« On me dit que mon antivirus ne suffit plus… mais je ne comprends pas pourquoi »

“Franchement, je ne comprends pas très bien.

J’ai un prestataire informatique depuis des années.
On a installé des antivirus sur tous les postes.
On a même fait évoluer certaines choses récemment.”

Et là, on me dit :

“Votre antivirus ne suffit plus. Il faudrait passer sur de l’EDR.”

Honnêtement, ça ressemble surtout à un nouveau terme technique.
Encore une couche en plus. Encore un coût.

Donc ma réaction est simple : qu’est-ce qui a changé, concrètement ?

On entend ça tous les jours chez les dirigeants

Ce type de réaction, on l’entend très souvent. Et elle est légitime.

Parce que pendant des années, le schéma était simple : installer un antivirus = être protégé.

Le problème, ce n’est pas que cette approche était mauvaise.
Le problème, c’est que le contexte a changé… sans que ce soit vraiment visible.

Ce que fait (vraiment) un antivirus

Un antivirus fait bien son travail.

Il détecte des virus connus.
Il bloque des fichiers identifiés comme dangereux.

Mais il fonctionne avec une logique simple : il reconnaît ce qu’il connaît déjà.

Et c’est là que la limite apparaît.

Ce qui a changé dans les attaques

Aujourd’hui, les attaques ne ressemblent plus à des virus.

Dans beaucoup de cas, il n’y a :

• ni fichier suspect
• ni programme malveillant identifiable
• ni comportement “évident”

Une attaque peut passer par :

– un email parfaitement crédible
– un mot de passe récupéré
– une connexion à distance classique
– un outil légitime utilisé de manière détournée

Dans ces cas-là, l’antivirus ne voit rien… parce qu’il n’y a rien à bloquer pour lui.

Exemple concret

Un collaborateur reçoit un email.
Il clique sur un lien. Il saisit ses identifiants.

À ce moment-là :

– rien ne déclenche d’alerte
– aucun virus n’est détecté

Mais derrière, quelqu’un se connecte à sa place, accède aux données et peut lancer des actions frauduleuses.

L’attaque est en cours… sans aucun signal visible.

C’est là qu’intervient l’EDR

Le terme peut paraître technique : Endpoint Detection & Response.

Mais l’idée est simple :

– ne plus seulement bloquer des menaces connues,
– mais observer ce qu’il se passe réellement sur les postes.

Ce que ça change concrètement

Un EDR permet trois choses essentielles.

D’abord, voir les comportements. Qui se connecte, quand, d’où, et comment.

Ensuite, détecter les anomalies. Une connexion inhabituelle, un téléchargement massif, une activité incohérente.

Enfin, réagir rapidement. Bloquer un compte, isoler un poste, stopper une action en cours.

Autrement dit, on ne découvre plus le problème après… on peut agir pendant.

Pourquoi on vous en parle maintenant

Parce que les attaques ont changé d’échelle.

– Elles sont automatisées.
– Elles touchent toutes les entreprises.
– Elles passent souvent sous les radars.

Et surtout, l’écosystème évolue : clients, assureurs, partenaires commencent à attendre un niveau de protection plus élevé.

La vraie question

La question aujourd’hui n’est plus : “Est-ce que j’ai un antivirus ?”

Mais plutôt : “Est-ce que je suis capable de détecter une attaque en cours ?”

En résumé :

Un antivirus reste utile. Mais il ne suffit plus seul.

Les attaques actuelles contournent les protections classiques.
Et c’est pour cela que des solutions comme l’EDR deviennent nécessaires.

Besoin d’un coup de main pour trouver la bonne solution ?