Préparation aux Entretiens

Le DHCP (Dynamic Host Configuration Protocol) est un service réseau qui attribue automatiquement une adresse IP, un masque de sous-réseau, une passerelle et des serveurs DNS aux machines du réseau.

• Sans DHCP, chaque poste devrait être configuré manuellement en IP statique
• Si le serveur DHCP est indisponible, le poste reçoit une adresse APIPA : 169.254.x.x
• Avec une IP APIPA, le poste ne peut plus communiquer avec le réseau ni internet
• Commande de diagnostic : ipconfig /all puis ipconfig /release & ipconfig /renew

Une adresse 169.254.x.x est une adresse APIPA (Automatic Private IP Addressing). Le PC n'a pas réussi à obtenir d'adresse via DHCP et s'en est attribué une automatiquement.

• Vérifier le câble réseau ou la connexion Wi-Fi
• Exécuter ipconfig /release puis ipconfig /renew
• Si le problème persiste : vérifier que le service DHCP est actif sur le serveur
• Vérifier que le port du switch est actif (ping vers la passerelle)

Le DNS (Domain Name System) traduit les noms de domaine (google.com) en adresses IP (142.250.x.x). C'est l'annuaire d'Internet.

• Sans DNS, les sites web sont inaccessibles par leur nom (mais accessibles par IP directe)
• En entreprise, le serveur DNS interne résout aussi les noms internes (SRV-DC01, SRV-FILES…)
• Commandes de diagnostic : nslookup google.com, ipconfig /flushdns
• DNS primaire en entreprise = généralement le contrôleur de domaine (DC)

Le diagnostic réseau suit une logique en couches : de l'interface locale vers l'extérieur.

• ipconfig /all — vérifie l'adresse IP, masque, passerelle, DNS
• ping 127.0.0.1 — vérifie la pile TCP/IP locale
• ping <gateway> — vérifie la connectivité réseau local
• ping 8.8.8.8 — vérifie la connectivité internet (sans DNS)
• nslookup google.com — vérifie la résolution DNS
• tracert 8.8.8.8 — trace le chemin réseau saut par saut
• netstat -an — liste les connexions actives

• Hub — diffuse les données à tous les ports (couche 1). Obsolète, crée des collisions.
• Switch — envoie les données uniquement au port concerné grâce aux adresses MAC (couche 2). Utilisé pour les LAN en entreprise.
• Routeur — connecte des réseaux différents (ex : LAN ↔ Internet) et dirige le trafic selon les adresses IP (couche 3).

Un VPN (Virtual Private Network) crée un tunnel chiffré entre le poste de l'utilisateur et le réseau de l'entreprise, permettant un accès sécurisé depuis l'extérieur.

• Le trafic est chiffré : même sur un Wi-Fi public, les données restent protégées
• L'utilisateur apparaît comme s'il était physiquement dans le réseau interne
• Protocoles courants : IPSec, SSL/TLS, WireGuard, OpenVPN
• En entreprise : permet le télétravail et l'accès aux ressources internes (partages, RDP, serveurs)

Le modèle OSI (Open Systems Interconnection) est un cadre conceptuel en 7 couches qui standardise les communications réseau.

• 7 — Application : HTTP, FTP, DNS, SMTP
• 6 — Présentation : Chiffrement SSL/TLS, encodage
• 5 — Session : Gestion des sessions (NetBIOS, RPC)
• 4 — Transport : TCP (fiable) / UDP (rapide)
• 3 — Réseau : IP, routage (routeur)
• 2 — Liaison : MAC, Ethernet (switch)
• 1 — Physique : Câbles, Wi-Fi, signaux électriques (hub)

• TCP (Transmission Control Protocol) : connexion établie (handshake 3 voies), transmission fiable, accusé de réception, ordre garanti. Utilisé pour HTTP, FTP, e-mails.
• UDP (User Datagram Protocol) : pas de connexion, plus rapide, pas de garantie de livraison. Utilisé pour streaming, VoIP, DNS, jeux en ligne.

Commencer par les causes les plus fréquentes avant d'escalader.

• Vérifier si le mot de passe est expiré (message d'erreur à l'écran)
• Vérifier si le compte AD est verrouillé (trop de tentatives échouées)
• Vérifier la connectivité réseau — un PC hors domaine ne peut pas authentifier
• Vérifier si le profil utilisateur est corrompu (connexion avec un compte local test)
• En dernier recours : mode sans échec, réparation du profil ou recréation

Le BSOD (Blue Screen of Death) est un écran d'erreur critique Windows causé par un problème matériel ou un pilote défaillant. Windows s'arrête pour éviter des dommages.

