Zeroday Cyber Academy

Glossaire cyber

XDR - Extended Detection and Response, leaders 2026

XDR (Extended Detection and Response) : Native vs Open vs Hybrid, leaders 2026 (Microsoft, Palo Alto, CrowdStrike), corrélation cross-domain, SIEM vs XDR.

Naim Aouaichia
17 min de lecture
  • Glossaire
  • XDR
  • EDR
  • SIEM
  • SOC
  • Cross-Domain
  • MITRE ATT&CK

Le XDR (Extended Detection and Response) est l'évolution du EDR vers une plateforme unifiée de détection et réponse cross-domain qui corrèle la télémétrie de l'endpoint, de l'email, de l'identité, du cloud, du network et parfois de l'OT dans une seule console. Le terme a été forgé par Nir Zuk (CTO Palo Alto Networks) en 2018, repris par Gartner et formalisé en catégorie marché en 2020. En 2026, le marché XDR mondial pèse environ 10-13 milliards de dollars (Gartner / IDC) et croît à 25-30 % par an, dominé par 4 acteurs : Microsoft Defender XDR, Palo Alto Cortex XDR, CrowdStrike Falcon XDR, SentinelOne Singularity XDR. Trois architectures coexistent : Native XDR (single vendor stack, lock-in et cohérence), Open XDR (couche de corrélation vendor-agnostique au-dessus de sources tierces), Hybrid XDR (EDR central + intégrations externes). Comprendre la distinction avec EDR et SIEM, les architectures Native/Open/Hybrid, le rôle de l'AI générative (Microsoft Security Copilot, CrowdStrike Charlotte AI), et l'arbitrage MDR vs XDR opéré en interne est la décision structurante côté SOC 2026.

Pour le contexte adjacent : voir EDR - Endpoint Detection and Response pour la brique de base endpoint, et IOA - Indicators of Attack pour la méthodologie de détection comportementale que XDR opérationnalise sur multi-sources.

1. Définition précise et distinction EDR / XDR / SIEM

Un XDR est défini par trois propriétés combinées au-delà du périmètre EDR :

  1. Cross-domain par design : ingère et corrèle au minimum 3-4 sources distinctes (endpoint + email + identity + cloud, parfois + network/OT/CASB).
  2. Corrélation native : règles d'analytics multi-sources fournies out-of-the-box, sans rule writing intensif comme en SIEM. Mappage MITRE ATT&CK explicite.
  3. Réponse coordonnée multi-sources : isolation host et révocation token Entra ID et quarantine email et suspension session cloud, depuis une seule console.

Le terme XDR a été introduit par Nir Zuk (CTO et co-fondateur Palo Alto Networks) en 2018 dans un blog post officiel (https://www.paloaltonetworks.com/blog/2018/10/xdr-extended-detection-response/). Gartner l'a formalisé comme catégorie marché en 2020. Le « X » remplace « E » (Endpoint) pour signifier « Extended », au-delà de l'endpoint.

CatégoriePérimètreDétectionRéponseMaturité 2026
EDREndpoint uniquementBehavioral kernel-levelLocal + isolationTrès mature
XDR NativeEndpoint + email + identity + cloud (1 vendor)Cross-domain rules vendorCoordonnée single-vendorMature pour leaders
XDR OpenMulti-sources tierces, normaliséesCorrélation indépendante du vendor sourceCoordonnée via APIs tiercesInégale selon vendor
SIEMToutes sources avec parsersRules custom écrites en interneManuelle ou via SOARMature mais coût ops élevé
SOARCouche playbook/automationPas de détection nativeOrchestration réponseSouvent intégré XDR ou SIEM

Position tranchée 2026 : la convergence XDR + SIEM dans une plateforme unique est le pari de Microsoft (Defender XDR + Sentinel sur le même workspace, depuis novembre 2023). Sur les autres vendors, XDR et SIEM restent deux produits distincts avec ingestion partielle. Pour une organisation qui n'est pas Microsoft 365 E5, l'achat XDR + SIEM séparés reste la norme en 2026, avec un effort d'intégration côté ingestion et corrélation.

