En 2024 et 2025, cybercriminels neutraliser systématiquement endpoint à l'aide d'outils de type « BYOVD » (Bring-Your-Own-Vulnerable-Driver), et la campagne Snowflake / UNC5537 a démontré que des chaînes d'intrusion complètes pouvaient s'exécuter sans jamais toucher un endpoint géré. La question EDR contre XDR ne se résume plus à une simple liste de fonctionnalités : il s'agit de savoir quelle architecture résiste lorsque le endpoint est neutralisé ou absent. Ce guide propose une comparaison côte à côte, un cadre décisionnel en fonction de la taille de l'organisation et de la maturité du SOC, ainsi que le contexte 2025-2026 que le reste de la SERP néglige largement.
Le débat entre EDR et XDR a évolué. Pendant la majeure partie des années 2022 et 2023, la question portait principalement sur l'étendue des fonctionnalités : davantage d'intégrations, davantage de corrélation, davantage d'automatisation. En 2025 et 2026, elle est devenue une question de résilience architecturale. Deux tendances ont été à l'origine de ce changement.
Tout d'abord, les outils dits « EDR-killer » se sont généralisés. Depuis la première observation d'EDRKillShifter lors d'une intrusion de RansomHub en août 2024, Sophos X-Ops a constaté leur adoption rapide par plus de 10 groupes de ransomware identifiés en l'espace de 18 mois. Ensuite, les violations d'identité ont démontré qu'une chaîne d'intrusion complète pouvait se dérouler sans aucune endpoint : la campagne Snowflake / UNC5537 a touché environ 165 comptes clients en utilisant uniquement des identifiants récupérés et réutilisés contre des locataires SaaS ne disposant pas d'authentification multifactorielle.
Le message à retenir pour les architectes de sécurité est clair. En 2026, le choix entre EDR et XDR portera sur la résilience de l'architecture face endpoint et aux attaques ciblant les identités, et non sur une simple liste de fonctionnalités. La suite de ce guide s'articule autour de cette nouvelle approche.
Le lecteur qui examine cette décision en connaît déjà les principes fondamentaux ; l'objectif ici est donc la précision, et non un tutoriel.
Endpoint et la réponseEndpoint surveillent en permanence endpoint — processus, modifications de fichiers, événements du registre et connexions réseau — afin de détecter, d'analyser et de contrer les menaces sur les ordinateurs portables, les serveurs et les postes de travail. La principale source de télémétrie de l'EDR est le endpoint ou l'agent endpoint . Les fonctionnalités typiques comprennent la visibilité de l'arborescence des processus, la détection comportementale, l'isolation de l'hôte, ainsi que la restauration ou la correction endpoint sur le endpoint . L'EDR a fait son apparition après 2013, marquant une évolution par rapport aux antivirus basés sur les signatures et aux plateformes endpoint .
La détection et la réponse étendues (XDR) corrèlent les données de télémétrie de sécurité provenant endpoint, du réseau, des identités, cloud et de la messagerie électronique afin de détecter les attaques en plusieurs phases qui s'étendent sur plusieurs domaines. Les sources de télémétrie principales de la XDR sont, par définition, multiples : endpoint réseau endpoint identités, cloud SaaS, endpoint messagerie électronique. Parmi les fonctionnalités typiques, on trouve la corrélation inter-domaines, une interface d'investigation unifiée et une réponse coordonnée entre les plans de contrôle. Cette catégorie a vu le jour vers 2019 et 2020, lorsque les fournisseurs ont pris conscience que la visibilité endpoint était insuffisante face aux chaînes d'attaques modernes.
En bref : l'EDR se concentre sur endpoint ; le XDR met en corrélation les signaux provenant endpoint, du réseau, des identités, cloud et des e-mails afin de reconstituer les attaques qui touchent ces différents domaines. L'EDR offre une vision approfondie au niveau de l'hôte ; le XDR offre une vision globale de la surface d'attaque.
Le tableau ci-dessous présente les différences entre dix critères d'évaluation. Les outils de lecture rapide et les synthétiseurs basés sur l'IA devraient pouvoir extraire directement ce tableau.
Tableau : Comparaison entre EDR et XDR selon dix critères d'évaluation.
