Antivirus, EDR, XDR : quelle protection choisir pour les postes de votre PME ?
Un poste infecté par un ransomware peut chiffrer l'intégralité des fichiers d'un réseau PME en moins de dix minutes. Dans la majorité des cas documentés, l'antivirus était installé et à jour. Il n'a rien vu. Non pas parce qu'il a mal fonctionné, mais parce que la menace était nouvelle, sans signature connue.
Cet article explique concrètement ce que couvre chaque niveau de protection : antivirus, EDR, XDR, et lequel correspond à votre situation. Si vous gérez un parc PME de 5 à 50 postes sans service informatique dédié, c'est la question à trancher avant de subir un incident.
En bref : un antivirus seul n'est plus suffisant pour une PME active en 2026. L'EDR est le standard minimal recommandé à partir de 15 postes. Le XDR s'impose pour les entreprises exposées à NIS2 ou avec des données sensibles.
Ce que fait un antivirus et ce qu'il ne détecte pas
Un antivirus fonctionne par comparaison de signatures : il analyse chaque fichier et processus et les compare à une base de menaces connues. Rapide, léger, nécessaire, mais conçu pour hier.
Selon l'Acronis Cyberthreats Report 2024, 68 % des malwares détectés en entreprise sont des variantes nouvelles ou polymorphiques, absentes des bases de signatures au moment de l'attaque. Face à ces menaces, l'antivirus ne voit rien.
Ce que l'antivirus ne couvre pas :
- Les malwares zero-day : variantes nouvelles sans signature connue
- Les attaques fileless : qui s'exécutent en mémoire sans déposer de fichier sur le disque
- Les comportements légitimes détournés : PowerShell, WMI utilisés comme vecteurs d'attaque
- L'isolation automatique d'un poste compromis : l'antivirus peut supprimer un fichier, pas couper un poste du réseau
L'EDR : détection comportementale sur l'endpoint
L'EDR (Endpoint Detection and Response) ne cherche pas des signatures. Il surveille en continu ce que font les processus, les fichiers, la mémoire et les connexions réseau sur chaque poste. Si un comportement est anormal, même sans fichier malveillant identifiable, l'EDR l'intercepte.
Concrètement, si un processus commence à chiffrer massivement des fichiers, à établir des connexions vers un serveur inconnu, ou à injecter du code dans un autre processus, l'EDR détecte, alerte et peut isoler le poste automatiquement, avant que la contamination se propage au reste du réseau.
Ce que l'EDR ajoute par rapport à l'antivirus :
- Détection des menaces inconnues par analyse comportementale en temps réel
- Réponse automatique : isolation du poste, arrêt du processus malveillant
- Historique complet des activités endpoint pour l'investigation post-incident
- Protection contre les attaques fileless et les ransomwares polymorphiques
Pour une PME de 20 postes, la différence entre un antivirus seul et un EDR peut représenter la différence entre un incident contenu en quelques minutes et une semaine d'arrêt complet.
Le XDR : corrélation multi-sources pour les parcs exposés
Le XDR (Extended Detection and Response) étend la logique de l'EDR au-delà de l'endpoint. Il corrèle les données de plusieurs sources en simultané : postes de travail, réseau, emails, applications cloud. Il est conçu pour détecter des attaques qui se déroulent sur plusieurs vecteurs à la fois.
Exemple concret : un email de phishing passe les filtres (vecteur email), installe un agent silencieux (vecteur endpoint), qui exfiltre progressivement des identifiants vers l'extérieur (vecteur réseau). L'EDR voit l'anomalie sur le poste. Le XDR voit la chaîne complète et peut la couper plus tôt.
Le XDR est particulièrement adapté aux :
- PME de 30 postes et plus avec des données clients ou financières sensibles
- Entreprises concernées par NIS2 : le XDR répond à l'obligation de supervision étendue des systèmes d'information
- Secteurs à risque élevé : juridique, comptabilité, santé, industrie, administration
Quelle protection pour votre PME ?
