NewsLetter RadioCSIRT N°30

🎧 RadioCSIRT – La newsletter cyber hebdo du Podcast RadioCSIRT

Bienvenue dans cette nouvelle newsletter de RadioCSIRT. Cette semaine, un auditeur Damien a soulevé une question centrale :

comment décrocher un premier poste en cybersécurité lorsque l’on débute ou que l’on se reconvertit ?

L’épisode du mardi 23 septembre 2025 (Ep.430) a été particulièrement exigeant à préparer, car il n’existe pas de solution miracle. En revanche, il existe une méthode : une approche structurée, progressive et mesurable. C’est précisément ce que je vous propose de découvrir dans cet article exclusif de la newsletter.

Marc Frédéric GOMEZ
Fondateur de RadioCSIRT

---

Comment entrer en cybersécurité : guide pratique

Poser le cadre

Le marché de la cybersécurité est en pleine expansion. Les besoins sont immenses, mais les recruteurs restent exigeants. Ils recherchent des profils capables d’être opérationnels rapidement : analyser, produire, documenter.

Un bagage technique est un avantage, mais il doit être traduit en preuves visibles : mini-projets, journaux d’exercices, communication claire.

C’est cette démonstration concrète qui fait la différence.

Choisir une porte d’entrée réaliste

La cybersécurité est vaste. Impossible de tout couvrir dès le début. Le plus efficace est de choisir une porte d’entrée, puis d’élargir progressivement. Trois options stratégiques :

• Blue Team / SOC / CTI junior : surveillance, triage, détection d’IOCs, rédaction d’alertes.

• Gouvernance / Risque / Conformité (GRC) : politiques, cartographie, gestion des risques, processus.

• Ingénierie sécurité / SecOps : durcissement, gestion des vulnérabilités, automatisation.

Chaque porte a ses preuves attendues.

Les preuves qui comptent

Un CV se lit en 30 secondes. Ce qui convainc, ce sont des artefacts tangibles. Construisez votre kit de preuves en trois couches :

• Couche A – Artefacts visibles

  • Un repo Git clair et structuré.

  • 3 à 5 mini-projets courts et soignés.

  • Un README par projet avec contexte, démarche, résultats, limites.

• Couche B – Journal d’apprentissage

  • Un journal de bord hebdomadaire.

  • Format court : ce que vous avez tenté, réussi, bloqué, prévu.

• Couche C – Restitution

  • Un post LinkedIn toutes les deux semaines.

  • Une note technique (1 page) par mois.

Objectif : prouver que vous savez expliquer simplement.

Trois parcours en 90 jours

Un trimestre pour poser des bases solides. Trois parcours selon la porte choisie.

A. Blue Team / SOC / CTI junior

• Sem. 1–2 : installer un lab VM, collecter des logs (Sysmon, Auditd), monter un mini-SIEM.

• Sem. 3–4 : rejouer 3 scénarios d’attaque, écrire 6 règles de détection, documenter.

• Sem. 5–8 : créer une bibliothèque d’IOCs, rédiger fiches d’alerte et procédure de triage, automatiser un parseur Python.

• Sem. 9–12 : produire un rapport d’incident simulé (4 pages) et publier un extrait anonymisé.

Preuves à montrer : dashboards, règles, rapport synthétique.

B. Gouvernance / Risque / Conformité (GRC)

• Sem. 1–2 : choisir un référentiel (ISO 27001), rédiger un catalogue de 20 contrôles, créer une politique sécurité d’une page.

• Sem. 3–4 : cartographier une appli fictive, identifier 10 risques, proposer un plan de traitement.

• Sem. 5–8 : écrire une procédure de gestion de vulnérabilités, définir SLA et reporting.

• Sem. 9–12 : conduire un mini-audit à blanc, produire un plan d’actions et restituer en 5 minutes.

Preuves à montrer : politiques, cartographie, registre des risques, mini-audit.

C. Ingénierie sécurité / SecOps

• Sem. 1–2 : monter un environnement IaaS, déployer un reverse-proxy sécurisé.

• Sem. 3–4 : scanner une appli démo, corriger les findings critiques, comparer avant/après.

• Sem. 5–8 : écrire un script de durcissement reproductible, documenter les changements.

• Sem. 9–12 : intégrer un pipeline CI/CD avec tests basiques de sécurité et rapport HTML.

Preuves à montrer : scripts, résultats de scan avant/après, pipeline documenté.

Passer le filtre des candidatures

• Ciblez les annonces junior/alternance (mots-clés : débutant accepté, analyste N1/N2, junior).

