EDR Endpoint Detection and Response.

EDR est la plateforme à base d'agents qui enregistre l'activité des postes de travail, détecte les comportements suspects et permet aux analystes d'isoler ou de remédier les hôtes compromis. XDR étend la visibilité aux endpoints, au réseau et au cloud ; MDR est la couche de service managé. L'endpoint reste le point d'entrée le plus courant ; EDR est désormais un prérequis de base, pas un facteur de différenciation.

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyCybersecurity operationsAll entries

La vision de Cyber Academy

EDR est la plateforme à base d'agents qui enregistre l'activité des postes de travail, détecte les comportements suspects et permet aux analystes d'isoler ou de remédier les hôtes compromis. XDR étend la visibilité aux endpoints, au réseau et au cloud ; MDR est la couche de service managé. L'endpoint reste le point d'entrée le plus courant ; EDR est désormais un prérequis de base, pas un facteur de différenciation.

Ce que fait réellement l'EDR sur le poste

L'Endpoint Detection and Response déploie un agent léger sur chaque poste de travail, ordinateur portable et serveur qui compte pour vous. Cet agent enregistre en continu ce que fait le système d'exploitation : les processus qui démarrent, les lignes de commande qu'ils exécutent, les fichiers écrits, les clés de registre modifiées, les connexions réseau ouvertes et les sessions utilisateur qui s'ouvrent. Ce flux de télémétrie est le cœur de l'EDR.

Là où l'antivirus traditionnel posait une seule question, « ce fichier est-il connu comme malveillant », l'EDR en pose une plus difficile, « cette séquence de comportements est-elle suspecte », ce qui lui permet de détecter les attaques sans fichier, les techniques de living-off-the-land et le détournement d'outils légitimes qui ne déposent jamais d'échantillon de malware identifiable.

La partie « réponse » est ce qui distingue l'EDR d'un capteur passif. Lorsqu'un poste est compromis, un analyste peut agir depuis la console : isoler la machine du réseau tout en gardant active la connexion de l'agent, arrêter un processus malveillant, mettre un fichier en quarantaine, collecter des artefacts forensiques ou annuler des modifications. Cette capacité à contenir un seul poste sans le toucher physiquement, en plein incident actif, est celle sur laquelle les praticiens s'appuient le plus. La télémétrie alimente aussi l'investigation, de sorte que les intervenants peuvent reconstituer toute la chaîne des actions d'un attaquant plutôt que de se contenter de bloquer la première étape.

EDR, XDR et MDR : connaître la différence

Ces trois acronymes sont vendus côte à côte et faciles à confondre. Ce ne sont pas tant des produits concurrents que des périmètres et des modèles de livraison différents bâtis autour de la même idée centrale.

EDR vs XDR vs MDR
TermePérimètreCe que c'est
EDRPostes uniquementLa plateforme à base d'agents qui enregistre, détecte et répond sur les hôtes. Vous l'exploitez vous-même.
XDRPoste, réseau, cloud, identité, messagerieÉtend et corrèle la détection sur plusieurs couches, pas seulement le poste, pour voir les attaques qui traversent plusieurs domaines.
MDRCe que couvre le prestataireUn service managé : une équipe tierce assure la détection et la réponse pour votre compte, souvent en s'appuyant sur de l'EDR ou du XDR.

La lecture pratique est simple. L'EDR est la technologie sur l'hôte. Le XDR est la même philosophie de détection élargie pour ingérer des signaux au-delà du poste et les corréler. Le MDR est une décision d'externalisation : vous achetez les analystes et la couverture permanente, pas seulement l'outil. Une petite équipe sans SOC 24/7 associe fréquemment l'EDR à un prestataire MDR pour que les alertes soient triées à trois heures du matin.

Où se situe l'EDR dans vos opérations et votre SMSI

L'EDR fonctionne rarement seul. Ses détections et sa télémétrie brute sont couramment transmises à un SIEM pour corrélation avec les journaux des pare-feux, des fournisseurs d'identité et des applications, et les alertes qui en résultent sont traitées par un SOC. Dans ce pipeline, l'EDR est le capteur à haute fidélité le plus proche de l'endroit où débutent la plupart des intrusions, puisque le poste reste le point d'entrée le plus courant, par hameçonnage, identifiants volés et logiciels vulnérables.

Sous l'angle de la gouvernance, l'EDR est ce qui rend plusieurs objectifs de contrôle réels plutôt qu'aspirationnels. Dans le cadre d'un SMSI ISO/IEC 27001, il appuie les mesures relatives à la protection contre les logiciels malveillants, à la journalisation, à la surveillance et au volet technique de la gestion des incidents, et il produit les preuves qu'un auditeur s'attend à voir. Il soutient aussi la capacité de détection et de réponse que des référentiels comme le modèle de fonctions de cybersécurité du NIST et des réglementations comme NIS2 et DORA supposent qu'une organisation maintienne. La shortDefinition le dit clairement : l'EDR est désormais un prérequis, pas un facteur de différenciation.

Frequently asked questions

01En quoi l'EDR diffère-t-il de l'antivirus ?

L'antivirus traditionnel compare les fichiers à des signatures de malwares connus et bloque ce qu'il reconnaît. L'EDR enregistre en continu le comportement des postes et détecte les schémas d'activité suspecte, ce qui permet de saisir les attaques sans fichier et le détournement d'outils légitimes qu'aucune signature ne signalerait. L'EDR ajoute aussi des actions de réponse comme l'isolement de l'hôte et la collecte forensique que l'antivirus n'offre pas.

02Quelle est la différence entre EDR et XDR ?

L'EDR se limite aux postes. Le XDR étend la même approche de détection et de corrélation à des couches supplémentaires telles que le réseau, le cloud, l'identité et la messagerie, ce qui lui permet de faire ressortir les attaques qui circulent entre les domaines. Le XDR offre une visibilité plus large, pas un remplacement de la profondeur au niveau de l'hôte qu'apporte l'EDR.

03Ai-je encore besoin d'un SIEM si j'ai déjà un EDR ?

En général oui. L'EDR est excellent sur le poste mais ne voit pas l'intégralité des journaux des pare-feux, des applications ou des identités. Un SIEM corrèle la télémétrie de l'EDR avec ces autres sources pour obtenir une image complète, ce qui explique pourquoi les deux sont couramment déployés ensemble et alimentent un SOC.

04Qu'est-ce que le MDR et quand en ai-je besoin ?

Le MDR, Managed Detection and Response, est un service où une équipe tierce assure la détection et la réponse à votre place, souvent en s'appuyant sur de l'EDR ou du XDR. Il prend tout son sens lorsque vous manquez d'analystes internes ou de la couverture permanente nécessaire pour trier les alertes à toute heure.

05L'EDR est-il exigé pour la conformité ?

Aucun standard ne nomme spécifiquement l'EDR, mais ses capacités correspondent directement aux objectifs de contrôle de l'ISO/IEC 27001 et aux attentes de détection et de réponse de référentiels comme le NIST CSF et de réglementations comme NIS2 et DORA. En pratique, il est considéré comme un prérequis pour démontrer la surveillance et la réponse aux incidents.

Besoin de plus qu'une définition ?

Réservez un appel découverte gratuit de 20 minutes. Nous identifions la cohorte qui transforme ce terme en pratique prête pour l'audit.