La réponse dépend de trois critères : la taille de votre parc, votre exposition aux données sensibles, et vos obligations réglementaires.
- 5 à 15 postes, profil de risque faible, pas de données très sensibles → antivirus supervisé (Essentiel)
- 15 à 50 postes, activité commerciale ou traitement de données clients → EDR (Pro)
- Entreprise exposée NIS2, secteur réglementé ou données hautement sensibles → XDR (Conformité+)
Sur notre plateforme Acronis Cyber Protect Cloud, un seul agent est installé sur chaque poste, quelle que soit l'offre. La différence entre Essentiel, Pro et Conformité+ n'est pas un logiciel différent : c'est le niveau d'analyse et de réponse activé sur le même agent.
Nos offres de protection des postes
Les trois offres incluent supervision 24/7, gestion des incidents, mises à jour et patches, et sauvegarde. La protection endpoint évolue selon le niveau.
Essentiel → 28 € HT/poste/mois HT
Antivirus inclus, supervision continue, mises à jour automatiques, sauvegarde et rapport mensuel. Pour les parcs à faible exposition.
Pro → 39 € HT/poste/mois HT
Tout le Essentiel, plus l'EDR : détection comportementale, isolation automatique des postes compromis, investigation post-incident. Le standard recommandé pour les PME de 15 postes et plus.
Conformité+ → 57 € HT/poste/mois HT
Tout le Pro, plus le XDR : corrélation multi-sources, supervision étendue réseau et cloud, reporting NIS2 intégré. Pour les PME soumises à des exigences réglementaires ou traitant des données sensibles.
Voir le détail complet des offres infogérance postes →
Questions fréquentes : antivirus, EDR et XDR en PME
Mon antivirus à jour suffit-il pour protéger mes postes ?
Un antivirus à jour protège contre les menaces connues et cataloguées. Il ne détecte pas les malwares zero-day, les attaques fileless ni les comportements suspects sur des processus légitimes. Pour une PME active, un antivirus seul n'est plus suffisant à partir de 15 postes.
Quelle est la différence concrète entre un EDR et un antivirus ?
L'antivirus compare des signatures de fichiers. L'EDR analyse les comportements en temps réel : ce qu'un processus fait, pas ce qu'il est. Un EDR peut isoler automatiquement un poste compromis en quelques secondes, là où un antivirus se contente de mettre en quarantaine un fichier après détection.
À partir de combien de postes l'EDR devient-il indispensable ?
À partir de 15 postes, le risque de propagation d'une infection justifie pleinement l'EDR. En dessous, selon le profil de risque de l'entreprise, un antivirus supervisé peut suffire. La supervision humaine reste indispensable dans tous les cas. Un EDR non suivi n'alerte personne.
Le XDR est-il obligatoire pour se conformer à NIS2 ?
NIS2 impose des mesures de supervision des systèmes d'information. Le XDR répond à cette exigence en couvrant plusieurs vecteurs simultanément. L'EDR seul peut suffire pour les entités NIS2 les moins exposées, mais le XDR est la réponse la plus robuste et la mieux documentée pour les audits.
Combien coûte une protection EDR pour une PME de 20 postes ?
Notre offre Pro inclut l'EDR à 39 €/poste/mois HT. Pour 20 postes : 780 €/mois HT. Cela couvre la supervision 24/7, la détection comportementale, l'isolation automatique, la gestion des incidents, les mises à jour et la sauvegarde. Aucun logiciel supplémentaire n'est requis.
Votre protection actuelle détecterait-elle une attaque zero-day ce soir ?
Un audit de vos postes prend 30 minutes. Il couvre l'état de votre protection actuelle, les risques identifiés et la recommandation adaptée à votre parc. Résultat immédiat, sans engagement.
Copernic Systèmes, infogéreur MSP, Nancy, Grand Est.
Besoin d'un accompagnement ?
Discutons de votre projet IT
Notre équipe peut auditer votre infrastructure, vous conseiller sur la conformité NIS2/RGPD et mettre en place une infogérance adaptée à votre taille.
