Wazuh : le SIEM open source qui répond à NIS2 sans le prix de Splunk

/dans /par
SIEM & XDR · Avril 2026

Wazuh : le SIEM open source qui répond à NIS2 sans le prix de Splunk.

En deux ans, Cisco a racheté Splunk pour 28 milliards de dollars et Palo Alto Networks a racheté les actifs SaaS de QRadar. Pendant ce temps, Wazuh est resté indépendant, a dépassé les 10 millions de téléchargements annuels et a lancé en juin 2025 une fonctionnalité de threat hunting basée sur un LLM exécuté en local. Voici pourquoi cela change la conversation SIEM en 2026.

Avril 202612 min de lecture

Voici une conversation que nous avons plusieurs fois par mois chez SIXE depuis fin 2024. Un directeur des systèmes ou un RSSI nous appelle, en général avec un peu de fatigue dans la voix, et dit une variante de la même chose : « notre contrat Splunk arrive à échéance et le budget de l'année prochaine ne suivra pas », ou bien « nous sommes sur QRadar SaaS et IBM nous a annoncé qu'il faut migrer vers Cortex XSIAM, mais nous ne sommes pas sûrs que ce soit ce que nous voulons ». Et de plus en plus souvent, depuis que la transposition de NIS2 est devenue une obligation concrète : « nous devons démontrer une supervision de sécurité réelle d'ici la fin de l'année et nous n'avons aucune solution en place ».

Ce n'est pas une coïncidence. Le marché du SIEM commercial a plus changé en 24 mois que durant la décennie précédente. Et au milieu de tout ce mouvement, il y a une brique qui est restée exactement où elle était. Elle n'est cotée à aucune bourse, personne ne l'a rachetée, et entre-temps elle n'a cessé de croître. Elle s'appelle Wazuh.

Le contexte 2024-2026

La carte du SIEM qui a changé en 24 mois

Si vous travaillez en sécurité défensive depuis quelques années, vous savez que le marché du SIEM commercial a toujours été conservateur. Les grands acteurs bougeaient peu. Les clients supportaient des contrats douloureux parce que migrer un SIEM est un projet sérieux, et personne ne le fait par plaisir. Et puis, entre le printemps 2024 et l'été 2025, trois choses se sont produites qui ont brisé cet équilibre.

Mars 2024 — Cisco rachète Splunk pour 28 milliards de dollars

L'opération la plus chère de l'histoire du SIEM. Cisco a payé 157 dollars par action, bien au-dessus du cours de Splunk plus tôt dans l'année. Avant la clôture de l'opération, Splunk a licencié 7 % de ses effectifs — environ 560 personnes — dans une restructuration mondiale. Les enquêtes d'analystes juste avant le rachat indiquaient déjà que 22 % des clients envisageaient de changer de fournisseur en cas de hausse de prix après l'acquisition. Ceux d'entre nous qui ont vu ce type d'opération se dérouler savent ce qui suit en général : pression interne pour rentabiliser un prix d'achat élevé, changements de roadmap, et renouvellements de contrat de plus en plus tendus.

Mai-septembre 2024 — Palo Alto Networks rachète les actifs SaaS de QRadar

Celle-ci, personne ne l'avait vue venir. En mai 2024, IBM et Palo Alto Networks ont annoncé que Palo Alto rachetait les actifs SaaS de QRadar pour environ 500 millions de dollars, avec une clôture confirmée en septembre. Forrester l'a résumé en une phrase que les clients sont encore en train de digérer : à l'expiration des contrats, les clients QRadar SaaS doivent migrer vers Cortex XSIAM ou partir vers un autre fournisseur. Ce n'est pas une opinion, c'est le plan officiel de transition.

IBM continue de maintenir QRadar on-premise — correctifs, mises à jour critiques, nouveaux connecteurs — donc les clients qui ont leurs propres installations ne sont pas abandonnés du jour au lendemain. Mais le message de fond que les comités de sécurité lisent est clair : l'investissement lourd ne va plus vers QRadar, il va vers XSIAM et Precision AI. Beaucoup utilisent ce signal pour repenser leur stratégie SOC à moyen terme.

