Pourquoi l’antivirus ne suffit plus
Pendant 20 ans, l’antivirus a été la seule protection sur les postes de travail. Son fonctionnement est simple : il compare chaque fichier à une base de données de signatures — des empreintes numériques de malwares connus. Si le fichier correspond à une signature, il est bloqué.
Ce modèle a un défaut structurel : il ne protège que contre les menaces déjà identifiées. Or les attaquants ont évolué.
Les techniques qui échappent à l’antivirus
Malware polymorphe — Le malware modifie son propre code à chaque exécution. Chaque copie a une empreinte différente, ce qui rend la détection par signature impossible. Les outils de génération automatique de variants permettent de produire des centaines de versions uniques d’un même malware.
Attaques fileless (sans fichier) — L’attaquant n’écrit aucun fichier sur le disque. Il exécute du code directement en mémoire via PowerShell, WMI ou des macros Office. L’antivirus, qui scanne les fichiers, ne voit rien.
Living off the land — L’attaquant utilise les outils légitimes déjà installés sur la machine (PowerShell, cmd.exe, certutil, bitsadmin) pour mener son attaque. Le processus est signé par Microsoft — l’antivirus ne le bloque pas.
Chargeurs (loaders) — Un email de phishing contient un lien vers un fichier anodin (document Word, fichier .lnk, archive .zip) qui télécharge le vrai malware en plusieurs étapes. Le fichier initial passe l’antivirus ; le payload final arrive par une chaîne de téléchargements successifs.
Selon le Verizon DBIR 2024, 15 % des compromissions impliquent un malware qui échappe aux défenses traditionnelles (antivirus, filtrage email). C’est ce gap que l’EDR comble.
Comment fonctionne un EDR
L’EDR repose sur quatre mécanismes qui fonctionnent en continu sur chaque endpoint.
1. L’agent et la télémétrie
Un agent logiciel est installé sur chaque poste de travail et serveur. Cet agent collecte une télémétrie détaillée de tout ce qui se passe sur la machine :
- Chaque processus créé (quel programme, lancé par qui, avec quels paramètres)
- Chaque connexion réseau (vers quelle adresse IP, sur quel port, quel volume de données)
- Chaque modification de fichier (création, suppression, renommage, chiffrement)
- Chaque modification du registre Windows
- Chaque chargement de DLL et injection de code
- Chaque script exécuté (PowerShell, Python, bash)
Cette télémétrie est envoyée en temps réel vers une console cloud (ou un serveur on-premise) où elle est analysée. L’agent EDR collecte beaucoup plus de données que l’antivirus : là où l’antivirus regarde les fichiers, l’EDR observe le comportement de la machine dans son ensemble.
2. L’analyse comportementale
L’EDR ne cherche pas des fichiers malveillants — il cherche des comportements malveillants. La distinction est capitale.
Quelques exemples de comportements que l’EDR surveille :
| Comportement observé | Ce que cela suggère |
|---|---|
| Un processus Word lance PowerShell qui télécharge un fichier | Macro malveillante, probable phishing |
| Un processus inconnu chiffre 50 fichiers en 10 secondes | Ransomware en cours d’exécution |
| Un script PowerShell désactive Windows Defender | Tentative de neutralisation des défenses |
| Un processus établit une connexion persistante vers une IP non catégorisée | Communication avec un serveur de commande (C2) |
| Un compte de service lance des requêtes LDAP massives sur Active Directory | Reconnaissance réseau / mouvement latéral |
| certutil.exe télécharge un exécutable depuis un domaine externe | Technique “living off the land” |
L’EDR utilise des modèles de détection pour qualifier ces comportements. Certains sont basés sur des règles statiques (si processus X fait action Y → alerte). D’autres utilisent du machine learning pour établir une baseline de comportement normal et détecter les écarts.
Le framework MITRE ATT&CK est la référence utilisée par les EDR pour catégoriser les techniques d’attaque. Chaque détection est mappée sur une tactique et une technique ATT&CK, ce qui aide l’analyste à comprendre à quelle étape de l’attaque correspond le comportement détecté.
