EDR vs antivirus : la différence tient surtout à la profondeur de surveillance. Un antivirus bloque principalement des fichiers malveillants connus ou suspects. Un EDR surveille en continu les postes, serveurs et comportements pour détecter, enquêter et réagir quand l’attaque contourne le simple blocage. Pour une PME, cela change le budget, l’organisation et surtout le temps de réaction face au ransomware.
EDR vs antivirus : la différence qui compte vraiment
Un antivirus reste utile. Il analyse les fichiers, les téléchargements, les pièces jointes et certains comportements d’exécution pour bloquer des menaces connues ou probables. Les tests AV-Comparatives 2026 distinguent d’ailleurs les essais « Malware Protection » et « Real-World Protection » pour ce type de protection.
Un EDR, pour Endpoint Detection and Response (détection et réponse sur les terminaux), va plus loin. Il collecte des événements sur les ordinateurs, serveurs et parfois machines virtuelles : processus lancés, connexions réseau, modifications du registre Windows, scripts PowerShell, élévations de privilèges. L’objectif n’est pas seulement de bloquer, mais de comprendre ce qui se passe et d’agir vite.
C’est pour cela qu’AV-Comparatives évalue les EDR dans une catégorie séparée, avec son programme « EDR Detection Validation » publié en 2026 pour des éditeurs comme Bitdefender, ESET, Fortinet ou Sangfor. Microsoft fait la même séparation dans Defender for Endpoint : l’antivirus nouvelle génération et l’EDR sont deux capacités distinctes au sein d’une même plateforme.
La nuance est importante pour votre budget. Acheter un EDR sans personne pour lire les alertes revient souvent à installer une alarme sans astreinte. À l’inverse, garder seulement un antivirus sur un parc exposé au télétravail, aux VPN et aux accès cloud laisse des angles morts coûteux.
Pourquoi l’antivirus seul ne suffit plus face aux attaques modernes
Les attaques récentes ne commencent pas toujours par un fichier infecté. Sophos indique dans son Active Adversary Report 2026 que 67 % des incidents étudiés par ses équipes IR/MDR en 2025 étaient liés à l’identité : comptes compromis, mots de passe volés, accès valides utilisés à mauvais escient. Un antivirus classique voit mal un attaquant qui se connecte avec de vrais identifiants.
Autre signal parlant : At-Bay a rapporté en 2026 que 73 % des attaques ransomware de son analyse de sinistres 2025 démarraient par des VPN. Là encore, le problème n’est pas forcément un malware sur le poste au départ, mais une porte d’entrée distante, parfois mal corrigée, mal configurée ou protégée par un mot de passe faible.
Le référentiel MITRE ATT&CK, utilisé par les équipes de cybersécurité, classe de nombreuses techniques d’évasion défensive en 2025 : désactivation d’outils de sécurité, contournement d’analyses statiques, modification de processus de protection. Sophos a aussi documenté en 2025 l’usage d’outils capables de tuer des EDR ou antivirus avant le déploiement d’un ransomware, y compris via des techniques BYOVD (Bring Your Own Vulnerable Driver, utilisation d’un pilote vulnérable).
Dernier point très concret : Sophos rapporte que 88 % des charges ransomware observées dans ses cas étudiés ont été déployées hors horaires de bureau. Si personne ne surveille les signaux le soir, le week-end ou pendant les congés, le chiffrement peut avoir plusieurs heures d’avance.
Ce que l’EDR apporte concrètement à une PME
Un EDR donne de la visibilité. Quand un poste commence à exécuter un script inhabituel, contacte un serveur inconnu, tente de désactiver une protection ou chiffre massivement des fichiers, la solution peut remonter une alerte contextualisée. Pas seulement « fichier suspect », mais une chronologie exploitable.
La réponse compte autant que la détection. Selon les solutions, un EDR peut isoler un poste du réseau, tuer un processus, mettre un fichier en quarantaine, bloquer un hash (empreinte numérique d’un fichier) ou aider à remonter la chaîne d’attaque. Pour une direction, cela veut dire moins d’improvisation le jour où l’incident arrive.
Sur les projets que nous menons, nous voyons souvent le même déclic : l’entreprise pensait protéger « les ordinateurs », alors que le risque réel passe par les accès, les sauvegardes, les VPN, Microsoft 365, les prestataires et les postes nomades. L’EDR devient alors une brique d’un dispositif plus large, pas une baguette magique.
Ce raisonnement vaut aussi pour les plateformes web et métiers. Un site, un extranet ou une application connectée à votre système d’information doit être pensé avec des accès maîtrisés ; le sujet rejoint directement la mise en place d’un extranet sécurisé et performant, où l’authentification et la supervision pèsent autant que le développement.
Comparatif pratique : antivirus, EDR, MDR
La confusion vient souvent des acronymes. MDR signifie Managed Detection and Response (détection et réponse managées) : un service humain qui surveille les alertes EDR et intervient selon un cadre défini. Pour beaucoup de PME, c’est la vraie différence entre « nous avons un outil » et « quelqu’un réagit ».
| Approche | Ce que cela couvre | Coût indicatif en France | Délai de mise en place |
|---|---|---|---|
| Antivirus professionnel | Blocage de fichiers malveillants, protection web et email selon l’éditeur | Environ 25 à 70 € HT par poste et par an | Quelques jours pour un petit parc |
| EDR | Surveillance continue des terminaux, détection comportementale, investigation | Autour de 60 à 180 € HT par poste et par an selon les modules | 1 à 3 semaines avec paramétrage |
| MDR adossé à un EDR | EDR plus surveillance par analystes, escalade, aide à la réponse | Souvent 8 à 25 € HT par poste et par mois | 2 à 6 semaines selon le périmètre |
Ces montants varient selon le volume, l’éditeur, le niveau de service et l’intégration avec Microsoft 365, Google Workspace, les pare-feux ou le SIEM (outil centralisant les journaux). Ils donnent néanmoins un ordre de grandeur réaliste : à moins de 20 postes, le coût de gestion peut peser plus lourd que les licences.
