Surveillance cyber · SIEM augmenté à l'IA

Surveillance cyber et analyse de logs : voir l'invisible dans vos journaux.

Module IA qui lit des millions de lignes de logs applicatifs, systèmes, réseau et cloud, détecte les anomalies comportementales, corrèle les alertes multi-sources, et classifie les incidents par sévérité. Rapports synthétiques quotidiens pour le RSSI, alertes temps réel sur les incidents critiques. Couplé à notre SOC managé pour la prise en charge des incidents 24/7. Conforme exigences NIS 2 (notification ILR 24h) et DORA (résilience opérationnelle TIC).

Configurer mon devis → Nous contacter
Fonctionnalités principales

Ce que fait le logiciel, concrètement.

Ingestion multi-sources

Collecte des logs depuis Windows Event Log, Linux syslog, Microsoft 365 audit log, Google Workspace, AWS CloudTrail, Azure Monitor, GCP Audit, firewalls (Fortinet, Palo Alto), EDR (CrowdStrike, SentinelOne, Defender), Kubernetes audit. Connecteurs natifs >40 sources. Format normalise OCSF.

Détection comportementale (UEBA)

L'IA construit une baseline comportementale par utilisateur et entité (postes, serveurs, applications), puis alerte sur les ecarts statistiquement significatifs : connexions inhabituelles, accès hors horaire, volume de telechargement anormal, deplacements lateraux. Differencie le bruit du signal.

Corrélation multi-sources

Une vraie attaque laisse des traces eparpillees : Active Directory + EDR + réseau + cloud. L'IA correle ces événements isolement insignifiants pour reconstituer la chaîne d'attaque complète (MITRE ATT&CK). Reduction du temps d'investigation x10.

Classification automatique

Chaque incident detecte est classe automatiquement par sévérité (critique, haute, moyenne, basse), tactique MITRE (initial access, persistence, exfiltration, etc.) et obligation réglementaire (notification CNPD / ILR / CSSF requise oui-non). Triage SOC accélere.

Détection ransomware précoce

Signaux spécifiques : chiffrement de masse, suppression de shadow copies, desactivation de Defender, deploiement PsExec/WMI. Alerte avant chiffrement complet. Couplé a un EDR, permet l'isolement du poste en 30 secondes.

Rapports synthétiques RSSI

Mail quotidien au RSSI : 3 incidents prioritaires de la veille, indicateurs clés (MTTD, MTTR, faux positifs), tendances mensuelles. Plus de logs a lire, juste l'essentiel. Rapport executif mensuel pour le COMEX avec évolution du risque cyber.

Reporting NIS 2 / DORA

Generation automatique du formulaire d'alerte ILR sous 24h pour NIS 2 (article 23) et du formulaire CSSF pour DORA. Pre-rempli avec les elements de l'incident detecte. Le RSSI valide et envoie. Conservation du dossier pour audit ultérieur.

Chasse aux menacés (threat hunting)

Interface conversationnelle : le RSSI demande en langage naturel "as-tu vu des connexions depuis l'Iran cette semaine" ou "montre-moi les comptes admin actives le week-end", l'IA traduit en requête sur les logs et renvoie le résultat structure.

Cas d'usage

Pour qui, et dans quel contexte.

PSF support et banques de detail : surveillance réglementaire CSSF + DORA, alerte CSSF en cas d'incident.

Hôpitaux et structures medico-sociales (NIS 2 entités essentielles secteur santé) : détection des intrusions ciblant les données patient, alerte ILR sous 24h.

Communes et administrations publiques (NIS 2 entités essentielles secteur public) : détection ransomware, defacement, fuite de données citoyens.

PME industrielles et fournisseurs B2B critiques (NIS 2 entités importantes) : surveillance cyber sans avoir a recruter un SOC interne.

Cabinets d'avocats, fiduciaires, family offices : protection des données clients sensibles, conformité ISO 27001.

