Comment préparer un entretien cybersécurité en 2026

Objectifs RH :
  Valider motivation et cohérence parcours
  Vérifier contraintes pratiques (dispo, localisation, remote, salaire)
  Tester communication et anglais si rôle international
  Pré-filter sur culture fit
 
Questions typiques :
  "Pouvez-vous vous présenter en 3-5 minutes ?"
  "Pourquoi postuler chez nous ?"
  "Quelles sont vos prétentions salariales ?"
  "Quelle est votre disponibilité ?"
  "Pourquoi quittez-vous votre poste actuel ?"
  "Où vous voyez-vous dans 3-5 ans ?"
 
Règle sur les prétentions :
  Bloquer poliment : « Je préfère discuter package total en fin de processus.
  Pour ma fourchette actuelle, j'ai des discussions dans la zone X-Y k€. »
  Ne JAMAIS donner un chiffre trop bas qui deviendra plafond.

Format :
  Questions orales concepts
  Petits exercices Q/R
  Scénarios hypothétiques
  Pas de live coding systématiquement
 
Exemples :
  "Décrivez comment fonctionne TLS 1.3"
  "Quelle est la différence entre XSS stocké, reflected, DOM-based ?"
  "Si je vous donne une adresse IP, comment l'enquêteriez-vous ?"
  "Expliquez le principe du moindre privilège avec un exemple cloud"
 
Durée : 45-60 min en général, parfois 30 min puis 30 min HM

Formats courants selon rôle :
 
  Pentester :
    Box HackTheBox en live (enumeration, exploit, privesc)
    30-60 min avec screen sharing
    Jugé sur méthode, raisonnement, outillage
 
  AppSec Engineer :
    Code review d'une app Java/Python/Node avec vulnérabilités
    Identifier 5-10 issues OWASP
    Proposer patches commentés
 
  SOC Analyst :
    Analyse de logs (Splunk, Elastic) avec incident simulé
    Identifier pattern d'attaque, IOCs, next actions
 
  DevSecOps :
    Review d'un pipeline CI/CD avec défauts sécurité
    Dockerfile, GitHub Actions, Terraform hardening
    Proposer fixes
 
  LLM Security :
    Tester un chatbot live avec prompt injection
    Configurer guardrails NeMo ou LLM Guard
    Promptfoo tests setup

Exemples de prompts :
 
  "Concevez la sécurité d'une API publique traitant 1 M requêtes/jour
   avec données PII RGPD"
 
  "Architecture d'un SOC pour une ETI 5000 employés avec stack
   100 % cloud AWS"
 
  "Design d'un pipeline DevSecOps pour application Kubernetes
   multi-tenant"
 
  "Sécurité d'un produit LLM B2B SaaS avec RAG et agents"
 
Évalué sur :
  Structure de la réponse (questions de cadrage, trade-offs explicites)
  Profondeur technique (couches de défense, outils spécifiques)
  Considérations opérationnelles (cost, performance, maintenabilité)
  Conformité (RGPD, NIS2, DORA selon contexte)
  Communication : whiteboard clair, vocabulaire précis

Objectifs :
  Valider fit culturel avec l'équipe
  Projeter la collaboration
  Tester soft skills et communication
  Répondre aux questions du candidat
 
Questions typiques :
  "Décrivez un conflit avec un collègue et comment vous l'avez géré"
  "Un projet échoué et ce que vous en avez retenu"
  "Comment vous gérez un manager qui n'est pas technique ?"
  "Quel est votre style de travail ? remote, async, synchro ?"
 
STAR method recommandée pour raconter des situations.

Fondamentaux réseau et crypto :
  1. Comment fonctionne TLS 1.3 ? Différences avec TLS 1.2.
  2. Expliquez l'échange Diffie-Hellman / ECDH
  3. AES vs RSA vs ECC : quand utiliser quoi
  4. Différence MD5, SHA-1, SHA-256, bcrypt, Argon2 pour mot de passe
  5. Qu'est-ce qu'un certificat X.509 et la PKI
 
Authentification et autorisation :
  6. Différence entre authN et authZ, exemple concret
  7. Comment fonctionne OAuth 2.0 Authorization Code flow
  8. Qu'est-ce qu'un JWT, quels champs valider
  9. MFA phishing-resistant : pourquoi et comment
  10. IAM cloud : principes AWS/GCP/Azure
 
