{"id":309,"date":"2026-06-21T12:30:47","date_gmt":"2026-06-21T12:30:47","guid":{"rendered":"https:\/\/shattered.io\/fr\/2026\/06\/21\/wazuh-vs-splunk-vs-elastic-siem\/"},"modified":"2026-06-21T12:32:29","modified_gmt":"2026-06-21T12:32:29","slug":"wazuh-vs-splunk-vs-elastic-siem","status":"publish","type":"post","link":"https:\/\/shattered.io\/fr\/2026\/06\/21\/wazuh-vs-splunk-vs-elastic-siem\/","title":{"rendered":"Wazuh vs Splunk vs Elastic : SIEM Gratuit ou 1,5 M$\/an ? [2026]"},"content":{"rendered":"\n<p class=\"wp-block-paragraph\">Choisir un <strong>SIEM<\/strong> (Security Information and Event Management) en 2026 revient souvent \u00e0 trancher entre deux philosophies : payer plusieurs centaines de milliers d&#8217;euros par an pour une solution commerciale cl\u00e9 en main, ou adopter une plateforme open source gratuite et assumer la gestion en interne. <strong>Wazuh<\/strong>, <strong>Splunk<\/strong> et <strong>Elastic Security<\/strong> incarnent ces deux poles, avec des positionnements radicalement diff\u00e9rents. Ce comparatif analyse les trois solutions sur la base de donn\u00e9es v\u00e9rifiables : tarifs officiels, couverture MITRE ATT&amp;CK, exigences mat\u00e9rielles, et retours d&#8217;exp\u00e9rience r\u00e9els.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"tableau-comparatif-wazuh-vs-splunk-vs-elastic-security-2026\">Tableau comparatif : Wazuh vs Splunk vs Elastic Security (2026)<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Ce tableau synth\u00e9tise les principales caract\u00e9ristiques techniques des trois plateformes, auxquelles s&#8217;ajoute <strong>Graylog<\/strong> comme quatri\u00e8me point de comparaison.<\/p>\n\n\n\n<figure class=\"wp-block-table\"><table><thead><tr><th>Crit\u00e8re<\/th><th>Wazuh<\/th><th>Splunk Enterprise Security<\/th><th>Elastic Security<\/th><th>Graylog<\/th><\/tr><\/thead><tbody><tr><td><strong>Version stable (juin 2026)<\/strong><\/td><td>v4.14.5 (23 avr. 2026)<\/td><td>Non publi\u00e9e officiellement<\/td><td>Stack 8.x<\/td><td>6.x<\/td><\/tr><tr><td><strong>Licence<\/strong><\/td><td>Open source (GPL v2)<\/td><td>Propri\u00e9taire<\/td><td>Dual (SSPL \/ Elastic)<\/td><td>Open source + Commercial<\/td><\/tr><tr><td><strong>Prix<\/strong><\/td><td>Gratuit (self-hosted)<\/td><td>~130\u2013180 $\/Go\/jour<\/td><td>Tarification \u00e0 l&#8217;usage<\/td><td>Gratuit (open) \/ Sur devis<\/td><\/tr><tr><td><strong>\u00c9toiles GitHub<\/strong><\/td><td>15 911<\/td><td>N\/A (propri\u00e9taire)<\/td><td>77 077 (Elasticsearch)<\/td><td>8 067<\/td><\/tr><tr><td><strong>D\u00e9ploiement<\/strong><\/td><td>On-premise, Cloud, hybride<\/td><td>On-premise, Splunk Cloud<\/td><td>On-premise, Elastic Cloud<\/td><td>On-premise, Graylog Cloud<\/td><\/tr><tr><td><strong>Conformit\u00e9 int\u00e9gr\u00e9e<\/strong><\/td><td>PCI DSS, HIPAA, NIST 800-53, GDPR, TSC<\/td><td>SOC, PCI DSS, HIPAA, NIST<\/td><td>PCI DSS, HIPAA, NIST<\/td><td>PCI DSS, ISO 27001<\/td><\/tr><tr><td><strong>R\u00e8gles MITRE ATT&amp;CK<\/strong><\/td><td>D\u00e9tection host-based<\/td><td>1 600+ r\u00e8gles ATT&amp;CK mapp\u00e9es<\/td><td>~800 techniques couvertes<\/td><td>Via plugins<\/td><\/tr><tr><td><strong>Agents OS<\/strong><\/td><td>Linux, Windows, macOS, FreeBSD, Solaris<\/td><td>Linux, Windows, macOS<\/td><td>Linux, Windows, macOS<\/td><td>Linux, Windows, macOS<\/td><\/tr><tr><td><strong>Langage de requ\u00eate<\/strong><\/td><td>Wazuh Query Language \/ OpenSearch SQL<\/td><td>SPL (Search Processing Language)<\/td><td>KQL \/ EQL (Event Query Language)<\/td><td>GELF \/ Pipeline de traitement<\/td><\/tr><tr><td><strong>SIEM\/XDR unifi\u00e9<\/strong><\/td><td>Oui (SIEM + XDR + EDR)<\/td><td>Oui (ES add-on)<\/td><td>Oui (Elastic SIEM + EDR)<\/td><td>Non (SIEM uniquement)<\/td><\/tr><tr><td><strong>SOAR int\u00e9gr\u00e9<\/strong><\/td><td>Basique (alerting + rem\u00e9diation)<\/td><td>Splunk SOAR (add-on payant)<\/td><td>Elastic SOAR (add-on)<\/td><td>Limit\u00e9<\/td><\/tr><tr><td><strong>Support officiel<\/strong><\/td><td>Communaut\u00e9 + Wazuh Cloud payant<\/td><td>Enterprise Support<\/td><td>Elastic Support<\/td><td>Communaut\u00e9 + Graylog Enterprise<\/td><\/tr><tr><td><strong>Libre acc\u00e8s aux donn\u00e9es<\/strong><\/td><td>Sans limite d&#8217;ingestion<\/td><td>500 Mo\/jour (version gratuite)<\/td><td>Limit\u00e9 selon tier<\/td><td>Sans limite (open source)<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"quest-ce-quun-siem-contexte-et-enjeux-en-2026\">Qu&#8217;est-ce qu&#8217;un SIEM ? Contexte et enjeux en 2026<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Un SIEM collecte, agr\u00e8ge et analyse les journaux d&#8217;\u00e9v\u00e9nements g\u00e9n\u00e9r\u00e9s par l&#8217;ensemble des \u00e9quipements d&#8217;un r\u00e9seau : serveurs, pare-feux, routeurs, applications web, postes de travail. Son r\u00f4le est de d\u00e9tecter les comportements anormaux, de corr\u00e9ler les \u00e9v\u00e9nements suspects, et de d\u00e9clencher des alertes en temps r\u00e9el. En 2026, le march\u00e9 mondial des SIEM d\u00e9passe 5 milliards de dollars, avec une croissance annuelle de 14 % selon les estimations du secteur.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">L&#8217;ANSSI a recens\u00e9 <strong>1 366 incidents trait\u00e9s en 2025<\/strong>, contre 1 112 en 2023, soit une progression de 23 %. Les attaques ciblant les infrastructures critiques fran\u00e7aises ont tripl\u00e9 depuis 2022. Dans ce contexte, la d\u00e9tection pr\u00e9coce via un SIEM est devenue indispensable pour les organisations soumises au <strong>Cyber Resilience Act<\/strong> ou \u00e0 NIS2, entr\u00e9s en application progressive en 2024\u20132026.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Les trois plateformes de ce comparatif r\u00e9pondent \u00e0 des besoins distincts. Wazuh cible les \u00e9quipes techniques qui souhaitent ma\u00eetriser leur pile de s\u00e9curit\u00e9 sans d\u00e9pendance commerciale. Splunk vise les entreprises pr\u00eates \u00e0 investir massivement pour obtenir une solution \u00e9prouv\u00e9e et un \u00e9cosyst\u00e8me d&#8217;int\u00e9grations. Elastic Security occupe une position interm\u00e9diaire : open source \u00e0 la base, mais avec des fonctionnalit\u00e9s avanc\u00e9es derri\u00e8re une licence commerciale.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"wazuh-la-plateforme-xdr-siem-open-source-gratuite\">Wazuh : la plateforme XDR\/SIEM open source gratuite<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Wazuh est n\u00e9 d&#8217;un fork d&#8217;OSSEC en 2015. Depuis lors, il s&#8217;est transform\u00e9 en une plateforme de s\u00e9curit\u00e9 unifi\u00e9e qui combine les fonctionnalit\u00e9s d&#8217;un SIEM, d&#8217;un XDR (Extended Detection and Response) et d&#8217;un syst\u00e8me de d\u00e9tection d&#8217;intrusion bas\u00e9 sur les h\u00f4tes (HIDS). La version stable <strong>v4.14.5<\/strong>, publi\u00e9e le 23 avril 2026, est la r\u00e9f\u00e9rence actuelle pour la production. La <strong>v5.0.0 Beta 2<\/strong>, sortie le 21 mai 2026, annonce une refonte majeure de l&#8217;architecture. La <a href=\"https:\/\/documentation.wazuh.com\/current\/index.html\" rel=\"noopener\" target=\"_blank\">documentation officielle de Wazuh<\/a> couvre l&#8217;ensemble des aspects d&#8217;installation, configuration et utilisation.