• Relever le code d'erreur affiché (ex : CRITICAL_PROCESS_DIED, PAGE_FAULT_IN_NONPAGED_AREA)
• Vérifier l'Observateur d'événements (eventvwr) → Journal Windows → Système
• Analyser le fichier dump mémoire avec WhoCrashed ou WinDbg
• Causes fréquentes : RAM défectueuse, pilote corrompu, disque défaillant, surchauffe
• Commandes utiles : sfc /scannow, chkdsk C: /f, mdsched.exe

• cleanmgr — Nettoyage de disque Windows (fichiers temp, corbeille, miniatures)
• Supprimer les anciennes mises à jour Windows : cleanmgr /sageset:1 → cocher "Nettoyage Windows Update"
• Supprimer le dossier Windows.old (après une mise à niveau, peut peser 8–15 Go)
• Désactiver/réduire l'hibernation : powercfg -h off
• Vider le dossier %temp% et C:\Windows\Temp

• RAM : mémoire volatile, rapide, contient les données en cours d'utilisation (programmes ouverts). Perdue au redémarrage.
• Disque dur / SSD : stockage permanent, contient l'OS et les fichiers. Le SSD est beaucoup plus rapide qu'un HDD.
• PC lent : RAM saturée → Windows utilise le fichier d'échange sur disque (très lent)
• Diagnostic : Gestionnaire des tâches → onglet Performance

• SFC (System File Checker) : analyse et répare les fichiers système Windows corrompus en les remplaçant depuis le cache local.
• Si SFC échoue ou trouve des erreurs non réparables, le cache local est lui-même corrompu.
• DISM (Deployment Image Servicing and Management) : répare l'image Windows elle-même en téléchargeant les fichiers depuis Windows Update.
• Ordre recommandé : DISM d'abord → puis SFC

• Ouvrir l'Observateur d'événements : eventvwr.msc
• Journaux Windows → Système : erreurs matérielles, services, drivers
• Journaux Windows → Application : erreurs applicatives
• Journaux Windows → Sécurité : connexions réussies/échouées, verrouillages
• Filtrer par niveau (Critique, Erreur) et par période pour cibler le problème
• ID d'événement utiles : 4625 (échec connexion), 6008 (arrêt inattendu), 41 (reboot brutal)

• En entreprise, les mises à jour sont gérées centralement via WSUS (Windows Server Update Services) ou Intune
• WSUS permet de tester les mises à jour avant déploiement sur l'ensemble du parc
• Les redémarrages sont planifiés en dehors des heures de travail via GPO
• En cas de mise à jour problématique : possibilité de la bloquer ou de la désinstaller
• Commande utile : wuauclt /detectnow ou usoclient StartScan

Le Registre Windows est une base de données hiérarchique qui stocke les paramètres de configuration du système, des applications et des utilisateurs.

• Accès via regedit
• Ruches principales : HKLM (machine), HKCU (utilisateur courant), HKCR (types de fichiers)
• Cas d'usage support : corriger une clé de démarrage, supprimer une entrée de logiciel résiduelle, modifier un paramètre non exposé dans l'interface
• Toujours exporter une sauvegarde avant toute modification

Active Directory (AD) est un service d'annuaire Microsoft qui centralise la gestion des identités, des ordinateurs et des ressources d'une entreprise.

• Gestion centralisée des comptes utilisateurs et mots de passe
• Contrôle des accès aux ressources (fichiers, imprimantes, applications)
• Application des stratégies de sécurité via GPO
• Authentification unique (SSO) : un seul identifiant pour tous les services
• Structure : Forêt → Domaine → Unités d'Organisation (OU) → Objets

• Ouvrir Utilisateurs et ordinateurs Active Directory (dsa.msc)
• Rechercher l'utilisateur → clic droit → Réinitialiser le mot de passe
• Cocher « L'utilisateur doit changer le mot de passe à la prochaine connexion »
• Pour déverrouiller : clic droit → Propriétés → onglet Compte → décocher « Le compte est verrouillé »
• Via PowerShell : Unlock-ADAccount -Identity prenom.nom
• Identifier la source du verrouillage : outil LockoutStatus ou Event ID 4740

• Compte local : existe uniquement sur le PC, pas de lien avec AD, pas de SSO, géré localement
• Compte de domaine : centralisé dans AD, accessible depuis n'importe quel PC du domaine, soumis aux GPO et aux politiques de mot de passe centrales
• En entreprise : les utilisateurs ont un compte de domaine. Le compte local Administrator est souvent désactivé ou renommé pour la sécurité.

