KA IT
+32 489 59 42 27
La question revient systematiquement en audit : faut-il investir dans un EDR paye (entre 4 et 12 EUR HT par poste et par mois) quand Windows 11 livre deja Microsoft Defender gratuitement dans l'OS ? La reponse courte : ca depend du profil de risque. La reponse longue, avec les chiffres, c'est l'objet de cet article.
On compare ce que fait Defender natif, ce qu'apporte un EDR commercial, et on donne une grille de decision par profil PME. L'objectif est de vous faire payer ce qui vous protege vraiment, et pas plus.
1. Antivirus vs EDR : la difference concrete
Un antivirus classique compare les fichiers a une base de signatures connues. Si un fichier correspond a un malware repertorie, il est bloque. Depuis 10 ans, cette approche est completee par l'analyse comportementale et le machine learning.
Un EDR (Endpoint Detection and Response) fait plus que detecter. Il enregistre en continu l'activite du poste (processus lances, connexions reseau, modifications du registre), envoie ces donnees a une console centrale, et permet de repondre activement : isoler un poste, tuer un processus, revenir en arriere sur des modifications.
Un XDR etend l'analyse au dela du poste (email, cloud, identite). Un MDR (Managed Detection and Response) ajoute une equipe humaine qui surveille 24/7.
La documentation Microsoft Defender for Endpoint sur Microsoft Learn detaille les differentes couches (protection, EDR, chasse aux menaces).
2. Defender inclus dans Windows 11 : ce qu'il sait faire
Microsoft Defender Antivirus, integre gratuitement a Windows 10 et 11, a parcouru un chemin considerable depuis ses debuts. Les laboratoires independants le placent aujourd'hui parmi les meilleurs antivirus du marche grand public.
Les tests reguliers d'AV-TEST (categorie Business Windows Client) montrent que Defender atteint 99-100 % de detection sur les malwares "in-the-wild" depuis plusieurs annees. Techniquement, au niveau moteur antivirus pur, la difference avec les concurrents payants est devenue marginale.
Ce que Defender couvre en natif
- Protection temps reel avec analyse comportementale.
- Cloud-delivered protection (intelligence Microsoft sur des milliards d'endpoints).
- Controlled folder access contre le ransomware (dossiers proteges).
- Attack Surface Reduction rules (regles qui bloquent les techniques d'attaque courantes).
- Smart App Control sur Windows 11 (blocage des applications inconnues).
- Mises a jour automatiques via Windows Update.
Ce qui manque en natif (version grand public)
- Pas de console centralisee pour superviser tous les postes PME d'un coup.
- Pas de fonctions EDR (timeline des evenements, chasse aux menaces).
- Pas d'isolement distant automatique en cas d'incident.
- Pas de rollback avance post-ransomware.
Si vous avez un abonnement Microsoft 365 Business Premium (22 EUR HT/user/mois), Defender for Business est deja inclus. C'est un EDR complet avec console centralisee. Beaucoup de PME l'ont paye sans le savoir et ne l'ont jamais active.
3. EDR commercial : ce qu'il apporte en plus
Un EDR commercial (SentinelOne, CrowdStrike Falcon Go, Defender for Business, Bitdefender GravityZone, ESET PROTECT, Sophos Intercept X) apporte, au-dela du moteur antivirus :
- Console centralisee. Tableau de bord unique pour tous les postes de la PME, alertes en temps reel, rapports de conformite.
- Timeline des evenements. Si un incident survient, vous pouvez remonter le fil (quel email, quel site, quel processus, quelles commandes).
- Isolement reseau distant. En un clic, un poste compromis est coupe du reseau tout en restant pilotable par la console. Tres utile pour contenir un ransomware en cours.
- Rollback avance. Certaines solutions (SentinelOne notamment) restaurent automatiquement des fichiers chiffres par ransomware.
- Chasse aux menaces. Rechercher proactivement des indicateurs de compromission (IOC) connus sur tout le parc.
- Integration SIEM. Remontee des evenements vers un outil de supervision centralise.
- Support 24/7 dans les formules premium, avec option MDR.
