Qu'est-ce que la détection et la réponse au niveau des terminaux (EDR) ?

26 avril 2026
George Rouse
Détection et réponse au niveau des terminaux (EDR)

Selon le rapport Kaseya 2026 sur l'état du secteur des MSP, 71 % des MSP ont fait état d'une croissance de leur chiffre d'affaires lié à la cybersécurité par rapport à l'année précédente, et l'EDR est désormais considéré par les clients comme le dispositif de sécurité de base indispensable. La question n'est plus de savoir si vous avez besoin d'un système EDR, mais si celui dont vous disposez est capable de faire face aux menaces qui pèsent réellement sur les terminaux en 2026.

Pendant des décennies, les antivirus ont constitué la norme en matière de sécurité pour la protection des terminaux. Ils fonctionnaient bien à une époque où les logiciels malveillants étaient pour l’essentiel connus, basés sur des signatures et diffusés par des vecteurs prévisibles. Face au paysage actuel des menaces, ils n’offrent qu’une protection minimale. Les attaques modernes recourent à des logiciels malveillants sans fichier qui s’exécutent entièrement en mémoire, à des techniques de « living-off-the-land » qui détournent des outils système légitimes, ainsi qu’à des logiciels malveillants polymorphes qui modifient leur signature à chaque exécution. Aucun de ces éléments ne laisse le type d’empreinte de fichier que la détection basée sur les signatures est capable de repérer.

La solution EDR (Endpoint Detection and Response) a été conçue pour combler cette lacune. Plutôt que de comparer les fichiers à une base de données de menaces connues, l'EDR surveille en permanence le comportement des terminaux et identifie les schémas d'activité associés aux attaques, que la technique utilisée ait déjà été observée ou non.

Points clés à retenir

  • L'EDR surveille en permanence le comportement des terminaux et détecte les schémas d'attaque, que la menace en question soit connue ou non, palliant ainsi les limites des antivirus basés sur les signatures.
  • Notre principe fondamental repose sur la détection, le confinement et l'analyse : bloquer les menaces au moment où elles se concrétisent, limiter leur propagation et fournir les données d'investigation nécessaires pour comprendre pleinement ce qui s'est passé et y remédier.
  • L'EDR offre une protection contre les types d'attaques qui contournent les outils traditionnels : logiciels malveillants sans fichier, exploits « zero-day », ransomware, campagnes APT en plusieurs étapes et menaces internes.
  • La couverture du cadre MITRE ATT&CK constitue la référence idéale pour évaluer les solutions EDR : il convient de vérifier quelles tactiques et techniques sont détectées avec précision, et non de se contenter des taux de détection annoncés.
  • Un système EDR sans suivi par des analystes est incomplet. Le MDR apporte la dimension humaine qui permet de transformer les détections de l'EDR en mesures opérationnelles ; il constitue la solution pratique pour les entreprises ne disposant pas de centre de sécurité (SOC) en interne.
  • Pour les MSP, l'intégration d'une solution EDR à des outils RMM et PSA offre une visibilité unifiée sur les terminaux, un flux de travail automatisé allant de l'alerte à la création de ticket, ainsi qu'une gestion multi-locataires qui permet d'adapter la sécurité aux différents environnements des clients.
Découvrez Kaseya EDR

Qu'est-ce que l'EDR ?

L'EDR est une technologie de sécurité des terminaux qui surveille en permanence l'activité des terminaux, l'exécution des processus, les modifications de fichiers, les connexions réseau et les modifications du registre, ainsi que les actions sur les comptes utilisateurs, et qui utilise ces données de télémétrie pour détecter les menaces et y répondre en temps réel.

Le concept de « détection et réponse » revêt une importance particulière. L'EDR ne se contente pas d'identifier les menaces, il permet également de mener des enquêtes et d'y répondre. Lorsqu'une menace est détectée, l'EDR fournit les données d'analyse pour comprendre ce qui s'est passé, jusqu'où l'attaque a progressé, quelles données ont été consultées et quelles mesures correctives doivent être prises. Il offre également des capacités de réponse immédiate : isolation du terminal affecté du réseau, arrêt des processus malveillants, annulation des modifications et prévention de toute propagation ultérieure.

