Contexte : Des attaques récentes utilisent des outils natifs comme PowerShell ou certutil pour éviter la détection. Le Problème : Les règles actuelles déclenchent uniquement sur des signatures de malware connues. Contraintes : Détecter l'exécution inhabituelle d'outils système combinée à des connexions réseau externes. Réduire les faux positifs liés à l'administration légitime. Livrable attendu : Concevoir une règle de corrélation comportementale permettant de détecter des usages suspects d'outils natifs du système.