Splunk Enterprise Security à 65 USD par GB indexé par mois (15 000 USD/an minimum). IBM QRadar à 50 000 USD/an entrée de gamme. Microsoft Sentinel à 4 USD par GB. Pour une PME africaine de 50 personnes avec quelques serveurs, ces prix sont prohibitifs. Wazuh est le SIEM open source qui s’est imposé en 2026 (informations vérifiées en avril 2026, susceptibles d’évoluer) : détection intrusions, scan vulnérabilités CVE, monitoring intégrité fichiers, alertes en temps réel, conformité PCI DSS, GDPR, HIPAA, NIST. Auto-hébergé sur Hetzner CCX23 (28 €/mois) pour 50 endpoints monitorés.
Sommaire
- Pourquoi Wazuh en 2026
- Concepts fondamentaux
- Vue d’ensemble pratique
- Tutoriels du cluster
- Cas d’usage
- Adaptation au contexte ouest-africain
- Erreurs fréquentes
- FAQ
Pourquoi Wazuh domine en 2026
Cinq raisons concrètes.
Coût. Wazuh open source GPLv2 gratuit. Splunk = 65 USD/GB/mois. Pour 50 endpoints générant 5 GB de logs/mois, Splunk = 325 USD/mois minimum. Wazuh = 28 €/mois total infrastructure.
Plus de 1 000 règles de détection incluses : détection malware, brute-force, scan ports, anomalies réseau, modifications fichiers critiques, exploits CVE connus.
HIDS + NIDS + Vulnerability scanner. Wazuh combine Host Intrusion Detection (logs + intégrité fichiers), Network IDS (Suricata intégré optionnel), et scan vulnérabilités CVE basé sur OS et softs installés.
Conformité. Templates PCI DSS, HIPAA, NIST 800-53, GDPR. Reports automatisés. Approche idéale pour PME devant audit ARTCI, CDP marocaine, NESA émiratie.
Architecture moderne. Wazuh Manager (Go) + OpenSearch (Java) + Wazuh Dashboard (React). API REST, plugins, intégrations Slack, PagerDuty, TheHive, MISP.
Concepts fondamentaux
Manager, agents, indexer, dashboard
Quatre composants :
- Wazuh Manager : reçoit logs des agents, applique règles, génère alertes.
- Wazuh Agents : installés sur chaque endpoint (Linux, Windows, macOS, Docker). Collectent logs, scan FIM, scan vulnérabilités.
- Wazuh Indexer (OpenSearch) : stockage et recherche des alertes.
- Wazuh Dashboard : interface web pour visualiser, configurer, alerting.
Rules et decoders
1 000+ règles préinstallées dans /var/ossec/ruleset/rules. Règles par niveau 0-15 (15 = critique). Decoders parsent les logs en champs structurés.
FIM : File Integrity Monitoring
Surveillance modifications fichiers critiques (/etc/passwd, /etc/shadow, /etc/ssh/sshd_config, /var/www/). Alerte sur création, modification, suppression.
Vulnerability scanning
Scan endpoints contre base CVE NVD. Détecte packages obsolètes ou avec CVE actif. Génère rapport de vulnérabilités par endpoint.
Active response
Réponse automatique : ban IP via firewall, isolation host, kill process. Configuration par règle.
MITRE ATT&CK mapping
Wazuh map ses détections au framework MITRE ATT&CK : tactics (Initial Access, Execution, Persistence) et techniques (T1059, T1021, etc.). Vue pédagogique pour SOC.
Vue d’ensemble pratique
1. Déploiement Manager
Hetzner CCX23 (28 €/mois) recommandé : OpenSearch demande 8+ Go RAM. Voir Déployer Wazuh sur VPS.
2. Déployer agents
Sur chaque VPS à monitorer, installer agent Wazuh + enregistrement automatique. Voir Déployer agents Wazuh sur multi-VPS.
3. Configurer FIM et règles
Voir FIM et scan vulnérabilités.
4. Conformité
Templates PCI DSS, GDPR. Voir Conformité PCI DSS, GDPR, ARTCI avec Wazuh.
Tutoriels du cluster Wazuh
- Déployer Wazuh sur VPS Hetzner
- Déployer agents Wazuh sur multi-VPS
- FIM et scan vulnérabilités
- Conformité PCI DSS, GDPR, ARTCI
Cas d’usage
Fintech avec compliance BCEAO
Fintech à Abidjan régulée par BCEAO : Wazuh monitore tous les serveurs API + DB. PCI DSS template active. Audit trimestriel BCEAO simplifié.
