Comparatif · Cybersécurité

EDR ou antivirus : ce qui change vraiment face au ransomware

La réponse rapide

Un antivirus classique compare les fichiers à une base de signatures connues ; un EDR (Endpoint Detection and Response) surveille le comportement des postes et permet d’agir : isoler une machine compromise, bloquer des comptes, remonter le fil de l’attaque. Face aux ransomwares actuels — identifiants volés, outils légitimes détournés, fichiers inédits —, la détection par signatures seule ne suffit plus. Mais un EDR dont personne ne qualifie les alertes protège mal : l’exploitation compte autant que l’outil. Pour une TPE-PME sans équipe sécurité, la vraie question n’est pas « quel logiciel ? », mais « qui supervise, et qui répond ? ».

Antivirus classique ou EDR managé face au ransomware
CritèreAntivirus classiqueEDR managé
Principe de détectionComparaison des fichiers à une base de signatures connuesAnalyse du comportement : processus, connexions réseau, fichiers
Menaces inéditesDétection limitée tant que la menace n’est pas cataloguéeRepérées par leurs actions, comme un chiffrement massif de documents
Outils légitimes détournésProgrammes en apparence sains, donc rarement signalésUsage anormal détecté, même sans fichier malveillant
Visibilité sur le posteVerdict binaire, peu de traces exploitables après coupTélémétrie continue, fil de l’attaque reconstituable
Réponse à un incidentSuppression ou mise en quarantaine du fichierIsolement du poste, blocage de comptes, remédiation
SupervisionÀ la charge de l’utilisateur ou de l’IT interneAlertes qualifiées et traitées par le prestataire
Faux positifsRares, mais silence peu informatifPrésents, d’où réglage des règles et tri managé
Modèle de coûtLicence par posteAbonnement par poste, exploitation et réponse comprises
Profil adaptéStructure peu dépendante du SI, risque assumé et réexaminéEntreprise dont l’activité dépend des postes et des données

Signatures ou comportement : ce que l’outil voit

L’antivirus classique fonctionne par reconnaissance : chaque fichier est comparé à une base de signatures de menaces déjà identifiées. Ce modèle reste pertinent contre les logiciels malveillants connus et largement diffusés, et il équipe d’ailleurs par défaut la plupart des postes récents. Le maintenir à jour n’a rien d’inutile : c’est un socle.

Le problème : les ransomwares actuels ne se présentent plus sous la forme d’un fichier catalogué. Une attaque commence souvent par un identifiant volé ou un e-mail piégé, puis progresse en détournant des outils légitimes déjà présents sur le poste. Dans cette séquence, il n’y a parfois rien qu’une base de signatures puisse reconnaître — et le temps qu’une signature existe, le chiffrement a pu commencer.

L’EDR (Endpoint Detection and Response) déplace le point d’observation : il analyse ce que font les processus — exécutions, connexions réseau, modifications de fichiers — plutôt que ce qu’ils sont. Un programme inconnu qui se met à chiffrer massivement des documents déclenche une alerte, parce que ce comportement est anormal. La détection ne dépend plus de l’antériorité de la menace, mais de ses actions.

La visibilité sur le poste : comprendre, pas seulement bloquer

Un antivirus rend un verdict binaire : le fichier est sain, ou il est mis en quarantaine. Une fois la menace supprimée, il reste peu d’éléments à examiner. Or les questions décisives arrivent après l’alerte : par où l’attaquant est-il entré ? Depuis quand ? Quels autres comptes ou machines a-t-il touchés ?

L’EDR conserve une télémétrie des événements système — processus exécutés, connexions, modifications de fichiers — qui permet de remonter le fil d’une attaque et d’en établir la cause. Sans cette visibilité, on nettoie un symptôme sans savoir si la porte d’entrée est refermée ; avec elle, l’incident peut être corrigé à la racine et documenté dans un compte rendu exploitable.

Cette traçabilité éclaire aussi les décisions d’après-incident : restaurer ou non depuis les sauvegardes, quels comptes réinitialiser, qui informer. Un point d’attention : cette télémétrie n’a pas vocation à couvrir le contenu des documents des collaborateurs ; son cadre — information des personnes, durées de conservation — se traite dès le cadrage du projet.

