Contexte : L'entreprise souhaite détecter un volume anormal de trafic sortant pouvant indiquer une exfiltration de données. Le Problème : Aucun seuil n'est actuellement défini pour surveiller le trafic sortant. Contraintes : Définir un seuil simple basé sur un volume inhabituel sur une période donnée (ex : 2 Go en 30 minutes). La règle doit rester adaptée à un environnement de taille moyenne. Livrable attendu : Configurer une règle de détection simple identifiant les pics de trafic sortant et générant une alerte exploitable.