Pendant ce temps — Wazuh dépasse les 10 millions de téléchargements annuels

Cela n'a pas fait la une des journaux, parce que Wazuh n'a pas une machine de communication comparable à celle de Cisco ou Palo Alto. Mais les chiffres sont là. Selon les données que le projet publie lui-même, Wazuh dépasse les 10 millions de téléchargements annuels, possède l'une des plus grandes communautés de sécurité open source au monde, et a déployé en juin 2025 une fonctionnalité qu'aucun de ses concurrents commerciaux ne propose encore sans licence supplémentaire : le threat hunting assisté par un grand modèle de langage exécuté en local. Nous y revenons plus loin.

Une note importante sur QRadar. Chez SIXE, nous continuons à fournir le support et la formation officielle IBM QRadar, et nous allons continuer tant qu'il y aura des clients avec des déploiements actifs. QRadar on-prem reste un outil solide pour les équipes qui l'ont déjà en production et veulent en tirer le meilleur. Mais si vous lancez un nouveau projet SIEM en 2026, ou si vous avez QRadar SaaS et que le contrat arrive à échéance, la conversation qui a du sens aujourd'hui est différente. Et elle passe par Wazuh bien plus souvent qu'il y a deux ans.
Le produit

Qu'est-ce que Wazuh (au-delà du « c'est gratuit »)

Si Wazuh n'était qu'un collecteur de logs bon marché, cette conversation serait différente. Ce n'est pas le cas. Wazuh est une plateforme qui unifie, dans un même agent et une même pile logicielle, un ensemble de fonctions que le reste du marché vend dans des boîtes séparées : SIEM, XDR, détection sur endpoint, intégrité des fichiers, scan de vulnérabilités CVE, audit de configuration contre CIS, conformité réglementaire et réponse active. Le tout avec le même agent qui tourne sur Linux, Windows, macOS, conteneurs Docker ou machines virtuelles.

Voici ce qui se passe concrètement quand un agent Wazuh est déployé sur l'un de vos serveurs :

  • Collecte et corrèle les logs en temps réel. Syslog, auditd, Windows Event Log, applicatif — tout cela avec des decoders natifs. L'agent envoie les données chiffrées au manager central, qui évalue les règles, corrèle entre hôtes et déclenche des alertes le cas échéant.
  • Surveille l'intégrité des fichiers et de la configuration. Toute modification dans /etc, dans le registre Windows, dans les binaires système ou dans les fichiers que vous marquez comme sensibles déclenche immédiatement une alerte. C'est de la détection de manipulation, et c'est l'une des fonctions qu'on payait à part jusqu'ici.
  • Scanne les vulnérabilités contre des bases CVE actualisées. Wazuh croise l'inventaire des paquets installés avec les flux officiels des éditeurs et les bases CVE publiques, et vous indique quelles machines doivent être patchées et avec quelle priorité. Sans payer Tenable ou Qualys en supplément.
  • Audite la configuration contre les CIS Benchmarks. Chaque agent exécute des évaluations périodiques de durcissement contre les politiques CIS ou vos politiques internes, et produit le rapport de conformité prêt à présenter à un auditeur.
  • Réagit activement. Blocage automatique d'IP, kill de processus suspects, isolation d'un hôte, exécution de scripts personnalisés. Sans que personne ne touche au clavier à trois heures du matin.
  • Cartographie tout sur MITRE ATT&CK. Chaque règle déclenchée est étiquetée avec la technique et la tactique ATT&CK correspondantes, ce qui rend les tableaux de bord pour l'analyste SOC bien plus utiles que les écrans génériques de la plupart des outils.
┌──────────────────────────────────────────────┐ Wazuh Manager (analysis engine · rules · response) └──────┬──────────────┬──────────────┬─────────┘ ┌────▼─────┐ ┌─────▼─────┐ ┌────▼──────┐ Agents │ │ Indexer │ │ Dashboard linux │ │ cluster │ │ windows │ │ OpenSearch│ │ MITRE macos │ │ │ │ compliance docker │ │ → shards │ │ SOC view k8s │ │ → HA │ │ └──────────┘ └───────────┘ └───────────┘

La pile est solide et éprouvée en production. Un article académique publié par Springer en avril 2026 évalue des architectures Wazuh distribuées en haute disponibilité, avec une gestion de pics d'ingestion bien au-dessus de la moyenne EPS, et conclut — avec les mots prudents habituels du monde académique — que les solutions SIEM open source bien conçues peuvent égaler, et sur certains aspects dépasser, les plateformes commerciales. Dit plus simplement : quand quelqu'un qui ne vend pas Wazuh évalue Wazuh avec méthode, les résultats tiennent la route.

