EDR : Définition

Un EDR (Endpoint Detection and Response) est une solution de cybersécurité conçue pour protéger les terminaux (ordinateurs, serveurs, mobiles) contre les menaces avancées que les antivirus traditionnels ne parviennent pas toujours à détecter.

Pour faire simple : si l'antivirus est le garde à l'entrée qui vérifie les badges, l'EDR est la caméra de surveillance intelligente qui analyse tout ce qui se passe à l'intérieur du bâtiment pour repérer un comportement suspect.

1. Comment ça fonctionne ?

L'EDR repose sur trois piliers principaux :

Collecte continue : Il enregistre en temps réel toutes les activités du terminal (modifications de fichiers, connexions réseau, exécution de processus).

Analyse comportementale : Au lieu de chercher uniquement des virus connus (signatures), il cherche des anomalies. Par exemple : "Pourquoi ce logiciel de traitement de texte essaie-t-il soudainement de crypter tous les fichiers du disque dur ?"

Réponse automatisée : S'il détecte une menace, il peut isoler la machine du réseau, bloquer un processus malveillant ou supprimer des fichiers suspects instantanément.

2. EDR vs Antivirus Traditionnel

3. Pourquoi est-ce indispensable aujourd'hui ?

Les cyberattaques modernes (comme les ransomwares) utilisent souvent des techniques "Living off the Land", c'est-à-dire qu'elles détournent des outils légitimes de Windows ou Linux pour ne pas se faire repérer.

L'EDR permet aux équipes de sécurité :

De détecter les intrusions silencieuses qui ne déclenchent pas d'alertes classiques.

D'effectuer du "Threat Hunting" (recherche proactive de menaces).

De comprendre le "Patient Zéro" : savoir comment l'attaquant est entré et ce qu'il a touché.

Note : Aujourd'hui, on parle de plus en plus de XDR (Extended Detection and Response), qui étend cette logique de surveillance au-delà des terminaux pour inclure le cloud, les emails et le réseau.