Conformité réglementaire

NIS 2, DORA, RGPD, ISO 27001.

  • NIS 2 (directive 2022/2555 + loi LU 5 mai 2026) article 23 : notification d'incident ILR sous 24h (alerte initiale), 72h (rapport intermédiaire), 1 mois (rapport final). Notre module pre-remplit les 3 formulaires.
  • DORA (règlement 2022/2554) piliers 2 (gestion incidents TIC), 3 (tests résilience), 4 (gestion risques tiers TIC). Reporting CSSF automatise.
  • RGPD article 33 : notification de violation CNPD sous 72h. Détection automatique des fuites de données personnelles, formulaire CNPD pre-rempli.
  • ISO 27001 Annexe A : contrôles A.5.24 (gestion d'incidents), A.5.25 (évaluation post-incident), A.8.15 (logging) et A.8.16 (supervision activités) couverts par construction.
  • Conservation logs : 12 mois en hot storage (recherche interactive), 5 ans en cold storage (obligations sectorielles CSSF), suppression certifiee a echeance.
  • Hébergement Luxembourg uniquement, chiffrement AES-256, segmentation par client institutionnel, audit ISO 27001 annuel.
Architecture · Hébergement

Stack technique et souveraineté des données.

Ingestion : agents legers (Wazuh, Vector, Beats) ou syslog/API natif. Pipeline streaming Kafka + ClickHouse pour le stockage hot, S3 (chiffre AES-256, OVH ou Scaleway EU) pour le cold. Modèles IA : détection d'anomalies (Isolation Forest, autoencoders), classification (BERT fine-tuned sur incidents reels), NLP pour le threat hunting (Mistral on-premise ou GPT-4 selon politique).

Visibilite : dashboard Grafana custom + interface conversationnelle web. Notifications : email, Slack, Teams, SMS pour alertes critiques. Couple a notre SOC managé Luxgap 24/7 pour prise en charge.

Hébergement : Luxembourg (Tier IV LU-CIX) + DRP a Strasbourg (OVH SBG5). RTO 4h, RPO 15 minutes.

FAQ

Questions fréquentes

Combien coute le service ?
Tarification au volume de logs ingestes (GB/jour) et au nombre d'actifs surveilles. Pour une PME de 100 collaborateurs avec serveurs + cloud, comptez 1 500 a 3 500 EUR/mois. Pour un PSF/banque avec exigences DORA, 4 000 a 12 000 EUR/mois selon le périmètre. Devis sur cadrage.
Mes logs partent-ils a l'étranger ?
Non. Hébergement primaire Luxembourg (datacenter Tier IV), DRP secondaire Strasbourg (OVH SBG5, France). 100% UE. Le CLOUD Act US ne s'applique pas. Pour les clients secteur défense, hébergement on-premise possible.
Le service remplace-t-il un SOC interne ?
Soit. Pour les organisations sans SOC interne : oui, c'est un SOC managé externe complet. Pour les organisations avec SOC : c'est une couche d'augmentation IA qui reduit le bruit et acceler le triage. Les deux modèles sont supportes.
Quel délai de détection (MTTD) ?
Mediane interne 2026 : 7 minutes pour les incidents critiques (ransomware, exfiltration), 38 minutes pour les incidents moyens (compte compromis, mouvement lateral). MTTR (temps de remédiation) : 22 minutes mediane sur les incidents critiques avec EDR couple.
Comment se passe la conformité NIS 2 ?
Le module pre-remplit les 3 formulaires ILR (24h, 72h, 1 mois) avec les elements de l'incident detecte. Notre équipe accompagne le RSSI pour la qualification de l'incident et la transmission a l'ILR. Dossier complet conserve 5 ans pour audit ultérieur.
À combiner avec

Nos services complémentaires.

Tester ce logiciel sur vos données réelles.

POC sans engagement long. Devis personnalisé sous 24 h ouvrées.

Configurer mon devis →