- La Société
- Nos Expertises
Infogérance & Pilotage
Cybersécurité
Réseau & Téléphonie
Cloud & Productivité
- Implantations
- Actualités
Antivirus EDR : la protection que l'antivirus classique ne sait plus assurer
La plupart des attaques qui touchent aujourd'hui les entreprises passent sous le radar des antivirus traditionnels. L'EDR change de logique : il surveille le comportement de chaque poste, détecte ce qui sort de l'ordinaire et permet de réagir avant que l'incident ne se propage. Encore faut-il qu'il soit supervisé.
Demander un audit de sécurité offertProtégez vos postes dès aujourd'hui
- Audit de votre infrastructure, sans engagement
- Un expert vous rappelle sous 24h
- 3 mois d'essai, réversible à tout moment
Une question directe ? Appelez le 04 28 29 40 72
Audit de sécurité offert
Un expert vous rappelle sous 24h.
Données confidentielles. Aucun spam.
Antivirus, EDR : de quoi parle-t-on vraiment ?
Pendant vingt ans, la sécurité du poste de travail a reposé sur un principe simple : l'antivirus à signatures. Chaque logiciel malveillant connu possède une empreinte, l'antivirus compare les fichiers à une base d'empreintes et bloque ce qui correspond. Tant que les menaces étaient des virus identifiables et largement diffusés, ce modèle fonctionnait correctement.
Le problème, c'est que l'attaquant d'aujourd'hui ne ressemble plus à ça. Il utilise des codes uniques générés à la volée, des techniques sans fichier qui s'exécutent directement en mémoire, des outils légitimes du système détournés à des fins malveillantes, ou encore des accès volés qui n'ont, techniquement, rien d'un virus. Pour une protection à signatures, tout cela est invisible : il n'y a pas d'empreinte connue à reconnaître.
L'EDR, pour Endpoint Detection and Response, répond à un problème différent. Au lieu de se demander « ce fichier est-il un malware connu ? », il observe en continu ce qui se passe sur le poste : quels processus se lancent, quels accès sont demandés, quelles connexions réseau s'ouvrent, quels fichiers sont chiffrés massivement. Quand une séquence d'actions ressemble à une attaque, il alerte, bloque et permet d'intervenir, y compris sur une menace que personne n'avait jamais vue auparavant.
En clair : l'antivirus regarde ce qu'est un fichier, l'EDR regarde ce que fait un programme. Ce n'est pas un antivirus en mieux, c'est un changement de paradigme. Et pour une entreprise, ce changement n'est plus optionnel.
Antivirus classique ou EDR : la différence le jour de l'attaque
La distinction est invisible au quotidien. Elle devient décisive pendant l'incident.
| Capacité | Antivirus classique | EDR |
|---|---|---|
| Menaces connues (signatures) | Oui | Oui |
| Menaces inconnues / comportementales | Non | Oui, analyse du comportement |
| Attaques sans fichier (en mémoire) | Quasi aveugle | Détectées |
| Ransomware en cours d'exécution | Souvent trop tard | Blocage, isolation, restauration |
| Comprendre comment l'attaque est entrée | Aucune visibilité | Chronologie complète de l'incident |
| Isoler un poste compromis | Non | Oui, à distance, en un clic |
| Réaction humaine sur alerte | Aucune | Oui, si l'EDR est managé |
Comment fonctionne un EDR
Quatre mécanismes, une logique : voir, comprendre, arrêter, expliquer.
Télémétrie continue
Un agent léger enregistre en permanence l'activité du poste : processus, fichiers, registre, réseau. Rien d'anormal ne passe sans laisser de trace exploitable.
Analyse comportementale
Des modèles, souvent assistés par IA, repèrent les enchaînements typiques d'une attaque (élévation de privilèges, chiffrement massif, mouvement latéral) même sans signature connue.
Réponse et isolation
Le poste suspect est coupé du réseau à distance, le processus malveillant arrêté, et selon la solution, les fichiers chiffrés peuvent être restaurés.