2. Sources de télémétrie XDR cross-domain

Tableau des sources qu'un XDR mature 2026 ingère et corrèle :

DomaineSourceTelemetry typiqueExemple usecase XDR
EndpointEDR agent (Falcon, Defender for Endpoint, S1)process, file, network, registry, AMSIMimikatz LSASS access
EmailM365 Exchange, Google WorkspaceURL clicks, attachment hash, sender reputationPhishing chain : email reçu → URL cliquée → drop endpoint
IdentityEntra ID, Active Directory, Oktalogins, MFA, role assumption, anomalies geoGeo-impossible login → endpoint impacté
CloudAWS CloudTrail, Azure Activity, GCP AuditIAM API calls, resource creation, key accessiam:CreateAccessKey rare → mass S3 download
NetworkNDR (Vectra, Darktrace, ExtraHop), NGFW logsflows, JA3/JA4, DNS, TLS metadataBeaconing C2 corrélé avec process endpoint
CASB / DLPMicrosoft Purview, Netskope, Zscalerdata movement, classificationSensitive doc upload externe + identity anomaly
OT / IoTClaroty, Nozomi, DragosOT protocols (Modbus, S7), assetsOT lateral movement post-IT compromise
Web / SaaSWAF, CASB SaaS auditlogins SaaS, OAuth grants, API callsOAuth consent phishing → SaaS exfil

L'angle corrélation cross-domain est ce qui distingue le XDR du EDR. Exemple concret de chaîne détection 2026 corrélée nativement par Microsoft Defender XDR :

  1. Email : utilisateur reçoit phishing email avec attachment invoice.html.
  2. Endpoint : utilisateur ouvre l'attachment, mshta.exe spawn, télécharge stage 2 via certutil.
  3. Identity : credentials volées, login Entra ID depuis IP UE puis 4 minutes après depuis IP Asie (geo-impossible).
  4. Cloud : iam:CreateAccessKey exécuté sur le compte usurpé, listing S3 buckets sensibles.
  5. Email (rebound) : règle Outlook auto-forward créée pour exfiltration silencieuse.

Sans XDR, ces 5 signaux apparaissent dans 5 consoles différentes, à 5 analystes potentiellement différents, avec 5 timestamps imprécis. Avec XDR Native, c'est un seul incident consolidé avec timeline visualisée, réduction MTTR (Mean Time To Respond) typique 60-80 % par rapport à un SIEM-only legacy.

3. Native XDR vs Open XDR vs Hybrid XDR - matrice de décision

CritèreNative XDROpen XDRHybrid XDR
Définition1 vendor pour toute la stackCouche de corrélation vendor-agnostiqueEDR central + intégrations externes
VendorsMicrosoft Defender XDR, Palo Alto Cortex XDRStellar Cyber, Hunters, Devo, AnomaliCrowdStrike Falcon XDR, SentinelOne
ForceIntégration cohérente, regles vendor-testedPas de lock-in, garde stack existanteCompromis ROI/cohérence
LimiteVendor lock-in, faiblesses hors écosystèmeMaturité corrélation variable, normalisation laborieuseCouverture inégale selon source
TCO 3 ansÉlevé licences mais ops simpleModéréVariable selon stack
CibleOrg alignée single-vendor (M365 E5, PA stack)Multi-cloud sans vendor dominantOrg avec EDR existant + besoin extension
Exemple typiqueBanque alignée Microsoft 365 E5Multi-cloud SaaS-heavy startupIndustriel avec CrowdStrike + sources OT custom

Position tranchée : pour une organisation déjà alignée Microsoft 365 E5, Microsoft Defender XDR est rarement contestable en 2026, la plupart des features XDR natives sont incluses dans la licence E5, l'intégration Entra ID + Exchange + Intune + SharePoint est sans équivalent. Pour une organisation multi-cloud (AWS + GCP + multiple SaaS) sans single vendor dominant, Stellar Cyber ou Hunters Open XDR offrent un meilleur compromis. Hybrid XDR est le choix par défaut quand un EDR vendor (CrowdStrike, SentinelOne) est déjà déployé et performant, l'extension XDR est marginale en coût.

