📌 Introduction : Et si votre PME avait son propre centre de supervision de sécurité ?
Les cyberattaques ne frappent plus seulement les grandes entreprises.
Aujourd’hui, 70 % des PME subissent au moins une tentative d’intrusion par an (source ANSSI, 2024).
Pourtant, très peu disposent d’un système pour détecter en temps réel :
- Une connexion suspecte depuis l’étranger
- Un comportement anormal sur un poste (ransomware)
- Une fuite de données vers un serveur externe
Heureusement, vous n’avez pas besoin de Microsoft Sentinel ou de Splunk pour y arriver.
Deux solutions open source changent la donne :
- Wazuh : pour la supervision des postes et serveurs (HIDS)
- Security Onion : une distribution complète de sécurité réseau, intégrant Wazuh, Suricata, Zeek, et un dashboard puissant
Dans cet article, découvrez comment mettre en place un système de surveillance proactif, même avec un petit budget.
✅ Pas de cloud américain.
✅ Pas de licence coûteuse.
✅ 100 % sous votre contrôle.
🔍 Qu’est-ce que la supervision de sécurité en open source ?
La supervision de sécurité consiste à collecter, analyser et alerter sur les activités suspectes dans votre infrastructure.
Deux approches complémentaires :
- Surveillance des hôtes (HIDS) → ce qui se passe sur les postes (fichiers modifiés, connexions, logs)
- Surveillance du réseau (NIDS) → ce qui circule sur le réseau (trafic, flux, menaces)
C’est ici que Wazuh et Security Onion entrent en jeu.
🛠 Deux outils, deux approches
1. Wazuh – La supervision des postes et serveurs
🔍 Solution open source de détection d’intrusions basée sur l’hôte (HIDS).
✅ Fonctionnalités clés :
- Surveillance des logs système et applicatifs
- Détection des changements de fichiers critiques
- Analyse des processus et connexions réseau
- Gestion de la conformité (RGPD, PCI-DSS)
- Intégration avec Elastic Stack (dashboard Kibana)
- Agents pour Windows, Linux, macOS
✅ Avantages :
- Léger, facile à déployer
- Idéal pour surveiller des postes sensibles (comptabilité, direction)
- Peut être installé en complément de Security Onion
💼 Idéal pour : PME voulant superviser leurs serveurs et postes critiques
2. Security Onion – Le SOC open source tout-en-un
🔥 Security Onion n’est pas un simple outil.
C’est une distribution Linux complète, conçue pour transformer un serveur en centre de supervision de sécurité.
✅ Fonctionnalités intégrées :
| OUTIL | RÔLE |
|---|---|
| Suricata | Détection d’intrusions réseau (NIDS) – analyse du trafic en temps réel |
| Zeek (Bro) | Analyse comportementale du réseau – journalise tous les flux (DNS, HTTP, SSL) |
| Wazuh | Supervision des hôtes (HIDS) – intégré nativement |
| Elasticsearch + Kibana | Stockage et visualisation des données |
| Stenographer | Capture complète du trafic réseau (comme un “black box”) |
| CyberChef, Kali Tools | Outils d’analyse forensique intégrés |
✅ Avantages :
- Tout-en-un : pas besoin d’assembler plusieurs outils
- Détection réseau ET hôte
- Dashboard puissant avec Kibana
- Gratuit, open source, RGPD-friendly
- Idéal pour le monitoring 24/7
⚠️ Limites :
- Nécessite un serveur dédié (8 Go RAM minimum, 50 Go disque)
- Courbe d’apprentissage plus raide
- Principalement en ligne de commande
💼 Idéal pour : PME avec un responsable IT, cabinets informatiques, ASBL sensibles
🔗 Site officiel : securityonion.net
🧩 Quand choisir Wazuh, quand choisir Security Onion ?
| BESOIN | SOLUTION RECOMMANDEE |
|---|---|
| Superviserquelques postes/servers | ✅Wazuh seul |
| Analyser letrafic réseau complet | ✅Security Onion |
| Budget limité, infrastructure simple | ✅ Wazuh |
| Besoin d’unSOC interne low-cost | ✅ Security Onion |
| Intégration avec unSIEM existant | ✅ Wazuh (via API) |
| Analyse forensique après incident | ✅ Security Onion |
🧑💼 Notre conseil :
- Commencez par Wazuh si vous voulez une solution simple.
- Passez à Security Onion si vous voulez une vision complète du réseau.
🛠 Comment déployer Security Onion dans une PME ?
Étape 1 : Préparer le matériel
- Un serveur dédié (physique ou VM)
- Minimum : 8 Go RAM, 50 Go disque, 2 CPU
- Connexion en mirroring sur le routeur (port SPAN) pour capter tout le trafic
💡 Astuce : Un PC ancien peut suffire pour une petite structure.
Étape 2 : Installer Security Onion
- Téléchargez l’ISO depuis securityonion.net
- Gravez-la sur une clé USB
- Démarrez le serveur dessus
- Suivez l’assistant d’installation (mode Standalone pour une PME)
Étape 3 : Configurer la surveillance
- Activez Suricata et Zeek
- Connectez Wazuh pour superviser les postes
- Configurez les règles d’alerte (ex : trafic vers un pays à risque)
- Accédez au dashboard Kibana via
https://votre-serveur
Étape 4 : Déployer les agents Wazuh
- Installez l’agent Wazuh sur les postes sensibles
- Ils apparaissent automatiquement dans la console
Étape 5 : Surveiller et réagir
- Consultez les alertes quotidiennement
- Exportez les rapports mensuels
- En cas d’incident : utilisez Stenographer pour reconstituer le trafic
🆚 Wazuh vs Security Onion : Lequel choisir ?
| CRITERE | WAZUH | SECURITY ONION |
|---|---|---|
| Type | HIDS (supervision des hôtes) | NIDS + HIDS + Forensics |
| Installation | Simple (agent) | Complexe (OS complet) |
| Matériel requis | Faible | Élevé (serveur dédié) |
| Analyse réseau | ❌ Non | ✅ Oui (Suricata, Zeek) |
| Capture du trafic | ❌ | ✅ Stenographer |
| Dashboard | Kibana (avec Elastic) | Kibana intégré |
| Apprentissage | Facile | Moyen à difficile |
| Coût | Gratuit | Gratuit |
| Recommandé pour | Postes/servers | SOC interne, analyse réseau |
📚 Ressources utiles
✅ Bonnes pratiques
- Commencez par un réseau segmenté (ex : VLAN comptabilité)
- Formez un référent IT à l’analyse des alertes
- Mettez à jour régulièrement la base de règles (Suricata)
- Sauvegardez la configuration du serveur
- Utilisez un reverse proxy + HTTPS pour sécuriser l’accès au dashboard
✅ Conclusion : Un SOC open source, c’est possible — même pour une PME
Vous n’avez pas besoin d’un budget colossal pour savoir ce qui se passe sur votre réseau.
Avec Wazuh ou Security Onion, vous pouvez :
- Détecter une intrusion avant qu’elle ne devienne une crise
- Comprendre d’où vient une fuite de données
- Répondre plus vite en cas d’incident
- Respecter les exigences de conformité (RGPD, NIS2)
🧑💼 Notre conseil :
Si vous avez un responsable IT ou un prestataire fiable, Security Onion est un investissement stratégique.
Sinon, démarrez avec Wazuh sur les postes critiques.
