Microdiag
Microdiag
Microdiag
Fonctionnalités Pour qui Tarifs Outils Blog FAQ À propos
Connexion Essai gratuit
Sécurité

EDR vs antivirus : quelle différence et lequel choisir pour votre PME ?

Antivirus, EDR, XDR, SIEM... la terminologie sécurité est un maquis. Ce guide démêle clairement ce que fait chaque outil, pourquoi ils sont complémentaires et comment choisir sans se ruiner.

Équipe Sentinel 20 mai 2026 10 min
Sommaire

Si vous cherchez à renforcer la sécurité de vos postes Windows, vous avez probablement rencontré les termes “EDR”, “XDR”, “SIEM” et “antivirus de nouvelle génération” — souvent utilisés de manière interchangeable par les commerciaux. Ils ne désignent pas la même chose. Ce guide clarifie chaque concept et vous aide à décider ce dont vous avez réellement besoin.

L’antivirus classique — ce qu’il fait (et ce qu’il ne fait pas)

Un antivirus traditionnel fonctionne principalement par comparaison de signatures. Il maintient une base de données de “empreintes” de fichiers malveillants connus. À chaque fichier téléchargé, exécuté ou reçu par email, il compare son empreinte à cette base.

Ce que l’antivirus fait bien

  • Bloquer les virus, vers et trojans connus
  • Scanner les emails et pièces jointes
  • Détecter les logiciels potentiellement indésirables (PUP)
  • Protection en temps réel contre les fichiers malveillants connus

Windows Defender, inclus dans Windows 10 et 11, obtient un score de 6/6 sur la protection contre les menaces connues dans les tests AV-Test 2025. Pour la grande majorité des menaces “de masse”, il est suffisant.

Ce que l’antivirus ne voit pas

C’est là que ça devient intéressant. Les attaques modernes sophistiquées contournent systématiquement la détection par signature :

Attaques fileless : le code malveillant s’exécute entièrement en mémoire RAM, sans jamais écrire de fichier sur le disque. PowerShell, WMI et d’autres outils Windows légitimes sont utilisés comme vecteurs. Il n’y a rien à “scanner”.

Living off the Land (LotL) : l’attaquant utilise des outils Windows légitimes (certutil.exe, mshta.exe, rundll32.exe) pour exécuter ses commandes. L’antivirus voit des exécutables Windows signés par Microsoft — rien d’anormal.

Zero-day : vulnérabilités exploitées avant qu’une signature existe. Par définition, l’antivirus ne les connaît pas encore.

Chiffrement et obfuscation : les malwares professionnels sont vendus avec des “crypters” qui modifient continuellement leur signature pour éviter la détection.

Chiffre clé : 70 % des attaques qui ont abouti à une compromission en 2025 n’ont utilisé aucun fichier malveillant détectable par un antivirus. Source : CrowdStrike Global Threat Report 2025.

L’EDR — la détection par comportement

Un EDR (Endpoint Detection & Response) adopte une approche radicalement différente : il observe ce que font les processus, pas ce qu’ils sont.

Au lieu de chercher des signatures, l’EDR enregistre en continu des événements sur le poste :

  • Quels processus s’exécutent, avec quels arguments
  • Quels fichiers sont créés, modifiés ou supprimés, et par qui
  • Quelles connexions réseau sont établies
  • Quelles clés de registre sont modifiées
  • Quels processus spawner d’autres processus

Il applique ensuite des règles de détection et des modèles comportementaux pour identifier ce qui est suspect.

Exemple concret : le ransomware fileless

Voici comment un EDR détecte une attaque que l’antivirus rate complètement :

  1. Un email contient un lien vers un document Word avec une macro malveillante
  2. L’utilisateur l’ouvre, active la macro
  3. La macro lance PowerShell avec un script encodé en Base64
  4. PowerShell télécharge le payload en mémoire et l’exécute
  5. Le payload commence à chiffrer les fichiers de l’utilisateur

L’antivirus voit : Word légitime, PowerShell légitime, pas de fichier malveillant → rien à signaler.