4. Leaders du marché XDR 2026

Tableau des produits dominants 2026 (sources : Gartner Magic Quadrant Endpoint Protection Platforms 2024 où XDR est inclus, Forrester Wave Extended Detection and Response 2024, IDC MarketScape 2024) :

ProduitVendorTypeForce 2026LimiteTarif indicatif
Defender XDRMicrosoftNativeIntégration M365 E5 + Sentinel + Security CopilotLock-in Microsoft, complexe sur multi-cloud~15-25 €/user/mois marginal sur E5
Cortex XDRPalo Alto NetworksNativeOriginaire du concept, mature cross-domain, NGFW intégréTarif premium, complexe à opérer80-180 €/endpoint/an
Falcon XDRCrowdStrikeHybridEDR Falcon best-in-class, AI CharlotteCoverage non-endpoint inégale50-150 €/endpoint/an
Singularity XDRSentinelOneHybridStoryline AI auto-corrélation, Purple AIMaturité hunt analyste inférieure50-130 €/endpoint/an
Vision OneTrend MicroNativeAdoption Asie-Pacifique, prix compétitifMarketing flou parfois40-100 €/endpoint/an
Cisco XDRCisco (ex-SecureX)HybridIntégration native stack Cisco (Umbrella, Talos)Lock-in Cisco, refonte récente60-150 €/endpoint/an
Trellix XDRTrellix (McAfee+FireEye)HybridCapacités héritées FireEye en huntMarque en transition50-130 €/endpoint/an
Stellar CyberStellar CyberOpenVrai vendor-agnostique, NDR + UEBA inclusAdoption marché modérée60-120 €/endpoint/an
HuntersHuntersOpenBon RoI moyen marché, datalake-styleCatalogue intégrations limitéesVariable
Devo SecurityDevoOpenDatalake high-scale, search rapideCoût scaling élevéVariable

Microsoft Defender XDR a fait un saut majeur entre 2023 et 2026 : intégration de Microsoft Sentinel dans le même workspace (annoncée Microsoft Ignite 2023), arrivée de Security Copilot (généralisé avril 2024), unification Defender for Endpoint + Defender for Office + Defender for Identity + Defender for Cloud Apps + MDE Cloud Workloads. Pour une organisation Microsoft 365 E5, c'est devenu le défaut de marché 2026 avec un écart difficile à contester pour les concurrents.

5. SIEM vs XDR - l'arbitrage 2026

Le SIEM (Splunk, Microsoft Sentinel, Elastic SIEM, IBM QRadar, Sumo Logic, Chronicle Google) reste pertinent en 2026 sur trois axes que le XDR ne couvre pas bien :

AxeForce SIEMFaiblesse XDRCas d'usage
Rétention longue1-7 ans (compliance)30-180 jours typiqueNIS2, DORA, PCI-DSS audit
Sources non couvertesMainframe, OT/SCADA legacy, app métier customXDR couvre mal le legacy non-standardBanque historique, industrie process
Corrélation custom métierRules unlimited, query SPL/KQL/EQL libreRules vendor figéesFraude transactionnelle, anomalie business
Forensics rétrospectifSearch disque cold/warm sur annéesLimité fenêtre rétentionIncident découvert N+18 mois

Conséquence opérationnelle 2026 : les organisations matures opèrent souvent les deux, avec une architecture en couches :

  1. XDR : real-time threat detection cross-domain, 30-90 jours hot.
  2. Pipeline : événements XDR + sources hors-XDR forwardés vers SIEM.
  3. SIEM : compliance retention, custom correlation, forensics long terme.

