Contexte : Un incident récent a montré qu'un attaquant a désactivé la journalisation avant d'agir. Le Problème : Le SIEM ne surveille pas les événements liés à la modification des politiques de logging. Contraintes : Détecter toute modification des paramètres de journalisation ou arrêt de service de log. Exclure les opérations planifiées validées. Livrable attendu : Définir une règle SIEM permettant de détecter toute tentative de désactivation ou altération des mécanismes de journalisation.