Ressources · Guide · MDR · 1 min de lecture

Qu'est-ce qu'un EDR (Endpoint Detection and Response)

En bref

Un EDR (Endpoint Detection and Response) est une technologie qui surveille les endpoints (PC, serveurs, portables), détecte les comportements malveillants par analyse comportementale et permet des actions de réponse comme l'isolation de l'hôte et l'arrêt de processus. Contrairement à l'antivirus, qui bloque les menaces connues par signature, l'EDR détecte aussi les attaques inconnues à partir de leur comportement. Mais il reste un outil : quelqu'un doit l'opérer 24·7.

L’endpoint, premier champ de bataille

L’endpoint est l’endroit où une attaque se concrétise : exécution de code, élévation de privilèges, mouvement latéral. L’EDR est né pour voir ce que l’antivirus ne voit pas : non seulement les fichiers malveillants connus, mais les comportements suspects, même issus de menaces jamais observées auparavant.

Ce que fait un EDR

Il enregistre en continu l’activité des endpoints (processus, réseau, fichiers, registre), applique une analyse comportementale et permet des actions de réponse : isoler l’hôte, arrêter des processus, collecter des artefacts. C’est puissant, mais c’est un outil à opérer.

La limite : les alertes ne se traitent pas toutes seules

Un EDR produit des signaux ; quelqu’un doit les vérifier et agir, à toute heure. C’est là que l’EDR seul ne suffit pas et que le service géré intervient : le MDR opère l’EDR avec des analystes 24·7, transformant les alertes en incidents clôturés. Le service : MDR Fortgale.

Comparatif

Antivirus vs EDR vs MDR

AntivirusEDRMDR
DétecteMenaces connues (signatures)Aussi les inconnues (comportement)EDR + identité, cloud, réseau + intelligence
RéponseBlocage de fichierIsolation de l'hôte, arrêt de processusRéponse gérée 24·7
Qui l'opèreAutomatiqueVotre équipeAnalystes du fournisseur
Preuve de terrain · au-delà de l'alerte

Lors de l'Operation Storming Tide, les signaux techniques étaient là : la différence a été faite par celui qui les a interprétés et a contenu l'attaque. Un EDR sans analystes reste une source d'alertes non traitées.

Lire l'analyse →
FAQ

Questions fréquentes.

Quelle est la différence entre EDR et antivirus ?

L'antivirus bloque les menaces connues par signature. L'EDR utilise l'analyse comportementale pour détecter aussi les attaques inconnues et permet la réponse (isolation, arrêt). L'EDR voit ce que l'antivirus ne voit pas, mais il exige une interprétation.

EDR et MDR sont-ils la même chose ?

Non : l'EDR est la technologie, le MDR est le service qui l'opère avec des analystes 24·7 (et pas seulement sur l'endpoint). Voir Qu'est-ce que le MDR et MDR vs EDR vs XDR.

L'EDR arrête-t-il les ransomwares ?

Il peut intercepter les phases antérieures au chiffrement (mouvement latéral, outils offensifs) si quelqu'un agit sur les alertes à temps. Seul, il lève des signaux ; il faut une équipe qui les transforme en containment.

Faut-il une équipe pour faire fonctionner un EDR ?

Oui. Un EDR que personne ne surveille 24·7 produit des alertes qui restent inentendues, surtout la nuit et le week-end, quand surviennent la plupart des attaques. C'est pour cela que le MDR existe.

Comment Fortgale le délivre

De la théorie à une opération réelle.

Ce que vous lisez ici, Fortgale le met en œuvre chaque jour avec un SOC européen 24·7·365 : 287 outils et acteurs profilés, <30 min de confinement médian. Voir le service : Service MDR Fortgale.

Ressources liées : Qu'est-ce que le MDR · MDR vs EDR vs XDR

Approfondir avec un analyste ?

Une conversation technique, pas un funnel.

Laissez vos coordonnées : un analyste vous rappelle sous un jour ouvré. SOC européen, même fuseau horaire, intelligence propriétaire sur les acteurs actifs dans l'UE.

Délai de réponse : < 1 jour ouvré.