Qu'est-ce que Wazuh ?
Wazuh est une plateforme de sécurité open source, gratuite et unifiée qui combine les fonctions de SIEM (Security Information and Event Management), XDR (Extended Detection and Response), détection d'intrusion, analyse de vulnérabilités et surveillance de la conformité réglementaire.
Créé en 2015 comme un fork d'OSSEC, Wazuh s'est imposé en quelques années comme la solution de cybersécurité open source la plus complète du marché. Là où d'autres outils ne couvrent qu'un aspect de la sécurité, Wazuh offre une vision à 360° de votre infrastructure — serveurs, postes de travail, conteneurs, cloud.
En résumé : Wazuh, c'est un SOC (Security Operations Center) complet dans une seule plateforme.
Wazuh en chiffres : une adoption mondiale
Wazuh n'est pas un outil de niche. C'est un standard de l'industrie avec une croissance exponentielle :
| Indicateur | Chiffre |
|---|---|
| Téléchargements cumulés | +20 millions |
| Entreprises utilisatrices | +100 000 dans le monde |
| Agents déployés estimés | +10 millions |
| Stars GitHub | +12 000 |
| Contributeurs | +500 |
| Pays | Utilisé dans +180 pays |
Qui utilise Wazuh ?
Wazuh est adopté par un spectre très large d'organisations :
- Gouvernements et administrations : conformité réglementaire (RGPD, PCI-DSS, HIPAA, NIST 800-53)
- Hôpitaux et santé : protection des données patients, conformité HDS
- PME et ETI : alternative crédible aux SIEM propriétaires à 50 000€+/an
- MSP et prestataires IT : plateforme multi-tenant pour surveiller plusieurs clients
- Startups et scale-ups : sécurité enterprise-grade sans le budget enterprise
- Universités et recherche : plateforme de référence pour l'enseignement cybersécurité
Pourquoi cette adoption massive ?
- 100% open source — Pas de licence, pas de limite d'agents, pas de fonctionnalités verrouillées
- Alternative crédible à Splunk, QRadar, Elastic SIEM — Pour une fraction du coût (zéro)
- Communauté active — Documentation exhaustive, forum, Slack avec +15 000 membres
- Compatibilité universelle — Linux, Windows, macOS, conteneurs, cloud (AWS, Azure, GCP)
- Mises à jour régulières — Nouvelles règles de détection et fonctionnalités à chaque version
Pourquoi choisir Wazuh plutôt qu'une solution propriétaire ?
Le problème du marché SIEM traditionnel
Le marché des SIEM est dominé par des solutions propriétaires coûteuses :
| Solution | Coût annuel estimé (100 agents) | Licence |
|---|---|---|
| Splunk Enterprise Security | 50 000€ - 150 000€ | Propriétaire (par volume de données) |
| IBM QRadar | 30 000€ - 100 000€ | Propriétaire (par EPS) |
| Microsoft Sentinel | 20 000€ - 80 000€ | Propriétaire (par Go ingérés) |
| Elastic SIEM | 15 000€ - 60 000€ | Propriétaire (par nœud) |
| Wazuh | 0€ (open source) | GPLv2 — libre et gratuit |
Le calcul est simple : avec Wazuh, vous investissez dans l'infrastructure (serveur) et les compétences, pas dans des licences. C'est exactement la philosophie d'InstantApp : vous fournir un Wazuh prêt à l'emploi sur une infrastructure professionnelle, sans les coûts prohibitifs des solutions propriétaires.
Les avantages concrets de Wazuh
- Pas de vendor lock-in : vos données, vos règles, votre plateforme
- Pas de limite artificielle : pas de plafond d'événements par seconde (EPS) ni de volume de données
- Pas de module payant : toutes les fonctionnalités sont incluses, de la détection à la réponse
- Personnalisation totale : règles de détection, décodeurs, intégrations — tout est modifiable
- Auditabilité : le code source est ouvert, vérifiable, auditable
Fonctionnalités détaillées de Wazuh
1. SIEM — Collecte et corrélation des événements de sécurité
Le cœur de Wazuh est son moteur SIEM qui centralise, normalise et corrèle les logs de toute votre infrastructure.