3. La détection et l’alerte
Quand l’EDR détecte un comportement suspect, il génère une alerte avec un niveau de sévérité et un contexte détaillé :
- L’arbre de processus : quel processus a lancé quel autre, avec quelle ligne de commande — la généalogie complète de l’activité suspecte
- La timeline : la séquence chronologique des événements sur le poste
- Les indicateurs de compromission (IoC) : hashes de fichiers, adresses IP contactées, domaines DNS résolus
- Le mapping MITRE ATT&CK : la technique d’attaque identifiée
Cette richesse de contexte est ce qui différencie l’EDR de l’antivirus. L’antivirus dit : “fichier malveillant bloqué”. L’EDR dit : “un document Word ouvert depuis Outlook a lancé PowerShell qui a téléchargé un exécutable depuis le domaine X.Y.Z, l’a exécuté, et le processus résultant a tenté de se connecter à l’adresse IP A.B.C.D sur le port 443 — voici l’arbre de processus complet et la timeline.”
4. La réponse
L’EDR permet de répondre à la menace directement depuis la console, sans accès physique à la machine :
- Isolement réseau : le poste est coupé du réseau de l’entreprise mais reste joignable par la console EDR — l’analyste peut continuer l’investigation
- Kill de processus : arrêter le processus malveillant à distance
- Quarantaine de fichier : déplacer le fichier suspect dans un conteneur isolé
- Collecte forensique : récupérer des fichiers, des captures mémoire ou des logs depuis le poste
- Remédiation automatique : certains EDR peuvent déclencher des actions de réponse automatiques (isoler + alerter + tuer le processus) sans intervention humaine
Pour une PME sans analyste sécurité en interne, la réponse automatique est un atout considérable. L’EDR peut isoler un poste infecté par un ransomware en quelques secondes, avant que le chiffrement ne se propage aux partages réseau — sans attendre qu’un humain voie l’alerte.
EDR vs antivirus : comparaison détaillée
| Critère | Antivirus classique | EDR |
|---|---|---|
| Méthode de détection | Signatures de malwares connus | Analyse comportementale + signatures |
| Malware inconnu (zero-day) | Non détecté | Détecté par son comportement |
| Attaque fileless | Non détectée | Détectée (surveillance mémoire, scripts) |
| Ransomware | Détecté uniquement si la signature est connue | Détecté par le chiffrement massif de fichiers |
| Investigation | Aucune | Arbre de processus, timeline, contexte complet |
| Réponse à distance | Aucune | Isolement, kill, quarantaine, collecte forensique |
| Visibilité | Fichiers scannés | Comportement complet de l’endpoint |
| Corrélation | Poste par poste | Tous les endpoints dans une console unique |
| Coût par poste/mois | 1 - 3 € | 3 - 15 € |
L’antivirus est inclus dans la licence Windows (Microsoft Defender Antivirus). Un EDR est un investissement supplémentaire, mais l’écart de protection justifie le coût pour toute entreprise qui a des données à protéger.
EDR et phishing : la dernière ligne de défense
Le phishing est le vecteur de livraison principal des malwares. Selon l’ANSSI, les emails malveillants restent la première porte d’entrée dans les systèmes d’information des entreprises françaises. La chaîne de défense contre le phishing comporte plusieurs couches, et l’EDR est la dernière.
La chaîne de défense
Email de phishing envoyé
│
▼
[SPF/DKIM/DMARC] → Email usurpant votre domaine ? Rejeté.
│
▼
[Filtrage email] → Email malveillant connu ? Bloqué.
│
▼
[Sensibilisation] → L'employé reconnaît le phishing ? Signalé.
│
▼
[EDR] → L'employé a cliqué. Le payload est détecté et bloqué.Ce que l’EDR détecte après un clic de phishing
Scénario 1 : pièce jointe piégée. L’employé ouvre un document Word contenant une macro malveillante. L’antivirus ne bloque pas le document (la macro n’est pas dans sa base de signatures). L’EDR, lui, voit que Word lance PowerShell avec des paramètres encodés en base64 — un comportement typique d’une macro malveillante — et bloque l’exécution.
Scénario 2 : lien vers un téléchargement. L’employé clique sur un lien qui télécharge un fichier .exe déguisé en facture PDF. L’EDR détecte que le processus du navigateur a téléchargé et exécuté un binaire inconnu qui tente immédiatement d’établir une connexion réseau vers un serveur externe. Le processus est tué et le fichier mis en quarantaine.
Scénario 3 : credential phishing suivi de malware. L’employé saisit ses identifiants sur une fausse page de connexion. L’attaquant utilise les identifiants volés pour se connecter au compte Microsoft 365, puis envoie un email interne contenant un malware à d’autres employés. L’EDR détecte l’exécution du malware sur le poste du deuxième employé et l’isole. Le SIEM corrèle l’événement avec la connexion anormale au compte du premier employé.
