vs scan, légalité, méthodologie.

4. Questions par spécialité

4.1 SOC / Blue Team (10 questions)

  1. Comment lis-tu une alerte SIEM efficacement ? Triage, contexte, IoC, escalade.
  2. Que sont true positive, false positive, false negative ? Exemples ?
  3. Décris un workflow de triage L1 → L2.
  4. Quels event IDs Windows surveiller en priorité ? 4624, 4625, 4688, 4768, 4769, 4776, 4662 - voir article Comment apprendre la sécurité Active Directory.
  5. Différence Sysmon, Defender, Defender for Identity, Defender for Endpoint.
  6. Donne un cas réel de threat hunting que tu as conduit.
  7. Comment construis-tu une règle Sigma ou KQL ?
  8. Que fais-tu sur une alerte EDR de PowerShell encoded ?
  9. Quel est le rôle du SOAR vs SIEM ?
  10. Comment mesure-t-on la maturité d'un SOC (MTTD, MTTR) ?

4.2 Pentest / Red Team (10 questions)

  1. Méthodologie de pentest web - étapes et outils. Recon, énum, exploitation, post-exploit, rapport.
  2. Comment exploites-tu une SSRF ? Internal services, cloud metadata (IMDS), exfil DNS.
  3. Décris le flow complet d'une attaque Kerberoasting. AS-REQ → TGS → crack offline RC4.
  4. Comment réalises-tu un AS-REP Roasting ? Comptes sans pré-auth, hashcat mode 18200.
  5. Différence Pass-the-Hash, Pass-the-Ticket, Overpass-the-Hash.
  6. Outils principaux pour un pentest AD ? BloodHound, Impacket, Rubeus, Mimikatz, Certipy, NetExec.
  7. Comment réalises-tu un XSS stocké et quelles sont les défenses ? CSP, output encoding, sanitization, HttpOnly.
  8. Différence pentest, red team, purple team, bug bounty.
  9. Comment rédiges-tu un rapport de pentest impactant ? Exec summary, criticité CVSS, reproduction, remédiation, retesting.
  10. Comment géres-tu la posture quand un client ne veut pas patcher une vuln critique ?

4.3 AppSec / DevSecOps (10 questions)

  1. OWASP Web Top 10 - lis 5 items et donne une défense pour chacun.
  2. Différence SAST, DAST, IAST, SCA. Cas d'usage, intégration CI/CD.
  3. Comment intègres-tu la sécurité dans une CI GitHub Actions ? Steps, secrets, dependency scanning.
  4. Que mets-tu dans un threat model pour une nouvelle feature ? STRIDE, dataflow, contrôles.
  5. Comment géres-tu un secret leak dans un commit Git public ?
  6. Différence CSRF et SSRF, défenses.
  7. Pourquoi privilégier prepared statements vs concaténation SQL ?
  8. Comment auditer une dépendance avant de l'ajouter au projet ? Mainteneurs, vulns CVE, supply chain (typosquatting).
  9. Comment réagis-tu à une vuln Log4Shell-like dans ton stack ?
  10. Différence shift-left, shift-right en sécurité applicative.

4.4 Cloud Security (10 questions)

  1. Modèle responsabilité partagée AWS / Azure / GCP - explique.
  2. Comment durcir un compte AWS root ? MFA matériel, pas d'access key, alerting.
  3. Comment limites-tu le blast radius d'une compromission EC2 ? IAM least privilege, IMDSv2, SCPs, network segmentation.
  4. IMDSv1 vs IMDSv2 - pourquoi migrer ? SSRF protection.
  5. Différence sécurité Kubernetes contrôle plan vs nœuds workers vs pods.
  6. Outils de scan IaC ? Que cherches-tu ? Checkov, KICS, tfsec, terrascan - misconfigs, drift.
  7. Comment fonctionne CSPM (Cloud Security Posture Management) ?
  8. Cite 3 risques majeurs S3 / blob storage. Public buckets, ACL trop larges, données non chiffrées.
  9. Comment géres-tu les secrets dans une infra cloud ? KMS, Vault, secrets managers natifs.
  10. Quelles certifications cloud security recommandes-tu et pourquoi ?