Attaques classiques :
  11. OWASP Top 10 : citez 5 catégories et une mitigation
  12. SQL injection : comment prévenir en 2026
  13. XSS stocké vs reflected vs DOM-based
  14. CSRF : mécanisme et défense
  15. SSRF : danger et défense (cloud metadata)
 
Opérations et défense :
  16. SIEM vs EDR vs SOAR vs NDR : rôles distincts
  17. Chaîne de détection d'une attaque avec MITRE ATT&CK
  18. Incident response : 6 phases NIST
  19. Que faire face à une alerte de ransomware
  20. Principe du moindre privilège : exemple cloud

Niveau junior :
  "Quels event IDs Windows surveilleriez-vous en priorité ?"
  "Différence entre IOC et IOA"
  "Comment fonctionne un pipeline SIEM de haut niveau ?"
  "Quelle query KQL/SPL pour détecter password spray ?"
  "Comment investiguer une alerte Defender for Endpoint ?"
 
Niveau confirmé :
  "Décrivez un incident que vous avez investigué de A à Z"
  "Stratégie détection pour lateral movement via WMI"
  "Tuning d'une règle Sigma qui génère trop de FP"
  "Threat hunting : 3 hypothèses et leur validation"
  "Playbook SOAR pour phishing confirmé"

Niveau junior :
  "Décrivez les phases d'un pentest (PTES)"
  "Comment faire de l'enumeration AD depuis un foothold standard user ?"
  "Expliquez le Kerberoasting et sa mitigation"
  "Différence null session, RPC enum, LDAP enum"
  "Quel outil pour pivoter entre sous-réseaux ?"
 
Niveau confirmé :
  "Racontez un pentest complexe et la trouvaille la plus critique"
  "Stratégie pour contourner un EDR moderne en 2026"
  "Comment chainer ADCS ESC1 à ESC8"
  "Bypassing LAPS dans un AD mature"
  "Writeup récent qui vous a marqué et pourquoi"

Niveau junior :
  "Comment prévenir XSS en React ?"
  "Différence CSP strict vs report-only"
  "Review SAST : outil et patterns recherchés"
  "Dependency Scan : Snyk vs Dependabot vs Trivy"
  "OWASP Top 10 LLM 2025 : 3 vulnérabilités et parades"
 
Niveau confirmé :
  "Threat model d'une app web avec auth OAuth et webhook entrants"
  "Stratégie bug bounty et triage"
  "Review code : JWT validation avec Python / Node"
  "Conception sécurité d'un API Gateway multi-tenant"
  "Programme Security Champion : déploiement et métriques"

Niveau junior :
  "Outils DevSecOps clés : SAST, SCA, DAST, Secret Scanning"
  "Sécuriser Dockerfile : 5 règles"
  "K8s admission controllers : rôle et exemples"
  "Vault pour secrets : pourquoi et comment"
  "Sécurisation d'une GitHub Action"
 
Niveau confirmé :
  "Architecture CI/CD sécurisée fromage-à-trous : comment combler"
  "Policy as Code avec OPA/Kyverno : use cases"
  "SBOM workflow : génération, stockage, usage"
  "Zero Trust supply chain software"
  "Chaos engineering sécurité : mise en œuvre"

Niveau junior :
  "OWASP LLM Top 10 : citez 5 catégories"
  "Prompt injection direct vs indirect"
  "Rôle d'un guardrail LLM et exemples"
  "Différence hallucination vs prompt injection"
  "Pourquoi ne jamais mettre de secret dans system prompt"
 
Niveau confirmé :
  "Architecture défense en profondeur app LLM avec RAG"
  "Red teaming d'un chatbot : plan de test"
  "Mitigation excessive agency agents"
  "Conformité EU AI Act : obligations high-risk"
  "Stratégie monitoring et observabilité LLM production"

S - Situation
    Contexte précis (entreprise, projet, équipe, moment)
    30 secondes max, concret
 
T - Task
    Votre rôle et responsabilité spécifique
    Ce qui était attendu de vous
 
A - Action
    Ce que vous avez fait concrètement
    Détail technique bienvenu (outils, décisions, démarche)
    La partie la plus longue
 