Investigation
L'EDR reconstitue la chronologie : par où l'attaque est entrée, ce qu'elle a touché, jusqu'où elle est allée. Indispensable pour corriger la faille et pour le volet réglementaire.
Pourquoi l'antivirus classique ne protège plus assez
Ce n'est pas une question de marque ou de qualité d'antivirus. C'est une question de méthode. Les attaques modernes ont été conçues, précisément, pour échapper à la détection par signature.
Le code à usage unique. Un rançongiciel peut être recompilé automatiquement pour chaque victime. Son empreinte est donc inédite à chaque fois : aucune base de signatures ne peut l'avoir répertorié.
Les attaques sans fichier. De plus en plus d'attaques n'écrivent aucun fichier malveillant sur le disque. Elles s'exécutent en mémoire ou détournent des outils déjà présents et légitimes du système. L'antivirus, qui scanne des fichiers, ne voit presque rien.
Le vol d'identifiants. Quand un attaquant se connecte avec un mot de passe volé, il n'y a aucun logiciel malveillant à détecter. Seul un système qui analyse le comportement peut remarquer qu'un compte agit de façon anormale.
Le résultat est documenté par l'ensemble des acteurs de la cybersécurité : une part majoritaire des attaques réussies aujourd'hui n'aurait pas été arrêtée par un antivirus traditionnel seul. L'EDR ne remplace pas la prévention, il ajoute la couche qui manquait : la détection de ce qui passe quand même.
EDR, EPP, XDR, MDR : démêler le vocabulaire
Beaucoup de sigles, des périmètres différents. Voici ce qu'ils recouvrent.
EPP, la plateforme de protection
L'EPP (Endpoint Protection Platform) regroupe les protections préventives du poste : antivirus nouvelle génération, pare-feu local, filtrage. C'est le bouclier. Beaucoup de solutions modernes combinent EPP et EDR dans un même agent.
EDR, la détection et la réponse
L'EDR ajoute l'œil et la main : il détecte les comportements suspects qui franchissent le bouclier, et permet d'investiguer et de réagir. C'est le sujet de cette page.
XDR, la vision étendue
Le XDR étend la logique de l'EDR au-delà du poste : messagerie, identité, cloud, réseau, corrélés ensemble. Une attaque qui commence par un mail piégé et finit sur un serveur devient visible de bout en bout.
MDR, le service managé
Le MDR (Managed Detection and Response) n'est pas un outil mais un service : des experts qui exploitent l'EDR ou le XDR pour vous, surveillent, qualifient et réagissent. C'est exactement le rôle d'Infranat autour de votre EDR.
Les TPE et PME, cibles privilégiées
Une idée fausse a la vie dure : « nous sommes trop petits pour intéresser un attaquant ». C'est l'inverse. Les attaques sont aujourd'hui largement automatisées et opportunistes. Elles ne choisissent pas une cible, elles balaient Internet et frappent ce qui est mal protégé. Or les petites structures sont, statistiquement, les moins bien défendues.
Pour une PME, l'enjeu n'est pas seulement la rançon. C'est l'arrêt d'activité pendant des jours, la perte de données, la facture de reconstruction, l'atteinte à la réputation et, de plus en plus, la question des clients et des assureurs : « quelles mesures aviez-vous mises en place ? »
L'EDR managé est précisément la mesure qui permet de répondre à cette question, et surtout d'éviter d'avoir à y répondre.
- Les attaques visent massivement les petites structures, car elles sont les moins protégées.
- Le coût d'un incident dépasse très largement celui d'une protection annuelle.
- L'EDR managé met une PME au niveau de défense d'une grande entreprise, à son échelle.
Un EDR sans supervision ne sert presque à rien
C'est le point que beaucoup découvrent trop tard. Un EDR ne bloque pas tout automatiquement : il génère des alertes, parfois nombreuses, qu'il faut qualifier. Une alerte ignorée pendant le week-end, c'est une attaque qui se déroule sans personne en face.
