SOC managé open source — Wazuh, agents IA, hébergement souverain
Wazuh, agents IA tri faux positifs, alerting 24/7. Hébergé en France ou chez vous. Pas de Cloud Act.
Le problème : trop de bruit, pas assez de signal
Un SOC interne classique est noyé sous les faux positifs. Un SOC externalisé chez les gros US coûte une fortune et expose vos logs au Cloud Act. Il y a une troisième voie.
Vos analystes passent leurs journées à confirmer du bruit. Pendant ce temps, les vraies attaques se noient dans la masse.
Trois rotations d'analystes, un lead, un manager, des outils licenciés. Hors de portée pour la plupart des PME et ETI.
Et les attaques arrivent à 3h du matin un dimanche. Les attaquants connaissent parfaitement vos horaires de bureau.
Une équipe qui craque rate l'essentiel. Le tri intelligent des alertes n'est plus une option, c'est un prérequis.
Notre solution : Wazuh + IA + escalade humaine
Une architecture lisible, 100 % open source, du endpoint à l'astreinte humaine. Vous voyez ce qui tourne, vous comprenez chaque maillon, vous gardez la main.
┌──────────────────────────────────────────────────┐
│ Endpoints (Linux / Windows / macOS / Cloud) │
└────────────────────────┬─────────────────────────┘
│ agents Wazuh
▼
┌──────────────────────────────────────────────────┐
│ Manager Wazuh — corrélation + règles MITRE │
└────────────────────────┬─────────────────────────┘
│ logs structurés
▼
┌──────────────────────────────────────────────────┐
│ OpenSearch — indexer + dashboards Grafana │
└────────────────────────┬─────────────────────────┘
│ alertes brutes
▼
┌──────────────────────────────────────────────────┐
│ Agent IA M-KIS — tri faux positifs (95 %) │
│ classification MITRE ATT&CK + runbook attaché │
└────────────────────────┬─────────────────────────┘
│ vraies alertes
▼
┌──────────────────────────────────────────────────┐
│ Escalade humaine 24/7 │
│ Mattermost · SMS · runbook · astreinte │
└──────────────────────────────────────────────────┘Agents Wazuh
Déployés sur Linux, Windows, macOS, conteneurs et workloads cloud. Collecte logs OS, intégrité fichiers, vulnérabilités, configuration.
Manager Wazuh
Corrélation, règles de détection, rulesets MITRE ATT&CK. Hébergé en France ou chez vous. Aucune donnée ne sort de votre périmètre.
OpenSearch
Indexer + dashboards. Recherche full-text sur tous vos logs, conservation longue durée, requêtes audit ISO 27001 / NIS2.
Agent IA M-KIS
Tri des alertes par modèles open source. Filtre 95 % des faux positifs, classifie selon MITRE ATT&CK, propose un runbook.
Escalade humaine 24/7
Les vraies alertes arrivent sur Mattermost / SMS / mail avec runbook attaché. Astreinte humaine confirme et engage la réponse.
Voyez l'IA classifier un log en moins d'une seconde
Collez un log brut Linux, Windows, firewall ou applicatif. L'agent IA M-KIS le qualifie en temps réel, propose un mapping MITRE ATT&CK, et génère un runbook d'investigation. Aucune installation, aucune inscription.
Tarification claire, par nombre d'endpoints
Tarif public, fixe, sans engagement de durée caché. Pas de surcoût par règle, pas de facturation au volume de logs surprise.
| Endpoints | Setup | Run mensuel | Inclus |
|---|---|---|---|
| 50 endpoints | 1 500 € | 800 € / mois | Détection 24/7, runbooks, escalade Mattermost |
| 100 endpointspopulaire | 1 500 € | 1 200 € / mois | + dashboard Grafana customisé, 1 audit trimestriel |
| 200 endpoints | 1 500 € | 1 800 € / mois | + revue mensuelle des règles, intégration ticketing client |
| 500 endpoints | 2 500 € | 2 500 € / mois | + RSSI temps partagé inclus 1 j / mois |
| 500+ endpoints | sur devis | sur devis | Hébergement dédié, multi-tenant possible |
Tous les paliers incluent l'infrastructure, le manager Wazuh, l'OpenSearch, l'agent IA, l'astreinte humaine 24/7 et les mises à jour mensuelles. Hébergement France inclus, on-premise sans surcoût de licence.
M-KIS SOC vs Vanta / Drata vs CrowdStrike
Trois approches très différentes du SOC managé. Voici les écarts qui comptent quand vous êtes une organisation française soumise à NIS2 ou ISO 27001.
| Critère | M-KIS SOC | Vanta / Drata | CrowdStrike |
|---|---|---|---|
| Open source auditable | |||
| Hébergement France | US | US | |
| Exposition Cloud Act | |||
| Coût annuel ~100 endpoints | ~14 K€ | 25-50 K€ | ~30 K€ |
| Tri IA des alertes | partiel | ||
| On-premise possible | |||
| Réversibilité (vous gardez la stack) | |||
| Auditeur ISO 27001 peut lire le code source |
SLA & engagements concrets
Pas de SLA marketing à trois étoiles. Des engagements opposables, contractualisés, mesurés mensuellement.
Détection critique < 15 min
Du log brut à la qualification IA en moins d'une seconde. De la qualification à l'alerte humaine en moins de quinze minutes.
Escalade humaine < 1 h
Astreinte humaine confirme, contextualise et engage la réponse. Communication directe sur Mattermost dédié à votre tenant.
Runbooks documentés et versionnés
Chaque playbook est dans un git auquel vous avez accès. Vous voyez ce qu'on fait, vous pouvez forker, vous pouvez auditer.
Réversibilité totale
Si vous partez : vous gardez Wazuh, OpenSearch, vos règles, vos politiques, vos logs. On documente la passation. Pas de lock-in.
Mises à jour règles mensuelles
Sigma rules, ruleset Wazuh communautaire, règles custom M-KIS. Versionnées, testées en staging avant prod.
Stack 100 % auditable
Wazuh, OpenSearch, Grafana, n8n, Mattermost. Modèles IA open source via OpenRouter ou Ollama on-premise. Tout est lisible.
Stack utilisée — 100 % open source
Aucun composant propriétaire fermé, aucun SaaS US dans le chemin critique. Tout est auditable, forkable, et déployable sur votre infra si vous le voulez.
Wazuh manager
SIEM/XDR core, corrélation, MITRE ATT&CK
OpenSearch
Indexer logs, dashboards, recherche full-text
Agents IA M-KIS
OpenRouter (modèles open source) ou Ollama on-premise
Grafana
Dashboards de pilotage, KPIs SOC
n8n
Orchestration runbooks, intégrations ticketing
Mattermost
Canal d'escalade chiffré, alternative open source à Slack
Modèles IA : par défaut OpenRouter pour l'accès à des modèles open source de qualité (Llama, Mistral, Qwen). Pour les clients on-premise stricts, déploiement Ollama local sur GPU dédié — aucun appel externe. L'équipe M-KIS configure et opère les deux modes.
Questions fréquentes
Les questions qu'on nous pose vraiment au premier rendez-vous. Si la vôtre n'y est pas, écrivez à l'équipe M-KIS.
Le SOC qui ne vous fait pas signer pour 3 ans
Open source, hébergé en France, réversible. Vous gardez la stack si vous partez. Discutons-en sur une démo de 30 minutes.
1 500 € setup · 800 à 2 500 € / mois · France ou on-premise · sans engagement de durée