EDR – Endpoint Detection and Response
1. Définition
EDR signifie "Endpoint Detection and Response", en français "Détection et Réponse sur les Terminaux".
C’est une solution de sécurité qui protège les postes de travail, ordinateurs portables, serveurs et autres terminaux contre les attaques informatiques, grâce à :
-
Une surveillance en temps réel
-
Une détection avancée des menaces
-
Une capacité de réponse rapide
L’EDR ne se contente pas de bloquer les virus : il traque les comportements anormaux et permet d’analyser ce qui s’est réellement passé lors d’un incident.
2. À quoi sert un EDR ?
L’EDR a pour but de :
-
Détecter des menaces sophistiquées qu’un antivirus classique pourrait rater
-
Analyser le comportement des processus sur un poste (fichier, réseau, mémoire)
-
Donner une visibilité complète sur une attaque (par exemple : qui, quand, comment)
-
Réagir rapidement, en isolant la machine ou en stoppant le processus malveillant
Il est souvent utilisé dans les environnements professionnels où le niveau de risque est élevé (entreprises, hôpitaux, administrations, etc.).
3. Fonctionnement d’un EDR
Voici les principales étapes du fonctionnement d’un EDR :
-
Collecte de données
Le logiciel EDR s’installe sur chaque terminal et surveille :-
L’activité des fichiers
-
Les connexions réseau
-
Les processus et services actifs
-
Les accès au registre système
-
Les connexions utilisateur
-
-
Analyse comportementale
L’EDR utilise des moteurs d’analyse ou de l’intelligence artificielle pour détecter les comportements anormaux (exemples : chiffrement massif de fichiers, exécution de scripts inhabituels, etc.). -
Détection d’incidents
En cas d’activité suspecte, une alerte est déclenchée. Elle peut être envoyée au SOC ou au SIEM. -
Réponse automatisée ou manuelle
Le terminal peut être isolé du réseau, un processus peut être stoppé, ou l’utilisateur bloqué pour contenir l’incident. -
Analyse post-incident
L’EDR conserve une trace (journal) de tous les événements, permettant de rejouer l’attaque pour comprendre son déroulement.
4. Différence entre EDR et antivirus
| Antivirus traditionnel | EDR |
|---|---|
| Détection basée sur des signatures | Analyse comportementale avancée |
| Réagit aux menaces connues | Capable de détecter des menaces inconnues |
| Peu de visibilité sur l’attaque | Analyse complète, ligne par ligne |
| Pas de réponse automatisée | Possibilité de réponse rapide et isolée |
| Fonctionne seul | S’intègre dans un SOC ou un SIEM |
5. Capacités typiques d’un EDR
-
Surveillance continue du poste
-
Détection des ransomwares, malwares avancés, attaques sans fichier (fileless)
-
Analyse forensique (analyse technique après coup)
-
Réponse rapide : isolement, suppression de fichiers, arrêt de processus
-
Tableaux de bord de sécurité par poste
6. Avantages de l’EDR
-
Visibilité totale sur chaque terminal
-
Détection de menaces inconnues
-
Réduction du temps de réaction
-
Investigation facilitée
-
Aide à contenir une attaque rapidement
7. Limites ou contraintes
-
Nécessite une connexion permanente au réseau pour remonter les données
-
Peut générer des faux positifs si mal configuré
-
Nécessite des analystes formés pour comprendre les alertes
-
Certains outils EDR sont coûteux pour les petites structures
8. Exemples de solutions EDR connues
Voici quelques solutions EDR répandues sur le marché :
-
CrowdStrike Falcon
-
Microsoft Defender for Endpoint
-
SentinelOne
-
Trend Micro Apex One
-
Sophos Intercept X
-
ESET Enterprise Inspector
-
Bitdefender GravityZone EDR
Ces outils sont souvent intégrés dans des plateformes de XDR (eXtended Detection and Response) qui étendent la protection à tout l’environnement informatique (réseau, cloud, email…).
9. Exemple de cas d’utilisation
Un employé clique sur une pièce jointe contenant un malware.
-
L’EDR détecte qu’un processus inconnu tente de se propager ou de chiffrer des fichiers.
-
Il bloque automatiquement l’action, isole l’ordinateur du réseau, et envoie une alerte au SOC.
-
Les analystes peuvent rejouer l’incident, identifier la menace, et appliquer une remédiation rapide.