Si vous comparez NDR et EDR, vous avez déjà dépassé le stade des bases. La véritable question est de savoir si endpoint peut encore, à elle seule, soutenir votre stratégie de détection en 2026 — et les données des six derniers mois indiquent que ce n'est pas le cas. Une étude menée par ESET en mars 2026 a recensé environ 90 outils distincts conçus pour contourner les solutions EDR, dont 54 exploitent des pilotes signés vulnérables (ESET WeLiveSecurity). Des affiliés d'Akira ont chiffré l'intégralité d'un réseau à partir d'une webcam IoT après que l'EDR eut bloqué leur charge utile Windows (BleepingComputer). Et l'avis de la red team AA24-326A de la CISA a conclu qu'une organisation américaine gérant des infrastructures critiques « s'appuyait trop fortement sur des solutions EDR basées sur l'hôte et n'avait pas mis en place de protections suffisantes au niveau de la couche réseau ».
En résumé : la plupart des entreprises de taille moyenne et des grandes entreprises ont besoin à la fois d'une solution NDR et d'une solution EDR, déployées dans un ordre précis et intégrées dans une architecture en couches. Ce guide explique pourquoi les données ont évolué, compare ces deux outils en termes de détection, de coût et de conformité, et indique comment déterminer lequel déployer en premier.
Le NDR (détection et réponse aux incidents) analyse le trafic réseau afin de détecter les menaces sur tous les appareils connectés, tandis que l'EDR (endpoint et réponseendpoint ) surveille l'activité des processus, des fichiers et du registre sur chaque terminal grâce à un agent installé. Le NDR fonctionne sans agent et détecte les appareils non gérés ; l'EDR repose sur un agent et analyse en profondeur endpoint . Ces deux outils couvrent des phases distinctes du cycle de vie d'une attaque.
détection et réponse aux incidents établit des références comportementales pour le trafic est-ouest et nord-sud, puis signale les écarts — balises inhabituelles, connexions latérales anormales, transferts de données suspects — sans avoir besoin de déchiffrer le contenu. Comme le NDR fonctionne hors bande, il ne peut pas être désactivé par une compromission au niveau de l'hôte, et il détecte tous les appareils qui se connectent au réseau, quel que soit leur système d'exploitation ou leur état de gestion.
Endpoint et de réponseEndpoint installe un agent sur chaque endpoint géré endpoint surveille le lancement des processus, les écritures sur les fichiers, les modifications du registre, les injections en mémoire et l'exécution de scripts. L'EDR est sans égal pour empêcher malware et fournir des analyses forensiques au niveau de l'hôte. Son principe de base — à savoir que l'agent est présent et intact — est précisément celui que les attaquants de 2025–2026 sont programmés pour contourner.
Comparaison directe entre NDR et EDR en fonction de la source de données, du mode de déploiement, de la résistance au contournement et de la couverture.
Source des données et déploiement. Le NDR analyse le réseau. L'EDR analyse les endpoint. Selon des analyses universitaires validées par des pairs, la couverture de l'EDR s'étend à environ 48 à 55 % MITRE ATT&CK , tandis que des études menées par le secteur indiquent qu'environ 52 % des techniques ATT&CK peuvent être traitées au niveau du réseau. Ces deux catégories couvrent des segments de la surface d'attaque qui se recoupent mais restent distincts — et, ensemble, elles couvrent une partie nettement plus importante du cadre que chacune d'entre elles prise isolément.
Les étapes de l'attaque et la résistance à l'évasion. L'EDR est structurellement plus performant au début de la chaîne d'attaque : exécution, persistance et élévation de privilèges sur les hôtes gérés. Le NDR est structurellement plus performant au milieu et à la fin : mouvement latéral, commande et contrôle (C2) et exfiltration. C'est au niveau de la résistance à l'évasion que 2026 modifie le calcul : l'EDR peut être aveuglé par le chargement d'un pilote vulnérable, tandis que le NDR, situé hors bande, ne peut pas l'être.
