29 juin 2026
Antivirus, EDR, XDR, MDR : ce que c'est, lequel il vous faut
La soupe de sigles de la sécurité, expliquée : ce qu'ajoute chaque niveau et quand il s'impose. Notre pratique sur plus de 250 endpoints et environ 50 serveurs.
Si vous avez demandé des offres de cybersécurité récemment, vous avez vu la soupe de sigles : EDR, XDR, MDR… chaque proposition avec plus de sigles que la précédente, et toutes promettant une « protection totale ». Ce n’est pas que du marketing : ce sont des niveaux distincts d’une même échelle. Et la façon la plus simple de la comprendre est de penser à la manière dont on protège un immeuble.
Antivirus : la serrure. Un antivirus moderne — le secteur l’appelle EPP, plateforme de protection de l’endpoint, terme qui désigne chaque poste de l’entreprise : portables, ordinateurs de bureau, serveurs — prévient et bloque le connu : malware identifié par signatures, réputation ou heuristique. Il est indispensable, comme une bonne serrure. Mais il ne suffit plus à lui seul : les attaques actuelles volent des identifiants, passent d’un poste à l’autre et détournent des outils légitimes du système lui-même. L’équivalent d’un intrus qui entre avec un double de la clé — la serrure ne s’aperçoit de rien.
EDR : l’alarme qui enregistre. Un EDR (détection et réponse sur l’endpoint) surveille en plus le comportement : il enregistre en continu ce qui se passe sur chaque poste et détecte l’anormal. Et quand quelque chose se déclenche, il permet d’enquêter et d’agir : quel processus a lancé l’activité ? Quel utilisateur ? Depuis quel poste ? Quels autres sont touchés ? Isole-t-on la machine ? C’est la différence entre savoir que « quelqu’un est entré » et savoir par où il est entré, ce qu’il a touché, et pouvoir lui fermer la porte à distance.
XDR : les caméras de tout l’immeuble. Le XDR (détection et réponse étendues) élargit cette surveillance en corrélant plusieurs couches : endpoints, serveurs, messagerie, cloud, identités. Une attaque réelle ne touche presque jamais une seule pièce — elle entre par un e-mail, exécute quelque chose sur un portable et s’en prend au serveur. Regarder chaque caméra séparément ne raconte pas l’histoire ; le XDR la reconstitue en entier.
MDR : la centrale de télésurveillance. Et voici ce que presque personne n’explique : tout ce qui précède, ce sont des outils. Une alarme que personne n’écoute ne fait que du bruit. Le MDR (détection et réponse managées) ajoute le service : des spécialistes qui surveillent 24/7, filtrent les faux positifs, priorisent le grave et aident à contenir l’incident — y compris un samedi à quatre heures du matin. L’outil, sans personne pour le regarder, ne répond pas tout seul.
Lequel faut-il à votre entreprise ? Cela dépend du risque et des obligations. Une protection de l’endpoint moderne et bien gérée — antivirus avancé, sandboxing (les fichiers suspects sont exécutés dans un environnement isolé avant d’arriver à l’utilisateur) et console centrale — représente déjà un saut énorme par rapport à l’antivirus isolé de chaque PC. Mais si vous travaillez avec l’administration publique, si vous avez une cyberassurance, si vous passez des audits ou si l’ENS — le référentiel espagnol de sécurité des systèmes d’information — s’applique à vous, la conversation commence à l’EDR et finit souvent en MDR : de plus en plus, ce sont les assureurs eux-mêmes et les auditeurs qui demandent quelle capacité de détection et de réponse vous avez.
Notre modèle, démontrable : chez elstir, nous gérons aujourd’hui plus de 250 endpoints et environ 50 serveurs depuis une console centrale ESET PROTECT, avec des pare-feu SonicWall sur le périmètre et une protection spécifique de la messagerie, qui reste l’une des portes d’entrée les plus courantes des attaques. Nous travaillons sur trois niveaux selon l’exigence de chaque client : ESET PROTECT Advanced comme standard d’entrée, Complete quand il faut en plus la gestion des vulnérabilités et des correctifs, et MDR avec la surveillance 24/7 de l’éditeur pour les environnements les plus exigeants. Avec cette architecture en couches, l’un de nos clients a passé avec succès les audits de certification ISO 27001 et ENS.
Ce que cet article vous apporte est simple : la prochaine offre pleine de sigles, vous la lirez en sachant ce qu’ajoute chaque échelon — le diagramme ci-dessous le résume. Et si vous voulez que nous le traduisions pour votre cas concret, sans soupe de sigles, c’est ce que nous faisons chaque jour en cybersécurité gérée.
Une alarme que personne n'écoute ne fait que du bruit.