Une PME n'a ni le temps ni une équipe de sécurité dédiée pour surveiller un EDR 24 heures sur 24. C'est pourquoi nous le proposons managé : nous déployons l'outil, nous surveillons les alertes, nous qualifions les incidents, nous isolons et remédions, et nous vous rendons compte. Vous achetez un résultat de sécurité, pas un logiciel de plus à administrer.
L'EDR managé Infranat
- Déploiement de l'agent sur tout le parc
- Surveillance continue des alertes
- Qualification et tri des incidents
- Isolation et remédiation
- Compte rendu clair, sans jargon
Solution que nous déployons le plus souvent : voir notre page EDR WithSecure.
EDR, conformité et assurance cyber
La sécurité du poste n'est plus seulement une bonne pratique, elle devient une exigence. Les réglementations de cybersécurité qui montent en puissance attendent des entreprises qu'elles soient capables de détecter un incident, d'y répondre et d'en garder la trace. Un antivirus seul ne permet aucune des trois ; un EDR managé, oui.
Côté RGPD, en cas de violation de données, vous devez pouvoir établir ce qui s'est passé et notifier dans les délais. Sans la chronologie qu'un EDR conserve, cette obligation est presque impossible à honorer sérieusement.
Côté assurance cyber, les assureurs conditionnent de plus en plus la couverture, et son tarif, à la présence de mesures comme l'EDR, la sauvegarde testée et l'authentification renforcée. Ne pas en avoir peut signifier ne pas être indemnisé.
Bien choisir son EDR pour une PME
Les critères qui comptent vraiment, au-delà de la fiche commerciale.
Légèreté de l'agent
Un agent qui ralentit les postes finit désactivé par les utilisateurs. La discrétion est un critère de sécurité, pas un détail de confort.
Faux positifs maîtrisés
Trop d'alertes injustifiées et plus personne ne les lit. La qualité de détection se juge aussi à la pertinence des alertes.
Souveraineté
Un éditeur européen et un traitement des données dans un cadre européen simplifient la conformité RGPD et limitent l'exposition juridique.
Service derrière l'outil
Le meilleur EDR sans équipe pour l'exploiter ne vaut rien. Le critère décisif pour une PME, c'est la supervision humaine.
Comprendre une attaque moderne, étape par étape
Honnêtement, l'image du virus qui s'attrape en cliquant et qui casse tout en deux secondes n'a plus grand chose à voir avec la réalité. Une attaque sérieuse contre une PME, c'est une opération en plusieurs temps, parfois étalée sur des jours, et c'est précisément cette durée qui laisse une fenêtre pour détecter et stopper.
1. L'intrusion initiale. Le point d'entrée le plus courant reste le mail piégé (pièce jointe, fausse page de connexion, fausse facture), puis les accès volés (mot de passe réutilisé qui fuite ailleurs, compte sans double authentification) et un service exposé sur Internet mal mis à jour. À ce stade, il n'y a souvent aucun fichier malveillant, juste un identifiant valide utilisé par la mauvaise personne. Un antivirus n'a rien à se mettre sous la dent.
2. La persistance. Une fois entré, l'attaquant cherche à rester même après un redémarrage : tâche planifiée, service, clé de démarrage, compte discret. C'est là qu'un EDR repère l'anomalie, par exemple un processus bureautique qui lance un interpréteur de commandes juste après l'ouverture d'une pièce jointe.
3. La reconnaissance et le mouvement latéral. L'attaquant cartographie le réseau, repère serveurs de fichiers, annuaire et sauvegardes, et rebondit de machine en machine. C'est souvent la phase la plus longue et la plus visible pour qui surveille. Le vrai sujet ici, c'est que sans télémétrie centralisée, personne dans l'entreprise ne voit ces signaux faibles passer.
4. La neutralisation des défenses. Avant de frapper, un attaquant méthodique tente de désactiver l'antivirus, d'effacer les journaux et surtout de détruire les sauvegardes. C'est ce qui fait si mal : beaucoup d'entreprises découvrent le jour J que leurs sauvegardes ont été chiffrées en même temps que le reste. Un EDR qui voit la manipulation de ses propres protections, ou la suppression massive des points de restauration, alerte avant le passage à l'acte.