Appareils non gérés et analyse comportementale. L'EDR nécessite un agent. Les imprimantes, les caméras IoT, les contrôleurs de technologies opérationnelles, les appareils médicaux, les appliances Linux héritées et les ordinateurs portables des invités ne peuvent pas en exécuter. Le NDR les détecte tous. En matière d'analyse comportementale, l'EDR excelle dans la détection des anomalies au niveau de l'hôte ; le NDR excelle dans l'analyse des schémas de trafic est-ouest qui révèlent l'utilisation abusive des identifiants et MITRE ATT&CK des techniques telles que les services à distance (T1021) et le protocole de la couche application (T1071).
Conclusion : le NDR et l'EDR couvrent chacun une partie distincte de l'attaque. L'EDR gère les endpoint; le NDR gère tout ce qui se trouve entre les terminaux. La question n'est pas de savoir « lequel est le meilleur », mais « quelle partie de l'attaque pouvez-vous vous permettre de laisser sans protection ? »
Les premiers résultats des pages de résultats des moteurs de recherche (SERP) comparant les modèles NDR et EDR se limitent à la théorie. Les données recueillies au cours des 18 derniers mois viennent étayer cet argument théorique. Trois études de cas — et une tendance macroéconomique — ont redéfini le débat.
Lors d'une intervention de réponse aux incidents en 2025, des affiliés d'Akira ont tenté de déployer leur charge utile de ransomware Windows, mais ont été bloqués et mis en quarantaine par l'EDR de la victime. Les acteurs ont alors procédé à un balayage du réseau, ont découvert une webcam IP sous Linux non gérée et dépourvue d'agent EDR, ont monté des partages SMB à partir de cette webcam, puis ont chiffré des fichiers sur l'ensemble du réseau à partir d'un appareil que endpoint ne pouvaient pas détecter. Akira représentait environ 15 % des cas de ransomware traités par une société de réponse aux incidents en 2024. Une surveillance au niveau de la couche réseau du trafic SMB est-ouest aurait immédiatement signalé ce chiffrement latéral (BleepingComputer, S-RM, INCIBE-CERT).
Les recherches menées par ESET en 2026 ont révélé que la famille de ransomwares Reynolds intégrait un pilote vulnérable (NSecKrnl) utilisé pour neutraliser les solutions EDR au moment de l'exécution. Le pilote était chargé en tant que composant du noyau légitime et signé, puis utilisé comme arme pour mettre fin aux processus endpoint avant le déclenchement de la charge utile. Le seul signal hors bande disponible était le trafic C2 qui s'ensuivait — invisible pour endpoint désormais aveuglé, mais visible pour toute plateforme NDR surveillant le réseau (ESET WeLiveSecurity, Help Net Security).
EDRKillShifter, initialement associé à une seule opération de ransomware-as-a-service, a été adopté par Medusa de Play, BianLian et Medusa de la fin de l'année 2025 jusqu'en 2026. Ce qui était au départ une fonctionnalité sur mesure est désormais devenu un outil courant échangé au sein de l'économie des affiliés — tout comme Cobalt Strike, Mimikatz et les outils d'extraction d'identifiants sont devenus des outils courants il y a une dizaine d'années (ESET WeLiveSecurity, The Hacker News).
L'analyse réalisée par ESET en mars 2026 a recensé environ 90 outils distincts destinés à contourner les systèmes EDR. Parmi ceux-ci, 54 utilisent des techniques BYOVD exploitant 35 pilotes signés différents — et 24 de ces pilotes ont été développés sur mesure et ne disposent d'aucun CVE public, ce qui signifie qu'aucun programme de correctifs ne peut combler cette faille. Sur le marché noir, le prix des outils de contournement EDR varie entre 300 et 10 000 dollars par outil.
Le gouvernement américain est déjà parvenu à la même conclusion. L'avis « red team » AA24-326A publié par la CISA en novembre 2024 rendait compte d'une opération de simulation d'attaque menée sur une infrastructure critique, au cours de laquelle les solutions EDR n'avaient « détecté que quelques-unes » des charges utiles déployées par les évaluateurs. La conclusion explicite de la CISA : l'organisation « s'est trop appuyée sur des solutions EDR basées sur l'hôte et n'a pas mis en place de protections suffisantes au niveau de la couche réseau ». Par ailleurs, le rapport SpyCloud 2026 sur l'exposition des identités a révélé que 54 % des appareils infectés par des logiciels de vol d'informations disposaient d'un antivirus ou d'une solution EDR au moment de la compromission, et que 46 % des hôtes infectés détenant des identifiants n'étaient absolument pas gérés — soit exactement la population que l'EDR ne peut pas atteindre.
