Zeroday Cyber Academy

Glossaire cyber

EDR - Endpoint Detection and Response, leaders 2026

EDR (Endpoint Detection and Response) : architecture, leaders 2026 (CrowdStrike, Defender, SentinelOne), MITRE ATT&CK Evals, MDR vs XDR, bypass et déploiement.

Naim Aouaichia
18 min de lecture
  • Glossaire
  • EDR
  • XDR
  • MDR
  • SOC
  • Detection Engineering
  • MITRE ATT&CK

L'EDR (Endpoint Detection and Response) est la catégorie d'outillage de sécurité endpoint qui combine collecte télémétrique riche (process, file, network, registry, image load, AMSI, ETW), détection comportementale (rules behavioral, ML, heuristiques), et capacités de réponse (isolation host, kill process, rollback ransomware). Le terme a été forgé par Anton Chuvakin (Gartner) en 2013 pour formaliser la rupture avec l'antivirus signature-based historique. En 2026, le marché EDR mondial pèse environ 5-7 milliards de dollars (estimations Gartner / IDC), porté par 4 leaders qui concentrent ~70 % des parts : CrowdStrike Falcon, Microsoft Defender for Endpoint, SentinelOne Singularity, Palo Alto Cortex XDR. Au-delà du choix de produit, comprendre l'architecture agent + cloud, les MITRE Engenuity ATT&CK Evaluations, la convergence EDR → XDR, le modèle MDR managé, les techniques de bypass (BYOVD, Direct Syscalls) et les leçons de l'incident CrowdStrike du 19 juillet 2024 est non-négociable pour tout RSSI ou architecte sécurité 2026.

Pour le contexte adjacent : voir IOA - Indicators of Attack pour la méthodologie de détection que l'EDR opérationnalise, et TTP - Tactics, Techniques, Procedures pour la grille MITRE ATT&CK que tout EDR mature mappe explicitement.

1. Définition précise et rupture avec l'antivirus signature-based

Un EDR est défini par trois propriétés combinées, aucune isolément ne suffit :

  1. Télémétrie continue : un agent endpoint capture en temps réel les événements process, file, network, registry, image load, AMSI, ETW, named pipes. Volume typique 2026 : 50 000 à 500 000 events/jour/endpoint Windows (selon profil utilisateur).
  2. Détection comportementale : règles behavioral plutôt que signatures hash. Mapping MITRE ATT&CK obligatoire en 2026.
  3. Réponse remote : actions à distance, host isolation, kill process, contain user, rollback fichier, suppression registry.

L'antivirus historique (1980s-2000s) repose sur la signature : un hash ou pattern statique compare un fichier à une base. Limite structurelle : un attaquant qui modifie 1 byte change le hash et passe. L'NGAV (Next-Gen AV) ajoute du ML statique sur les binaires mais reste mono-événement. L'EDR est mono-événement chaîné : la valeur émerge de la corrélation entre événements (process tree, command line, network, registry).

GénérationPériodeDétectionRéponseLimite structurelle
AV signature1987-2010Hash, pattern bytesQuarantine / deleteBypass trivial par recompile
NGAV2010-2018ML statique sur binaireQuarantine + memory scanMono-événement
EDR2013-aujourd'huiBehavioral + ML + signaturesIsolate, kill, rollback, huntBypass kernel possible
XDR2018-aujourd'huiBehavioral cross-source (endpoint + email + identity + cloud)Idem + automation cross-domainMaturité variable selon vendor

Le terme EDR a été introduit par Anton Chuvakin dans son blog Gartner « Named: Endpoint Threat Detection & Response » du 26 juillet 2013 (https://www.gartner.com/blog/named-endpoint-threat-detection-response/). Le « T » a disparu rapidement pour donner « EDR ». La paternité est documentée et factuelle.