• Mettez vos preuves visibles en premier dans le CV.

• Accroche de 4 lignes :

  1. Ce que vous savez faire maintenant.

  2. Un lien vers votre meilleur artefact.

  3. Ce que vous voulez apprendre tout de suite.

  4. Votre disponibilité.

Sur LinkedIn, demandez des retours ciblés :

“Auriez-vous 2 retours rapides sur ce mini-rapport d’incident ?”

Réussir les entretiens

On teste votre logique, pas votre encyclopédie. Structurez vos réponses : Contexte → Hypothèse → Démarche → Résultat → Limites.

Préparez deux histoires de 2 minutes :

• Une réussite.

• Un échec transformé en apprentissage.

Sortez votre journal d’apprentissage. Cela montre une progression concrète.

Certifications : utiles mais secondaires

Une certification crédibilise un jalon, mais elle ne remplace pas vos preuves.

• Choisissez une certif alignée sur votre porte d’entrée.

• Commencez par une seule.

• Privilégiez les certifications avec labs pratiques.

Communauté et visibilité

• Rejoignez un groupe local.

• Participez à un meetup par mois.

• Publiez un post toutes les deux semaines.

Montrez votre progression, pas un copier-coller d’actualités.

Exemple de reconversion : Vous êtes un profil du monde embarqué comme Damien

Si vous venez du monde embarqué, c’est un atout. Vous comprenez contraintes matérielles et performance.

Mini-projet possible :

• Cartographier la mémoire d’un microcontrôleur.

• Identifier interfaces de debug.

• Proposer une politique de mise à jour sécurisée.

• Rédiger deux pages menaces/mesures.

Les recruteurs lisent les méthodes avant le résultat.

Plan d’action en 7 points

1. Choisir une porte d’entrée.

2. Définir 3 mini-projets.

3. Ouvrir un repo Git propre.

4. Publier un journal hebdo.

5. Produire une fiche d’incident ou de risque par mois.

6. Candidater chaque semaine avec une accroche personnalisée.

7. Demander 2 retours ciblés à la communauté.

Mot aux recruteurs

Un junior motivé, avec des preuves visibles et une progression régulière, peut devenir opérationnel vite. Avec un cadre clair et un binôme, c’est un investissement gagnant-gagnant.

Ma conclusion

Que vous sortiez d’école ou que vous soyez en reconversion, la clé est de commencer petit, montrer vos preuves, et tenir le rythme. Le marché cherche des profils qui apprennent vite et démontrent concrètement.

Avec ce plan, vous pouvez être visible et crédible en 90 jours.

Que la force soit avec vous !

---

🔎 À lire cette semaine sur mon blog

Je vous propose une nouvelle sélection de mes derniers articles publiés sur mon blog.

🔹 Démantèlement par l’U.S. Secret Service d’un réseau de menaces télécom à New York
👉 Lire : https://blog.marcfredericgomez.fr/demantelement-par-lu-s-secret-service-dun-reseau-de-menaces-telecom-a-new-york/

🔹 Retour d’expérience CISA : préparation, surveillance et remédiation face à une compromission
👉 Lire : https://blog.marcfredericgomez.fr/retour-dexperience-cisa-preparation-surveillance-et-remediation-face-a-une-compromission/

---

🎙 Récapitulatif des épisodes du podcast de la semaine (Ep.427 au 433)

Du samedi 20 septembre au au vendredi 26 septembre 2025

📅 Podcast RadioCSIRT du Samedi 20 Septembre 2025 (Ep.427)

📌 Au programme aujourd’hui :

✈️ Une cyberattaque contre Collins Aerospace perturbe Heathrow, Bruxelles et Berlin.
🕵️‍♂️ Le MI6 lance un portail darkweb de recrutement baptisé Silent Courier.
🐻 L’opération Phantom Net Voxel d’APT28 ciblant l’armée ukrainienne est détaillée par Sekoia.io.
🌐 Une faille critique dans Jinjava (HubSpot) permet une exécution de code à distance.
🎨 Ton Roosendaal quitte la présidence de la Blender Foundation après 32 ans de carrière.