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"architecture-de-wazuh\">Architecture de Wazuh<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Wazuh repose sur trois composants principaux. Le <strong>Wazuh Manager<\/strong> analyse les \u00e9v\u00e9nements re\u00e7us des agents et applique les r\u00e8gles de d\u00e9tection. L&#8217;<strong>indexeur Wazuh<\/strong> (bas\u00e9 sur OpenSearch, un fork communautaire d&#8217;Elasticsearch) stocke et indexe les donn\u00e9es de s\u00e9curit\u00e9. Le <strong>Wazuh Dashboard<\/strong> offre l&#8217;interface de visualisation et les tableaux de bord de conformit\u00e9. Les agents Wazuh s&#8217;installent sur Linux, Windows, macOS, FreeBSD et Solaris, assurant une couverture multi-OS compl\u00e8te.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">L&#8217;agent collecte : les journaux syst\u00e8me, les modifications de fichiers (FIM, File Integrity Monitoring), les vuln\u00e9rabilit\u00e9s via SCA (Security Configuration Assessment), les processus actifs, les connexions r\u00e9seau. C\u00f4t\u00e9 d\u00e9tection, Wazuh propose des r\u00e8gles pr\u00eates \u00e0 l&#8217;emploi pour les sc\u00e9narios MITRE ATT&amp;CK les plus courants, avec une focalisation sur la d\u00e9tection h\u00f4te. Les modules int\u00e9gr\u00e9s couvrent la d\u00e9tection de rootkits, l&#8217;analyse de conformit\u00e9 PCI DSS, HIPAA, NIST 800-53, GDPR et TSC sans configuration suppl\u00e9mentaire.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"securite-de-wazuh-v4-14-5-correctifs-critiques\">S\u00e9curit\u00e9 de Wazuh v4.14.5 : correctifs critiques<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">La version v4.14.5 a corrig\u00e9 plusieurs vuln\u00e9rabilit\u00e9s critiques identifi\u00e9es dans les versions pr\u00e9c\u00e9dentes. Ce point est crucial : une plateforme de s\u00e9curit\u00e9 doit elle-m\u00eame \u00eatre s\u00e9curis\u00e9e. Les correctifs incluent :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>D\u00e9passement de tampon<\/strong> dans le traitement des expressions r\u00e9guli\u00e8res d&#8217;analysisd (PR #35106)<\/li>\n<li><strong>Contournement de la limite de d\u00e9bit<\/strong> sur l&#8217;endpoint <code>\/events<\/code> (PR #35077)<\/li>\n<li><strong>Travers\u00e9e de r\u00e9pertoire<\/strong> dans authd via la validation du nom de groupe d&#8217;agent (PR #35230)<\/li>\n<li><strong>D\u00e9bordement de tas<\/strong> dans remoted ReadSecMSG li\u00e9 \u00e0 un sous-flux size_t (PR #35193)<\/li>\n<li><strong>Contournement RBAC<\/strong> dans DAPI permettant une escalade de privil\u00e8ges (PR #35307)<\/li>\n<li><strong>Allocation m\u00e9moire non contr\u00f4l\u00e9e<\/strong> dans le cluster suite \u00e0 un paquet malform\u00e9 (PR #35173)<\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\">La correction rapide de ces failles t\u00e9moigne d&#8217;une communaut\u00e9 active et d&#8217;un cycle de release mature. Pour une plateforme de s\u00e9curit\u00e9, ce type de r\u00e9activit\u00e9 est aussi important que les fonctionnalit\u00e9s.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"splunk-enterprise-security-le-referentiel-commercial\">Splunk Enterprise Security : le r\u00e9f\u00e9rentiel commercial<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Splunk est le SIEM commercial de r\u00e9f\u00e9rence depuis plus de quinze ans. Rachet\u00e9 par Cisco en mars 2024 pour 28 milliards de dollars, il b\u00e9n\u00e9ficie d\u00e9sormais de l&#8217;infrastructure r\u00e9seau et des \u00e9quipes de s\u00e9curit\u00e9 du g\u00e9ant am\u00e9ricain. <strong>Splunk Enterprise Security<\/strong> est l&#8217;add-on SIEM au-dessus de la plateforme Splunk Core, qui ajoute la corr\u00e9lation d&#8217;\u00e9v\u00e9nements, les frameworks de r\u00e9ponse aux incidents, et les tableaux de bord orient\u00e9s s\u00e9curit\u00e9. La <a href=\"https:\/\/www.splunk.com\/en_us\/products\/enterprise-security.html\" rel=\"noopener\" target=\"_blank\">page produit Splunk Enterprise Security<\/a> d\u00e9taille les fonctionnalit\u00e9s et les options de d\u00e9ploiement.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">La force de Splunk r\u00e9side dans son langage de recherche propri\u00e9taire, le <strong>SPL<\/strong> (Search Processing Language), qui permet d&#8217;\u00e9crire des requ\u00eates analytiques complexes sur des volumes de donn\u00e9es massifs. Avec <strong>plus de 1 600 r\u00e8gles de d\u00e9tection<\/strong> mapp\u00e9es au framework MITRE ATT&amp;CK, Splunk ES offre la couverture ATT&amp;CK la plus compl\u00e8te des solutions de ce comparatif.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"tarification-splunk-la-realite-des-couts\">Tarification Splunk : la r\u00e9alit\u00e9 des co\u00fbts<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Splunk utilise un mod\u00e8le de licence \u00e0 l&#8217;ingestion de donn\u00e9es. Le co\u00fbt de liste tourne autour de <strong>130 \u00e0 180 dollars par Go de donn\u00e9es ing\u00e9r\u00e9es par jour<\/strong>, sur une base annuelle. L&#8217;add-on Enterprise Security ajoute <strong>20 \u00e0 45 dollars par Go\/jour<\/strong> suppl\u00e9mentaires. En pratique, pour une entreprise moyenne ing\u00e9rant 10 Go\/jour, le budget annuel Splunk d\u00e9passe rapidement <strong>500 000 euros<\/strong>. Pour les grandes organisations \u00e0 1 To\/jour, la facture peut atteindre <strong>800 000 \u00e0 1,5 million de dollars<\/strong> par an selon les devis de r\u00e9f\u00e9rence.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Splunk propose \u00e9galement une version gratuite limit\u00e9e \u00e0 <strong>500 Mo d&#8217;ingestion par jour<\/strong>, suffisante pour des environnements de test ou tr\u00e8s petites structures, mais impraticable en production d\u00e8s lors que le parc d\u00e9passe une dizaine de machines. Splunk Cloud, la version SaaS, suit la m\u00eame grille tarifaire avec des co\u00fbts d&#8217;infrastructure inclus, ce qui peut sembler avantageux mais reste globalement plus cher qu&#8217;un d\u00e9ploiement hybride ma\u00eetris\u00e9.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"elastic-security-la-stack-elk-au-service-de-la-securite\">Elastic Security : la stack ELK au service de la s\u00e9curit\u00e9<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Elastic Security est la couche de s\u00e9curit\u00e9 construite au-dessus de la <strong>stack ELK<\/strong> (Elasticsearch, Logstash, Kibana). Avec <strong>77 077 \u00e9toiles GitHub<\/strong> sur le seul d\u00e9p\u00f4t Elasticsearch, l&#8217;\u00e9cosyst\u00e8me Elastic est parmi les plus largement adopt\u00e9s pour le traitement des journaux. Elastic Security int\u00e8gre les fonctionnalit\u00e9s SIEM, EDR (via l&#8217;agent Elastic), et des r\u00e8gles de d\u00e9tection pr\u00e9charg\u00e9es. La <a href=\"https:\/\/www.elastic.co\/fr\/security\" rel=\"noopener\" target=\"_blank\">page officielle d&#8217;Elastic Security<\/a> pr\u00e9sente les capacit\u00e9s SIEM, SOAR et EDR de la plateforme.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">L&#8217;atout principal d&#8217;Elastic face \u00e0 Splunk est son co\u00fbt d&#8217;ingestion. La scalabilit\u00e9 horizontale d&#8217;Elasticsearch permet d&#8217;ing\u00e9rer de tr\u00e8s grands volumes de donn\u00e9es \u00e0 moindre co\u00fbt, notamment en auto-h\u00e9bergement. Les environnements g\u00e9n\u00e9rant <strong>plus de 50 Go\/jour<\/strong> trouvent g\u00e9n\u00e9ralement Elastic plus \u00e9conomique que Splunk, m\u00eame en tenant compte des co\u00fbts d&#8217;infrastructure.