Conformité NIS2 avec Wazuh

/dans /par
Cybersécurité · NIS2 · Wazuh

Conformité NIS2 avec Wazuh.

La Belgique a été le premier pays de l'UE à transposer NIS2 en droit national. L'auto-évaluation est due avant le 18 avril 2026. Wazuh est un outil gratuit qui couvre une grande partie des mesures de surveillance et de détection exigées — mais pas toutes. Ce guide vous explique ce qu'il couvre, ce qu'il ne couvre pas, et comment préparer votre conformité.

12 min de lectureCybersécurité · Conformité

La loi du 26 avril 2024 transpose la directive européenne NIS2 en droit belge. Si votre organisation fournit des services essentiels — ou des technologies à une entité qui en fournit — vous êtes concerné. Les amendes peuvent atteindre 10 millions d'euros ou 2 % du chiffre d'affaires mondial. L'auto-évaluation doit être soumise au CCB avant le 18 avril 2026.

Wazuh est une plateforme de sécurité open source qui centralise les journaux d'activité de vos serveurs, détecte les comportements suspects et génère les preuves qu'un auditeur ou le CCB s'attend à trouver. Elle est gratuite, largement adoptée par des administrations publiques et des centres de recherche européens — dont le CERN — et chez SIXE nous la déployons dans des environnements de production configurés spécifiquement pour la conformité réglementaire.

0 €
Coût de licence Wazuh
10
Mesures NIS2 supportées
24h
Alerte précoce incident
4 000+
Entités NIS2 en Belgique
01 · Champ d'application

La loi NIS2 belge vous concerne-t-elle ?

La loi NIS2 belge s'applique aux entités essentielles (énergie, transports, santé, eau, infrastructures numériques, administration publique) et aux entités importantes (services postaux, gestion des déchets, alimentation, fabrication, chimie, fournisseurs numériques). Si vous fournissez des technologies ou des services à l'un de ces secteurs, vous pouvez également être concerné via les exigences relatives à la chaîne d'approvisionnement.

En Belgique, plus de 4 000 entités se sont déjà enregistrées auprès du CCB via Safeonweb@Work.

Touchez chaque carte pour savoir si NIS2 vous concerne
« Nous sommes un prestataire IT qui héberge les systèmes d'un hôpital belge. »
Touchez pour révéler
Oui, vous êtes concerné La santé est un secteur essentiel sous NIS2. En tant que fournisseur technologique de ce secteur, vous entrez dans le champ d'application via les exigences de la chaîne d'approvisionnement (article 21.2.d).
« Nous sommes une PME industrielle de 250 employés en Wallonie. »
Touchez pour révéler
Oui, entité importante La fabrication est classée « secteur important » sous NIS2. Les moyennes et grandes entreprises de ce secteur sont concernées. La supervision est réactive (après incident), mais les obligations sont réelles.
« Nous sommes un bureau de comptabilité de 10 personnes sans clients publics. »
Touchez pour révéler
Probablement pas Les petites entreprises hors des secteurs listés ne sont généralement pas concernées. Mais vérifiez vos contrats : si vous traitez des données pour des clients dans des secteurs essentiels, des exigences pourraient s'appliquer.
« Nous opérons un data centre en Belgique utilisé par des administrations publiques. »
Touchez pour révéler
Oui, entité essentielle Les fournisseurs d'infrastructures numériques (cloud, DNS, data centres) sont classés comme entités essentielles. Supervision proactive du CCB et obligations les plus strictes.
« Nous sommes un fournisseur d'énergie distribuant de l'électricité en Flandre et à Bruxelles. »
Touchez pour révéler
Oui, entité essentielle L'énergie est un secteur essentiel. Supervision proactive, signalement obligatoire d'incidents (24h/72h/1 mois), amendes jusqu'à 10 M€ ou 2 % du chiffre d'affaires mondial.

CyberFundamentals : le cadre belge de conformité NIS2

La Belgique a créé son propre cadre pour faciliter la mise en conformité : CyberFundamentals (CyFun®), développé par le CCB. Il comporte 4 niveaux de maturité — Small (7 contrôles), Basic (34), Important (132) et Essential (217). C'est une alternative pratique à ISO 27001, et 75 % des entités enregistrées l'ont choisi. L'auto-évaluation CyFun ou la documentation ISO 27001 doit être soumise au CCB avant le 18 avril 2026.

02 · Les exigences

NIS2 décrit des capacités de SIEM — sans utiliser le mot

Un SIEM (Security Information and Event Management) est un système qui centralise les journaux d'activité de tous vos serveurs et équipements, les analyse automatiquement pour détecter des comportements suspects, et génère des alertes lorsque quelque chose ne va pas. Imaginez une caméra de surveillance pour toute votre infrastructure informatique — mais qui comprend ce qu'elle voit.