📚 Ressources :

• https://securityaffairs.com/182504/cyber-crime/collins-aerospace-airport-supply-chain-attack.html

• https://therecord.media/mi6-darkweb-portal-recruit-spies-silent-courier

• https://blog.sekoia.io/apt28-operation-phantom-net-voxel/

• https://cybersecuritynews.com/critical-flaw-in-hubspot-jinjava-engine-allows-rce/

• https://www.blendernation.com/2025/09/18/ton-roosendaal-steps-down-as-chairman-of-the-blender-foundation/

📅 Podcast RadioCSIRT du Dimanche 21 Septembre 2025 (Ep.428)

📌 Au programme aujourd’hui :

🪟 Windows pousse Copilot encore plus loin : un bouton “Partager avec Copilot” apparaît dans l’aperçu des fenêtres pour envoyer le contenu à Copilot Vision (déploiement en test Insider).
Source : Clubic

🔑 Plaintext = danger : le rappel choc de Huntress : après une intrusion, des recovery codes en clair ont permis de contourner la MFA et d’accéder au portail sécurité—ne stockez jamais de secrets en clair.
Source : Huntress

🇨🇦 TradeOgre démantelé au Canada : la Gendarmerie royale annonce la fermeture de l’exchange et la saisie de plus de 40 M$ en crypto.
Source : BleepingComputer

🇰🇵 ClickFix, nouvel appât de Pyongyang : des leurres “ClickFix” livrent le stealer BeaverTail, avec des variantes pour Windows/macOS/Linux et ciblage élargi (marketing/trading).
Source : The Hacker News

📚 Ressources :
https://www.clubic.com/actualite-580039-copilot-s-incruste-un-peu-plus-dans-windows-avec-un-bouton-de-partage-d-ecran-que-personne-n-a-demande.html
https://www.huntress.com/blog/dangers-of-storing-unencrypted-passwords
https://www.bleepingcomputer.com/news/security/canada-dismantles-tradeogre-exchange-seizes-40-million-in-crypto/
https://thehackernews.com/2025/09/dprk-hackers-use-clickfix-to-deliver.html

📅 Podcast RadioCSIRT du Lundi 22 Septembre 2025 (Ep.429)

📌 Au programme aujourd’hui :

🔐 Rumeur ANTS : démenti officiel — Vincent Strubel (ANSSI) recadre la polémique sur la prétendue fuite massive de données de l’ANTS, en rappelant qu’il s’agit d’une base déjà en circulation sur le dark web et sans lien avec l’agence.
Source : LinkedIn – Vincent Strubel

🐍 Nimbus Manticore cible l’Europe — Check Point Research suit une campagne active de ce groupe iranien, visant la défense, les télécoms et l’aéronautique en Europe, avec de nouveaux implants comme MiniJunk et MiniBrowse.
Source : Check Point Research

🇲🇩 Désinformation en Moldavie — Selon l’ISW, la Russie intensifie ses opérations d’influence avant les élections du 28 septembre, avec des réseaux de propagande sur TikTok et Facebook liés à Ilan Shor.
Source : The Record

🚗 Stellantis enquête sur un incident — Le constructeur automobile confirme un accès non autorisé à la plateforme d’un prestataire en Amérique du Nord. Les données exposées se limitent aux coordonnées de contact.
Source : The Record

📊 NIST investit dans la formation — Le NIST attribue plus de 3,3 millions de dollars à 17 projets RAMPS dans 13 États pour renforcer les compétences en cybersécurité face à plus de 514 000 postes vacants.
Source : NIST

💾 la CVE-2025-26515 — Une vulnérabilité dans NetApp StorageGRID permet une attaque SSRF et la modification de mots de passe. Correctifs disponibles en versions 11.8.0.15 et 11.9.0.8.
Source : Cyberveille Santé

🛡️ EDR-Freeze — Un outil de démonstration exploite Windows Error Reporting pour suspendre indéfiniment des antivirus et EDR, en testant avec succès sur Windows Defender.
Source : BleepingComputer

🛰️ Collins Aerospace — Le NCSC confirme un incident et coopère avec l’entreprise, plusieurs aéroports britanniques, le Department for Transport et les forces de l’ordre.
Source : NCSC

📚 Ressources :
🔗 https://www.linkedin.com/posts/vincent-strubel-7b7056200_cp-ants-activity-7375854482238099457-iEGL
🔗 https://research.checkpoint.com/2025/nimbus-manticore-deploys-new-malware-targeting-europe/
🔗 https://therecord.media/russia-steps-disinfo-moldova-election
🔗 https://therecord.media/stellantis-investigates-cyber-incident
🔗 https://www.nist.gov/news-events/news/2025/09/nist-awards-more-3-million-support-cybersecurity-workforce-development
🔗 https://cyberveille.esante.gouv.fr/alertes/netapp-cve-2025-26515-2025-09-22
🔗 https://www.bleepingcomputer.com/news/security/new-edr-freeze-tool-uses-windows-wer-to-suspend-security-software/
🔗 https://www.ncsc.gov.uk/news/collins-aerospace-incident

📅 Podcast RadioCSIRT du Mardi 23 Septembre 2025 (Ep.430)

📌 Au programme aujourd’hui :

🙋‍♂️ À la demande d’un auditeur : reconversion et entrée en cyber pour profils juniors.
🧰 Plan concret en 90 jours : mini-projets, preuves visibles, candidatures ciblées.