La nouveauté de l'année

L'atout caché : threat hunting avec un LLM local

En juin 2025, presque sans bruit, Wazuh a intégré une capacité qui change la façon de travailler d'un analyste SOC : le threat hunting assisté par un grand modèle de langage exécuté en local. Pas dans le cloud d'OpenAI. En local. Dans votre propre infrastructure.

Pourquoi est-ce important ? Parce que tous les « SIEM avec IA » que le marché commercial a lancés — Cortex XSIAM avec Precision AI, Splunk et sa propre suite, les nouveautés de QRadar avant la vente — fonctionnent en envoyant vos logs vers les modèles de l'éditeur. Et dans beaucoup de cas, c'est précisément ce que le client n'a pas le droit de faire pour des raisons réglementaires. Si vos logs contiennent des données de patients, des informations de clients bancaires, ou des données classifiées d'une administration publique, les envoyer vers un LLM dans le cloud d'un fournisseur tiers n'est pas négociable — vous ne pouvez tout simplement pas.

L'approche de Wazuh contourne ce problème. Vous choisissez le modèle. Vous le déployez où vous voulez. Vos données ne sortent pas. Et les requêtes ressemblent exactement à ce qu'un analyste formulerait en langage naturel : « montre-moi toutes les tentatives d'élévation de privilèges du dernier mois corrélées avec des comptes de service », « résume les événements de cet hôte sur les 24 dernières heures et priorise ce qui est anormal », « est-ce qu'il y a quelque chose dans ces logs qui ressemble à la TTP T1078 de MITRE ? ».

Notre point de vue chez SIXE

C'est exactement la ligne sur laquelle nous travaillons depuis quelque temps du côté infrastructure — des LLM qui tournent on-premise, sans rien envoyer dans aucun cloud, pour des environnements qui manipulent des données sensibles. Nous l'avons appliqué sur IBM Power, sur AIX, et sur des clusters Ceph et Kubernetes pour de l'inférence privée. Quand nous avons vu Wazuh prendre la même direction côté SOC, c'est devenu l'une des raisons pour lesquelles nous misons encore plus fort sur la plateforme. Si le côté « infrastructure » de cette histoire vous intéresse, nous le détaillons sur notre page inférence d'IA souveraine on-premise.

Le comparatif

Wazuh face à Splunk, QRadar et XSIAM en 2026

Sans discours marketing, voici l'état actuel des quatre acteurs qui reviennent dans la majorité des conversations que nous avons. Les chiffres et les statuts sont vérifiables à la date de publication de cet article.

PlateformeÉtat en 2026Modèle commercial
WazuhIndépendant. Aucune acquisition, aucune levée de fonds, croissance des téléchargements et de la communauté.Open source AGPLv3. Aucun coût de licence. Wazuh Cloud en option.
SplunkPropriété de Cisco depuis mars 2024. Réduction des effectifs de 7 % avant clôture. Intégration en cours.Au volume de données ingérées (Go/jour). Coût élevé, pression sur les renouvellements.
QRadar SaaSVendu à Palo Alto Networks en 2024. Migration obligatoire vers Cortex XSIAM à l'expiration des contrats.Destination Cortex XSIAM. Migration gratuite pour les « clients éligibles ».
QRadar on-premMaintenu par IBM. Correctifs, connecteurs, sans grandes nouveautés fonctionnelles.Licence IBM par EPS. Support officiel actif.
Cortex XSIAMProduit stratégique de Palo Alto Networks. IA intégrée (Precision AI).Selon capacité et fonctionnalités. Positionné en haut de gamme tarifaire.
ELK / OpenSearch purGratuit, mais vous le construisez vous-même : règles, decoders, FIM, conformité.Pile gratuite. Le vrai coût est dans le temps d'ingénierie interne.

Ce qui est intéressant dans ce tableau ne se trouve dans aucune colonne — c'est dans ce qu'implique sa lecture complète. Quatre des six acteurs commerciaux sont en transition, en mode maintenance, ou en migration obligatoire. Wazuh et ELK sont les seuls qui se trouvent exactement là où ils étaient il y a trois ans, avec leurs communautés intactes et leurs feuilles de route publiques. Et de ces deux-là, un seul propose nativement SIEM, XDR, FIM, scan de vulnérabilités, réponse active et conformité : Wazuh.