4.5 GRC / Audit / RSSI (10 questions)

  1. Différence ISO 27001, NIST CSF, SOC 2.
  2. Comment construis-tu un risk register ? Impact × probabilité, owner, mitigation.
  3. Que mets-tu dans une PSSI / politique de sécurité ?
  4. Décris un audit interne ISO 27001 - étapes.
  5. Comment géres-tu les exceptions (risk acceptance) ? Documentation, review périodique, ownership senior.
  6. DORA, NIS2, AI Act - à qui s'appliquent-ils en France ?
  7. Comment cadres-tu un programme de sensibilisation utilisateurs ?
  8. Différence DPO et CISO, articulation.
  9. Comment justifies-tu un budget cyber au COMEX ? Risque évité, ROI, conformité, business enablement.
  10. Cite un KPI de sécurité significatif et pas de vanité.

4.6 LLM Security (8 questions, profil émergent 2026)

  1. OWASP LLM Top 10 - cite 5 items et leur défense.
  2. Différence prompt injection directe et indirecte.
  3. Comment sécurises-tu une application RAG ? Multi-tenancy, ACL, sanitization, spotlighting, guardrails.
  4. Qu'est-ce qu'un guardrail LLM et quelles solutions connais-tu ? Llama Guard, Lakera, Azure Prompt Shield, NeMo, Google Model Armor.
  5. Comment testes-tu un LLM en CI ? Promptfoo, garak, golden dataset, LLM-as-judge.
  6. Comment géres-tu la supply chain des modèles ? Whitelist HF, safetensors, picklescan, signature Sigstore for ML, AI BOM.
  7. AI Act EU - obligations principales pour un système à haut risque ?
  8. Comment fonctionne l'embedding inversion et pourquoi c'est important ?

5. Questions situation et cas pratiques

5.1 Cas type SOC

"À 3h du matin, ton SIEM remonte 50 logons RDP échoués depuis une IP étrangère sur un compte admin de domaine, suivis d'un logon réussi. Que fais-tu ?"

Plan attendu : containment immédiat (révoquer session, isoler hôte), investigation (logs auth, lateral movement), escalade si confirmation, documentation, post-mortem.

5.2 Cas type pentest

"Tu as un accès initial low-priv sur un poste user d'un Active Directory. Comment tu remontes vers Domain Admin ?"

Énumération (whoami /all, BloodHound), recherche misconfigs (Kerberoastable, ACL abuse, ADCS), pivot vers comptes plus privilégiés, escalade. Détail attendu de la kill chain interne AD.

5.3 Cas type AppSec

"Une équipe veut déployer un nouveau service exposé Internet. Ils te montrent l'archi. Quelles questions tu poses ?"

Authentification, autorisation, validation input, secrets, logs, rate limiting, threat model, dependency scanning, deployment pipeline, monitoring, incident response.

5.4 Cas type cloud

"Tu découvres un bucket S3 public contenant des données client. Quelles sont tes 3 premières actions ?"

  1. Couper l'accès public immédiatement (vérifier impact business avant si production).
  2. Investigation : qui a accédé, depuis quand, quel volume.
  3. Notification (DPO, RSSI, légal, parfois CNIL si PII).

5.5 Cas type LLM

"Un agent IA en production envoie des emails au nom de l'entreprise. Un user a réussi à lui faire envoyer un email de phishing à un cadre. Comment tu réagis ?"

Containment (désactiver tool email), investigation (prompt utilisé, logs LLM), correction (whitelist destinataires, HITL, guardrail), post-mortem, communication.

6. Questions comportementales (méthode STAR)

STAR = Situation, Tâche, Action, Résultat. Préparer 5-10 histoires couvrant :

  • Situation difficile résolue.
  • Désaccord avec un manager / collègue.
  • Erreur grave et apprentissage.
  • Initiative au-delà de ton scope.
  • Apprentissage rapide d'une nouvelle techno.
  • Mentor / aider un collègue.
  • Incident géré sous pression.
  • Refus argumenté d'une demande métier.

