Comment fonctionne un EDR, outil essentiel à la sécurité de votre organisation ?

29 mai 2026 | 9 min de lecture

Qu’est-ce qu’un EDR ?

Un Endpoint Detection and Response (EDR) est une solution de sécurité informatique qui a pour but de surveiller en temps réel les terminaux (ordinateurs, serveurs, mobiles) afin d’identifier le plus rapidement possible tout incident de sécurité (événement compromettant ou pouvant compromettre la sécurité du SI). Pour cela, l’EDR collecte et analyse en continu des données sur les terminaux. Lorsque qu’un incident est identifié, il peut remonter une alerte aux équipes de sécurité, ou directement répondre à l’incident. Il propose également des fonctionnalités de forensic pour faciliter les investigations.

En plus de permettre aux équipes de sécurité d’avoir une visibilité en temps réel sur tous les terminaux du SI (ou d’un périmètre défini du SI), elles peuvent en cas d’attaque agir rapidement et efficacement afin de limiter les impacts de cette dernière, qu’elle soit externe ou interne.

Comment fonctionne un EDR ?

Un EDR est composé d’agents déployés sur les terminaux, et d’une console d’administration pour rassembler les données collectées par les agents, mener des analyses et afficher les résultats. Ces données sont par exemple : les processus en cours sur les terminaux, les modifications de configuration, les commandes et les fichiers exécutés, etc… À partir de celles-ci, une analyse est effectuée pour détecter les incidents. Plusieurs techniques d’analyse sont utilisées afin de maximiser les capacités de détection et de qualification des incidents :

La détection par signature : Il s’agit de la technique de détection la plus basique. Elle compare l’empreinte binaire d’un fichier aux empreintes binaires des fichiers malveillants connus. Cette technique est facilement contournable et permet uniquement de repérer des fichiers malveillants. Utilisée seule, elle n’offre pas un grand niveau de protection.
La détection par règles yara : Ces règles permettent de détecter des morceaux de code malveillant dans un fichier. Toutefois, cette technique est inefficace contre des attaques dites « fileless » qui n’utilisent que la mémoire vive d’un terminal pour le compromettre. C’est pourquoi d’autres méthodes de détection sont utilisées en complément des règles yara.
La détection par règles sigma : Ces règles permettent d’identifier des comportements suspects qui laissent penser qu’une attaque est en cours. Par exemple l’EDR peut émettre une alerte en cas d’exécution d’une commande illégitime ou en cas de téléchargement de fichiers depuis un serveur situé dans un pays réputé pour le cyber crime (Russie, Corée du Nord, Chine…).
Détection par IoA (indicators of attack) : Cette méthode complète les règles sigma en se basant sur les TTP (Tactics Technics and Procedure) employés par les attaquants. L’EDR va comparer les actions en cours sur un terminal avec les actions réalisées lors de cyberattaques connues et émettre une alerte en cas de trop forte similitude.

Toutes ces signatures, règles ou IoA sont régulièrement tenus à jour par les éditeurs d’EDR.

En plus des ensembles de règles fournis par les éditeurs, il est possible d’ajouter ses propres règles de détection d’incidents. Communément appelées CDR (Custom Detection Rules), elles sont très utiles pour faire face à des situations inhabituelles nécessitant de mettre en place des mesures de détection temporaires et adéquates. Par exemple, si le domaine de mail d’un interlocuteur (client, fournisseur…) est compromis, il est pertinent d’ajouter une CDR pour alerter les analystes à chaque réception de mail provenant de cet interlocuteur. Cela permet ainsi de diminuer le risque de phishing.

Réponse aux incidents

L’EDR se base sur un ensemble de règles configurées par l’équipe de sécurité informatique. Lorsque qu’un incident est identifié, il y répond en appliquant la règle définie pour ce type d’incidents. Voici quelques exemples d’actions de réponse :

Isoler un terminal du réseau de l’organisation ;
Interrompre les processus en cours sur un terminal ;
Bloquer l’exécution d’une pièce jointe d’un e-mail ou un fichier malveillant ;
Remonter une alerte (avec un ensemble de logs et d’indicateurs) aux équipes de sécurité. Ces alertes contiennent un niveau de criticité afin de prioriser le travail des équipes de sécurité qui prendront alors en charge la remédiation de l’incident.

Cette automatisation permet de traiter de façon rapide un grand volume d’incidents afin de soulager la charge de travail des équipes sécurité.