L'EDR est désormais considéré comme la norme en matière de sécurité des terminaux dans les environnements d'entreprise. Il est de plus en plus souvent exigé par les polices d'assurance cyber, imposé par les cadres de conformité et mentionné dans les évaluations de sécurité comme mesure de contrôle de base. Pour les MSP, l'EDR passe du statut de module complémentaire facultatif à celui de composante standard de la prestation de services gérés, et devient de plus en plus souvent une condition préalable à l'assurance des clients.

Comment fonctionne l'EDR

Un administrateur informatique déploie un agent EDR sur chaque terminal. Une fois en service, l'agent surveille les processus, les applications, les connexions réseau et les fichiers, établissant ainsi au fil du temps un profil de référence du comportement de l'appareil. Lorsque l'activité s'écarte de ce profil, l'agent la signale, l'analyse à la recherche d'indicateurs de menace et réagit ou déclenche une alerte en fonction de la gravité.

Un exemple concret : si l'agent EDR détecte la création inhabituelle d'un processus fils au sein d'une application légitime, une connexion sortante inattendue sur un port non standard ou un comportement de chiffrement de fichiers dans plusieurs répertoires simultanément, il considère ce schéma comportemental comme un signal de menace et prend des mesures avant même d'attendre la correspondance d'un hachage de fichier avec une base de données de logiciels malveillants connue.

Lorsque plusieurs alertes se déclenchent, les outils EDR les classent par niveau de gravité, garantissant ainsi que les incidents les plus critiques soient signalés en priorité aux équipes de sécurité. Une fois la situation résolue, la fonction d'analyse forensique retrace l'historique complet de l'incident : vecteur d'accès initial, déplacement latéral, fichiers affectés, identifiants consultés, fournissant ainsi les données sur les causes profondes nécessaires pour éviter toute récidive.

En quoi l'EDR diffère-t-il d'un antivirus ?

La différence réside dans la méthode de détection et le champ d'application.

  • L'antivirus compare les fichiers à une base de données contenant les signatures de programmes malveillants connus. Il est efficace contre les logiciels malveillants connus basés sur des fichiers. Il ne peut toutefois pas détecter les menaces inconnues, les attaques sans fichier ni les anomalies comportementales qui ne correspondent à aucun modèle connu. En effet, lorsqu'une nouvelle variante de logiciel malveillant est ajoutée à la base de données de signatures, elle est déjà en circulation.
  • L'EDR surveille le comportement de l'ensemble du terminal, et pas seulement des fichiers, en combinant la détection basée sur des règles, l'apprentissage automatique et les renseignements sur les menaces afin d'identifier à la fois les menaces connues et les techniques inédites.

Une attaque sans fichier qui injecte du code malveillant dans un processus légitime ne génère aucun fichier susceptible d'être détecté par un antivirus. Un système EDR surveillant le comportement des processus détecte les processus enfants inhabituels, les connexions réseau inattendues et les accès mémoire anormaux, et déclenche une alerte en fonction de ce comportement plutôt qu'en fonction d'un fichier.

Dans la pratique, l'EDR a remplacé l'antivirus en tant que principale couche de protection des terminaux. La plupart des plateformes EDR modernes intègrent la détection par signature comme composante complémentaire ; vous n'avez donc pas à choisir entre les deux. Vous ajoutez ainsi la couche comportementale que l'antivirus seul ne peut pas fournir.

Fonctionnalités principales de l'EDR

Collecte continue de données de télémétrie. Les agents EDR recueillent des journaux détaillés sur l'exécution des processus, les opérations sur les fichiers, les connexions réseau, les modifications du registre et les actions liées aux comptes utilisateurs. Ces données de télémétrie constituent la base de toute détection, enquête et recherche de menaces.

