Questions de l'entretien avec l'ingénieur de sécurité

Par 21 mai 2019 #!31ven, 22 Mai 2020 12:55:46 +0200p4631#31ven, 22 Mai 2020 12:55:46 +0200p-12Europe/Warsaw3131Europe/Warsawx31 22 31 -31ven, 22 Mai 2020 12:55:46 +0200p12Europe/Warsaw3131Europe/Warsawx312020ven, 22 Mai 2020 12:55:46 +02005512555 vendredi=254#!31ven, 22 Mai 2020 12:55:46 +0200pEurope/Warsaw5#mai 22nd, 2020#!31ven, 22 Mai 2020 12:55:46 +0200p4631#/31ven, 22 Mai 2020 12:55:46 +0200p-12Europe/Warsaw3131Europe/Warsawx31#!31ven, 22 Mai 2020 12:55:46 +0200pEurope/Warsaw5# Conseils de recrutement, Entretien technique
ingénieur en sécurité : questions d'entretien avec un ingénieur en logiciel

La sécurité n'a jamais été aussi importante qu'aujourd'hui. En tant que société, nous nous sommes habitués à mettre des informations beaucoup plus sensibles et importantes dans des domaines que nous ne contrôlons pas. En outre, nous travaillons collectivement, et nombre des applications que nous hébergions auparavant sur nos propres systèmes sont désormais hébergées dans le nuage. Si ces nouvelles tendances créent des tonnes de possibilités, la complexité croissante des systèmes, la sensibilité des données et l'élargissement de l'accès à nos réseaux font que le rôle de l'ingénieur en sécurité spécialisé est devenu essentiel pour la plupart des entreprises.

Les ingénieurs en sécurité ne sont pas simplement des ingénieurs ou des développeurs de logiciels standard qui ont été recrutés dans une autre fonction pour s'occuper de la sécurité. Les meilleurs candidats ont des compétences et des approches uniques qui les rendent particulièrement adaptés à cette fin. Les ingénieurs en sécurité ont besoin d'un écran dédié, distinct des autres technologies que vous utilisez. Continuez à lire pour savoir exactement ce que votre ingénieur en sécurité doit savoir et comment savoir s'il le sait.

Vous le découvrirez dans ce guide :

Qu'est-ce qu'un ingénieur en sécurité ?1. Qu'est-ce qu'un ingénieur en sécurité ?

Autrefois, les ingénieurs et les développeurs étaient responsables de la sécurité des systèmes sur lesquels ils travaillaient. Probablement, au début des années 80, une ou deux entreprises ont commencé à embaucher des personnes dans le seul but de se concentrer sur la sécurité, mais le rôle de l'ingénieur en sécurité n'a pas vraiment gagné en popularité avant le début des années 2000.

1.1 Quelles sont les responsabilités des ingénieurs en sécurité ?

Le but premier d'un ingénieur en sécurité est de préparer votre entreprise contre les cyberattaques. Entre autres choses, il corrigera les procédures dangereuses, appliquera des politiques de mise à jour des logiciels et du matériel et concevra des contrôles d'accès à divers systèmes et données.

Les ingénieurs en sécurité pensent toujours aux menaces qui pèsent sur votre système. Cela signifie qu'ils sont chargés de définir, d'énumérer et de modéliser toutes les menaces potentielles pour la sécurité. Ils sont également chargés de reconnaître les exigences de sécurité de vos systèmes et réseaux informatiques. Comment s'y prennent-ils ?

1.2 Quels sont les types de travail des ingénieurs en sécurité ?

Les solutions d'ingénierie constituent une grande partie du travail. Les ingénieurs en sécurité mettent également en œuvre et appliquent les politiques de sécurité. Une fois les politiques en place, c'est à eux qu'il revient de surveiller, de maintenir et d'appliquer les mesures d'atténuation, les contre-mesures et les autres infrastructures de sécurité. Ils sont également chargés de créer puis de développer des actions et des lignes directrices pour répondre aux incidents.

La protection des systèmes est certainement une partie du travail, mais les ingénieurs en sécurité doivent souvent réfléchir à des types d'actifs supplémentaires que ces systèmes stockent. En plus de protéger le réseau et l'infrastructure informatique de votre entreprise, ils s'attachent à sécuriser la propriété intellectuelle de l'entreprise détenue dans ces endroits. Ils s'occupent également d'une certaine sécurité physique, car les cyberattaques ont souvent une composante physique.

1.3 Pourquoi avoir un ingénieur en sécurité ?

Un ingénieur en sécurité ou une équipe d'ingénieurs en sécurité s'approprient ce domaine crucial du développement de logiciels. En développant une compétence spécialisée en matière de sécurité, les ingénieurs en sécurité sont en mesure d'obtenir de meilleurs résultats qu'une équipe de développement normale. Cela est principalement dû au fait qu'ils sont mieux à même de suivre les nouvelles menaces, notamment les vulnérabilités des logiciels les plus répandus. En faisant en sorte que leur travail consiste à réagir à ces menaces, ils peuvent protéger l'entreprise avant que celles-ci ne soient utilisées contre eux. En maintenant un ingénieur ou une équipe de sécurité dédiée, votre entreprise peut passer à l'offensive contre les menaces et se défendre plutôt que de devoir atténuer les effets d'une faille de sécurité.

