Surveillance cyber · SIEM augmenté à l'IA

Surveillance cyber et analyse de logs : voir l'invisible dans vos journaux.

Module IA qui lit des millions de lignes de logs applicatifs, systèmes, réseau et cloud, détecte les anomalies comportementales, corrèle les alertes multi-sources, et classifie les incidents par sévérité. Rapports synthétiques quotidiens pour le RSSI, alertes temps réel sur les incidents critiques. Couplé à notre SOC managé pour la prise en charge des incidents 24/7. Conforme exigences NIS 2 (notification ILR 24h) et DORA (resilience opérationnelle TIC).

Configurer mon devis → Nous contacter
Fonctionnalités principales

Ce que fait le logiciel, concrètement.

Ingestion multi-sources

Collecte des logs depuis Windows Event Log, Linux syslog, Microsoft 365 audit log, Google Workspace, AWS CloudTrail, Azure Monitor, GCP Audit, firewalls (Fortinet, Palo Alto), EDR (CrowdStrike, SentinelOne, Defender), Kubernetes audit. Connecteurs natifs >40 sources. Format normalise OCSF.

Détection comportementale (UEBA)

L'IA construit une baseline comportementale par utilisateur et entite (postes, serveurs, applications), puis alerte sur les ecarts statistiquement significatifs : connexions inhabituelles, acces hors horaire, volume de telechargement anormal, deplacements lateraux. Differencie le bruit du signal.

Corrélation multi-sources

Une vraie attaque laisse des traces eparpillees : Active Directory + EDR + reseau + cloud. L'IA correle ces evenements isolement insignifiants pour reconstituer la chaine d'attaque complete (MITRE ATT&CK). Reduction du temps d'investigation x10.

Classification automatique

Chaque incident detecte est classe automatiquement par severite (critique, haute, moyenne, basse), tactique MITRE (initial access, persistence, exfiltration, etc.) et obligation reglementaire (notification CNPD / ILR / CSSF requise oui-non). Triage SOC accélere.

Détection ransomware précoce

Signaux specifiques : chiffrement de masse, suppression de shadow copies, desactivation de Defender, deploiement PsExec/WMI. Alerte avant chiffrement complet. Couplé a un EDR, permet l'isolement du poste en 30 secondes.

Rapports synthétiques RSSI

Mail quotidien au RSSI : 3 incidents prioritaires de la veille, indicateurs cles (MTTD, MTTR, faux positifs), tendances mensuelles. Plus de logs a lire, juste l'essentiel. Rapport executif mensuel pour le COMEX avec evolution du risque cyber.

Reporting NIS 2 / DORA

Generation automatique du formulaire d'alerte ILR sous 24h pour NIS 2 (article 23) et du formulaire CSSF pour DORA. Pre-rempli avec les elements de l'incident detecte. Le RSSI valide et envoie. Conservation du dossier pour audit ulterieur.

Chasse aux menaces (threat hunting)

Interface conversationnelle : le RSSI demande en langage naturel "as-tu vu des connexions depuis l'Iran cette semaine" ou "montre-moi les comptes admin actives le week-end", l'IA traduit en requete sur les logs et renvoie le resultat structure.

Cas d'usage

Pour qui, et dans quel contexte.

PSF support et banques de detail : surveillance reglementaire CSSF + DORA, alerte CSSF en cas d'incident.

Hopitaux et structures medico-sociales (NIS 2 entites essentielles secteur sante) : detection des intrusions ciblant les donnees patient, alerte ILR sous 24h.

Communes et administrations publiques (NIS 2 entites essentielles secteur public) : detection ransomware, defacement, fuite de donnees citoyens.

PME industrielles et fournisseurs B2B critiques (NIS 2 entites importantes) : surveillance cyber sans avoir a recruter un SOC interne.

Cabinets d'avocats, fiduciaires, family offices : protection des donnees clients sensibles, conformite ISO 27001.

