\/<\/span> Adaptive MFA : la pression NIS2 comme levier<\/p>\nPourquoi le Vendor-Lock dans le march\u00e9 SIEM devient un risque op\u00e9rationnel<\/h2>\n
Les renouvellements SIEM dans les PME et les grandes entreprises DACH ont montr\u00e9 un sch\u00e9ma au cours des 18 derniers mois. Les co\u00fbts de licence augmentent de deux chiffres, les limites EPS deviennent plus strictes, le volume de journalisation cro\u00eet plus rapidement que le budget en raison des charges de travail cloud. Ceux qui ont sign\u00e9 un contrat en 2018 paient souvent le double en 2026 pour une architecture nominalement identique.<\/p>\n
Le Vendor-Lock n’est pas seulement une question de co\u00fbts. Ceux qui ont maintenu 2.000 r\u00e8gles de d\u00e9tection dans un langage de requ\u00eate propri\u00e9taire ne peuvent pas changer sans friction. C’est pr\u00e9cis\u00e9ment ce qui fait de l’ing\u00e9nierie de d\u00e9tection une discipline qui doit \u00eatre ancr\u00e9e dans le mod\u00e8le op\u00e9rationnel, et non dans un contrat de fournisseur. Ceux qui reportent cela paient le manquement de trois ans lors du renouvellement.<\/p>\n
Le cloud hybride n’est pas un mod\u00e8le architectural, mais la cons\u00e9quence lorsque deux \u00e9quipes n’ont pas communiqu\u00e9 \u00e0 temps. Le Vendor-Lock dans le SIEM est la cons\u00e9quence lorsque personne ne traite les r\u00e8gles de d\u00e9tection comme un actif ind\u00e9pendant.<\/p>\n
La pile en un coup d’\u0153il : Wazuh, Sigma, Shuffle, DFIR-IRIS<\/h2>\n
La pile open-source discut\u00e9e ici se compose de quatre composants qui couvrent diff\u00e9rentes fonctions. Ils sont ajustables les uns aux autres, mais ne constituent pas une plateforme int\u00e9gr\u00e9e au sens d’un SIEM commercial. C’est pr\u00e9cis\u00e9ment cette caract\u00e9ristique qui est \u00e0 la fois sa force et son d\u00e9fi.<\/p>\n
Wazuh<\/strong> constitue la plateforme de d\u00e9tection. Il combine les fonctionnalit\u00e9s HIDS, l’analyse des logs et les rapports de conformit\u00e9 bas\u00e9s sur Elasticsearch, et fournit une interface utilisateur web pour le triage des alertes. Sigma<\/strong> est le standard de r\u00e8gles de d\u00e9tection, formul\u00e9 de mani\u00e8re ind\u00e9pendante de la plateforme, et peut \u00eatre traduit en r\u00e8gles Wazuh, r\u00e8gles de d\u00e9tection Elastic ou requ\u00eates Splunk. Shuffle<\/strong> est le composant SOAR qui orchestre les workflows entre la d\u00e9tection, l’enrichissement et la r\u00e9ponse. DFIR-IRIS<\/strong> est l’outil de gestion de cas pour les workflows de r\u00e9ponse aux incidents.<\/p>\nCelui qui entend le terme \u00ab\u00a0agentic-AI-f\u00e4hig\u00a0\u00bb doit \u00eatre prudent. Les composants ont des points d’int\u00e9gration pour l’enrichissement bas\u00e9 sur LLM, mais cela ne fait pas de la pile une plateforme de s\u00e9curit\u00e9 autonome. Celui qui utilise des agents IA dans les workflows Shuffle assume \u00e9galement la responsabilit\u00e9 des hallucinations que chaque agent apporte. Celui qui traite les cl\u00e9s KMS comme un menu d\u00e9roulant n’a soit jamais v\u00e9cu d’audit, soit n’en a pas eu de bon. La m\u00eame chose s’applique aux agents IA dans le pipeline de d\u00e9tection.<\/p>\n