NIS2 ne dit pas « installez un SIEM ». Mais l'article 21 exige des mesures qui, en pratique, nécessitent des capacités de type SIEM :

  • Gestion des incidents (art. 21.2.b) — détecter, traiter et signaler les incidents. NIS2 impose un signalement en trois étapes : alerte précoce sous 24 heures, notification sous 72 heures, rapport final sous un mois.
  • Gestion des risques (art. 21.2.a) — analyse des risques continue et politiques de sécurité des systèmes d'information.
  • Continuité des activités (art. 21.2.c) — gestion des sauvegardes, reprise après sinistre, gestion de crise.
  • Sécurité de la chaîne d'approvisionnement (art. 21.2.d) — sécurité des relations avec les fournisseurs directs.
  • Traitement des vulnérabilités (art. 21.2.e) — divulgation et gestion des vulnérabilités.
  • Surveillance et journalisation (art. 21.2.g/h) — politiques d'évaluation de l'efficacité des mesures, y compris la journalisation et la surveillance des systèmes.
L'essentiel

NIS2 ne prescrit pas d'outil spécifique. La directive prescrit des résultats — détection d'incidents, réponse, journalisation, gestion des risques. Utiliser Wazuh pour y parvenir est une décision technique et économique, pas une obligation réglementaire.

03 · Ce que Wazuh apporte

Quelles mesures NIS2 Wazuh supporte-t-il ?

Wazuh est une plateforme open source (gratuite) qui combine plusieurs fonctions de sécurité en un seul produit : centralisation des journaux, surveillance de l'intégrité des fichiers, détection de vulnérabilités, vérification de la configuration de vos serveurs, et réponse automatique aux menaces.

Exigence NIS2 / ISO 27001 Fonction Wazuh Ce que ça fait, concrètement
Détection d'incidents (art. 21.2.b)
Analyse des journaux
Collecte et corrèle les événements de tous les postes pour repérer les menaces
Réponse aux incidents (art. 21.2.b)
Réponse active
Bloque des IP, isole des machines ou arrête des processus automatiquement
Vulnérabilités (art. 21.2.e)
Détection de vulnérabilités
Identifie les logiciels avec des failles connues nécessitant une mise à jour
Journalisation (A.8.15)
Gestion centralisée des logs
Collecte, normalise et archive les journaux de tous les systèmes surveillés
Surveillance (A.8.16)
Surveillance continue
Surveillance 24h/24 de tous les agents avec tableaux de bord et alertes
Protection contre les logiciels malveillants (A.8.7)
FIM + YARA + VirusTotal
Surveillance de l'intégrité des fichiers, détection par signature
Configuration sécurisée (A.8.9)
Audit de configuration
Vérifie la conformité aux bonnes pratiques CIS Benchmarks
Contrôle d'accès
Détection d'accès
Détecte les tentatives de connexion par force brute et les accès suspects
Détection d'intrusion (art. 21.2.a)
Suricata + MITRE ATT&CK
IDS réseau avec règles personnalisées basées sur les techniques d'attaque connues
Évaluation de l'efficacité (art. 21.2.g)
Tableaux de bord
Métriques de conformité et opérationnelles en temps réel
Déplacez le curseur — quelle supervision selon votre catégorie ?
Entité importante Entité essentielle
Art. 21Toutes les mesures de sécurité (identiques)
Art. 23Signalement d'incidents (24h / 72h / 1 mois)
Art. 32Supervision proactive par le CCB
Art. 34Amendes jusqu'à 10 M€ ou 2 % du CA
Art. 32.5Responsabilité personnelle de la direction
CCBAudits aléatoires, inspections sur site
Entité importante — Mêmes obligations de sécurité que les entités essentielles, mais supervision réactive (le CCB enquête après un incident). Amendes jusqu'à 7 M€ ou 1,4 % du CA.

Un point essentiel : ce tableau montre les capacités techniques de Wazuh. Mais un outil ne « se conforme » pas à NIS2 — c'est votre organisation qui le fait. Wazuh est l'instrument ; les politiques, les procédures, la gouvernance et le plan de réponse aux incidents constituent le cadre qui lui donne une validité auprès du CCB ou d'un auditeur CyFun.

04 · Les limites

Ce que Wazuh ne fait PAS tout seul

C'est la section que la plupart des fournisseurs évitent. Et c'est celle qui renforce le plus la crédibilité.

Wazuh ne remplace pas

Un cadre de gestion des risques. NIS2 exige une analyse des risques formelle et continue. Wazuh détecte les menaces, mais n'évalue pas les risques métier.

