Page d'accueil
Retour à l'aperçu

Endpoint Detection & Response (EDR)

L'Endpoint Detection & Response (EDR) désigne une catégorie de solutions de sécurité qui surveillent en continu les activités sur les appareils — ordinateurs portables, smartphones ou serveurs —, détectent les comportements suspects en temps réel et permettent des mesures de réponse automatisées ou manuelles. L'EDR va ainsi bien au-delà des antivirus classiques, qui se contentent d'identifier les programmes malveillants connus à partir de signatures, sans surveiller le comportement global d'un appareil.

Le cœur technique de l'EDR est l'analyse comportementale. Plutôt que de bloquer uniquement les menaces connues, une solution EDR enregistre en continu les processus en cours sur un appareil, les connexions réseau établies et les accès aux fichiers, afin d'en déduire des anomalies et des schémas d'attaque potentiels. En cas d'incident, cette base de données permet une analyse forensique détaillée, montrant comment un attaquant a pénétré le système et quels systèmes ont été compromis.

Pour les entreprises et les autorités disposant d'un parc d'appareils vaste et hétérogène, l'EDR devient particulièrement pertinent lorsque des appareils mobiles sont utilisés en dehors du réseau de l'organisation. Une administration municipale équipant ses agents de terrain de smartphones professionnels peut, grâce à l'EDR, s'assurer que les appareils utilisés sur le terrain sont surveillés en permanence et peuvent, si nécessaire, être automatiquement isolés ou bloqués avant qu'une attaque ne se propage à d'autres systèmes.

L'avantage essentiel de l'EDR par rapport aux solutions de sécurité classiques réside dans sa capacité à détecter des méthodes d'attaque jusqu'alors inconnues. L'évaluation ne reposant pas sur une base de données de signatures statique, mais sur le comportement réel des appareils en fonctionnement, l'EDR est particulièrement pertinent face à la multiplication des exploits zero-day et des attaques sans fichier, qui ne laissent aucune trace malveillante classique.

L'EDR déploie tout son potentiel lorsque les appareils surveillés sont également configurés de manière uniforme et peuvent être verrouillés ou réinitialisés à distance si nécessaire. Ces deux aspects peuvent être assurés via une solution de gestion centralisée des appareils.