Les avantages d'une sécurité informatique accrue signifient que vous trouvez de plus en plus souvent une personne ou une équipe dédiée à la sécurité dans les moyennes et grandes entreprises, alors que vous n'en auriez pas trouvé une il y a quelques années seulement. Ces équipes comprennent souvent des pentesters en plus des ingénieurs en sécurité. Les pentesters sont le pivot d'une équipe de sécurité engineers yang. Un ingénieur en sécurité construit des défenses dans votre système pendant que le pentester essaie de trouver des moyens de les percer. En révélant les vulnérabilités, le pentester aide l'ingénieur en sécurité à construire des défenses plus solides.

Les meilleurs ingénieurs en sécurité sont des spécialistes en la matière. Cela dit, il n'y a pas d'exigences formelles pour devenir ingénieur en sécurité. Pour la plupart des gens, c'est un mélange de compréhension de l'informatique et de la psychologie humaine.

Que doit savoir un recruteur informatique sur un ingénieur en sécurité ?2. Que doit savoir un recruteur informatique en matière de sécurité ?

Les événements qui changent de paradigme sont plutôt rares dans le domaine de la sécurité. Mais ce fait ne doit pas inciter à la complaisance. Il vous suffit de faire attention à la fréquence des mises à jour de votre antivirus pour vous rendre compte que de nouvelles attaques, vulnérabilités et autres problèmes de sécurité se produisent quotidiennement.

Avec le temps, ces attaques ont tendance à changer et à évoluer dans certaines directions. Par exemple, de nos jours, il est plus courant de trouver une attaque XSS plutôt qu'un applet Java malveillant autrefois populaire. Ce qu'un recruteur doit cependant comprendre, c'est que la sécurité exige une très large connaissance des sujets informatiques.

Les ingénieurs en sécurité doivent comprendre l'administration des systèmes, les réseaux informatiques et la programmation. Ils doivent également comprendre comment ces composants s'assemblent pour créer des barrières et corriger les faiblesses. Une approche systémique holistique permet de traiter efficacement les problèmes de sécurité sur un réseau.

3. Quels sont les outils et les techniques qu'un ingénieur en sécurité doit connaître ?

Comme dans de nombreux domaines technologiques développés, les ingénieurs en sécurité disposent d'une pléthore d'outils. Il s'agit notamment de cadres, de bibliothèques et d'autres outils utilisés pour suivre, défendre et déterminer les causes probables des violations de la sécurité.

En plus des outils, les ingénieurs en sécurité doivent comprendre des questions plus spécifiques au domaine. Il s'agit notamment de l'ingénierie sociale, du phishing, des débordements de mémoire tampon, du XSS, des zéros jours et du Metasploit. Ils doivent avoir une bonne connaissance des outils d'administration, des pare-feu, des solutions antivirus et de la modélisation des menaces. Enfin, une compréhension des systèmes de détection des intrusions/systèmes de prévention des intrusions ou des systèmes d'information sur la sécurité et de gestion des événements est requise au quotidien.

3.1 expérience utile pour les candidats à l'ingénierie de la sécurité

Pour aider à traiter les questions liées à la sécurité, compétences dans l'administration des serveurs, de la flotte, du réseau et de la programmation de base des scripts sont importants. Une expérience commerciale à des postes similaires est un bon indicateur que votre candidat a traité des questions de sécurité. En dehors de l'expérience commerciale, le fait d'avoir contribué à des projets open source liés à la sécurité et d'avoir participé à des événements liés à la sécurité tels que les jeux de la CTF ou les conférences sur la sécurité est un bon indicateur de l'intérêt que suscitent les compétences en matière de sécurité. Une expérience dans le domaine du pentesting ou de la recherche en matière de sécurité est également utile.

4. Filtrer un ingénieur de sécurité à l'aide de son CV

Le curriculum vitae de votre candidat est un bon point de départ pour savoir ce qu'il connaît. Mais sa véritable valeur réside dans le fait qu'il sert de guide pour les questions à poser lors de l'entretien. En plus de l'expérience que nous avons mentionnée ci-dessus, il est important de rechercher certaines technologies importantes sur le CV du candidat. Pour vous aider, nous avons établi un glossaire de termes spécifiques à la sécurité. 

