04 58 00 35 31

EDR, MDR, XDR : trois sigles, trois choix très différents pour votre sécurité.

Le marché de la cybersécurité parle en acronymes. Les contrats d'assurance cyber en exigent certains, les commerciaux d'éditeurs en empilent d'autres, et la différence entre eux peut multiplier la facture par trois. Cette page sert à y voir clair, sans vendre quoi que ce soit.

Schéma des couches de sécurité endpoint emboîtées de l'antivirus au XDR
01 — D'où on vient

La lente fin de l'antivirus tel qu'on le connaissait.

Pendant trente ans, le principe de l'antivirus n'a pas vraiment bougé. Une base de signatures (l'empreinte numérique des virus connus) tournait sur chaque poste, comparait les fichiers entrants à cette base, et bloquait ce qui matchait. Ça fonctionnait quand les attaques étaient produites en série par quelques groupes identifiés.

Aujourd'hui les attaquants génèrent des variantes uniques pour chaque cible. Un même rançongiciel peut prendre dix mille formes légèrement différentes en une journée, juste pour échapper aux signatures. L'antivirus par signatures voit passer la première version, la bloque, et rate les neuf mille neuf cent quatre-vingt-dix-neuf suivantes.

C'est de là que viennent les nouveaux sigles. EDR, MDR, XDR — ce sont des réponses successives au même problème : comment détecter des attaques qu'on n'a jamais vues, et comment réagir vite quand elles passent quand même.

02 — Les cinq couches

Cinq sigles, du plus simple au plus complet.

Chacun englobe le précédent et ajoute une fonction. Plus on monte, plus on couvre, plus c'est cher à exploiter. Voici ce que chaque couche apporte concrètement.

01

AV — Antivirus classique

La version qu'on connaît tous depuis Norton 95. Une base de signatures qui s'actualise chaque jour, et un moteur qui compare les fichiers à cette base. Si ça matche, c'est bloqué. Sinon, ça passe. C'est devenu une couche de base, pas une protection à part entière — un peu comme une serrure trois points sans alarme : utile, mais largement insuffisant si quelqu'un cherche vraiment à entrer.

02

EPP — Endpoint Protection Platform

L'évolution naturelle de l'antivirus à la fin des années 2010. Toujours basé sur des signatures, mais avec en plus un pare-feu local, du contrôle des périphériques USB, et un peu d'heuristique pour repérer des variantes proches de menaces connues. C'est ce qu'on trouve dans les versions "business" des grandes marques grand public. Le terme tend à disparaître au profit d'EDR — beaucoup d'éditeurs ont juste renommé leur EPP en EDR sans en changer grand-chose, ce qui ajoute à la confusion.

03

EDR — Endpoint Detection and Response

La vraie rupture. L'EDR ne se contente plus de détecter ce qui est connu, il observe le comportement des processus, des fichiers, du réseau, et lève une alerte sur ce qui sort de l'ordinaire. Un fichier Word qui ouvre PowerShell pour télécharger un binaire, c'est suspect — même si le binaire n'a jamais été vu nulle part. L'EDR fournit aussi des outils de réponse : isoler un poste du réseau, tuer un processus, restaurer un fichier chiffré. Et il garde une trace complète, ce qui sert après pour comprendre par où l'attaque est entrée. C'est devenu le minimum exigé par les assureurs cyber en 2025-2026.

04

MDR — Managed Detection and Response

Ce n'est pas une techno différente de l'EDR, c'est l'EDR plus des humains qui le surveillent 24/7. Le moteur de détection est le même. Ce qui change, c'est qu'il y a quelqu'un derrière la console pour faire le tri entre faux positifs (la majorité des alertes) et vrais incidents, et qui intervient si besoin. Sans MDR, un EDR peut crier au feu dans une console que personne ne consulte le week-end. Le MDR transforme un outil en service.

05

XDR — Extended Detection and Response

L'EDR étendu à d'autres sources de données : les mails (pour relier une alerte poste à un mail de phishing qui a déclenché l'attaque), l'identité (pour repérer un compte qui se connecte d'un pays inhabituel), parfois le réseau ou les applications cloud. L'idée : ne plus regarder une attaque sous l'angle d'un seul poste, mais reconstituer la chaîne complète. Très puissant, mais beaucoup plus complexe à déployer et à exploiter. Rarement pertinent en dessous de 100 postes, sauf secteur très exposé (santé, finance, défense).

Petit avertissement marketing.

Beaucoup d'éditeurs vendent leur EPP rebadgé EDR, ou leur EDR rebadgé XDR. Avant de signer, on regarde concrètement ce que fait le produit, pas le sigle sur la plaquette. Une vraie analyse comportementale fonctionne sans signature ; une vraie réponse permet d'isoler un poste en un clic. Si le commercial ne peut pas vous montrer ça en démo, le sigle n'a pas de valeur.

03 — Lequel pour vous

Notre position en fonction de votre taille.