L'exception Microsoft : Defender XDR + Sentinel partagent désormais le même workspace Log Analytics depuis novembre 2023, ce qui floute la frontière. L'incident management se fait dans Defender XDR pour le real-time + temps court, dans Sentinel pour les workbooks custom et la rétention long terme. C'est la convergence la plus aboutie du marché 2026.

6. AI générative dans le XDR - Security Copilot, Charlotte AI, Purple AI

Le pivot 2024-2026 du XDR est l'intégration profonde d'AI générative pour le triage et l'investigation. Trois leaders identifiés :

OutilVendorModèle sous-jacentForceTarif 2026
Microsoft Security CopilotMicrosoftGPT-4o + modèles Microsoft Sec-SpecificIntégration Defender XDR + Sentinel + Intune + Entra~4 $/SCU à l'usage
CrowdStrike Charlotte AICrowdStrikeLLM Charlotte (proprio) sur Threat GraphFalcon Console embedded, fast queriesInclus Falcon Pro+
Palo Alto Cortex CopilotPalo Alto NetworksLLM Palo Alto + GPTIntégration Cortex XDR + NGFWInclus Cortex Pro Plus
SentinelOne Purple AISentinelOneLLM Purple AI proprioConversational hunt sur SingularityInclus Singularity AI

Capacités matures 2026 :

  1. Investigation assistée : « montre-moi tous les hosts qui ont communiqué avec cette IP dans les dernières 24h » → réponse contextuelle correcte 80-90 % du temps.
  2. Génération de KQL/SPL : description naturelle → query KQL/SPL/EQL exécutable. À toujours valider avant exécution prod.
  3. Résumé d'incident : timeline structurée + acteurs + recommandations en 2-5 secondes.
  4. Threat hunt assistance : suggestions de hypothèses basées sur les TTPs observées.

Limites observées :

  1. Hallucinations sur les requêtes ambiguës, toujours valider la query générée.
  2. Coût d'usage non négligeable, budget 2-10 k€/mois typique pour un SOC 5000 endpoints (Security Copilot SCU à l'usage).
  3. Automation de réponse (auto-isolate, auto-remediate) reste inconfortable pour la majorité des RSSI 2026, privilégier human-in-the-loop sur les actions destructives.

Position tranchée : utile pour le triage et l'investigation en 2026, prématuré pour la réponse autonome critique. Le pattern recommandé est LLM propose → analyste valide → action exécutée, pas LLM décide → action exécutée. Les premiers cas documentés de Security Copilot ou Charlotte AI qui ont auto-isolé un host critique en faux positif sont déjà publics, l'auto-remediation sur action destructive doit rester human-in-the-loop sur 12-24 mois supplémentaires.

7. MDR / MXDR - le service managé sur XDR

MDR (Managed Detection and Response) et MXDR (Managed XDR) sont des services où un SOC externe opère ton XDR/EDR 24/7. Marché en explosion 2026 due à la pénurie de talents SOC et à la complexité opérationnelle XDR.

Leaders MDR/MXDR 2026 :

VendorParticularitéTarif 2026
CrowdStrike Falcon CompleteMDR opéré par CrowdStrike sur Falcon XDR80-200 €/EP/an
Microsoft Defender ExpertsMXDR Microsoft sur Defender XDR (lancé 2024)Variable, sur quote
Sophos MDRPME-friendly, prix accessible50-120 €/EP/an
Arctic WolfConcierge model, accent SMB/midmarket US80-180 €/EP/an
Red CanaryDFIR + threat hunting fort100-250 €/EP/an
eSentireInvestigation forte, marché US/UK100-220 €/EP/an
SecureWorks Taegis MDROpen XDR Taegis + MDR80-180 €/EP/an
ExpelCustomer-first, transparence forte90-200 €/EP/an
TrustwaveMulti-stack legacy + MDRVariable