Glossaire de l'ingénieur en sécurité pour les recruteurs techniques

4.1 Glossaire de l'ingénieur en sécurité pour teces recruteurs de l'hnical

APT (Advanced Persistent Threat)Une attaque à long terme, où un attaquant ou un groupe d'attaquants reste couvert pendant une longue période, en utilisant généralement des techniques avancées et en exploitant des vulnérabilités inconnues connues sous le nom de 0 jours.
Exécution de code arbitraire (ACE)Voir Exécution de code à distance.
AntivirusLogiciel dédié à l'extension de la sécurité, en particulier pour les nœuds terminaux. Il est utilisé pour détecter les logiciels malveillants ou indésirables par une analyse statique à l'aide de signatures ou par une analyse comportementale.
Certification de sécurité CCNA (Cisco Certified Network Associate Security Certification)Certification orientée sécurité Cisco.  
Triangle/Triangle/Principe de la CIA (parfois appelé AIC pour éviter toute confusion avec une agence de renseignement)CIA signifie Confidentialité, Intégrité et Disponibilité. Trois aspects clés de la sécurité qui aident à modéliser les menaces et à assurer la sécurité du système informatique.
CISSP (Certified Information Systems Security Professional)Une certification de sécurité bien connue et respectée.
CSRF (Cross Site Demande Contrefaçon)Une attaque qui exploite la confiance que le site accorde à l'utilisateur/au navigateur. L'attaquant tente de tromper un utilisateur authentifié en exécutant involontairement une action, par exemple en envoyant un lien préparé.
CVE (Vulnérabilité et expositions communes)Un système maintenu par MITRE Corporation qui fournit des identifiants uniques pour les vulnérabilités connues du public.
DLP (Prévention des pertes de données, des fuites et des fuites)Technologies et ensemble d'outils utilisés pour assurer la sécurité des données vitales. Les systèmes DLP utilisent des méthodes de cryptage/décryptage transparentes pour filtrer le trafic qui contient des données critiques et précieuses afin de garantir que les informations non cryptées ne quitteront jamais le réseau de l'organisation.
DurcissementLes mesures prises pour renforcer la sécurité d'un candidature ou un système informatique en appliquant des correctifs, en installant des modules supplémentaires ou en supprimant les parties inutiles. Le durcissement réduit la surface d'attaque et, dans certains cas, empêche l'attaquant de faire des dégâts significatifs après un piratage réussi.
HSTS (HTTP Strict Transport Security)Une mesure de sécurité qui protège contre l'abaissement du niveau de sécurité de la transmission sur HTTPS.
Ingénierie socialePirater des humains plutôt que des machines (par exemple, convaincre la secrétaire qu'elle est censée copier un document, au lieu de s'introduire par effraction et de le voler).
IDS/IPS NIDS/HIDS (Système de détection d'intrusion / Système de prévention des intrusions Système de détection d'intrusion en réseau / Système de détection d'intrusion hôte)Systèmes fournissant des outils pour détecter, reconnaître et signaler les comportements malveillants qui peuvent être causés par une intrusion. L'IPS permet également d'atténuer les intrusions après les avoir détectées.
Test de pénétrationUn processus autorisé de test de sécurité d'un système ou d'une application qui simule une attaque réelle. Il fournit des informations sur la sécurité réelle du sujet testé. Les tests de pénétration peuvent être divisés en fonction des connaissances que possèdent les testeurs. La boîte blanche est un type d'attaque où les attaquants ont une connaissance approfondie de la cible. En revanche, la boîte noire est un scénario dans lequel les testeurs n'ont que peu ou pas de connaissances sur le système testé.
Malware/ransomwareLe terme "malware" désigne les logiciels malveillants et décrit les programmes qui sont nuisibles par leur conception. Le terme "malware" est un terme général qui décrit plusieurs types de logiciels malveillants comme les virus informatiques, les rootkits et les vers. Le logiciel rançon est un logiciel malveillant qui verrouille les données des utilisateurs, les chiffrant généralement et demandant une rançon pour les déchiffrer.
MetasploitLogiciel développé et entretenu par Rapid7. On pourrait l'appeler un couteau suisse de pentester. Metasploit fournit un base de données des exploits connus et des logiciels et méthodes supplémentaires (par exemple utilisés pour la fraude antivirus) qui permettent de réaliser des tests de pénétration.
Nmap/port scanningLe balayage de port est le processus qui consiste à déterminer quels ports de réseau sont ouverts en envoyant des paquets TCP ou UDP à l'hôte examiné et en interprétant la réponse obtenue. Nmap est un scanner de ports très répandu, un outil qui est utilisé pour effectuer le balayage de ports.
OSCE (Expert certifié en matière de sécurité offensive)Certification des tests de pénétration.
OSCP (Offensive Security Certified Professional)Certification des tests de pénétration.
PBKDFEn cryptographie, la KDF (fonction de dérivation de clé) est une fonction qui produit des clés secrètes basées sur une entrée secrète. PBKDF signifie "key derivation function" (fonction de dérivation de clé) basée sur le mot de passe et est utilisée pour dériver une clé secrète à partir du mot de passe d'un utilisateur.
PhishingUn type d'attaque visant à obtenir des identifiants d'utilisateur, des données confidentielles. Elle consiste généralement à envoyer des courriers électroniques en se faisant passer pour une autorité quelconque (comme un agent de sécurité, un chef, un employeur) et à rediriger les utilisateurs vers un site web qui imite une page de connexion de confiance. Cela peut se faire en ayant un domaine d'URL différent sur des lettres similaires (comme le i majuscule et le L minuscule) ou en faisant du typosquattage par exemple. Il s'agit d'une attaque qui exploite non seulement des vulnérabilités techniques, mais aussi qui utilise l'ingénierie sociale.
Équipe rougeUn groupe de spécialistes de la sécurité qui remet en question les systèmes et les procédures de sécurité d'une organisation dans des scénarios réels. Les évaluations de l'équipe rouge peuvent utiliser non seulement des vecteurs cybernétiques, mais aussi des vecteurs physiques, comme l'intrusion dans des bâtiments, l'installation de dispositifs dans les réseaux et les ordinateurs d'une organisation qui peuvent contribuer à compromettre ses systèmes. Un résultat possible peut être l'exfiltration de données confidentielles. Les équipes rouges sont engagées pour aider à former les équipes bleues - des spécialistes dont le travail consiste à maintenir la sécurité du système d'une entreprise, à surveiller et à répondre aux incidents, et à minimiser les effets des violations.
RCE/ACE (Remote code execution/Arbitrary code execution)Décrit l'impact de la vulnérabilité qui permet à l'attaquant d'exécuter du code ou des commandes arbitraires sur le système visé. La RCE se produit lorsque l'attaquant est capable d'exécuter un code arbitraire sur l'hôte distant sur le réseau.
SandboxTerme utilisé pour décrire un type d'environnement sécurisé, non privilégié et isolé où des logiciels non fiables peuvent être exécutés sans causer de dommages aux autres systèmes.
SIEM (Gestion des informations et des événements de sécurité)Outils complexes utilisés pour l'agrégation des journaux, la surveillance et le compte rendu ; analyse en temps réel des alertes et des événements générés par les solutions logicielles et matérielles dans le réseau d'une organisation.
SPAMMessages non désirés et non sollicités envoyés par courrier électronique.
Pêche à la lanceAttaque d'hameçonnage très ciblée, axée sur une personne/organisation, etc. Habituellement précédée d'une reconnaissance longue et exhaustive.
Injection SQL (SQLi)L'une des attaques les plus populaires visant les requêtes de base de données dans les applications. Elles sont causées par un nettoyage, un encodage et une manipulation incorrects des données fournies par l'utilisateur. Les attaques SQLi entraînent l'exécution d'instructions SQL arbitraires sur la base de données et l'exfiltration ou la modification de son contenu.
SSTI (Server Side Template Injection)Une technique d'injection de code qui se produit lorsque le serveur utilise les données soumises par l'utilisateur dans le modèle. Ce type d'attaque peut conduire à l'exécution d'un code arbitraire côté serveur.
Modélisation de la menaceIl s'agit d'un processus qui reconnaît, identifie et hiérarchise les menaces potentielles. Par exemple, il pourrait exposer des vulnérabilités qui pourraient être exploitées par un attaquant pour compromettre les systèmes informatiques. La modélisation des menaces permet de concevoir et de mettre en œuvre des procédures, des politiques et des actions visant à sécuriser des biens de valeur rendant les attaques non rentables. Pour faciliter la modélisation des menaces, des méthodologies comme VAST ont été conçues.
VAST (Visual Agile and Simple Modélisation de la menace)Une méthodologie utilisée dans la modélisation des menaces.
Évaluation de la vulnérabilitéProcessus consistant à rechercher dans un système des menaces connues (vulnérabilités connues) en utilisant des techniques comme le balayage des ports et les empreintes digitales des services. Lors des évaluations de vulnérabilité, les résultats sont analysés pour déterminer les faiblesses du système et des mesures d'atténuation sont prévues pour minimiser le risque ou l'impact d'une éventuelle attaque.
WAF (Web Application Firewall)Un outil utilisé pour durcir l'application web. Les WAF valident les entrées de l'utilisateur et surveillent les demandes pour détecter les malveillances, puis les bloquent et les signalent.
XSRFEncore un autre acronyme pour CSRF
XSS (Cross-Site Scripting)

