Contexte : Une alerte signale qu'un compte standard a ajouté un utilisateur au groupe administrateur sur un serveur applicatif. Le Problème : Vous devez déterminer si cette action correspond à une tâche d'administration planifiée ou à une compromission. Contraintes : Vous disposez des logs système, des journaux d'authentification et de l'historique des modifications de groupes. Aucun arrêt immédiat du service n'est autorisé sans justification. Livrable attendu : Analyser la chronologie des événements, identifier les incohérences éventuelles et recommander une action (escalade, isolation, clôture avec justification).