R - Result
    Résultat mesurable si possible
    Apprentissage retiré
    Impact sur l'équipe / produit
 
Durée totale : 2-3 minutes par story

S (Situation) :
  « En 2024, en pentest pour un client FinTech, app React + API Django
     avec auth JWT maison, scope de 5 jours. »
 
T (Task) :
  « Je devais auditer les endpoints publics et tester les attaques web
     classiques OWASP Top 10. »
 
A (Action) :
  « J'ai commencé par mapper l'API via Burp Suite, j'ai identifié que
     l'endpoint /api/v1/users/{id}/orders n'avait pas de vérification
     d'autorisation côté serveur (IDOR). J'ai confirmé avec deux comptes
     tests en vérifiant les réponses HTTP et le payload JSON. J'ai documenté
     avec screenshots, payloads, et impact business (accès à données
     financières d'autres utilisateurs). J'ai proposé le patch : validation
     `Order.objects.filter(user=request.user)` dans le queryset Django,
     et j'ai suggéré un framework permissions DRF pour factoriser. »
 
R (Result) :
  « Le client a corrigé sous 72h, et a étendu le pattern à 15 autres
     endpoints après revue. Le findings a été classé Critical dans le
     rapport, le client nous a référé à deux filiales pour audit similaire. »
 
Durée totale : ~2min30

1. Une vulnérabilité ou incident majeur que vous avez géré
2. Un projet technique dont vous êtes fier
3. Un conflit ou échec professionnel et sa résolution
4. Une situation où vous avez dû apprendre vite un sujet inconnu
5. Un moment de leadership ou de mentorat

Règles d'or en live :
 
  1. Parler à voix haute en continu
     Le recruteur juge le processus, pas juste le résultat.
     Expliquer pourquoi vous essayez tel outil, telle commande.
 
  2. Commencer par l'enumeration systématique
     nmap, nikto, gobuster, whatweb — montrer la méthode structurée.
     Ne pas sauter directement à l'exploitation.
 
  3. Prendre des notes visibles
     TXT, Obsidian, notepad ouvert en parallèle.
     Montrer organisation et rigueur.
 
  4. Admettre les blocages
     « Je suis bloqué à cette étape, voici ce que j'ai essayé,
       voici ce que j'essaierais ensuite. »
     Puis demander un hint si pertinent.
 
  5. Ne pas abandonner mais ne pas s'enliser
     Si 15 min sur une impasse, proposer de pivoter.
     Time management visible = signal positif.

Démarche type :
 
  1. Lecture rapide globale (5 min)
     Technologie, architecture, points d'entrée
 
  2. Focus zones sensibles
     Authentification, autorisation
     Validation inputs
     Crypto et secrets
     Appels externes (API, DB, shell)
 
  3. Identifier les OWASP catégories applicables
     A01 Broken Access Control : endpoints avec IDs URL
     A03 Injection : queries DB, shell, eval
     A02 Cryptographic Failures : stockage passwords, JWT
     A05 Security Misconfiguration : debug activé, secrets dur
     A08 Software and Data Integrity Failures : dépendances
     A10 SSRF : URLs utilisateur
 
  4. Proposer patches commentés
     Pas juste lister le problème, montrer le fix
 
  5. Priorisation par criticité
     Critical / High / Medium avec justification

Pattern de réponse 45-60 min :
 
  Minute 1-5 : Questions de cadrage
    Qui sont les utilisateurs ? Volume ?
    Contraintes de latence, disponibilité, coût ?
    Conformité applicable ?
    Stack existante à respecter ?
 
  Minute 5-15 : Architecture haut niveau
    Dessiner composants principaux
    Flux de requête end-to-end
    Stockage, cache, queue
 
  Minute 15-35 : Zoom sur sécurité
    Couches de défense (edge, network, app, data)
    Authentification et autorisation
    Secrets, crypto, logging
    Monitoring et détection
 
  Minute 35-50 : Trade-offs et scaling
    Performance vs sécurité
    Coût vs résilience
    Scaling horizontal/vertical
 
  Minute 50-60 : Questions recruteur et discussion

Plan 2-3 semaines :
 