Une note sur le coût. Quand nous comparons Wazuh à Splunk lors de sessions techniques avec des clients, la discussion ne tourne presque jamais autour du coût de la licence — qui, oui, est largement inférieur. Elle tourne le plus souvent autour de la prévisibilité. Splunk monte avec vous : plus vous ingérez de données, plus vous payez. Wazuh non. Et dans un environnement où les volumes de logs croissent de 30 à 40 % par an — parce que vous ajoutez de nouveaux services, parce que NIS2 vous oblige à conserver davantage, parce que vous déployez plus de conteneurs — cette différence se traduit en une facture que les DAF savent très bien lire.
L'angle réglementaire

NIS2, RGPD, ISO 27001 : la conformité sans souffrance

Il y a une raison très concrète à la croissance accélérée de Wazuh en Europe francophone, et c'est la pression réglementaire. La directive NIS2 a été transposée en droit français et belge au cours de 2024-2025, et son périmètre est large : opérateurs de services essentiels, opérateurs d'importance vitale, mais aussi des milliers d'« entités importantes » qui n'avaient jamais été soumises à ce type d'obligations auparavant. Pour beaucoup d'organisations de taille moyenne — hôpitaux, universités, collectivités territoriales, entreprises industrielles, services financiers — la question n'est plus de savoir si elles ont besoin d'un SIEM. C'est lequel elles peuvent se permettre sans que le comité de direction lève un sourcil.

Wazuh fournit nativement des tableaux de bord et des rapports cartographiés sur les principaux référentiels :

  • NIS2. Contrôles de détection, traçabilité des incidents, capacité de notification à l'autorité compétente (l'ANSSI en France, le CCB en Belgique) dans les délais imposés, preuves des mesures de gestion des risques pour les entités essentielles et importantes.
  • RGPD. Contrôles de logging des accès, traçabilité, détection et réponse à incident, preuves utiles pour l'horloge de notification d'une violation de données personnelles à la CNIL ou à l'APD.
  • ISO/IEC 27001. Preuves pour les contrôles de l'Annexe A liés à l'exploitation, aux communications, à la conformité et à la gestion des incidents de sécurité.
  • PCI DSS. Contrôles de logging, intégrité des fichiers, gestion des vulnérabilités, rétention — la check-list exigée par la norme, cartographiée exigence par exigence.
  • CIS Benchmarks. Audit continu du durcissement du système d'exploitation et des services, avec rapport historique des dérives.

Cela dit — et nous le disons avec affection parce que nous venons de ce monde — les tableaux de bord ne suffisent pas à passer un audit. Ce qui le permet, c'est que quelqu'un ait conçu correctement l'architecture, que les règles soient ajustées au contexte du client, que les exceptions soient documentées, et que le flux de preuves arrive de manière ordonnée à la personne qui doit le signer. Cette partie n'est pas faite par le produit, elle est faite par l'équipe qui le déploie. Et c'est, probablement, 70 % de la valeur d'un projet Wazuh bien mené.

Ce que nous faisons chez SIXE

Nous déployons Wazuh depuis des années dans des organisations soumises à NIS2, au RGPD, à PCI DSS et à des cadres sectoriels spécifiques, en France, en Belgique et au-delà. La page complète du service, avec l'architecture, le cycle de déploiement et les cas d'usage, est ici : Implémentation et support de Wazuh. Si la conformité NIS2 est ce qui vous met le plus de pression en ce moment, c'est par là qu'il faut commencer.

La migration

Migrer depuis Splunk, QRadar ou ELK sans aveugler le SOC

Migrer un SIEM est un projet qui fait peur, et à juste titre. Un SIEM mal migré laisse vos contrôles de détection aveugles précisément au pire moment. C'est pourquoi notre façon de procéder doit être ennuyeuse et prévisible, avec trois principes que nous ne négocions pas :

