Systèmes supervisés · en ligne SLA 99,9 % Support 7j/7 01 84 80 12 34
prestataire.org Devis gratuit

GUIDE CYBERSÉCURITÉ

Choisir un antivirus / EDR pour votre entreprise

Antivirus classique ou EDR ? Critères de choix, fonctionnalités indispensables et bonnes pratiques de déploiement pour protéger vos postes et serveurs.

Dans ce guide

  • Antivirus vs EDR expliqué
  • Les critères qui comptent
  • Fonctionnalités clés
  • Déploiement et administration

Antivirus classique ou EDR : quelle différence ?

L'antivirus traditionnel compare les fichiers à une base de signatures de menaces connues : il bloque ce qu'il reconnaît. Cette approche reste utile, mais elle est aveugle face aux attaques récentes : malwares inédits, scripts malveillants, attaques « sans fichier » qui détournent des outils légitimes de Windows.

L'EDR (Endpoint Detection and Response) change de logique : il surveille les comportements sur le poste — un processus qui chiffre des centaines de fichiers, un programme bureautique qui lance des commandes système — et peut réagir automatiquement : tuer le processus, isoler la machine du réseau, remonter une alerte détaillée pour l'investigation. Face aux ransomwares, dont notre guide dédié décrit le mode opératoire, cette capacité de détection comportementale et d'isolation fait toute la différence.

CritèreAntivirus classiqueEDR
DétectionSignatures de menaces connuesComportements suspects, y compris menaces inédites
RéactionBlocage/quarantaine du fichierIsolation du poste, arrêt des processus, investigation
VisibilitéAlerte ponctuelleChronologie complète de l'attaque
ExploitationQuasi autonomeDemande un suivi des alertes (interne ou prestataire)
Prix indicatif2–5 €/poste/mois5–15 €/poste/mois

Pour une entreprise, même petite, l'EDR est devenu le standard recommandé : le surcoût est faible au regard du coût d'un seul incident sérieux.

Les critères de choix qui comptent vraiment

  • Administration centralisée : une console unique qui montre l'état de tous les postes. Sans elle, impossible de savoir si l'agent tourne partout et à jour.
  • Couverture complète : postes Windows et Mac, serveurs, et idéalement mobiles. Un serveur sans protection est une porte ouverte.
  • Détection éprouvée : fiez-vous aux tests indépendants (AV-TEST, AV-Comparatives, MITRE ATT&CK Evaluations) plutôt qu'aux plaquettes commerciales.
  • Impact sur les performances : un agent trop lourd pousse les utilisateurs à réclamer sa désactivation — le pire scénario.
  • Qui exploite les alertes ? Un EDR qui bipe dans le vide ne protège pas. Si personne en interne ne peut suivre les alertes, optez pour une version managée (MDR) ou confiez l'exploitation à votre prestataire — c'est le modèle que nous pratiquons dans nos offres de cybersécurité et de supervision.
  • Réversibilité et coût total : licences par poste et par an, engagement, facilité de migration vers un autre produit.

Les fonctionnalités clés à exiger

  • Protection comportementale anti-ransomware avec restauration des fichiers touchés (rollback) chez certains éditeurs ;
  • Isolation réseau à distance : couper un poste compromis du réseau en un clic, sans se déplacer ;
  • Analyse des scripts et de la mémoire (PowerShell, macros Office), vecteurs favoris des attaquants ;
  • Protection web et anti-phishing complémentaire au filtrage de messagerie — le phishing restant la première porte d'entrée ;
  • Contrôle des périphériques (clés USB) et des applications, selon votre niveau d'exigence ;
  • Rapports lisibles : un dirigeant doit pouvoir comprendre l'état de la protection en une page.

Sur le marché, les solutions les plus déployées en PME incluent Microsoft Defender for Business (inclus dans certaines licences Microsoft 365), SentinelOne, CrowdStrike, Bitdefender GravityZone ou ESET Protect. Le « meilleur » produit est celui qui sera correctement déployé et exploité.

Déploiement et administration : là où tout se joue

Un excellent EDR mal déployé protège moins qu'un antivirus moyen bien géré. Les règles d'un déploiement réussi :

  • Couverture à 100 % : chaque poste, chaque serveur, y compris le portable du dirigeant et les machines des télétravailleurs. Les oublis sont précisément ce que cherchent les attaquants.
  • Désinstallation protégée par mot de passe : ni un utilisateur ni un malware ne doit pouvoir couper la protection.
  • Phase d'observation : commencez en mode détection sur un groupe pilote pour ajuster les exclusions (logiciels métier) avant le blocage généralisé.
  • Suivi quotidien de la console : agents obsolètes, postes silencieux, alertes en attente. C'est une tâche récurrente de maintenance informatique, pas un réglage « une fois pour toutes ».
  • Procédure d'incident écrite : qui isole le poste, qui analyse, qui décide de la remise en service.

Erreur fréquente : croire que l'EDR remplace tout le reste. Il protège les terminaux, pas vos comptes cloud sans MFA ni vos données sans sauvegarde. C'est une brique majeure d'une défense en profondeur, pas un bouclier total.

Questions fréquentes

FAQ

Quelle est la différence entre un antivirus et un EDR ?

L'antivirus bloque les menaces connues par signatures ; l'EDR surveille les comportements suspects, détecte les attaques inédites et peut isoler automatiquement un poste compromis pour stopper la propagation.

Windows Defender suffit-il pour une entreprise ?

Le Defender intégré à Windows offre une base honnête pour un particulier. En entreprise, il faut au minimum sa déclinaison professionnelle (Defender for Business) avec console centralisée, ou un EDR tiers administré.

Combien coûte un EDR par poste ?

Comptez de l'ordre de 5 à 15 € par poste et par mois selon l'éditeur et le niveau de service, et davantage avec une exploitation managée (MDR) incluse.

Qui doit surveiller les alertes de l'EDR ?

Quelqu'un doit les traiter chaque jour : un référent interne formé, ou votre prestataire dans le cadre d'un contrat de supervision. Un EDR dont personne ne lit les alertes perd l'essentiel de sa valeur.

Un EDR protège-t-il contre les ransomwares ?

Il en bloque la grande majorité grâce à la détection comportementale et à l'isolation automatique. Mais la protection complète exige aussi la MFA, les mises à jour et des sauvegardes testées et hors d'atteinte.

Déployez un EDR exploité pour de vrai

Choix de la solution, déploiement sur tout le parc et suivi quotidien des alertes : nous nous en chargeons.