La réponse courte
« Wazuh ou OpenVAS » est l\'une des recherches les plus fréquentes en sécurité open source, et elle repose sur une fausse prémisse. Ce ne sont pas des concurrents. Ils appartiennent à des catégories d\'outils différentes et répondent à des questions différentes.
En une phrase : Wazuh est un SIEM qui vous dit ce qui se passe sur vos systèmes en ce moment ; OpenVAS est un scanner de vulnérabilités qui vous dit ce qui pourrait être exploité avant que cela n\'arrive. La plupart des stacks de sécurité matures utilisent les deux, et Wazuh peut même intégrer les résultats d\'OpenVAS.
Nous déployons et maintenons ces deux outils en production pour des clients à travers l\'Europe et au-delà. Voici la comparaison que nous aurions aimé trouver lorsqu\'on nous demande lequel choisir, car la réponse honnête est généralement « aucun des deux seul ».
Wazuh et OpenVAS en un coup d\'œil
| | Wazuh | OpenVAS / GVM |
|---|
| Catégorie | SIEM / XDR (détection et réponse) | Scanner de vulnérabilités |
| Question centrale | Que se passe-t-il sur mes systèmes ? | Quelles faiblesses un attaquant peut-il exploiter ? |
| Fonctionne en | Collectant et corrélant logs et télémétrie des terminaux, en continu | Sondant activement les hôtes contre une base de vulnérabilités connues, de façon planifiée |
| Exécution | En continu, en temps réel | Périodique (scans hebdomadaires ou mensuels) |
| Sortie | Alertes, tableaux de bord, rapports de conformité | Liste de vulnérabilités classées avec scores CVSS |
| Maintenu par | Wazuh Inc. | Greenbone (au sein de la suite Greenbone Vulnerability Management) |
Ce que fait réellement Wazuh
Wazuh est une plateforme open source et gratuite de supervision de la sécurité : détection des menaces, surveillance de l\'intégrité des fichiers, réponse aux incidents et rapports de conformité. Elle repose sur la stack Elastic mais ajoute une couche orientée sécurité avec une surveillance des terminaux par agents, l\'analyse des logs et des tableaux de bord de conformité réglementaire.
En pratique, Wazuh est le système nerveux d\'une opération de sécurité. Des agents installés sur les terminaux transmettent logs, modifications de fichiers et anomalies détectées à un gestionnaire central, qui les corrèle à des règles de détection et déclenche des alertes. C\'est l\'outil qu\'un analyste surveille pour savoir si quelque chose ne va pas maintenant.
Les points forts de Wazuh
- Visibilité continue : supervision en temps réel des terminaux, serveurs, cloud et applications depuis une seule console.
- Conformité intégrée : tableaux de bord PCI DSS, RGPD, HIPAA et NIST prêts à l\'emploi, utiles pour démontrer l\'efficacité des contrôles aux auditeurs.
- Réponse active : peut bloquer automatiquement des IP ou isoler des terminaux selon des règles configurables.
- Un agent, plusieurs fonctions : intégrité des fichiers, détection de rootkits, collecte de logs et détection légère de vulnérabilités dans un seul paquet.
Les points faibles de Wazuh
- Gourmand en ressources : Elasticsearch réclame de la RAM et du disque. Prévoyez 16 Go minimum pour de petits déploiements, bien plus en grandissant.
- Le réglage n\'est pas optionnel : les règles par défaut génèrent du bruit. Comptez deux à quatre semaines pour ramener les faux positifs à un niveau supportable.
- Courbe d\'apprentissage : les tableaux de bord sont puissants mais peu accessibles aux non-spécialistes.
Nous détaillons Wazuh, aux côtés du reste de notre stack, dans les outils de sécurité open source que nous utilisons et recommandons vraiment.
Ce que fait réellement OpenVAS
OpenVAS (désormais distribué au sein de la suite Greenbone Vulnerability Management, ou GVM) est un scanner de vulnérabilités open source. Il sonde hôtes et services contre un large flux, régulièrement mis à jour, de tests de vulnérabilités réseau, puis signale ce qu\'il trouve, classé par gravité.
Là où Wazuh observe ce qui se passe, OpenVAS part en quête de ce qui pourrait se passer. C\'est une lampe que vous braquez régulièrement sur votre propre infrastructure pour repérer les services non corrigés, les configurations faibles et les CVE connues que viserait un attaquant.
Les points forts d\'OpenVAS
- Coût : un scan de vulnérabilités de niveau entreprise sans licence par actif, la raison principale pour laquelle les équipes le préfèrent à Nessus ou Qualys.
- Couverture : des dizaines de milliers de tests de vulnérabilités, fréquemment mis à jour depuis le Greenbone Community Feed.
- Scans authentifiés : avec des identifiants, il inspecte les paquets installés et les niveaux de correctifs, pas seulement les ports exposés, ce qui améliore nettement la précision.
- Rapports : rapports clairs et notés CVSS, adaptés au suivi de la remédiation et aux preuves d\'audit.
Les points faibles d\'OpenVAS
- Installation pénible : historiquement le côté rugueux de l\'outil. Les déploiements Docker aident, mais prévoyez une demi-journée pour la première installation.
- Faux positifs : un taux plus élevé que les scanners commerciaux. Les résultats doivent être vérifiés par un humain avant d\'agir.