2. Architecture EDR - agent, télémétrie, cloud backend

Tous les EDR commerciaux 2026 partagent la même architecture macro :

ComposantRôleTechnologie 2026
Agent endpointCollecte télémétrie + applique règles + exécute actionsDriver kernel-mode (Windows : minifilter + early-launch boot driver) + service user-mode
HooksIntercepter les événements OS (process create, file write, etc.)ETW providers, kernel callbacks (PsSetCreateProcessNotifyRoutine, etc.), AMSI, MiniFilter
Local enforcementDétections temps réel + actions instantanéesRègles compilées localement, ML embarqué léger
Cloud backendStockage long terme, détections heavy ML, threat intel, dashboardsMulti-tenant, ~10-90 jours rétention selon licence
Console / APITriage analyste, hunt, automationWeb SaaS + REST API + GraphQL
Channel filesMises à jour de contenu (rules, IOC, ML model)Push fréquent, parfois plusieurs fois par jour

Les kernel callbacks Windows utilisés par tous les EDR sérieux :

  • PsSetCreateProcessNotifyRoutineEx (création process)
  • PsSetCreateThreadNotifyRoutine (création thread)
  • PsSetLoadImageNotifyRoutine (image load DLL/EXE)
  • CmRegisterCallbackEx (registry)
  • ObRegisterCallbacks (handle process / thread access)
  • MiniFilter driver pour file operations (FltRegisterFilter)

Les opérations interceptées via AMSI (Antimalware Scan Interface) couvrent PowerShell, VBScript, JScript, .NET, Office macros, WMI. La couverture ETW (Event Tracing for Windows) se développe via des providers Microsoft-Windows-Threat-Intelligence (Microsoft sur certaines versions Windows 10/11/Server 2022/2025) qui exposent des events kernel autrement inaccessibles.

3. Leaders du marché EDR/XDR 2026

Tableau des produits dominants 2026 (sources : Gartner Magic Quadrant Endpoint Protection Platforms 2024, Forrester Wave EDR/XDR 2024, MITRE Engenuity ATT&CK Evaluations Round 4-6) :

ProduitVendorOS supportésForceLimiteTarif indicatif
FalconCrowdStrikeWin, macOS, Linux, Android, iOSLeader marché entreprise, threat intel intégrée OverwatchTarif premium, incident juillet 202430-100 €/endpoint/an
Defender for EndpointMicrosoftWin, macOS, Linux, Android, iOSIntégration native Windows + M365, ASR rulesLogique licence M365 complexe4-15 €/user/mois (selon plan)
SingularitySentinelOneWin, macOS, Linux, KubernetesStoryline auto-corrélation, AI nativeMaturité hunt manuel inférieure30-80 €/endpoint/an
Cortex XDRPalo Alto NetworksWin, macOS, LinuxXDR cross-domain mature, intégration NGFWCoûteux, complexe à opérer50-150 €/endpoint/an
Vision OneTrend MicroWin, macOS, LinuxAdoption Asie-Pacifique, prix compétitifMarketing flou parfois25-70 €/endpoint/an
Intercept XSophosWin, macOS, LinuxPME-friendly, MDR intégréMaturité hunt limitée25-60 €/endpoint/an
Trellix EDRTrellix (McAfee + FireEye)Win, macOS, LinuxCapacités héritées FireEye en huntMarque en transition30-80 €/endpoint/an
TaniumTaniumWin, macOS, LinuxArchitecture P2P scale 100k+ endpointsPas pure-play EDR, plutôt CMDB+50-150 €/endpoint/an
WazuhWazuh OSSWin, macOS, LinuxOpen-source, gratuit, FIM/SCA/MITREPas de behavioral kernel-level, ops lourdeGratuit + infra
VelociraptorRapid7 OSSWin, macOS, LinuxHunt à grande échelle, VQL queriesPas un EDR temps réel, plutôt DFIRGratuit + infra

Position tranchée : pour un parc Windows enterprise > 1000 endpoints en 2026, CrowdStrike Falcon ou Microsoft Defender for Endpoint Plan 2 sont les deux choix par défaut. Préférer Defender si > 70 % du parc est Windows et l'organisation est déjà Microsoft 365 E5 (économies de licence importantes). Préférer Falcon si l'organisation est multi-cloud, hétérogène, et veut une isolation totale vis-à-vis de Microsoft (post-incident SolarWinds + impact 19 juillet 2024 chez certains DSI). SentinelOne est la troisième option crédible si le critère AI-native auto-corrélation prime.