Conclusion : En 2026, les affiliés de ransomware considèrent la neutralisation des solutions EDR comme une pratique courante. C'est pourquoi la détection côté réseau est devenue la source de vérité hors bande.
Ces deux catégories correspondent parfaitement à la matrice MITRE ATT&CK . L'EDR domine les tactiques endpoint; le NDR domine les tactiques axées sur le réseau. Quelques tactiques — notamment « Évasion des défenses » et « Accès aux identifiants » — tirent parti des signaux provenant des deux.
Couverture MITRE ATT&CK par outil. Les recoupements entre les catégories « Évitement des mesures de défense » et « Accès aux identifiants » mettent en évidence les domaines où la combinaison des signaux apporte le plus de valeur ajoutée.
Selon une analyse académique évaluée par des pairs, la couverture EDR s'élève à 60-80 % des MITRE ATT&CK , tandis que des études menées par le secteur estiment qu'environ 52 % des techniques ATT&CK peuvent être traitées au niveau du réseau. Ce recoupement est significatif mais incomplet : la couverture combinée dépasse largement celle de l'un ou l'autre de ces outils pris isolément, en particulier pour les tactiques situées au milieu de la chaîne, qui revêtent une importance cruciale dans la lutte contre les ransomwares modernes. Pour consulter le catalogue complet des techniques, voir le MITRE ATT&CK .
Conclusion : l'EDR maîtrise les endpoint . Le NDR maîtrise les tactiques de propagation latérale, de C2 et d'exfiltration. Ensemble, ils comblent les lacunes de couverture du modèle ATT&CK que l'EDR seul laisse ouvertes.
Aucun résultat des pages de résultats de recherche (SERP) classé entre la première et la dixième place ne fournit de cadre tarifaire comparatif entre NDR et EDR. Cette section comble cette lacune en proposant des fourchettes de prix plutôt que des tarifs propres à chaque fournisseur.
Modèle de tarification EDR. Le modèle dominant est celui des licencesendpoint et par an, dont le coût se situe généralement entre 20 et 100 dollars par endpoint an. Les déploiements EDR en entreprise entraînent des coûts supplémentaires liés à la gestion des agents, à l'ajustement des politiques, aux modules complémentaires de détection gérée et au temps de travail des analystes nécessaire pour trier les alertes au niveau des hôtes. Le marché de l'EDR en 2026 est estimé à environ 6,89 milliards de dollars, avec un taux de croissance annuel composé (TCAC) d'environ 26,3 %.
Modèle de tarification NDR. La tarification NDR varie selon les fournisseurs, mais elle est généralement forfaitaire et basée sur le débit plutôt que sur le nombre d'appareils. Les modèles par utilisateur commencent souvent autour de 20 dollars par utilisateur et par mois ; les modèles basés sur les capteurs sont facturés en fonction du débit réseau aux emplacements des capteurs. Comme le NDR stocke des métadonnées réseau plutôt que des captures de paquets complètes, les coûts de stockage sont réduits. Le marché du NDR a atteint 3,5 à 4,2 milliards de dollars en 2025, avec un taux de croissance annuel composé (TCAC) de 10 à 23 % selon les sources d'analystes, et Gartner a publié son tout premier Magic Quadrant dédié au NDR en mai 2025.
Cadre de comparaison du coût total de possession (TCO) pour les solutions EDR et NDR, présenté sous forme de modèle tarifaire et de facteurs de coût plutôt que de devis spécifiques à chaque fournisseur.
Calculs justifiant le budget. Le rapport « IBM Cost of a Data Breach 2025 » estime le coût moyen mondial d'une violation de données à 4,44 millions de dollars, avec un délai moyen de 241 jours pour identifier et contenir une violation. Les entreprises qui utilisent largement des outils de sécurité basés sur l'IA ont réduit de 80 jours la durée du cycle de vie d'une violation et ont économisé environ 1,9 million de dollars par incident. Au regard de ces chiffres, le coût annuel d'un déploiement NDR + EDR multicouche ne représente qu'une fraction minime des économies réalisées par incident — en particulier lorsque l'incident en question est une attaque par ransomware que endpoint seule n'a pas pu arrêter.