Exemple structure :

Situation : "En 2024, sur mon SOC, on recevait 800 alertes/jour. 60 % faux positifs."
Tâche    : "Mon objectif : réduire le bruit sans rater de vrais incidents."
Action   : "J'ai mappé les top 20 règles fausses-positives, ajouté des conditions
            contextuelles, intégré un enrichment avec notre CMDB."
Résultat : "Bruit ramené à 200 alertes/jour. MTTR baissé de 40 %.
            Méthodo documentée et adoptée par 2 autres équipes."

Réponses chiffrées > réponses qualitatives.

7. Questions à poser au recruteur (sépare junior de senior)

Catégories à couvrir :

7.1 Technique

  • "Quel est le stack en place ? Quelles technos utilisez-vous au quotidien ?"
  • "Quelle est la maturité du SOC / de la sécurité applicative / du cloud ?"
  • "Comment mesurez-vous la performance de l'équipe sécurité ?"
  • "Quels sont les 2-3 chantiers prioritaires des 6 prochains mois ?"
  • "Quelle est la posture sur le red teaming, bug bounty, sensibilisation ?"

7.2 Équipe

  • "Comment est composée l'équipe ? Reporting line ?"
  • "À quoi ressemble une journée type pour ce poste ?"
  • "Comment gérez-vous l'astreinte / on-call ?"
  • "Quelles sont les opportunités de mobilité interne ?"

7.3 Culture et apprentissage

  • "Quel est le budget formation par personne ?"
  • "Le temps d'auto-formation est-il valorisé / planifié ?"
  • "Conférences, certifications, lab : pris en charge ?"
  • "À quoi ressemble la première semaine d'un nouveau membre ?"

7.4 Process et succès

  • "Quelles seraient les attentes à 3 mois, 6 mois, 12 mois ?"
  • "Comment évaluez-vous la performance ? Cycle de feedback ?"
  • "Pourquoi le poste est-il ouvert ? Création ou remplacement ?"

7.5 Pratique

  • "Quelle suite du process ? Délai prévu pour décision ?"
  • "Avec qui aurai-je les prochains entretiens ?"

Une bonne règle : avoir 8-10 questions préparées, en poser 4-6 selon le temps. Ne jamais dire "non, je n'ai pas de question" à la fin.

8. Erreurs fréquentes à éviter

  1. Arriver sans avoir lu la fiche de poste et le site. Killer immédiat.
  2. Mentir ou enjoliver le CV. Détecté en entretien technique systématiquement.
  3. Critiquer un ancien employeur. Red flag culture.
  4. Réponses techniques floues. Mieux vaut dire "je ne sais pas mais je chercherais X" qu'inventer.
  5. Pas d'exemple concret. Toute affirmation soft skill doit avoir un exemple.
  6. Ne pas connaître son CV. Tout ce qui est écrit peut être questionné en profondeur.
  7. Négocier salaire trop tôt (avant d'avoir une offre informelle).
  8. Ne pas suivre l'entretien d'un mail de remerciement (en France encore optionnel mais valorisé).
  9. Refuser un home assignment sans contre-proposition. Au moins demander cadrage temps + format.
  10. Ne pas demander quand vient la réponse. Crucial pour gérer plusieurs process en parallèle.

9. Préparation - 7 jours avant

Jour J-7 à J-3

  • Relire la fiche de poste 3 fois, identifier 5 mots-clés à intégrer dans tes réponses.
  • Scanner LinkedIn de tes interviewers (ne pas le mentionner sauf naturel).
  • Lire 3 posts/articles récents de l'entreprise (blog tech, culture).
  • Réviser fondamentaux du poste (OWASP Top 10 si AppSec, ATT&CK si SOC, etc.).

Jour J-2 à J-1

  • Préparer 3 histoires STAR.
  • Lister 8-10 questions à poser.
  • Préparer prétentions salariales argumentées (sources marché).
  • Tester setup visio (caméra, micro, fond).