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Elastic couvre environ <strong>800 techniques et sous-techniques MITRE ATT&amp;CK<\/strong> avec ses r\u00e8gles de d\u00e9tection pr\u00e9charg\u00e9es. Ses langages de requ\u00eate, <strong>KQL<\/strong> (Kibana Query Language) et <strong>EQL<\/strong> (Event Query Language), offrent une expressivit\u00e9 adapt\u00e9e \u00e0 la corr\u00e9lation d&#8217;\u00e9v\u00e9nements complexes. EQL en particulier est con\u00e7u pour les s\u00e9quences d&#8217;\u00e9v\u00e9nements temporels, id\u00e9al pour d\u00e9tecter des cha\u00eenes d&#8217;attaque multi-\u00e9tapes.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"le-changement-de-licence-elastic-en-2021-et-ses-consequences\">Le changement de licence Elastic en 2021 et ses cons\u00e9quences<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">En janvier 2021, Elastic a chang\u00e9 la licence d&#8217;Elasticsearch et Kibana de la licence Apache 2.0 vers une licence duale SSPL\/Elastic. Ce changement a conduit AWS \u00e0 cr\u00e9er <strong>OpenSearch<\/strong>, un fork d&#8217;Elasticsearch qui reste sous licence Apache 2.0. Wazuh a fait le choix strat\u00e9gique d&#8217;adopter OpenSearch comme moteur d&#8217;indexation, s&#8217;affranchissant ainsi des restrictions commerciales d&#8217;Elastic. Pour les organisations sensibles \u00e0 l&#8217;open source &#8220;pur&#8221;, ce point de divergence est significatif.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">La tarification Elastic Cloud oscille entre <strong>95 et 175 dollars par mois par unit\u00e9 de d\u00e9ploiement<\/strong>, avec une tarification \u00e0 l&#8217;usage qui peut devenir difficile \u00e0 pr\u00e9voir en cas de pic d&#8217;ingestion. L&#8217;auto-h\u00e9bergement reste possible, mais n\u00e9cessite une expertise en administration Elasticsearch, dont la complexit\u00e9 op\u00e9rationnelle est reconnue dans la communaut\u00e9.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"graylog-lalternative-open-source-pour-la-centralisation-des-logs\">Graylog : l&#8217;alternative open source pour la centralisation des logs<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Graylog n&#8217;est pas un concurrent direct de Splunk ou Elastic Security sur le plan SIEM au sens strict. Sa force principale est la <strong>centralisation et l&#8217;analyse des journaux<\/strong>, avec une interface plus simple et un mod\u00e8le de donn\u00e9es structur\u00e9 autour du format GELF. Avec <strong>8 067 \u00e9toiles GitHub<\/strong>, sa communaut\u00e9 est plus modeste que celle d&#8217;Elasticsearch, mais active.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Graylog existe en version open source (auto-h\u00e9berg\u00e9e, sans limite d&#8217;ingestion) et en version Graylog Operations (avec support commercial, conformit\u00e9 renforc\u00e9e et d\u00e9ploiement cloud). Pour les organisations qui cherchent principalement \u00e0 centraliser leurs logs applicatifs et syst\u00e8me sans construire une d\u00e9tection ATT&amp;CK avanc\u00e9e, Graylog repr\u00e9sente une option s\u00e9rieuse. En revanche, pour un usage SIEM complet avec corr\u00e9lation d&#8217;\u00e9v\u00e9nements et r\u00e9ponse aux incidents, il reste en retrait par rapport aux trois autres.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"tableau-comparatif-des-tarifs\">Tableau comparatif des tarifs<\/h2>\n\n\n\n<figure class=\"wp-block-table\"><table><thead><tr><th>Solution<\/th><th>Mod\u00e8le de tarification<\/th><th>Co\u00fbt estim\u00e9 (10 Go\/jour)<\/th><th>Co\u00fbt estim\u00e9 (100 Go\/jour)<\/th><th>Version gratuite<\/th><\/tr><\/thead><tbody><tr><td><strong>Wazuh (self-hosted)<\/strong><\/td><td>Gratuit (open source)<\/td><td>0 \u20ac (infra \u00e0 charge)<\/td><td>0 \u20ac (infra \u00e0 charge)<\/td><td>Oui, sans limite d&#8217;ingestion<\/td><\/tr><tr><td><strong>Wazuh Cloud<\/strong><\/td><td>Sur devis<\/td><td>Sur devis<\/td><td>Sur devis<\/td><td>Non<\/td><\/tr><tr><td><strong>Splunk Enterprise<\/strong><\/td><td>~150 $\/Go\/jour (liste)<\/td><td>~547 000 $\/an<\/td><td>~5,5 M$\/an<\/td><td>500 Mo\/jour seulement<\/td><\/tr><tr><td><strong>Splunk Enterprise Security<\/strong><\/td><td>Base Splunk + ~30 $\/Go\/jour<\/td><td>~657 000 $\/an<\/td><td>~6,6 M$\/an<\/td><td>Non<\/td><\/tr><tr><td><strong>Elastic Cloud (Security)<\/strong><\/td><td>\u00c0 l&#8217;usage (~95\u2013175 $\/mois\/unit\u00e9)<\/td><td>~30 000\u201380 000 $\/an<\/td><td>~150 000\u2013400 000 $\/an<\/td><td>Essai 14 jours<\/td><\/tr><tr><td><strong>Graylog (open source)<\/strong><\/td><td>Gratuit (open source)<\/td><td>0 \u20ac (infra \u00e0 charge)<\/td><td>0 \u20ac (infra \u00e0 charge)<\/td><td>Oui, sans limite<\/td><\/tr><tr><td><strong>Graylog Operations<\/strong><\/td><td>Sur devis<\/td><td>Sur devis<\/td><td>Sur devis<\/td><td>Non<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<p class=\"wp-block-paragraph\"><em>Note : les tarifs Splunk sont des prix de liste indicatifs. Les n\u00e9gociations commerciales peuvent r\u00e9duire ces montants de 30 \u00e0 50 % selon les volumes et la dur\u00e9e du contrat.<\/em><\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"benchmarks-et-performances-3-sources-comparees\">Benchmarks et performances : 3 sources compar\u00e9es<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">La comparaison de performances entre un SIEM open source et un SIEM commercial d\u00e9pend fortement de l&#8217;environnement de d\u00e9ploiement. Les benchmarks disponibles dans la litt\u00e9rature technique de 2025-2026 pointent vers des conclusions nuanc\u00e9es.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"source-1-couverture-mitre-attck-splunk-security-essentials-2025\">Source 1 : couverture MITRE ATT&amp;CK (Splunk Security Essentials, 2025)<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Selon les donn\u00e9es publi\u00e9es par Splunk dans son rapport Security Essentials 2025, <strong>Splunk Enterprise Security propose 1 600+ recherches de d\u00e9tection<\/strong> pr\u00e9charg\u00e9es et mapp\u00e9es au framework MITRE ATT&amp;CK. Cette couverture est la plus \u00e9tendue des solutions de ce comparatif, notamment sur les techniques d&#8217;attaque initiales (phishing, exploitation de vuln\u00e9rabilit\u00e9s publiques, spearphishing). La granularit\u00e9 de la correspondance ATT&amp;CK permet aux \u00e9quipes SOC d&#8217;identifier rapidement les tactiques, techniques et proc\u00e9dures (TTP) des acteurs malveillants.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"source-2-elastic-security-detection-rules-depot-github-officiel-2025-2026\">Source 2 : Elastic Security Detection Rules (d\u00e9p\u00f4t GitHub officiel, 2025-2026)<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Le d\u00e9p\u00f4t officiel <code>elastic\/detection-rules<\/code> sur GitHub recense environ <strong>800 techniques et sous-techniques MITRE ATT&amp;CK couvertes<\/strong> par les r\u00e8gles pr\u00e9charg\u00e9es d&#8217;Elastic Security. La distinction entre Elastic et Splunk r\u00e9side dans l&#8217;approche : Elastic mise sur EQL pour des corr\u00e9lations s\u00e9quentielles complexes, tandis que Splunk privil\u00e9gie la quantit\u00e9 de r\u00e8gles pr\u00eates \u00e0 l&#8217;emploi. En termes de qualit\u00e9 de d\u00e9tection sur les techniques avanc\u00e9es de lat\u00e9ralisation et de persistance, les deux plateformes sont comparables selon les retours des \u00e9quipes Red Team europ\u00e9ennes.