Conclusion : l'EDR est généralement moins coûteux par poste, mais la résistance à la contournement de l'EDR et sa couverture des appareils non gérés s'avèrent souvent rentables dès la première fois où la couche réseau détecte ce que la endpoint a manqué.
La cartographie de la conformité constitue le deuxième écart le plus important au niveau des SERP. Le tableau ci-dessous établit une correspondance entre ces deux outils et le NIST CSF 2.0, la directive NIS2 et les CIS Controls v8.
Tableau de correspondance des exigences de conformité indiquant les contrôles du cadre auxquels le NDR et l'EDR répondent respectivement. Ces deux outils sont nécessaires pour assurer une couverture complète au regard du NIST CSF et de la norme NIS2.
La directive NIS2 est le principal facteur de mise en conformité en 2026. La date limite pour l'identification des entités a expiré en avril 2025, et les premiers audits de conformité des entités essentielles débuteront en juin 2026. L'article 21 de la directive NIS2 impose explicitement la mise en place de capacités de surveillance du réseau, ce qui signifie que les organisations qui s'appuient uniquement sur endpoint ne peuvent pas démontrer qu'elles disposent du contrôle de surveillance continue requis. Pour plus de détails sur la manière dont la détection réseau s'intègre aux rapports de conformité basés sur les journaux, consultez la comparaison entre SIEM et NDR.
Les organisations américaines sont confrontées à des pressions similaires. Le NIST CSF 2.0 DE.CM Cette mesure prévoit une surveillance continue des « réseaux et services réseau », et la mesure CIS n° 13 porte explicitement sur les réseaux. Aucun de ces deux cadres ne considère endpoint comme un substitut à la surveillance du réseau.
Conclusion : pour toute organisation soumise aux normes NIS2, NIST CSF 2.0 ou CIS v8, la mise en place d'une solution de surveillance du réseau n'est plus une option. Une solution EDR ne suffit pas à elle seule à combler les lacunes en matière de contrôle.
La plupart des comparaisons se terminent par « utilisez les deux », ce qui n'est pas très utile lorsque votre budget ne vous permet d'en choisir qu'un seul. Voici un arbre de décision concret en six étapes.
Étape 1 — Disposez-vous déjà d'une solution EDR ? Si ce n'est pas le cas, déployez-en une en premier lieu. Environ 70 % des intrusions réussies trouvent leur origine au niveau des terminaux, et l'EDR reste le dispositif de contrôle fondamental pour bloquer malware connus malware fournir des analyses forensiques au niveau de l'hôte.
Étape 2 — Disposez-vous d'appareils non gérés ? Il peut s'agir de systèmes IoT, OT, BYOD, d'appareils invités ou de systèmes hérités sur lesquels il est impossible d'installer un agent. Si oui, ajoutez une solution NDR. L'EDR ne peut pas détecter ces appareils. Une étude réalisée par SpyCloud en 2026 a révélé que 46 % des hôtes infectés détenant des identifiants étaient non gérés.
Étape 3 — Êtes-vous soumis aux normes NIS2, DORA, NIST CSF 2.0 ou CIS v8 ? Si oui, la surveillance du réseau est une exigence de conformité. La solution NDR y répond directement ; ce n'est pas le cas de la solution EDR.
Étape 4 — Le ransomware représente-t-il une menace réelle pour votre organisation ? Si oui, il est désormais prouvé que le NDR constitue la couche de détection hors bande de référence lorsque l'EDR est désactivé par le BYOVD. L'affaire de la webcam Akira, la famille Reynolds BYOVD et la propagation par les affiliés d'EDRKillShifter mènent toutes à la même conclusion.
Étape 5 — Disposez-vous d'effectifs SOC suffisants pour gérer les deux plateformes ? Si ce n'est pas le cas, envisagez de recourir à un service de détection et de réponse géré ou à une plateforme consolidée. Une extension EDR — où le NDR vient compléter endpoint existant endpoint plutôt que de le remplacer — constitue souvent le moyen le plus rapide d'obtenir une couverture multicouche sans doubler la charge de travail des analystes.