Une classe de vulnérabilités de sécurité informatique, généralement dans les applications web, qui permet à un attaquant d'injecter des scripts côté client (généralement en JavaScript, parfois en VBScript). L'exécution de code dans le navigateur d'un utilisateur peut aider à contourner certaines méthodes de contrôle d'accès comme les SOP (same origin policy), à exfiltrer des données d'authentification (cookies) pour se faire passer pour un utilisateur enregistré, ou à modifier dynamiquement un site web.

XXE (Entité externe XML)Une attaque visant les applications de traitement XML qui ne gèrent pas correctement les références aux entités externes. Généralement, ce type de vulnérabilité conduit à la divulgation de données.

4.2 Les noms d'ingénierie de sécurité les plus courants qui sont utilisés de manière interchangeable

  • CRSF <-> XSRF (voir glossaire)

4.3 Versions de thèmes de sécurité complètement différentes

  • La SSTI est généralement précédée par le XSS, mais elle conduit à l'exécution de code côté serveur. En revanche, XSS concerne l'exécution de code côté client.

4.4 Quelle est l'importance des certificats d'ingénierie de la sécurité pour évaluer les compétences de codage d'un candidat ?

Les certificats ne sont certainement pas tout, mais il existe des certificats notables qui sont respectés pour les ingénieurs en sécurité. Il est bon de les avoir, mais ils ne sont pas essentiels. Les plus respectés sont les plus courants :

  • CISSP
  • OSCP
  • OSCE
  • CCNA [Sécurité]

4.5 Autres points à surveiller sur le CV d'un ingénieur en sécurité

  • Il est bon d'avoir une liste des CV soumis (voir glossaire)

Questions à poser lors d'un entretien technique téléphonique/vidéo avec un ingénieur de sécurité5. Questions à poser lors d'un entretien technique téléphonique/vidéo avec un ingénieur de sécurité

Un CV d'ingénieur en sécurité peut vous donner un indice sur les connaissances et l'expérience d'un ingénieur en sécurité, mais il est important de pouvoir tester ce dont le candidat peut réellement parler, et comment il a appliqué ses connaissances dans le passé.

5.1 Questions sur l'expérience du candidat

Q1 : Avez-vous traité une infraction ? Comment cela s'est-il produit ? Comment pourrait-on l'empêcher ?

Pourquoi vous devriez demander Q1: Le candidat pourra partager son expérience avec l'industrie concernée. Les infractions graves ne sont pas quotidiennes, mais les accidents mineurs le sont. Le candidat doit donc avoir quelques réflexions et conclusions à ce sujet. Notez que les cas spécifiques sont des informations vitales et que les détails peuvent être confidentiels, de sorte qu'une personne interrogée peut ne pas être autorisée à en parler.