L'EDR reste le choix idéal lorsqu'il s'agit d'obtenir une visibilité approfondie au niveau de l'hôte à des fins d'analyse forensic. Ses atouts sont bien connus : analyse granulaire de l'arborescence des processus, workflows éprouvés de restauration et de correction, guides opérationnels SOC bien documentés, et un encombrement moindre en termes d'ingestion de données par rapport à une plateforme inter-domaines complète. Pour les organisations dont la surface d'attaque se concentre sur les terminaux gérés, l'EDR offre un rapport qualité-prix exceptionnel.
L'avantage du XDR se manifeste face aux attaques qui transcendent les domaines ou qui contournent endpoint les endpoint . La corrélation inter-domaines permet de reconstituer les chaînes d'attaques (endpoint sous la forme d'un incident unique, au lieu de trois alertes distinctes. Lorsque endpoint sont indisponibles, de qualité médiocre ou désactivées, la détection et réponse aux incidents et la télémétrie d'identité de l'XDR restent des sources d'information. Et la surface d'investigation unifiée de l'XDR est le seul endroit où une chaîne d'attaques SaaS axée sur l'identité devient visible.
Conclusion : l'EDR offre une couverture approfondie au niveau des endpoint; le XDR offre une couverture étendue sur l'ensemble des domaines. Le choix approprié dépend de l'endroit où opèrent vos attaquants — et, d'ici 2025-2026, ceux-ci opéreront de plus en plus en dehors des endpoint.
C'est là que la plupart des analyses de SERP s'arrêtent. La réalité en 2025 et 2026 est que cybercriminels activement et avec succès les capteurs EDR, ce qui constitue une étape standard préalable à l'attaque par ransomware. Le modèle suivi est celui du « BYOVD » (Bring-Your-Own-Vulnerable-Driver), et il correspond à MITRE ATT&CK technique T1562.001 — Compromettre les défenses : désactiver ou modifier des outils.
Au niveau du schéma, l'attaque est simple à décrire : les attaquants chargent un pilote signé mais vulnérable pour obtenir un accès au niveau du noyau ; cet accès est ensuite utilisé pour désactiver ou mettre hors service le capteur EDR, et le reste de l'intrusion se poursuit avec un risque de détection réduit. cloud réseau, d'identité et cloud — les domaines qui relèvent du champ d'application de l'XDR — sont les seuls éléments qui subsistent comme témoins une fois que endpoint a été mis hors service.
L'outillage n'est plus une simple théorie :
T1562.001.Les chiffres sont tout aussi éloquents. Plus de dix groupes de ransomware connus ont adopté EDRKillShifter en l'espace de 18 mois ; les chercheurs ont répertorié plus de 2 500 variantes du pilote BYOVD entre 2024 et 2025, Medusa a Medusa revendiqué plus de 60 attaques en 2025 en utilisant des outils de contournement EDR, et les attaques par ransomware dans le secteur manufacturier ont augmenté d'environ 61 % en 2025, les outils de contournement EDR occupant une place prépondérante. Le rapport d'ITBrew sur les tactiques de contournement et de gel des solutions EDR en donne une bonne idée.
C'est l'implication architecturale qui est déterminante dans cette décision. Si le endpoint peut être mis hors service — ce qui sera couramment le cas d'ici 2026 —, alors la détection endpoint constitue un point de défaillance unique. Dans ce contexte, la valeur ajoutée de l'XDR ne réside pas dans un « plus grand nombre de fonctionnalités ». C'est la redondance de la télémétrie. Lorsque le capteur cesse de fonctionner, un autre élément doit prendre le relais, et les seuls candidats possibles sont cloud réseau, d'identité et cloud . C'est là le champ d'application de l'XDR par définition.
La deuxième raison, indépendante de la première, pour laquelle le débat EDR contre XDR a évolué en 2026 est que de nombreuses chaînes d'intrusion modernes endpoint touchent endpoint aux endpoint gérés.
L'exemple type est la campagne Snowflake / UNC5537 de 2024, attribuée par Mandiant. Les pirates ont récupéré les identifiants des clients de Snowflake à partir des journaux d'un voleur d'informations, ont utilisé ces identifiants pour accéder aux locataires Snowflake ne disposant pas d'authentification multifactorielle, et ont exfiltré des données provenant d'environ 165 comptes clients, parmi lesquels AT&T, Ticketmaster et Santander. L'ensemble de la chaîne d'intrusion s'est déroulé au niveau de l'identité et au sein de l'environnement SaaS. Il n'y avait aucune endpoint que l'EDR aurait pu détecter, car il n'y avait aucun endpoint le chemin de l'attaque.