Conformité réglementaire

NIS 2, DORA, RGPD, ISO 27001.

  • NIS 2 (directive 2022/2555 + loi LU 5 mai 2026) article 23 : notification d'incident ILR sous 24h (alerte initiale), 72h (rapport intermediaire), 1 mois (rapport final). Notre module pre-remplit les 3 formulaires.
  • DORA (reglement 2022/2554) piliers 2 (gestion incidents TIC), 3 (tests resilience), 4 (gestion risques tiers TIC). Reporting CSSF automatise.
  • RGPD article 33 : notification de violation CNPD sous 72h. Detection automatique des fuites de donnees personnelles, formulaire CNPD pre-rempli.
  • ISO 27001 Annexe A : controles A.5.24 (gestion d'incidents), A.5.25 (evaluation post-incident), A.8.15 (logging) et A.8.16 (supervision activites) couverts par construction.
  • Conservation logs : 12 mois en hot storage (recherche interactive), 5 ans en cold storage (obligations sectorielles CSSF), suppression certifiee a echeance.
  • Hebergement Luxembourg uniquement, chiffrement AES-256, segmentation par client institutionnel, audit ISO 27001 annuel.
Architecture · Hébergement

Stack technique et souveraineté des données.

Ingestion : agents legers (Wazuh, Vector, Beats) ou syslog/API natif. Pipeline streaming Kafka + ClickHouse pour le stockage hot, S3 (chiffre AES-256, OVH ou Scaleway EU) pour le cold. Modeles IA : detection d'anomalies (Isolation Forest, autoencoders), classification (BERT fine-tuned sur incidents reels), NLP pour le threat hunting (Mistral on-premise ou GPT-4 selon politique).

Visibilite : dashboard Grafana custom + interface conversationnelle web. Notifications : email, Slack, Teams, SMS pour alertes critiques. Couple a notre SOC managé Luxgap 24/7 pour prise en charge.

Hebergement : Luxembourg (Tier IV LU-CIX) + DRP a Strasbourg (OVH SBG5). RTO 4h, RPO 15 minutes.

FAQ

Questions fréquentes

Combien coute le service ?
Tarification au volume de logs ingestes (GB/jour) et au nombre d'actifs surveilles. Pour une PME de 100 collaborateurs avec serveurs + cloud, comptez 1 500 a 3 500 EUR/mois. Pour un PSF/banque avec exigences DORA, 4 000 a 12 000 EUR/mois selon le perimetre. Devis sur cadrage.
Mes logs partent-ils a l'etranger ?
Non. Hebergement primaire Luxembourg (datacenter Tier IV), DRP secondaire Strasbourg (OVH SBG5, France). 100% UE. Le CLOUD Act US ne s'applique pas. Pour les clients secteur defense, hebergement on-premise possible.
Le service remplace-t-il un SOC interne ?
Soit. Pour les organisations sans SOC interne : oui, c'est un SOC managé externe complet. Pour les organisations avec SOC : c'est une couche d'augmentation IA qui reduit le bruit et acceler le triage. Les deux modeles sont supportes.
Quel delai de detection (MTTD) ?
Mediane interne 2026 : 7 minutes pour les incidents critiques (ransomware, exfiltration), 38 minutes pour les incidents moyens (compte compromis, mouvement lateral). MTTR (temps de remediation) : 22 minutes mediane sur les incidents critiques avec EDR couple.
Comment se passe la conformite NIS 2 ?
Le module pre-remplit les 3 formulaires ILR (24h, 72h, 1 mois) avec les elements de l'incident detecte. Notre equipe accompagne le RSSI pour la qualification de l'incident et la transmission a l'ILR. Dossier complet conserve 5 ans pour audit ulterieur.
À combiner avec

Nos services complémentaires.

Tester ce logiciel sur vos données réelles.

POC sans engagement long. Devis personnalisé sous 24 h ouvrées.

Configurer mon devis →