Critères de choix MDR 2026 :

CritèrePourquoiEnjeu
Souveraineté donnéesNIS2, DORA, HDS, SecNumCloudBeaucoup de MDR US ne sont pas SecNumCloud, vérifier juridiction
Couverture langueTriage et reporting en français pour FranceDisponibilité analystes FR-natifs ou bilingues
SLA 24/7Délai d'escalation : 5min, 15min, 1hVérifier le contrat
MITRE ATT&CK mappingMaturité technique du MDRDemander samples de reports
Stack supportéeEDR/XDR cibleMatch avec ton stack existant
CustomizationCustom rules, exception lists, hunt requestsNiveau de service offert

8. Erreurs fréquentes XDR et anti-patterns

ErreurSymptômeFix
Migration SIEM → XDR brutalePerte de la rétention longue complianceArchitecture en couches XDR + SIEM, pas l'un OU l'autre
Native XDR sur stack hétérogèneCouverture partielle, faux sentiment de complétudeOpen XDR ou Hybrid XDR + intégrations explicites
AI auto-réponse sur actions destructivesFaux positif → host critique isoléHuman-in-the-loop obligatoire sur isolate / kill-process
MDR sans clause DFIR claireCoût explosé en année incidentéeLire les clauses, négocier heures DFIR incluses
Pas de mapping MITRE ATT&CKCouverture invisible, pas de mesureATT&CK Navigator par source domain + règle
Pas de pipeline XDR → SIEMCompliance retention manquéeForwarding API XDR vers SIEM long-terme
Tuning baseline ignoré post-déploiementVolume alertes ingérableBaseline 4-6 semaines, exception lists par domain
Pas de validation Atomic Red Team multi-domainDétection non testéeAtomic tests + simulation phishing + identity attack chain

9. Mapping XDR avec frameworks 2026

Le XDR s'inscrit explicitement dans les référentiels de gouvernance 2026 :

  • NIST Cybersecurity Framework 2.0 (publié février 2024) : XDR couvre principalement les fonctions Detect (DE.AE Anomalies & Events, DE.CM Continuous Monitoring) et Respond (RS.AN Analysis, RS.MI Mitigation).
  • MITRE ATT&CK Enterprise v15+ (mises à jour bi-annuelles) : grille de couverture obligatoire pour tout XDR mature. Visualiser via ATT&CK Navigator par source de télémétrie.
  • NIS2 (transposée en droit français par l'ordonnance du 30 octobre 2024, entrée en vigueur reportée à 2025) : impose pour les entités essentielles et importantes des « mesures de gestion des risques » incluant détection et réponse, XDR n'est pas explicitement nommé mais répond aux exigences DE et RS.
  • DORA (Digital Operational Resilience Act, applicable 17 janvier 2025) : pour les acteurs financiers UE, impose un cadre formel de détection d'incidents, XDR + SIEM sont la stack typique conformante.
  • ISO/IEC 27001:2022 : Annex A.8.16 Monitoring activities, A.5.25-26 Information security incident management, XDR renforce la mise en œuvre.
  • SOC 2 Type II : XDR contribue aux Trust Services Criteria CC7 (System Operations, Change Management, Risk Mitigation).