Une OU est un conteneur dans AD qui permet d'organiser les objets (utilisateurs, ordinateurs, groupes) et d'y appliquer des GPO ciblées.

• Exemple : OU=Comptabilité, OU=Marketing, OU=Direction
• Chaque OU peut avoir ses propres GPO (ex : restriction d'accès pour les stagiaires)
• Les OU peuvent être imbriquées : OU=France → OU=Paris → OU=Comptabilité
• Déplacer un objet dans la mauvaise OU → mauvaises GPO appliquées → problèmes accès

Une GPO (Group Policy Object) est un ensemble de règles appliquées à des utilisateurs ou ordinateurs via Active Directory pour configurer et sécuriser l'environnement.

• Appliquée au démarrage (ordinateur) ou à la connexion (utilisateur)
• Ordre d'application : Local → Site → Domaine → OU (LSDOU)
• Forcer l'application immédiate : gpupdate /force
• Diagnostiquer ce qui est appliqué : gpresult /r ou gpresult /h rapport.html

Kerberos est le protocole d'authentification par défaut dans un domaine Windows Active Directory. Il utilise des tickets pour prouver l'identité sans retransmettre le mot de passe.

• L'utilisateur s'authentifie auprès du KDC (Key Distribution Center) sur le DC
• Il reçoit un TGT (Ticket Granting Ticket) valide plusieurs heures
• À chaque accès à une ressource, il échange son TGT contre un ticket de service
• Le mot de passe ne circule jamais sur le réseau
• Si Kerberos échoue, Windows repasse sur NTLM (moins sécurisé)

Azure AD Connect est l'outil qui synchronise les identités entre l'Active Directory on-premise et Azure Active Directory (cloud Microsoft).

• Permet à l'utilisateur d'utiliser le même identifiant pour les ressources locales ET cloud (M365, Azure)
• Synchronisation par défaut toutes les 30 minutes
• Si la synchro est en échec : les nouveaux comptes créés en local n'apparaissent pas dans M365
• Diagnostic : portail Azure AD → Santé de la synchronisation

• Vérifier la connexion internet et l'accès à office.com via navigateur
• Vérifier le statut d'Outlook en bas à droite (« Connecté » / « Déconnecté »)
• Tenter un envoyer/recevoir manuel (F9)
• Vérifier si la boîte mail est pleine (quota 50 Go)
• Réparer le profil Outlook : Panneau de config → Courrier → Afficher les profils
• Vérifier si la licence M365 est active dans le portail admin
• Recréer le profil Outlook si rien ne fonctionne

• Cliquer sur l'icône OneDrive dans la barre des tâches → lire le message d'erreur
• Codes fréquents : 0x8004de40 (problème connexion), 0x80070005 (droits), quota dépassé
• Vérifier l'espace disponible dans OneDrive (limite selon licence)
• Déconnecter et reconnecter le compte OneDrive
• Réinitialiser OneDrive : %localappdata%\Microsoft\OneDrive\onedrive.exe /reset

La MFA (Multi-Factor Authentication) est une authentification à deux facteurs : en plus du mot de passe, l'utilisateur doit valider sa connexion via un second facteur (SMS, application Authenticator, appel).

• Protection contre les attaques par mot de passe compromis
• Activation : Portail Microsoft 365 admin → Utilisateurs → Authentification multifacteur
• Application recommandée : Microsoft Authenticator (notification push)
• Si l'utilisateur a changé de téléphone : réinitialiser ses méthodes MFA dans le portail

• Se connecter au centre d'administration M365 : admin.microsoft.com
• Utilisateurs → Utilisateurs actifs → sélectionner l'utilisateur
• Onglet « Licences et applications » → cocher/décocher la licence souhaitée
• Les applications disponibles dépendent de la licence (E1 / E3 / E5 / Business)
• Si aucune licence disponible : contacter le responsable pour achat supplémentaire

SharePoint est la plateforme de collaboration et de partage de documents M365. L'erreur 403 signifie « Accès refusé ».