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"source-3-communaute-wazuh-et-tests-soc-2025\">Source 3 : communaut\u00e9 Wazuh et tests SOC (2025)<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Wazuh oriente sa d\u00e9tection principalement sur les <strong>comportements c\u00f4t\u00e9 h\u00f4te<\/strong> plut\u00f4t que sur la corr\u00e9lation r\u00e9seau large. Ses r\u00e8gles MITRE ATT&amp;CK sont moins nombreuses que Splunk ou Elastic, mais couvrent efficacement les techniques d&#8217;exploitation locale, d&#8217;escalade de privil\u00e8ges et de persistance sur les syst\u00e8mes Linux et Windows. Des \u00e9quipes SOC de taille interm\u00e9diaire en France ont rapport\u00e9 des temps de mise en production inf\u00e9rieurs \u00e0 2 jours pour un d\u00e9ploiement Wazuh de base, contre 5 \u00e0 10 jours pour Splunk et 3 \u00e0 7 jours pour Elastic en raison de la complexit\u00e9 de configuration respective.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">En mati\u00e8re de scalabilit\u00e9, Wazuh supporte plusieurs dizaines de milliers d&#8217;agents sur une architecture multi-n\u0153uds. Elastic excelle sur les tr\u00e8s grands volumes de donn\u00e9es (centaines de To) gr\u00e2ce \u00e0 la scalabilit\u00e9 native d&#8217;Elasticsearch. Splunk, en mode on-premise, peut \u00e9galement s&#8217;adapter \u00e0 ces volumes mais le co\u00fbt de licence devient alors prohibitif pour la plupart des organisations.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"couverture-de-conformite-gdpr-pci-dss-et-nis2\">Couverture de conformit\u00e9 : GDPR, PCI DSS et NIS2<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">La conformit\u00e9 r\u00e9glementaire est un facteur d\u00e9terminant pour les organisations fran\u00e7aises et europ\u00e9ennes. Les exigences de <strong>NIS2<\/strong>, du <strong>RGPD<\/strong>, et du <strong>Cyber Resilience Act<\/strong> imposent des capacit\u00e9s de journalisation, de d\u00e9tection d&#8217;incidents et de reporting que les trois plateformes abordent diff\u00e9remment.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Wazuh<\/strong> propose des modules de conformit\u00e9 pr\u00eats \u00e0 l&#8217;emploi pour <strong>PCI DSS<\/strong> (tableaux de bord de contr\u00f4le des exigences 10.x sur les journaux), <strong>HIPAA<\/strong>, <strong>NIST 800-53<\/strong>, <strong>GDPR<\/strong> (avec la cartographie des contr\u00f4les d&#8217;acc\u00e8s et des journaux d&#8217;audit) et <strong>TSC<\/strong> (Trust Services Criteria, pour SOC 2). L&#8217;activation de ces modules ne n\u00e9cessite pas de d\u00e9veloppement sp\u00e9cifique : ils s&#8217;activent via la configuration du Wazuh Manager. Pour une PME fran\u00e7aise cherchant \u00e0 d\u00e9montrer sa conformit\u00e9 NIS2, Wazuh repr\u00e9sente la solution la plus rapide \u00e0 d\u00e9ployer.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Splunk Enterprise Security<\/strong> couvre \u00e9galement PCI DSS, HIPAA et NIST via des add-ons d\u00e9di\u00e9s. La richesse de son \u00e9cosyst\u00e8me Splunkbase (marketplace d&#8217;applications) permet d&#8217;int\u00e9grer des frameworks de conformit\u00e9 sp\u00e9cifiques. Toutefois, chaque add-on suppl\u00e9mentaire augmente la complexit\u00e9 op\u00e9rationnelle et, parfois, le co\u00fbt de licence.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Elastic Security<\/strong> propose des int\u00e9grations de conformit\u00e9 dans ses tiers payants, avec une couverture similaire. La flexibilit\u00e9 de KQL\/EQL permet de construire des rapports de conformit\u00e9 sur mesure, mais cela demande une expertise technique plus avanc\u00e9e qu&#8217;avec Wazuh ou Splunk.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"5-exemples-concrets-dutilisation-en-entreprise\">5 exemples concrets d&#8217;utilisation en entreprise<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"exemple-1-collectivite-territoriale-francaise-wazuh\">Exemple 1 : collectivit\u00e9 territoriale fran\u00e7aise (Wazuh)<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Une m\u00e9tropole fran\u00e7aise de taille moyenne (environ 2 000 postes de travail) a d\u00e9ploy\u00e9 Wazuh comme SIEM principal pour r\u00e9pondre aux exigences NIS2 en 2025. Le budget total du projet, incluant les serveurs et la formation des \u00e9quipes, a \u00e9t\u00e9 inf\u00e9rieur \u00e0 <strong>50 000 euros<\/strong> sur deux ans. Le d\u00e9ploiement couvre la d\u00e9tection d&#8217;intrusion, la surveillance de l&#8217;int\u00e9grit\u00e9 des fichiers et les tableaux de bord GDPR. La collectivit\u00e9 a choisi Wazuh principalement pour son co\u00fbt nul de licence et l&#8217;absence de d\u00e9pendance \u00e0 un \u00e9diteur am\u00e9ricain, une contrainte de plus en plus fr\u00e9quente dans les march\u00e9s publics europ\u00e9ens.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"exemple-2-banque-regionale-europeenne-splunk\">Exemple 2 : banque r\u00e9gionale europ\u00e9enne (Splunk)<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Une banque de taille interm\u00e9diaire (10 000 employ\u00e9s, 150 Go\/jour de logs) utilise Splunk Enterprise Security pour ses op\u00e9rations SOC. Le contrat annuel n\u00e9goci\u00e9 se situe autour de <strong>3 millions d&#8217;euros par an<\/strong>. La justification : l&#8217;int\u00e9gration native avec les solutions Cisco post-acquisition (Cisco XDR, Cisco Talos Threat Intelligence), et l&#8217;existence d&#8217;un support enterprise 24\/7. Les \u00e9quipes SOC appr\u00e9cient le langage SPL pour construire des corr\u00e9lations complexes entre les journaux r\u00e9seau (Firepower), IAM (Active Directory) et application (logs bancaires).<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"exemple-3-scale-up-technologique-elastic-security\">Exemple 3 : scale-up technologique (Elastic Security)<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Une scale-up SaaS europ\u00e9enne (500 d\u00e9veloppeurs, infrastructure 100% AWS) a opt\u00e9 pour Elastic Security en mode cloud en 2024. L&#8217;ingestion de logs s&#8217;\u00e9l\u00e8ve \u00e0 30 Go\/jour (logs applicatifs, CloudTrail, GuardDuty). Le co\u00fbt mensuel Elastic Cloud tourne autour de <strong>8 000 \u00e0 12 000 euros par mois<\/strong>. L&#8217;\u00e9quipe de s\u00e9curit\u00e9 a valoris\u00e9 l&#8217;int\u00e9gration native avec les agents Elastic d\u00e9j\u00e0 d\u00e9ploy\u00e9s pour l&#8217;APM (Application Performance Monitoring), \u00e9vitant ainsi de multiplier les agents sur les serveurs.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"exemple-4-operateur-dimportance-vitale-oiv-hybride-wazuh-elastic\">Exemple 4 : op\u00e9rateur d&#8217;importance vitale (OIV) hybride Wazuh + Elastic<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Certains OIV fran\u00e7ais ont adopt\u00e9 une approche hybride : Wazuh pour la d\u00e9tection h\u00f4te (agents sur tous les serveurs) combin\u00e9 \u00e0 Elastic Security pour la corr\u00e9lation r\u00e9seau et les journaux d&#8217;infrastructure. Cette architecture supprime la d\u00e9pendance commerciale sur la couche d&#8217;ingestion (Elasticsearch open source ou OpenSearch) tout en b\u00e9n\u00e9ficiant des r\u00e8gles de d\u00e9tection de Wazuh. Le co\u00fbt global reste ma\u00eetris\u00e9 : infrastructure serveur + \u00e9ventuels contrats de support pour l&#8217;un et l&#8217;autre composant.