Contexte : Le SIEM déclenche une alerte uniquement lors de pics massifs de trafic sortant. Le Problème : Une exfiltration lente répartie sur plusieurs jours ne déclenche aucune alerte. Configuration actuelle : Trigger if outbound_traffic > 10GB in 1 hour Les transferts fractionnés restent invisibles. Contraintes : Mettre en place une corrélation cumulative sur plusieurs jours. Éviter les faux positifs liés aux sauvegardes automatiques planifiées. Livrable attendu : Proposer une logique de détection basée sur un volume cumulé anormal par hôte ou utilisateur sur une période étendue.