5. L'exfiltration puis le chiffrement. Le scénario le plus répandu est la double extorsion : les données sensibles sont d'abord copiées dehors, puis tout est chiffré sur place, la rançon portant sur le déblocage et la non-publication. Le chiffrement massif est un comportement très typé qu'un EDR bloque en quelques secondes, là où un antivirus à signatures réagit, au mieux, une fois les dégâts faits. Ce qu'on voit le plus souvent quand l'incident est arrêté à temps, c'est qu'il l'a été à l'étape 2, 3 ou 4, jamais à la 5.
Ce que disent les chiffres, sans dramatiser
Des constats publics, pris pour ce qu'ils sont : des ordres de grandeur, pas des promesses.
On évite ici les statistiques chocs sans source sérieuse. Selon le rapport Verizon DBIR 2025, le rançongiciel est présent dans 88 % des compromissions touchant les petites entreprises, contre 39 % pour les grandes. Autrement dit, plus une structure est petite, plus l'attaque qui la touche a de chances d'être un rançongiciel, là où il fait le plus de dégâts.
De son côté, l'ANSSI indique régulièrement que les TPE, PME et collectivités forment la catégorie la plus touchée par les rançongiciels en France, parce que ce sont aussi les structures les moins outillées pour détecter et répondre. Cybermalveillance.gouv.fr a constaté en 2025 une forte hausse des demandes d'assistance des professionnels, signe que le phénomène ne ralentit pas.
Sur le coût, soyons honnêtes : les montants précis qui circulent sont souvent invérifiables, nous ne les reprendrons pas. En ordre de grandeur, un incident sérieux se compte en jours d'activité arrêtée, en temps de reconstruction du système, en données perdues quand les sauvegardes ont été touchées et en effet durable sur la confiance des clients. Mises bout à bout, ces lignes dépassent très largement le budget annuel d'un EDR managé pour une PME. Ce n'est pas une question de peur, c'est de l'arithmétique.
EDR, NIS2, RGPD et assurance cyber : ce que la conformité attend vraiment
La directive NIS2. Elle élargit nettement le périmètre des entités soumises à des obligations de cybersécurité et touche désormais beaucoup d'entreprises de taille moyenne, directement ou comme sous-traitant d'un acteur régulé. Ce n'est pas une case à cocher : NIS2 attend une capacité réelle à détecter un incident, à y répondre, à le journaliser et à le notifier. Les sanctions sont lourdes et la responsabilité remonte à la direction. Or détecter, répondre, journaliser, c'est mot pour mot ce qu'apporte un EDR managé, là où un antivirus seul ne coche aucune des trois.
Le RGPD. En cas de violation de données personnelles, l'entreprise doit pouvoir établir ce qui s'est passé, quelles données étaient concernées, et notifier vite. Sans la chronologie détaillée qu'un EDR conserve (quel poste, quel compte, quels fichiers, à quelle heure), cette obligation se traite à l'aveugle, et une notification tardive aggrave la situation au lieu de la limiter.
L'assurance cyber. C'est le levier le plus tangible aujourd'hui. Les assureurs ne se contentent plus d'une déclaration de bonne foi : ils exigent de plus en plus EDR, authentification multifacteur et sauvegardes testées comme conditions de souscription, et font varier le tarif en fonction. Le point qui fâche, découvert au mauvais moment : si les mesures déclarées ne sont pas réellement en place le jour de l'attaque, l'indemnisation peut être réduite, voire refusée. Une protection sur le papier ne protège ni techniquement ni contractuellement.
Point pratique pour finir : choisir un éditeur d'EDR souverain européen, par exemple un acteur qualifié par l'ANSSI, simplifie nettement la conformité. Les données de télémétrie restent dans un cadre européen, ce qui allège la documentation RGPD et limite l'exposition juridique liée aux transferts hors Union. Ce n'est pas un argument marketing, c'est un critère que nous regardons sérieusement.