Avantages et inconv\u00e9nients dans le tableau honn\u00eate<\/h2>\n
La comparaison honn\u00eate entre un SIEM commercial et une pile open-source centr\u00e9e sur Wazuh pr\u00e9sente des compromis clairs, souvent absents des pr\u00e9sentations marketing. Celui qui met la table avant la date de renouvellement gagne au moins une base de discussion.<\/p>\n
\n
\n\n\n| Dimension<\/th>\n | Pro Pile Open-Source<\/th>\n | Pro SIEM commercial<\/th>\n<\/tr>\n<\/thead>\n |
\n\nCo\u00fbts de licence<\/strong><\/td>\n| Aucun par EPS, aucun plafond sur le volume de donn\u00e9es. Souvent 70 pour cent moins cher en termes de licence pour les configurations cloud-heavy.<\/td>\n | Pr\u00e9visible, avec support de secours. Le rapport trimestriel du fournisseur inclut automatiquement la plupart des exigences d’audit.<\/td>\n<\/tr>\n | \nEffort FTE<\/strong><\/td>\n| Plus \u00e9lev\u00e9. 2\u20133 ing\u00e9nieurs de d\u00e9tection en ligne, un senior pour le r\u00f4le de propri\u00e9taire de l’architecture.<\/td>\n | Plus faible dans les op\u00e9rations quotidiennes, plus \u00e9lev\u00e9 en cas d’escalades avec le fournisseur. La comp\u00e9tence de l’utilisateur avanc\u00e9 est sp\u00e9cifique au fournisseur.<\/td>\n<\/tr>\n | \nPortabilit\u00e9 de la logique de d\u00e9tection<\/strong><\/td>\n| Les r\u00e8gles Sigma sont agnostiques de la plateforme. Passage \u00e0 Elastic, Splunk ou Sentinel possible sans perte totale.<\/td>\n | Langages de requ\u00eate propri\u00e9taires. La migration co\u00fbte typiquement 6\u201312 mois par portefeuille de d\u00e9tection.<\/td>\n<\/tr>\n | \nAudit \/ Conformit\u00e9 NIS2<\/strong><\/td>\n| R\u00e9alisable si le audit trail est document\u00e9. Plus d’efforts personnels pour la preuve.<\/td>\n | Le fournisseur livre des modules d’audit par d\u00e9faut. Statut de conformit\u00e9 sur un tableau de bord.<\/td>\n<\/tr>\n | \nEscalade du support Sev-1<\/strong><\/td>\n| Communaut\u00e9 + abonnement Wazuh payant. Efforts personnels pour les questions d’architecture profondes.<\/td>\n | Support fournisseur 24\/7, accord de niveau de service contractuel. Le chemin d’escalade est en place.<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<\/div>\n Le tableau a une cons\u00e9quence importante. Les piles open-source ne valent pas principalement financi\u00e8rement, mais strat\u00e9giquement. Celui qui consid\u00e8re le Vendor-Lock comme un risque plus grand que la liaison FTE a une r\u00e9ponse. Celui qui pond\u00e8re le support fournisseur plus haut que la portabilit\u00e9 a une autre r\u00e9ponse. Les deux sont l\u00e9gitimes, les deux ont leurs cons\u00e9quences.<\/p>\n Trois chiffres que le CISO doit pr\u00e9senter au comit\u00e9 de pilotage<\/h2>\nAu sein du comit\u00e9 de pilotage, la discussion sur l’open-source \u00e9choue souvent \u00e0 cause d’un seul chiffre que personne n’a correctement calcul\u00e9. Trois valeurs sobres aident \u00e0 mieux d\u00e9finir la r\u00e9alit\u00e9.<\/p>\n \n R\u00e9alit\u00e9 op\u00e9rationnelle<\/p>\n \n \n 3 FTE<\/p>\n Seuil d’ing\u00e9nierie de d\u00e9tection.<\/strong> En dessous de trois ing\u00e9nieurs seniors en d\u00e9tection, la pile open-source devient \u00e9conomiquement risqu\u00e9e. Au-dessus, elle devient productive.<\/p>\n<\/div>\n | | | | | |