Étape 6 — Intégrer les alertes NDR et EDR. La corrélation croisée entre les signaux au niveau des hôtes et ceux au niveau du réseau permet de réduire les faux positifs et d'obtenir des détections hautement fiables. C'est là le fondement du modèle de la « triade de visibilité du SOC », et c'est ainsi que les outils NDR modernes apportent toute leur valeur ajoutée.
Conclusion : commencez par mettre en place une solution EDR si vous n'en disposez pas encore. Ajoutez une solution NDR dès que vous êtes confronté à des appareils non gérés, à des exigences de conformité ou à un risque crédible de ransomware. Intégrez les deux pour bénéficier d'une détection croisée et hautement fiable.
La comparaison entre NDR et EDR continuera d'évoluer jusqu'en 2026-2027, à mesure que trois tendances se dessineront.
La banalisation du BYOVD s'accélère. Les données d'ESET — 90 outils « EDR-killer », dont 54 utilisant le BYOVD et 24 exploitant des pilotes personnalisés sans CVE — révèlent une économie des attaquants qui a industrialisé endpoint . Il faut s'attendre à ce que le nombre d'outils continue d'augmenter et que leur adoption par les affiliés s'étende au-delà des Medusa actuels Play, BianLian et Medusa . Les organisations qui prévoient des stratégies de détection endpoint parient contre une tendance claire chez leurs adversaires.
Les audits NIS2 font passer la conformité de la théorie à la pratique. Juin 2026 marquera le début des audits des entités essentielles. Les premières mesures coercitives établiront un précédent quant à ce qu'implique réellement la « surveillance continue du réseau », et les organisations ne disposant pas d'une capacité NDR pourraient faire l'objet de constatations, quel que soit leur niveau de maturité en matière d'EDR. La mise en œuvre de la loi DORA dans le secteur financier et les règles de la SEC relatives à la divulgation des informations cybernétiques aux États-Unis créent des pressions parallèles.
Convergence des plateformes et maturité du XDR. La catégorie NDR a atteint un niveau de maturité reconnu par les analystes — le premier Magic Quadrant de Gartner consacré au NDR a été publié en 2025 — et les plateformes XDR continuent d'intégrer les capacités NDR et EDR au sein de consoles unifiées. Il faut s'attendre à ce que davantage d'entreprises adoptent le NDR dans le cadre d'un déploiement XDR plus large, mais il faut également s'attendre à ce que les solutions NDR de pointe restent le modèle privilégié pour les entreprises disposant d'environnements hybrides, OT ou IoT complexes, où la profondeur de l'analyse réseau prime sur la consolidation des consoles.
La détection assistée par l'IA comble le déficit en analystes. La détection et la réponse pilotées par l'IA font de plus en plus la différence entre un incident maîtrisé et un incident catastrophique. Selon le rapport IBM 2025, les entreprises qui déploient largement l'IA et l'automatisation maîtrisent les violations de sécurité environ 80 jours plus rapidement que celles qui n'y ont pas recours. Au cours des 18 prochains mois, l'accent opérationnel passera de la question « disposons-nous de solutions NDR et EDR ? » à celle de savoir « les signaux provenant de ces deux outils sont-ils corrélés et triés assez rapidement pour avoir un impact ? ».
La « SOC Visibility Triad » associe les technologies NDR, EDR et SIEM afin que les détections au niveau du réseau, endpoint et des journaux se renforcent mutuellement. Ce concept, qui fait référence dans le secteur, est largement adopté comme architecture de référence pour une défense multicouche (document explicatif de Nomios sur la « SOC Visibility Triad »). En pratique, le NDR met en évidence les anomalies au niveau de la couche réseau, l'EDR fournit une analyse approfondie des hôtes pour ces mêmes incidents, et le SIEM corrèle ces deux flux de signaux avec les journaux provenant des applications, cloud et des systèmes d'identité.
