Introduction : les PME en première ligne
Les cybermenaces ne concernent plus uniquement les grands groupes. En France, 43 % des cyberattaques ciblent désormais les PME et les TPE, selon le dernier rapport de l'ANSSI. Le constat est sans appel : les petites et moyennes entreprises sont devenues les cibles privilégiées des cybercriminels, précisément parce qu'elles sont souvent les moins protégées.
Le chiffre qui revient régulièrement dans les études est alarmant : 60 % des PME victimes d'une cyberattaque majeure cessent leur activité dans les 18 mois qui suivent l'incident. Entre la perte de données clients, l'arrêt de production, les coûts de remédiation et l'atteinte à la réputation, une attaque peut littéralement mettre en péril la survie d'une entreprise.
Face à cette réalité, la question n'est plus "faut-il investir en cybersécurité ?" mais plutôt "par où commencer ?". Et c'est là que les acronymes se multiplient : EDR, NDR, SIEM, XDR, SOC... Pour un dirigeant de PME ou un responsable informatique qui n'est pas spécialiste, le choix de la bonne solution peut vite devenir un casse-tête.
Cet article a pour objectif de démystifier ces trois piliers de la détection des menaces — EDR, NDR et SIEM — en vous donnant les clés concrètes pour choisir la solution adaptée à votre contexte, votre budget et votre niveau de maturité. Pas de jargon inutile, des cas pratiques et une recommandation claire à la fin.
Qu'est-ce qu'un EDR (Endpoint Detection and Response) ?
Définition et fonctionnement
L'EDR (Endpoint Detection and Response) est une solution de sécurité qui surveille en continu les terminaux de votre entreprise : postes de travail, ordinateurs portables, serveurs et, dans certains cas, les appareils mobiles. Contrairement à un antivirus classique qui se contente de comparer des fichiers à une base de signatures connues, l'EDR analyse le comportement des processus en temps réel.
Concrètement, un agent logiciel est installé sur chaque poste. Cet agent collecte en permanence des données télémétriques : exécution de processus, modifications de fichiers, accès au registre, connexions réseau sortantes, chargement de DLL... L'ensemble de ces événements est analysé par un moteur de détection qui s'appuie sur des règles comportementales, du machine learning et des bases de threat intelligence (indicateurs de compromission connus).
Lorsqu'un comportement suspect est détecté — par exemple un processus PowerShell qui tente de désactiver Windows Defender avant de chiffrer des fichiers — l'EDR peut réagir automatiquement : isoler le poste du réseau, tuer le processus malveillant, voire effectuer un rollback des fichiers modifiés pour revenir à un état sain.
Cas d'usage typiques pour une PME
- Protection contre les ransomwares : l'EDR détecte le chiffrement massif de fichiers et bloque l'attaque avant qu'elle ne se propage
- Détection des malwares zero-day : grâce à l'analyse comportementale, l'EDR peut identifier des menaces jamais répertoriées
- Réponse à incident : en cas de compromission, l'EDR fournit une timeline détaillée de l'attaque pour comprendre ce qui s'est passé
- Contrôle des périphériques USB : blocage des clés USB non autorisées pour éviter l'introduction de malwares
- Télétravail sécurisé : protection des postes nomades qui se connectent hors du réseau d'entreprise
Avantages
- Détection comportementale avancée : va bien au-delà de l'antivirus classique basé sur les signatures
- Réponse automatisée : isolation du poste, suppression du processus, rollback des fichiers — sans intervention humaine
- Visibilité endpoint : chaque action sur chaque poste est tracée et consultable
- Déploiement simple : installation d'un agent sur chaque machine, gestion centralisée via une console cloud
- Coût maîtrisé : généralement facturé par poste et par mois, entre 3 et 10 euros par endpoint selon la solution
Limites
- Angle mort réseau : l'EDR ne voit que ce qui se passe sur les postes où il est installé. Il ne détecte pas les mouvements latéraux sur le réseau, les attaques sur des équipements IoT ou les communications entre serveurs
- Dépendance à l'agent : un poste sans agent (BYOD, imprimante, caméra IP, équipement industriel) est invisible
- Faux positifs possibles : certains comportements légitimes (scripts d'administration, outils de déploiement) peuvent déclencher des alertes qu'il faut qualifier
- Pas de corrélation globale : l'EDR traite chaque endpoint indépendamment, sans vision d'ensemble de l'infrastructure
Pour découvrir notre offre de protection endpoint, consultez notre page dédiée EDR / Antivirus.
Qu'est-ce qu'un NDR (Network Detection and Response) ?
Définition et fonctionnement
Le NDR (Network Detection and Response) est une solution qui analyse le trafic réseau en temps réel pour détecter les menaces, les anomalies et les comportements suspects. Alors que l'EDR surveille les terminaux, le NDR observe tout ce qui transite sur le réseau — y compris les flux entre machines internes.
