ADR-0014 : Wazuh comme plateforme de sécurité
| Statut | Accepté |
| Date | 2025-11 |
| Décideurs | Équipe Edukit (ops) |
| Périmètre | Sécurité opérationnelle, supervision des nœuds et de l’infrastructure |
Contexte
L’infrastructure Edukit héberge des données d’établissements scolaires et expose des services accessibles depuis Internet. Sans supervision de sécurité, une tentative d’intrusion ou une compromission peut passer inaperçue pendant longtemps.
L’équipe a besoin de :
- détecter les tentatives d’intrusion : connexions SSH répétées qui échouent, tentatives de prise de contrôle d’un compte, modifications de fichiers système suspects ;
- centraliser les logs de sécurité de tous les serveurs et équipements réseau en un seul endroit ;
- être alerté en temps réel quand quelque chose d’anormal se passe ;
- vérifier la conformité des serveurs avec les bonnes pratiques de sécurité (mots de passe forts, services inutiles désactivés, etc.).
L’équipe a déjà utilisé Wazuh et n’a pas besoin de se former sur un nouvel outil.
Décision
Utiliser Wazuh comme plateforme de sécurité (SIEM et détection d’intrusion).
- Le Wazuh Manager (le serveur central) est déployé sur une VM dédiée, séparée du reste de l’infrastructure - si un serveur est compromis, le SIEM ne l’est pas forcément.
- Des agents Wazuh sont installés sur tous les serveurs Proxmox et les nœuds K3s. Ils envoient leurs logs et événements au Manager.
- Les équipements MikroTik envoient leurs logs réseau au Manager via syslog (pas besoin d’agent sur un routeur).
- Wazuh surveille notamment : les tentatives de connexion SSH en force brute, les connexions avec le compte root, les modifications de fichiers système critiques, les commandes
sudoinhabituelles. - L’interface Wazuh Dashboard centralise toutes les alertes et permet d’explorer les événements.
Conséquences
Bénéfices
- Détection en temps réel : Wazuh analyse les logs au fur et à mesure et déclenche des alertes immédiatement. Il peut aussi bloquer automatiquement une IP qui tente une attaque par force brute.
- Tout inclus : la surveillance de l’intégrité des fichiers (savoir si un fichier système a été modifié), la détection de rootkits et les vérifications de conformité sont intégrées nativement.
- Un seul point de vue : tous les événements de sécurité - serveurs, nœuds K3s, équipements réseau - arrivent au même endroit et peuvent être corrélés.
- Gratuit : Wazuh est open source (GPLv2 / Apache 2.0).
- Expérience d’équipe : l’équipe connaît Wazuh, ce qui permet d’aller vite et de configurer des règles adaptées au contexte Edukit.
- Compatible MikroTik : Wazuh sait parser les logs syslog des équipements réseau courants, MikroTik inclus.
Coûts et limites
- Ressources importantes : le Manager Wazuh et sa base de données (OpenSearch) ont besoin de 4 à 8 Go de RAM. Une VM dédiée est nécessaire.
- Faux positifs à gérer : les règles de détection par défaut peuvent générer des alertes sur des comportements normaux. Il faut les ajuster au contexte Edukit pour ne pas être noyé sous les notifications.
- Complémentarité avec PLG : Wazuh surveille la sécurité ; la supervision opérationnelle (métriques, performance des services) reste dans Prometheus/Grafana (voir ADR-0012). Ce sont deux outils complémentaires, pas redondants.
- Agents à déployer sur chaque nouveau nœud : quand on ajoute un serveur, il faut penser à y installer l’agent Wazuh.
Alternatives écartées
- OSSEC : l’ancêtre de Wazuh, dont Wazuh est un fork actif. Moins maintenu et sans interface moderne. Écarté au profit de Wazuh qui en est l’évolution directe.
- Splunk : SIEM de référence dans l’industrie, très puissant. Mais les licences sont extrêmement coûteuses (facturation au volume de données). Incompatible avec le budget.
- Surveillance manuelle des logs : sans centralisation, détecter une intrusion demande de consulter chaque serveur séparément. Trop lent et trop dépendant de la vigilance humaine.