• L'utilisateur n'est pas membre du site ou du groupe SharePoint correspondant
• Résolution : l'administrateur du site doit ajouter l'utilisateur dans les permissions du site
• Vérifier aussi si l'accès conditionnel Azure AD (Conditional Access) bloque la connexion
• Accès SharePoint Admin : admin.microsoft.com → SharePoint → Sites

• Demander à l'utilisateur de ne pas cliquer et de ne pas transférer le mail
• Si un lien a été cliqué : isoler immédiatement le poste du réseau
• Analyser le mail : domaine expéditeur, liens, pièces jointes
• Bloquer le domaine expéditeur dans Exchange / M365
• Vérifier si d'autres utilisateurs ont reçu le même mail (campagne de phishing)
• Signaler à l'équipe sécurité / RSSI si campagne confirmée
• Envoyer une alerte préventive aux utilisateurs

C'est un ransomware — les fichiers ont été chiffrés par un malware qui demande une rançon pour les déchiffrer.

• Immédiatement : débrancher physiquement le câble réseau / désactiver le Wi-Fi
• Isoler le poste pour éviter la propagation aux partages réseau et aux autres postes
• Ne jamais payer la rançon (aucune garantie de récupération)
• Informer immédiatement le RSSI et la direction
• Identifier le type de ransomware (id-ransomware.malwarehunterteam.com)
• Restaurer les fichiers depuis les sauvegardes
• Analyser le vecteur d'entrée pour éviter la récidive

Le principe du moindre privilège signifie qu'un utilisateur ou un système ne doit avoir que les droits strictement nécessaires à l'exécution de ses tâches, rien de plus.

• Un utilisateur comptable n'a pas besoin d'accéder aux fichiers RH
• Réduit la surface d'attaque : un compte compromis fait moins de dégâts
• Appliqué via : permissions NTFS, groupes AD, rôles M365, droits sudo/admin locaux
• Les administrateurs doivent utiliser un compte standard au quotidien et un compte admin uniquement pour les tâches d'administration

• Antivirus : détection par signatures (base de virus connus), protection réactive, analyse fichiers
• EDR (Endpoint Detection and Response) : surveille les comportements suspects en temps réel, détecte les menaces inconnues (zero-day), permet investigation et réponse à incident
• Exemples EDR : Microsoft Defender for Endpoint, CrowdStrike, SentinelOne
• En entreprise moderne, l'EDR remplace ou complète l'antivirus traditionnel

Une attaque par force brute consiste à tester automatiquement un grand nombre de mots de passe pour accéder à un compte.

• Détection : Event ID 4625 (échecs de connexion répétés) dans les logs de sécurité AD
• Protection : politique de verrouillage de compte (ex : 5 tentatives → verrouillage 30 min)
• MFA rend l'attaque par force brute presque inefficace
• Fine-Grained Password Policy pour des politiques différentes selon les groupes (ex : comptes de service)

• Rester calme et professionnel, ne jamais répondre à l'agressivité par l'agressivité
• Laisser l'utilisateur s'exprimer sans l'interrompre (écoute active)
• Reformuler le problème pour montrer que vous avez compris : « Je comprends que vous ne pouvez plus travailler depuis ce matin... »
• Se concentrer sur la solution, pas sur l'émotion : « Voici ce que je vais faire pour vous... »
• Si l'utilisateur reste irrespectueux : indiquer calmement que vous êtes là pour aider mais que vous ne pouvez pas continuer dans ces conditions

• Évaluer l'impact métier de chaque ticket : combien d'utilisateurs bloqués ? Quelle activité impactée ?
• Un serveur en panne qui bloque 50 personnes prime sur un PC individuel bloqué
• Vérifier les SLA associés : un ticket dont le SLA expire dans 15 min monte en priorité
• Informer immédiatement les utilisateurs du délai de prise en charge
• Si nécessaire : escalader un ticket à un collègue ou N2 pour ne pas tout bloquer

• Utiliser des analogies du quotidien (ex : « Le DHCP c'est comme un hôtel qui attribue une chambre numérotée à chaque client »)
• Éviter le jargon technique — si nécessaire, définir chaque terme
• Se concentrer sur l'impact et la solution, pas sur la cause technique
• Vérifier la compréhension en posant des questions ouvertes
• Laisser du temps pour les questions

