Contexte : Les logs cloud sont centralisés dans le SIEM. Des connexions API valides proviennent d'une localisation inhabituelle. Le Problème : Aucun échec d'authentification n'est observé, mais un token OAuth compromis pourrait être utilisé. Contraintes : Corréler les logs d'accès API, l'adresse IP source, la géolocalisation et l'historique d'utilisation normal du compte. Mettre en place une détection d'anomalie géographique et temporelle. Livrable attendu : Concevoir une règle SIEM détectant les usages anormaux de tokens OAuth valides dans un environnement cloud.