Les plateformes XDR poussent cette intégration encore plus loin en unifiant les consoles et la logique de corrélation. Les services de détection et de réponse gérées (MDR) constituent la couche opérationnelle pour les entreprises qui ont besoin de cette couverture mais ne disposent pas des effectifs nécessaires au sein de leur SOC pour exploiter ces deux plateformes en interne. Ces trois approches reposent sur un même principe : le SOC moderne ne choisit pas entre endpoint au niveau du réseau et endpoint . Il est conçu pour prendre en compte les deux.
Vectra AI une approche fondée sur l'hypothèse d'une compromission : les pirates informatiques avisés parviendront à s'introduire dans le système, désactiveront tout ce qu'ils peuvent et compteront sur le fait que le SOC ne détectera pas ce qu'ils laisseront derrière eux. Couche réseau Attack Signal Intelligence est conçue comme une source de vérité hors bande lorsque les terminaux sont aveugles, compromis ou absents — offrant au SOC une deuxième couche de détection indépendante à laquelle les mouvements latéraux, les commandes et le contrôle, ainsi que l'exfiltration ne peuvent échapper. L'objectif n'est pas de remplacer l'EDR. Il s'agit de s'assurer que lorsque les attaquants parviennent à contourner la endpoint — comme le montrent régulièrement les cas d'Akira, de Reynolds et d'EDRKillShifter —, le SOC dispose toujours d'un signal sur le réseau. Pour les équipes de sécurité qui souhaitent étendre un endpoint existant endpoint , l'approche d'extension de l'EDR offre une couverture multicouche sans doubler la charge opérationnelle.
Le NDR et l'EDR ne sont pas concurrents. Il s'agit de couches complémentaires d'une architecture de détection, chacune couvrant ce que l'autre ne peut pas. L'EDR couvre les endpoint exécution, persistance et analyse forensic au niveau de l'hôte — et reste le contrôle fondamental de tout environnement géré. Le NDR gère le réseau — mouvements latéraux, commande et contrôle, exfiltration et tous les appareils non gérés que endpoint ne peut atteindre — et est devenu la source de vérité hors bande dans un paysage de menaces où les affiliés de ransomware considèrent la neutralisation de l'EDR comme un équipement standard.
Pour les équipes aux budgets limités, la marche à suivre est claire : déployez une solution EDR si vous n'en disposez pas, puis ajoutez une solution NDR dès que vous êtes confrontés à des appareils non gérés, à des exigences de conformité ou à un risque crédible de ransomware. Intégrez les deux pour une détection croisée et hautement fiable. Les données sur les violations de 2025-2026, les calculs MITRE ATT&CK , le calendrier de conformité NIS2 et les estimations d'IBM sur le coût des violations vont tous dans le même sens. La seule question qui reste est de savoir quelle lacune combler en premier.
Découvrez comment Vectra AI la détection multicouche et le cas d'utilisation de l'extension EDR pour voir comment Attack Signal Intelligence au niveau de la couche réseau Attack Signal Intelligence votre endpoint actuel endpoint .
Oui, dans la plupart des environnements de moyennes entreprises et de grandes entreprises — en particulier ceux comportant des appareils non gérés, des dispositifs IoT, des systèmes OT, des réseaux hybrides ou exposés aux ransomwares. L'avis AA24-326A publié par la CISA en novembre 2024 a conclu qu'une organisation américaine gérant des infrastructures critiques « s'était trop appuyée sur des solutions EDR basées sur l'hôte et n'avait pas mis en place de protections suffisantes au niveau de la couche réseau » lors d'un exercice de simulation d'attaque (red team) au cours duquel l'EDR « n'avait détecté que quelques » charges utiles. Les données de 2026 fournies par Akira, Reynolds et EDRKillShifter viennent renforcer ce point : les stratégies de détection endpoint présentent désormais des angles morts bien documentés que la détection au niveau de la couche réseau permet de combler directement. Si vous disposez d’un EDR mais pas de surveillance du réseau, votre architecture de détection est structurellement vulnérable à tout attaquant capable d’atteindre un appareil non géré ou de charger un pilote vulnérable.