E-commerce gros trafic
Marketplace à Casablanca avec 500k visiteurs/mois : Wazuh détecte intrusions tentatives, scrape API, brute-force admin. Réponse automatique block IP.
Cabinet médical avec données sensibles
Cabinet à Tunis stockant dossiers patients : FIM sur dossiers + alertes accès anormal. Conformité loi tunisienne sur données santé.
ESN avec multiples clients
ESN à Casablanca avec 8 clients hébergés : un Manager Wazuh central, agents distribués. Vue unifiée incidents par client.
Coopérative agricole avec IoT
Coopérative au Burkina Faso avec 30 capteurs IoT : Wazuh monitore tous, détecte tentative compromission firmware.
Côté terrain : Sénégal et zone CEDEAO
Quatre adaptations.
Coût. 50 endpoints sur Splunk = 50 000 USD/an minimum. Wazuh = 336 €/an (CCX23). Économies massives.
Conformité régulateurs locaux. ARTCI ivoirienne, CDP marocaine, NESA émiratie demandent traçabilité incidents. Wazuh logs structurés répondent directement. Reports PCI DSS template adaptés à exigences BCEAO.
Latence agent → Manager. Agents en Afrique de l’Ouest, Manager Hetzner Falkenstein : latence 95-130 ms acceptable pour SIEM (events asynchrones).
Compétences locales. Formation Wazuh largement plus accessible que Splunk certifications. Documentation française communauté + tutoriels vidéo.
Erreurs fréquentes
| Erreur | Cause | Solution |
|---|---|---|
| OpenSearch crash OOM | RAM insuffisante | CCX23 minimum (16 Go), allouer 8 Go heap |
| Agent ne se connecte pas | Port 1514/1515 firewall | UFW allow Manager IP |
| Alertes inondées | Règles trop sensibles | Tuner par exclusion ou level threshold |
| FIM CPU élevé | Trop de fichiers scannés | Whitelist /var/log et autres dossiers grossissants |
| Vulnerability scan obsolete | Vulnerability feed manquant | Vérifier vulnerability_detector enabled |
| Dashboard 404 | Index Wazuh pas créé | Lancer filebeat setup |
FAQ
Wazuh vs ELK Stack ? ELK généraliste, Wazuh spécialisé sécurité avec règles préinstallées. Wazuh inclut OpenSearch (fork Elasticsearch).
Capacité 50 endpoints ? CCX23 (16 Go RAM) confortable. 200+ endpoints = CCX33 (32 Go).
Cloud Wazuh ? Wazuh Cloud existe (à partir de 50 USD/mois 5 endpoints). Self-hosted plus économique au-delà.
Compatible Windows ? Oui, agents Windows officiel. Évent log + FIM + Sysmon parsing.
Active response dangereux ? Tester en mode warn-only avant enable block. Whitelist admin IPs.
SOC 24/7 ? Wazuh peut alerter via Slack/PagerDuty/Mattermost. SOC 24/7 nécessite équipe ou outsourcing MSSP.
MITRE ATT&CK navigator ? Wazuh dashboard intègre vue MITRE ATT&CK avec heatmap des techniques détectées.
Pour explorer plus loin
- Démarrer maintenant : Déployer Wazuh sur VPS
- Documentation officielle : documentation.wazuh.com
- GitHub : github.com/wazuh/wazuh
Où héberger votre projet web ?
Hostinger propose des plans dimensionnés pour les freelances et PME. Lien d’affiliation — pas de surcoût pour vous.
Lien d affiliation. Si vous achetez via ce lien, le blog reçoit une petite commission sans surcoût pour vous.
Étape 1 : Préparer le serveur Wazuh
Wazuh 4.x s’installe sur un serveur dédié. Pour une PME de 50 postes à Dakar ou Abidjan, prévoir 8 vCPU, 16 Go RAM, 200 Go SSD. Ubuntu 22.04 LTS reste la plateforme la mieux documentée par l’éditeur. Mettez à jour avant toute installation pour éviter les conflits de paquets et les vulnérabilités connues du noyau.
sudo apt update && sudo apt upgrade -y
sudo apt install curl gnupg2 -yLe test concluant est l’absence d’erreurs apt et la version Ubuntu confirmée par lsb_release -a. Si le serveur tourne sur Ubuntu 20.04, planifiez la mise à niveau avant de continuer.
