Protection des serveurs et postes de travail : l’incontournable EDR
Introduction
La « détection et la réponse sur les hôtes » (EDR, pour Endpoint Detection & Response) désigne l’ensemble des capacités visant à collecter et analyser les informations relatives aux menaces de sécurité sur les postes de travail et les serveurs. Ces systèmes constituent une évolution fonctionnelle par rapport aux antivirus qui se concentrent sur la protection contre les logiciels malveillants connus. L’EDR combine l’analyse des données et du comportement pour repérer les menaces, qu’elles soient connues ou pas, émergentes, voire bien établies.
L’EDR est particulièrement efficace contre les menaces persistantes avancées (APT), mais également contre celles qui ne s’appuient sur aucun maliciel connu, voire qui n’impliquent que des logiciels légitimes : un programme de protection et de réponse aux endpoints bien exécuté détecte les nouvelles exploitations en cours et l’activité malveillante d’un attaquant lors d’un incident actif.
En substance, l’antivirus est susceptible de ne réagir qu’une fois que le mal est fait, tandis que l’EDR peut permettre de couper l’herbe sous le pied des assaillants. Voire même de retracer leurs actions antérieures afin de déterminer l’étendue de la menace. Une étape indispensable pour traiter un incident de sécurité de manière appropriée.
Dans ce guide, vous apprendrez tout ce qu’il est nécessaire de retenir sur l’EDR, ainsi que des témoignages d’entreprises utilisatrices, mais aussi sur les limites de ce qui, en toute logique, constitue l’une des premières cibles des attaquants.
1Explications-
Comprendre, choisir et déployer un EDR
EDR (Endpoint Detection and Response)
La détection et la réponse sur les endpoints – EDR, ou hôtes, en français – consistent à collecter et analyser des informations relatives aux menaces de sécurité touchant postes de travail et serveurs d’un système d’information, dans le but de détecter les violations de sécurité dès qu’elles surviennent et de faciliter une réponse rapide. Lire la suite
Comment choisir un EDR ?
Un outil de détection et de réponse au « endpoint » n’est pas un antivirus, malgré les rapprochements opérés au fil des ans. Pour bien le choisir, il convient de savoir quoi en attendre (ou pas). Lire la suite
EDR : quel avenir pour les évaluations Mitre ATT&CK Engenuity ?
Microsoft, Palo Alto Networks et SentinelOne ont décidé de ne pas prendre part à l’édition 2025 de ces évaluations. De quoi semer le doute sur l’avenir, à terme, d’un exercice lourd pour les éditeurs et dont l’utilisation des résultats ne fait pas nécessairement consensus. Lire la suite
Partenariat F5-CrowdStrike : l’EDR suffit-il ?
Un nouveau partenariat F5-CrowdStrike étend l’EDR à l’infrastructure réseau vulnérable, mais est-ce suffisant ? La recherche montre que la NDR est plus performante que l’EDR dans de nombreux cas. Lire la suite
Defender for Endpoint : Microsoft prépare l’isolement automatique
L’éditeur vient d’ouvrir, en préversion, une fonctionnalité de placement automatique à l’isolement des terminaux compromis, dans le but de limiter les capacités de déplacement latéral des attaquants. Lire la suite
2Témoignages-
Ils ont adopté l’EDR et racontent
Comment l’Insep s’est mis à l’EDR
Durant les JO 2024, l’institut comptait notamment, pour la sécurité de son système d’information, sur la détection des menaces dans le trafic réseau. Mais un démonstrateur EDR fonctionnait en parallèle. C’est lui qui a pris le relais. Lire la suite
Lynred mise sur la complémentarité entre EDR et NDR
ETI du secteur électronique comptant un millier de personnes, Lynred a déployé l’EDR SentinelOne sur ces serveurs et PC. Mais pour compléter cette sécurité endpoint, elle mise sur le NDR de Gatewatcher pour veiller sur ses flux réseau Nord-Sud et Est-Ouest. Lire la suite
Comment le Groupe DSA renforce sa cybersécurité
Après une tentative d’attaque avec cryptolocker ayant tourné court, le groupe d’audit et d’expertise comptable a lancé un audit de sécurité. À sa suite, la PME a élevé son niveau de sécurité en déployant EDR, MFA et un cluster de firewalls WatchGuard. Lire la suite
Pourquoi le groupe Matmut a refondu sa couche de détection sur un EPP, EDR et NDR commun
C’est à l’issue d’un long processus de sélection (deux ans) que le groupe Matmut a fait le choix de la plateforme de détection complète, avec EPP, EDR et NDR, et intégrée, issue d’un unique éditeur. Lire la suite
3Limites-
Un outil de sécurité indispensable, mais pas imparable
Ransomware Qilin : un outil pour rendre aveugles plus de 300 EDR
Les équipes de Cisco Talos viennent de documenter un autre "tueur d'EDR" observé dans le cadre de cyberattaques ayant impliqué l'enseigne de rançongiciel Qilin. Un outil particulièrement redoutable. Lire la suite
Ransomware : désactiver l’EDR est devenu la norme
La suppression des EDR n’est plus une tactique accessoire, mais une étape critique, permettant aux gangs de neutraliser les défenses avec des outils légitimes et commerciaux avant le chiffrement. Lire la suite
Contourner l’EDR ? Miser sur des objets connectés non supervisés
Seul, l’EDR ne suffit pas toujours. La détection des menaces dans le réseau constitue un complément qu’il peut être tentant de négliger. Cas pratique avec un ransomware signé Akira et… une caméra connectée. Lire la suite
Cybersécurité : comment l’EDR peut être contourné
Les systèmes de détection et de réponse sur les serveurs et postes de travail font chaque jour un peu plus la démonstration de leur efficacité. Mais ils n’en sont pas pour autant infaillibles. Lire la suite