Ce que ça fait concrètement :
- Collecte les logs de tous vos systèmes : serveurs, firewalls, applications, bases de données, Active Directory
- Normalise les formats hétérogènes (syslog, Windows Event Log, JSON, CEF)
- Applique des règles de corrélation pour détecter les menaces complexes (ex: tentatives de brute-force suivies d'un login réussi)
- Stocke et indexe tout dans OpenSearch pour une recherche ultra-rapide
Exemples de détections SIEM :
- Connexion root SSH depuis une IP inhabituelle
- 50 tentatives de login échouées en 2 minutes
- Modification d'un fichier critique système
- Escalade de privilèges suspecte
- Création d'un nouveau compte administrateur
Avec InstantApp, votre serveur Wazuh est déployé avec OpenSearch pré-configuré et optimisé. Vous n'avez qu'à installer les agents sur vos machines — la collecte commence immédiatement.
2. XDR — Détection et réponse étendues
Le module XDR de Wazuh va au-delà de la simple collecte de logs : il détecte les menaces avancées et permet d'y répondre automatiquement.
Détection avancée :
- Analyse comportementale : détection d'anomalies dans le comportement des utilisateurs et des processus
- Corrélation multi-sources : croisement des alertes provenant de différents agents et sources
- Règles MITRE ATT&CK : mapping automatique des alertes sur le framework MITRE ATT&CK (14 tactiques, 200+ techniques)
Réponse active (Active Response) :
- Blocage automatique d'une IP après X tentatives échouées
- Isolation d'un poste compromis
- Exécution de scripts de remédiation personnalisés
- Notification en temps réel (email, Slack, webhook)
Exemple concret :
Détection : Agent Windows détecte mimikatz.exe (vol de credentials)
→ Alerte niveau 15 (critique) générée
→ Active Response : IP source bloquée sur le firewall
→ Notification email envoyée à l'équipe SOC
→ Événement mappé : MITRE ATT&CK T1003 (OS Credential Dumping)
InstantApp déploie Wazuh avec l'Active Response pré-configuré : blocage d'IP automatique (fail2ban-like natif) et alertes par défaut. Vous pouvez ensuite personnaliser les réponses selon votre contexte.
3. Détection d'intrusion (HIDS/NIDS)
Wazuh intègre un système de détection d'intrusion basé sur l'hôte (HIDS) et peut s'interfacer avec des sondes réseau.
Surveillance des fichiers (File Integrity Monitoring — FIM) :
- Détection en temps réel de toute modification sur les fichiers critiques
- Qui a modifié quoi, quand et comment
- Alerte sur les modifications de
/etc/passwd,/etc/shadow, fichiers de configuration... - Surveillance des binaires système (détection de rootkits)
Détection de rootkits :
- Scan des processus cachés
- Détection des ports en écoute non autorisés
- Vérification de l'intégrité des binaires système
- Détection des modules kernel suspects
Exemples de détections :
- Un fichier
/etc/crontaba été modifié (possible persistence) - Un processus caché écoute sur le port 4444 (possible reverse shell)
- Le binaire
/usr/bin/sudoa un hash différent de l'original (possible trojan)
4. Analyse de vulnérabilités
Wazuh scanne en continu vos systèmes pour identifier les vulnérabilités connues (CVE).
Fonctionnement :
- Inventaire automatique des paquets installés sur chaque agent
- Croisement avec les bases de données NVD (National Vulnerability Database), OVAL, RHSA, DSA
- Scoring CVSS pour prioriser les vulnérabilités
- Historique des vulnérabilités et suivi de la remédiation
Ce que vous voyez dans le dashboard :
- Liste des CVE affectant chaque machine
- Score de gravité (critique, haute, moyenne, basse)
- Paquet concerné et version à installer pour corriger
- Évolution dans le temps du nombre de vulnérabilités
Avec une instance Wazuh InstantApp, le scan de vulnérabilités est activé par défaut. Dès l'installation d'un agent, vous obtenez un état des lieux complet de la sécurité de la machine en quelques minutes.
