Défensif

EDR (Endpoint Detection and Response)

Définition

l'EDR est une solution installée sur les terminaux (postes, serveurs) qui collecte la télémétrie d'exécution - processus, appels système, connexions réseau, modifications de registre - et détecte les comportements malveillants par analyse comportementale, pas seulement par signature. Il permet aussi de réagir à distance : isoler la machine du réseau, tuer un processus, mettre un fichier en quarantaine.

Pourquoi c'est important

l'antivirus classique, fondé sur les signatures, ne voit pas les attaques sans fichier (living-off-the-land, PowerShell) ni les malwares polymorphes. L'EDR détecte la technique plutôt que l'outil, ce qui le rend efficace contre des menaces jamais observées. Attention toutefois : un EDR mal déployé ou sans supervision humaine produit des alertes ignorées, et les attaquants développent des techniques de contournement (EDR bypass, désactivation du pilote). En 2026, la télémétrie EDR alimente aussi les modèles de détection dopés à l'IA.

Comment AOCSI l'adresse

dans le cadre de notre SOC et MDR externalisés, nous déployons, réglons et surveillons l'EDR en continu, avec un mapping systématique des détections sur MITRE ATT&CK. Un outil non exploité ne protège personne : nous opérons la couche humaine derrière la console.

De la définition à la protection.

Nos experts transforment ces concepts en sécurité concrète pour votre organisation.