Contexte : Un exercice interne démontre qu'une attaque utilisant uniquement des outils natifs (PowerShell, WMI, certutil) n'est pas détectée. Le Problème : Les règles actuelles se basent uniquement sur des signatures de malware connues. Configuration actuelle : Alert if malware_signature_detected == true Aucune corrélation comportementale. Contraintes : Corréler exécution d'outils natifs inhabituels avec connexions réseau externes ou création de tâches planifiées. Réduire les faux positifs liés à l'administration. Livrable attendu : Définir une stratégie comportementale avancée pour détecter les attaques Living-off-the-Land.