Étape 2 : Installation tout-en-un avec le script officiel
Le script wazuh-install.sh installe le manager, l’indexer (OpenSearch) et le dashboard en quelques minutes. C’est l’option recommandée pour démarrer rapidement, surtout pour un premier POC chez un client à Yopougon ou aux Almadies.
curl -sO https://packages.wazuh.com/4.9/wazuh-install.sh
sudo bash ./wazuh-install.sh -aL’installation prend 10 à 15 minutes selon les performances du serveur. À la fin, le script affiche les identifiants admin pour le dashboard, à conserver en lieu sûr (gestionnaire type Bitwarden self-hosted ou KeePassXC).
Étape 3 : Accéder au dashboard Wazuh
Ouvrez https://IP_SERVEUR sur le port 443. Acceptez le certificat auto-signé en lab, mais en production utilisez un certificat Let’s Encrypt via reverse proxy nginx. Un certificat valide est indispensable pour éviter les avertissements navigateur côté équipe SOC.
Connectez-vous avec admin et le mot de passe affiché par le script. Vous arrivez sur l’aperçu général. Aucun agent n’est encore connecté, c’est normal à ce stade de la procédure.
Étape 4 : Déployer le premier agent Linux
Sur un serveur web Ubuntu hébergé au Plateau, installer l’agent Wazuh pour collecter logs auth, syslog et fichiers d’intégrité. La détection d’élévation de privilèges sudo et la surveillance de /etc/passwd sont activées par défaut.
curl -s https://packages.wazuh.com/key/GPG-KEY-WAZUH | sudo gpg --no-default-keyring --keyring gnupg-ring:/usr/share/keyrings/wazuh.gpg --import
sudo chmod 644 /usr/share/keyrings/wazuh.gpg
echo "deb [signed-by=/usr/share/keyrings/wazuh.gpg] https://packages.wazuh.com/4.x/apt/ stable main" | sudo tee /etc/apt/sources.list.d/wazuh.list
sudo apt update && sudo WAZUH_MANAGER="IP_MANAGER" apt install wazuh-agent -y
sudo systemctl enable --now wazuh-agentRetournez au dashboard, le nouvel agent doit apparaître en statut Active dans Agents Management dans les 60 secondes.
Étape 5 : Déployer un agent Windows
Téléchargez wazuh-agent-4.9.x.msi depuis packages.wazuh.com et installez-le sur un poste Windows 11 d’un comptable à Yopougon ou Cotonou. L’installation MSI permet un déploiement automatisé via GPO ou Intune.
msiexec.exe /i wazuh-agent-4.9.0.msi /q WAZUH_MANAGER="IP_MANAGER" WAZUH_AGENT_GROUP="bureautique"
NET START WazuhSvcL’agent remonte les Event Logs Windows (Security, System, Application), parfait pour détecter une connexion RDP suspecte ou une tentative d’accès aux ressources partagées.
Étape 6 : Activer la détection vulnérabilités
Wazuh 4.9 intègre un scanner de vulnérabilités basé sur les CVE des distributions. Activez-le dans /var/ossec/etc/ossec.conf du manager. Le module corrèle inventaire logiciel et bases CVE officielles pour générer des rapports actionnables.
<vulnerability-detection>
<enabled>yes</enabled>
<index-status>yes</index-status>
</vulnerability-detection>Redémarrez wazuh-manager. Au bout d’une heure, l’onglet Vulnerabilities du dashboard liste les CVE détectées sur chaque agent avec scoring CVSS et lien vers le bulletin officiel.
Étape 7 : Configurer les alertes par e-mail
Pour qu’un admin SOC à Almadies reçoive une alerte sur une force brute SSH, configurez le bloc global du manager. SMTP avec authentification est recommandé, et le port 587 STARTTLS reste le standard sécurisé pour le relai.
<global>
<email_notification>yes</email_notification>
<smtp_server>smtp.example.sn</smtp_server>
<email_from>wazuh@example.sn</email_from>
<email_to>soc@example.sn</email_to>
</global>Testez en simulant 5 échecs SSH consécutifs. Une alerte de niveau 10 doit arriver en moins de 60 secondes dans la boîte mail SOC, sinon revoir la conf SMTP.
