Les réseaux informatiques constituent la clé des infrastructures de technologies de l'information. Il est donc indispensable d'assurer leur sécurité avec la mise en place de moyens de prévention ainsi que de sondes de supervision. Cependant, les sondes génèrent énormément d'événements dont la grande majorité correspond à une utilisation bénigne et légitime du système. L'analyste de sécurité se retrouve facilement submergé par leur quantité et peut difficilement différencier les événements nécessitant une attention particulière, c'est-à-dire ceux liés à une attaque, des autres. Notre objectif est de réduire le gap sémantique, ainsi que la quantité d'information que l'analyste doit traiter, en identifiant les ensembles d'événements significatifs de symptômes d'attaques ayant réellement eu lieu. Plus précisément, nous nous intéressons à la reconstruction de scénario d'attaque à travers l'identification des actions de l'attaquant, déduites à partir des événements remontés par les sondes de supervision, et leur enchaînement logique et temporel.