EDR

01 — DéfinitionQu'est-ce qu'un EDR ?

Un EDR (Endpoint Detection and Response) est une solution de cybersécurité qui surveille en continu l'activité des postes et serveurs pour détecter, investiguer et répondre aux menaces, en s'appuyant principalement sur l'analyse comportementale plutôt que sur des signatures statiques.

Là où un antivirus classique demande « ce fichier ressemble-t-il à un malware connu ? », un EDR demande « ce processus se comporte-t-il comme un malware ? ». Cette bascule change tout face aux menaces modernes : ransomwares polymorphes qui changent de signature à chaque infection, attaques sans fichier qui vivent en mémoire vive, living off the land qui utilisent les outils système légitimes pour agir.

Le terme a été forgé en 2013 par Anton Chuvakin chez Gartner. Depuis, l'EDR s'est imposé comme le standard de protection endpoint en entreprise, au point que la plupart des cyber-assureurs l'exigent désormais comme prérequis de souscription.

Un antivirus regarde les fichiers qui entrent. Un EDR regarde ce que font les processus une fois entrés, et conserve l'historique complet pour pouvoir rejouer une attaque en arrière.

02 — ComparaisonEDR vs antivirus classique

Les deux outils protègent les endpoints mais leurs approches diffèrent radicalement. Voici les points de rupture.

Méthode de détection

• Antivirus : signature + heuristique simple. Bon contre les menaces connues, aveugle face aux nouvelles.
• EDR : analyse comportementale, machine learning, corrélation de signaux. Détecte les attaques inédites par leurs schémas d'exécution.

Visibilité

• Antivirus : log minimaliste — « malware X détecté, mis en quarantaine ».
• EDR : timeline complète des événements (arborescence des processus, appels système, modifications registre, connexions réseau). Reconstruction possible après incident.

Réponse

• Antivirus : blocage ou mise en quarantaine du fichier.
• EDR : arrêt de processus, isolement réseau du poste compromis, rollback de modifications, exécution de scripts correctifs à distance.

Chasse aux menaces

• Antivirus : n'en fait pas.
• EDR : permet le threat hunting — recherche proactive d'indicateurs de compromission dans le parc, même sans alerte préalable.

Tarif

• Antivirus : 20-40 €/poste/an grand public, moins en volume.
• EDR : 60-200 €/poste/an selon éditeur et modules. Les suites Microsoft Defender for Endpoint sont souvent incluses dans les licences M365 E5.

03 — MécaniqueComment l'EDR fonctionne

Un EDR repose sur quatre composants qui travaillent ensemble.

1. L'agent local

Un logiciel installé sur chaque poste ou serveur protégé. Il collecte en continu :

• Création et arrêt de processus (arborescence parent/enfant).
• Appels système (syscalls) — interactions avec le noyau.
• Modifications du registre Windows ou des fichiers de configuration.
• Connexions réseau entrantes et sortantes.
• Authentifications et modifications d'identités locales.
• Scripts exécutés (PowerShell, CMD, Bash).

2. La remontée cloud

L'agent envoie ces événements vers une plateforme centrale (généralement en SaaS). Le volume est significatif — plusieurs dizaines de milliers d'événements par poste et par jour — mais fortement compressé.

3. Le moteur de détection

Dans le cloud, plusieurs couches d'analyse sont appliquées :

• Règles comportementales — par exemple « un processus bureautique (Word, Excel) qui lance PowerShell qui télécharge un exécutable » déclenche une alerte.
• Machine learning — modèles entraînés sur des milliards d'exécutions pour reconnaître les schémas malveillants.
• Indicateurs de compromission (IoC) — signatures, hashes, IPs, domaines partagés par les communautés de renseignement cyber.
• Mapping MITRE ATT&CK — rattachement de chaque événement suspect à une technique d'attaque connue.

4. La console de réponse

Les alertes arrivent dans une interface consolidée où l'analyste (interne ou MDR) peut :

• Visualiser la chronologie d'une intrusion (process tree, root cause).
• Isoler immédiatement un poste du réseau tout en gardant l'accès EDR.
• Arrêter ou mettre en quarantaine des processus à distance.
• Exécuter des scripts correctifs ou des commandes investigatives.
• Lancer des requêtes de chasse (threat hunting) à travers tout le parc.

04 — FamilleEDR, XDR, MDR, NDR : s'y retrouver

Le marketing des éditeurs multiplie les acronymes. Voici les distinctions utiles.

EDR — Endpoint Detection & Response

Détection et réponse sur les endpoints uniquement : postes, laptops, serveurs. La brique historique et toujours centrale.

XDR — Extended Detection & Response

Extension de l'EDR à d'autres sources : email, pare-feu, cloud, identités (Azure AD, Okta), workloads Kubernetes. La corrélation cross-sources permet de détecter des attaques qui seraient invisibles en regardant chaque source isolément. Exemple typique : phishing détecté côté email + connexion anormale côté identité + téléchargement suspect côté endpoint = chaîne d'attaque complète.

NDR — Network Detection & Response

Même logique que l'EDR mais appliquée au trafic réseau : capture et analyse des flux pour détecter anomalies, mouvements latéraux, communications C2. Complémentaire à l'EDR plus qu'alternative.