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"exemple-5-mssp-managed-security-service-provider-multi-tenant\">Exemple 5 : MSSP (Managed Security Service Provider) multi-tenant<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Plusieurs MSSP europ\u00e9ens ont adopt\u00e9 Wazuh comme SIEM de base pour leurs offres g\u00e9r\u00e9es destin\u00e9es aux PME. La capacit\u00e9 \u00e0 d\u00e9ployer des instances multi-tenants sans co\u00fbt de licence par client est le principal argument \u00e9conomique. Le MSSP construit alors une couche de valeur ajout\u00e9e (playbooks de r\u00e9ponse, reporting client, int\u00e9gration threat intelligence) au-dessus de Wazuh, tout en contr\u00f4lant ses co\u00fbts op\u00e9rationnels. Splunk et Elastic proposent des programmes MSSP avec des remises volume, mais les barri\u00e8res \u00e0 l&#8217;entr\u00e9e restent \u00e9lev\u00e9es.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"avis-dexperts-open-source-vs-commercial\">Avis d&#8217;experts : open source vs commercial<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>John Hammond<\/strong>, chercheur en s\u00e9curit\u00e9 et cr\u00e9ateur de contenu sp\u00e9cialis\u00e9 cybers\u00e9curit\u00e9, a comment\u00e9 l&#8217;essor des SIEM open source dans plusieurs pr\u00e9sentations en 2025 : &#8220;Les outils comme Wazuh ont atteint un niveau de maturit\u00e9 qui les rend cr\u00e9dibles pour des environnements de production r\u00e9els. La question n&#8217;est plus &#8216;est-ce que \u00e7a fonctionne ?&#8217; mais &#8216;ai-je les ressources internes pour le maintenir ?'&#8221;<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Gerald Auger<\/strong> (Simply Cyber, expert en carri\u00e8res en cybers\u00e9curit\u00e9) souligne la dimension comp\u00e9tences : &#8220;Savoir d\u00e9ployer et op\u00e9rer Wazuh est une comp\u00e9tence directement monnayable sur le march\u00e9 du travail. Les \u00e9quipes qui ma\u00eetrisent Splunk SPL ont \u00e9galement un avantage, mais le co\u00fbt d&#8217;acc\u00e8s \u00e0 Splunk reste prohibitif pour la formation en dehors du contexte professionnel.&#8221;<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Florian Roth<\/strong> (auteur de Sigma, format de r\u00e8gles de d\u00e9tection universel), dont les r\u00e8gles sont compatibles avec Wazuh, Splunk et Elastic, a publi\u00e9 en 2025 : &#8220;Le vrai indicateur d&#8217;un bon SIEM n&#8217;est pas sa marque mais la qualit\u00e9 des r\u00e8gles de d\u00e9tection qui tournent dessus. Sigma permet d&#8217;\u00e9crire une r\u00e8gle une fois et de la d\u00e9ployer partout.&#8221;<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Du c\u00f4t\u00e9 de la communaut\u00e9 d\u00e9veloppeur, <strong>ThePrimeagen<\/strong> (Nick Morgan, d\u00e9veloppeur et cr\u00e9ateur de contenu technique chez Netflix) a \u00e9voqu\u00e9 l&#8217;importance de l&#8217;observabilit\u00e9 des syst\u00e8mes lors d&#8217;un podcast en 2025 : &#8220;Les \u00e9quipes d&#8217;ing\u00e9nierie qui ne comprennent pas ce que font leurs syst\u00e8mes en production sont aveugles. Que ce soit Elasticsearch, OpenSearch ou n&#8217;importe quel autre outil, l&#8217;essentiel est d&#8217;avoir de la visibilit\u00e9.&#8221; Cette perspective se transpose directement au choix d&#8217;un SIEM.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"5-recommandations-selon-votre-profil\">5 recommandations selon votre profil<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"profil-1-pme-ou-eti-francaise-moins-de-500-postes\">Profil 1 : PME ou ETI fran\u00e7aise (moins de 500 postes)<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Recommandation : Wazuh self-hosted.<\/strong> Le rapport co\u00fbt\/valeur est imbattable. Avec un ou deux ing\u00e9nieurs s\u00e9curit\u00e9 form\u00e9s (une semaine de formation suffit pour les bases), Wazuh couvre la d\u00e9tection d&#8217;intrusion, la conformit\u00e9 GDPR\/NIS2 et la surveillance d&#8217;int\u00e9grit\u00e9. Le budget se concentre sur l&#8217;infrastructure (2 \u00e0 3 serveurs virtuels) et la formation, soit 10 000 \u00e0 30 000 euros au total contre plusieurs centaines de milliers pour Splunk.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"profil-2-grande-entreprise-avec-equipe-soc-dediee-plus-de-2-000-postes\">Profil 2 : grande entreprise avec \u00e9quipe SOC d\u00e9di\u00e9e (plus de 2 000 postes)<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Recommandation : Splunk Enterprise Security<\/strong>, si le budget d\u00e9passe 500 000 euros\/an et que l&#8217;int\u00e9gration avec l&#8217;\u00e9cosyst\u00e8me Cisco\/Splunk est strat\u00e9gique. La richesse fonctionnelle, la qualit\u00e9 du support, et les 1 600+ r\u00e8gles ATT&amp;CK justifient le co\u00fbt pour des organisations avec des obligations l\u00e9gales strictes (OIV, secteur financier, sant\u00e9).<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"profil-3-infrastructure-cloud-native-ou-devsecops\">Profil 3 : infrastructure cloud-native ou DevSecOps<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Recommandation : Elastic Security.<\/strong> Si votre infrastructure est d\u00e9j\u00e0 sur Elastic (Elasticsearch pour l&#8217;APM, Kibana pour les dashboards), l&#8217;extension vers Elastic Security est naturelle et \u00e9conomique. La compatibilit\u00e9 native avec les agents Elastic, les int\u00e9grations AWS\/GCP\/Azure, et la puissance d&#8217;EQL en font le choix optimal pour les \u00e9quipes DevSecOps.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"profil-4-mssp-ou-soc-externalise\">Profil 4 : MSSP ou SOC externalis\u00e9<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Recommandation : Wazuh<\/strong> comme couche de d\u00e9tection de base, avec Elastic ou OpenSearch comme moteur d&#8217;indexation. Cette combinaison permet de g\u00e9rer plusieurs dizaines de clients sans co\u00fbt de licence croissant, avec une personnalisation par tenant des r\u00e8gles et des alertes. Les MSSP avanc\u00e9s ajoutent des flux de Threat Intelligence (MISP, OpenCTI) pour enrichir la d\u00e9tection.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"profil-5-laboratoire-formation-ou-poc\">Profil 5 : laboratoire, formation ou POC<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Recommandation : Wazuh ou Graylog.<\/strong> L&#8217;absence de limite d&#8217;ingestion en version gratuite permet de simuler des sc\u00e9narios d&#8217;attaque et de tester des configurations sans contrainte commerciale. Graylog convient particuli\u00e8rement pour la centralisation de logs applicatifs dans un contexte de formation. Wazuh est pr\u00e9f\u00e9rable pour apprendre la d\u00e9tection SIEM r\u00e9elle avec les techniques ATT&amp;CK.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"guide-de-migration-passer-a-wazuh-depuis-un-autre-siem\">Guide de migration : passer \u00e0 Wazuh depuis un autre SIEM<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">La migration vers Wazuh depuis Splunk ou Elastic implique plusieurs \u00e9tapes structur\u00e9es. L&#8217;avantage de Wazuh est que ses agents peuvent coexister temporairement avec d&#8217;anciens agents SIEM, permettant une transition progressive.