Splunk Enterprise Security à 65 USD par GB indexé par mois (15 000 USD/an minimum). IBM QRadar à 50 000 USD/an entrée de gamme. Microsoft Sentinel à 4 USD par GB. Pour une PME africaine de 50 personnes avec quelques serveurs, ces prix sont prohibitifs. Wazuh est le SIEM open source qui s’est imposé en 2026 : détection intrusions, scan vulnérabilités CVE, monitoring intégrité fichiers, alertes en temps réel, conformité PCI DSS, GDPR, HIPAA, NIST. Auto-hébergé sur Hetzner CCX23 (28 €/mois) pour 50 endpoints monitorés.

Pourquoi Wazuh domine en 2026

Cinq raisons concrètes.

Coût. Wazuh open source GPLv2 gratuit. Splunk = 65 USD/GB/mois. Pour 50 endpoints générant 5 GB de logs/mois, Splunk = 325 USD/mois minimum. Wazuh = 28 €/mois total infrastructure.

Plus de 1 000 règles de détection incluses : détection malware, brute-force, scan ports, anomalies réseau, modifications fichiers critiques, exploits CVE connus.

HIDS + NIDS + Vulnerability scanner. Wazuh combine Host Intrusion Detection (logs + intégrité fichiers), Network IDS (Suricata intégré optionnel), et scan vulnérabilités CVE basé sur OS et softs installés.

Conformité. Templates PCI DSS, HIPAA, NIST 800-53, GDPR. Reports automatisés. Approche idéale pour PME devant audit ARTCI, CDP marocaine, NESA émiratie.

Architecture moderne. Wazuh Manager (Go) + OpenSearch (Java) + Wazuh Dashboard (React). API REST, plugins, intégrations Slack, PagerDuty, TheHive, MISP.

Concepts fondamentaux

Manager, agents, indexer, dashboard

Quatre composants :

Wazuh Manager : reçoit logs des agents, applique règles, génère alertes.
Wazuh Agents : installés sur chaque endpoint (Linux, Windows, macOS, Docker). Collectent logs, scan FIM, scan vulnérabilités.
Wazuh Indexer (OpenSearch) : stockage et recherche des alertes.
Wazuh Dashboard : interface web pour visualiser, configurer, alerting.

Rules et decoders

1 000+ règles préinstallées dans /var/ossec/ruleset/rules. Règles par niveau 0-15 (15 = critique). Decoders parsent les logs en champs structurés.

FIM : File Integrity Monitoring

Surveillance modifications fichiers critiques (/etc/passwd, /etc/shadow, /etc/ssh/sshd_config, /var/www/). Alerte sur création, modification, suppression.

Vulnerability scanning

Scan endpoints contre base CVE NVD. Détecte packages obsolètes ou avec CVE actif. Génère rapport de vulnérabilités par endpoint.

Active response

Réponse automatique : ban IP via firewall, isolation host, kill process. Configuration par règle.

MITRE ATT&CK mapping

Wazuh map ses détections au framework MITRE ATT&CK : tactics (Initial Access, Execution, Persistence) et techniques (T1059, T1021, etc.). Vue pédagogique pour SOC.

Vue d’ensemble pratique

1. Déploiement Manager

Hetzner CCX23 (28 €/mois) recommandé : OpenSearch demande 8+ Go RAM. Voir Déployer Wazuh sur VPS.

2. Déployer agents

Sur chaque VPS à monitorer, installer agent Wazuh + enregistrement automatique. Voir Déployer agents Wazuh sur multi-VPS.

3. Configurer FIM et règles

Voir FIM et scan vulnérabilités.

4. Conformité

Templates PCI DSS, GDPR. Voir Conformité PCI DSS, GDPR, ARTCI avec Wazuh.

Tutoriels du cluster Wazuh

Cas d’usage

Fintech avec compliance BCEAO

Fintech à Abidjan régulée par BCEAO : Wazuh monitore tous les serveurs API + DB. PCI DSS template active. Audit trimestriel BCEAO simplifié.

E-commerce gros trafic

Marketplace à Casablanca avec 500k visiteurs/mois : Wazuh détecte intrusions tentatives, scrape API, brute-force admin. Réponse automatique block IP.

Cabinet médical avec données sensibles

Cabinet à Tunis stockant dossiers patients : FIM sur dossiers + alertes accès anormal. Conformité loi tunisienne sur données santé.

ESN avec multiples clients

ESN à Casablanca avec 8 clients hébergés : un Manager Wazuh central, agents distribués. Vue unifiée incidents par client.

Coopérative agricole avec IoT

Coopérative au Burkina Faso avec 30 capteurs IoT : Wazuh monitore tous, détecte tentative compromission firmware.

Adaptation au contexte ouest-africain

Quatre adaptations.

Coût. 50 endpoints sur Splunk = 50 000 USD/an minimum. Wazuh = 336 €/an (CCX23). Économies massives.

Conformité régulateurs locaux. ARTCI ivoirienne, CDP marocaine, NESA émiratie demandent traçabilité incidents. Wazuh logs structurés répondent directement. Reports PCI DSS template adaptés à exigences BCEAO.

Latence agent → Manager. Agents en Afrique de l’Ouest, Manager Hetzner Falkenstein : latence 95-130 ms acceptable pour SIEM (events asynchrones).

Compétences locales. Formation Wazuh largement plus accessible que Splunk certifications. Documentation française communauté + tutoriels vidéo.

Erreurs fréquentes

Erreur	Cause	Solution
OpenSearch crash OOM	RAM insuffisante	CCX23 minimum (16 Go), allouer 8 Go heap
Agent ne se connecte pas	Port 1514/1515 firewall	UFW allow Manager IP
Alertes inondées	Règles trop sensibles	Tuner par exclusion ou level threshold
FIM CPU élevé	Trop de fichiers scannés	Whitelist /var/log et autres dossiers grossissants
Vulnerability scan obsolete	Vulnerability feed manquant	Vérifier `vulnerability_detector` enabled
Dashboard 404	Index Wazuh pas créé	Lancer `filebeat setup`

FAQ

Wazuh vs ELK Stack ? ELK généraliste, Wazuh spécialisé sécurité avec règles préinstallées. Wazuh inclut OpenSearch (fork Elasticsearch).

Capacité 50 endpoints ? CCX23 (16 Go RAM) confortable. 200+ endpoints = CCX33 (32 Go).

Cloud Wazuh ? Wazuh Cloud existe (à partir de 50 USD/mois 5 endpoints). Self-hosted plus économique au-delà.

Compatible Windows ? Oui, agents Windows officiel. Évent log + FIM + Sysmon parsing.

Active response dangereux ? Tester en mode warn-only avant enable block. Whitelist admin IPs.

SOC 24/7 ? Wazuh peut alerter via Slack/PagerDuty/Mattermost. SOC 24/7 nécessite équipe ou outsourcing MSSP.

MITRE ATT&CK navigator ? Wazuh dashboard intègre vue MITRE ATT&CK avec heatmap des techniques détectées.

Pour aller plus loin

Démarrer maintenant : Déployer Wazuh sur VPS
Documentation officielle : documentation.wazuh.com
GitHub : github.com/wazuh/wazuh

Wazuh 2026 : guide complet (SIEM open source pour PME francophone, alternative Splunk)