📦 Paquet npm malveillant — Le package fezbox, identifié par Socket, utilisait un QR Code pour charger une charge utile obfusquée visant le vol de cookies et d’identifiants, avant son retrait du registre npm.
Source : BleepingComputer

🛡️ Incident MySonicWall — SonicWall confirme qu’un acteur a exploité du brute force sur le portail MySonicWall.com, exposant des fichiers de préférences clients issus de sauvegardes cloud. La CISA relaie les mesures de confinement et de remédiation.
Source : CISA

🔐 GitHub renforce npm — Suite à la découverte du ver Shai-Hulud, GitHub impose désormais le 2FA obligatoire avec WebAuthn, des jetons granulaires limités à 7 jours et étend le trusted publishing pour sécuriser la chaîne de distribution npm.
Source : CyberPress

📱 Apple Memory Integrity Enforcement — Apple dévoile MIE, une protection mémoire toujours active intégrée aux iPhone 17 et iPhone Air, reposant sur l’Enhanced Memory Tagging Extension (EMTE) et les allocateurs sécurisés, afin de contrer les attaques par corruption mémoire.
Source : Apple SEAR

📚 Ressources :
🔗 https://www.bleepingcomputer.com/news/security/npm-package-caught-using-qr-code-to-fetch-cookie-stealing-malware/
🔗 https://www.cisa.gov/news-events/alerts/2025/09/22/sonicwall-releases-advisory-customers-after-security-incident
🔗 https://cyberpress.org/github-boosts-npm-security/
🔗 https://security.apple.com/blog/memory-integrity-enforcement/

📅 Podcast RadioCSIRT du Mercredi 24 Septembre 2025 (Ep.431)

📌 Au programme aujourd’hui :

🖥️ SolarWinds Web Help Desk — Une vulnérabilité référencée la CVE-2025-26399 permet une exécution de code arbitraire à distance sur les versions antérieures à 12.8.7 HF1. Correctif disponible dans la version 12.8.7 HF1.
Source : CERT-FR

📡 Synology Safe Access pour SRM — La CVE-2025-10466 expose les versions antérieures à 1.3.1-0329 à une injection de code indirecte (XSS). Correctif publié dans la version 1.3.1-0329.
Source : CERT-FR

🛡️ Retour d’expérience CISA — L’agence américaine publie un avis détaillant les leçons d’une réponse à incident. Exploitation confirmée de la CVE-2024-36401 dans GeoServer pour l’accès initial.
Source : CISA

🔧 Supermicro BMC — Deux nouvelles vulnérabilités, la CVE-2025-7937 (CVSS 6,6) et la CVE-2025-6198 (CVSS 6,4), permettent de contourner la logique de Root of Trust et de charger des firmwares malveillants. Découverte par Binarly.
Source : The Hacker News

✈️ Cyberattaque aéroports européens — Arrestation par la NCA britannique d’un suspect lié à l’attaque du logiciel vMUSE de Collins Aerospace. Heathrow, Bruxelles, Berlin et Dublin avaient été fortement perturbés depuis le 19 septembre.
Source : The Record

📚 Ressources :
🔗 https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0813/
🔗 https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0812/
🔗 https://www.cisa.gov/news-events/alerts/2025/09/23/cisa-releases-advisory-lessons-learned-incident-response-engagement
🔗 https://thehackernews.com/2025/09/two-new-supermicro-bmc-bugs-allow.html
🔗 https://therecord.media/uk-arrest-cyberattack-disruption-european-airports

📅 Podcast RadioCSIRT du Jeudi 25 Septembre 2025 (Ep.432)

📌 Au programme aujourd’hui :

🖥️ Kali Linux 2025.3 — La distribution Kali publie la version 2025.3.
Elle introduit dix nouveaux outils, dont Caido, Caido CLI, Gemini CLI, krbrelayx, ligolo-mp, llm-tools-nmap, mcp-kali-server, patchleaks et vwifi-dkms.
Le support Nexmon revient pour Raspberry Pi 5, activant le mode moniteur et l’injection de paquets.
Source : Linux Magazine.