 

Q2 : Quel est votre avis sur le rôle d'ingénieur de sécurité dans l'entreprise ?

Pourquoi vous devriez demander Q2 : Le candidat doit connaître les responsabilités d'un ingénieur en sécurité dans une organisation. Notez que certaines tâches particulières peuvent être hors ou dans le cadre de cette fonction - cela dépend de la structure de l'organisation.

 

Q3 : Que pensez-vous de BYOD (apportez votre propre appareil) ?

Pourquoi vous devriez demander Q3 : Quel que soit le côté de l'augmentation choisi par le candidat, il est essentiel de comprendre les risques, les faiblesses et la bonne manipulation des dispositifs non fiables et de l'accès aux données de l'organisation.

5.2 Questions sur les connaissances et les opinions du candidat

Q1 : Qu'est-ce qu'une menace, une vulnérabilité, une exploitation et une atténuation ? (expliquer)

Pourquoi vous devriez demander Q1: Cette question permettra au candidat de démontrer sa compréhension et sa connaissance de base des termes utilisés dans le domaine de la sécurité informatique. Le candidat doit préciser que les atténuations sont des correctifs appliqués aux logiciels (ou autres mécanismes utilisés par exemple au niveau du noyau) pour empêcher l'exploitation de la vulnérabilité.

 

Q2 : Qu'est-ce qu'une injection SQL et en quoi diffère-t-elle de l'injection XXE ? (expliquer)

Pourquoi vous devriez demander Q2 : Le candidat doit être capable de montrer une compréhension de base de certaines vulnérabilités courantes rencontrées dans les applications modernes.

 

Q3 : Qu'est-ce qui conduit à l'injection de gabarits côté serveur (SSTI) et est-ce plus dangereux que le XSS ? En quoi diffèrent-elles ?

Pourquoi vous devriez demander Q3 : Les vulnérabilités sont complexes. Parfois, l'apparition d'un type d'erreur peut laisser entendre qu'une autre partie de l'application se comporte également mal et que la menace réelle a un impact beaucoup plus important qu'on ne le pensait au départ.

 

Q4 : Ce qui sont : IDS, IPS et EDR. En quoi diffèrent-elles ?

Pourquoi vous devriez poser la question Q4 : Le candidat doit être capable de différencier les classes de base des outils utilisés pour découvrir et empêcher les attaquants de causer des pertes.

 

Q5 : Comment fonctionne le cryptage asymétrique ? Quand faut-il l'utiliser ? Quels sont les avantages et les inconvénients par rapport au cryptage symétrique ? Citez un algorithme de cryptage symétrique et un algorithme de cryptage asymétrique.

Pourquoi vous devriez demander Q5 : La cryptographie est omniprésente dans la sécurisation des applications modernes. Le candidat doit connaître les inconvénients du cryptage asymétrique (par exemple, la vitesse).

 

Q6 : Quelle est la différence entre stream Chiffre et bloc de chiffres ?

Pourquoi devriez-vous poser la question Q6 : Le candidat doit être capable de montrer des connaissances de base sur les outils fournis par la cryptographie moderne et leurs cas d'utilisation.

 

Q7 : Qu'est-ce que le hachage (cryptographique), à quoi sert-il, quand et en quoi diffère-t-il du cryptage ? Citez un algorithme de hachage qui ne doit pas être utilisé et un autre "dont il n'est pas prouvé qu'il n'est pas sûr".

Pourquoi vous devriez poser la question Q7 : Le candidat doit savoir que, par exemple, le stockage des mots de passe des clients en texte clair est une pratique répréhensible et c'est là que les fonctions de hachage doivent être déployées. Par exemple, la fonction non sécurisée est MD5. Il n'est pas encore prouvé que le SHA256 ait des collisions et il est plutôt sûr de l'utiliser.

 

Q8 : Qu'est-ce que le PBKDF, comment fonctionne-t-il ? Pourquoi l'utiliser ?

Pourquoi devriez-vous poser la question Q8 : Le candidat doit être capable de montrer qu'il connaît l'existence de ces mécanismes et les moyens efficaces/convenants de mettre en œuvre la sécurité au quotidien.

 

Q9 : En quoi la CSRF diffère-t-elle de la XSS ?

Pourquoi vous devriez demander Q2 : Le candidat doit être capable de différencier des classes de vulnérabilités communes.

 

Q10 : Qu'est-ce qu'une empreinte digitale ?

Pourquoi vous devriez demander Q10 : Ce sujet permet au candidat de parler des méthodes d'identification des systèmes rencontrés. Cette technique est généralement utilisée par l'attaquant dans la phase de reconnaissance. Le candidat peut également parler des méthodes de suivi uniques basées sur les empreintes digitales.

 

Q11 : Comment vérifier si le fichier téléchargé est correct ?

Pourquoi vous devriez demander Q2 : Cette question permet au candidat de démontrer des connaissances pratiques et de base sur les sommes de contrôle, les algorithmes de hachage et les signatures cryptographiques.

 

Q12 : Expliquez le principe de la CIA.

Pourquoi devriez-vous poser la question Q12 : Le principe de la CIA ou triangle de la CIA est un modèle de base utilisé pour créer des politiques de sécurité. Le candidat doit être capable de l'utiliser pour montrer sa connaissance approfondie des règles à prendre en compte lors de l'élaboration des règles et des politiques.

 

Q13 : Qu'est-ce qu'un "port knocking" ?