4. MITRE Engenuity ATT&CK Evaluations - le benchmark à lire

Les MITRE Engenuity ATT&CK Evaluations (https://attackevals.mitre-engenuity.org/) sont devenus en 2026 le benchmark indépendant pour les EDR/XDR. Méthodologie : MITRE émule un APT réel (APT3, APT29, Carbanak, FIN7, Wizard Spider, Sandworm, Turla, menuPass, Volt Typhoon) sur un environnement de test. Chaque vendor configure son produit, MITRE exécute les TTPs, mesure la détection.

Métriques publiées par évaluation :

MétriqueDéfinitionCible
VisibilityLe produit a-t-il collecté la télémétrie ?≥ 90 % en 2026
Detection (Analytic)A-t-il alerté avec contexte ?≥ 70 %
Detection (General)Reconnaissance basique sans contexteMoins pertinent isolément
Configuration changesCombien de tuning vendor pour atteindre ces scores ?Idéalement 0
DelaysDétection en temps réel ou différée ?Real-time préféré

Évaluations récentes (Round 5 « Turla » 2023, Round 6 « 2024 » avec macOS et Linux) : pas de « gagnant » officiel, mais la lecture détaillée par sub-technique permet de cartographier les gaps. Round 6 a introduit la couverture macOS et Linux pour la première fois, décisif si le parc n'est pas full Windows.

5. EDR vs XDR vs MDR vs MXDR - le mental model

SigleSensTypeCibleTarif 2026
EDREndpoint Detection and ResponseProduitEndpoint uniquement30-100 €/EP/an
XDRExtended Detection and ResponseProduit unifiéEndpoint + email + identity + cloud + network60-200 €/EP/an
MDRManaged Detection and ResponseService externaliséTriage 24/7 sur EDR/XDR existant80-200 €/EP/an
MXDRManaged XDRService externaliséXDR opéré 24/7 par vendor ou MSSP150-400 €/EP/an
MSSPManaged Security Service ProviderService génériqueMulti-stack legacy (FW, AV, SIEM, EDR)Variable

Position tranchée 2026 : la convergence EDR → XDR est réelle pour les vendors leaders (CrowdStrike, Microsoft, Palo Alto, SentinelOne) mais la maturité XDR cross-domain reste inégale. Pour beaucoup d'organisations, un EDR best-of-breed + un SIEM (Microsoft Sentinel, Splunk, Elastic) reste plus mature qu'un XDR mono-vendor 2026. Le calcul change quand la stack identity (Entra ID, Okta) et email (Microsoft, Google Workspace) sont du même éditeur que l'EDR, auquel cas la tentation XDR mono-vendor devient économiquement pertinente.

Le marché MDR (Managed Detection and Response) explose en 2026 avec la pénurie de talents SOC. Vendors notables : CrowdStrike Falcon Complete, Sophos MDR, Arctic Wolf, Red Canary, eSentire, SecureWorks Taegis MDR, Expel. Tarification typique 80-200 €/endpoint/an pour SLA 24/7 + 5-15 alertes qualifiées/jour livrées (au lieu de 500-1500 brutes).

6. Stack opérationnelle EDR - déploiement et tuning

Stratégie de déploiement 2026 minimal viable :

# 1. Inventaire endpoint baseline
# Vérifier quel agent existe déjà, prévenir les conflits
sc query | findstr /i "csagent windefend sentinelone cortex"
wmic /node:* product where "name like '%CrowdStrike%' or name like '%Defender%'" get name,version /format:csv
 
# 2. Déploiement progressif - canary 5 % → 25 % → 100 %
# CrowdStrike via SCCM / Intune / GPO + msi installer
msiexec /i WindowsSensor.LionLanggur.exe CID=<your-cid>-XX /quiet /norestart
 
# 3. Validation post-install - sensor health
"C:\Program Files\CrowdStrike\CSFalconService.exe" -version
sc query csagent | findstr STATE
 
