EDR / XDR : détection et réponse sur les endpoints

EDR / XDR : détection et réponse sur les endpoints

L’EDR (Endpoint Detection & Response) est l’un des outils les plus efficaces en SecOps, parce qu’il se place là où l’attaque se déroule souvent : les postes et serveurs.

Mais un EDR n’est pas une baguette magique : il faut savoir quoi en attendre, comment le déployer et comment l’opérer.

1) Antivirus vs EDR (et pourquoi ça ne suffit plus)

  • Antivirus classique : basé sur signatures, efficace contre le “connu”.
  • EDR : collecte de télémétrie (process, réseau, persistance) + détections comportementales + réponse (isoler, tuer un process, quarantaine).

Un ransomware “moderne” est souvent détecté par comportement (chiffrement massif, outils admin détournés), pas par signature.

2) XDR : élargir la corrélation

XDR (Extended Detection & Response) corrèle :

  • endpoints
  • identité
  • email
  • réseau
  • cloud

En pratique, XDR est intéressant si tu peux :

  • lier un phishing → login anormal → exécution malware → exfiltration

Sinon, tu fais du “multi‑outil” sans vision globale.

3) Déploiement : les pièges

Pièges classiques :

  • agents pas partout (angles morts)
  • exclusions trop larges (“ça casse une app”)
  • pas de gestion des serveurs (prod) vs postes (users)
  • pas de plan de réponse (on détecte, mais on ne sait pas quoi faire)

Bon début :

  • couvrir d’abord les actifs critiques
  • définir un “baseline” (ce qui est normal)
  • documenter 5 actions de réponse (isolation, kill, rollback, collecte)

4) Les alertes les plus utiles

Les signaux “haute valeur” :

  • exécution PowerShell encodée / suspicious command line
  • création de persistance (registry run keys, services)
  • dump credentials (LSASS)
  • tools LOLBins (living off the land)
  • connexions sortantes anormales

Et surtout : corréler avec identité (qui, d’où, quand).

5) Réponse : containment d’abord

Lors d’un incident, l’EDR sert à :

  • isoler l’hôte
  • stopper un process
  • bloquer une signature/IOC
  • collecter les artefacts

La règle : contenir avant d’“éradiquer”, sinon tu perds des preuves et tu déclenches l’attaquant.

Conclusion

EDR/XDR est un levier énorme pour la détection/réponse, mais il doit être :

  • bien déployé (coverage)
  • bien opéré (triage, runbooks)
  • bien corrélé (identité, réseau, cloud)

Prochain : vulnérabilités, CVE et patching.

Articles recommandés

Article

Conformité sécurité : RGPD, NIS2, ISO 27001 (pragmatique)

04 December 2025
Comprendre ce que demandent RGPD, NIS2 et ISO 27001, comment éviter la paperasse inutile, et transformer la conformité e...
 Article

DevSecOps : SAST, DAST, SBOM et sécurité dans la CI/CD

02 December 2025
Intégrer la sécurité au pipeline : scans de dépendances, SAST/DAST, secrets scanning, SBOM, politiques, et gates qualité...
 Article

Sécurité cloud : CSPM, CWPP et erreurs de configuration

27 November 2025
Dans le cloud, la majorité des incidents viennent de la config : IAM, stockage public, clés. CSPM/CWPP expliqués et chec...
 Article

Incident Response : runbooks, containment et post‑mortem

25 November 2025
Que faire quand ça arrive : triage, containment, éradication, restauration, communication, et un post‑mortem utile. Un g...