Sécurité endpoints & EDR Mis à jour : Juin 2026

Antivirus (AV) : détection par signature, réactif, protège contre les malwares connus. EDR (Endpoint Detection & Response) : analyse comportementale, détecte les menaces inconnues (0-day), permet l'investigation et la réponse. XDR (Extended DR) : corrèle les données de l'endpoint, réseau, email, cloud pour une vision globale. Pour une PME : EDR minimum sur tous les endpoints.

Inclus dans Microsoft 365 Business Premium. Fonctionnalités : protection antimalware avancée, EDR, investigation automatique, gestion des vulnérabilités, firewall managé. Configuration requise : Windows 10+, onboarding via Intune ou script. Recommandation : activer le mode protection cloud, les rapports de menaces hebdomadaires, l'isolation automatique des appareils compromis.

MDM (Mobile Device Management) permet de : déployer des politiques de sécurité, installer/désinstaller des applications, chiffrer les disques, effacer à distance les appareils perdus/volés. Intune (Microsoft) : idéal pour les environnements Microsoft 365. Jamf : spécialisé macOS/iOS. Configuration minimale MDM : chiffrement disque, code PIN/biométrie, effacement distant, blocage USB.

BYOD (Bring Your Own Device) : appareils personnels pour le travail. Risques : applications personnelles non contrôlées, pas de MDM possible, mélange données perso/pro. Options : (1) No BYOD (appareils d'entreprise uniquement — idéal mais coûteux), (2) MAM (Mobile Application Management — contrôler uniquement les apps pro), (3) Container (données pros dans un espace chiffré séparé). Microsoft Intune MAM sans MDM est une bonne option PME.

BitLocker (Windows Pro/Enterprise) : chiffrement AES-256, intégré, gérable via GPO ou Intune. Activer la sauvegarde de la clé de récupération dans Azure AD. FileVault (macOS) : similaire à BitLocker, gérable via Jamf ou profil MDM. Points critiques : documenter les clés de récupération, tester la récupération annuellement, activer sur 100% des appareils avec données professionnelles.

Les clés USB sont un vecteur d'infection classique (USB drop attack, malware auto-exécutable). Politiques : (1) Bloquer tous les USB (sauf exceptions approuvées), (2) Autoriser uniquement les USB chiffrés d'entreprise, (3) Read-only sur tous les USB externes. Implémentation : GPO (Removable Storage Access), Microsoft Defender for Endpoint, Intune. Former les utilisateurs aux risques des USB inconnus.

Quand une alerte EDR arrive : (1) Trier (faux positif ? score de criticité ?), (2) Contextualiser (quel utilisateur, quel processus, depuis quand ?), (3) Investiguer (arbre de processus, connexions réseau, fichiers créés), (4) Décider (isoler ? laisser sous surveillance ? remédier manuellement ?), (5) Remédier (supprimer le malware, restaurer si nécessaire), (6) Documenter (ticket, timeline). Ne pas ignorer les alertes 'faible criticité' — elles peuvent être des précurseurs.