Contexte : Une simulation d'attaque montre qu'un adversaire peut répartir ses actions sur plusieurs heures pour éviter les seuils de détection. Le Problème : Les règles actuelles utilisent des fenêtres temporelles trop courtes. Configuration actuelle : Trigger if failed_logins > 10 in 5 minutes Les attaques lentes ne sont pas détectées. Contraintes : Mettre en place une détection basée sur agrégation cumulative et analyse comportementale sur 24 heures. Limiter les faux positifs liés aux erreurs utilisateurs. Livrable attendu : Proposer une logique de corrélation temporelle étendue permettant d'identifier les attaques fragmentées.