EDR ou antivirus : ce qui change vraiment face au ransomware
Un antivirus classique compare les fichiers à une base de signatures connues ; un EDR (Endpoint Detection and Response) surveille le comportement des postes et permet d’agir : isoler une machine compromise, bloquer des comptes, remonter le fil de l’attaque. Face aux ransomwares actuels — identifiants volés, outils légitimes détournés, fichiers inédits —, la détection par signatures seule ne suffit plus. Mais un EDR dont personne ne qualifie les alertes protège mal : l’exploitation compte autant que l’outil. Pour une TPE-PME sans équipe sécurité, la vraie question n’est pas « quel logiciel ? », mais « qui supervise, et qui répond ? ».
| Critère | Antivirus classique | EDR managé |
|---|---|---|
| Principe de détection | Comparaison des fichiers à une base de signatures connues | Analyse du comportement : processus, connexions réseau, fichiers |
| Menaces inédites | Détection limitée tant que la menace n’est pas cataloguée | Repérées par leurs actions, comme un chiffrement massif de documents |
| Outils légitimes détournés | Programmes en apparence sains, donc rarement signalés | Usage anormal détecté, même sans fichier malveillant |
| Visibilité sur le poste | Verdict binaire, peu de traces exploitables après coup | Télémétrie continue, fil de l’attaque reconstituable |
| Réponse à un incident | Suppression ou mise en quarantaine du fichier | Isolement du poste, blocage de comptes, remédiation |
| Supervision | À la charge de l’utilisateur ou de l’IT interne | Alertes qualifiées et traitées par le prestataire |
| Faux positifs | Rares, mais silence peu informatif | Présents, d’où réglage des règles et tri managé |
| Modèle de coût | Licence par poste | Abonnement par poste, exploitation et réponse comprises |
| Profil adapté | Structure peu dépendante du SI, risque assumé et réexaminé | Entreprise dont l’activité dépend des postes et des données |
Signatures ou comportement : ce que l’outil voit
L’antivirus classique fonctionne par reconnaissance : chaque fichier est comparé à une base de signatures de menaces déjà identifiées. Ce modèle reste pertinent contre les logiciels malveillants connus et largement diffusés, et il équipe d’ailleurs par défaut la plupart des postes récents. Le maintenir à jour n’a rien d’inutile : c’est un socle.
Le problème : les ransomwares actuels ne se présentent plus sous la forme d’un fichier catalogué. Une attaque commence souvent par un identifiant volé ou un e-mail piégé, puis progresse en détournant des outils légitimes déjà présents sur le poste. Dans cette séquence, il n’y a parfois rien qu’une base de signatures puisse reconnaître — et le temps qu’une signature existe, le chiffrement a pu commencer.
L’EDR (Endpoint Detection and Response) déplace le point d’observation : il analyse ce que font les processus — exécutions, connexions réseau, modifications de fichiers — plutôt que ce qu’ils sont. Un programme inconnu qui se met à chiffrer massivement des documents déclenche une alerte, parce que ce comportement est anormal. La détection ne dépend plus de l’antériorité de la menace, mais de ses actions.
La visibilité sur le poste : comprendre, pas seulement bloquer
Un antivirus rend un verdict binaire : le fichier est sain, ou il est mis en quarantaine. Une fois la menace supprimée, il reste peu d’éléments à examiner. Or les questions décisives arrivent après l’alerte : par où l’attaquant est-il entré ? Depuis quand ? Quels autres comptes ou machines a-t-il touchés ?
L’EDR conserve une télémétrie des événements système — processus exécutés, connexions, modifications de fichiers — qui permet de remonter le fil d’une attaque et d’en établir la cause. Sans cette visibilité, on nettoie un symptôme sans savoir si la porte d’entrée est refermée ; avec elle, l’incident peut être corrigé à la racine et documenté dans un compte rendu exploitable.
Cette traçabilité éclaire aussi les décisions d’après-incident : restaurer ou non depuis les sauvegardes, quels comptes réinitialiser, qui informer. Un point d’attention : cette télémétrie n’a pas vocation à couvrir le contenu des documents des collaborateurs ; son cadre — information des personnes, durées de conservation — se traite dès le cadrage du projet.
La réponse : isoler, remédier, remettre en service
Détecter une attaque en cours n’a de valeur que si l’on peut l’interrompre. La réponse d’un antivirus se limite pour l’essentiel au fichier : suppression ou quarantaine. Celle d’un EDR porte sur la situation : isoler le poste du reste du réseau, arrêter les processus malveillants, bloquer des comptes, révoquer des accès. Certaines de ces actions peuvent être automatisées et exécutées par l’agent dès la détection d’un comportement manifestement hostile.
Vient ensuite la remédiation : nettoyer ou réinstaller les machines touchées, restaurer les données, remettre en service, puis analyser la cause. L’EDR s’articule ici avec le reste du dispositif — en particulier des sauvegardes 3-2-1 dont la restauration est réellement testée, et un plan de reprise. Si le chiffrement a abouti malgré la détection, ce sont elles qui déterminent la suite ; aucune réponse sur le poste ne les remplace.
La supervision managée : la différence se joue après l’alerte
Un EDR produit des alertes — dont des faux positifs. Sans personne pour les qualifier, elles s’accumulent dans une console que nul n’ouvre, et l’incident se découvre quand il devient visible de tous. C’est un écueil fréquent : l’outil est en place, l’exploitation ne l’est pas.
Le modèle managé consiste à confier cette exploitation à un prestataire : réglage des règles de détection selon votre activité pour limiter les faux positifs, qualification de chaque alerte, confinement et remédiation en cas de menace avérée, analyse de cause et compte rendu. Les plages de supervision et les délais de prise en charge relèvent des conditions particulières du contrat ; un engagement qui n’est pas contractualisé n’en est pas un.
Pour une TPE-PME sans équipe sécurité dédiée, c’est le critère qui départage les offres. La question à poser à un prestataire n’est pas « quel produit installez-vous ? », mais « qui lit les alertes, dans quel cadre, et que se passe-t-il ensuite ? ».
Questions fréquentes
Les réponses reflètent notre pratique de terrain. Les engagements contractuels sont formalisés dans votre contrat de service.
Nos prestations sur le sujet.
Un audit, puis un plan clair.
Décrivez votre besoin en une minute. Nous revenons vers vous avec un état des lieux et des priorités chiffrées.