Skip to main content

EDR – Endpoint Detection and Response

1. Définition

EDR signifie "Endpoint Detection and Response", en français "Détection et Réponse sur les Terminaux".

C’est une solution de sécurité qui protège les postes de travail, ordinateurs portables, serveurs et autres terminaux contre les attaques informatiques, grâce à :

  • Une surveillance en temps réel

  • Une détection avancée des menaces

  • Une capacité de réponse rapide

L’EDR ne se contente pas de bloquer les virus : il traque les comportements anormaux et permet d’analyser ce qui s’est réellement passé lors d’un incident.

2. À quoi sert un EDR ?

L’EDR a pour but de :

  • Détecter des menaces sophistiquées qu’un antivirus classique pourrait rater

  • Analyser le comportement des processus sur un poste (fichier, réseau, mémoire)

  • Donner une visibilité complète sur une attaque (par exemple : qui, quand, comment)

  • Réagir rapidement, en isolant la machine ou en stoppant le processus malveillant

Il est souvent utilisé dans les environnements professionnels où le niveau de risque est élevé (entreprises, hôpitaux, administrations, etc.).

3. Fonctionnement d’un EDR

Voici les principales étapes du fonctionnement d’un EDR :

  1. Collecte de données
    Le logiciel EDR s’installe sur chaque terminal et surveille :

    • L’activité des fichiers

    • Les connexions réseau

    • Les processus et services actifs

    • Les accès au registre système

    • Les connexions utilisateur

  2. Analyse comportementale
    L’EDR utilise des moteurs d’analyse ou de l’intelligence artificielle pour détecter les comportements anormaux (exemples : chiffrement massif de fichiers, exécution de scripts inhabituels, etc.).

  3. Détection d’incidents
    En cas d’activité suspecte, une alerte est déclenchée. Elle peut être envoyée au SOC ou au SIEM.

  4. Réponse automatisée ou manuelle
    Le terminal peut être isolé du réseau, un processus peut être stoppé, ou l’utilisateur bloqué pour contenir l’incident.

  5. Analyse post-incident
    L’EDR conserve une trace (journal) de tous les événements, permettant de rejouer l’attaque pour comprendre son déroulement.

4. Différence entre EDR et antivirus

Antivirus traditionnel EDR
Détection basée sur des signatures Analyse comportementale avancée
Réagit aux menaces connues Capable de détecter des menaces inconnues
Peu de visibilité sur l’attaque Analyse complète, ligne par ligne
Pas de réponse automatisée Possibilité de réponse rapide et isolée
Fonctionne seul S’intègre dans un SOC ou un SIEM

5. Capacités typiques d’un EDR

  • Surveillance continue du poste

  • Détection des ransomwares, malwares avancés, attaques sans fichier (fileless)

  • Analyse forensique (analyse technique après coup)

  • Réponse rapide : isolement, suppression de fichiers, arrêt de processus

  • Tableaux de bord de sécurité par poste

6. Avantages de l’EDR

  • Visibilité totale sur chaque terminal

  • Détection de menaces inconnues

  • Réduction du temps de réaction

  • Investigation facilitée

  • Aide à contenir une attaque rapidement

7. Limites ou contraintes

  • Nécessite une connexion permanente au réseau pour remonter les données

  • Peut générer des faux positifs si mal configuré

  • Nécessite des analystes formés pour comprendre les alertes

  • Certains outils EDR sont coûteux pour les petites structures

8. Exemples de solutions EDR connues

Voici quelques solutions EDR répandues sur le marché :

  • CrowdStrike Falcon

  • Microsoft Defender for Endpoint

  • SentinelOne

  • Trend Micro Apex One

  • Sophos Intercept X

  • ESET Enterprise Inspector

  • Bitdefender GravityZone EDR

Ces outils sont souvent intégrés dans des plateformes de XDR (eXtended Detection and Response) qui étendent la protection à tout l’environnement informatique (réseau, cloud, email…).

9. Exemple de cas d’utilisation

Un employé clique sur une pièce jointe contenant un malware.

  • L’EDR détecte qu’un processus inconnu tente de se propager ou de chiffrer des fichiers.

  • Il bloque automatiquement l’action, isole l’ordinateur du réseau, et envoie une alerte au SOC.

  • Les analystes peuvent rejouer l’incident, identifier la menace, et appliquer une remédiation rapide.

10. Résumé

L’EDR est un outil indispensable pour renforcer la sécurité des postes de travail et serveurs, au-delà des capacités d’un antivirus. Il offre :

  • Une surveillance proactive

  • Une réponse automatisée

  • Une meilleure visibilité sur les attaques

Il est souvent intégré dans une stratégie plus large avec SIEM, SOC, et pare-feux intelligents.

Back to top