Skip to content

Quelle est la différence entre un EDR et un antivirus traditionnel à base de signatures ?

Réponse courte

L'antivirus traditionnel compare les fichiers à des signatures de malwares connus et les bloque ou les met en quarantaine — efficace contre les menaces connues, faible contre les attaques nouvelles ou sans fichier. L'EDR enregistre en continu le comportement du poste (processus, réseau, registre, mémoire), utilise l'analyse comportementale pour détecter l'activité suspecte, et permet aux intervenants d'investiguer, de traquer et de contenir ou restaurer à distance. L'AV est de la prévention par signature ; l'EDR ajoute visibilité, détection et réponse.

C'est une vérification des fondamentaux : savez-vous expliquer pourquoi l'industrie est passée de « scanner les fichiers pour du malveillant connu » à la détection et réponse sur les postes ? La différence n'est pas seulement de meilleures signatures — c'est un passage de la pure prévention à la visibilité plus la réponse.

Antivirus traditionnel

L'AV classique fonctionne surtout par signatures : il hashe ou fait correspondre des motifs de fichiers à une base de malwares connus et bloque, met en quarantaine ou supprime les correspondances, souvent complété par de simples heuristiques. Il est rapide, peu coûteux et efficace contre les menaces connues et fondées sur des fichiers. Ses faiblesses sont bien comprises : il est aveugle aux malwares zero-day sans signature, facilement contourné par recompilation ou packing pour changer le hash, et largement impuissant face aux attaques sans fichier et living-off-the-land qui détournent des outils légitimes comme PowerShell, où il n'y a aucun fichier malveillant à scanner.

EDR

L'EDR part du principe que la prévention échouera parfois. Son agent enregistre en continu l'activité du poste — arbres de processus, lignes de commande, connexions réseau, modifications du registre et des fichiers, activité mémoire — et l'envoie à une plateforme centrale. Là, il applique de l'analyse comportementale et des IOA pour repérer un comportement suspect plutôt que des fichiers connus. Surtout, il offre le « R » : investigation (chronologie, cause racine sur tout le parc), chasse aux menaces et actions de réponse comme isoler un hôte, tuer un processus ou annuler des modifications — à distance et à grande échelle.

Pourquoi c'est important

La plupart des EDR incluent aussi une prévention de type AV, ce n'est donc pas strictement l'un ou l'autre ; le point clé est la couche ajoutée de détection et réponse au-dessus des simples signatures. Mentionner que le XDR étend cette télémétrie au-delà du poste (messagerie, identité, réseau, cloud) rapporte des points bonus. Les recruteurs veulent entendre « les signatures seules ratent les attaques nouvelles et sans fichier, alors on ajoute de la visibilité comportementale et la capacité de répondre ».

Questions de suivi probables

  • Pourquoi l'AV à signatures peine-t-il face aux attaques sans fichier ou « living-off-the-land » ?
  • Quelle télémétrie un EDR collecte-t-il que l'AV ne collecte pas ?
  • Où le XDR va-t-il au-delà de l'EDR centré sur le poste ?

Sources

Certifications

Recevez 100 questions d'entretien en cybersécurité + réponses

Laissez votre e-mail et nous vous enverrons le pack PDF gratuit et le jeu de flashcards.

Pas de spam. Désabonnez-vous à tout moment.