🪟 Windows 10 — Microsoft offre gratuitement l’ESU pour l’EEE jusqu’au 14 octobre 2026.
Aucun compte Microsoft ni sauvegarde cloud obligatoire dans l’Espace Économique Européen.
Cette mesure vise à faciliter la transition vers Windows 11.
Source : Windows Central.

📡 Cisco ASA — CISA publie l’Emergency Directive 25-03.
Directive d’urgence : recenser, collecter des données forensiques et atténuer des zero-day affectant les Cisco Adaptive Security Appliances.
Les agences fédérales doivent isoler les appareils en fin de support et appliquer les mesures avant le 26 septembre 2025 à 23:59 EST.
Source : CISA.

🛡️ Cisco ASA — Le NCSC met en garde contre une campagne persistante.
Nouvelles analyses de malwares nommés RayInitiator et LINE VIPER.
Évolution des implants LINE DANCER / LINE RUNNER ; capacités d’évasion accrues.
Le NCSC recommande d’appliquer les mesures et correctifs fournis par Cisco et de signaler toute compromission.
Source : NCSC (GCHQ).

🧩 Gh0stKCP — Analyse du protocole C2 UDP dérivé de KCP.
Handshake initial en paquets de 12 octets.
Échanges conv distincts par sens, ack final avec bit 0x01, fermeture codée par une séquence de 16 octets.
Règles Suricata et règle YARA publiées pour détection et retrohunting.
Source : Netresec.

🇨🇳 BRICKSTORM — Campagne UNC5221 ciblant cabinets d’avocats, fournisseurs SaaS et entreprises tech.
Backdoor BRICKSTORM principalement sur appliances Linux (vCenter, ESXi), variant Windows existante mais non observée.
Exploitation remontée depuis mars 2025 ; un cas lié à une zero-day Ivanti Connect Secure.
Objectif : vol de propriété intellectuelle et accès aux boîtes mail de dirigeants.
Source : Recorded Future / The Record (relai de Mandiant).

📚 Ressources complètes (liens directs) :
🔗 https://www.linux-magazine.com/Online/News/Kali-Linux-2025.3-Released-with-New-Hacking-Tools
🔗 https://www.windowscentral.com/microsoft/windows-10/major-backtrack-as-microsoft-makes-windows-10-extended-security-updates-free-for-an-extra-year-but-only-in-certain-markets
🔗 https://www.ncsc.gov.uk/news/persistent-malicious-targeting-cisco-devices
🔗 https://www.cisa.gov/news-events/news/cisa-issues-emergency-directive-requiring-federal-agencies-identify-and-mitigate-cisco-zero-day
🔗 https://www.netresec.com/?page=Blog&month=2025-09&post=Gh0stKCP-Protocol
🔗 https://therecord.media/china-linked-hackers-brickstorm-backdoor-ip

📅 Podcast RadioCSIRT du Vendredi 26 Septembre 2025 (Ep.433)

📌 Au programme aujourd’hui :

🌐 Microsoft Edge — Protection renforcée contre les extensions malveillantes
Microsoft annonce que son navigateur Edge va désormais bloquer automatiquement les extensions sideloaded identifiées comme malveillantes, afin de limiter les risques d’infections et d’abus.
Source : BleepingComputer

🕵️ Opérateurs IT nord-coréens — Nouvelles révélations
Un rapport détaille l’activité d’opérateurs IT nord-coréens utilisant des identités falsifiées pour s’infiltrer dans des entreprises internationales et collecter des fonds pour financer le régime.
Source : CyberPress

🍏 Nouvelle variante du malware XCSSET — Ciblage de macOS
Une version mise à jour du malware XCSSET a été détectée. Elle cible les environnements macOS et adopte de nouvelles techniques d’évasion pour contourner les mécanismes de sécurité d’Apple.
Source : The Hacker News

🖥️ Gitlab Enterprise et Community — Vulnérabilités critiques corrigées
Le CERT-FR publie l’avis CERTFR-2025-AVI-0820 concernant plusieurs vulnérabilités affectant Gitlab. Elles permettent potentiellement une exécution de code à distance, une élévation de privège ou encore un deni de service. Des correctifs sont disponibles.
Source : CERT-FR

📚 Ressources :
🔗 https://www.bleepingcomputer.com/news/security/microsoft-edge-to-block-malicious-sideloaded-extensions/
🔗 https://cyberpress.org/north-korean-it-operatives/
🔗 https://thehackernews.com/2025/09/new-macos-xcsset-variant-targets.html
🔗 https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0820/