La réponse : isoler, remédier, remettre en service

Détecter une attaque en cours n’a de valeur que si l’on peut l’interrompre. La réponse d’un antivirus se limite pour l’essentiel au fichier : suppression ou quarantaine. Celle d’un EDR porte sur la situation : isoler le poste du reste du réseau, arrêter les processus malveillants, bloquer des comptes, révoquer des accès. Certaines de ces actions peuvent être automatisées et exécutées par l’agent dès la détection d’un comportement manifestement hostile.

Vient ensuite la remédiation : nettoyer ou réinstaller les machines touchées, restaurer les données, remettre en service, puis analyser la cause. L’EDR s’articule ici avec le reste du dispositif — en particulier des sauvegardes 3-2-1 dont la restauration est réellement testée, et un plan de reprise. Si le chiffrement a abouti malgré la détection, ce sont elles qui déterminent la suite ; aucune réponse sur le poste ne les remplace.

La supervision managée : la différence se joue après l’alerte

Un EDR produit des alertes — dont des faux positifs. Sans personne pour les qualifier, elles s’accumulent dans une console que nul n’ouvre, et l’incident se découvre quand il devient visible de tous. C’est un écueil fréquent : l’outil est en place, l’exploitation ne l’est pas.

Le modèle managé consiste à confier cette exploitation à un prestataire : réglage des règles de détection selon votre activité pour limiter les faux positifs, qualification de chaque alerte, confinement et remédiation en cas de menace avérée, analyse de cause et compte rendu. Les plages de supervision et les délais de prise en charge relèvent des conditions particulières du contrat ; un engagement qui n’est pas contractualisé n’en est pas un.

Pour une TPE-PME sans équipe sécurité dédiée, c’est le critère qui départage les offres. La question à poser à un prestataire n’est pas « quel produit installez-vous ? », mais « qui lit les alertes, dans quel cadre, et que se passe-t-il ensuite ? ».

Questions fréquentes

Les réponses reflètent notre pratique de terrain. Les engagements contractuels sont formalisés dans votre contrat de service.

Pas nécessairement, et pas brutalement. Un état des lieux détermine ce qui peut coexister et ce qui doit être remplacé ; la bascule se planifie ensuite par vagues, en commençant par un groupe pilote, pour limiter le risque de laisser des postes sans protection pendant la transition.
C’est un socle sérieux contre les menaces connues, et un choix défendable pour des usages peu exposés. La différence se joue sur les attaques sans fichier catalogué, la visibilité après incident et la capacité de réponse. Plus votre activité dépend de vos postes et de vos données, moins ce socle seul est adapté.
Aucun outil, pris isolément, ne met à l’abri. L’EDR réduit le risque de compromission des postes ; la résistance de l’entreprise tient à l’ensemble : filtrage de la messagerie, MFA, mises à jour, sensibilisation des équipes, et surtout des sauvegardes 3-2-1 testées, articulées à un plan de reprise. C’est ce dispositif complet qu’il faut évaluer.
L’outil peut être le même ; ce qui change, c’est l’exploitation. Le modèle managé inclut le réglage des règles selon votre activité, la qualification des alertes, le tri des faux positifs, la réponse — isolement, remédiation, remise en service — et les comptes rendus. Sans elle, les alertes restent souvent sans suite et la détection perd l’essentiel de sa valeur.
Les agents récents sont conçus pour rester discrets, mais l’impact réel dépend de vos machines et de vos applications métier. C’est l’un des intérêts d’un déploiement pilote : observer ce comportement sur un premier groupe de postes et ajuster les réglages avant de généraliser.
Sur un modèle d’abonnement récurrent, généralement par poste ou serveur couvert, exploitation comprise — là où l’antivirus relève d’une simple licence. Le chiffrage dépend du périmètre (filtrage e-mail, sensibilisation, durcissement), du niveau de supervision attendu et de l’existant ; il se formalise après audit, dans les conditions particulières du contrat.

Un audit, puis un plan clair.

Décrivez votre besoin en une minute. Nous revenons vers vous avec un état des lieux et des priorités chiffrées.

EDR ou antivirus face au ransomware : comparatif | Dalena