Contexte : Plusieurs serveurs internes enregistrent des tentatives d'authentification provenant d'un même poste utilisateur. Le Problème : Ce comportement peut indiquer un mouvement latéral après compromission initiale. Contraintes : Vous disposez des logs d'authentification Kerberos ou NTLM, des adresses IP sources et des horodatages. Vous devez analyser la cohérence des accès avec le rôle de l'utilisateur. Livrable attendu : Identifier les indicateurs de mouvement latéral et proposer des actions adaptées (isolation du poste, réinitialisation des identifiants, investigation approfondie).