Le NDR fonctionne généralement en mode passif : il copie le trafic réseau via un port miroir (SPAN) sur un switch ou un TAP réseau, puis l'analyse sans interférer avec les communications. Les moteurs d'analyse combinent plusieurs approches : deep packet inspection (DPI), analyse comportementale par intelligence artificielle, détection de signatures connues et analyse des métadonnées de flux (NetFlow).
L'atout majeur du NDR est sa capacité à construire une baseline comportementale du réseau. En apprenant les patterns normaux de communication (quel serveur communique avec quel poste, à quelle fréquence, sur quels ports), le NDR peut détecter les écarts qui signalent une intrusion : mouvement latéral, exfiltration de données, communication avec un serveur C2 (command and control), scan de ports interne.
Cas d'usage typiques pour une PME
- Détection des mouvements latéraux : un attaquant qui a compromis un poste et tente d'accéder à d'autres machines du réseau
- Identification d'exfiltration de données : volumes de données anormaux sortant vers des destinations inhabituelles
- Surveillance des équipements non gérés : caméras IP, imprimantes, capteurs IoT, automates industriels — tout ce qui a une adresse IP
- Détection de communications C2 : un malware installé qui communique avec son serveur de commande pour recevoir des instructions
- Audit de segmentation réseau : vérification que les VLAN et règles de pare-feu sont effectivement respectés
Avantages
- Visibilité réseau complète : voit tout ce qui circule, y compris les flux est-ouest (entre machines internes)
- Agentless : ne nécessite aucune installation sur les postes — idéal pour surveiller les équipements IoT et OT
- Détection des menaces avancées : les APT (Advanced Persistent Threats) qui échappent aux EDR en utilisant des outils légitimes sont repérés par leurs communications réseau
- Complément naturel de l'EDR : couvre les angles morts que l'EDR ne peut pas adresser
- Forensic réseau : possibilité de rejouer et analyser le trafic capturé pour une investigation post-incident
Limites
- Complexité de déploiement : nécessite un accès au trafic réseau (port miroir, TAP), ce qui implique une intervention sur l'infrastructure
- Coût élevé : les solutions NDR sont généralement plus coûteuses qu'un EDR, avec des licences basées sur le volume de trafic analysé ou le nombre de capteurs
- Chiffrement TLS : le trafic chiffré (HTTPS, TLS 1.3) ne peut pas être inspecté en profondeur sans mécanisme de déchiffrement, ce qui limite la visibilité sur le contenu des échanges
- Compétences requises : l'interprétation des alertes NDR nécessite une expertise réseau solide que toutes les PME n'ont pas en interne
- Pas de remédiation endpoint : le NDR détecte les menaces sur le réseau mais ne peut pas isoler un poste ou supprimer un malware — il doit s'appuyer sur l'EDR ou un pare-feu pour la réponse
Découvrez notre offre de surveillance réseau sur notre page NDR / Sonde réseau.
Qu'est-ce qu'un SIEM (Security Information and Event Management) ?
Définition et fonctionnement
Le SIEM (Security Information and Event Management) est une plateforme qui centralise, normalise et corrèle les logs provenant de l'ensemble de votre infrastructure informatique. Pare-feu, serveurs, Active Directory, applications métier, solutions cloud, EDR, NDR... Toutes ces sources génèrent des journaux d'événements que le SIEM collecte et analyse de manière unifiée.
Le fonctionnement d'un SIEM repose sur plusieurs étapes clés. D'abord, la collecte : les logs sont récupérés via des agents, des protocoles syslog, des API ou des connecteurs dédiés. Ensuite, la normalisation : les événements hétérogènes sont convertis dans un format commun pour pouvoir être comparés. Puis vient la corrélation : des règles définissent les scénarios d'attaque à détecter. Par exemple, "5 tentatives de connexion échouées sur un compte suivies d'une connexion réussie depuis une IP inconnue, puis un accès à un partage réseau sensible dans les 10 minutes" constitue un scénario de compromission de compte.
Enfin, le SIEM génère des alertes priorisées et des tableaux de bord qui donnent aux équipes sécurité une vue synthétique de la posture de l'entreprise.
Le cas Wazuh : un SIEM open source adapté aux PME
Parmi les solutions accessibles aux PME, Wazuh se distingue comme un SIEM open source complet et gratuit (hors coûts d'infrastructure). Il offre la détection d'intrusion, la surveillance d'intégrité des fichiers, l'analyse des vulnérabilités, la conformité réglementaire et la réponse automatisée aux incidents. Wazuh peut être déployé on-premise ou dans le cloud, et sa communauté active assure des mises à jour régulières des règles de détection.
