Contexte : Vous êtes analyste SOC junior et recevez une alerte indiquant une connexion SSH inhabituelle sur un serveur de production en dehors des heures de bureau. Le Problème : L'alerte indique une connexion depuis une adresse IP externe inconnue. Vous devez déterminer s'il s'agit d'une activité légitime ou potentiellement malveillante. Contraintes : Vous disposez uniquement des logs d'authentification, de l'adresse IP source et de l'heure de connexion. Aucune analyse forensique avancée n'est requise. Vous devez documenter clairement votre raisonnement. Livrable attendu : Analyser les logs fournis, identifier les éléments suspects (IP, horaire, tentatives multiples) et rédiger une conclusion indiquant si l'incident nécessite une escalade.