- Vitesse : plus lent que Nessus à périmètre équivalent. Les grands scans réseau prennent du temps.
- Faible sur les applications web : ne vous y fiez pas pour les tests d\'applications web. Associez-le à OWASP ZAP ou Burp Suite.
La vraie question : détection ou prévention
Si « Wazuh ou OpenVAS » revient sans cesse, c\'est que les deux sont open source, que les deux touchent aux « vulnérabilités » et que les deux finissent sur la même ligne budgétaire. Mais ils se situent aux extrémités opposées du cycle de vie de la sécurité.
OpenVAS est préventif. Il réduit votre surface d\'attaque en repérant les faiblesses pour que vous les corrigiez avant exploitation. Wazuh est détectif. Il part du principe que quelque chose finira par passer et veille à ce que vous le voyiez quand cela arrive. Choisir l\'un plutôt que l\'autre revient à se demander si l\'on a besoin de serrures ou d\'une alarme. On veut les deux, et ils se renforcent mutuellement.
Comment ils se complètent : OpenVAS trouve le serveur non corrigé. Wazuh vous prévient quand quelqu\'un commence à le sonder. Intégrez les résultats d\'OpenVAS dans Wazuh et une seule console affiche à la fois vos faiblesses connues et l\'activité en cours qui les vise.
Avez-vous besoin des deux ? Un guide de décision rapide
- Vous n\'avez aucune supervision : commencez par Wazuh. La visibilité sur ce qui se passe est le socle de tout le reste.
- Vous corrigez de façon réactive et voulez prendre les devants : commencez par OpenVAS. Connaître vos faiblesses permet de prioriser la remédiation plutôt que d\'éteindre des incendies.
- Vous visez NIS2, DORA ou l\'ISO 27001 : il vous faut les deux. Supervision continue et évaluation régulière des vulnérabilités sont des exigences explicites ou implicites dans les trois cas.
- Vous êtes une petite équipe sans analyste dédié : utilisez les deux, mais envisagez sérieusement de les faire gérer. Les outils sont gratuits ; l\'expertise pour les exploiter ne l\'est pas.
Et les alternatives à Wazuh ?
Si Wazuh est trop lourd pour votre environnement, les alternatives open source habituelles sont Security Onion (une stack de détection packagée), Graylog (gestion de logs orientée sécurité) et l\'offre gratuite d\'Elastic Security. Aucune ne supprime la vérité de fond : un SIEM ne vaut que par son réglage et les humains derrière. L\'outil est la partie peu coûteuse.
Côté scan, OpenVAS concurrence surtout des produits commerciaux (Nessus, Qualys, Rapid7). Parmi les options open source, il est de fait la référence. Pour les applications web spécifiquement, OWASP ZAP est le complément, pas le remplaçant.
Comment nous les déployons ensemble
Pour la plupart de nos clients, nous exploitons Wazuh comme SIEM central et plateforme de supervision des terminaux, OpenVAS pour les scans de vulnérabilités planifiés, et nous redirigeons les résultats d\'OpenVAS vers Wazuh pour que détection et exposition cohabitent au même endroit. Autour de ce socle, nous ajoutons MISP pour la threat intelligence et Suricata pour la détection réseau, offrant une stack de sécurité entièrement open source à coût de licence nul.
Le piège, et la raison pour laquelle cette comparaison compte, c\'est que les deux outils récompensent la discipline opérationnelle et punissent la négligence. Un Wazuh non réglé est un torrent d\'alertes que personne ne lit. Un OpenVAS non planifié est un rapport du trimestre dernier. Déployés et maintenus correctement, ensemble ils offrent une capacité qui rivalise avec des stacks commerciales à six chiffres par an.
Si vous préférez disposer de cette capacité sans bâtir l\'expertise interne pour l\'exploiter, c\'est exactement le travail que réalise notre équipe cybersécurité. Parlons-en : voyons à quoi ressemblerait une stack de sécurité open source managée pour votre environnement.
Questions fréquentes
Wazuh est-il un scanner de vulnérabilités ?
En partie. Wazuh inclut un module de détection de vulnérabilités qui compare les logiciels installés à des flux CVE, ce qui est utile mais plus léger qu\'un scanner dédié. Pour une évaluation approfondie et authentifiée, vous voulez toujours OpenVAS ou un équivalent commercial.
Wazuh et OpenVAS peuvent-ils fonctionner ensemble ?
Oui. Wazuh peut intégrer les résultats de scan d\'OpenVAS afin que vulnérabilités connues et événements de sécurité en direct apparaissent dans les mêmes tableaux de bord, et c\'est ainsi que nous recommandons de les exploiter.
OpenVAS est-il toujours gratuit ?
Oui. OpenVAS est distribué dans le cadre de la Greenbone Community Edition, gratuite et open source. Greenbone vend aussi des appliances commerciales avec un flux de vulnérabilités plus complet et du support.
Que déployer en premier pour une petite entreprise ?
Si vous n\'avez aucune supervision, commencez par Wazuh pour la visibilité. Si vous avez déjà une supervision mais corrigez de façon réactive, commencez par OpenVAS. Pour la conformité NIS2, DORA ou ISO 27001, prévoyez d\'utiliser les deux.