Pour une PME de 50 à 200 postes, un serveur Wazuh peut tourner sur une machine virtuelle avec 8 Go de RAM et 4 vCPU — un investissement raisonnable comparé aux solutions commerciales dont les licences dépassent souvent les 20 000 euros par an.
Cas d'usage typiques pour une PME
- Conformité NIS2 : le SIEM centralise les preuves d'audit et génère les rapports de conformité exigés par les régulateurs
- Détection des comptes compromis : corrélation entre les tentatives de connexion, les horaires inhabituels et les accès à des ressources sensibles
- Surveillance Active Directory : détection des modifications de groupes privilégiés, création de comptes administrateurs, changements de GPO
- Suivi des accès aux données sensibles : qui a accédé à quoi, quand et depuis où — information cruciale en cas de fuite de données
- Rétention légale des logs : conservation des journaux pendant la durée requise par la législation (12 mois minimum dans le cadre NIS2)
Avantages
- Vue globale unifiée : le SIEM est le seul outil qui corrèle les événements provenant de toutes les sources de votre SI
- Conformité réglementaire : répond directement aux exigences NIS2 (article 21) en matière de journalisation et de surveillance
- Investigation post-incident : les logs centralisés permettent de reconstituer la chronologie complète d'une attaque
- Automatisation : déclenchement de réponses automatiques (blocage IP, désactivation de compte) via des playbooks SOAR
- Solutions open source disponibles : Wazuh, Elastic Security ou OSSEC offrent des fonctionnalités avancées sans licence logicielle
Limites
- Volume de logs à gérer : une PME de 100 postes peut générer plusieurs gigaoctets de logs par jour — il faut dimensionner le stockage et la puissance de calcul en conséquence
- Tuning des règles : un SIEM "out of the box" génère énormément de faux positifs. Il faut investir du temps pour affiner les règles de corrélation et réduire le bruit
- Compétences nécessaires : l'exploitation d'un SIEM requiert des compétences en analyse de logs, en administration système et en sécurité offensive pour écrire des règles pertinentes
- Temps de mise en oeuvre : entre le déploiement, l'intégration des sources de logs et le tuning initial, comptez 2 à 4 semaines pour un SIEM opérationnel
- Pas de détection en temps réel sur les endpoints : le SIEM analyse des logs a posteriori — il ne remplace pas un EDR pour bloquer un ransomware en cours d'exécution
Pour en savoir plus sur la centralisation des logs, consultez notre page SIEM / Logs.
Tableau comparatif : EDR vs NDR vs SIEM
Pour vous aider à y voir plus clair, voici un tableau synthétique qui compare les trois solutions sur les critères essentiels pour une PME.
| Critère | EDR | NDR | SIEM |
|---|---|---|---|
| Type de protection | Endpoints (postes, serveurs) | Trafic réseau (nord-sud et est-ouest) | Logs de tout le SI (corrélation globale) |
| Complexité de déploiement | Faible (agent à installer) | Moyenne à élevée (TAP réseau, port miroir) | Moyenne (collecte de logs, tuning des règles) |
| Coût pour une PME (50-200 postes) | 150 - 500 €/mois | 500 - 2 000 €/mois | 0 € (Wazuh) à 1 500 €/mois (commercial) |
| Couverture NIS2 | Partielle | Partielle | Forte |
| Temps de détection | Temps réel (secondes) | Quasi temps réel (secondes à minutes) | Quasi temps réel à différé (minutes) |
| Capacité de réponse | Élevée (isolation, kill process, rollback) | Limitée (alerte, blocage via pare-feu) | Variable (via playbooks SOAR) |
| Compétences requises | Faibles à modérées | Élevées (expertise réseau) | Modérées à élevées (analyse de logs) |
| Idéal pour | Toute PME (premier investissement sécurité) | PME avec IoT/OT ou maturité avancée | PME soumises à NIS2 ou en croissance |
Notre recommandation pour les PME : une approche progressive
Après avoir accompagné des dizaines de PME dans le Grand Est, notre conviction est claire : il ne faut pas chercher à tout déployer d'un coup. La bonne stratégie est une approche progressive, adaptée à votre budget et à votre niveau de maturité.
Étape 1 : Déployer un EDR (le quick win)
C'est le premier investissement à réaliser, celui qui offre le meilleur rapport protection/coût. Un EDR moderne déployé sur l'ensemble de vos postes et serveurs vous protège contre la majorité des menaces courantes : ransomwares, malwares, tentatives d'intrusion via phishing.
Budget indicatif : 3 à 8 euros par poste et par mois, soit 150 à 400 euros/mois pour une PME de 50 postes. C'est moins cher qu'une journée d'arrêt de production.
