Qu'est-ce qu'un EDR : définition, fonctionnement, outils 2026

Un EDR (Endpoint Detection and Response) est une plateforme de sécurité qui collecte en continu la télémétrie détaillée des endpoints (postes de travail, serveurs, VMs, containers), détecte les comportements malveillants via corrélation comportementale et règles de détection, et déclenche des actions de réponse automatisées ou manuelles (isolation, kill process, rollback, remédiation). La catégorie a été définie par Gartner en 2013 pour répondre aux limites de l'antivirus classique face aux attaques sans malware et aux menaces avancées (APT, ransomware, living-off-the-land). En 2026, les leaders Magic Quadrant Gartner sont CrowdStrike, SentinelOne, Microsoft Defender for Endpoint, Palo Alto Networks Cortex XDR, Trend Micro Vision One et Sophos Intercept X. L'EDR est le pilier défensif runtime d'un SOC moderne, couplé à un SIEM pour la corrélation cross-sources et à des outils de threat hunting. Cet article détaille la définition précise, le fonctionnement en 3 couches, les différences EDR/XDR/MDR/AV, les outils leaders et open source, et les limites réelles.

Genèse : de l'antivirus à l'EDR

Le terme EDR a été inventé par Anton Chuvakin (Gartner) en 2013 pour décrire une catégorie émergente d'outils dépassant les capacités de l'antivirus classique.

Chronologie de l'endpoint security :
 
  1987  Premier antivirus commercial (McAfee, Symantec)
  2000s Antivirus + anti-spyware = EPP (Endpoint Protection Platform)
  2010  Premières solutions de détection avancée (Mandiant, CrowdStrike)
  2013  Gartner définit l'EDR comme nouvelle catégorie
  2016  Convergence EPP + EDR dans les plateformes majeures
  2018  Émergence XDR (Extended Detection and Response)
  2022  MDR (Managed Detection and Response) démocratisé
  2024  IA générative intégrée dans la détection et réponse
  2026  12 ans d'évolution, standard de facto enterprise

Pourquoi l'antivirus seul ne suffit plus

L'antivirus classique détecte par signature (hash connu) et heuristique basique. Il rate systématiquement :

• Attaques fileless : PowerShell obfusqué, WMI, abus de binaires légitimes (living-off-the-land).
• Polymorphisme : malware qui change son hash à chaque instance.
• Zero-days : CVE non patchées sans signature disponible.
• Lateral movement : pivot d'une machine compromise vers d'autres sans nouveau malware.
• Attaques mémoires : process injection, hollowing, code-reuse.
• Ransomware ciblé : déploiement manuel par opérateurs humains (big-game hunting).

L'EDR a été conçu pour couvrir ces classes d'attaques via la télémétrie comportementale et la corrélation temporelle.

Comment fonctionne un EDR : les 3 couches

Un EDR moderne se décompose en trois couches logiques.

Couche 1 - Collecte de télémétrie

Un agent léger (10-50 MB RAM typique) est installé sur chaque endpoint et collecte en continu des événements riches.

Sur Windows, ETW (Event Tracing for Windows) fournit des milliers d'événements granulaires. Sur Linux, eBPF permet une introspection kernel sans rootkit. Sur macOS, EndpointSecurity est l'API officielle depuis macOS 10.15.

Couche 2 - Détection

La télémétrie est envoyée dans le cloud de l'éditeur (SaaS) ou un backend on-premise. Trois moteurs de détection opèrent en parallèle :

1. Signatures et IOCs : hash malveillants connus, domaines C2, patterns YARA. Rapide mais limité aux menaces connues.
2. Règles comportementales : logique de détection écrite en Sigma, KQL, SPL, EQL (Elastic). Exemple : « PowerShell lancé depuis Excel avec -ExecutionPolicy Bypass ».
3. Machine Learning et IA : modèles entraînés sur des téras de télémétrie pour détecter les anomalies comportementales. Détection de techniques MITRE ATT&CK sans règles explicites.

Les EDR mappent les détections sur MITRE ATT&CK (Mitre Adversarial Tactics, Techniques, and Common Knowledge) pour donner une taxonomie partagée. En 2026, MITRE ATT&CK v15 couvre 14 tactiques et 200+ techniques par OS (Windows, Linux, macOS).

Couche 3 - Réponse

Quand une détection est validée (manuellement ou automatiquement), l'EDR peut déclencher des actions :

Actions automatiques possibles :
 
  Isoler l'endpoint du réseau (containment)
  Kill process suspect ou arborescence de processus
  Quarantine fichier (move vers zone sécurisée)
  Bloquer hash/IOC sur tout le parc
  Rollback (SentinelOne) : restaurer état pré-ransomware
  Désactiver compte utilisateur (via Entra ID, AD)
  Forcer logout de session
  Désactiver USB ou périphérique
 
Actions manuelles en console SOC :
 
  Live Response shell (CrowdStrike RTR, SentinelOne Console)
  Collecte forensics (memory dump, triage package)
  Threat hunt query sur tout le parc
  Investigation timeline cross-host

EDR vs AV vs EPP vs XDR vs MDR : terminologie

La confusion est fréquente. Voici les distinctions précises.

