Qu'est-ce qu'un EDR ?
L'EDR (Endpoint Detection and Response) est un outil de securite qui surveille les postes de travail et serveurs en temps reel. Contrairement a l'antivirus traditionnel qui compare les fichiers a une base de signatures, l'EDR analyse le comportement des processus. Il detecte les actions anormales : un programme qui chiffre des fichiers en masse, un script PowerShell qui tente de se connecter a un serveur externe, un processus qui desactive le pare-feu.
Quand l'EDR detecte un comportement suspect, il reagit : isolation du poste, blocage du processus, alerte a l'equipe IT. Cette reaction peut etre automatique ou manuelle, selon la configuration.
Pourquoi les PME ont besoin d'un EDR
L'ANSSI note dans son panorama de la cybermenace 2024 que les PME et ETI representent 34 % des victimes de ransomware en France. Les attaquants ciblent les structures dont la securite repose sur un antivirus classique et un pare-feu perimetre. L'antivirus ne detecte que les menaces connues. Les attaques modernes utilisent des techniques qui echappent aux signatures : Living off the Land (utilisation d'outils systeme legitimes), malware polymorphe, attaques fileless.
Un EDR comble cette lacune. Il observe ce que font les programmes, pas ce qu'ils sont. C'est la difference entre verifier une piece d'identite et surveiller le comportement d'une personne dans un batiment.
7 criteres pour choisir votre EDR
Detection comportementale
Un EDR analyse le comportement des processus en temps reel. Il repere les actions suspectes (chiffrement massif de fichiers, exfiltration de donnees) sans dependre de signatures connues. Pour une PME, cette approche bloque les menaces zero-day que les antivirus classiques laissent passer.
Reponse automatisee
L'EDR doit isoler un poste compromis du reseau en quelques secondes, sans intervention humaine. Cette capacite limite la propagation d'un ransomware a un seul poste au lieu de contaminer tout le SI.
Console cloud centralisee
Une PME n'a pas de SOC interne. La console cloud permet a votre prestataire IT de superviser tous vos postes depuis une interface unique, de deployer les politiques de securite et de reagir aux alertes a distance.
Integration avec Microsoft 365
La majorite des PME utilisent Microsoft 365. L'EDR doit s'integrer avec Defender for Endpoint ou completer ses capacites pour couvrir les emails, le stockage OneDrive et les acces conditionnels Azure AD.
Simplicite de deploiement
Un agent leger, installable en quelques minutes par poste, sans redemarrage. Le deploiement doit etre possible via GPO, Intune ou un RMM. Une PME de 30 postes doit pouvoir etre protegee en une demi-journee.
Rapport et conformite
L'EDR doit fournir des rapports exploitables : incidents detectes, postes vulnerables, statut des mises a jour. Ces rapports alimentent le comite de pilotage IT et facilitent la conformite NIS2 et RGPD.
Cout par poste adapte aux PME
Comptez 3 a 8 euros par poste et par mois pour un EDR professionnel. Au-dela, la solution est surdimensionnee pour une PME. En dessous, les capacites de detection sont souvent insuffisantes.
Top 5 des solutions EDR pour PME
| Solution | Prix indicatif | Point fort |
|---|---|---|
| SentinelOne Singularity | 5 a 8 euros/poste/mois | IA autonome, isolation automatique, console cloud intuitive |
| CrowdStrike Falcon Go | 5 a 7 euros/poste/mois | Detection cloud native, faible impact sur les performances |
| Microsoft Defender for Endpoint P1 | Inclus dans M365 Business Premium | Integration native M365, cout zero si deja abonne |
| Sophos Intercept X | 3 a 6 euros/poste/mois | Anti-ransomware CryptoGuard, MDR integre en option |
| ESET PROTECT | 3 a 5 euros/poste/mois | Leger, adapte aux petites structures, console unifiee |
Cas Sicollab : deploiement EDR pour une PME industrielle
Une PME industrielle de 45 postes pres de Clermont-Ferrand nous a confie le renforcement de sa securite apres une tentative de ransomware bloquee de justesse par un collaborateur vigilant. L'antivirus en place n'avait rien detecte.
Nous avons deploye SentinelOne sur l'ensemble du parc en une demi-journee. Les deux premieres semaines, l'EDR a detecte trois comportements suspects : un script PowerShell non autorise, une tentative de connexion RDP depuis un poste non prevu, et un programme qui tentait de modifier des cles de registre critiques. Trois alertes, trois blocages automatiques, zero impact sur la production.
Le cout : 270 euros par mois pour 45 postes, integre dans le plan cybersecurite PME de Sicollab. Pour en savoir plus sur la reponse aux incidents, consultez notre protocole ransomware PME.
Questions frequentes
Quelle difference entre EDR et antivirus ?
L'antivirus compare les fichiers a une base de signatures connues. L'EDR analyse le comportement des processus en temps reel et reagit aux menaces inconnues. L'antivirus detecte ce qu'il connait ; l'EDR detecte ce qui est anormal.
Un EDR suffit-il a proteger une PME ?
Non. L'EDR protege les postes de travail et serveurs. Il doit etre combine avec un filtrage email, le MFA, des sauvegardes testees et une sensibilisation des collaborateurs. C'est une brique d'une strategie de defense en profondeur.
Combien coute un EDR pour 30 postes ?
Entre 90 et 240 euros par mois pour 30 postes, soit 1 080 a 2 880 euros par an. Microsoft Defender for Endpoint P1 est inclus dans Microsoft 365 Business Premium (20,60 euros/user/mois).
Faut-il un prestataire pour gerer un EDR ?
Oui, sauf si vous avez un responsable IT interne forme. Un EDR genere des alertes qu'il faut analyser, qualifier et traiter. Un prestataire en infogerance ou un service MDR assure cette surveillance.
EDR ou MDR : que choisir pour une PME ?
L'EDR est l'outil, le MDR est le service. Le MDR combine l'EDR avec une equipe d'analystes qui surveille et reagit 24/7. Pour une PME sans equipe securite, le MDR est le choix le plus adapte.
Article rédigé par Quentin Beauger, fondateur de Sicollab et DSI pour PME en Auvergne.
Protegez vos postes avec un EDR adapte
Diagnostic gratuit de 30 minutes. On evalue votre niveau de protection et on vous recommande la solution adaptee a votre PME.
Planifier un diagnostic gratuit