Délai de déploiement : 1 à 3 jours pour couvrir l'ensemble du parc informatique.
Impact immédiat : vous passez d'une protection antivirus basique à une détection comportementale avancée avec capacité de réponse automatisée. C'est comme passer d'une serrure simple à un système d'alarme avec intervention.
Étape 2 : Ajouter un SIEM pour la conformité et la visibilité
Une fois l'EDR en place et maîtrisé, l'ajout d'un SIEM vous apporte deux bénéfices majeurs : la conformité réglementaire (indispensable si vous êtes concerné par NIS2 ou si vos clients vous l'exigent) et une visibilité transversale sur votre SI.
Budget indicatif : avec une solution open source comme Wazuh, le coût se limite à l'infrastructure (un serveur dédié ou une VM) et au temps de configuration. Comptez 2 000 à 5 000 euros en accompagnement initial, puis un coût de maintien mensuel modéré.
Délai de déploiement : 2 à 4 semaines pour un déploiement opérationnel avec les principales sources de logs connectées et les règles de base calibrées.
Cas déclencheur typique : votre entreprise est identifiée comme entité essentielle ou importante dans le cadre de NIS2, ou un client grand compte vous demande des preuves de surveillance de votre SI dans le cadre de sa supply chain.
Étape 3 : Intégrer un NDR pour une maturité avancée
Le NDR intervient quand votre maturité cybersécurité est déjà solide et que vous souhaitez combler les derniers angles morts. C'est particulièrement pertinent si votre infrastructure comprend des équipements IoT ou OT (capteurs industriels, caméras, automates) qui ne peuvent pas recevoir d'agent EDR.
Budget indicatif : 500 à 2 000 euros/mois selon la solution et le volume de trafic analysé. C'est l'investissement le plus lourd des trois, mais il complète le dispositif pour une couverture 360 degrés.
Délai de déploiement : 1 à 2 semaines pour la mise en place technique, puis 4 à 6 semaines de phase d'apprentissage pour que le NDR construise sa baseline comportementale.
Budget récapitulatif pour une PME de 50 postes
| Étape | Solution | Coût mensuel estimé | Priorité |
|---|---|---|---|
| 1 | EDR managé | 200 - 400 € | Indispensable |
| 2 | SIEM (Wazuh) | 100 - 300 € (infrastructure) | Recommandé |
| 3 | NDR | 500 - 2 000 € | Maturité avancée |
L'essentiel est de commencer par l'EDR, de le maîtriser, puis de monter en puissance progressivement. Un EDR bien configuré protège déjà contre 80 % des menaces courantes. Le SIEM et le NDR viennent ensuite renforcer la détection et la conformité au fur et à mesure que vos enjeux grandissent.
Et le XDR dans tout cela ?
Vous avez peut-être entendu parler du XDR (Extended Detection and Response). Il s'agit d'une approche qui unifie EDR, NDR et SIEM au sein d'une plateforme unique. Le XDR promet une corrélation automatique entre les alertes endpoint, réseau et logs, avec une console centralisée et des capacités de réponse orchestrées.
En pratique, le XDR est encore en phase de maturation. Les offres du marché varient énormément : certains éditeurs qualifient de "XDR" un EDR avec quelques connecteurs réseau supplémentaires, tandis que d'autres proposent de véritables plateformes intégrées. Pour une PME, le XDR peut être une option intéressante à terme, mais nous recommandons de privilégier une approche modulaire (EDR + SIEM) qui vous donne plus de flexibilité et évite le vendor lock-in.
Conclusion : l'important, c'est de commencer
Si vous retenez une seule chose de cet article, que ce soit celle-ci : la pire décision est de ne rien faire. Chaque jour sans protection avancée est un jour où votre entreprise est exposée à des menaces qui évoluent plus vite que les antivirus traditionnels.
Le choix entre EDR, NDR et SIEM n'est pas un choix exclusif. Ce sont des couches complémentaires d'un dispositif de sécurité global. Mais la première brique — l'EDR — est accessible à toute PME, quel que soit son budget ou sa taille.
Votre prochaine étape ? Faites le point sur votre situation actuelle. Un premier audit de votre infrastructure permet d'identifier vos vulnérabilités et de définir les priorités d'investissement. En moins de deux heures, vous aurez une feuille de route claire et actionnable.
Demandez votre premier audit gratuit ou contactez-nous directement pour échanger sur votre contexte. Nous accompagnons les PME du Grand Est dans leur montée en maturité cybersécurité, avec des solutions adaptées à leur budget et à leurs enjeux.
Cet article fait partie de notre série de guides pratiques pour aider les PME à renforcer leur cybersécurité. Retrouvez tous nos articles sur le blog Digital CyberWare.