« EDR : Définition » : différence entre les versions
(Page créée avec « Un EDR (Endpoint Detection and Response) est une solution de cybersécurité conçue pour protéger les terminaux (ordinateurs, serveurs, mobiles) contre les menaces avancées que les antivirus traditionnels ne parviennent pas toujours à détecter. Pour faire simple : si l'antivirus est le garde à l'entrée qui vérifie les badges, l'EDR est la caméra de surveillance intelligente qui analyse tout ce qui se passe à l'intérieur du bâtiment pour repérer un c... ») |
Aucun résumé des modifications |
||
| Ligne 49 : | Ligne 49 : | ||
'''Note :''' Aujourd'hui, on parle de plus en plus de XDR (Extended Detection and Response), qui étend cette logique de surveillance au-delà des terminaux pour inclure le cloud, les emails et le réseau. | '''Note :''' Aujourd'hui, on parle de plus en plus de XDR (Extended Detection and Response), qui étend cette logique de surveillance au-delà des terminaux pour inclure le cloud, les emails et le réseau. | ||
[[Catégorie:Securite]] | |||
Version du 27 mars 2026 à 16:32
Un EDR (Endpoint Detection and Response) est une solution de cybersécurité conçue pour protéger les terminaux (ordinateurs, serveurs, mobiles) contre les menaces avancées que les antivirus traditionnels ne parviennent pas toujours à détecter.
Pour faire simple : si l'antivirus est le garde à l'entrée qui vérifie les badges, l'EDR est la caméra de surveillance intelligente qui analyse tout ce qui se passe à l'intérieur du bâtiment pour repérer un comportement suspect.
1. Comment ça fonctionne ?
L'EDR repose sur trois piliers principaux :
Collecte continue : Il enregistre en temps réel toutes les activités du terminal (modifications de fichiers, connexions réseau, exécution de processus).
Analyse comportementale : Au lieu de chercher uniquement des virus connus (signatures), il cherche des anomalies. Par exemple : "Pourquoi ce logiciel de traitement de texte essaie-t-il soudainement de crypter tous les fichiers du disque dur ?"
Réponse automatisée : S'il détecte une menace, il peut isoler la machine du réseau, bloquer un processus malveillant ou supprimer des fichiers suspects instantanément.
2. EDR vs Antivirus Traditionnel
| Caractéristique | Antivirus Classique (EPP) | EDR |
|---|---|---|
| Cible | Virus et logiciels malveillants connus. | Menaces inconnues, zero-day, et piratage humain. |
| Méthode | Analyse par signatures (liste noire). | Analyse du comportement et de l'intention. |
| Visibilité | Voit ce qui est "mauvais". | Voit tout ce qui se passe (historique complet). |
| Réaction | Voit ce qui est "mauvais". | Permet d'enquêter et de "remonter le temps". |
3. Pourquoi est-ce indispensable aujourd'hui ?
Les cyberattaques modernes (comme les ransomwares) utilisent souvent des techniques "Living off the Land", c'est-à-dire qu'elles détournent des outils légitimes de Windows ou Linux pour ne pas se faire repérer.
L'EDR permet aux équipes de sécurité :
De détecter les intrusions silencieuses qui ne déclenchent pas d'alertes classiques.
D'effectuer du "Threat Hunting" (recherche proactive de menaces).
De comprendre le "Patient Zéro" : savoir comment l'attaquant est entré et ce qu'il a touché.
Note : Aujourd'hui, on parle de plus en plus de XDR (Extended Detection and Response), qui étend cette logique de surveillance au-delà des terminaux pour inclure le cloud, les emails et le réseau.