Pourquoi devriez-vous poser la question Q13 : Le candidat doit être familiarisé avec les mesures de sécurité de base. Cette question est un peu délicate car les coups de port ne doivent pas être considérés comme des coups de feu.

 

Q14 : Un protocole sécurisé par nom pour gérer les serveurs distants ?

Pourquoi devriez-vous poser la question Q14 : Le candidat doit être capable de parler des outils de base assurant la sécurité lors des tâches quotidiennes comme la gestion des serveurs à distance. Les sciences humaines sont l'un de ces outils.

 

Q15 : Qu'est-ce que rlogin et comment l'utiliser ? Pourquoi ? Pourquoi pas ? Expliquez-nous

Pourquoi devriez-vous poser la question Q15 : La sécurité informatique est un domaine très dynamique, mais les environnements doivent parfois répondre à des exigences héritées du passé. C'est pourquoi ils utilisent des technologies anciennes comme rlogin. En répondant à cette question, le candidat peut prouver qu'il a une connaissance approfondie des outils de sécurité et qu'il sait lesquels d'entre eux manquent de sécurité et pourquoi.

 

Q16 : Qu'est-ce que le durcissement ?

Pourquoi devriez-vous poser la question Q16 : Cette question devrait donner au candidat l'occasion de parler des différentes méthodes permettant de rendre l'environnement et les applications plus sûrs.

 

Q17 : Qu'est-ce qu'un test de pénétration ? Qu'est-ce que l'évaluation de la vulnérabilité ? En quoi diffèrent-elles ? Qu'est-ce qu'un audit de sécurité ?

Pourquoi devriez-vous poser la question Q17 : Cette question est un peu délicate. Parfois, ces termes sont mal compris et utilisés de manière interchangeable. La direction peut utiliser ces termes à mauvais escient, c'est pourquoi le candidat doit les connaître et en connaître les différences.

 

Q18 : Nommez un guide de pentestatation.

Pourquoi devriez-vous poser la question Q18 : Les rapports de pillage apparaissent généralement sur le bureau d'un ingénieur en sécurité. Le candidat doit être en mesure de connaître certaines directives relatives aux tests de pénétration, non seulement pour traiter correctement les rapports, mais aussi pour prendre en compte les caractéristiques non affectées par le pentest.

 

Q19 : Qu'est-ce que l'ICP (infrastructure à clé publique) ? Comment fonctionne-t-elle ?

Pourquoi devriez-vous poser la question Q19 : En répondant à cette question, le candidat peut prouver ses connaissances en matière de traitement de l'authentification fournie par les solutions cryptographiques. Le candidat doit être conscient des hypothèses qui accompagnent ce genre de mécanismes.

 

Q20 : Qu'est-ce que Kerberos ? À quoi sert-il ? Peut-il être utilisé dans les domaines Windows ?

Pourquoi vous devriez demander Q20 : Les réseaux d'une grande organisation ont besoin de solutions spéciales pour réduire les surfaces d'attaque dans les zones liées aux restrictions d'accès. Le candidat peut montrer qu'il comprend l'une des solutions les plus populaires, ses avantages et ses limites.

 

Q21 : Qu'est-ce que l'épinglage des certificats ? Comment le faire correctement ?

Pourquoi devriez-vous poser la question Q21 : Cette question vise à assurer la sécurité malgré la communication sur un canal non sécurisé. Elle aidera le candidat à démontrer sa connaissance des mesures d'atténuation courantes.

 

Q22 : Que faites-vous lorsque votre certificat privé est volé ?

Pourquoi devriez-vous poser la question Q22 : Il s'agit d'une question pratique qui donne au candidat l'occasion de parler d'actions plutôt rares mais qui ont un impact vraiment fort sur la sécurité des entreprises. Il peut s'agir d'une situation très stressante et dangereuse et savoir comment y faire face est l'un des attributs du génie logiciel.

 

Q23 : Citez un outil populaire d'analyse des vulnérabilités ?

Pourquoi devriez-vous poser la question Q23 : Cette question, bien qu'elle ne concerne pas strictement le travail d'un ingénieur en sécurité, permet au candidat de prouver sa connaissance des outils utilisés dans les évaluations de sécurité.

 

Q24 : Qu'est-ce qu'une équipe bleue, une équipe rouge et une équipe violette ? Laquelle est la plus importante ?

Pourquoi vous devriez demander Q24 : Sur la base de cette question, le candidat montrera s'il est plutôt dans la sécurité offensive ou la défense. Mais quel que soit le choix, ces questions montreront une compréhension des défis et des solutions modernes en matière de sécurité.

 

Q25 : Qu'est-ce que le DLP, comment fonctionne-t-il ?

Pourquoi vous devriez demander Q25 : Cette question donnera au candidat l'occasion de parler de certaines techniques qui permettent de prévenir ou de localiser les fuites de données.

 

Q25 : Qu'est-ce que le WAF ? Citez une solution WAF.

Pourquoi vous devriez demander Q25 : Les applications web sont très populaires de nos jours. C'est pourquoi elles deviennent très souvent des cibles. Le candidat doit avoir une certaine connaissance des possibilités de les protéger et des produits courants qui peuvent être appliqués.

 

Q26 : Qu'est-ce que la POS (politique de la même origine) ?

Pourquoi vous devriez poser la question Q26 : Le candidat doit être capable de parler de ces atténuations telles qu'elles sont mises en œuvre dans les navigateurs modernes, de leurs points forts et de leurs faiblesses.