  1. Ne jamais éteindre l'ancien SIEM avant que le nouveau ne fonctionne. L'ancien continue d'absorber les logs et de générer ses alertes pendant que Wazuh commence à tourner en parallèle. Pendant quelques semaines, vous avez une couverture double et un risque nul. Cette période coûte cher en ressources, certes, mais bien moins qu'un mois de SOC aveugle.
  2. Convertir d'abord les règles critiques, pas tout le catalogue. Les grands SIEM ont souvent des milliers de règles accumulées, et une part importante sont des règles que personne ne regarde ou qui déclenchent des faux positifs. La première passe identifie les 50 à 150 règles critiques qui produisent réellement des détections utiles, les réécrit au format Wazuh et les valide avec des événements réels. Le reste suit plus tard — ou ne suit pas, parce que souvent cela n'en vaut pas la peine.
  3. Valider avec des événements qui font mal, pas avec des tests synthétiques. Avant de considérer Wazuh comme opérationnel, nous reproduisons un ensemble de scénarios réels — tentative d'élévation de privilèges, exfiltration, comportement précoce de rançongiciel, compromission de compte — et nous vérifions que les alertes se déclenchent, se corrèlent et arrivent au SOC avec le bon contexte. Si elles ne se déclenchent pas, le système n'est pas considéré comme opérationnel. C'est aussi simple que ça.

La partie qui change selon votre point de départ, c'est le travail de conversion :

  • Depuis Splunk. Le travail le plus intéressant. Le SPL (Search Processing Language) ne se traduit pas automatiquement vers les règles Wazuh, mais le motif de détection est en général reproductible avec des decoders custom et des règles sur OpenSearch. Nous avons mené plusieurs migrations de ce type et l'essentiel du travail se trouve dans les tableaux de bord et les règles, pas dans l'ingestion.
  • Depuis QRadar. La bonne nouvelle est que QRadar et Wazuh partagent une grande partie de la philosophie autour des événements et des offenses. La mauvaise est que les DSM de QRadar sont propriétaires et qu'il faut reconstruire les parsers. Si vous êtes sur QRadar SaaS avec la migration vers XSIAM qui s'approche, c'est une fenêtre raisonnable pour évaluer sérieusement la troisième option.
  • Depuis ELK pur. La plus simple des trois — Wazuh utilise déjà OpenSearch comme indexer, donc une bonne partie de la pile de données vous est familière. Le saut consiste à ajouter les règles, la conformité et la réponse active, qu'en ELK pur vous auriez dû construire à la main.
Prochaines étapes

Par où commencer

Si vous lisez ceci et que vous vous dites « cela me concerne plus que je ne le voudrais », vous avez probablement raison. Pas besoin d'un projet immense pour faire le premier pas. La meilleure façon de démarrer, c'est en général une conversation courte autour de trois questions :

  • Où vous trouvez-vous exactement aujourd'hui ? Sur Splunk avec un renouvellement qui approche ? Sur QRadar SaaS avec la migration vers XSIAM à l'horizon ? Rien encore, et NIS2 commence à vous mettre la pression ?
  • Quelle réglementation vous oblige réellement ? NIS2, RGPD, PCI DSS, ISO 27001 — couvrir une seule n'est pas la même chose que couvrir les quatre, et l'architecture de Wazuh se dimensionne différemment selon ce qui s'applique vraiment.
  • Combien d'endpoints, quels systèmes d'exploitation, quels logs avez-vous déjà, quelles intégrations vous faut-il ? Avec ces données, on peut déjà esquisser une conception concrète et une estimation d'effort réaliste.

Quand vous saurez ce que vous voulez regarder, la page complète avec l'architecture, les modules, le comparatif détaillé avec les alternatives commerciales et le cycle de déploiement est ici : Wazuh — Implémentation et support SIXE. Et si vous préférez parler à quelqu'un qui a passé des années les mains dans des projets comme le vôtre, la session technique de 30 minutes est gratuite et sans engagement. Vous repartez de l'appel avec une esquisse d'architecture, une estimation d'effort réaliste et les prochaines étapes. Si Wazuh est adapté, nous vous le dirons. Si ce n'est pas le cas, nous vous le dirons aussi.

Pour aller plus loin

Vous repensez votre SIEM ?

Session technique de 30 minutes. Sans engagement.

Vous nous dites où vous en êtes, quelle réglementation vous concerne et ce qui vous préoccupe. Vous repartez de l'appel avec une esquisse d'architecture, une estimation d'effort et les prochaines étapes. Pas de devis générique, pas de discours commercial — directement avec quelqu'un de l'équipe technique.

Service Wazuh — SIXE → WhatsApp
Réserver une session technique Assistance urgente Wazuh.com
Bacula : sauvegarde immuable anti-ransomware sans facturation
SIXE