5. Conformité réglementaire
Wazuh fournit des dashboards de conformité prêts à l'emploi pour les principales normes et réglementations :
| Norme | Domaine | Ce que Wazuh surveille |
|---|---|---|
| RGPD | Protection données personnelles (EU) | Accès aux données, chiffrement, journalisation |
| PCI-DSS | Paiements par carte bancaire | Contrôle d'accès, pare-feu, audit trails |
| HIPAA | Données de santé (US) | Intégrité fichiers, contrôle d'accès, audit |
| NIST 800-53 | Cadre cybersécurité (US) | 20 familles de contrôles de sécurité |
| TSC / SOC 2 | Services cloud | Disponibilité, intégrité, confidentialité |
| ISO 27001 | Management de la sécurité | Politiques, gestion des incidents, audit |
| GPG13 | Journalisation (UK) | Centralisation et protection des logs |
Rapport de conformité automatique :
- Pourcentage de conformité par norme
- Contrôles passés / échoués avec détails
- Recommandations de remédiation
- Export PDF pour les auditeurs
Point crucial pour les PME : InstantApp vous fournit un Wazuh conforme aux exigences réglementaires dès le déploiement. Pas besoin de passer des semaines à configurer les règles de conformité — elles sont intégrées nativement.
6. Surveillance cloud et conteneurs
Wazuh s'intègre nativement avec les environnements cloud et conteneurisés :
Cloud :
- AWS : CloudTrail, GuardDuty, Inspector, WAF, S3, IAM
- Azure : Activity logs, Defender for Cloud
- Google Cloud : Pub/Sub, Security Command Center
- Office 365 : Azure AD logs, Exchange, SharePoint
Conteneurs :
- Docker : surveillance des conteneurs, images, volumes
- Kubernetes : audit logs, détection d'anomalies dans les pods
7. Dashboard et visualisation
L'interface Wazuh Dashboard (basée sur OpenSearch Dashboards) offre une visibilité complète :
- Vue d'ensemble : nombre d'agents, alertes actives, niveau de menace global
- Alertes en temps réel : flux d'événements filtrable par gravité, source, type
- MITRE ATT&CK : visualisation des tactiques et techniques détectées
- Threat Intelligence : intégration de flux d'indicateurs de compromission (IoC)
- Dashboards personnalisés : créez vos propres tableaux de bord
Architecture technique de Wazuh
Les 3 composants principaux
┌─────────────────────────────────────────────────────────┐
│ WAZUH SERVER │
│ │
│ ┌─────────────────┐ ┌──────────────┐ ┌───────────┐ │
│ │ Wazuh Manager │ │ Wazuh Indexer│ │ Dashboard │ │
│ │ (Analyse & │ │ (OpenSearch) │ │ (UI Web) │ │
│ │ Corrélation) │ │ │ │ │ │
│ │ Port 1514/1515 │ │ Port 9200 │ │ Port 443 │ │
│ └─────────────────┘ └──────────────┘ └───────────┘ │
└──────────────────────────┬──────────────────────────────┘
│
┌──────────────┼──────────────┐
│ │ │
┌──────┴─────┐ ┌─────┴──────┐ ┌─────┴──────┐
│ Agent │ │ Agent │ │ Agent │
│ Windows │ │ Linux │ │ macOS │
│ (PC, AD) │ │ (Serveurs) │ │ (Dev) │
└────────────┘ └────────────┘ └────────────┘
1. Wazuh Manager — Le cerveau
- Reçoit et analyse les données des agents
- Applique les règles de détection (+4000 règles par défaut)
- Déclenche les réponses actives
- Gère l'enrollment des nouveaux agents
2. Wazuh Indexer — La mémoire
- Basé sur OpenSearch (fork d'Elasticsearch)
- Stocke et indexe tous les événements
- Permet la recherche et l'analyse à grande échelle
- Rétention configurable (30, 90, 365 jours...)
3. Wazuh Dashboard — Les yeux
- Interface web accessible via HTTPS
- Visualisation des alertes, vulnérabilités, conformité
- Gestion des agents et des règles
- Génération de rapports
Les agents Wazuh
Les agents sont des programmes légers installés sur chaque machine à surveiller :
| Plateforme | Consommation | Installation |
|---|---|---|
| Windows | ~60 MB RAM, <1% CPU | MSI ou ligne de commande |
| Linux | ~40 MB RAM, <1% CPU | APT/YUM/script |
| macOS | ~50 MB RAM, <1% CPU | PKG ou script |
Avec InstantApp, les agents sont fournis pré-configurés. Téléchargez le script d'installation depuis votre dashboard, lancez-le sur vos machines — c'est tout. L'agent se connecte automatiquement à votre serveur Wazuh.
Cas d'usage concrets
Cas 1 : PME de 50 postes — Surveillance complète
Contexte : Cabinet comptable, 50 postes Windows, 3 serveurs Linux, données sensibles clients.
