Antivirus EDR : la protection que l'antivirus classique ne sait plus assurer
La plupart des attaques qui touchent aujourd'hui les entreprises passent sous le radar des antivirus traditionnels. L'EDR change de logique : il surveille le comportement de chaque poste, détecte ce qui sort de l'ordinaire et permet de réagir avant que l'incident ne se propage. Encore faut-il qu'il soit supervisé.
Demander un audit de sécurité offertAntivirus, EDR : de quoi parle-t-on vraiment ?
Pendant vingt ans, la sécurité du poste de travail a reposé sur un principe simple : l'antivirus à signatures. Chaque logiciel malveillant connu possède une empreinte, l'antivirus compare les fichiers à une base d'empreintes et bloque ce qui correspond. Tant que les menaces étaient des virus identifiables et largement diffusés, ce modèle fonctionnait correctement.
Le problème, c'est que l'attaquant d'aujourd'hui ne ressemble plus à ça. Il utilise des codes uniques générés à la volée, des techniques sans fichier qui s'exécutent directement en mémoire, des outils légitimes du système détournés à des fins malveillantes, ou encore des accès volés qui n'ont, techniquement, rien d'un virus. Pour une protection à signatures, tout cela est invisible : il n'y a pas d'empreinte connue à reconnaître.
L'EDR, pour Endpoint Detection and Response, répond à un problème différent. Au lieu de se demander « ce fichier est-il un malware connu ? », il observe en continu ce qui se passe sur le poste : quels processus se lancent, quels accès sont demandés, quelles connexions réseau s'ouvrent, quels fichiers sont chiffrés massivement. Quand une séquence d'actions ressemble à une attaque, il alerte, bloque et permet d'intervenir, y compris sur une menace que personne n'avait jamais vue auparavant.
En clair : l'antivirus regarde ce qu'est un fichier, l'EDR regarde ce que fait un programme. Ce n'est pas un antivirus en mieux, c'est un changement de paradigme. Et pour une entreprise, ce changement n'est plus optionnel.
Antivirus classique ou EDR : la différence le jour de l'attaque
La distinction est invisible au quotidien. Elle devient décisive pendant l'incident.
| Capacité | Antivirus classique | EDR |
|---|---|---|
| Menaces connues (signatures) | Oui | Oui |
| Menaces inconnues / comportementales | Non | Oui, analyse du comportement |
| Attaques sans fichier (en mémoire) | Quasi aveugle | Détectées |
| Ransomware en cours d'exécution | Souvent trop tard | Blocage, isolation, restauration |
| Comprendre comment l'attaque est entrée | Aucune visibilité | Chronologie complète de l'incident |
| Isoler un poste compromis | Non | Oui, à distance, en un clic |
| Réaction humaine sur alerte | Aucune | Oui, si l'EDR est managé |
Comment fonctionne un EDR
Quatre mécanismes, une logique : voir, comprendre, arrêter, expliquer.
Télémétrie continue
Un agent léger enregistre en permanence l'activité du poste : processus, fichiers, registre, réseau. Rien d'anormal ne passe sans laisser de trace exploitable.
Analyse comportementale
Des modèles, souvent assistés par IA, repèrent les enchaînements typiques d'une attaque (élévation de privilèges, chiffrement massif, mouvement latéral) même sans signature connue.
Réponse et isolation
Le poste suspect est coupé du réseau à distance, le processus malveillant arrêté, et selon la solution, les fichiers chiffrés peuvent être restaurés.
Investigation
L'EDR reconstitue la chronologie : par où l'attaque est entrée, ce qu'elle a touché, jusqu'où elle est allée. Indispensable pour corriger la faille et pour le volet réglementaire.
Pourquoi l'antivirus classique ne protège plus assez
Ce n'est pas une question de marque ou de qualité d'antivirus. C'est une question de méthode. Les attaques modernes ont été conçues, précisément, pour échapper à la détection par signature.
Le code à usage unique. Un rançongiciel peut être recompilé automatiquement pour chaque victime. Son empreinte est donc inédite à chaque fois : aucune base de signatures ne peut l'avoir répertorié.
Les attaques sans fichier. De plus en plus d'attaques n'écrivent aucun fichier malveillant sur le disque. Elles s'exécutent en mémoire ou détournent des outils déjà présents et légitimes du système. L'antivirus, qui scanne des fichiers, ne voit presque rien.
Le vol d'identifiants. Quand un attaquant se connecte avec un mot de passe volé, il n'y a aucun logiciel malveillant à détecter. Seul un système qui analyse le comportement peut remarquer qu'un compte agit de façon anormale.
Le résultat est documenté par l'ensemble des acteurs de la cybersécurité : une part majoritaire des attaques réussies aujourd'hui n'aurait pas été arrêtée par un antivirus traditionnel seul. L'EDR ne remplace pas la prévention, il ajoute la couche qui manquait : la détection de ce qui passe quand même.
