Wazuh vs Suricata: Conformité NIS2 & Souveraineté 2026

La directive NIS2 impose aux organisations essentielles et importantes des exigences strictes en matière de détection des menaces et de notification des incidents. Pour les RSSI et CTO de PME/ESN, le choix d'une solution de détection et réponse (EDR) open source, souveraine et conforme devient un enjeu critique. Wazuh et Suricata émergent comme deux piliers de l'écosystème open source, mais leurs rôles et complémentarités restent souvent mal compris. Cet article analyse leurs capacités techniques, leur adéquation avec NIS2 et leur intégration dans une architecture souveraine.

#1. Wazuh : Plateforme XDR/SIEM centralisée

#1.1 Architecture et composants

Wazuh est une plateforme open source de détection et réponse étendue (XDR) et de gestion des événements de sécurité (SIEM). Son architecture modulaire repose sur quatre composants principaux [6] :

• Agent : Déployé sur les endpoints (Linux, Windows, macOS), il collecte logs, métriques et événements de sécurité.
• Manager : Centralise les données, applique les règles de détection et gère les alertes.
• Indexer : Basé sur OpenSearch (fork souverain d'Elasticsearch), il stocke et indexe les données pour l'analyse.
• Dashboard : Interface web pour la visualisation, l'investigation et la réponse aux incidents.

#1.2 Capacités de détection et conformité NIS2

Wazuh couvre plusieurs exigences clés de NIS2 :

• Surveillance continue : Collecte en temps réel des logs systèmes, applications et sécurité (authentification, modifications de fichiers, processus suspects).
• Détection des menaces : Règles de corrélation personnalisables pour identifier les comportements anormaux (ex : mouvements latéraux, exfiltration de données).
• Gestion des vulnérabilités : Intégration avec des bases de données CVE pour scanner les vulnérabilités logicielles.
• Notification des incidents : Alertes configurables (email, Telegram, API) avec un temps de livraison < 1 seconde [2], conforme aux délais NIS2 (≤ 24 h pour l'alerte précoce).

#1.3 Intégration avec d'autres outils

Wazuh s'intègre nativement avec :

• Suricata : Pour la détection réseau (voir section 3).
• MISP : Partage d'indicateurs de compromission (IOC).
• TheHive : Gestion des incidents et orchestration de la réponse.

Exemple de configuration pour l'intégration avec Suricata [5] :

# /etc/suricata/suricata.yaml
default-rule-path: /etc/suricata/rules
rule-files:
  - etpro.rules
af-packet:
  - interface: enp0s3

#2. Suricata : Détection réseau haute performance

#2.1 Fonctionnalités clés

Suricata est un moteur de détection et prévention d'intrusions réseau (IDS/IPS) open source, maintenu par l'Open Information Security Foundation (OISF). Ses atouts techniques incluent [3] :

• Multi-threading : Optimisé pour les processeurs multi-cœurs, capable d'analyser du trafic multi-gigabit.
• Détection de protocoles : Identification des couches applicatives indépendamment des ports (ex : HTTP sur port 8080).
• Journalisation EVE JSON : Logs structurés compatibles avec Elasticsearch/OpenSearch.
• Extraction de fichiers : Récupération de fichiers suspects depuis le trafic réseau pour analyse (sandboxing).

#2.2 Règles et performances

Suricata supporte :

• Règles Snort : Compatibilité avec les règles Emerging Threats et Proofpoint [3].
• Débit élevé : Jusqu'à 10 Gbps sur du matériel standard (selon benchmarks OISF).

Exemple de règle Suricata pour détecter une tentative d'exploitation :

alert tcp any any -> $HOME_NET 445 (msg:"ET EXPLOIT Possible EternalBlue Exploit"; flow:to_server,established; content:"|FF|SMB"; depth:4; content:"|00 00 00 09 00 02|"; distance:0; within:6; reference:cve,2017-0144; classtype:trojan-activity; sid:2024100; rev:1;)

#2.3 Conformité NIS2

Suricata répond aux exigences de surveillance réseau de NIS2 :

• Détection en temps réel : Analyse du trafic entrant/sortant pour identifier les attaques (ex : scans, exfiltration).
• Traçabilité : Logs détaillés pour les audits et rapports d'incidents (exigences de notification ≤ 72 h).

#3. Comparaison technique Wazuh vs Suricata

#4. Architecture souveraine pour NIS2

#4.1 Combinaison Wazuh + Suricata

Pour une couverture complète :

1. Déploiement :
   • Suricata sur les points de choke réseau (périmètre, zones critiques).
   • Agents Wazuh sur tous les endpoints (serveurs, postes de travail).
2. Centralisation :
   • Wazuh Manager agrège les alertes de Suricata et des agents.
   • OpenSearch stocke les données en France (souveraineté).

#4.2 Exemple de stack open source

graph TD
    A[Suricata] -->|Alertes réseau| B[Wazuh Manager]
    C[Agents Wazuh] -->|Logs endpoints| B
    B --> D[OpenSearch]
    D --> E[Wazuh Dashboard]
    E --> F[TheHive]

#4.3 Coûts et souveraineté

• Wazuh : 100 % open source, hébergement possible en France (ex : M-KIS SOC managé à 1 500 € + 800-2 500 €/mois).
• Suricata : Aucune licence, règles Emerging Threats gratuites.

#5. Recommandations pour les RSSI

#5.1 Critères de choix

• PME avec budget limité : Wazuh seul pour une couverture endpoints + SIEM.
• Organisations critiques (NIS2) : Wazuh + Suricata pour une détection réseau et endpoints.
• Exigences de souveraineté : Hébergement en France avec OpenSearch (pas d'Elasticsearch propriétaire).

#5.2 Étapes de déploiement

1. Audit gap : Identifier les écarts avec NIS2 (ex : M-KIS Audit gap ISO 27001 à 5-12 K€ HT).
2. Proof of Concept : Tester l'intégration Wazuh + Suricata avec la documentation officielle [5].
3. Formation : Former les équipes sur les règles de corrélation Wazuh et les signatures Suricata.

#Conclusion

Wazuh et Suricata sont des briques complémentaires pour répondre aux exigences NIS2 en open source. Leur combinaison offre une détection étendue (endpoints + réseau), une notification rapide des incidents et une souveraineté totale sur les données. Pour les organisations françaises, cette stack représente une alternative crédible aux solutions propriétaires, avec des coûts maîtrisés et une flexibilité adaptée aux PME/ESN.