Scénario 4 : ransomware. Le malware livré par phishing reste silencieux pendant plusieurs jours (phase de reconnaissance), puis lance le chiffrement de tous les fichiers accessibles. L’EDR détecte le chiffrement massif de fichiers (un processus modifie des centaines de fichiers en quelques secondes avec un motif d’écriture compatible avec du chiffrement), isole le poste du réseau, et alerte l’équipe de sécurité. Le chiffrement est stoppé avant de se propager aux partages réseau.
EDR et simulation de phishing
Les simulations de phishing mesurent combien d’employés cliquent sur un email test. L’EDR mesure ce qui se passe après le clic réel. Les deux données sont complémentaires :
- Si le taux de clic en simulation est élevé → votre EDR sera souvent sollicité → vérifiez qu’il détecte bien les payloads courants
- Si votre EDR détecte des exécutions de payloads de phishing réels → votre sensibilisation doit être renforcée sur les scénarios concernés
- Les rapports EDR montrent quels types de payloads atteignent vos postes → ces informations peuvent alimenter les scénarios de simulation
Choisir un EDR pour une PME
Les critères de choix
Taux de détection. Les évaluations MITRE ATT&CK (publiées annuellement) testent les EDR contre des scénarios d’attaque réalistes et mesurent le taux de détection, de visibilité et le nombre de faux positifs. Consultez les résultats sur attack.mitre.org/evaluations avant de choisir.
Capacité de réponse automatique. Pour une PME sans analyste SOC interne, la capacité de l’EDR à isoler automatiquement un poste compromis est déterminante. Vérifiez que l’outil peut déclencher des actions de confinement sans intervention humaine.
Intégration avec votre environnement. L’EDR doit supporter vos systèmes d’exploitation (Windows, macOS, Linux si applicable) et s’intégrer avec votre environnement cloud (Microsoft 365, Google Workspace). Vérifiez aussi l’intégration avec votre SIEM ou votre prestataire de sécurité.
Gestion autonome ou managée. Deux options :
- Self-managed : vous achetez la licence EDR et gérez les alertes en interne (3-8 €/endpoint/mois)
- Managé (MDR) : un prestataire surveille les alertes EDR et intervient pour vous (8-15 €/endpoint/mois)
Pour une PME sans expertise sécurité interne, le mode managé est le choix réaliste. L’outil seul ne suffit pas — il faut quelqu’un pour traiter les alertes.
Impact sur les performances. L’agent EDR tourne en permanence sur chaque poste. Vérifiez que l’impact sur les performances (CPU, mémoire, temps de démarrage) est acceptable pour vos utilisateurs. Les EDR modernes sont optimisés, mais un agent mal configuré peut ralentir un poste ancien.
Les acteurs du marché
Les principaux EDR évalués par MITRE ATT&CK et présents sur le marché français :
- CrowdStrike Falcon — Agent cloud-native léger, leader des évaluations MITRE, forte automatisation. Tarif premium.
- SentinelOne Singularity — Agent autonome avec réponse automatique. Bons résultats MITRE. Offres PME disponibles.
- Microsoft Defender for Endpoint — Inclus dans les licences Microsoft 365 E5 / Business Premium. Si vous êtes déjà sur Microsoft 365, c’est souvent le point d’entrée le plus économique.
- Sophos Intercept X — Orienté PME, console de gestion simple, offre MDR intégrée (Sophos MDR).
- Trend Micro Vision One — Offre XDR intégrée, bonne couverture multi-OS.
- ESET PROTECT — Acteur européen, léger en ressources, adapté aux PME avec des postes de configurations variées.
Self-managed ou managé : guide de choix
| Situation | Recommandation |
|---|---|
| Vous avez un admin système ou un responsable IT interne | Self-managed possible, avec un budget formation |
| Vous n’avez aucune expertise sécurité en interne | EDR managé (MDR) recommandé |
| Votre cyberassurance exige une surveillance 24/7 | EDR managé avec couverture 24/7 |
| Votre budget est très contraint | Microsoft Defender for Endpoint (inclus si Microsoft 365 E5) en self-managed |
| Vous voulez une solution clé en main | MDR avec réponse active (CrowdStrike, SentinelOne, Sophos) |
Déployer un EDR dans une PME
Phase 1 : préparation (1 semaine)
- Inventoriez vos endpoints : combien de postes Windows, macOS, Linux ? Combien de serveurs ? Des terminaux mobiles ?
