#Wazuh vs OpenSearch : SIEM Open Source Souverain pour PME/ESN France
Les PME et ESN françaises font face à une double pression : l'augmentation des cybermenaces et l'entrée en vigueur de la directive NIS2, qui impose des obligations strictes de détection et de notification des incidents. Dans ce contexte, les solutions SIEM open source émergent comme une alternative souveraine et économique aux outils propriétaires. Cet article compare Wazuh et OpenSearch, deux solutions phares, en analysant leurs architectures, leurs fonctionnalités clés et leur adéquation aux besoins des organisations françaises.
#1. Wazuh : une plateforme SIEM/XDR tout-en-un
#1.1 Architecture et composants
Wazuh est une solution open source qui combine SIEM et XDR (Extended Detection and Response). Son architecture modulaire repose sur trois composants principaux :
- Wazuh Manager : cœur de la solution, responsable de l'analyse des logs et de la détection des menaces
- Wazuh Agents : déployés sur les endpoints (Linux, Windows, macOS) pour la collecte de données
- Wazuh Indexer : moteur de recherche basé sur Elasticsearch pour le stockage et l'indexation des données
#1.2 Fonctionnalités clés pour la cybersécurité
Wazuh offre une couverture complète des besoins SIEM :
- Analyse de logs : collecte et normalisation des logs système, réseau et applicatifs
- Détection d'intrusion : règles de corrélation basées sur signatures et analyse comportementale
- Gestion des vulnérabilités : scan des CVE et évaluation des risques
- File Integrity Monitoring (FIM) : surveillance des modifications de fichiers critiques
- Réponse active : scripts automatisés pour contenir les menaces
Selon une étude comparative publiée dans le Journal of Cybersecurity and Privacy [1], Wazuh présente le meilleur ratio performance/fonctionnalités parmi les SIEM open source testés, avec un débit de traitement des événements (EPS) supérieur à ses concurrents.
#1.3 Avantages pour les PME/ESN
- Coût maîtrisé : licence open source sans frais de licence
- Multi-OS natif : prise en charge des environnements hétérogènes
- Scalabilité progressive : adaptation aux besoins sans infrastructure complexe initiale
- Communauté active : documentation complète et support communautaire
#2. OpenSearch : moteur de recherche et visualisation
#2.1 Origine et positionnement
OpenSearch est un fork d'Elasticsearch et Kibana, développé sous l'égide d'Amazon Web Services. Il se compose de :
- OpenSearch Database : moteur de recherche et d'indexation
- OpenSearch Dashboards : interface de visualisation et d'analyse
Contrairement à Wazuh, OpenSearch n'est pas un SIEM natif mais un moteur de recherche qui peut être utilisé comme base pour construire une solution SIEM.
#2.2 Fonctionnalités de sécurité
OpenSearch propose des fonctionnalités de sécurité intégrées :
- Chiffrement : des données au repos et en transit
- Contrôle d'accès : gestion fine des permissions
- Audit logging : traçabilité des actions administratives
- Compliance : outils pour répondre aux exigences réglementaires
Le plugin ML Commons permet d'ajouter des capacités de machine learning pour la détection d'anomalies.
#2.3 Intégration avec d'autres outils
Pour construire un SIEM complet avec OpenSearch, il est nécessaire de l'intégrer avec d'autres outils open source :
- Suricata/Zeek : pour l'analyse réseau
- Wazuh : pour la collecte et l'analyse des logs
- MISP : pour le threat intelligence
Cette approche modulaire offre une grande flexibilité mais nécessite une intégration plus complexe que Wazuh seul.
#3. Comparaison technique détaillée
| Critère | Wazuh | OpenSearch |
|---|---|---|
| Type | SIEM/XDR complet | Moteur de recherche |
| Collecte de logs | Native (agents dédiés) | Nécessite des connecteurs |
| Détection | Règles intégrées + ML | ML via plugin (ML Commons) |
| Réponse aux incidents | Scripts actifs intégrés | Nécessite intégration SOAR |
| Visualisation | Via Kibana/OpenSearch Dashboards | OpenSearch Dashboards natif |
| Scalabilité | Cluster possible | Architecture distribuée native |
#4. Alignement avec les exigences NIS2
#4.1 Capacités de détection et notification
La directive NIS2 impose des délais stricts pour la notification des incidents :
- Alerte précoce : ≤ 24h
- Notification complète : ≤ 72h
- Rapport final : ≤ 1 mois
Wazuh répond à ces exigences grâce à :
- Alertes en temps réel : notification immédiate des événements critiques
- Tableaux de bord dédiés : suivi des incidents et génération de rapports
- Intégration avec TheHive : gestion des cas et workflows de réponse
OpenSearch peut également répondre à ces besoins mais nécessite une configuration plus poussée des alertes et des tableaux de bord.
#4.2 Gestion des vulnérabilités
NIS2 exige une gestion proactive des vulnérabilités. Wazuh inclut :
- Scan des CVE : identification des vulnérabilités connues
- Évaluation des risques : priorisation des correctifs
- Rapports de conformité : preuve de la gestion des vulnérabilités
OpenSearch peut stocker et visualiser les données de vulnérabilités mais ne dispose pas de scanner intégré.
#5. Recommandations pour les PME/ESN françaises
#5.1 Critères de choix
Le choix entre Wazuh et OpenSearch dépend des besoins spécifiques :
- Wazuh : solution clé en main pour les organisations cherchant un SIEM complet avec des capacités XDR
- OpenSearch : base flexible pour construire une solution sur mesure, idéale pour les organisations avec des besoins spécifiques ou une expertise interne
#5.2 Architecture souveraine recommandée
Pour une solution 100% souveraine et open source, M-KIS recommande :
- Wazuh pour la collecte, l'analyse et la détection
- OpenSearch pour le stockage et la visualisation
- TheHive pour la gestion des incidents
- MISP pour le threat intelligence
Cette architecture permet de couvrir l'ensemble du cycle de vie de la sécurité tout en respectant les principes de souveraineté numérique.
#5.3 Coûts et accompagnement
Le coût total de possession (TCO) des solutions open source est significativement inférieur aux solutions propriétaires comme Splunk ou IBM QRadar. M-KIS propose :
- Diagnostic NIS2 : 2 500 € HT
- Audit gap ISO 27001 : 5-12 K€ HT
- SOC managé open source : à partir de 1 500 € + 800-2 500 €/mois
#6. Conclusion
Wazuh et OpenSearch représentent deux approches complémentaires pour construire un SIEM open source souverain. Wazuh offre une solution intégrée prête à l'emploi, tandis qu'OpenSearch propose une base flexible pour une solution sur mesure. Pour les PME et ESN françaises, le choix dépendra des ressources internes disponibles et du niveau de personnalisation souhaité.
Dans tous les cas, l'adoption d'une solution open source permet de concilier :
- Conformité réglementaire (NIS2, RGPD)
- Maîtrise des coûts
- Souveraineté numérique
- Flexibilité d'évolution
Les organisations souhaitant aller plus loin peuvent s'appuyer sur des partenaires spécialisés comme M-KIS pour un accompagnement complet, du diagnostic initial à l'exploitation managée du SIEM.
Cet article vous parle ?
On accompagne PME, ESN et éditeurs SaaS dans leur conformité ISO 27001 / NIS2 — Lead Auditor certifié, tarifs publics, 100 % open source.