La gouvernance et les politiques. Vous avez besoin de politiques de sécurité documentées et approuvées par la direction. L'article 20 de NIS2 rend la direction personnellement responsable.

Le signalement d'incidents. Wazuh détecte les incidents et conserve les preuves. Mais déposer l'alerte précoce sous 24h auprès du CCB est un processus organisationnel.

La sécurité de la chaîne d'approvisionnement. L'article 21.2.d exige de gérer les risques liés à vos fournisseurs. Wazuh surveille votre infrastructure, pas celle de vos sous-traitants.

La continuité des activités. Stratégie de sauvegarde, reprise après sinistre, gestion de crise — ce sont des capacités organisationnelles.

Une équipe qui analyse les alertes. Un SIEM que personne ne consulte est une caméra de surveillance avec l'écran éteint.

05 · Pas de certification produit

NIS2 ne certifie pas les produits — elle exige des résultats

Contrairement à certains cadres nationaux qui maintiennent des catalogues de produits « approuvés », NIS2 ne prescrit pas d'outils spécifiques. Il n'existe pas de label « SIEM certifié NIS2 ». La directive exige des organisations qu'elles mettent en place des mesures techniques et organisationnelles proportionnées aux risques.

En Belgique, le CCB propose le cadre CyberFundamentals comme voie structurée vers la conformité. Vous pouvez démontrer votre conformité soit via une évaluation CyFun (avec ses 4 niveaux), soit via une documentation ISO 27001. Wazuh s'intègre dans les deux approches comme composant technique de surveillance et de détection.

Clé pour l'audit

Tout déploiement de Wazuh pour NIS2 nécessite des procédures documentées reliant les données produites par l'outil à votre cadre de gestion des risques. La détection sans documentation est invisible pour un auditeur.

06 · Migration depuis un SIEM commercial

Migrer depuis Splunk ou QRadar sans perdre la conformité

Si votre organisation utilise un SIEM commercial dont le renouvellement approche, Wazuh est une alternative viable. La question n'est pas de savoir s'il fonctionne — mais comment migrer sans créer un trou dans vos preuves de conformité.

Du SIEM commercial à Wazuh — sans rupture de conformité
1
Inventaire des règles activesCelles que quelqu'un consulte réellement, pas celles livrées par défaut.
2
Traduction des règles vers WazuhRéécriture des règles personnalisées + création de décodeurs pour vos applications.
3
Export de l'historiqueArchivage des événements passés. Sans cela, l'auditeur voit un trou dans vos journaux.
4
Fonctionnement en parallèle (4 à 6 semaines)Les deux SIEM fonctionnent simultanément. Vérification que Wazuh capture tout.
5
Validation avec l'auditeurFacultatif mais recommandé. Obtenir le feu vert avant d'éteindre l'ancien système.
6
Arrêt + documentationTransition documentée dans vos registres de gestion des risques.

Chez SIXE, nous disposons d'une expertise forte en IBM QRadar avec de la formation officielle. Nous connaissons QRadar et Wazuh, et savons exactement quelles pièces doivent être reconstruites lors d'une migration.

07 · L'erreur que tout le monde fait

Installer Wazuh « tel quel » n'est pas être conforme à NIS2

Wazuh est livré avec plus de 3 000 règles de détection préconfigurées. La plupart ne s'appliquent pas à votre environnement. Si vous n'avez que des serveurs Linux mais laissez actives les règles Solaris et Windows Server 2012, vous obtenez du bruit : des alertes que personne ne comprend et que personne ne consulte.

Ce qui manque dans l'installation par défaut

Pas de tableau de bord NIS2 ni CyFun. Les tableaux livrés couvrent PCI DSS, HIPAA, GDPR et NIST. Pour NIS2/CyFun, il faut les construire : des panneaux regroupés par mesures de l'article 21.

Pas de décodeurs pour vos applications internes. Vos portails, processus batch, logiciels métier — sans décodeurs adaptés, ces journaux arrivent en texte brut et la corrélation perd tout son sens.

L'installation prend 1 à 2 jours. L'ajustement prend 4 à 6 semaines. L'installation est ce qui ressemble au projet. L'ajustement est le projet.

Si vous avez déjà Wazuh installé mais pas ajusté, dites-nous ce que vous avez — le diagnostic initial est sans engagement.