- Vérifiez les prérequis : version de l’OS minimale, connectivité vers le cloud du fournisseur, compatibilité avec les applications métier
- Définissez la politique de réponse : en mode détection seule au départ (les alertes sont générées mais aucune action automatique) pour éviter de bloquer des applications légitimes
Phase 2 : déploiement pilote (1-2 semaines)
- Installez l’agent sur un groupe pilote (10-20 postes) représentatif de vos configurations
- Surveillez les alertes et les faux positifs : des applications métier sont-elles détectées comme suspectes ? Si oui, créez des exclusions
- Vérifiez l’impact sur les performances : les utilisateurs pilotes se plaignent-ils de lenteurs ?
- Ajustez les règles de détection et les exclusions
Phase 3 : déploiement complet (1-2 semaines)
- Déployez l’agent sur tous les endpoints (via GPO, SCCM, Intune ou l’outil de déploiement de l’EDR)
- Activez progressivement les réponses automatiques : commencez par l’isolation automatique en cas de ransomware détecté, puis élargissez aux autres scénarios
- Formez votre responsable IT à la console : comment lire une alerte, comment investiguer, comment isoler un poste
Phase 4 : opérations continues
- Surveillez les alertes quotidiennement (ou déléguez à un prestataire MDR)
- Revoyez les faux positifs chaque semaine et ajustez les exclusions
- Mettez à jour l’agent EDR quand le fournisseur publie des nouvelles versions
- Testez la capacité de réponse une fois par trimestre (déclenchez un isolement test, vérifiez que le processus fonctionne)
Votre EDR détecte le malware après le clic. Mais le meilleur scénario reste de bloquer l’email malveillant avant qu’il n’atteigne la boîte de réception. Vérifiez que votre configuration email (SPF, DKIM, DMARC) est correcte avec notre vérificateur de sécurité email — un domaine correctement authentifié réduit le volume de phishing qui atteint vos employés.
L’ANSSI publie un guide d’hygiène informatique qui inclut des recommandations sur la détection et la réponse sur les endpoints. Les résultats des évaluations MITRE ATT&CK sont consultables sur le site MITRE Engenuity.
Questions fréquentes
C'est quoi un EDR ?
Un EDR (Endpoint Detection and Response) est un agent de sécurité installé sur chaque poste de travail et serveur de votre entreprise. Il surveille en permanence ce qui se passe sur la machine : quels processus s'exécutent, quelles connexions réseau sont établies, quels fichiers sont modifiés. Quand il détecte un comportement suspect (exécution d'un script malveillant, tentative de chiffrement de fichiers, connexion vers un serveur de commande), il peut alerter l'équipe de sécurité et, selon la configuration, bloquer automatiquement la menace.
Quelle est la différence entre antivirus et EDR ?
L'antivirus compare les fichiers à une base de signatures de malwares connus : il bloque ce qu'il reconnaît. L'EDR analyse le comportement des processus en temps réel : il détecte les menaces inconnues par ce qu'elles font (chiffrer des fichiers, injecter du code dans un processus légitime, communiquer avec un serveur suspect), pas par ce qu'elles sont. L'EDR ajoute aussi des capacités d'investigation (voir l'historique d'un processus, tracer une attaque) et de réponse (isoler un poste du réseau, tuer un processus à distance).
Un EDR est-il nécessaire pour une PME ?
Oui, de plus en plus. L'antivirus seul ne détecte plus les menaces modernes (malwares sans fichier, scripts PowerShell, exploitation de mémoire). L'ANSSI recommande le déploiement d'un EDR dans ses guides de bonnes pratiques. Les contrats de cyberassurance exigent de plus en plus une capacité de détection et de réponse sur les endpoints. Un EDR managé coûte entre 3 et 15 € par poste et par mois — un investissement accessible comparé au coût d'un ransomware.
Combien coûte un EDR pour une PME ?
Comptez entre 3 et 8 € par endpoint et par mois pour une licence EDR en gestion autonome, et entre 8 et 15 € par endpoint et par mois pour un EDR managé (le fournisseur ou un prestataire MSSP surveille les alertes et intervient). Pour une PME de 100 postes, cela représente entre 300 et 1 500 € par mois. À comparer au coût moyen d'un incident de ransomware : plus de 150 000 € selon le rapport IBM.
Quel est le lien entre EDR et phishing ?
Le phishing est le vecteur de livraison numéro un des malwares. L'EDR détecte le payload après le clic : quand un employé ouvre une pièce jointe piégée ou télécharge un fichier malveillant via un lien de phishing, l'EDR identifie le comportement suspect (exécution de macro, script PowerShell, connexion vers un serveur de commande) et peut bloquer l'attaque avant que le malware ne se propage. L'EDR est la dernière ligne de défense quand la sensibilisation et le filtrage email ont échoué.