Contexte : Un utilisateur se connecte normalement depuis son poste habituel, mais quelques minutes plus tard, des actions sensibles sont effectuées depuis une autre machine interne. Le Problème : Aucun échec d'authentification n'est observé, suggérant un possible détournement de session. Contraintes : Corréler les logs d'authentification, les adresses IP internes et les événements d'accès aux ressources sensibles. Identifier les incohérences temporelles et géographiques internes. Livrable attendu : Concevoir une règle SIEM capable de détecter un possible détournement de session basé sur incohérences d'origine réseau et chronologie des actions.