L’EDR voit : Word a spawné PowerShell (comportement inhabituel) → PowerShell a exécuté un script encodé Base64 (technique d’obfuscation connue) → un processus inconnu chiffre massivement des fichiers (comportement ransomware) → ALERTE et isolation automatique du poste.

Les capacités d’un EDR moderne

  • Détection comportementale : règles YARA, modèles ML, corrélation d’événements
  • Response automatique : isolation réseau du poste en cas de détection critique
  • Investigation forensique : timeline complète des événements pour comprendre comment l’attaque s’est passée
  • Threat hunting : recherche proactive de compromissions passées dans les logs
  • MITRE ATT&CK mapping : chaque détection est corrélée au framework de techniques d’attaque

Sentinelle Pro — EDR accessible pour PME

Agent Wazuh intégré avec corrélation SIEM et règles préconfigurées pour les menaces courantes. Aucune infrastructure SOC requise.

Découvrir Sentinelle Pro →

XDR, SIEM, SOAR — les autres acronymes expliqués

XDR (Extended Detection & Response)

L’EDR couvre les endpoints (postes, serveurs). Le XDR étend la corrélation à tous les vecteurs : email, réseau, cloud, applications SaaS. Un XDR peut détecter qu’un email de phishing reçu sur Microsoft 365 a conduit à une connexion suspecte depuis un poste, puis à une exfiltration de données vers un service cloud.

Pour qui : structures avec une vraie équipe sécurité, budget de 10–30€/poste/mois.

SIEM (Security Information and Event Management)

Le SIEM collecte et corrèle les logs de tous les systèmes (pare-feu, serveurs, applications, postes) pour détecter des patterns d’attaque qui seraient invisibles système par système.

Exemple : un SIEM peut détecter qu’un même compte a tenté de se connecter depuis 5 pays différents en 10 minutes — chose qu’aucun système individuel ne verrait.

Pour qui : PME avec plus de 20 postes et au moins un admin IT. Sentinelle Pro intègre Wazuh comme SIEM léger précisément pour rendre cette capacité accessible aux PME sans budget SOC.

SOAR (Security Orchestration, Automation and Response)

Automatise les réponses aux incidents : quand l’EDR détecte une menace, le SOAR peut automatiquement isoler le poste, réinitialiser le mot de passe compromis, notifier le responsable IT et créer un ticket. Réservé aux grandes structures avec des SOC dédiés.

Tableau comparatif

CapacitéAntivirusEDRXDRSIEM
Détection par signature
Détection comportementalePartielPartiel
Attaques filelessPartiel
Corrélation multi-systèmes
Investigation forensique
Isolation automatique
Coût mensuel / poste0–5 €3–15 €10–30 €Variable
Complexité d’administrationFaibleMoyenneÉlevéeTrès élevée

Ce dont votre PME a réellement besoin

La réponse honnête : ça dépend de votre niveau de risque.

Vous n’avez probablement besoin que d’un antivirus si :

  • Vous êtes indépendant ou freelance avec un seul poste
  • Vous ne traitez aucune donnée sensible de clients
  • Vos sauvegardes sont à jour et testées
  • Vous n’avez aucun accès distant ouvert (RDP, VPN)

Dans ce cas, Windows Defender + Microdiag Essentiel couvre vos besoins : surveillance continue, alertes CVE, état SMART, mises à jour… tout ce que l’antivirus ne voit pas en dehors des fichiers malveillants.

Vous avez besoin d’un EDR si :

  • Votre entreprise traite des données personnelles de clients (RGPD oblige à une protection adaptée)
  • Vous avez plus de 5 postes interconnectés
  • Vos collaborateurs accèdent à distance (VPN, RDP, TeamViewer)
  • Vous êtes dans un secteur réglementé (santé, finance, juridique, comptabilité)
  • Vous avez subi ou craignez des attaques ciblées

Sentinelle Pro intègre l’agent Wazuh — un EDR open-source de niveau entreprise, utilisé par des milliers d’organisations dans le monde — avec une interface simplifiée et des règles de détection préconfigurées pour les PME. Pas de SOC requis, pas de compétences en sécurité avancées.