En 2026, les plateformes leaders (CrowdStrike, SentinelOne, Microsoft Defender) convergent vers XDR en intégrant endpoints, email, identité cloud, et workloads cloud dans une vue unique. Les catégories se brouillent au profit de la plateformisation.

Composants d'un EDR moderne 2026

Agent endpoint (lightweight, ~30 MB RAM, 1-3 % CPU)
  ├── Collecteur télémétrie (ETW, eBPF, ESF)
  ├── Module détection locale (IOCs, règles basiques)
  ├── Module réponse (kill, isolate, quarantine)
  └── Communication sécurisée avec cloud backend
 
Cloud backend (SaaS de l'éditeur)
  ├── Ingestion télémétrie (plusieurs Po/jour pour gros acteurs)
  ├── Moteur détection ML et règles
  ├── Threat intelligence (IOCs, TTPs)
  ├── Threat hunting engine (query sur historique)
  └── API REST / GraphQL pour intégrations
 
Console SOC
  ├── Dashboard alertes, severity, MITRE ATT&CK mapping
  ├── Timeline forensique cross-host
  ├── Live Response shell (RTR)
  ├── Threat hunting queries
  └── Incident case management
 
Intégrations écosystème
  ├── SIEM (Splunk, Sentinel, Elastic, QRadar, Chronicle)
  ├── SOAR (Splunk SOAR, Palo Alto XSOAR, Tines)
  ├── IAM (Entra ID, Okta, AWS IAM) pour disable user
  ├── Ticketing (Jira, ServiceNow)
  └── Threat Intel (MISP, Mandiant, Recorded Future)

Top outils EDR 2026

Leaders commerciaux Gartner Magic Quadrant 2025

Options open source ou freemium

Wazuh (OSS)
  Fork OSSEC, SIEM + EDR léger
  Gratuit, self-hosted, forte communauté
  Couverture correcte IOCs + rootkit detection
  Limitations : détection comportementale avancée limitée
 
Velociraptor (Rapid7 OSS)
  Plateforme DFIR et threat hunting
  Artefact collection très puissant
  Gratuit, moderne, bon pour investigations
 
osquery (Facebook OSS)
  Agent télémétrie en SQL, multi-plateforme
  Base de plusieurs commerciaux (Kolide, Zercurity)
  Pas un EDR complet, mais brique forte
 
LimaCharlie (freemium)
  EDR API-first, commercial avec plan gratuit
  Pas-à-pas pour petites équipes
 
Elastic Security (Elastic SIEM + Agent)
  Open source (Elastic License), SIEM + EDR unifié
  Agent Elastic + règles Sigma + Kibana
  Courbe d'apprentissage moyenne
 
Google Chronicle SecOps (Security Operations)
  Anciennement Chronicle SIEM + SOAR (ex-Siemplify)
  EDR via Backstory, pricing basé sur employés

Intégration dans un SOC moderne

L'EDR est un des 4-5 outils centraux d'un SOC 2026.

Architecture SOC type 2026 :
 
  SIEM (Splunk, Sentinel, Elastic)
    ← EDR (CrowdStrike, SentinelOne, Defender)
    ← NDR (Vectra, Darktrace)
    ← CWPP (Aqua, Sysdig)
    ← CSPM (Wiz, Orca)
    ← IAM logs (Okta, Entra)
    ← Email security (Proofpoint, Defender for O365)
    ← Threat Intel (MISP, Mandiant, Recorded Future)
 
  Alertes corrélées dans le SIEM
    → Enrichissement via SOAR (playbooks automatisés)
    → Triage Tier 1 SOC analyst
    → Escalade Tier 2 / Tier 3 si complexe
    → Réponse manuelle ou automatisée via EDR/IAM

Règles de détection 2026 : le langage Sigma

Sigma est devenu en 2026 le langage de détection universel. Les règles Sigma se convertissent ensuite en règles spécifiques à chaque EDR/SIEM.

# Exemple règle Sigma - PowerShell lancé depuis Office
title: PowerShell From Office Application
status: experimental
description: Detects PowerShell execution spawned from Office applications, often malicious
logsource:
  product: windows
  category: process_creation
detection:
  selection:
    ParentImage|endswith:
      - '\winword.exe'
      - '\excel.exe'
      - '\outlook.exe'
    Image|endswith:
      - '\powershell.exe'
      - '\pwsh.exe'
  condition: selection
level: high
tags:
  - attack.execution
  - attack.t1059.001

Le repo SigmaHQ/sigma centralise plus de 3 000 règles maintenues par la communauté en 2026.