  Révisions (1 semaine) :
    OWASP Top 10 Web rappel
    MITRE ATT&CK v15 - 14 tactiques principales
    Windows Event IDs critiques (4624, 4625, 4688, 4769, 5140)
    Lecture 10 règles Sigma communautaires
 
  Pratique (1 semaine) :
    TryHackMe SOC Level 1 path
    LetsDefend.io : 20+ alertes analysées
    Blue Team Labs Online
 
  Mock interviews (1 semaine) :
    2-3 entretiens blancs avec amis ou coach
    Prep STAR stories 5 situations
    Questions type révision

Plan 3-4 semaines :
 
  Révisions :
    PTES 5 phases complètes
    AD offensif : Kerberoasting, PTH, DCSync, BloodHound
    Web : OWASP Top 10, PortSwigger Labs
    Linux privesc (LinPEAS), Windows privesc (WinPEAS)
 
  Pratique :
    HackTheBox : 5-10 boxes récentes (Easy/Medium)
    PortSwigger Web Security Academy : 30+ labs complets
    Root-Me : 20+ challenges reverse si pertinent
 
  Préparation soft :
    Writeups de vos boxes résolus (montrer à l'entretien)
    Portfolio GitHub à jour
    CVE si possible même mineures

Plan 4-6 semaines :
 
  Révisions :
    OWASP Top 10 Web + API Security + LLM 2025
    OWASP ASVS (Level 2 minimum)
    OWASP SAMM
    Secure coding par langage (votre stack principale)
 
  Pratique :
    Code review exercices (repos OSS vulnérables)
    Threat modeling STRIDE sur cas fictif
    Lecture rapports pentest publics
 
  Portfolio :
    2-3 contributions OSS (Semgrep rules, CodeQL queries)
    Blog posts techniques
    Talks meetups si possible

1. Ne jamais donner son chiffre trop tôt
   « Ça dépend du package total et du contexte, attendons la fin du process »
   Si pressé : donner fourchette haute acceptable, pas baseline
 
2. Connaître le marché actualisé
   Levels.fyi, Glassdoor, Indeed, Welcome to the Jungle
   Baromètres Silkhom, Free-Work, Malt pour TJM
   Zeroday Academy / articles dédiés salaires cyber
 
3. Package total, pas juste base
   Salaire de base
   Variable sur objectifs
   Équité BSPCE / stock options / RSU (surtout scale-ups)
   Primes (signature, performance, certification, astreinte)
   RTT, congés, mutuelle, CE
   Formation budget
   Matériel, remote setup
 
4. Justifier par la valeur apportée
   Certifications (OSCP, CISSP, GREM, etc.)
   CVE publiées, bug bounties
   Expérience pertinente chiffrée
   Soft skills (management, langues, certifications bonus)
 
5. Créer du levier avec plusieurs processus
   Être en discussion avec 2-4 entreprises en parallèle
   Mentionner poliment « j'ai d'autres process en cours »
   Permet de négocier offer finale 10-25 % plus haut
 
6. Timing et deadline
   Demander un temps de réflexion (48-72 h) avant d'accepter
   Revenir avec une contre-proposition écrite
   Dernier call de negociation possible

SOC Analyst N1-N2 : 32-55 k€
SOC Senior / Threat Hunter : 55-75 k€
Pentester Junior : 38-50 k€
Pentester Confirmé : 55-75 k€
Pentester Senior : 75-110 k€
AppSec Engineer Junior : 48-60 k€
AppSec Engineer Confirmé : 60-85 k€
AppSec Engineer Senior : 85-120 k€
DevSecOps Engineer : 55-95 k€
Cloud Security Engineer : 60-110 k€
CISO / RSSI : 90-180 k€ (selon taille organisation)
AI Security Engineer (émergent) : 65-140 k€

Processus :
  Plus de 6 tours d'entretien sans technical challenge = wastage de temps
  Rescheduling fréquent côté entreprise = désorganisation
  Questions techniques hors périmètre du poste (troll, flex) = mauvaise signe
  Aucune question sur votre parcours = équipe désengagée
  « On a d'autres candidats plus rapides » en pressure = manipulation
 
Culture :
  Refus de parler salaire avant signature = malhonnêteté
  Pression sur l'heures supplémentaires en entretien = burn-out culture
  « On est une famille » = signal d'absence de boundaries pro
  Turnover équipe > 30 %/an = problème structurel
  Peu de femmes ou diversité dans l'équipe technique = culture toxique potentielle
 