EDR, EPP, XDR, MDR : démêler le vocabulaire
Beaucoup de sigles, des périmètres différents. Voici ce qu'ils recouvrent.
EPP, la plateforme de protection
L'EPP (Endpoint Protection Platform) regroupe les protections préventives du poste : antivirus nouvelle génération, pare-feu local, filtrage. C'est le bouclier. Beaucoup de solutions modernes combinent EPP et EDR dans un même agent.
EDR, la détection et la réponse
L'EDR ajoute l'œil et la main : il détecte les comportements suspects qui franchissent le bouclier, et permet d'investiguer et de réagir. C'est le sujet de cette page.
XDR, la vision étendue
Le XDR étend la logique de l'EDR au-delà du poste : messagerie, identité, cloud, réseau, corrélés ensemble. Une attaque qui commence par un mail piégé et finit sur un serveur devient visible de bout en bout.
MDR, le service managé
Le MDR (Managed Detection and Response) n'est pas un outil mais un service : des experts qui exploitent l'EDR ou le XDR pour vous, surveillent, qualifient et réagissent. C'est exactement le rôle d'Infranat autour de votre EDR.
Les TPE et PME, cibles privilégiées
Une idée fausse a la vie dure : « nous sommes trop petits pour intéresser un attaquant ». C'est l'inverse. Les attaques sont aujourd'hui largement automatisées et opportunistes. Elles ne choisissent pas une cible, elles balaient Internet et frappent ce qui est mal protégé. Or les petites structures sont, statistiquement, les moins bien défendues.
Pour une PME, l'enjeu n'est pas seulement la rançon. C'est l'arrêt d'activité pendant des jours, la perte de données, la facture de reconstruction, l'atteinte à la réputation et, de plus en plus, la question des clients et des assureurs : « quelles mesures aviez-vous mises en place ? »
L'EDR managé est précisément la mesure qui permet de répondre à cette question, et surtout d'éviter d'avoir à y répondre.
- Les attaques visent massivement les petites structures, car elles sont les moins protégées.
- Le coût d'un incident dépasse très largement celui d'une protection annuelle.
- L'EDR managé met une PME au niveau de défense d'une grande entreprise, à son échelle.
Un EDR sans supervision ne sert presque à rien
C'est le point que beaucoup découvrent trop tard. Un EDR ne bloque pas tout automatiquement : il génère des alertes, parfois nombreuses, qu'il faut qualifier. Une alerte ignorée pendant le week-end, c'est une attaque qui se déroule sans personne en face.
Une PME n'a ni le temps ni une équipe de sécurité dédiée pour surveiller un EDR 24 heures sur 24. C'est pourquoi nous le proposons managé : nous déployons l'outil, nous surveillons les alertes, nous qualifions les incidents, nous isolons et remédions, et nous vous rendons compte. Vous achetez un résultat de sécurité, pas un logiciel de plus à administrer.
L'EDR managé Infranat
- Déploiement de l'agent sur tout le parc
- Surveillance continue des alertes
- Qualification et tri des incidents
- Isolation et remédiation
- Compte rendu clair, sans jargon
Solution que nous déployons le plus souvent : voir notre page EDR WithSecure.
EDR, conformité et assurance cyber
La sécurité du poste n'est plus seulement une bonne pratique, elle devient une exigence. Les réglementations de cybersécurité qui montent en puissance attendent des entreprises qu'elles soient capables de détecter un incident, d'y répondre et d'en garder la trace. Un antivirus seul ne permet aucune des trois ; un EDR managé, oui.
Côté RGPD, en cas de violation de données, vous devez pouvoir établir ce qui s'est passé et notifier dans les délais. Sans la chronologie qu'un EDR conserve, cette obligation est presque impossible à honorer sérieusement.
Côté assurance cyber, les assureurs conditionnent de plus en plus la couverture, et son tarif, à la présence de mesures comme l'EDR, la sauvegarde testée et l'authentification renforcée. Ne pas en avoir peut signifier ne pas être indemnisé.
Bien choisir son EDR pour une PME
Les critères qui comptent vraiment, au-delà de la fiche commerciale.
Légèreté de l'agent
Un agent qui ralentit les postes finit désactivé par les utilisateurs. La discrétion est un critère de sécurité, pas un détail de confort.
Faux positifs maîtrisés
Trop d'alertes injustifiées et plus personne ne les lit. La qualité de détection se juge aussi à la pertinence des alertes.
Souveraineté
Un éditeur européen et un traitement des données dans un cadre européen simplifient la conformité RGPD et limitent l'exposition juridique.
Service derrière l'outil
Le meilleur EDR sans équipe pour l'exploiter ne vaut rien. Le critère décisif pour une PME, c'est la supervision humaine.