EDR managé : le rôle d'un SOC, et ce qu'on surveille pour vous
Concrètement, qu'est-ce que vous achetez quand vous prenez un EDR « managé » ?
Un EDR seul, c'est un outil. Le managé, c'est une équipe derrière l'outil, ce qu'on appelle un SOC (Security Operations Center). Pour une PME, monter un SOC en interne est hors de portée : analystes disponibles en continu, compétences pointues, astreinte permanente, pour un volume d'incidents qui ne le justifie pas seul. Le mutualiser via un prestataire, c'est ce qui rend une vraie supervision accessible à votre échelle.
Le vrai sujet d'un EDR, ce n'est pas la détection brute, c'est le tri. Sans personne pour faire la différence entre signal anodin et signal critique, soit on ignore tout et on rate l'attaque, soit on s'affole sur chaque alerte et on s'épuise pour rien. Le rôle du SOC, c'est de transformer un flux d'alertes brutes en décisions claires.
Surveillance continue
Les alertes sont suivies hors de vos horaires aussi. Une attaque vise souvent la nuit, le week-end ou les ponts, quand personne ne regarde.
Qualification des alertes
Chaque signal est trié : faux positif, comportement à surveiller, ou incident réel. C'est ce tri qui évite la fatigue d'alerte et les vrais ratés.
Réponse immédiate
En cas d'incident avéré, le poste est isolé à distance, le processus stoppé, la propagation coupée. On agit d'abord, on explique ensuite.
Compte rendu lisible
Un récit clair : ce qui s'est passé, ce qui a été fait, ce qu'il reste à corriger. Sans jargon, utilisable face à un assureur ou un client.
Concrètement, ce qu'on surveille pour vous : exécution suspecte lancée par un logiciel bureautique, tentative de désactivation des protections, suppression massive de sauvegardes ou de journaux, chiffrement anormal de fichiers, connexion d'un compte à une heure ou depuis un endroit inhabituel, outil d'administration distante non prévu. Pris isolément, certains de ces signaux sont bénins. C'est leur enchaînement qui raconte l'attaque, et c'est lui que l'équipe sait lire.
Antivirus nouvelle génération, EDR, XDR, MDR : le tableau détaillé
Pour ceux qui veulent voir, ligne par ligne, qui fait quoi.
| Critère | Antivirus NG | EDR | XDR | MDR |
|---|---|---|---|---|
| Nature | Outil de prévention | Outil de détection et réponse | Outil de détection étendue | Service avec équipe humaine |
| Périmètre observé | Le poste | Le poste, en profondeur | Poste, mail, identité, cloud, réseau | Le périmètre de l'EDR ou du XDR fourni |
| Menaces inconnues | Partiellement (heuristique) | Oui, par le comportement | Oui, corrélé entre sources | Oui, plus l'analyse humaine |
| Investigation après coup | Très limitée | Chronologie de l'incident | Chronologie inter-domaines | Rapport rédigé et exploitable |
| Réaction sur une alerte | Automatique et basique | Possible, mais à piloter | Possible, à piloter | Prise en charge par l'équipe |
| Surveillance hors horaires | Non | Seulement si quelqu'un regarde | Seulement si quelqu'un regarde | Oui, c'est le cœur du service |
| Compétence requise côté entreprise | Faible | Élevée | Élevée | Aucune, c'est délégué |
| Adapté à une PME sans équipe sécu | Insuffisant seul | Sous-exploité sans pilotage | Sous-exploité sans pilotage | Oui, c'est fait pour ça |
La lecture honnête de ce tableau : pour une PME sans équipe de sécurité dédiée, le débat « quel outil acheter » est secondaire. Le facteur décisif, c'est la dernière colonne. Un excellent EDR laissé sans pilotage protège souvent moins bien qu'une solution plus modeste réellement supervisée. L'outil compte, le service compte plus.
Les idées reçues qu'on entend le plus souvent
Trois objections reviennent presque à chaque rendez-vous. Elles méritent une réponse franche plutôt qu'un argumentaire.