# 4. Push sysmon en complément (télémétrie additive)
git clone https://github.com/olafhartong/sysmon-modular
cd sysmon-modular
.\Merge-AllSysmonXml.ps1
sysmon64.exe -accepteula -i .\sysmonconfig.xml
 
# 5. Vérifier l'enrollment côté console
# CrowdStrike Falcon Console > Hosts > All Hosts
# Microsoft Defender XDR > Devices > Inventory

Tuning baseline post-déploiement (4-6 semaines minimum) :

  1. Allowlist des process internes legitimes ayant un comportement EDR-suspicious : agents de monitoring, scripts d'admin, custom binaries. Ne jamais allowlist par hash seul, utiliser path + signer + parent process.
  2. Suppression rules sur les FP fréquents : ex. wevtutil cl Security exécuté par compte service de log archival légitime.
  3. Sensitivity scaling : commencer en mode « detect only » puis activer prevention progressivement par groupe d'hôtes.
  4. Alertes critiques : escalation immédiate vers SOC ou astreinte sur règles Mimikatz, ransomware behavior, lateral movement, persistence kernel.
  5. Custom IOA rules : développer des règles spécifiques à l'organisation (assets sensibles, comportements internes documentés). Pour CrowdStrike : Falcon Custom IOA. Pour Defender : Custom Detection Rules en KQL.

Tarification opération réaliste 2026 :

ProfilPricing licenceCoût opération annuel
PME 100 endpoints3-10 k€/an0.3-0.5 ETP
ETI 1 000 endpoints30-100 k€/an1-2 ETP
Grand compte 10 000 endpoints300 k€-1 M€/an5-15 ETP SOC + detection engineering
Grand compte 50 000+ endpoints1.5-5 M€/an20-50 ETP + MDR partiel

7. Bypass EDR - BYOVD, Direct Syscalls, Unhooking

Trois familles de techniques publiques en 2026 que tout pentester / red team connaît, et que tout RSSI doit comprendre pour calibrer ses défenses :

7.1 BYOVD - Bring Your Own Vulnerable Driver

L'attaquant charge un driver Windows signé mais vulnérable (souvent un driver utilitaire constructeur ancien comme gmer.sys, RTCore64.sys MSI Afterburner, truesight.sys, daxin, ene.sys). Le driver expose une primitive de lecture/écriture mémoire kernel arbitraire qui permet de :

  • Désactiver les kernel callbacks EDR (PsSetCreateProcessNotifyRoutine patch)
  • Tuer les process protégés PPL depuis le kernel
  • Détourner les MiniFilter callbacks

Outils publics : EDRSandblast (https://github.com/wavestone-cdt/EDRSandblast), EDRSilencer, KernelPit, Backstab. Cas réels documentés : usage par groupes ransomware Conti, BlackByte, AvosLocker entre 2022 et 2024.

Mitigations 2026 :

7.2 Direct Syscalls / Indirect Syscalls

Les EDR user-mode hookent les fonctions de ntdll.dll (NtCreateProcess, NtAllocateVirtualMemory, NtWriteVirtualMemory). Le bypass consiste à :

  • Direct Syscall : appeler directement l'instruction syscall avec le numéro et les paramètres, contournant ntdll.dll complètement.
  • Indirect Syscall : sauter à l'adresse réelle de syscall dans ntdll.dll, contournant le hook qui est en début de fonction.

Frameworks : HellsGate, HalosGate, TartarusGate, FreshyCalls, SysWhispers3, Hells Hall. Largement disponibles en open-source.

Mitigations 2026 : ETW Threat Intelligence provider (limité), AMSI, anti-malware scan interface étendu, kernel-mode telemetry plutôt que user-mode hooks. Les EDR « kernel-first » sont moins sensibles.

7.3 Unhooking et Module Stomping

Restaurer la version originale (non-hookée) de ntdll.dll depuis le disque ou depuis une copie en mémoire d'un autre process. Outils : PerunBoy, Mockingjay, DInvoke (.NET).