Honnêtement, un EDR non supervisé sur une très petite structure peut être disproportionné si personne ne sait traiter les alertes. À ce budget, mieux vaut parfois renforcer d’abord les sauvegardes hors ligne, l’authentification multifacteur, les mises à jour, la sécurité email et la configuration des VPN.
Les pièges que les non-techniciens découvrent trop tard
Le premier piège consiste à confondre tableau de bord et protection réelle. Une console remplie d’alertes impressionne, mais si les faux positifs (alertes sans attaque) ne sont pas réglés, l’équipe finit par les ignorer. Le risque devient organisationnel.
Le deuxième concerne les exclusions. Pour éviter qu’un logiciel métier ne ralentisse, on exclut parfois tout un dossier, un serveur ou un type de script de l’analyse. C’est pratique. C’est aussi une autoroute pour un attaquant si la décision n’est pas documentée et revue.
- Vérifiez qui reçoit les alertes et sous quel délai, y compris la nuit et le week-end.
- Demandez comment sont gérées les exclusions antivirus et EDR, avec une revue régulière.
- Testez l’isolement d’un poste avant la crise, pas pendant.
- Reliez l’EDR aux journaux d’identité, notamment Microsoft Entra ID ou Google Workspace.
- Gardez des sauvegardes restaurables et séparées des comptes administrateurs courants.
Un autre piège se cache dans les accès distants. Les vulnérabilités VPN et pare-feux reviennent régulièrement dans les incidents, comme le rappellent les alertes autour de certains équipements réseau ; sur ce point, un suivi des risques de pare-feux, par exemple les failles touchant des pare-feux Fortinet exposés, doit compléter la sécurité des postes.
Enfin, le RGPD impose une logique de responsabilité. En cas de violation de données personnelles, l’entreprise doit être capable d’évaluer l’incident, de documenter les mesures prises et, dans certains cas, de notifier la CNIL sous 72 heures. Un EDR bien exploité aide à reconstituer les faits.
Comment choisir sans suracheter
Le bon choix part du risque, pas de la mode. Une société de conseil avec 12 postes, peu de données sensibles et des outils SaaS bien sécurisés n’a pas les mêmes besoins qu’une PME industrielle avec serveur de fichiers, ERP local, VPN et production arrêtée dès que l’informatique tombe.
Côté agence, le réflexe est de cartographier les actifs avant de parler licence : postes, serveurs, comptes administrateurs, sauvegardes, applications web, hébergement, DNS, certificats TLS, accès prestataires. La sécurité endpoint ne compense pas un hébergement mal isolé ou une application non maintenue.
Pour un projet digital neuf, cette réflexion doit arriver dès le cadrage. Une application métier ou un portail client doit intégrer la gestion des rôles, les journaux d’accès, le chiffrement TLS et les sauvegardes dès le départ ; c’est aussi vrai lorsque l’on réfléchit à confier la création d’un site web à une agence locale capable de suivre le projet après la mise en ligne.
Les technologies récentes ajoutent une couche de gouvernance. Si vos équipes utilisent ChatGPT, Claude ou des fonctions d’IA dans les outils métier, la protection des postes doit s’articuler avec la conformité et les données envoyées à des services tiers ; le sujet rejoint les obligations pratiques autour de l’AI Act européen pour les PME.
Un arbitrage simple fonctionne bien : antivirus professionnel pour le socle minimal, EDR pour les environnements avec serveurs, télétravail, données sensibles ou forte dépendance informatique, MDR si vous n’avez pas d’équipe capable de surveiller et répondre. L’EDR vs antivirus n’est donc pas un duel absolu, mais une question de maturité et d’exposition.
Cadrer ce type de projet en amont évite la plupart des mauvaises surprises : périmètre trop large, licences mal choisies, alertes non traitées, sauvegardes jamais testées. C’est souvent là qu’un regard extérieur fait gagner du temps, en reliant sécurité, hébergement, applications et contraintes métier.
FAQ sur EDR vs antivirus
Un EDR remplace-t-il complètement un antivirus ?
Non. Dans beaucoup de plateformes, les deux coexistent : Microsoft Defender for Endpoint distingue par exemple l’antivirus nouvelle génération et l’EDR. L’antivirus bloque, l’EDR surveille et aide à répondre.
Une petite entreprise a-t-elle vraiment besoin d’un EDR ?
Pas toujours. Si votre parc est réduit et peu exposé, commencez par antivirus, MFA, sauvegardes testées et mises à jour. En revanche, avec VPN, serveur de fichiers, données sensibles ou télétravail régulier, l’EDR devient vite pertinent.
Pourquoi un ransomware peut-il passer malgré un antivirus ?
Parce que l’attaque peut utiliser des identifiants valides, des outils d’administration légitimes ou désactiver les protections avant le chiffrement. Les techniques d’évasion référencées par MITRE ATT&CK montrent bien cette limite.
Combien de temps faut-il pour déployer un EDR ?
Comptez généralement une à trois semaines pour une PME, hors cas complexes. Le vrai temps se situe dans le paramétrage, les tests d’alerte, la gestion des exclusions et la définition de qui répond à quoi.