« On est trop petits, on n'intéresse personne »
C'est exactement l'inverse. Les attaques de masse sont automatisées : elles ne choisissent pas une victime par sa notoriété, elles balaient Internet et s'engouffrent là où c'est ouvert. Une petite structure mal protégée est une cible plus facile, pas moins, et les chiffres publics le confirment. Être discret ne rend pas invisible aux robots.
« L'antivirus déjà inclus dans le système suffit »
L'antivirus intégré au système s'est beaucoup amélioré et bloque correctement les menaces connues. Mais il reste une protection préventive sans détection comportementale supervisée, sans chronologie d'investigation et surtout sans personne pour qualifier les alertes la nuit. Il fait honnêtement son travail sur le tout-venant, pas celui d'un EDR managé. Confondre les deux, c'est croire qu'on a un service alors qu'on a un outil de base.
« L'EDR va ralentir tous les postes »
C'était valable il y a dix ans. Les agents modernes sont conçus pour être discrets et l'impact ressenti au quotidien est en pratique négligeable. À mettre en regard du seul ralentissement qui compte vraiment : un parc entier chiffré et une activité à l'arrêt plusieurs jours. Refuser une gêne imperceptible pour s'exposer à un blocage total, c'est le mauvais calcul.
Notre méthode de déploiement, en 5 étapes
Pas de big bang, pas d'interruption d'activité. Une mise en place progressive et maîtrisée.
1. Audit de sécurité offert
On regarde l'existant : parc, systèmes, protections déjà en place, sauvegardes, points faibles évidents. C'est offert et sans engagement, et ça permet de dimensionner juste plutôt que de vendre trop.
2. Choix et cadrage
On retient la solution adaptée à votre contexte (taille, métier, contraintes de conformité, souveraineté), on définit les politiques et le périmètre de supervision. Vous validez avant tout déploiement.
3. Déploiement progressif
L'agent est installé par vagues, à distance, sans réinstaller les postes ni couper le travail. On commence par un groupe pilote pour valider, puis on étend au reste du parc.
4. Calibrage
Les premières semaines servent à affiner : réduire les faux positifs, ajuster les règles à vos usages réels. Un EDR mal calibré fatigue ; un EDR bien calibré devient invisible et utile.
5. Supervision continue
La phase qui dure : surveillance des alertes, qualification, réponse aux incidents, et compte rendu régulier. C'est là que l'investissement protège réellement, pas le jour de l'installation.
Et après
Le parc évolue, les menaces aussi. On ajuste les politiques dans le temps, on intègre les nouveaux postes, et on fait un point périodique sur ce qui a été détecté et corrigé.
Combien ça coûte, et comment c'est facturé
Disons-le franchement : pas de prix « à partir de » sur cette page, parce qu'un tarif annoncé sans connaître votre contexte serait soit trompeur, soit faux. Mieux vaut poser clairement ce qui fait varier le coût.
Ce qui fait varier le tarif. Le nombre de postes et de serveurs à protéger d'abord. Le niveau de supervision ensuite : simple surveillance avec alerte, ou prise en charge complète des incidents par notre équipe. Puis les exigences de conformité (NIS2, attentes d'un assureur, secteur réglementé) qui peuvent demander une journalisation et un reporting plus poussés. Enfin le choix de la solution, notamment si vous privilégiez un éditeur souverain européen.
Comment c'est facturé. Le modèle habituel est un abonnement mensuel ou annuel, par poste protégé, supervision incluse. Pas de gros investissement matériel d'entrée, pas de licence figée : la dépense est lissée et prévisible, plus saine pour le budget d'une PME et plus simple à arbitrer face au coût d'un incident.
La bonne façon d'avoir un chiffre juste, c'est l'audit offert : une heure pour regarder votre parc, et nous revenons avec un devis dimensionné à votre réalité. Plus honnête qu'un prix de catalogue, et souvent plus économique qu'une solution surdimensionnée vendue sur étagère.