Voici comment on raisonne avec nos clients. C'est notre recommandation de terrain, pas une vérité universelle — chaque cas est discutable, mais ces trois repères évitent 80 % des erreurs de cadrage.

01

10 à 30 postes

EDR suffit, à condition que quelqu'un consulte les alertes. Si ITD gère votre parc, on regarde la console au quotidien et vous n'avez pas besoin de monter au MDR formellement. Si vous êtes 100 % autonome avec un IT mince, mieux vaut basculer en MDR — une alerte importante tombée dans le vide un samedi peut coûter une semaine de production.

02

30 à 100 postes

MDR. À cette taille, le volume d'alertes monte (postes, serveurs, mobiles), et personne en interne n'a le temps de les trier sérieusement. Externaliser la surveillance à un prestataire qui le fait à plein temps coûte moins cher qu'embaucher un demi-poste d'analyste cyber — et c'est nettement plus efficace, parce que la personne voit passer des incidents tous les jours, pas une fois par trimestre.

03

100+ postes ou secteur exposé

MDR + XDR. À cette échelle, les attaques arrivent rarement par un seul endpoint. On voit des chaînes : un mail piégé déclenche un compte compromis, qui ouvre une session VPN, qui touche un serveur de fichiers. Sans corrélation entre mail, identité et réseau, on rate la moitié de l'histoire. C'est le travail du XDR. Pertinent aussi en dessous de 100 postes dans la santé, la finance ou la défense.

04 — En pratique

Ce qui se passe vraiment, le jour J.

Que se passe-t-il concrètement quand un poste est touché ?

L'EDR détecte un comportement anormal — disons qu'un processus Word lance un script qui chiffre des fichiers. Première action automatique : le processus est tué dans la seconde. Deuxième action : le poste est isolé du réseau pour empêcher la propagation aux autres machines. Une alerte part dans la console. En mode MDR, on reçoit l'alerte sur nos systèmes d'astreinte et un analyste regarde l'incident sous 15 minutes — il confirme ou infirme, déclenche une intervention si besoin, et vous prévient. Vous recevez ensuite un rapport qui dit ce qu'il s'est passé, ce qui a été touché, et comment on a refermé.

Combien de temps pour déployer ?

Pour un parc de 20 à 30 postes, comptez 1 à 2 jours. L'agent EDR s'installe à distance via votre outil de déploiement habituel (GPO, Intune, Jamf), ou en présentiel si vous n'en avez pas. La console est paramétrée en parallèle, on cale les règles selon votre activité (un cabinet d'expertise comptable ne génère pas les mêmes flux qu'un atelier de mécanique), et on bascule en mode actif sur quelques postes pilotes avant de généraliser. Le déploiement est progressif pour ne pas perturber l'activité — pas de big bang.

Et si je n'ai pas d'IT interne du tout ?

C'est le cas de la majorité de nos clients. Le mode managé (MDR) est fait pour ça : on gère la console, on traite les alertes, on intervient si besoin. Vous avez juste un accès en lecture pour consulter l'état général de votre parc quand vous voulez. Pas de compétence cyber requise en interne — c'est nous l'astreinte.

Quelle différence entre MDR et SOC ?

Un SOC (Security Operations Center) est une équipe humaine qui surveille la sécurité de l'entreprise dans son ensemble, généralement avec un SIEM (un outil qui agrège tous les journaux possibles). Le MDR est plus ciblé : il surveille les endpoints via l'EDR, point. Pour une TPE/PME, un MDR couvre 90 % du besoin pour 10 % du coût d'un vrai SOC. On nous demande parfois "vous avez un SOC ?" — on répond honnêtement non, on a un MDR, et pour la taille de nos clients c'est largement ce qu'il faut.

Est-ce que l'EDR remplace mon antivirus actuel ?

Oui, totalement. Un EDR moderne intègre toutes les fonctions d'un antivirus classique (détection par signatures incluse), plus l'analyse comportementale et la réponse. Garder les deux en parallèle est inutile et pose même des problèmes — les moteurs se voient mutuellement comme suspects et ralentissent les machines. Lors du déploiement, on désinstalle proprement l'ancien antivirus avant d'activer l'EDR.

En pratique chez ITD.

Côté outil, nous déployons ESET PROTECT par défaut, ou Acronis Cyber Protect quand l'EDR et la sauvegarde anti-ransomware doivent partager la même console. Côté service, nous opérons le MDR depuis Pontcharra, avec une surveillance 24/7 opérée par notre MDR. Le tout est packagé dans nos formules Sécurité 360 qui ajoutent le pare-feu, le filtrage mail et le DNS privé selon le niveau choisi.

Voir les packs Sécurité 360 →
Prochaine étape

Vous hésitez entre EDR et MDR pour votre cas ?

Premier échange sans engagement pour qualifier ce qui colle. On regarde la taille du parc, ce qui est en place, vos contraintes (assurance, secteur), et on vous dit franchement ce qu'il vous faut — y compris si c'est moins que ce qu'on vend.

Réponse sous 24 h · Basés à Pontcharra (38)