 

Q27 : Qu'est-ce que la CSP (content security policy), quand doit-elle être utilisée ?

Pourquoi devriez-vous poser la question Q27 : Étant donné que le XSS est resté en tête de la liste des 10 premières vulnérabilités de l'OWASP, cette question permettra au candidat de montrer qu'il connaît bien ce problème et qu'il sait comment l'atténuer.

 

Q28 : Comment atténuer l'effet de l'injection SQL ?

Pourquoi devriez-vous poser la question Q28 : Cette question permet au candidat de parler de certaines mesures d'atténuation de base utilisées dans les applications (par exemple, les déclarations préparées) pour garantir que les données fournies par les utilisateurs sont traitées de la bonne manière et restent classées comme non fiables.

 

Q29 : Qu'est-ce que le STEH ? Pourquoi l'utiliser ?

Pourquoi devriez-vous poser la question Q29 : Le l'homme dans la milieu a un grand impact sur la sécurité. Le candidat qui répond à cette question doit être capable de montrer une compréhension de base des appareils et des solutions de cryptographie qui atténuent cette dangereuse attaque.

 

Q30 : Expliquez le fonctionnement du TLS (en quelques phrases).

Pourquoi devriez-vous poser la question Q30 : Cette question donne l'occasion au candidat de parler des solutions cryptographiques modernes pour sécuriser les canaux de communication non sécurisés avec une technologie très populaire.

 

Q31 : Quelle est la différence entre autorisation et authentification ?

Pourquoi devriez-vous poser la question Q31 : C'est une question vraiment fondamentale qui montrera que le candidat a une bonne compréhension des termes et des défis qu'il devra relever chaque jour dans son travail d'ingénieur en sécurité.

 

Q32 : Que sont les LCA ? Comment les utiliser ?

Pourquoi vous devriez demander Q32 : Cette question montrera que le candidat a une bonne connaissance des solutions de restriction d'accès dans les systèmes modernes.

 

Q33 : Indiquez les niveaux de confidentialité.

Pourquoi devriez-vous poser la question Q33 : Cette question permet au candidat de parler des termes de base utilisés pour juger du niveau de protection des actifs dans l'organisation.

 

Q34 : Qu'est-ce que RADIUS ? Quand faut-il l'utiliser ?

Pourquoi devriez-vous poser la question Q34 : En répondant à cette question, le candidat démontrera sa connaissance approfondie des solutions modernes d'authentification et d'autorisation des utilisateurs, qui est le niveau clé pour assurer la sécurité.

 

Q35 : Qu'est-ce que le VLAN, quand faut-il l'utiliser ? Comment fonctionne le saut VLAN ?

Pourquoi devriez-vous poser la question Q35 : Cette question permettra au candidat de dire comment utiliser les solutions de réseau pour la séparation des réseaux.

 

Q36 : Comment sécuriser le WiFi dans une organisation ? (séparation du réseau)

Pourquoi devriez-vous poser la question Q36 : Il s'agit d'un vaste sujet. Le candidat peut montrer sa compréhension du problème complexe et sa compréhension de la modélisation des menaces.

 

Q37 : Citez trois façons de tester la sécurité en fonction du niveau de connaissance de l'agresseur. Laquelle est la plus fiable et simule un scénario réel ?

Pourquoi devriez-vous poser la question Q37 : Les pentets sont l'un des moyens de contester les mesures de sécurité mises en œuvre. Le candidat pourra démontrer son niveau de connaissance de l'équipe d'attaque simulée qui aidera à la modélisation de la menace et à l'analyse des rapports.

 

Q38 : Nommez chaque couche du modèle ISO/OSI.

Pourquoi devriez-vous poser la question Q38 : Cette question donnera au candidat l'occasion de démontrer ses connaissances de base en matière de réseaux.

 

Q39 : Qu'est-ce que le risque résiduel ?

Pourquoi vous devriez demander la question Q39 : Le candidat pourra démontrer sa connaissance approfondie des menaces et de la modélisation des menaces. Il s'agit d'une aptitude clé utilisée dans les évaluations des risques.

 

Q40 : Imaginez que vous travaillez pour une petite entreprise. Plusieurs stagiaires sont employés chaque mois pour une courte période. Ils doivent avoir accès à certains serveurs et à un réseau WiFi. Comment allez-vous vous y prendre ?

Pourquoi vous devriez demander Q40 : Il s'agit d'un sujet pratique et vaste qui permettra au candidat de montrer sa connaissance des réseaux et des solutions de sécurité qui contribuent à assurer la sécurité dans les entreprises de manière pratique. Il/elle devra indiquer les mécanismes utilisés pour contourner la nécessité de partager et de changer un mot de passe au sein de l'équipe.

 

Q41 : Qu'est-ce qu'un gestionnaire de mots de passe ? À quoi doit-il servir ?

Pourquoi devriez-vous poser la question Q41 : Cette question aide le candidat à démontrer ses connaissances en matière de simplification des mécanismes de sécurité pour les utilisateurs finaux.  

 

Q42 : Quelle politique est la meilleure - liste noire ou liste blanche, et pourquoi ?

Pourquoi devriez-vous poser la question Q42 : Cette question permettra au candidat de démontrer une connaissance de base de la position des défenseurs dans la cyberguerre. Connaître les inconvénients des listes blanches peut permettre d'éviter des catastrophes à l'avenir.

 

Q43 : Définissez ce qu'est une attaque de l'homme du milieu.