MDR — Managed Detection & Response

Un service, pas un outil : un prestataire opère votre EDR ou XDR à votre place, 24h/24 et 7j/7. Indispensable si vous n'avez pas de SOC interne capable de couvrir les alertes en dehors des heures ouvrées. La plupart des ETI françaises passent par du MDR plutôt que de monter un SOC complet.

EPP — Endpoint Protection Platform

Terme générique qui inclut antivirus, EDR, contrôle applicatif, chiffrement disque et pare-feu endpoint dans une suite unifiée. Tous les leaders commercialisent aujourd'hui une EPP qui inclut l'EDR.

05 — MarchéLes principaux acteurs en 2026

Le marché EDR est concentré sur une dizaine d'acteurs dominants, avec une forte présence américaine. Voici les références régulièrement placées dans le haut du quadrant Gartner.

• CrowdStrike Falcon — leader historique, forte couverture threat intel, pionnier du cloud-native.
• Microsoft Defender for Endpoint — intégré à la suite M365 E5, progression rapide en entreprise, très bon rapport qualité/prix pour les environnements Microsoft.
• SentinelOne Singularity — autonome (machine learning on-device) et fort sur la détection sans cloud.
• Palo Alto Cortex XDR — XDR solide, intégration avec le reste du stack Palo Alto.
• Trend Micro Vision One — bonne couverture XDR, présence notable en Europe.
• Trellix — ex-McAfee + FireEye, reste fort en grand compte.
• Sophos Intercept X — très adopté en ETI et MSP, ergonomie appréciée.
• Bitdefender GravityZone — alternatif solide, présence forte dans le milieu PME/ETI en Europe.
• HarfangLab — acteur français qualifié SecNumCloud, option de souveraineté pour les entités sensibles et les acteurs publics.

Pour un RSSI français qui cherche la souveraineté, HarfangLab est la référence. Pour le meilleur ratio qualité/prix en environnement Microsoft, Defender for Endpoint P2 est difficile à battre. Pour la meilleure détection pure sur cibles sensibles, CrowdStrike et SentinelOne restent les leaders historiques.

06 — DéploiementComment déployer un EDR

07 — LimitesCe que l'EDR ne fait pas

L'EDR est puissant, mais il a des angles morts qu'il faut connaître.

• Il ne protège pas ce qu'il ne voit pas : un appareil BYOD sans agent, une imprimante connectée, un NAS, des équipements OT/IoT sont invisibles. L'EDR doit être complété par d'autres briques pour ces périmètres.
• Il peut être neutralisé : les ransomwares modernes (LockBit, Akira) tentent systématiquement d'arrêter les agents EDR via des exploits signés kernel, du BYOVD (bring your own vulnerable driver), ou des techniques d'obfuscation. Activer les protections anti-tampering est indispensable.
• Il génère des faux positifs : sans calibrage sérieux, un EDR peut noyer l'équipe sous les alertes et créer de la fatigue. Le tuning est un travail continu, pas une configuration initiale.
• Il exige des compétences : un EDR mal exploité vaut un EDR absent. L'investissement humain est parfois plus coûteux que la licence elle-même, d'où le succès des offres MDR.
• Il ne remplace pas la défense en profondeur : sans MFA, sans segmentation, sans sauvegardes testées, sans sensibilisation, l'EDR seul ne suffira pas face à un ransomware sophistiqué.

08 — FAQQuestions fréquentes

Faut-il vraiment un EDR en PME ?

Oui, même en petite structure. Les ransomwares frappent les PME autant que les grands comptes, et un EDR de qualité en version SaaS (Bitdefender GravityZone Business Security Premium, Defender for Business dans M365 Business Premium, Sophos) reste accessible financièrement. L'alternative — un antivirus classique seul — laisse passer la majorité des attaques modernes.

EDR ou MDR, que choisir ?

Si vous avez un SOC 24/7 capable d'ingérer et traiter les alertes, l'EDR seul suffit. Sinon, le MDR est quasiment indispensable : sans œil humain qui regarde les alertes en permanence, l'EDR finit par être ignoré ou mal exploité. La plupart des ETI françaises combinent licences EDR + prestation MDR.

Cyber-assurance : l'EDR est-il obligatoire ?

En pratique oui. Depuis 2023, la quasi-totalité des contrats de cyber-assurance en France incluent l'EDR dans leur questionnaire de souscription, souvent comme condition de couverture. Son absence entraîne des surprimes ou des refus de souscription.

Peut-on combiner plusieurs EDR ?

Non. Deux agents EDR sur la même machine génèrent des conflits et des faux positifs mutuels. Certains environnements haute sécurité utilisent cependant un EDR + un NDR en parallèle (deux périmètres différents), ou un EDR + un outil de détection mémoire spécialisé.

L'EDR voit-il ce que fait un utilisateur ?

Il voit les actions système (processus exécutés, fichiers ouverts, connexions réseau), pas le contenu des documents ni les touches frappées. Cette distinction est importante pour la conformité RGPD : l'EDR traite des données techniques, pas de la surveillance comportementale des salariés. Une information claire doit néanmoins être donnée aux utilisateurs.