L'implication architecturale est d'ordre structurel. La réutilisation d'identifiants à l'encontre d'un locataire SaaS ne génère aucune endpoint . Seules les données de télémétrie relatives à l'identité — anomalies d'authentification, utilisation des jetons, schémas de déplacement impossibles, comportement en matière d'octroi de consentement — et les données de télémétrie d'audit cloud du SaaS peuvent attester de l'intrusion. C'est là le champ d'application de l'XDR, qui se situe hors du champ d'application de l'EDR par définition, et non en raison d'une limitation du produit. La détection et la réponse aux menaces liées à l'identité constituent une catégorie à part entière précisément en raison de cette lacune.
Parmi les autres schémas d'attaque axés sur l'identité qui relèvent de ce même angle mort, on peut citer phishing à l'octroi d'autorisations OAuth et à un déplacement latéral ultérieur dans les applications SaaS sans aucune endpoint ; la lassitude face à l'authentification multifactorielle (MFA) et le « push bombing » conduisant au vol de jetons de session ; ainsi que la compromission de comptes de service dans cloud . Dans chaque cas, un modèle de télémétrie endpoint ne permet pas de détecter l'attaque, car celle-ci ne transite pas par un endpoint.
La plupart des guides de référence se contentent de dire : « Optez pour l'EDR si votre entreprise est de petite taille, et pour l'XDR si elle est bien établie. » Cela ne constitue pas un cadre décisionnel. Le tableau ci-dessous s'articule autour des facteurs qui influencent réellement le choix : la taille de l'entreprise, la maturité du SOC, le profil de risque dominant et l'infrastructure existante.
Tableau : Matrice décisionnelle EDR/XDR en fonction de la taille de l'organisation, du niveau de maturité du SOC et du risque principal.
Une question courante qui oppose trois concepts — EDR, XDR et MDR — confond deux choix distincts. Le MDR (détection et réponse gérées) est un modèle opérationnel, et non une architecture de détection. Un fournisseur de services MDR peut gérer aussi bien l'EDR que le XDR pour le compte du client. Ces choix sont indépendants l'un de l'autre :
Les combinaisons les plus courantes sont EDR + MDR pour les PME disposant d'un effectif limité d'analystes au sein de leur centre d'opérations de sécurité (SOC), XDR + MDR pour les entreprises de taille moyenne qui souhaitent bénéficier d'une couverture multi-domaines sans avoir à mettre en place une équipe disponible 24 heures sur 24 et 7 jours sur 7, et XDR + SOC interne pour les grandes entreprises disposant d'un effectif d'analystes suffisant pour exploiter la plateforme directement.
Au cœur de la décision relative au XDR se cache un deuxième choix architectural : natif ou ouvert.
Le XDR natif est une plateforme mono-fournisseur dans laquelle les cloud endpoint, au réseau, aux identités et cloud proviennent toutes de la pile logicielle d’un seul et même fournisseur. Les avantages sont une intégration plus étroite, un modèle de données unifié, un processus d’acquisition simplifié et une expérience cohérente pour les analystes. Les inconvénients sont la dépendance vis-à-vis d'un fournisseur, une flexibilité limitée pour intégrer les meilleures solutions de télémétrie proposées par des spécialistes, et des lacunes potentielles là où le fournisseur ne dispose pas d'une couverture suffisante — par exemple, un fournisseur de XDR natif ne disposant pas de capacités avancées en matière de réseau ou d'identité.
Open XDR est une couche de corrélation qui ingère les données de télémétrie provenant de multiples sources tierces — qu'il s'agisse d'EDR, de NDR, de fournisseurs d'identité ou de cloud — et effectue des détections à partir de ces données. Ses avantages résident dans sa neutralité vis-à-vis des fournisseurs, la préservation des investissements existants, une flexibilité optimale et une mise en œuvre plus rapide dans les environnements hétérogènes. En contrepartie, il présente des inconvénients tels que la charge liée à l'intégration, la complexité de la normalisation des données et une qualité de détection qui dépend de la qualité de chaque source en amont.
Native XDR est la solution la mieux adaptée aux déploiements entièrement nouveaux, aux entreprises qui privilégient une pile technologique provenant d'un seul fournisseur, ainsi qu'aux SOC de petite taille qui tirent parti d'une expérience utilisateur homogène. Open XDR est la solution la mieux adaptée aux entreprises disposant d'un parc informatique hétérogène, à celles dont les besoins en matière d'identité ou de couverture réseau doivent être pris en charge par un spécialiste, ainsi qu'à celles pour lesquelles éviter la dépendance vis-à-vis d'un fournisseur constitue une priorité stratégique.