De plus, il est possible d’interfacer un EDR avec un SIEM (Security Information and Event Management) pour centraliser les alertes ou avec un SOAR (Security Orchestration, Automation and Response) pour superviser les actions de remédiation.

Sources :
Qu’est-ce que l’EDR ?
Comment les virus sont détectés par les EDR

Les limites d’un EDR

L’EDR est une solution qui se focalise sur la protection des terminaux. Cela fournit déjà un bon niveau de protection puisque beaucoup d’attaques commencent par la compromission d’un terminal (via du phishing par exemple). Cependant, les EDR sont limités contre les attaques :

Visant un équipement sur lequel l’agent de l’EDR n’est pas déployé (appareil BYOD, appareil IoT incompatible avec l’EDR…).
Visant des services d’accès distants tels que les VPN ou les applications permettant d’accéder à un bureau à distance comme Citrix.
Passant par une application hébergée chez un fournisseur de service cloud ou passant par le SI d’un prestataire.

De plus, il faut avoir en tête que les données collectées par l’EDR doivent être bien sécurisées car il s’agit de données techniques très complètes qui pourraient offrir un avantage aux cybercriminels s’ils y accèdent.

Il est également important de bien configurer l’EDR pour augmenter l’efficacité de ce dernier et diminuer la charge de travail des équipes de sécurité informatique. Un bon paramétrage permet de limiter le nombre de faux positifs ou encore d’automatiser davantage de tâches de remédiation.

Enfin, les groupes d’attaquants et les équipes Red Team ont mis en place des outils pour neutraliser les EDR. Parmi eux, deux sont particulièrement utilisés : l’EDR Silencer et l’EDR Killer.

L’EDR Silencer est un outil qui a pour objectif d’empêcher l’agent de remonter des données vers la console d’administration, bloquant ainsi toute visibilité sur l’activité en cours du terminal. Pour cela, l’outil exploite une vulnérabilité de Windows Filtering Platform (WFP), un service proposé par Microsoft permettant de filtrer le trafic réseau. Ainsi, l’outil bloque le trafic sortant du terminal et coupe toute remontée d’information de l’agent vers le portail d’administration.
L’EDR Killer est un outil qui a pour but de désactiver l’EDR sur le terminal ciblé. Pour cela, l’outil va identifier (ou installer) un driver vulnérable afin de forcer le système d’exploitation à désactiver l’EDR en interrompant le processus en cours sur la machine. Un driver est un composant logiciel qui permet au système d’exploitation de communiquer avec un appareil ou une application.

*Schéma simplifié du fonctionnement de l’EDR Killer*

Pour les cybercriminels, les attaques sur les EDR ne constituent pas un but final, mais plutôt une étape dans le cadre d’une attaque de grande envergure ou dans le dépôt d’un ransomware sur un terminal.

Sources :
Qu’est-ce que la détection et la réponse aux menaces sur les terminaux (EDR) ?
MITRE ATT&CK®
EDR killers get popular. Here is how to stop them.
Silent Threat: Red Team Tool EDRSilencer Disrupting Endpoint Security Solutions

Quelles sont nos convictions sur les EDR ?

En résumé, l’EDR est un équipement essentiel pour fournir à une organisation un bon niveau de protection contre les menaces cyber mais il ne peut pas protéger un SI tout seul.

Pour être plus complet, l’EDR est un outil moderne présentant des capacités évoluées de détection d’incidents de sécurité en temps réel sur les points de terminaison. Dans ce but, il combine notamment la détection par signature, la détection de code malveillant et la détection comportementale.

Lorsque qu’une suspicion de compromission est détectée, l’EDR peut permettre aux analystes de prendre en main la machine ou encore d’isoler le terminal ciblé et ainsi contenir l’éventuelle propagation de l’attaque. Par ailleurs, il permet lors d’une investigation, d’apporter une grande visibilité sur le déroulé d’un incident.

Le déploiement d’un EDR permet donc d’améliorer considérablement la maîtrise du risque cyber sur les postes de travail et les serveurs d’un SI.

Pour aller plus loin

Grâce à cet article, vous avez découvert ou redécouvert le fonctionnement et les limites de l’EDR. Si vous voulez maintenant connaître la différence en entre celui-ci et un EPP, EDR, NDR ou XDR, cliquez ici.

Ecrit par Matthieu BIZIERE

Dans cette catégorie

Vol de données, prélude d’une seconde attaque ?

Compromission de KA-SAT : comprendre une attaque venue du segment sol

La Purple team : une révolution qui surpasse les audits classiques

L’OSINT : comprendre l’exploitation des données en sources ouvertes

Cybersécurité