Contexte : Suite à une compromission confirmée d'un poste utilisateur, vous devez vérifier si d'autres machines ont été impactées. Le Problème : Aucun indicateur direct ne montre une propagation, mais des connexions internes suspectes ont été observées. Contraintes : Vous disposez des logs réseau, EDR et authentification sur une période de 30 jours. Aucune interruption massive des services n'est autorisée. Livrable attendu : Définir une méthodologie de threat hunting, identifier des indicateurs de compromission potentiels et proposer des actions de remédiation ciblées.