4. Tableau comparatif Defender natif vs EDR paye
| Fonction | Defender natif (gratuit W11) | Defender for Business (22 EUR HT/u/mois) | EDR tiers milieu de gamme (6-10 EUR/u/mois) |
|---|---|---|---|
| Moteur AV comportemental | Oui | Oui | Oui |
| Detection cloud temps reel | Oui | Oui | Oui |
| Protection ransomware (dossiers) | Oui | Oui | Oui |
| Console centralisee parc | Non | Oui (Microsoft Defender portal) | Oui |
| Timeline des incidents | Non | Oui | Oui |
| Isolement reseau distant | Non | Oui | Oui |
| Rollback ransomware | Partiel | Partiel | Complet (selon editeur) |
| Reporting conformite (NIS2, ISO27001) | Non | Oui | Oui |
| MDR 24/7 (humains) | Non | Option | Option (+5-15 EUR/u/mois) |
On l'active, on configure les regles ASR, on met en place la console. Inclus dans nos packs Business et Managed. Audit compris.
5. Grille de decision par profil de PME
Profil A : micro-entreprise 1-5 postes, 100 % cloud, pas de donnees sensibles
Notre avis : Defender natif suffit. MFA activee, Windows Update force, backup cloud. L'ajout d'un EDR paye apporte peu face au risque reel.
Profil B : PME 5-25 postes classique (service, commerce, ASBL)
Notre avis : Defender for Business via Microsoft 365 Business Premium est l'option la plus simple et la plus integree. Cout marginal si vous avez deja la suite. Alternative : un EDR tiers entre 6 et 10 EUR HT/user/mois.
Profil C : PME dans un secteur expose (sante, finance, professions liberales, NIS2)
Notre avis : EDR obligatoire et, idealement, service MDR 24/7. Les secteurs regules sont cibles de maniere automatisee et la detection nocturne/week-end fait la difference. Budget typique : 15 a 25 EUR HT/poste/mois tout compris.
Profil D : PME avec teletravail majoritaire, postes hors bureau
Notre avis : EDR imperatif. Un poste qui passe du wifi de l'aeroport au wifi de la maison est expose en permanence a des reseaux hostiles. La console centralisee permet d'agir meme si l'utilisateur est a 800 km.
Profil E : PME soumise a une obligation contractuelle client
Notre avis : Plusieurs PME belges que nous accompagnons recoivent des questionnaires de securite d'un grand compte client (automobile, pharma, assurance). Les questions portent souvent sur la presence d'un EDR avec journalisation, sur la duree de retention des logs et sur la capacite a fournir des rapports. Dans ce cas, un EDR avec console (Defender for Business ou equivalent) n'est plus une option, c'est une exigence contractuelle.
Un EDR, aussi bon soit-il, ne remplace pas les fondamentaux : MFA, backup teste, filtrage email, patching a jour. Voir notre guide cybersecurite PME 2026 pour la chaine complete.
Cas particulier : PME qui heberge encore un serveur Windows Server on-premise
Les serveurs Windows Server (AD, fichiers, ERP) sont des cibles privilegiees car une compromission y ouvre l'acces a l'ensemble du parc. Dans ce contexte, Defender natif du serveur ne suffit plus : on recommande un EDR gere avec detection des mouvements lateraux, supervision des comptes admin Active Directory, alerting en temps reel sur les tentatives d'elevation de privileges. Le surcout par serveur est de l'ordre de 15 a 30 EUR HT par mois.
6. Notre recommandation 2026
Pour 80 % des PME belges que nous accompagnons, voici la matrice de choix qui simplifie la decision :
- Avez-vous deja Microsoft 365 Business Premium ? Si oui, activez Defender for Business. Vous payez deja. Cout additionnel : zero.
- Sinon, avez-vous 10 postes ou plus ? Un EDR tiers avec console centralisee (6-10 EUR HT/user/mois) est un bon investissement.
- Etes-vous dans un secteur regule NIS2 ? EDR + MDR ou contrat gere. C'est la difference entre etre alerte a 3h du matin et se reveiller avec tout chiffre.
- Etes-vous une micro-PME 1-3 postes sans risque particulier ? Defender natif + discipline (MFA, backup, patchs). Ne surpayez pas.
Nos packs integrent le bon niveau selon votre profil : Essential 25 EUR HT/user/mois pour les besoins de base (Defender natif + MFA + backup), Business 50 EUR HT/user/mois avec EDR manage, Managed 80 EUR HT/user/mois avec supervision active.
30 minutes d'echange, on regarde ce que vous avez, ce que vous payez, ce qui manque. Sans engagement.