Détection comportementale des menaces. Des règles de détection et des modèles d'apprentissage automatique identifient les schémas d'attaque dans le flux de télémétrie : mouvements latéraux, élévation de privilèges, extraction d'identifiants, comportement de chiffrement des ransomwares et communications de type « command-and-control ». La détection repose sur l'activité du terminal, et non sur les fichiers qui s'y trouvent.

Réponse automatisée et confinement. Lorsqu’une menace est confirmée, l’EDR peut réagir immédiatement : il isole le terminal affecté du réseau, met fin aux processus malveillants, bloque les connexions malveillantes et place les fichiers en quarantaine. C’est cette automatisation qui fait de l’EDR un outil de confinement plutôt qu’un simple outil de détection. La réponse intervient en quelques secondes, et non pas dans le délai nécessaire à un technicien pour remarquer l’alerte.

Enquête sur les menaces et analyse forensic. La télémétrie EDR fournit un historique complet des événements sur les terminaux : ce qui s'est exécuté, ce que le programme a fait, les fichiers qu'il a modifiés, les connexions qu'il a établies. Ces données sont essentielles pour déterminer l'étendue exacte de la compromission, retracer le point d'accès initial et vérifier que tous les composants de l'attaque ont bien été supprimés avant de remettre le terminal en service.

Recherche proactive des menaces. Outre la détection automatisée, l'EDR permet une recherche proactive des menaces, en analysant les données télémétriques des terminaux à la recherche d'indicateurs de compromission que les règles automatisées auraient pu manquer. La recherche proactive des menaces nécessite l'intervention d'analystes humains, c'est pourquoi l'EDR est souvent associé à des services MDR pour les entreprises ne disposant pas d'une équipe de sécurité en interne.

Rapports et preuves de conformité. L'EDR génère des rapports détaillés sur les menaces détectées, les mesures prises en réponse et l'état de sécurité des terminaux. Pour les organisations soumises aux exigences PCI DSS, HIPAA, Cyber Essentials ou CMMC, ces rapports fournissent la trace écrite dont les auditeurs ont besoin.

Contre quelles menaces l'EDR offre-t-il une protection ?

Ransomware. La détection comportementale de l'EDR repère les ransomwares dès leur exécution, en identifiant le chiffrement massif de fichiers, la suppression des clichés instantanés et les activités de commande et de contrôle avant même que le chiffrement ne soit achevé. L'isolation automatisée des terminaux limite la propagation de l'attaque à un seul appareil, empêchant ainsi sa propagation latérale.

Malware sans fichier. Les attaques qui s'exécutent entièrement en mémoire à l'aide de PowerShell, de WMI ou d'autres outils système légitimes ne laissent aucun fichier susceptible d'être détecté par un antivirus. La surveillance du comportement des processus offerte par l'EDR détecte les schémas d'exécution anormaux, qu'il y ait ou non un fichier malveillant sur le disque.

Exploits de type « zero-day ». Comme l'EDR se base sur l'analyse comportementale plutôt que sur des signatures connues, il est capable d'identifier les tentatives d'exploitation visant des vulnérabilités non corrigées. Le comportement inhabituel des processus qui suit un exploit réussi peut être détecté même lorsque l'exploit lui-même est totalement inédit.

Attaques en plusieurs étapes et menaces persistantes avancées (APT). Les menaces persistantes avancées se déroulent sur plusieurs semaines, voire plusieurs mois : accès initial, déplacement latéral discret, élévation des privilèges, préparation des données et, enfin, exfiltration. Grâce à la télémétrie continue de l'EDR, chaque étape est consignée, et la détection comportementale à n'importe quel moment permet de mettre au jour une attaque qui se déroule discrètement depuis un certain temps.

Menaces internes. Les employés malveillants ou les comptes compromis qui abusent d'un accès légitime sont difficiles à détecter à l'aide d'outils de périmètre. L'approche de référence de l'EDR consiste à signaler comme des anomalies les schémas d'accès aux données inhabituels, l'utilisation inattendue de privilèges ou les opérations de fichiers anormales effectuées par un compte connu, plutôt que de les considérer comme des activités légitimes.