Les signaux qui indiquent que vous devriez agir maintenant

  • Un collaborateur a cliqué sur un lien suspect “mais rien ne s’est passé” → l’attaquant est peut-être encore dans votre réseau
  • Vous avez des postes avec des accès admin partagés entre plusieurs utilisateurs
  • Votre dernier audit de sécurité date de plus de 6 mois
  • Vous ne savez pas exactement quels logiciels sont installés sur tous vos postes

Un Audit Flash Microdiag vous donne une photographie complète de l’état de chaque poste en 3 minutes.

L’approche recommandée pour une PME française en 2026

Sur la base des incidents traités et du contexte réglementaire actuel :

Socle minimum (toutes structures) :

  • Windows Defender actif + signatures à jour
  • Microdiag Sentinel Essentiel (surveillance continue, CVE, mises à jour)
  • Sauvegardes testées régulièrement

Protection renforcée (>5 postes, données sensibles) :

Protection maximale (secteurs critiques, multi-sites) :

    • Microdiag Business avec Tour de Contrôle centralisé
    • SLA de restauration 4h contractuel
    • Audit sécurité trimestriel par un RSSI externe

Questions fréquentes

L’EDR remplace-t-il l’antivirus ?

Non — ils sont complémentaires. L’antivirus est plus efficace sur les menaces de masse et les fichiers malveillants connus. L’EDR couvre les attaques sophistiquées et les comportements anormaux. La plupart des EDR modernes intègrent également une couche de détection par signature, mais la désinstallation de l’antivirus n’est pas recommandée.

Wazuh est-il vraiment un EDR ?

Wazuh est classiquement décrit comme un HIDS (Host-based Intrusion Detection System) et SIEM. Il intègre des capacités EDR via ses modules de surveillance des processus, analyse FIM (File Integrity Monitoring) et corrélation de logs. La distinction est surtout marketing — en pratique, Wazuh avec les règles appropriées détecte les mêmes comportements qu’un EDR commercial.

Mon assurance cyber exige-t-elle un EDR ?

De plus en plus d’assureurs cyber posent la question explicitement depuis 2024. Certains appliquent une décote de prime si vous disposez d’un EDR documenté, ou refusent de couvrir certains incidents si aucune détection comportementale n’était en place. Vérifiez les conditions de votre contrat.

Combien de temps pour déployer Sentinelle Pro sur 10 postes ?

Le déploiement de l’agent Wazuh via Microdiag prend environ 5 minutes par poste (ou moins de 30 minutes en déploiement groupé via MSI). La configuration initiale des règles de détection est préconfigurée — vous recevez les premières alertes dans l’heure.

Sources : AV-Test 2025, CrowdStrike Global Threat Report 2025, MITRE ATT&CK v15, ANSSI Guide de sécurité des systèmes d’information. Article rédigé par l’équipe Microdiag Sentinel — mai 2026.

Vous avez trouvé cet article utile ?
LinkedIn
À lire également
Sécurité
Sauvegardes immuables Object Lock S3 : la dernière ligne de défense contre le ransomware

Même un attaquant avec vos credentials admin ne peut pas supprimer une sauvegarde Object Lock. Comment fonctionne l'immuabilité S3, pourquoi c'est différent d'une sauvegarde classique, et comment Microdiag Business l'active par défaut.

Lire l'article
Sécurité
Ransomware en 2026 : comment protéger votre PME sans budget IT

Les ransomwares ont muté. Ils ne se contentent plus de chiffrer — ils volent, menacent et publient. Ce guide vous explique comment fonctionne une attaque moderne et comment construire une défense réaliste pour une structure de moins de 200 personnes.

Lire l'article
Sécurité
Wazuh SIEM intégré dans Sentinelle Pro : détection d'intrusions pour PME sans SOC

Détection comportementale en temps réel, audit continu, corrélation d'événements — sans équipe SOC dédiée ni compétences en sécurité avancées.

Lire l'article