Le NDR analyse le trafic réseau — paquets, flux et métadonnées — afin de détecter les menaces sur tous les appareils connectés, y compris ceux qui ne peuvent pas exécuter d’agent. L’EDR installe un agent sur chaque endpoint géré endpoint surveiller l’activité des processus, des fichiers et du registre. L’EDR est particulièrement efficace pour détecter l’exécution, la persistance et l’escalade de privilèges sur les hôtes gérés. Le NDR est particulièrement efficace pour détecter les mouvements latéraux, les communications de commande et de contrôle, ainsi que l’exfiltration, et il détecte des appareils que l’EDR ne peut pas voir. Ces deux outils correspondent à deux moitiés distinctes du MITRE ATT&CK : environ 52 % des techniques sont accessibles via le réseau, tandis que 48 à 55 % des techniques sont couvertes par l'EDR. Ils sont complémentaires, et non concurrents.
Aucune des deux solutions n'est universellement supérieure. L'EDR est la solution idéale pour bloquer malware endpoint, fournir des analyses forensiques au niveau de l'hôte et surveiller les ordinateurs portables et les serveurs gérés. Le NDR est la solution idéale pour la détection des mouvements latéraux, l'analyse du trafic chiffré, la couverture des appareils non gérés et la résilience hors bande lorsque les terminaux sont compromis. La solution moderne consiste à déployer les deux, dans un certain ordre : l'EDR en premier si vous ne disposez d'aucune endpoint , puis le NDR dès que vous êtes confronté à des appareils non gérés, à des exigences de conformité ou à un risque crédible de ransomware.
Les menaces pesant sur les appareils non gérés (caméras IoT, contrôleurs OT, équipements médicaux, imprimantes, systèmes Linux hérités), les mouvements latéraux via des identifiants valides volés, les signaux de commande et de contrôle se fondant dans le trafic légitime, ainsi que toute attaque où l'EDR a été mis hors service par le chargement d'un pilote BYOVD. Parmi les exemples concrets, on peut citer l'incident de la webcam Akira, la famille de ransomwares BYOVD de Reynolds et la suite d'outils EDRKillShifter désormais utilisée par plusieurs affiliés de ransomwares. En mars 2026, ESET avait recensé environ 90 outils distincts de contournement de l'EDR en circulation, dont le prix sur le marché noir variait entre 300 et 10 000 dollars par outil.
Utilisez l'EDR comme solution endpoint de base pour vos endpoint : chaque poste de travail et serveur géré doit en être équipé. Ajoutez NDR dès que l'une des conditions suivantes est remplie : vous disposez d'appareils non gérés (IoT, OT, BYOD, invités), vous êtes soumis aux normes NIS2, DORA, NIST CSF 2.0 ou CIS Controls v8, les ransomwares constituent une menace crédible pour votre organisation, ou votre SOC est submergé par le volume endpoint et a besoin d'un signal de couche réseau plus précis pour hiérarchiser les investigations. Dans la plupart des environnements d'entreprise, au moins l'une de ces conditions est déjà remplie.
L'EDR surveille les terminaux via des agents installés. Le NDR surveille le trafic réseau via des capteurs hors bande. Le XDR (détection et réponse étendues) intègre plusieurs domaines de détection — comprenant généralement le NDR, l'EDR, cloud et les signaux d'identité — au sein d'une plateforme unifiée de corrélation et de réponse. Considérez l'EDR et le NDR comme des couches de détection, et le XDR comme la couche de corrélation et d'exploitation qui leur permet de fonctionner ensemble. De nombreuses plateformes XDR incluent le NDR et l'EDR parmi leurs composants ; d'autres intègrent les meilleurs outils de chaque catégorie. Pour une analyse plus approfondie, consultez la rubrique sur la détection et la réponse étendues dont le lien figure ci-dessus.
Le SIEM agrège et met en corrélation les données de journaux provenant des terminaux, des applications, des pare-feu et cloud afin de détecter les menaces à l'aide de règles et de fournir des rapports de conformité. Le NDR analyse directement le trafic réseau à l'aide d'analyses comportementales pour détecter les menaces qui ne génèrent jamais d'entrée de journal : communications C2 chiffrées, mouvements latéraux via des identifiants valides et activité sur des appareils non gérés. Le SIEM est particulièrement efficace pour la conformité, l'analyse forensique historique et la visibilité centralisée. Le NDR est particulièrement performant pour la détection comportementale en temps réel et la couverture des angles morts du réseau.