Charges utiles véhiculées par le phishing. Le phishing reste le vecteur d'accès initial le plus courant. L'EDR n'empêche pas l'e-mail de phishing en lui-même – c'est le rôle des outils de sécurité de la messagerie –, mais lorsqu'une charge utile véhiculée par le phishing s'exécute sur le terminal, l'EDR détecte ce comportement et le contient avant qu'il ne puisse s'ancrer dans le système ou entamer un déplacement latéral.

L'EDR et le cadre MITRE ATT&CK

Le cadre MITRE ATT&CK constitue la base de connaissances de référence dans le secteur concernant les tactiques, techniques et procédures utilisées par les attaquants et observées lors d'attaques réelles. Il s'agit du cadre de référence pour décrire le comportement des attaques, évaluer la couverture des outils de sécurité et élaborer des logiques de détection.

Lorsqu'on compare les plateformes EDR, la couverture du cadre ATT&CK constitue un critère d'évaluation plus pertinent que les taux de détection annoncés. Deux questions sont essentielles : quelles techniques la plateforme détecte-t-elle de manière fiable, et avec quelle précision les détecte-t-elle sans générer un nombre excessif de faux positifs ?

Concentrez-vous sur les tactiques les plus pertinentes pour votre modèle de menace. Pour la plupart des environnements gérés par des MSP, les domaines prioritaires sont l'accès initial, l'exécution, la persistance, l'escalade des privilèges, l'accès aux identifiants, la propagation latérale et l'impact, qui inclut les ransomwares. Une solution EDR offrant une couverture précise de ces sept tactiques assure une protection nettement plus efficace qu'une solution qui se contente de détecter les variantes de logiciels malveillants connues.

EDR ou MDR : quand un simple outil ne suffit plus

L'EDR est une technologie puissante de détection et de réponse. Il ne s'agit pas d'un service de sécurité entièrement géré. Les détections qui ne font pas l'objet d'une enquête et d'une intervention n'offrent aucune protection, et l'analyse précise des alertes EDR nécessite une expertise en sécurité dont la plupart des équipes informatiques et des MSP ne disposent pas 24 heures sur 24.

Le MDR (Managed Detection and Response) comble cette lacune en ajoutant une équipe d'analystes humains à la plateforme EDR : des analystes en sécurité qui surveillent les données télémétriques, examinent les alertes, filtrent les faux positifs et réagissent aux menaces confirmées, généralement 24 heures sur 24, 7 jours sur 7.

Pour les entreprises qui ne disposent pas de capacités opérationnelles internes en matière de sécurité – ce qui est le cas de la plupart des PME et d’une part importante des entreprises de taille intermédiaire –, le MDR permet de tirer pleinement parti de l’EDR sur le plan opérationnel. La technologie détecte les menaces. Le service MDR détermine ce qui est réel, décide de la réponse à apporter et passe à l’action.

Datto EDR offre une solution complète de détection et de réponse au niveau des terminaux, comprenant des fonctions automatisées de confinement et des capacités d'investigation complète. Pour les entreprises qui ont besoin d'une solution entièrement gérée, le service MDR de Kaseya, disponible dans Kaseya 365 Pro, met à disposition des analystes en sécurité basés aux États-Unis, disponibles 24 h/24 et 7 j/7, en complément de la plateforme EDR. Découvrez Datto EDR ou explorez Kaseya 365 pour découvrir la plateforme complète.

