Malgré tous les moyens de prévention mis en place, un attaquant motivé trouvera toujours le moyen d'infiltrer un réseau informatique. Il est donc indispensable de superviser le système sous l'angle de la sécurité informatique. Partant d'un événement suspect, un analyste de sécurité peut commencer son investigation en identifiant les événements liés à l'événement d'intérêt. Dans l'objectif de retrouver les traces des actions de l'attaquant, il cherche alors à retrouver les liens de dépendance causale entre les événement journalisés. Dans les faits, ce type de lien n'est pas simple à définir et découvrir. Le travail présenté dans cet article a pour objectif de définir formellement ce qu'est la relation de dépendance causale entre les événements journalisés, ces événements pouvant être de type différent.