Limites et pièges réels des EDR

1. Évasion EDR : les techniques qui marchent

Les techniques d'évasion EDR évoluent constamment. En 2026, les opérateurs offensifs utilisent :

• Direct syscalls : Hell's Gate, Halo's Gate, Tartarus Gate - bypass des hooks user-land.
• Unhooking : restaurer les syscalls d'origine en mémoire.
• Process hollowing et injection : injection dans processus légitime.
• BYOVD (Bring Your Own Vulnerable Driver) : charger un driver signé vulnérable pour exécuter du kernel code.
• AMSI bypass : désactiver l'Antimalware Scan Interface Windows.
• ETW patching : empêcher la remontée de télémétrie au niveau kernel.
• Living-off-the-land : utiliser uniquement des binaires signés Microsoft légitimes.

Réponse EDR 2026 : télémétrie kernel (ETW, eBPF, ESF), ML sur les patterns d'évasion, attestation d'intégrité de l'agent.

2. Performance et incident CrowdStrike juillet 2024

Le 19 juillet 2024, une mise à jour défectueuse de CrowdStrike Falcon a provoqué un BSOD sur environ 8,5 millions de machines Windows dans le monde, avec un impact estimé à 5 milliards USD de perte économique (compagnies aériennes, banques, hôpitaux). Cet incident a rappelé :

• Un agent EDR tourne en kernel, un bug = BSOD systémique.
• Les mises à jour doivent être ring-based (canary → pilote → général).
• La dépendance à un EDR unique crée un SPOF (Single Point of Failure) critique.

Depuis 2024, les déploiements EDR incluent obligatoirement des canary rings et kill switches par commande console.

3. Coût et shelfware

Un EDR peut représenter 20-40 % du budget outillage sécurité. Mal configuré ou sans SOC pour traiter les alertes, il produit du bruit sans valeur ajoutée (shelfware). Les études 2024-2025 montrent que 30-40 % des alertes EDR ne sont jamais investiguées par faute de capacité humaine.

4. Couverture non-Windows

Historiquement, les EDR étaient Windows-centric. En 2026, la couverture Linux et macOS s'est améliorée chez les leaders (CrowdStrike Linux kernel module, SentinelOne via eBPF, Defender for Endpoint Linux). Mais certains contextes restent moins bien couverts : BSD, Solaris legacy, conteneurs scratch, serverless, IoT embarqué.

5. Vie privée et conformité

Un EDR collecte une télémétrie extrêmement riche : lignes de commande, fichiers accédés, URLs visitées, commandes PowerShell. Sur un poste professionnel utilisé aussi à titre personnel, cela pose des questions RGPD. Les déploiements 2026 documentent rigoureusement la finalité, les destinataires, et les exceptions (postes VIP, journalistes, syndicats).

Comment évaluer un EDR

Les critères à auditer avant de choisir :

1. Couverture MITRE ATT&CK : % de techniques détectées. Benchmark MITRE Engenuity ATT&CK Evaluations annuel.
2. Temps Mean Time to Detect (MTTD) et Mean Time to Respond (MTTR).
3. Overhead CPU et RAM sur endpoints réels (pas marketing).
4. Faux positifs rate sur environnement test.
5. Intégrations natives : SIEM existant, IAM, SOAR, ticketing.
6. API et extensibilité : REST/GraphQL, webhooks, SDK.
7. Couverture OS : Windows, Linux, macOS, containers, cloud workloads.
8. Pricing transparent ou variable par négociation ?
9. Support local (francophone si France, support heures ouvrées ou 24/7).
10. Roadmap produit : présence en XDR, GenAI, MDR service.

Points clés à retenir

• EDR = Endpoint Detection and Response. Plateforme qui collecte télémétrie riche, détecte comportements malveillants via corrélation et ML, et exécute des réponses (isolate, kill, rollback). Catégorie définie par Gartner en 2013.
• 3 couches : collecte (ETW/eBPF/ESF), détection (signatures + règles Sigma/KQL + ML), réponse (automatisée ou manuelle via console SOC).
• Leaders Gartner Magic Quadrant 2025 : CrowdStrike, SentinelOne, Microsoft Defender for Endpoint, Palo Alto Cortex XDR, Trend Micro, Sophos. Microsoft Defender est inclus dans M365 E5 = coût marginal zéro si déjà licencié.
• EDR vs XDR vs MDR : EDR pour endpoints, XDR étend à email/identité/cloud/réseau, MDR est un service managé externe 24/7.
• Limites : techniques d'évasion EDR (direct syscalls, BYOVD, unhooking), incident CrowdStrike juillet 2024 qui a rappelé le risque kernel-mode, faux positifs non investigués, couverture non-Windows encore inégale.
• Open source : Wazuh, Velociraptor, osquery, LimaCharlie, Elastic Security - couvrent 50-70 % des besoins pour équipes avec expertise SOC.
• MITRE ATT&CK v15 (2025) = taxonomie de référence. Sigma = langage de détection universel (3 000+ règles communautaires).

Pour resituer l'EDR dans une discipline DevSecOps complète avec runtime security, voir sécurité Docker : les bases et différence entre DevOps et DevSecOps. Pour comprendre comment les permissions cloud s'articulent avec les alertes EDR, lire CIEM : définition, fonctions et outils 2026. Pour un parcours d'apprentissage structuré qui inclut blue team et SOC, la roadmap DevSecOps 2026 détaille les étapes.