Étape 8 : Comparer Wazuh à Splunk pour PME
Splunk Enterprise coûte typiquement 1 800 USD par an et par 1 Go ingéré quotidien, soit environ 1,18 million FCFA par an pour un volume modeste. Wazuh est gratuit, l’investissement principal est en formation interne (compter 15 jours pour un sysadmin déjà expérimenté Linux). Pour une PME francophone à Bamako ou Cotonou, le ROI est immédiat.
Voir aussi notre guide cybersécurité pour le périmètre complet d’un SOC interne.
Étape 9 : Sauvegarde et haute disponibilité
Snapshotez chaque nuit /var/ossec et l’index OpenSearch. Pour un cluster HA, déployez 3 nœuds indexer et 2 manager (master/worker) avec keepalived. Documentez le runbook de restauration et testez-le tous les trimestres avec un exercice de bascule.
Étape 10 : Checklist production finale
Certificat valide, fail2ban sur le port 1514, rotation logs OpenSearch, alerting Slack ou WhatsApp Business via webhook, audit trimestriel des règles. Avec ce socle, votre PME francophone à Bamako, Cotonou ou Dakar dispose d’un SOC opérationnel à coût maîtrisé, autour de 2 millions FCFA pour la première année hors infrastructure.
Étape 11 : Aller plus loin sur le terrain
Pour approfondir le sujet, prévoyez un atelier interne de 2 heures avec votre équipe à Dakar, Abidjan, Bamako ou Cotonou. Documentez les écarts entre théorie et pratique terrain, ajustez vos procédures internes, et mesurez l’impact sur 30 jours. Le retour sur investissement d’un tel atelier dépasse souvent 500 000 FCFA (environ 762 EUR au taux 1 EUR = 655,957 FCFA) en gains de productivité ou en réduction d’incidents critiques.
Pensez aussi à former un binôme interne pour pérenniser la compétence au-delà du prestataire externe et constituer une mémoire technique solide.
Enfin, archivez chaque décision dans un wiki interne (Notion, Outline, BookStack) afin que les nouveaux arrivants puissent monter en compétence rapidement sans repartir de zéro.
Étape 11 : Aller plus loin sur le terrain
Pour approfondir le sujet, prévoyez un atelier interne de 2 heures avec votre équipe à Dakar, Abidjan, Bamako ou Cotonou. Documentez les écarts entre théorie et pratique terrain, ajustez vos procédures internes, et mesurez l’impact sur 30 jours.
Le retour sur investissement d’un tel atelier dépasse souvent 500 000 FCFA (environ 762 EUR au taux 1 EUR = 655,957 FCFA) en gains de productivité ou en réduction d’incidents critiques sur l’infrastructure existante.
Étape 12 : Constituer une mémoire technique
Pensez à former un binôme interne pour pérenniser la compétence au-delà du prestataire externe. Archivez chaque décision dans un wiki interne (Notion, Outline, BookStack) afin que les nouveaux arrivants puissent monter en compétence rapidement sans repartir de zéro.
Pour les équipes de 5 personnes ou plus à Dakar ou aux Almadies, ajoutez un canal Slack ou Mattermost dédié au partage des incidents techniques résolus, ce qui multiplie la valeur du retour d’expérience collectif.
Une revue annuelle de la documentation technique évite l’obsolescence et maintient la qualité opérationnelle au plus haut niveau exigible.
Étape 13 : Communiquer les résultats à la direction
Après chaque chantier technique, présentez à la direction un tableau synthétique en une page incluant indicateurs avant et après, coût d’implémentation, gain mesurable et prochaines étapes recommandées. Cette discipline transforme la perception de l’IT comme centre de coût en partenaire stratégique de la croissance.
Les dirigeants de PME au Plateau, à Yopougon ou à Cotonou apprécient particulièrement les chiffres concrets exprimés en FCFA et en pourcentage de gain. Au taux 1 EUR égal 655,957 FCFA, un gain de productivité de 100 000 FCFA par mois représente environ 152 EUR récurrents, soit 1 800 EUR par an.
Documentez aussi les risques résiduels et le plan de mitigation associé, pour montrer la maîtrise complète du sujet et anticiper les questions des comités de pilotage trimestriels.