Le coût est le point faible de la page de résultats de recherche (SERP) : aucun des dix premiers résultats ne donne la moindre indication sur le coût total de possession (TCO). Voici quelques remarques sur la structure du modèle de coûts, sans mentionner de prix :
En ce qui concerne l'estimation de la taille du marché, présentez le marché XDR de 2025 sous forme de fourchette plutôt que de chiffre précis : les définitions des analystes divergent considérablement entre les solutions XDR autonomes et intégrées, ainsi qu'entre une approche exclusivement native et une approche ouverte et inclusive.
Tableau : Les estimations du marché du XDR varient d'un facteur d'environ 6 selon trois analystes, ce qui reflète des divergences quant à la définition.
Une estimation souvent citée : selon son « Market Guide for XDR », Gartner prévoit que jusqu’à 40 % des entreprises utilisatrices auront adopté la technologie XDR d’ici la fin de l’année 2027. Il convient de considérer cette estimation comme indicative : ces chiffres datent d’environ 24 mois et aucune édition actualisée pour 2025 ou 2026 n’était disponible au moment de la rédaction du présent article.
Au cours des 12 à 24 prochains mois, trois évolutions vont encore faire évoluer le débat entre EDR et XDR.
La redondance de la télémétrie devient une exigence, et non plus un simple atout. Les outils « EDR-killer » étant désormais la norme dans les stratégies de prévention contre les ransomwares, les acheteurs considéreront de plus en plus la télémétrie inter-domaines comme un facteur de résilience plutôt que comme un simple moyen de faciliter la corrélation. Il faut s'attendre à ce que les questions des acheteurs évoluent de « combien d'intégrations prenez-vous en charge ? » à « que se passe-t-il lorsque le endpoint cesse d'envoyer des données ? »
L'identité devient un domaine de détection à part entière. Le modèle Snowflake n'est pas un cas isolé. Les marchés d'infostealers, le vol de jetons de session et l'utilisation abusive des autorisations OAuth ont donné naissance à un flux constant d'intrusions axées sur l'identité qui ne touchent jamais les endpoint gérés. Les entreprises qui n'ont pas mis en place de télémétrie de l'identité parallèlement à endpoint du réseau constateront que leurs lacunes en matière de couverture en 2026 seront liées à l'identité.
La pression réglementaire renforce la visibilité interdomaines. La directive NIS2 en Europe, les règles de la SEC en matière de divulgation des incidents cybernétiques aux États-Unis et la fonction « Détection » élargie du NIST CSF 2.0 récompensent toutes les organisations capables de reconstituer rapidement le déroulement des incidents sur l'ensemble des domaines. endpoint fournie par un produit ponctuel suffit rarement à elle seule à respecter les délais de divulgation imposés par ces réglementations.
La convergence du marché se poursuit. Les fonctions XDR, SIEM et SOAR se fondent progressivement au sein de la pile SOC moderne. Les acheteurs doivent s'attendre à ce que les frontières entre les catégories continuent de s'estomper et évaluer les plateformes en fonction des comportements qu'elles détectent et de l'expérience d'investigation qu'elles offrent, plutôt qu'en fonction des étiquettes de catégorie.
La recommandation en matière de préparation est simple : fondez votre décision sur la couverture de la surface d'attaque et la résilience de l'architecture, et non sur un tableau comparatif des fonctionnalités.
Sur l'ensemble du marché, la tendance est claire. Les organisations de sécurité bien établies passent d'un modèle opérationnel basé sur les « alertes par domaine » à un modèle fondé sur les « signaux d'attaque comportementaux » qui établit des corrélations entre les domaines. Les données d'identité et la télémétrie SaaS sont désormais considérées comme des sources de premier plan, au même titre que endpoint le réseau. L'ingénierie de détection part de plus en plus du principe que le capteur EDR peut être désactivé à un moment donné lors d'une intrusion, et le triage assisté par IA est utilisé pour gérer le volume d'alertes sans augmenter les effectifs. Les fonctions XDR, SIEM et SOAR convergent au sein de la pile SOC, et le débat au sein du secteur s'éloigne des étiquettes de catégorie pour se concentrer sur des résultats mesurables en matière de couverture des attaques.