08 · Préparation

Ce que vous devez avoir prêt pour l'auto-évaluation CyFun

L'échéance du 18 avril 2026 approche. Que vous choisissiez CyberFundamentals ou ISO 27001 comme cadre, voici les documents et preuves que le CCB ou un organisme d'évaluation s'attend à trouver :

  • Documentation de gestion des risques — analyse formelle des risques liée aux mesures de l'article 21 que vous avez mises en œuvre.
  • Politique de rétention des journaux — durée de conservation, lieu de stockage et garantie d'intégrité. NIS2 ne fixe pas de durée minimale, mais la pratique courante est de 12 à 24 mois.
  • Procédures de réponse aux incidents — qui reçoit les alertes, comment les incidents sont triés, contenus et signalés dans les délais 24h/72h/1 mois.
  • Procédures de gestion des vulnérabilités — fréquence d'analyse, délai de correction, SLA par gravité.
  • Tableaux de bord NIS2/CyFun — vues de conformité regroupées par mesures, séparées des panneaux génériques.
  • Preuves archivées — exports périodiques d'événements critiques, configuration des règles, registre de modifications.
09 · Formation

Former votre équipe à opérer Wazuh pour NIS2

Un système de surveillance que personne ne consulte ne détecte pas les incidents — il les enregistre, c'est tout. Les compétences nécessaires pour opérer Wazuh dans un contexte de conformité sont spécifiques : lire les événements, créer des règles adaptées à votre environnement, préparer les preuves pour le CCB, et répondre aux incidents dans les délais réglementaires.

Formation Wazuh →

Résumé

L'essentiel, pour ceux qui manquent de temps

En 6 points

NIS2 décrit des capacités de SIEM dans son article 21 — gestion d'incidents, surveillance, journalisation, gestion des vulnérabilités.

Wazuh supporte 10 mesures NIS2 et ISO 27001 liées à la surveillance, la détection et la traçabilité.

Il n'existe pas de certification produit NIS2. Vous démontrez votre conformité via CyberFundamentals ou ISO 27001.

Wazuh ne remplace pas la gestion des risques, la gouvernance, le signalement d'incidents ni l'équipe qui analyse les alertes.

Installer n'est pas se conformer. L'écart entre « nous avons Wazuh » et « nous sommes prêts pour l'auto-évaluation » représente 4 à 6 semaines de travail sérieux.

Wazuh est gratuit. L'implémenter correctement ne l'est pas.

FAQ

Questions fréquentes

La loi NIS2 oblige-t-elle à avoir un SIEM ?

Pas nommément. Mais l'article 21 exige des capacités de gestion d'incidents, de surveillance continue et de journalisation qui, en pratique, ne peuvent être raisonnablement assurées qu'avec un SIEM ou une plateforme équivalente.

Wazuh est-il conforme à NIS2 ?

Wazuh apporte les capacités techniques pour soutenir la majorité des mesures de surveillance et de détection de l'article 21. Mais la conformité est démontrée par l'organisation — pas par un outil. Ce que le CCB valide, ce sont les politiques, procédures et preuves documentées.

Qu'est-ce que CyberFundamentals ?

CyberFundamentals (CyFun®) est le cadre de cybersécurité développé par le CCB comme voie pratique vers la conformité NIS2. Il comporte 4 niveaux (Small, Basic, Important, Essential) et 75 % des entités enregistrées en Belgique l'ont choisi.

Wazuh est-il certifié NIS2 ?

Il n'existe pas de certification produit NIS2. La directive prescrit des résultats, pas des outils. Vous choisissez vos outils et démontrez votre conformité via CyFun ou ISO 27001.

Quelle est l'échéance en Belgique ?

Les entités doivent soumettre leur auto-évaluation au CCB avant le 18 avril 2026. Cette évaluation peut prendre la forme d'une auto-évaluation CyberFundamentals ou d'une documentation ISO 27001.

En combien de temps faut-il signaler un incident ?

Trois étapes : alerte précoce sous 24 heures, notification sous 72 heures, rapport final sous un mois. Wazuh fournit les capacités de détection et de journalisation, mais le signalement au CCB est un processus organisationnel.

Sources

Références et réglementation citées

Directive (UE) 2022/2555 (NIS2). EUR-Lex

Loi belge du 26 avril 2024 — transposition NIS2. CCB Belgique

CyberFundamentals (CyFun®) — cadre de conformité du CCB. Safeonweb@Work

Wazuh — Ensuring NIS2 compliance. wazuh.com

ISO/IEC 27001:2022. iso.org

Wazuh — documentation officielle. documentation.wazuh.com

Catalogue complet de formation · SIXE.

Dernière mise à jour :

Wazuh + NIS2

Parlons de votre projet

Session technique de 30 minutes, sans engagement. Dites-nous quelle catégorie NIS2 vous concerne, ce que vous avez en place et quand votre auto-évaluation est prévue. Nous ressortons avec une esquisse d'architecture et les prochaines étapes.

Session technique Formation Wazuh
Chain of Thought : pourquoi votre IA ne raisonne pas
SIXE