Jour J

  • Arriver 5 min en avance (visio : 2 min).
  • Bouteille d'eau, papier/crayon.
  • Ton CV imprimé ou sur autre écran.
  • Pas de notes apparentes - ok pour bullet points discrets.

Jour J+1

  • Mail de remerciement à tes interviewers (3-4 lignes).
  • Notes post-entretien : ce qui a marché, ce qui a coincé.
  • Suivi à J+5 si pas de réponse.

10. Ressources utiles

  • Glassdoor, JoinRise : reviews entreprises et fourchettes salariales France.
  • LinkedIn Salary : médianes par poste/région.
  • Reddit r/cybersecurity_fr, r/cscareerquestions : retours d'expérience.
  • Daily Swig, The Hacker News : actu sécurité fraîche pour entretien.
  • OWASP Cheat Sheets : révision rapide.
  • HackTheBox / TryHackMe : pratique technique.
  • Blogs spécialisés : SpecterOps, Black Hills Infosec, Trail of Bits, Embrace the Red.

11. FAQ

11.1 Combien de questions techniques attendre dans un entretien ?

5 à 15 selon la durée et le profil. Un entretien technique d'1 h pour un confirmé contient typiquement 8-12 questions, dont 2-3 questions à tiroir (réponse → contre-question pour aller plus profond). L'objectif n'est pas de tout savoir mais de montrer la profondeur sur ce qu'on connaît.

11.2 Que faire si je ne connais pas la réponse à une question technique ?

Dire honnêtement "je ne maîtrise pas ce point précis" puis montrer comment tu chercherais ("je commencerais par X documentation, je testerais avec Y outil"). Ne jamais inventer - les recruteurs techniques détectent immédiatement.

11.3 Faut-il accepter un home assignment ?

Cas par cas. Critères :

  • Cadré dans le temps (max 4-6 h) : OK.
  • Sujet réaliste lié au poste : OK.
  • Sans payload sensible (pas de code applicatif réel de l'entreprise) : OK.
  • Plus de 8-10 h ou très ouvert : refuser ou négocier.

11.4 Comment négocier le salaire en cyber ?

Marché 2026 France ordres de grandeur (CDI Paris, hors bonus) :

  • Junior / 1-3 ans : 38-52 k€.
  • Confirmé / 4-7 ans : 55-80 k€.
  • Senior / 8+ ans : 75-110 k€.
  • Lead / Principal : 95-130 k€.
  • Freelance : TJM 500-800 € (junior conf), 800-1200 € (senior), 1200-1800 € (expert).

Ces fourchettes varient ±20 % selon spécialité (LLM security, cloud, pentest top tier souvent au-dessus). Toujours négocier avec data marché et alternatives concrètes.

11.5 Combien de process en parallèle gérer ?

3 à 5 maximum pour un confirmé. Au-delà : qualité de préparation chute, planning impossible. Préférer 4 process bien préparés à 8 mal suivis.

11.6 Combien de temps un process prend en moyenne ?

3-6 semaines pour un confirmé en 2026. Au-delà de 8 semaines : signal d'organisation lourde ou de désintérêt. Toujours demander la prochaine étape et le délai à chaque entretien.

Réussir un entretien cyber demande autant de préparation que de compétence technique. Connaître les questions classiques (sections 2-4), avoir 5-10 histoires STAR prêtes (section 6), poser des questions structurées au recruteur (section 7) et éviter les 10 erreurs courantes (section 8) augmente drastiquement le taux de conversion - de l'ordre de 30-50 % d'offres sur process atteint pour un candidat préparé, vs moins de 15 % pour un candidat non préparé. Le temps investi dans une préparation sérieuse (10-15 h par process) est l'investissement carrière au meilleur ROI.

Découvrir l'accompagnement cyber

Écrit par

Naim Aouaichia

Expert cybersécurité et fondateur de Zeroday Cyber Academy

Expert cybersécurité avec un master spécialisé et un parcours hybride : développement, DevOps, DevSecOps, SOC, GRC. Fondateur de Hash24Security et Zeroday Cyber Academy. Formateur et créateur de contenu technique sur la cybersécurité appliquée, la sécurité des LLM et le DevSecOps.

À lire également