10. Pour aller plus loin

11. Points clés à retenir

  • XDR = EDR cross-domain. Endpoint + email + identity + cloud + (network/OT/CASB selon vendor). Corrélation native, pas seulement agrégation.
  • Terme forgé par Nir Zuk (Palo Alto Networks) en 2018. Marché 2026 : 10-13 milliards de dollars, croissance 25-30 %/an.
  • 3 architectures : Native XDR (single vendor, lock-in + cohérence), Open XDR (vendor-agnostique, normalisation laborieuse), Hybrid XDR (EDR central + extensions).
  • 4 leaders 2026 : Microsoft Defender XDR, Palo Alto Cortex XDR, CrowdStrike Falcon XDR, SentinelOne Singularity XDR.
  • XDR ne remplace pas SIEM en 2026. Architecture en couches : XDR pour real-time cross-domain, SIEM pour compliance + retention longue + custom correlation.
  • Microsoft Defender XDR + Sentinel partagent le même workspace depuis novembre 2023, convergence la plus aboutie du marché.
  • AI générative : Microsoft Security Copilot, CrowdStrike Charlotte AI, Palo Alto Cortex Copilot, SentinelOne Purple AI. Mature pour triage/investigation, prématuré pour auto-réponse destructive.
  • Tarification 2026 : Defender XDR ~15-25 €/user/mois marginal sur M365 E5 ; Cortex XDR 80-180 €/EP/an ; Falcon XDR 50-150 €/EP/an.
  • MDR/MXDR : 80-200 €/EP/an pour SLA 24/7 + 5-15 alertes qualifiées/jour. Calcul pivot interne vs managé : ~3000 endpoints.
  • NIS2 (transposition FR octobre 2024) + DORA (UE janvier 2025) : drivers réglementaires forts pour adoption XDR + SIEM en finance et entités essentielles UE.
  • Anti-pattern n°1 : migration SIEM → XDR brutale avec perte de rétention compliance, préférer architecture en couches.
  • Anti-pattern n°2 : auto-réponse AI sur actions destructives, human-in-the-loop obligatoire en 2026.

