JOUCLA CYBERDÉFENSE
Accueil
SIEM Wazuh

Surveillance 24/7

Déploiement, configuration et supervision de Wazuh. Détection d'intrusion, intégrité des fichiers et conformité en temps réel.

Appeler

Détection d'intrusion

IDS/IPS intégré avec analyse des logs et corrélation d'événements.

Intégrité des fichiers

FIM (File Integrity Monitoring) pour détecter toute modification suspecte.

Analyse de vulnérabilités

Scan continu des vulnérabilités sur vos systèmes et applications.

Tableaux de bord

Dashboards Kibana/OpenSearch pour visualiser votre posture de sécurité.

Réponse active

Actions automatisées : blocage IP, isolation d'endpoint, alertes.

Conformité

Rapports PCI-DSS, RGPD, HIPAA et CIS Benchmarks intégrés.

Cas réel

Exfiltration bloquée par compte prestataire dormant

PME industrielle de 120 postes en cours de certification ISO 27001 — incident réel intercepté par Wazuh à 2h54 du matin

Le scénario détecté

Un ancien prestataire IT, parti 4 mois plus tôt, possède encore un compte VPN et un compte AD à privilèges jamais révoqués. À 2h47 du matin, il ouvre une session OpenVPN depuis une IP en Europe de l'Est, rebondit en RDP sur un serveur de fichiers et commence à télécharger massivement les données clients. Sans SIEM, aucune alerte n'aurait été levée — les accès VPN + RDP sont légitimes techniquement.

[2h47] OpenVPN → Auth OK (compte 'it-admin-ext')

[2h49] RDP → SRV-FICHIERS01 depuis 10.0.0.12

[2h51] Accès partage \\SRV-FICHIERS01\Clients\

[2h54] Lecture massive (>200 fichiers en 3 minutes)

La réaction Wazuh en temps réel

Wazuh corrèle les évènements Windows Event Log, OpenVPN, Sysmon et accès SMB. Règle Sigma personnalisée : "connexion VPN inhabituelle + RDP + lecture massive de partage sensible = P1". L'Active Response déclenche en moins de 15 secondes le ban IP via OPNsense, la désactivation du compte AD et la fermeture forcée de la session RDP.

Agents Wazuh (Windows + Linux) → Manager central

Corrélation : auth atypique + RDP + volume SMB anormal

Active Response (< 15 s) :

→ OPNsense : ban IP source

→ AD : Disable-ADAccount 'it-admin-ext'

→ RDP : logoff forcé de la session

SMS + email RSSI + ticket TheHive

Modules Wazuh activés

FIM — Intégrité et accès aux partages sensibles (Clients, Finances)
Sysmon + Windows Event Log — Traçabilité fine processus, réseau et fichiers
Auditd (Linux) — Journalisation des appels système critiques
Vulnerability Detector — Scan CVE continu sur tous les endpoints
CIS Benchmarks — Audit configuration Windows, Linux, AD, Docker
Règles Sigma custom — Latéralisation, bruteforce, abus de compte dormant
Active Response — Scripts PowerShell/Bash déclenchés par le manager
Threat Intel — Enrichissement via AbuseIPDB, MISP, AlienVault OTX

Infrastructure Wazuh

Wazuh Manager
France (Gravelines) — 4 vCPU / 16 Go RAM, 120 agents
Indexer OpenSearch
France (Gravelines) — 500 Go, rétention 90 jours chiffrée
Dashboards OpenSearch
France (Strasbourg) — Tableaux de bord RSSI et conformité
Grafana + alerting
Italie (Milan) — Monitoring infra, astreinte 24/7

Hébergement souverain France, logs signés cryptographiquement pour garantir l'intégrité légale. Conformité ISO 27001 contrôles A.12.4 (journalisation) et A.16 (gestion d'incidents) validée par l'auditeur.

Conformité et reporting automatisés

Rapport PCI-DSS mensuel automatique
Rapport RGPD accès données personnelles
CIS Benchmarks Windows / Linux / AD
Export PDF ISO 27001 (contrôles A.12.4)
HIPAA et NIS2 compatibility
Notification RGPD violation sous 72h
Audit trail inaltérable (signature crypto)
Dashboard Kibana RSSI personnalisé

Résultat

Exfiltration bloquée en 15 s
Détection, corrélation et Active Response en temps réel
0 fichier client sorti
Aucune donnée confidentielle exfiltrée hors du SI
Comptes dormants purgés
Audit complet des accès tiers, 17 comptes fantômes désactivés
ISO 27001 obtenue
Contrôles A.12.4 et A.16 validés par l'auditeur externe
Surveillance 120 endpoints
Wazuh en production depuis 18 mois, 0 incident majeur
ROI immédiat
Un incident évité amortit plus d'un an de service SIEM managé

Tarifs

Recommandé
SIEM Wazuh
790€/mois TTC
  • Wazuh déployé et maintenu
  • Surveillance continue
  • Mises à jour & MCO
  • 2 règles personnalisées / mois incluses
  • Rapport mensuel
  • Support 8h–18h, incidents critiques sous 2h ouvrées
SIEM Enterprise
Sur devis
  • Endpoints illimités
  • Threat hunting actif
  • Formation équipe IT
  • SLA garanti < 1h
  • Ingénieur dédié

Pour structures 10–500 collaborateurs

Grille tarifaire Wazuh détaillée — sur mesure

Installation 1 800 € + modules à la carte + forfait managé 790 €/mois. Modèle adapté aux ETI et PME complexes.

Voir la grille complète

Besoin d'un accompagnement ?

Diagnostic gratuit de votre infrastructure. Réponse sous 24h.

06 24 47 36 51
Appeler