Contexte : Aucun échec d'authentification n'est observé, mais un compte utilisateur accède à plusieurs serveurs sensibles inhabituels. Le Problème : L'attaquant pourrait utiliser des identifiants valides pour se déplacer latéralement sans générer d'échecs visibles. Contraintes : Vous disposez des journaux d'accès, des horaires habituels d'activité utilisateur et des corrélations IP source. Aucun outil d'analyse comportementale automatique n'est disponible. Livrable attendu : Identifier les anomalies d'accès, établir un schéma de mouvement latéral possible et recommander des actions de confinement adaptées.