Contexte : Sur une période de plusieurs semaines, des alertes isolées ont été enregistrées : exécution PowerShell, connexions RDP inhabituelles et trafic sortant chiffré vers des domaines peu connus. Le Problème : Individuellement, les alertes semblent bénignes, mais vous suspectez une campagne APT progressive. Contraintes : Vous devez corréler des événements provenant de plusieurs sources (EDR, pare-feu, SIEM, DNS). Aucun indicateur unique n'est suffisant pour conclure. Livrable attendu : Construire une analyse corrélée démontrant ou infirmant l'existence d'une attaque multi-étapes et recommander les mesures de réponse adaptées.