Contexte : Un audit révèle qu'une fuite de données progressive sur plusieurs semaines n'a pas été détectée. Le Problème : Les règles actuelles détectent uniquement les transferts massifs de données sur une courte période. Configuration actuelle : Trigger if outbound_traffic > 5GB in 1 hour Les exfiltrations lentes passent inaperçues. Contraintes : Mettre en place une règle détectant des volumes cumulés anormaux sur plusieurs jours. Limiter les faux positifs liés aux sauvegardes légitimes. Livrable attendu : Proposer une logique de détection adaptée aux exfiltrations progressives tout en conservant un seuil pertinent.