8. L'incident CrowdStrike du 19 juillet 2024 - leçons opérationnelles

Le 19 juillet 2024 à 04:09 UTC, CrowdStrike a déployé une mise à jour de contenu (Channel File 291) du driver csagent.sys Falcon Sensor pour Windows. La mise à jour contenait un bug de parsing, null pointer dereference dans le matching d'un Template Type, qui provoquait un BSOD dès le démarrage du driver, donc à chaque boot Windows.

Impact mondial estimé (rapport CrowdStrike RCA 6 août 2024 + analyses Microsoft) :

  • ~8.5 millions de machines Windows BSOD-loop
  • 5 078 vols Delta annulés sur ~3 jours
  • Hôpitaux : interruptions critiques (NHS UK, hôpitaux US et allemands)
  • Banques, médias, distribution mondiale touchés
  • Coût économique mondial estimé 5-15 milliards de dollars selon analyses indépendantes

Causes techniques documentées :

  1. Champion Validator (testeur interne) ne couvrait pas le format Template Type 21 introduit la semaine précédente.
  2. Stress Testing insuffisant sur la combinaison de Channel Files.
  3. Rollout immédiat à 100 % au lieu de canary progressif.
  4. No quick rollback path côté endpoint, le driver charge avant Windows recovery.

Recommandations CrowdStrike post-incident (annoncées août-septembre 2024) :

  • Validation de contenu plus rigoureuse (Champion Validator étendu).
  • Rollout staggered en pourcentages côté endpoint.
  • Customer-controlled deployment cadence (option N-1, N-2 disponible).
  • Integration WinRE pour rollback automatique via Microsoft Quick Machine Recovery (Windows 11 24H2).

Position tranchée : tout RSSI 2026 doit avoir documenté pour son EDR (quel qu'il soit) :

  1. Politique de rollout canary (5 % → 25 % → 100 % à 7 jours minimum).
  2. Plan de récupération BSOD avec USB BitLocker recovery + script de suppression du Channel File.
  3. Diversification critique : ne pas mettre 100 % du parc sur le même EDR sur les segments Tier 0 (domain controllers, hyperviseurs, production).
  4. Test du plan au moins annuellement.

9. Erreurs fréquentes et anti-patterns EDR

ErreurSymptômeFix
EDR sans tuning baseline1500+ alertes/jour, fatigue analyste, gate désactivéBaseline 4-6 semaines, allowlist, suppression rules
Allowlist par hash seulBypass facile par recompile attaquantAllowlist par path + signer + parent process
Pas de canary deploymentBSOD massif lors d'incident vendorCanary 5 % → 25 % → 100 % à 7j d'écart
Mono-vendor EDR sur Tier 0Single point of failureDiversifier sur DC, hyperviseurs, prod critique
Vulnerable Driver Blocklist non activéeBYOVD trivial pour ransomwareActiver la blocklist Microsoft + WDAC sur serveurs
ETW providers de base seulementTélémétrie pauvre, IOA invisiblesAjouter Sysmon en complément, config OlafHartong
Pas de monitoring de l'agent EDRDésactivation silencieuse pendant incidentAlerte si agent stop / fail-to-checkin > 1h
MITRE ATT&CK Evals lus comme score sportifChoix produit biaisé par marketingLire l'évaluation détaillée par sub-technique
Pas de custom IOA rulesDétection limitée aux règles vendorDévelopper des règles spécifiques aux assets internes
Logs EDR non envoyés au SIEMSilos, hunt rétrospectif impossibleForwarding API EDR → SIEM pour rétention longue