Choix et déploiement d'une solution EDR

  • Couverture de détection par rapport au référentiel MITRE ATT&CK. Quelles techniques sont couvertes, et avec quel degré de précision ? Une couverture étendue accompagnée d'un taux élevé de faux positifs s'avère moins utile qu'une couverture précise des techniques qui revêtent une importance particulière pour votre modèle de menaces.
  • Taux de faux positifs. La fatigue liée aux alertes constitue un véritable problème opérationnel. Un EDR qui déclenche sans cesse des alertes incite les analystes à ne plus y prêter attention, ce qui explique précisément pourquoi de véritables menaces passent inaperçues. La précision est tout aussi importante que la sensibilité.
  • Niveau d'automatisation de la réponse. La plateforme est-elle capable d'isoler automatiquement les terminaux, d'arrêter des processus et de mettre des fichiers en quarantaine sans intervention humaine pour chaque action ? La rapidité de la réponse automatisée fait toute la différence entre confiner un ransomware à un seul appareil et le laisser se propager. Pour les MSP qui gèrent plusieurs environnements clients, l'automatisation est le seul moyen de réagir à la vitesse requise par les menaces.
  • Outils d'investigation informatique. Est-il facile d'enquêter sur une alerte ? Pouvez-vous établir une chronologie complète des événements, passer d'un processus à tous les fichiers qu'il a touchés, ou interroger les données de télémétrie de tous les terminaux gérés à la recherche d'un indicateur de compromission spécifique ?
  • Intégration RMM et PSA. Pour les MSP, une solution EDR intégrée au RMM offre une visibilité unifiée sur l'état de santé des terminaux, leur niveau de sécurité et les menaces actives, le tout depuis une seule console opérationnelle. L'automatisation de la conversion des alertes en tickets via l'intégration PSA permet d'intégrer les détections dans le flux de travail de prestation de services, plutôt que de les laisser dans un portail de sécurité distinct.
  • Multitenance et séparation des clients. Pour les MSP qui gèrent plusieurs environnements clients, la possibilité de visualiser et d'intervenir sur l'ensemble des environnements à partir d'une seule plateforme, tout en garantissant une séparation totale des données entre eux, constitue une exigence opérationnelle incontournable.

Une plateforme complète pour la gestion informatique et de la sécurité

Kaseya 365 la solution tout-en-un pour la gestion, la sécurisation et l'automatisation de l'informatique. Grâce à des intégrations transparentes entre les fonctions informatiques essentielles, elle simplifie les opérations, renforce la sécurité et améliore l'efficacité.

Obtenez une démo Découvrez Kaseya 365

Une seule plateforme. Tout l'informatique.

Kaseya 365 bénéficient des avantages des meilleurs outils de gestion informatique et de sécurité, le tout dans une solution unique.

Découvrez Kaseya 365

Votre succès est notre priorité absolue.

Partner First, c'est un engagement envers des conditions flexibles, un partage des risques et un soutien dédié à votre entreprise.

Explorer Partner First Pledge

Rapport Kaseya 2026 sur la situation des MSP

Kaseya - Rapport 2026 sur la situation des MSP - Image web - 1200 x 800 - MISE À JOUR

Découvrez les perspectives 2026 sur le MSP, issues des témoignages de plus de 1 000 prestataires, et apprenez comment augmenter votre chiffre d'affaires, vous adapter aux pressions du marché et rester compétitif.

Télécharger maintenant

Explorer les catégories

What is managed EDR (MEDR)? A guide for businesses and MSPs

Managed EDR combines endpoint detection with expert monitoring and response. Learn how it works, who needs it, and how MSPs can deliver it as a service.

Lire l'article de blog

EDR ou antivirus : en quoi diffèrent-ils et pourquoi la plupart des entreprises ont besoin des deux

Un antivirus bloque les menaces connues, tandis qu'un EDR détecte et traite celles qui parviennent à passer. Découvrez les principales différences et pourquoi il est judicieux de déployer les deux.

Lire l'article de blog

EDR vs XDR : principales différences et quand utiliser l'une ou l'autre

L'EDR assure une surveillance approfondie des terminaux, tandis que l'XDR établit des corrélations entre les menaces sur l'ensemble de votre surface d'attaque. Découvrez les principales différences, des exemples concrets et la solution la mieux adaptée à votre infrastructure.

Lire l'article de blog