Contexte : Plusieurs fichiers critiques sur un serveur ont été chiffrés avant qu'une alerte ne soit déclenchée. Le Problème : Les premières activités suspectes n'ont pas été identifiées à temps par le SOC. Contraintes : Vous disposez des logs EDR, des journaux système et des connexions réseau précédant le chiffrement. L'objectif est d'identifier le vecteur initial d'infection. Livrable attendu : Reconstituer la chaîne d'événements, identifier le point d'entrée initial et proposer des améliorations de détection pour éviter une récidive.