10. Pour aller plus loin

11. Points clés à retenir

  • EDR = télémétrie continue + détection comportementale + réponse remote. Trois propriétés combinées, aucune isolément ne suffit.
  • Terme forgé par Anton Chuvakin (Gartner) le 26 juillet 2013. Marché 2026 : 5-7 milliards de dollars.
  • 4 leaders concentrent ~70 % des parts : CrowdStrike Falcon, Microsoft Defender for Endpoint, SentinelOne Singularity, Palo Alto Cortex XDR.
  • Tarif 2026 : EDR autonome 30-100 €/EP/an, MDR managé 80-200 €, MXDR 150-400 €.
  • MITRE Engenuity ATT&CK Evaluations : benchmark indépendant de référence depuis 2018. Round 6 (2024) ajoute macOS et Linux. Lecture obligatoire avant RFP.
  • EDR ≠ XDR ≠ MDR. EDR = produit endpoint, XDR = produit cross-domain, MDR = service managé. La convergence EDR → XDR est réelle mais inégale.
  • Bypass EDR : 25-30 % des intrusions APT 2024-2025 incluent un EDR partiellement bypassé. Trois familles : BYOVD, Direct Syscalls, Unhooking.
  • Mitigations bypass : Microsoft Vulnerable Driver Blocklist + HVCI + VBS + WDAC + segmentation Tier 0.
  • Incident CrowdStrike 19 juillet 2024 : ~8.5 millions de machines BSOD, 5-15 milliards $ d'impact économique. Cause : null pointer dans Channel File 291. Leçon : canary deployment + diversification + plan de récupération obligatoires.
  • Anti-pattern n°1 : EDR sans tuning baseline (4-6 semaines), volume d'alertes ingérable, fatigue analyste.
  • Recommandation 2026 : Defender for Endpoint Plan 2 si parc Microsoft 365 E5 ; CrowdStrike Falcon ou SentinelOne sinon. Open-source (Wazuh, Velociraptor) viable seulement avec 0.5-1 ETP dédié.
  • Détection custom IOA + intégration SIEM long-term + monitoring de l'agent EDR lui-même : trois pratiques qui distinguent un SOC mature 2026 d'un SOC qui consomme passivement les alertes vendor.