Vectra AI la détection en partant du principe que le système a déjà été compromis. Plutôt que de considérer l'EDR ou le XDR comme un simple exercice de comparaison des fonctionnalités, Attack Signal Intelligence Vectra AI Attack Signal Intelligence sur les comportements des attaquants à travers le réseau, l'identité et cloud précisément les domaines de télémétrie qui restent visibles lorsque endpoint sont désactivés par des outils BYOVD, ou lorsque des chaînes d'attaques comme Snowflake / UNC5537 ne touchent endpoint les endpoint . Le point méthodologique n'est pas que « l'XDR surpasse l'EDR ». Il s'agit plutôt du fait que la visibilité comportementale inter-domaines est la propriété architecturale qui résiste aux techniques d'évasion modernes, et c'est précisément ce que la Vectra AI est conçue pour offrir. Pour les équipes qui mettent en œuvre cette approche, la chasse aux menaces inter-domaines devient une extension naturelle.
En 2026, le choix entre EDR et XDR ne se résumera pas à déterminer quelle catégorie offre le plus de fonctionnalités. Il s'agira plutôt de savoir quelle architecture résistera lorsque le endpoint sera mis hors service et lorsque la chaîne d'attaque n'atteindra endpoint pas un endpoint géré. L'EDR reste indispensable pour une analyse approfondie au niveau de l'hôte et constitue le choix idéal pour les organisations dont la surface d'attaque se concentre sur les terminaux. Le XDR devient le choix approprié lorsque la surface d'attaque s'étend à l'identité, au SaaS, cloud et au réseau — et en 2025 et 2026, ce sera le cas pour une part croissante d'organisations. La voie pratique pour la plupart des équipes de sécurité n'est pas de choisir l'une et d'écarter l'autre, mais d'adapter la portée de la télémétrie à la surface d'attaque, et de considérer la redondance de la télémétrie comme une propriété architecturale pour laquelle il vaut la peine de payer.
Pour découvrir comment la détection comportementale interdomaines fonctionne dans la pratique, découvrez comment Vectra AI l'extension EDR et l'optimisation SIEM pour les SOC modernes.
L'EDR surveille et réagit aux menaces sur les terminaux — ordinateurs portables, serveurs et postes de travail. Le XDR met en corrélation les données de télémétrie de sécurité provenant endpoint, du réseau, des identités, cloud et de la messagerie électronique afin de détecter les attaques qui s'étendent sur plusieurs domaines. Pour simplifier : l'EDR offre une profondeur au niveau du endpoint; le XDR offre une largeur sur l'ensemble de la surface d'attaque. L'EDR est l'outil approprié lorsque l'attaque se déroule sur un hôte, et le XDR est l'outil approprié lorsque l'attaque se déplace entre les domaines — ou contourne endpoint le endpoint . En 2025 et 2026, la part des attaques correspondant à la deuxième description a fortement augmenté, ce qui explique pourquoi le débat EDR contre XDR est devenu plus urgent. Les deux architectures peuvent être exploitées en interne ou via un fournisseur de services de détection et de réponse gérés (MDR).
Non. L'XDR vient généralement compléter l'EDR plutôt que de le remplacer : le endpoint une source de télémétrie essentielle et la profondeur de l'analyse forensic au niveau de l'hôte conserve toute son importance. Ce qui change, c'est la prise de conscience que la visibilité endpoint est insuffisante. Deux facteurs sont à l'origine de cette évolution. Premièrement, les attaquants ont systématisé la pratique consistant à désactiver les capteurs EDR à l'aide d'outils BYOVD, de sorte qu'on ne peut plus partir du principe que endpoint résistera face à un adversaire compétent. Deuxièmement, les chaînes d'attaques basées sur l'identité, comme la campagne Snowflake de 2024, peuvent s'exécuter sans aucune endpoint . Dans les deux cas, cloud du réseau, des identités et cloud reste un témoin — et c'est précisément le champ d'application de l'XDR. La réponse pratique pour la plupart des organisations est que l'XDR englobe et complète l'EDR plutôt que de le supplanter.
Optez pour l'EDR, généralement associé au MDR, lorsque votre organisation est de petite ou moyenne taille, que vos principaux risques sont malware courants malware phishing, que les capacités de votre SOC sont limitées et que votre surface d'attaque se concentre sur les terminaux gérés. Dans ce contexte, l'EDR offre le meilleur rapport coût/couverture, et un fournisseur de services MDR peut le faire fonctionner 24 heures sur 24, 7 jours sur 7. Optez pour le XDR lorsque votre surface d'attaque s'étend aux identités, au SaaS, cloud et au réseau en plus des terminaux ; lorsque le profil de vos adversaires inclut des groupes de ransomware utilisant des outils de contournement de l'EDR ; ou lorsque les exigences de conformité nécessitent une reconstitution des incidents inter-domaines. Les entreprises de taille moyenne se situent souvent entre les deux : elles déploient l'EDR pour endpoint et ajoutent une télémétrie sélective du réseau et des identités pour combler les lacunes que la détection endpoint ne peut couvrir.