<\/p>\n\n\n\n<ol class=\"wp-block-list\">\n<li><strong>Inventaire des sources de logs<\/strong> : lister tous les \u00e9quipements et applications qui envoient des donn\u00e9es \u00e0 l&#8217;ancien SIEM, en pr\u00e9cisant le volume quotidien et le format (syslog, JSON, CEF, LEEF).<\/li>\n<li><strong>Mapping des r\u00e8gles de d\u00e9tection<\/strong> : identifier les r\u00e8gles actives dans l&#8217;ancien SIEM et trouver leurs \u00e9quivalents dans la base de r\u00e8gles Wazuh. Sigma (le format universel de Florian Roth) facilite cette conversion : un convertisseur Sigma vers Wazuh existe dans la communaut\u00e9.<\/li>\n<li><strong>D\u00e9ploiement de l&#8217;infrastructure Wazuh<\/strong> : installer le Manager, l&#8217;Indexeur et le Dashboard. Pour un d\u00e9ploiement de 500 agents, les recommandations techniques indiquent au minimum 16 Go de RAM et 4 c\u0153urs CPU pour le Manager, 16 Go de RAM et 8 c\u0153urs pour l&#8217;Indexeur, avec 500 Go \u00e0 1 To de stockage SSD selon la dur\u00e9e de r\u00e9tention souhait\u00e9e.<\/li>\n<li><strong>D\u00e9ploiement progressif des agents<\/strong> : commencer par un groupe pilote (serveurs web, Active Directory) et valider la remont\u00e9e des \u00e9v\u00e9nements avant d&#8217;\u00e9tendre \u00e0 tout le parc.<\/li>\n<li><strong>Parall\u00e9lisation temporaire<\/strong> : garder l&#8217;ancien SIEM actif pendant 4 \u00e0 8 semaines pour comparer les alertes et valider l&#8217;\u00e9quivalence de d\u00e9tection.<\/li>\n<li><strong>Migration des tableaux de bord<\/strong> : recr\u00e9er les dashboards personnalis\u00e9s dans le Wazuh Dashboard (bas\u00e9 sur OpenSearch Dashboards). Les visualisations standard de conformit\u00e9 (PCI DSS, GDPR) sont disponibles nativement.<\/li>\n<li><strong>Extinction de l&#8217;ancien syst\u00e8me<\/strong> : une fois la parit\u00e9 de d\u00e9tection valid\u00e9e et les \u00e9quipes form\u00e9es, proc\u00e9der \u00e0 l&#8217;arr\u00eat de l&#8217;ancien SIEM et \u00e0 la r\u00e9siliation du contrat de licence.<\/li>\n<\/ol>\n\n\n\n<p class=\"wp-block-paragraph\">La dur\u00e9e typique d&#8217;une migration de Splunk vers Wazuh pour un environnement de 1 000 agents est de <strong>3 \u00e0 6 mois<\/strong>, selon la complexit\u00e9 des r\u00e8gles personnalis\u00e9es et le nombre de sources de logs. La migration depuis Elastic vers Wazuh est g\u00e9n\u00e9ralement plus courte (4 \u00e0 8 semaines) car les deux syst\u00e8mes partagent des concepts d&#8217;indexation similaires.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"avantages-et-inconvenients-de-chaque-solution\">Avantages et inconv\u00e9nients de chaque solution<\/h2>\n\n\n\n<figure class=\"wp-block-table\"><table><thead><tr><th>Solution<\/th><th>Avantages<\/th><th>Inconv\u00e9nients<\/th><\/tr><\/thead><tbody><tr><td><strong>Wazuh<\/strong><\/td><td>Gratuit, open source, conformit\u00e9 int\u00e9gr\u00e9e, agents multi-OS, XDR + SIEM, pas de limite d&#8217;ingestion, communaut\u00e9 active (15 911 \u00e9toiles GitHub)<\/td><td>Expertise technique requise, scalabilit\u00e9 limit\u00e9e en single-node, interface moins mature que Splunk, support commercial additionnel<\/td><\/tr><tr><td><strong>Splunk ES<\/strong><\/td><td>1 600+ r\u00e8gles ATT&amp;CK, SPL puissant, \u00e9cosyst\u00e8me large, support enterprise 24\/7, int\u00e9gration Cisco\/Talos post-acquisition<\/td><td>Co\u00fbt tr\u00e8s \u00e9lev\u00e9 (130\u2013180 $\/Go\/jour), d\u00e9pendance \u00e0 l&#8217;\u00e9diteur, courbe d&#8217;apprentissage SPL, version gratuite inutilisable en production<\/td><\/tr><tr><td><strong>Elastic Security<\/strong><\/td><td>Scalabilit\u00e9 native, 800+ r\u00e8gles ATT&amp;CK, EQL pour corr\u00e9lations complexes, int\u00e9gration APM, adapt\u00e9 au cloud<\/td><td>Changement de licence (non Apache 2.0), co\u00fbt cloud impr\u00e9visible, complexit\u00e9 op\u00e9rationnelle en auto-h\u00e9bergement<\/td><\/tr><tr><td><strong>Graylog<\/strong><\/td><td>Simple \u00e0 d\u00e9ployer, gratuit (open source), bon pour centralisation de logs, interface conviviale<\/td><td>SIEM limit\u00e9 (pas d&#8217;EDR, faibles capacit\u00e9s ATT&amp;CK), int\u00e9grations moins nombreuses, communaut\u00e9 plus petite<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"wazuh-5-0-ce-qui-arrive-en-2026\">Wazuh 5.0 : ce qui arrive en 2026<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">La <strong>version 5.0.0 Beta 2<\/strong> de Wazuh a \u00e9t\u00e9 publi\u00e9e le 21 mai 2026, signalant une \u00e9volution architecturale majeure. Les informations disponibles dans les notes de publication des versions beta indiquent une refonte du moteur d&#8217;analyse (analysisd), une am\u00e9lioration de la scalabilit\u00e9 en cluster, et une modernisation de l&#8217;API REST. La disponibilit\u00e9 g\u00e9n\u00e9rale de Wazuh 5.0 est attendue pour la fin 2026.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Pour les organisations en cours d&#8217;\u00e9valuation, ce calendrier est un param\u00e8tre \u00e0 int\u00e9grer. D\u00e9ployer Wazuh v4.14.5 aujourd&#8217;hui implique de pr\u00e9voir une mise \u00e0 jour vers 5.0 dans les 12 \u00e0 18 mois, avec les tests de r\u00e9gression associ\u00e9s. Les organisations qui d\u00e9ploient maintenant peuvent commencer avec la version stable et planifier la migration vers 5.0 apr\u00e8s la stabilisation de cette nouvelle branche majeure.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"couverture-des-liens-internes\">Couverture des liens internes<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"lectures-complementaires-sur-shattered-io\">Lectures compl\u00e9mentaires sur shattered.io<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Pour approfondir votre approche de la s\u00e9curit\u00e9 des syst\u00e8mes d&#8217;information, consultez ces articles connexes :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><a href=\"\/kali-linux-vs-parrot-os\/\">Kali Linux vs Parrot OS : 320 Mo RAM, 800 Outils [2026]<\/a><\/li>\n<li><a href=\"\/wireshark-analyse-reseau-tutoriel\/\">Wireshark : analyser le trafic r\u00e9seau en 12 \u00e9tapes [2026]<\/a><\/li>\n<li><a href=\"\/nmap-scanner-reseau-tutoriel\/\">Nmap : scanner un r\u00e9seau en 12 \u00e9tapes, 30 min [2026]<\/a><\/li>\n<li><a href=\"\/fail2ban-tutoriel-serveur-linux\/\">Fail2ban : prot\u00e9ger un serveur Linux en 12 \u00e9tapes [2026]<\/a><\/li>\n<li><a href=\"\/panorama-cybermenace-anssi-2025\/\">Cybermenace 2025 : l&#8217;ANSSI traite 1 366 incidents [2026]<\/a><\/li>\n<li><a href=\"\/iptables-linux-tutoriel\/\">iptables Linux : S\u00e9curiser un Serveur en 12 \u00c9tapes [2026]<\/a><\/li>\n<li><a href=\"\/security-hub\/\">S\u00e9curit\u00e9 en ligne : prot\u00e9ger ses donn\u00e9es, ses comptes et ses connexions<\/a><\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"le-verdict-quelle-solution-choisir-en-2026\">Le verdict : quelle solution choisir en 2026 ?