Ce que Wazuh détecte :
- Tentatives de connexion suspectes sur les postes
- Modifications non autorisées des fichiers clients
- Vulnérabilités sur les serveurs
- Non-conformité RGPD
Résultat avec InstantApp :
- Déploiement Wazuh en 5 minutes (plan Pro à 149€/mois)
- Installation des agents en 10 minutes (script automatique)
- Premier dashboard de sécurité opérationnel en 15 minutes
- Coût total : 149€/mois vs 30 000€+/an pour une solution propriétaire
Cas 2 : MSP gérant 10 clients — Multi-tenant
Contexte : Prestataire IT, 10 clients PME, 200 machines au total.
Ce que Wazuh apporte :
- Vision centralisée de la sécurité de tous les clients
- Groupes d'agents par client
- Règles personnalisées par type de client
- Rapports de conformité pour chaque client
Résultat avec InstantApp :
- 1 instance Wazuh Business (249€/mois) pour surveiller les 200 machines
- Création de groupes par client dans le dashboard
- Alertes personnalisées par client
- ROI immédiat : facturable aux clients comme service de sécurité managé
Cas 3 : Startup SaaS — Sécurité cloud-native
Contexte : Application web sur AWS, 20 serveurs, pipeline CI/CD.
Ce que Wazuh surveille :
- Logs CloudTrail (qui fait quoi sur AWS)
- Intégrité des conteneurs Docker
- Vulnérabilités des dépendances
- Conformité SOC 2 pour les audits clients
Déployer Wazuh avec InstantApp : 5 minutes chrono
Le problème de l'installation manuelle
Installer Wazuh manuellement est un processus long et complexe :
- Provisionner un serveur (Linux, minimum 8 GB RAM)
- Installer Wazuh Indexer (OpenSearch)
- Configurer les certificats TLS
- Installer Wazuh Manager
- Installer Wazuh Dashboard
- Configurer le reverse proxy (Nginx/Apache)
- Configurer SSL (Let's Encrypt)
- Sécuriser le serveur (firewall, fail2ban, mises à jour)
- Tester la connectivité des agents
Temps moyen : 2 à 4 heures pour un administrateur expérimenté. Plus si c'est votre première installation.
La solution InstantApp
Avec InstantApp, tout ce processus est entièrement automatisé :
- Créez votre compte sur instantapp.locordi.com
- Choisissez Wazuh dans le catalogue d'applications
- Sélectionnez votre plan (Pro ou Business)
- Validez — Le déploiement démarre automatiquement
En 5 minutes, vous disposez de :
- ✅ Un serveur Wazuh complet (Manager + Indexer + Dashboard)
- ✅ HTTPS configuré avec certificat SSL
- ✅ Firewall (UFW) et fail2ban pré-configurés
- ✅ Mises à jour de sécurité automatiques
- ✅ Dashboard accessible via votre sous-domaine personnalisé
- ✅ Scripts d'installation agents (Windows, Linux, macOS) prêts à télécharger
- ✅ Credentials d'accès envoyés par email sécurisé
Plans Wazuh InstantApp
| Wazuh Pro | Wazuh Business | |
|---|---|---|
| Prix | 149€/mois | 249€/mois |
| RAM | 16 GB | 32 GB |
| vCPU | 4 | 8 |
| Stockage SSD | 320 GB | 640 GB |
| Agents recommandés | Jusqu'à 100 | Jusqu'à 500 |
| Rétention logs | ~90 jours | ~180 jours |
| Idéal pour | PME, startups | ETI, MSP, multi-sites |
Ce qu'InstantApp inclut (et que vous n'avez pas à gérer)
| Aspect | InstantApp | Installation manuelle |
|---|---|---|
| Provisioning | Automatique (5 min) | Manuel (2-4h) |
| SSL/HTTPS | Let's Encrypt automatique | Configuration manuelle certbot |
| Firewall | UFW pré-configuré | Configuration manuelle |
| Mises à jour OS | Automatiques (unattended-upgrades) | À gérer vous-même |
| Anti brute-force | fail2ban pré-configuré | Configuration manuelle |
| Monitoring serveur | Dashboard InstantApp | À mettre en place |
| Sauvegardes | Option backup premium | À configurer |
| Support | Ticket + chat | Communauté uniquement |
| Scripts agents | Pré-générés, téléchargeables | À créer manuellement |
Installer un agent Wazuh : guide rapide
Une fois votre serveur Wazuh déployé via InstantApp, l'installation des agents est simple.