L'EDR et le XDR sont des architectures de détection : ils définissent les données de télémétrie collectées et la manière dont elles sont corrélées. Le MDR (détection et réponse gérées) est un modèle opérationnel : il définit qui gère la plateforme. Un fournisseur MDR peut gérer soit une pile EDR, soit une pile XDR pour le compte du client. Ces deux choix sont indépendants l'un de l'autre : « EDR ou XDR ? » est une question qui porte sur la portée de la télémétrie, tandis que « MDR ou en interne ? » concerne les effectifs et la prestation de services. Les combinaisons courantes sont EDR + MDR pour les PME, XDR + MDR pour les entreprises de taille moyenne qui souhaitent une couverture interdomaines sans avoir à gérer une équipe 24 h/24 et 7 j/7, et XDR avec un SOC interne pour les grandes entreprises disposant d'une équipe d'analystes capable d'exploiter directement la plateforme.
Le XDR natif est une plateforme mono-fournisseur dans laquelle les cloud endpoint, au réseau, à l'identité et cloud proviennent toutes de la pile logicielle d'un seul et même fournisseur. Il favorise une intégration plus étroite, un modèle de données unifié et un processus d'acquisition simplifié, au prix d'une dépendance vis-à-vis du fournisseur et de lacunes potentielles dans les domaines où celui-ci présente des faiblesses. Open XDR est une couche de corrélation qui ingère les données de télémétrie provenant de multiples sources tierces — n'importe quel EDR, n'importe quel NDR, n'importe quel fournisseur d'identité — et effectue la détection par-dessus. Elle privilégie une flexibilité optimale et préserve les investissements existants, au prix d'une charge d'intégration plus importante et d'une complexité accrue en matière de normalisation des données. Native XDR convient aux environnements « greenfield » et aux environnements mono-fournisseur ; Open XDR convient aux piles hétérogènes et aux organisations qui souhaitent éviter la dépendance vis-à-vis d'un fournisseur.
Oui, et en 2025 et 2026, ils le font couramment. Depuis août 2024, des outils tels que EDRKillShifter ont été adoptés par plus de dix groupes de ransomware connus pour désactiver les capteurs EDR à l'aide de pilotes signés mais vulnérables — une technique appelée « bring-your-own-vulnerable-driver » (BYOVD), qui correspond à MITRE ATT&CK T1562.001. Les chercheurs ont recensé plus de 2 500 variantes du pilote BYOVD entre 2024 et 2025, et Medusa a été à l'origine de plus de 60 attaques en 2025 qui utilisaient des outils de contournement des solutions EDR. C'est la principale raison pour laquelle les équipes de sécurité réévaluent la détection endpoint au profit d'une visibilité XDR interdomaines. Lorsque le capteur cesse de fonctionner, seules la télémétrie du réseau et celle des identités subsistent.
Les estimations des analystes concernant le marché du XDR en 2025 varient d'un facteur d'environ 6, ce qui reflète un réel désaccord sur la définition entre le XDR autonome et le XDR intégré, ainsi qu'entre une approche exclusivement native et une approche ouverte et inclusive. Grand View Research a évalué le marché à 1,34 milliard de dollars en 2025, avec une prévision de 5,97 milliards de dollars d'ici 2033 (TCAC de 20,5 %). MarketsandMarkets estime le chiffre pour 2025 à 7,92 milliards de dollars, avec une croissance jusqu'à 30,86 milliards de dollars d'ici 2030 (TCAC de 31,2 %). Strategy R prévoit 2,2 milliards de dollars en 2024, avec une croissance jusqu'à 6,4 milliards de dollars d'ici 2030. La bonne façon de présenter le marché du XDR est sous forme de fourchette, et non de chiffre unique. En ce qui concerne l'adoption, Gartner prévoit que jusqu'à 40 % des organisations utilisatrices utiliseront le XDR d'ici la fin de l'année 2027 — un chiffre indicatif qu'il convient de traiter comme tel plutôt que comme une donnée de planification ferme.