Contexte : L'organisation utilise des services cloud dont les logs sont centralisés dans le SIEM. Le Problème : Les accès administrateurs cloud depuis des pays inhabituels ne déclenchent pas d'alerte. Configuration actuelle : Alert if admin_login == true Aucune vérification géographique ou comportementale. Contraintes : Corréler les connexions administrateur avec la localisation géographique et les habitudes normales de l'utilisateur. Livrable attendu : Proposer une règle améliorée détectant les accès privilégiés cloud anormaux en tenant compte du contexte géographique.