Qu'est-ce que l'EDR ?
L'EDR, pour Endpoint Detection and Response, est une catégorie d'outils de sécurité déployés sur les terminaux (postes de travail, serveurs, ordinateurs portables). Il collecte en continu des données sur ce qui s'y passe (processus, connexions, modifications de fichiers) et les analyse pour détecter les signes d'une attaque.
Sa valeur tient à trois capacités combinées : la détection, fondée sur le comportement et non sur de simples signatures ; l'investigation, qui permet de reconstituer le déroulement d'une attaque ; et la réponse, qui permet d'agir, par exemple isoler un poste compromis du réseau.
Pourquoi c'est important pour votre organisation
Les attaques modernes contournent l'antivirus classique, notamment via les techniques living off the land qui n'utilisent aucun logiciel malveillant. L'EDR répond à cette réalité en se concentrant sur le comportement : un enchaînement d'actions anormal devient détectable même sans fichier suspect.
Il raccourcit aussi le temps de réaction. En cas d'intrusion, la capacité à isoler rapidement une machine et à comprendre ce qui s'est passé fait la différence entre un incident maîtrisé et une compromission généralisée.
Ce qu'apporte un EDR
- Détection comportementale des menaces, y compris inconnues.
- Visibilité continue sur l'activité des terminaux.
- Investigation et reconstitution du déroulé d'une attaque.
- Réponse : isolement, blocage, remédiation à distance.
- Cartographie ATT&CK des techniques observées.
Où les organisations pèchent le plus souvent
L'écueil le plus courant est de déployer un EDR puis de le laisser en pilote automatique, sans équipe pour traiter les alertes : un outil qui détecte mais que personne n'exploite ne protège pas. L'autre erreur est d'oublier que l'EDR lui-même peut être ciblé ou désactivé par un attaquant, d'où l'importance de protéger et de surveiller l'outil de sécurité comme un actif critique.