• Être honnête avec l'utilisateur : « Je ne connais pas la solution immédiate, mais je vais trouver »
• Consulter la base de connaissances interne et les procédures documentées
• Rechercher dans des sources fiables (documentation Microsoft, forums techniques)
• Demander l'aide d'un collègue ou escalader vers le N2 si nécessaire
• Documenter la solution trouvée pour les prochaines occurrences

Réponse-cadre à personnaliser selon votre parcours :

• Montrer une passion réelle pour la résolution de problèmes techniques
• Mettre en avant le contact humain et l'aide concrète apportée aux utilisateurs
• Parler de la progression possible : N1 → N2 → spécialisation (réseau, sécurité, cloud)
• Relier à des expériences concrètes : projets personnels, formations, certifications
• Mentionner l'environnement de l'entreprise si vous connaissez ses outils (GLPI, AD, M365)

• Prioriser par impact/urgence pour ne pas être paralysé par le volume
• Faire des mises à jour régulières aux utilisateurs en attente (même courtes)
• Identifier les tickets répétitifs → créer une procédure ou un script pour les traiter plus vite
• Communiquer avec le manager si la charge est intenable seul
• Garder un suivi clair (ticket ouvert / en cours / en attente) pour ne rien perdre

Utilisez la méthode STAR : Situation, Tâche, Action, Résultat.

• Situation : décrivez le contexte (ex : panne serveur un lundi matin, 30 utilisateurs bloqués)
• Tâche : quel était votre rôle et vos responsabilités dans cette situation
• Action : détaillez les étapes précises que vous avez prises (diagnostic, escalade, communication)
• Résultat : quel a été l'impact positif concret (temps de résolution, utilisateurs débloqués, incident évité)

Un SLA (Service Level Agreement) est un contrat qui définit les engagements de qualité et de délai de traitement entre l'équipe IT et les utilisateurs/métiers.

• Définit les délais de prise en charge et de résolution selon la priorité (ex : critique → 1h, haute → 4h, normale → 24h)
• Permet de mesurer la performance du support IT objectivement
• Un SLA breach = l'équipe n'a pas respecté son engagement → impact sur la satisfaction et potentiellement sur les pénalités contractuelles
• Outil de gestion : les outils de ticketing (GLPI, ServiceNow) alertent avant le dépassement

• Incident : interruption non planifiée ou dégradation d'un service. Objectif : restaurer le service le plus vite possible. Ex : PC qui ne démarre plus, réseau en panne.
• Demande de service : requête standard prévisible faite par un utilisateur. Ex : création d'un compte, installation d'un logiciel, attribution d'un droit.
• Dans ITIL, la gestion des incidents et la gestion des demandes sont deux processus distincts avec des workflows différents

L'escalade consiste à transférer un ticket vers un niveau de support supérieur (N1 → N2 → N3) ou vers un expert spécialisé lorsque le niveau actuel ne peut pas résoudre le problème.

• Escalade fonctionnelle : transfert vers un niveau technique supérieur
• Escalade hiérarchique : le problème dépasse le périmètre technique (décision managériale nécessaire)
• Quand escalader : problème hors de votre périmètre, dépassement du SLA imminent, impact critique non résolu
• Comment : documenter précisément le problème, les actions déjà tentées et les résultats dans le ticket avant de transférer

ITIL (Information Technology Infrastructure Library) est un cadre de bonnes pratiques pour la gestion des services IT. Il définit des processus standardisés pour aligner l'IT sur les besoins métier.

• Gestion des incidents : restaurer le service rapidement
• Gestion des problèmes : trouver et éliminer la cause racine des incidents récurrents
• Gestion des changements : contrôler les modifications en production
• Gestion des demandes : traiter les requêtes standard
• Gestion des actifs : inventaire du parc matériel/logiciel

Cadre de réponse à adapter selon votre expérience :

• GLPI : open-source, très utilisé en France, gestion tickets + inventaire + CMDB. Fonctionnalités : catégories, priorités, SLA, base de connaissances.
• ServiceNow : solution enterprise premium, workflows avancés, ITIL natif. Standard dans les grandes entreprises.
• Jira Service Management : populaire dans les équipes agiles et DSI modernes.
• Même sans expérience pro : ce simulateur IT vous permet de pratiquer la gestion de tickets avec une interface GLPI-like — mentionnez-le !