Poste :
  Job description datée ou vague = confusion sur le rôle
  Manque de budget formation/certifs = pas d'investissement dev
  Pas de mention sécurité dans roadmap produit = sécurité ignorée
  Rôle « couteau suisse » sur 10 technos = surcharge programmée

1. « Quelle est la dernière faille sécurité investiguée ? Comment a-t-elle
    été gérée ? »
 
2. « Quel est le turnover de l'équipe sécurité sur les 2 dernières années ? »
 
3. « Combien de budget formation par ingénieur ? Certifications payées ? »
 
4. « Comment se passe un incident majeur, qui dort mal cette nuit-là ? »
 
5. « Qu'est-ce qui fait qu'un candidat échoue après 6 mois dans ce rôle ? »
 
6. « Puis-je parler à un membre actuel de l'équipe sans manager présent ? »

Délai : J+1 ou J+2 maximum
 
Contenu :
  Remerciement bref
  Mention d'un point précis de la discussion (prouve l'attention)
  Valeur ajoutée : article à partager, lien complémentaire, idée suivante
  Confirmation de l'intérêt
 
Pas :
  Pitch commercial appuyé
  Copy-paste email générique
  Pressure sur délai de réponse
 
Impact : +5-15 % d'offer selon études RH Linkedin 2024

Semaine 1 : Screen RH
Semaine 2 : Technical screen
Semaine 3 : Live exercise
Semaine 4 : System design + culture fit
Semaine 5 : Decision interne
Semaine 6 : Offer formelle
Semaine 7 : Negotiation
Semaine 8 : Signature
 
Délais plus longs pour grandes organisations, startups souvent plus rapides.
Si pas de news après 2 semaines : relance polite par email.

Hack The Box Academy
  Modules structurés par rôle
  Prep pentest, AD, web, mobile
 
TryHackMe
  Paths dédiés SOC, Junior Pentester
  Plus accessible que HTB
 
PortSwigger Web Security Academy
  Gratuit, référence pour AppSec web
  30-50 labs minimum avant entretien AppSec
 
LetsDefend.io
  Spécialisé SOC / DFIR
  Cas réels avec SIEM
 
Blue Team Labs Online
  Investigations SOC / DFIR
 
Promptfoo + Garak + PyRIT
  Pour candidats LLM security
 
Gandalf Lakera
  Prompt injection, gratuit, 8 niveaux

Interviewing.io
  Mock interviews avec ingénieurs actifs GAFAM
  Gratuit pour candidats de background non-standard
  Payant sinon (~200 USD par mock)
 
Pramp
  Peer-to-peer mock interviews
 
Exponent
  Courses + mock pour security engineer
  Rôle Senior Security Engineer spécifique
 
LinkedIn Premium
  Visibilité candidature
  InMail recruteurs
  Stats concurrence

Livres :
  « The Pentester Blueprint » (Phillip Wylie)
  « Cracking the Coding Interview » (Gayle McDowell, applicable sec)
  « System Design Interview » (Alex Xu) pour confirmés
 
Blogs :
  pentester.land
  Krebs on Security
  Portswigger Research Blog
  ANSSI publications
 
Podcasts :
  Darknet Diaries
  Security Now
  Hacking Humans

Semaine 1 - Audit et planning
  Cartographier offres ciblées
  Identifier gap technique et skills
  Constituer dossier candidature (CV à jour, portfolio, LinkedIn)
  Préparer 5 STAR stories
  Révisions fondamentaux
 
Semaine 2 - Pratique intensive
  Labs pratiques (HTB, TryHackMe, PortSwigger)
  Lecture 30 questions types
  Mock interview #1 avec ami ou Pramp
 
Semaine 3 - Soft skills et communication
  System design practice 2-3 fois
  STAR stories affinées
  Mock interview #2
  Questions à poser rédigées
  Négociation salaire simulée
 
Semaine 4 - Application et itération
  Postuler 10-20 offres ciblées
  Préparation spécifique par entreprise (site, tech blog, Glassdoor)
  Ajuster CV/lettre par entreprise
  Follow-up discipliné
  Débriefing après chaque entretien