Aller au contenu
FortaRisks
Retour au glossaireAttaques et incidents

EDR

L'EDR (Endpoint Detection and Response) est une technologie de sécurité qui surveille en continu les postes et serveurs pour détecter les comportements malveillants, alerter et permettre une réponse. Contrairement à l'antivirus classique fondé sur les signatures, il s'appuie sur l'analyse comportementale pour repérer les attaques inconnues.

Mis à jour le 2 juillet 2026

Qu'est-ce que l'EDR ?

L'EDR, pour Endpoint Detection and Response, est une catégorie d'outils de sécurité déployés sur les terminaux (postes de travail, serveurs, ordinateurs portables). Il collecte en continu des données sur ce qui s'y passe (processus, connexions, modifications de fichiers) et les analyse pour détecter les signes d'une attaque.

Sa valeur tient à trois capacités combinées : la détection, fondée sur le comportement et non sur de simples signatures ; l'investigation, qui permet de reconstituer le déroulement d'une attaque ; et la réponse, qui permet d'agir, par exemple isoler un poste compromis du réseau.

Pourquoi c'est important pour votre organisation

Les attaques modernes contournent l'antivirus classique, notamment via les techniques living off the land qui n'utilisent aucun logiciel malveillant. L'EDR répond à cette réalité en se concentrant sur le comportement : un enchaînement d'actions anormal devient détectable même sans fichier suspect.

Il raccourcit aussi le temps de réaction. En cas d'intrusion, la capacité à isoler rapidement une machine et à comprendre ce qui s'est passé fait la différence entre un incident maîtrisé et une compromission généralisée.

Ce qu'apporte un EDR

  • Détection comportementale des menaces, y compris inconnues.
  • Visibilité continue sur l'activité des terminaux.
  • Investigation et reconstitution du déroulé d'une attaque.
  • Réponse : isolement, blocage, remédiation à distance.
  • Cartographie ATT&CK des techniques observées.

Où les organisations pèchent le plus souvent

L'écueil le plus courant est de déployer un EDR puis de le laisser en pilote automatique, sans équipe pour traiter les alertes : un outil qui détecte mais que personne n'exploite ne protège pas. L'autre erreur est d'oublier que l'EDR lui-même peut être ciblé ou désactivé par un attaquant, d'où l'importance de protéger et de surveiller l'outil de sécurité comme un actif critique.

Questions fréquentes

Quelle différence entre un antivirus et un EDR ?

L'antivirus traditionnel bloque des menaces connues à partir de signatures. L'EDR va plus loin : il enregistre en continu l'activité des terminaux, détecte les comportements suspects (même sans signature), permet d'investiguer une attaque et d'y répondre, par exemple en isolant une machine. L'un prévient le connu, l'autre détecte et traite l'inconnu.

Quelle différence entre EDR, XDR et MDR ?

L'EDR se concentre sur les terminaux. Le XDR étend la corrélation à d'autres sources (réseau, messagerie, cloud) pour une vue unifiée. Le MDR n'est pas une technologie mais un service : une équipe externe opère la détection et la réponse pour vous, souvent en s'appuyant sur un EDR ou un XDR.

Voyez votre vrai risque en 30 minutes de démo.

Un membre de notre équipe vous guide dans FortaRisks sur des menaces pertinentes pour votre secteur. Sans chatbot.