Questions fréquentes

  • Quelle différence concrète entre Native XDR, Open XDR et Hybrid XDR ?
    **Native XDR** : un seul vendor fournit toute la stack (endpoint, email, identity, cloud, network), exemples Microsoft Defender XDR, Palo Alto Cortex XDR. Force : intégration cohérente, single console, rules vendor-tested. Limite : lock-in, faiblesse sur sources hors écosystème. **Open XDR** : couche de corrélation vendor-agnostique au-dessus de sources tierces, Stellar Cyber, Hunters, Devo, Anomali. Force : conserve la stack existante (Splunk, Defender, Crowdstrike, Okta…). Limite : maturité corrélation inégale, normalisation laborieuse. **Hybrid XDR** : un EDR central (CrowdStrike, SentinelOne) qui ingère des sources tierces via APIs. Position 2026 : Native XDR domine le marché entreprise quand l'organisation est déjà alignée Microsoft 365 E5 ou Palo Alto. Open XDR pertinent pour multi-cloud sans vendor dominant. Hybrid XDR est le compromis le plus fréquent dans la réalité.
  • XDR remplace-t-il le SIEM en 2026 ?
    **Non, mais le rôle du SIEM se réduit.** Le SIEM (Splunk, Microsoft Sentinel, Elastic, QRadar, Sumo Logic) reste pertinent pour : (1) compliance / rétention longue durée 1-7 ans (ISO 27001, PCI-DSS, NIS2 imposent souvent 12-36 mois), (2) sources non-couvertes par XDR (mainframe, OT/SCADA legacy, applications métier custom), (3) corrélation custom complexe avec règles métier internes. XDR couvre mieux la **détection temps réel cross-domain endpoint+email+identity+cloud** out-of-the-box, sans rule writing intensif. Architecture 2026 typique des grandes organisations : **XDR pour le real-time threat detection + SIEM pour compliance + custom investigations + log archival**. Beaucoup d'organisations matures opèrent les deux, avec des pipelines de pré-corrélation côté XDR puis archivage SIEM. Microsoft Sentinel a une approche convergente avec Defender XDR (single workspace partagé) qui floute la frontière.
  • Combien coûte un XDR en 2026 et comment estimer le ROI ?
    **Tarification 2026 (France, EUR HT)** : Microsoft Defender XDR Plan 2 inclus avec Microsoft 365 E5 (~57 €/user/mois licence E5), coût marginal XDR souvent ~15-25 €/user/mois si M365 E5 déjà acquis. Palo Alto Cortex XDR : 80-180 €/endpoint/an (Pro vs Pro Plus). CrowdStrike Falcon XDR : 50-150 €/endpoint/an. Stellar Cyber Open XDR : 60-120 €/endpoint/an. **ROI attendu** : réduction MTTR (Mean Time To Respond) de 60-80 % vs SIEM-only, réduction du staffing SOC tier-1 de 30-50 % (les Charlotte AI / Security Copilot automatisent le triage). Position 2026 : pour une organisation 5 000+ endpoints, XDR mature paie son coût en 12-18 mois si le SOC actuel est SIEM-only avec analystes en burnout. Pour < 500 endpoints, le calcul est moins évident, un EDR + MDR managé est souvent plus rentable.
  • L'AI générative dans le XDR (Charlotte, Copilot) tient-elle ses promesses 2026 ?
    **Partiellement.** Les capacités d'**investigation assistée** sont les plus matures en 2026 : poser une question naturelle (« montre-moi tous les hosts qui ont communiqué avec cette IP dans les 24h ») retourne une réponse contextuelle correcte dans 80-90 % des cas. **Microsoft Security Copilot** (intégré Defender XDR + Sentinel + Intune + Entra), **CrowdStrike Charlotte AI** (intégré Falcon), **Palo Alto Cortex Copilot** sont les références. Tarification : Security Copilot ~4 $/SCU/heure (Security Compute Units), facturé à l'usage. **Limites observées** : (1) hallucinations sur des requêtes ambiguës, toujours valider la requête KQL/SPL générée avant exécution sur prod ; (2) coût d'usage non négligeable sur grandes investigations, budget 2-10 k€/mois typique pour un SOC 5000 endpoints ; (3) automation de réponse (auto-isolate, auto-remediate) reste inconfortable pour la plupart des RSSI 2026, privilégier human-in-the-loop. Position : utile pour le triage et l'investigation, prématuré pour la réponse autonome.
  • MDR vs XDR opéré en interne : comment décider en 2026 ?
    **Décision basée sur 4 critères**. (1) **Taille équipe SOC** : <5 ETP → MDR obligatoire, le 24/7 est intenable en interne ; 5-15 ETP → XDR opéré en interne avec astreinte ; >15 ETP → XDR + detection engineering interne profond + hunt. (2) **Maturité ATT&CK** : si l'équipe ne mappe pas ses règles à MITRE ATT&CK explicitement, MDR fournit le mapping out-of-the-box. (3) **Souveraineté / compliance** : NIS2 (UE, applicable octobre 2024), DORA (UE, applicable janvier 2025), HDS (santé France), SecNumCloud (ANSSI) imposent souvent que les données SOC restent dans une juridiction / un fournisseur précis, beaucoup de MDR US (Arctic Wolf, eSentire) ne sont pas SecNumCloud. (4) **Coût** : MDR 80-200 €/EP/an + souvent setup fee 10-50 k€. XDR opéré en interne : licence 30-150 €/EP/an + 5-20 ETP SOC selon parc. Calcul pivot ~3000 endpoints. Recommandation : MDR pour PME/ETI < 3000 EP, XDR interne au-delà avec MDR partiel sur shifts nuit/weekend.
Découvrir le bootcamp DevSecOps

Écrit par

Naim Aouaichia

Cyber Security Engineer et fondateur de Zeroday Cyber Academy

Ingénieur cybersécurité avec un parcours hybride : développement, DevOps Capgemini, DevSecOps IN Groupe (sécurité des documents d'identité régaliens), audits CAC 40. Fondateur de Hash24Security et Zeroday Cyber Academy. Présence LinkedIn 43 000 abonnés, Substack Zeroday Notes 23 000 abonnés.

À lire également