L’EDR (Endpoint Detection and Response) est une catégorie de solutions de cybersécurité …
dédiée à la détection, l’investigation et la réponse aux menaces ciblant les endpoints …
(postes de travail, serveurs, ordinateurs portables, appareils mobiles).
Contrairement aux antivirus traditionnels basés sur les signatures, l’EDR repose sur l’analyse comportementale …
et la collecte continue d’événements pour identifier les menaces avancées et persistantes (APT, zero-day, fileless malware).
Un EDR est un agent installé sur chaque endpoint qui :
Collecte en continu les données de télémétrie (processus, fichiers, registre, réseau).
Analyse ces données pour détecter des comportements suspects.
Permet aux équipes SOC d’investiguer et de répondre rapidement aux incidents.
Corrèle les événements pour reconstituer la chaîne d’attaque.
Détection par signatures, efficaces contre les menaces connues mais limités face aux attaques modernes.
Antivirus enrichis : pare-feu local, contrôle des périphériques, anti-phishing.
Approche comportementale, télémétrie avancée et capacité de réponse.
Évolution de l’EDR qui corrèle les données issues de plusieurs sources (réseau, cloud, mails, identités).
EDR opéré par un prestataire (SOC externalisé 24/7).
Création et arrêt de processus.
Modifications de fichiers et du registre.
Connexions réseau, ouverture de ports.
Chargement de DLL, scripts PowerShell, lignes de commande.
Détection d’actions inhabituelles (élévation de privilèges, mouvements latéraux).
Analyse heuristique et apprentissage automatique.
Indicateurs de compromission (hash, IP, domaines, signatures).
Mise à jour continue depuis les bases de threat intelligence.
Isolation réseau de la machine infectée.
Arrêt de processus malveillants.
Suppression ou mise en quarantaine de fichiers.
Identification des menaces zero-day et APT.
Détection des attaques sans fichier (fileless / living off the land).
Reconstruction de la chronologie d’attaque (timeline).
Identification du patient zéro et des mouvements latéraux.
Recherche proactive de menaces dormantes via des requêtes sur la télémétrie historique.
Rollback des modifications (anti-ransomware).
Suppression des artefacts laissés par l’attaquant.
Connexion avec SIEM, SOAR, plateformes de threat intelligence.
Basé sur signatures.
Détection statique avant exécution.
Limité aux menaces connues.
Faible visibilité après infection.
Basé sur comportement et télémétrie.
Détection dynamique pendant et après exécution.
Capable de détecter l’inconnu.
Visibilité complète sur la chaîne d’attaque.
Capacités de réponse et d’investigation.
Installé sur chaque machine.
Collecte la télémétrie et applique les règles de détection.
Tableau de bord des alertes.
Gestion des politiques et des investigations.
Souvent en SaaS (cloud).
Stockage des événements (data lake).
Moteurs d’IA, machine learning, corrélation.
Threat intelligence intégrée.
Identifier les comportements typiques (chiffrement massif, suppression des shadow copies).
Repérer les connexions inhabituelles entre postes (PsExec, WMI, RDP).
Reconstituer ce qu’a fait l’attaquant, identifier les données compromises.
Chasser des indicateurs spécifiques (IOC, TTP MITRE ATT&CK) dans le SI.
Démonstration de la capacité de détection et de réponse exigée par certaines normes (NIS2, DORA, HDS).
CrowdStrike Falcon
SentinelOne Singularity
Microsoft Defender for Endpoint
Palo Alto Cortex XDR
Trellix (ex-McAfee + FireEye)
Sophos Intercept X
Trend Micro Vision One
Cybereason
HarfangLab (solution française)
Wazuh (HIDS + EDR léger)
Velociraptor (forensique et hunting)
OSQuery (visibilité endpoint)
Vue complète et en temps réel sur les endpoints.
Identification des attaques inconnues, sans signature.
Isolation, remédiation, rollback en quelques clics.
Analyse approfondie sans avoir besoin d’outils tiers.
Diminution drastique du temps entre compromission et détection.
Licence par endpoint, souvent élevée pour les grandes flottes.
Nécessite des compétences SOC pour exploiter pleinement les alertes.
L’analyse comportementale peut générer du bruit à filtrer.
Agent qui consomme CPU, RAM et bande passante.
La télémétrie est souvent envoyée vers le cloud du fournisseur.
Tester l’agent sur un périmètre pilote avant généralisation.
Adapter les détections au contexte de l’entreprise pour limiter les faux positifs.
Connecter l’EDR au SIEM et au SOAR pour automatiser la réponse.
Former les analystes à l’investigation et au threat hunting.
Réaliser des exercices Red Team / purple teaming pour valider l’efficacité.
L’EDR alimente le SIEM en événements endpoints détaillés.
Permet d’orchestrer la réponse automatisée à partir des alertes EDR.
Les EDR cartographient leurs détections sur ce référentiel des tactiques et techniques.
L’EDR fournit la posture endpoint nécessaire à une politique Zero Trust.
L’EDR est devenu un composant indispensable des stratégies de cybersécurité modernes.
Il complète les solutions traditionnelles (antivirus, pare-feu) par une visibilité fine …
et une capacité de réponse essentielle face aux menaces avancées et aux ransomwares.
Couplé à un SOC compétent et à des solutions complémentaires (SIEM, SOAR, XDR), …
il permet de détecter rapidement, d’investiguer efficacement et de contenir les incidents avant qu’ils ne deviennent critiques.
À combiner avec : IDS/IPS · Pare-feu · Hardening · Moindre privilège |