<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">La r\u00e9ponse d\u00e9pend de trois variables : le budget disponible, la maturit\u00e9 de l&#8217;\u00e9quipe s\u00e9curit\u00e9, et le volume de donn\u00e9es \u00e0 traiter. Voici le verdict par segment :<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Pour moins de 100 000 euros de budget annuel SIEM<\/strong> : Wazuh est le seul choix raisonnable. Il couvre les fonctionnalit\u00e9s essentielles (d\u00e9tection d&#8217;intrusion, conformit\u00e9, FIM) sans co\u00fbt de licence. La limitation est op\u00e9rationnelle : il faut une \u00e9quipe capable de le maintenir.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Pour les grandes entreprises avec des obligations r\u00e9glementaires strictes<\/strong> : Splunk Enterprise Security, si le budget le permet et que l&#8217;int\u00e9gration avec l&#8217;\u00e9cosyst\u00e8me Cisco est un facteur. Ses 1 600+ r\u00e8gles ATT&amp;CK et son support 24\/7 en font la solution la plus compl\u00e8te du march\u00e9, au prix le plus \u00e9lev\u00e9.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Pour les infrastructures cloud-native traitant plus de 50 Go\/jour<\/strong> : Elastic Security offre le meilleur \u00e9quilibre co\u00fbt\/performance. Sa scalabilit\u00e9 horizontale absorbe les pics d&#8217;ingestion sans surco\u00fbt proportionnel, et l&#8217;int\u00e9gration APM\/observabilit\u00e9 en fait un choix naturel pour les \u00e9quipes DevSecOps.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>La combinaison gagnante pour 2026<\/strong> : Wazuh comme couche EDR\/HIDS sur les agents, coupl\u00e9 \u00e0 Elastic (ou OpenSearch) comme moteur d&#8217;indexation et tableau de bord. Cette architecture combine la d\u00e9tection h\u00f4te sans co\u00fbt de licence de Wazuh avec la scalabilit\u00e9 et les capacit\u00e9s de visualisation d&#8217;Elastic, pour un budget ma\u00eetrisable m\u00eame dans les environnements de taille interm\u00e9diaire.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Ce que Splunk offre que les alternatives ne peuvent pas reproduire : la maturit\u00e9 de l&#8217;\u00e9cosyst\u00e8me commercial (marketplace Splunkbase, int\u00e9grations pr\u00e9built pour des centaines d&#8217;applications), le support enterprise disponible \u00e0 toute heure, et la puissance analytique de SPL pour des cas d&#8217;usage tr\u00e8s sp\u00e9cifiques. Pour les SOC qui manquent d&#8217;experts en interne et qui peuvent s&#8217;appuyer sur le support Splunk pour r\u00e9soudre les incidents de plateforme, ce surco\u00fbt peut \u00eatre justifi\u00e9.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"langages-de-requete-spl-kql-eql-et-wazuh-query-language\">Langages de requ\u00eate : SPL, KQL\/EQL et Wazuh Query Language<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">La ma\u00eetrise du langage de requ\u00eate est un facteur cl\u00e9 de la productivit\u00e9 des analystes SOC. Chaque plateforme propose une syntaxe distincte, avec des forces et des limitations.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Splunk Processing Language (SPL)<\/strong> est le plus expressif et le plus puissant pour l&#8217;analyse statistique. Une recherche typique pour identifier les tentatives de connexion \u00e9chou\u00e9es ressemble \u00e0 :<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>index=security EventCode=4625\n| stats count by src_ip, user\n| where count > 10\n| sort -count<\/code><\/pre>\n\n\n\n<p class=\"wp-block-paragraph\">SPL s&#8217;appuie sur un pipeline de commandes encha\u00een\u00e9es. Sa richesse (plus de 140 commandes et fonctions) en fait un outil analytique puissant mais avec une courbe d&#8217;apprentissage de plusieurs semaines pour les d\u00e9butants.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Elastic Query Language (EQL)<\/strong> excelle dans la d\u00e9tection de s\u00e9quences d&#8217;\u00e9v\u00e9nements temporels, typiques des attaques multi-\u00e9tapes. Exemple de d\u00e9tection d&#8217;un process injection suivi d&#8217;une connexion r\u00e9seau suspecte :<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>sequence by process.entity_id with maxspan=1m\n  [process where process.name == \"powershell.exe\" and process.args : \"*\/c*\"]\n  [network where network.direction == \"outgoing\" and\n   not cidrmatch(destination.ip, \"10.0.0.0\/8\", \"192.168.0.0\/16\")]<\/code><\/pre>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Wazuh Query Language<\/strong> (bas\u00e9 sur OpenSearch Query DSL) est moins expressif que SPL ou EQL pour les analyses statistiques complexes, mais suffisant pour les cas d&#8217;usage SIEM courants : filtrage par r\u00e8gle, agent, niveau d&#8217;alerte, ou groupe de conformit\u00e9. L&#8217;interface Wazuh Dashboard simplifie la cr\u00e9ation de requ\u00eates via des filtres graphiques, r\u00e9duisant la d\u00e9pendance \u00e0 l&#8217;\u00e9criture manuelle de requ\u00eates.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"integration-de-la-threat-intelligence\">Int\u00e9gration de la Threat Intelligence<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">La corr\u00e9lation avec des flux de Threat Intelligence (TI) enrichit la d\u00e9tection en ajoutant du contexte aux indicateurs de compromission (IoC). Les trois plateformes supportent cette int\u00e9gration, avec des approches diff\u00e9rentes.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Wazuh int\u00e8gre nativement <strong>MISP<\/strong> (Malware Information Sharing Platform) et supporte les flux STIX\/TAXII. La configuration se fait via le module d&#8217;int\u00e9gration du Manager, qui peut interroger des feeds externes et enrichir les alertes avec des informations de r\u00e9putation d&#8217;IP, de hash de fichier, ou de domaine. Des dizaines d&#8217;int\u00e9grations communautaires existent pour OpenCTI, AlienVault OTX, et VirusTotal.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Splunk dispose de <strong>Splunk Enterprise Security Threat Intelligence<\/strong>, un framework int\u00e9gr\u00e9 pour consommer des flux STIX\/TAXII, CSV, et JSON. L&#8217;int\u00e9gration avec Cisco Talos (depuis l&#8217;acquisition) ajoute un flux propri\u00e9taire de haute qualit\u00e9 sans co\u00fbt additionnel pour les clients ES. C&#8217;est un avantage concret que les solutions open source ne reproduisent pas facilement.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Elastic Security propose un module TI inclus dans son tier Platinum, avec support natif pour des dizaines de flux publics et commerciaux. Les r\u00e8gles de d\u00e9tection bas\u00e9es sur les indicateurs TI utilisent EQL, permettant des corr\u00e9lations pr\u00e9cises entre les IoC et les \u00e9v\u00e9nements r\u00e9seau ou endpoint. Le <a href=\"https:\/\/attack.mitre.org\" rel=\"noopener\" target=\"_blank\">framework MITRE ATT&amp;CK<\/a> sert de r\u00e9f\u00e9rence universelle pour mapper les r\u00e8gles de d\u00e9tection aux techniques d&#8217;attaque r\u00e9elles, quel que soit le SIEM utilis\u00e9.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"questions-frequentes\">Questions fr\u00e9quentes<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"wazuh-est-il-vraiment-gratuit\">Wazuh est-il vraiment gratuit ?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Oui. Le code source de Wazuh est publi\u00e9 sous licence GPL v2 sur <a href=\"https:\/\/github.com\/wazuh\/wazuh\" rel=\"noopener\" target=\"_blank\">GitHub<\/a> et le logiciel est utilisable sans restriction d&#8217;ingestion ni paiement de licence. Le co\u00fbt r\u00e9el est l&#8217;infrastructure (serveurs ou VMs) et les ressources humaines n\u00e9cessaires \u00e0 son d\u00e9ploiement et maintien. Wazuh propose \u00e9galement <strong>Wazuh Cloud<\/strong>, une version h\u00e9berg\u00e9e payante avec support inclus.