Windows (script fourni par InstantApp)
Depuis votre dashboard InstantApp, téléchargez le script d'installation Windows et exécutez-le en tant qu'administrateur. L'agent se configure automatiquement avec l'adresse de votre serveur Wazuh.
Linux (Debian/Ubuntu)
# Téléchargez et exécutez le script fourni par InstantApp
curl -sO https://votre-instance.locordi.com/agents/install-wazuh.sh
sudo bash install-wazuh.sh
macOS
# Téléchargez et exécutez le script fourni par InstantApp
curl -sO https://votre-instance.locordi.com/agents/install-wazuh-mac.sh
sudo bash install-wazuh-mac.sh
L'avantage InstantApp : les scripts d'installation sont pré-configurés avec l'adresse IP et le mot de passe d'enrollment de votre serveur. Aucune configuration manuelle nécessaire.
FAQ — Questions fréquentes sur Wazuh
Wazuh est-il vraiment gratuit ?
Oui, Wazuh est 100% open source sous licence GPLv2. Il n'y a aucune fonctionnalité payante, aucune limite d'agents, aucun coût de licence. Le seul investissement est le serveur qui l'héberge — c'est là qu'InstantApp propose des plans clés en main à partir de 149€/mois, tout compris.
Wazuh peut-il remplacer un antivirus ?
Wazuh n'est pas un antivirus au sens classique (il ne fait pas de scan de fichiers en temps réel comme Windows Defender). En revanche, il complète un antivirus en détectant les comportements malveillants, les modifications suspectes, les rootkits et les vulnérabilités. La combinaison antivirus + Wazuh offre une protection bien supérieure.
Combien d'agents Wazuh peut gérer un serveur ?
Cela dépend du matériel. Avec les plans InstantApp :
- Wazuh Pro (16 GB) : confortable jusqu'à 100 agents
- Wazuh Business (32 GB) : confortable jusqu'à 500 agents
Au-delà, une architecture multi-nœuds est recommandée.
Wazuh est-il compatible avec mon infrastructure ?
Wazuh supporte pratiquement tout :
- Serveurs : Linux (toutes distributions), Windows Server 2012+
- Postes : Windows 10/11, macOS 10.15+, Linux
- Cloud : AWS, Azure, GCP, Office 365
- Conteneurs : Docker, Kubernetes
- Réseau : logs syslog de tout équipement (firewall, switch, routeur)
Quelle est la différence entre Wazuh et un firewall ?
Un firewall bloque le trafic réseau non autorisé (prévention). Wazuh surveille ce qui se passe à l'intérieur de vos machines (détection). Ce sont deux couches complémentaires. InstantApp déploie d'ailleurs Wazuh avec un firewall (UFW) pré-configuré sur le serveur.
Comment Wazuh se compare à CrowdStrike ou SentinelOne ?
CrowdStrike et SentinelOne sont des EDR/XDR propriétaires (5-15€/agent/mois). Wazuh offre des fonctionnalités similaires gratuitement : détection endpoint, réponse active, analyse comportementale. La différence : CrowdStrike est plus mature sur l'analyse IA, mais Wazuh est infiniment plus personnalisable et sans coût de licence.
Est-ce que Wazuh impacte les performances des machines surveillées ?
L'agent Wazuh est très léger : 40-60 MB de RAM, moins de 1% CPU en moyenne. Il est conçu pour fonctionner 24/7 sans impacter les performances des serveurs de production ni les postes de travail.
Conclusion : Wazuh, le choix évident pour la cybersécurité
Wazuh s'est imposé comme la référence open source en matière de SIEM et XDR pour de bonnes raisons :
- Complet : SIEM + XDR + HIDS + vulnérabilités + conformité dans un seul outil
- Gratuit : pas de licence, pas de limite, pas de mauvaise surprise
- Éprouvé : +100 000 entreprises, +20 millions de téléchargements
- Extensible : règles personnalisées, intégrations, API REST complète
- Conforme : RGPD, PCI-DSS, HIPAA, NIST, ISO 27001 out-of-the-box
La seule barrière à l'adoption de Wazuh reste souvent la complexité de l'installation et de la maintenance. C'est exactement ce qu'InstantApp résout : en quelques clics, vous disposez d'un serveur Wazuh professionnel, sécurisé, maintenu et prêt à recevoir vos agents.
Ne laissez pas la complexité technique vous empêcher de sécuriser votre infrastructure. Déployez Wazuh en 5 minutes avec InstantApp →