Questions fréquentes

  • Quelle différence entre EDR, XDR, MDR et MXDR en pratique ?
    **EDR** (Endpoint Detection and Response) couvre **endpoint uniquement** : agent + télémétrie process/file/network/registry sur Windows, macOS, Linux. **XDR** (Extended Detection and Response) étend la corrélation à **email, identity, cloud, network, OT**, produit unifié, single console. **MDR** (Managed Detection and Response) est un **service** : un SOC externe opère ton EDR/XDR 24/7, fait le triage, te livre les escalations qualifiées (typiquement 5-15 alertes/jour qualifiées au lieu de 500-1500 brutes). **MXDR** (Managed XDR) = MDR + XDR. Tarification 2026 (France) : EDR autonome ~30-60 €/endpoint/an, MDR 80-200 €/endpoint/an avec SLA 24/7, MXDR 150-400 €/endpoint/an pour gros comptes. Recommandation : équipe SOC &lt; 5 ETP → MDR ; 5-15 ETP → XDR opéré en interne ; > 15 ETP → XDR + detection engineering interne.
  • Comment lire les MITRE Engenuity ATT&CK Evaluations pour choisir un EDR ?
    Les **MITRE Engenuity ATT&CK Evaluations** (https://attackevals.mitre-engenuity.org/) testent depuis 2018 les EDR contre des emulations d'APT réelles (APT3, APT29, Carbanak, Wizard Spider, Sandworm, Turla, menuPass, Volt Typhoon en 2024). Les métriques publiées : **Detection coverage** (% de sub-techniques détectées sur ~100-150 par éval), **Visibility** (collecte télémétrique brute), **Analytic** (alertes corrélées avec contexte), **Configuration changes** (combien de tuning a été fait pour atteindre le score). Pièges à éviter : (1) ne pas comparer les % bruts entre éditeurs, lire l'évaluation détaillée par sub-technique ; (2) le « 100 % detection » est rarement out-of-the-box, il vient souvent après plusieurs configuration changes ; (3) les évaluations Round 6 (2024) ont introduit la couverture macOS et Linux, vérifier que ton parc est bien représenté. Lecture obligatoire avant tout RFP EDR sérieux.
  • Un EDR peut-il vraiment se faire bypasser en 2026 ?
    **Oui, et régulièrement.** Trois familles dominantes en 2026. (1) **BYOVD** (Bring Your Own Vulnerable Driver), l'attaquant charge un driver Windows signé mais vulnérable (`gmer.sys`, `RTCore64.sys`, `truesight.sys`) qui permet de désactiver les callbacks EDR depuis le kernel. Outils publics : EDRSandblast, EDRSilencer, KernelPit. Microsoft maintient une **vulnerable driver blocklist** (https://learn.microsoft.com/en-us/windows/security/application-security/application-control/microsoft-recommended-driver-block-rules), l'activer bloque ~90 % des BYOVD connus. (2) **Direct Syscalls / Indirect Syscalls**, bypass des hooks user-mode de l'EDR en appelant `ntdll.dll` directement ou en sautant à l'adresse syscall (HellsGate, HalosGate, TartarusGate, FreshyCalls). (3) **Unhooking**, restaurer la version originale de `ntdll.dll` depuis le disque. Conséquence opérationnelle : un EDR seul n'est jamais une défense suffisante, il faut **kernel-mode signing strict + WDAC + Vulnerable Driver Blocklist + EDR multi-couche**. Les rapports Mandiant 2024-2025 montrent que ~25-30 % des intrusions APT impliquent un EDR partiellement bypassé.
  • Comment éviter une panne CrowdStrike comme celle de juillet 2024 ?
    Le **19 juillet 2024**, une mise à jour de contenu du driver `csagent.sys` de CrowdStrike Falcon a provoqué un BSOD sur ~8.5 millions de machines Windows mondialement (rapport CrowdStrike RCA, août 2024). Cause technique : null pointer dereference dans le parsing d'un Channel File 291 mal-formé, sans validation suffisante. Conséquences : vols cloués, hôpitaux paralysés, banques offline pendant 24-72h. Recommandations 2026 pour réduire ce risque : (1) **N-1 deployment policy**, ne pas être en automatic update sur la dernière version sur 100 % du parc ; canary 5 %, puis 25 %, puis 100 % à 7 jours d'écart minimum ; (2) **Recovery plan** documenté avec USB clé bootable BitLocker recovery + script de suppression du Channel File ; (3) **Diversifier** les EDR sur les segments critiques (domain controllers + production servers + endpoints utilisateurs), tout-CrowdStrike sur tout le parc = single point of failure. Microsoft a annoncé en septembre 2024 une feature « Quick Machine Recovery » pour Windows 11 24H2 qui automatise le rollback BSOD via WinRE.
  • Open-source vs commercial : Wazuh ou CrowdStrike pour un SOC PME 2026 ?
    **Cas par cas, mais avec une règle pratique.** **Wazuh** (fork OSSEC, https://wazuh.com/) est gratuit, supporte Windows/macOS/Linux, fournit FIM, SCA, vulnerability detection, MITRE ATT&CK mapping. Coût d'opération réel : 0.5-1 ETP minimum à temps plein pour une PME 200-500 endpoints, plus l'infra (cluster Elasticsearch). Limite : pas de behavioral kernel-level, pas de response automatique sophistiquée, signature mostly Sigma + custom rules. **CrowdStrike Falcon Go / Pro / Enterprise** : 30-100 €/endpoint/an, déploiement en heures, kernel-level behavioral, MITRE Round 4-6 dans le top 3, SOC quasi clé en main. Recommandation : **PME &lt; 200 endpoints sans SOC interne → CrowdStrike Falcon Go ou Microsoft Defender Business** (souvent inclus dans Microsoft 365 Business Premium 22 €/user/mois). PME avec admin sys senior et besoin de souveraineté/compliance custom → Wazuh. Au-delà de 500 endpoints, CrowdStrike / SentinelOne / Defender for Endpoint sont rarement contestables sur le ROI.
Découvrir le bootcamp DevSecOps

Écrit par

Naim Aouaichia

Cyber Security Engineer et fondateur de Zeroday Cyber Academy

Ingénieur cybersécurité avec un parcours hybride : développement, DevOps Capgemini, DevSecOps IN Groupe (sécurité des documents d'identité régaliens), audits CAC 40. Fondateur de Hash24Security et Zeroday Cyber Academy. Présence LinkedIn 43 000 abonnés, Substack Zeroday Notes 23 000 abonnés.

À lire également