Contexte : Une simulation d'attaque démontre qu'une campagne de password spraying n'a pas été détectée. Le Problème : Les règles actuelles détectent uniquement les multiples tentatives sur un même compte. Configuration actuelle : Trigger if failed_logins > 5 per user Les tentatives réparties sur plusieurs comptes passent inaperçues. Contraintes : Détecter un nombre élevé d'échecs provenant d'une même IP vers plusieurs comptes distincts sur une période courte. Livrable attendu : Créer une règle de corrélation adaptée au password spraying limitant les faux positifs légitimes.