Pourquoi devriez-vous poser la question Q43 : Cette question aide le candidat à montrer ses connaissances sur les menaces et les attaques populaires des temps modernes. Elle doit également lui donner l'occasion de parler des contre-mesures.

 

Q44 : Comment fonctionne l'échange de clés Diffie-Hellman (DHKEX) ?

Pourquoi vous devriez poser la question Q44 : Cette question permettra au candidat de parler de l'un des mécanismes les plus populaires et les plus utilisés.

 

Q45 : Qu'est-ce que le SIEM et comment fonctionne-t-il ?

Pourquoi devriez-vous poser la question Q45 : Le candidat pourra démontrer sa compréhension des outils déployés pour aider à défendre les atouts d'une organisation.

 

Q46 : Que sont les DoS et DDoS ? Quelle est la différence ?

Pourquoi devriez-vous poser la question Q46 : C'est une question facile qui montrera une compréhension de base des attaques vraiment communes et anciennes qui sont encore très populaires de nos jours.

 

Q47 : Comment éviter l'usurpation de DNS et comment sécuriser un DNS ?

Pourquoi vous devriez demander la question Q47 : Cette question permettra au candidat de démontrer ses connaissances administratives et sa compréhension des menaces modernes dans les organisations. Parler de la sécurisation d'un DNS montrera que le candidat est familier avec les mécanismes cryptographiques et les solutions fournies pour lutter contre les menaces actuelles dans les réseaux internes.

5.3 Questions comportementales vous devez demander à comprendre comment le candidat a agi dans le passé

Q1 : Les deux dernières années ont été occupées par des attaques avec demande de rançon qui ont fait des ravages dans les organisations et les entreprises et ont causé des pertes financières et de réputation considérables. Quelles mesures prendriez-vous pour éviter que de tels accidents ne se produisent dans votre organisation ?

Pourquoi vous devriez demander Q1 : Cette question permettra au candidat de défier les menaces des temps modernes et de montrer sa créativité pour résoudre des problèmes non triviaux.  

 

Q2 : Votre IDS a signalé une infraction. Que feriez-vous pour éliminer la menace ?

Pourquoi vous devriez demander Q2 : Il s'agit d'un vaste sujet qui permettra au candidat de montrer sa compréhension des politiques de sécurité, sa compréhension de la complexité des problèmes de sécurité et de montrer sa vision large du problème.

Contrôle technique des compétences des ingénieurs de sécurité à l'aide d'un test de codage en ligne6. Contrôle technique des compétences en matière d'ingénierie de sécurité au moyen d'un test de codage en ligne

La sécurité ne doit pas être un concept abstrait auquel on pense. Elle doit être un série des préparatifs et des réactions aux menaces à la sécurité auxquelles votre organisation est confrontée. Comme nous l'avons vu, un élément majeur de cette démarche est la capacité de codage, à l'aide d'outils permettant de tester la sécurité d'une application ou d'un réseau. Le test de codage que vous utilisez doit refléter cela.

6.1 Quel test de programmation de sécurité choisir ?

Quand on cherche la bonne sécurité en ligne vous devez vous assurer qu'ils répondent aux critères suivants.

  • Ils reflètent le travail réel effectué, avec les véritables défis contemporains en matière de sécurité
  • Ils ne prennent pas trop de temps aux candidats, une à deux heures maximum
  • Ils peuvent être envoyés automatiquement et peuvent être emportés partout pour vous donner, à vous et à votre candidat, une certaine flexibilité
  • Ils vont au-delà de la vérification du bon fonctionnement de la solution pour vérifier également la qualité du code et son bon fonctionnement dans les cas limites
  • Ils sont aussi proches que possible de l'environnement naturel de programmation et permettent au candidat d'accéder aux types de ressources qu'il utiliserait normalement au travail
  • Ils permettent au candidat d'utiliser toutes les bibliothèques, cadres et autres outils qu'il utilise normalement, y compris les plus importants pour le poste
  • Ils sont d'un niveau approprié qui correspond aux capacités du candidat

7. Tests d'évaluation du codage de sécurité en ligne prêts à l'emploi DevSkiller

DevskillerLe test de la vie réelle de l'UETM La méthodologie est idéale pour tester les compétences des ingénieurs en sécurité. La plateforme ne pose pas de questions académiques. Elle met plutôt en place des situations de sécurité réelles qu'un ingénieur en sécurité doit aborder en utilisant son expérience et sa créativité. De plus, les tests sont notés automatiquement et vous pouvez voir comment l'ingénieur en sécurité arrive à sa solution. DevSkiller propose des tests de sécurité à la fois pour le codage et les systèmes. En voici quelques-uns que vous pouvez essayer.

JUNIOR
Des compétences éprouvées
Durée
70 minutes max.
Évaluation
Automatique
Aperçu des tests

Questions sur le choix

l'évaluation de la connaissance des Sécurité, DevOps, Docker

Tâche de test - Niveau : Facile

Sécurité | SQL Injection | Fuite de courrier électronique sur un site de commerce électronique - Trouvez une fuite de SQL Injection dans l'application web

JUNIOR
Des compétences éprouvées
Durée
70 minutes max.
Évaluation
Automatique
Aperçu des tests

Questions sur le choix

l'évaluation de la connaissance des Sécurité

Tâche DevOps - Niveau : Facile

Sécurité | SQL Injection | Fuite de courrier électronique sur un site de commerce électronique - Trouvez une fuite de SQL Injection dans l'application web