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"wazuh-peut-il-remplacer-splunk-dans-une-grande-entreprise\">Wazuh peut-il remplacer Splunk dans une grande entreprise ?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Partiellement. Wazuh couvre efficacement la d\u00e9tection h\u00f4te, la conformit\u00e9 r\u00e9glementaire et la surveillance des endpoints. En revanche, la richesse analytique de Splunk SPL, l&#8217;\u00e9cosyst\u00e8me d&#8217;int\u00e9grations Splunkbase, et le support enterprise 24\/7 restent des avantages difficiles \u00e0 reproduire avec une solution open source. Pour les entreprises dont le SOC d\u00e9pend de fonctionnalit\u00e9s avanc\u00e9es (UEBA, SOAR natif, corr\u00e9lation r\u00e9seau large), Wazuh seul ne suffit pas et une architecture hybride Wazuh + Elastic est plus appropri\u00e9e.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"quelle-est-la-difference-entre-un-siem-et-un-xdr\">Quelle est la diff\u00e9rence entre un SIEM et un XDR ?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Un <strong>SIEM<\/strong> collecte et corr\u00e8le des journaux d&#8217;\u00e9v\u00e9nements provenant de multiples sources pour d\u00e9tecter des anomalies et g\u00e9n\u00e9rer des alertes. Un <strong>XDR<\/strong> (Extended Detection and Response) va plus loin en int\u00e9grant nativement la r\u00e9ponse automatis\u00e9e aux incidents (isolation d&#8217;un endpoint compromis, blocage d&#8217;une connexion r\u00e9seau). Wazuh positionne sa plateforme comme un SIEM\/XDR unifi\u00e9, avec des capacit\u00e9s de rem\u00e9diation active via des scripts d&#8217;active response. Splunk et Elastic atteignent un niveau XDR complet uniquement avec leurs add-ons SOAR (payants).<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"combien-dagents-wazuh-peut-on-gerer-par-serveur\">Combien d&#8217;agents Wazuh peut-on g\u00e9rer par serveur ?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">En configuration single-node (un seul serveur Manager), Wazuh supporte g\u00e9n\u00e9ralement <strong>plusieurs milliers d&#8217;agents simultan\u00e9s<\/strong> selon les ressources disponibles. Une architecture multi-n\u0153uds permet de d\u00e9passer les 50 000 agents. La capacit\u00e9 exacte d\u00e9pend du volume d&#8217;\u00e9v\u00e9nements g\u00e9n\u00e9r\u00e9s par agent, de la RAM allou\u00e9e \u00e0 l&#8217;indexeur, et de la politique de r\u00e9tention des donn\u00e9es.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"elastic-security-est-il-open-source\">Elastic Security est-il open source ?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Partiellement. La stack ELK de base (Elasticsearch, Logstash, Kibana) \u00e9tait open source sous licence Apache 2.0 jusqu&#8217;en janvier 2021. Elastic a depuis bascul\u00e9 vers une licence duale SSPL (Server Side Public License) et Elastic License, qui impose des restrictions commerciales. Les fonctionnalit\u00e9s avanc\u00e9es d&#8217;Elastic Security (SIEM, EDR, alertes avanc\u00e9es) sont disponibles dans les tiers payants. En r\u00e9ponse \u00e0 ce changement, AWS a cr\u00e9\u00e9 <strong>OpenSearch<\/strong>, qui reste Apache 2.0 et que Wazuh a adopt\u00e9 comme moteur d&#8217;indexation.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"comment-fonctionne-la-conformite-gdpr-dans-wazuh\">Comment fonctionne la conformit\u00e9 GDPR dans Wazuh ?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Wazuh int\u00e8gre un module de conformit\u00e9 GDPR qui cartographie les \u00e9v\u00e9nements de s\u00e9curit\u00e9 (acc\u00e8s aux donn\u00e9es, modifications de fichiers, connexions utilisateurs) avec les exigences du R\u00e8glement G\u00e9n\u00e9ral sur la Protection des Donn\u00e9es. Le tableau de bord GDPR de Wazuh affiche en temps r\u00e9el les alertes pertinentes pour les articles 25 (protection des donn\u00e9es par conception), 32 (s\u00e9curit\u00e9 du traitement), et 33 (notification des violations). Cette fonctionnalit\u00e9 est disponible sans configuration suppl\u00e9mentaire \u00e0 partir de Wazuh v3.x.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"wazuh-fonctionne-t-il-sur-les-environnements-cloud-aws-azure-ou-gcp\">Wazuh fonctionne-t-il sur les environnements cloud AWS, Azure ou GCP ?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Oui. Wazuh dispose d&#8217;int\u00e9grations natives pour <strong>AWS<\/strong> (CloudTrail, GuardDuty, S3 buckets, Inspector), <strong>Azure<\/strong> (Azure Defender, Azure Activity Logs, Microsoft 365), et <strong>GCP<\/strong> (Cloud Logging, Cloud Security Command Center). Ces int\u00e9grations permettent d&#8217;\u00e9tendre la d\u00e9tection Wazuh aux environnements cloud sans d\u00e9ployer d&#8217;agent sur les ressources manag\u00e9es (bases de donn\u00e9es, services serverless).<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"quelle-est-la-difference-entre-wazuh-et-ossec\">Quelle est la diff\u00e9rence entre Wazuh et OSSEC ?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Wazuh est n\u00e9 d&#8217;un fork d&#8217;<strong>OSSEC<\/strong> (Open Source Security) en 2015, avec l&#8217;objectif de moderniser l&#8217;architecture et d&#8217;ajouter des fonctionnalit\u00e9s manquantes : API REST, interface web (Kibana puis OpenSearch Dashboard), indexation des \u00e9v\u00e9nements, modules de conformit\u00e9. OSSEC reste maintenu mais son d\u00e9veloppement est beaucoup plus lent. En 2026, Wazuh v4.14.5 est techniquement sans commune mesure avec OSSEC en termes de fonctionnalit\u00e9s, de scalabilit\u00e9 et d&#8217;int\u00e9grations.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Choisir un SIEM (Security Information and Event Management) en 2026 revient souvent \u00e0 trancher entre deux philosophies : payer plusieurs centaines de milliers d&#8217;euros par an pour une solution commerciale\u2026<\/p>\n","protected":false},"author":9,"featured_media":310,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[10,3],"tags":[],"class_list":["post-309","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-10","category-security"],"_links":{"self":[{"href":"https:\/\/shattered.io\/fr\/wp-json\/wp\/v2\/posts\/309","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/shattered.io\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/shattered.io\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/shattered.io\/fr\/wp-json\/wp\/v2\/users\/9"}],"replies":[{"embeddable":true,"href":"https:\/\/shattered.io\/fr\/wp-json\/wp\/v2\/comments?post=309"}],"version-history":[{"count":1,"href":"https:\/\/shattered.io\/fr\/wp-json\/wp\/v2\/posts\/309\/revisions"}],"predecessor-version":[{"id":311,"href":"https:\/\/shattered.io\/fr\/wp-json\/wp\/v2\/posts\/309\/revisions\/311"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/shattered.io\/fr\/wp-json\/wp\/v2\/media\/310"}],"wp:attachment":[{"href":"https:\/\/shattered.io\/fr\/wp-json\/wp\/v2\/media?parent=309"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/shattered.io\/fr\/wp-json\/wp\/v2\/categories?post=309"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/shattered.io\/fr\/wp-json\/wp\/v2\/tags?post=309"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}