EDR vs MDR vs XDR : différence, comparatif et choix RSSI (2026)

EDR vs MDR vs XDR : EDR est un outil de detection sur les endpoints. XDR est une plateforme qui correle endpoints + identite + cloud + email + reseau. MDR est un service externalise avec analystes 24/7 qui exploite EDR ou XDR.En une ligne : EDR et XDR sont des outils. MDR est un service. On les combine, on ne les oppose pas.

Solution	Type	Usage
EDR	Outil	Endpoint
XDR	Plateforme	Multi-sources (endpoint + identite + cloud)
MDR	Service	Exploitation 24/7 (analystes humains)

Quel choix en 2026 ? La reponse en 30 secondes
PME (10-250 collaborateurs) : EDR + MDR avec ingestion identite. Budget 25-120 K€/an.
ETI (250-2000 collaborateurs) : EDR + XDR + MDR ou MXDR. Budget 120-500 K€/an.
Grand compte (2000+ collaborateurs) : Stack composite EDR + XDR + SIEM + SOC interne ou hybride. Budget 500 K€-2 M€/an.
Regle 2026 : EDR seul ne suffit plus. Les EDR-killers (EDRKillShifter, Sophos aout 2024) le desactivent en quelques secondes, et les attaques identity-only (Snowflake/UNC5537, ~165 organisations) le contournent. Visibilite identite obligatoire.

Dernière mise à jour : 29 avril 2026 · Prochaine revue : juillet 2026 · Sources vérifiées : Sophos X-Ops, Mandiant, MITRE ATT&CK T1562, ANSSI ReCyF

Par Mohamed Ali Ksouri, Directeur Associé d’i-lead Consulting. Publié le 29 avril 2026 · 14 min de lecture · Cible : RSSI, DSI cyber, architectes sécurité.

EDR vs MDR vs XDR : lequel choisir ?

Trois questions reviennent dans 80 % des phases de cadrage RSSI. Reponses directes ci-dessous, profondeur technique dans les sections qui suivent.

Quelle difference entre EDR, MDR et XDR ?

EDR (Endpoint Detection & Response) est un outil installe sur les postes et serveurs : il surveille les comportements suspects et permet de reagir (isoler un poste, tuer un processus). XDR (Extended Detection & Response) est une plateforme qui agrege la telemetrie de plusieurs sources (endpoint, identite, cloud, mail, reseau) et correle les signaux. MDR (Managed Detection & Response) est un service externalise : un prestataire fournit des analystes humains 24/7 qui exploitent un outil EDR ou XDR a votre place.

Faut-il choisir entre EDR et XDR ?

Non. La bonne sequence en 2026 est : (1) EDR moderne sur tous les endpoints, (2) ajout d’une couche XDR (native ou open) quand la maturite et le budget le permettent, (3) MDR ou MXDR pour exploiter le tout 24/7. Choisir EDR seul est risque depuis 2024 a cause des EDR-killers. Acheter XDR sans EDR mature en dessous est generalement inutile. Les categories sont complementaires, pas concurrentes.

Le MDR est-il obligatoire en 2026 ?

Pas legalement. NIS2 et le ReCyF ANSSI (publie le 17 mars 2026) imposent une capacite de detection-reponse 24/7 aux entites essentielles, mais laissent le choix du mode (interne, externalise, hybride). En pratique, en dessous de 2000 collaborateurs, l’externalisation MDR est presque toujours la bonne reponse – recruter et garder une equipe SOC interne en France en 2026 est extremement difficile (TJM analyste SOC L2 : 550-750 € HT/jour, turnover eleve).

Vous avez la reponse rapide. Si vous voulez la profondeur (EDR-killers, MITRE ATT&CK, variance qualite MDR, vendor lock-in XDR, choix par taille avec TJM, 8 questions RFP), continuez ci-dessous – 14 minutes de lecture pour les RSSI qui veulent challenger leur stack actuelle.

EDR vs MDR vs XDR : la différence en 50 mots
EDR vs MDR vs XDR : EDR (Endpoint Detection & Response) est un outil qui surveille les endpoints. XDR (Extended Detection & Response) est une plateforme qui corrèle endpoints, identité, cloud, mail et réseau. MDR (Managed Detection & Response) est un service externalisé qui exploite EDR ou XDR avec des analystes 24/7.

On va commencer par la chose que les éditeurs ne mettent jamais dans leurs guides « EDR vs MDR vs XDR ».

En août 2024, Sophos X-Ops a publié l’analyse d’un nouvel outil appelé EDRKillShifter, découvert lors d’un incident RansomHub raté de mai 2024. Cet outil utilise la technique BYOVD (Bring Your Own Vulnerable Driver) pour désactiver les agents EDR en quelques secondes avant chiffrement, en exploitant un driver Windows légitimement signé mais vulnérable. ESET WeLiveSecurity a depuis documenté que RansomHub développe et maintient l’outil en interne, et l’offre à ses affiliés via un panneau web protégé par mot de passe. Plus de 10 groupes ransomware ont adopté ce type d’outillage en 18 mois.

Pendant ce temps, la SERP française continue de comparer les solutions sur des critères de 2022 : « EDR sécurise les endpoints, XDR unifie, MDR ajoute du service ». Comme si rien n’avait changé. Ajoutez à ça la campagne Snowflake / UNC5537 de 2024, où ~165 organisations clientes ont été notifiées par Mandiant (AT&T, Ticketmaster/Live Nation, Santander, Neiman Marcus, LendingTree, Advance Auto Parts…) — sans qu’aucun endpoint ne soit touché. L’attaque s’est jouée intégralement sur des credentials volés via infostealers (Lumma, MetaStealer, Raccoon, RedLine, RisePro, Vidar) sur des comptes sans MFA. Aucun EDR n’aurait vu quoi que ce soit. Aucun MDR endpoint-only non plus.

La vraie question en 2026 n’est pas « lequel choisir » entre EDR, MDR et XDR. C’est « lequel reste debout quand l’attaquant a déjà désactivé votre sensor endpoint ou n’en a jamais touché un seul ».

Cet article ne vous vendra pas un produit. Je n’ai pas d’éditeur à pousser. Ce qui suit est ce que je dis aux RSSI en mission, généralement après avoir regardé leurs alertes des 90 derniers jours et leur stack actuelle. C’est moins flatteur que ce que CrowdStrike ou Check Point écrivent. C’est probablement plus utile.

Sommaire

EDR, MDR, XDR : les définitions opérationnelles (sans biais éditeur)

Avant de comparer, posons les définitions. Pas les définitions marketing — les définitions opérationnelles, celles qu’on utilise quand on doit vraiment décider.

EDR — Endpoint Detection & Response

Un agent installé sur les endpoints (postes, serveurs) qui collecte la télémétrie comportementale : processus, fichiers, registre, mémoire, connexions réseau. Détection comportementale (pas signature). Capacité de réponse automatisée (kill process, isolation host, rollback). Voit l’endpoint en profondeur. Aveugle à tout ce qui se passe ailleurs.

Vendors typiques : CrowdStrike Falcon, SentinelOne Singularity, Microsoft Defender for Endpoint, Sophos Intercept X, Trend Vision One Endpoint, Trellix ENS.

XDR — Extended Detection & Response

Une plateforme qui ingère et corrèle la télémétrie d’EDR + identité (Entra ID, Okta) + email + cloud + réseau. L’idée : voir une attaque qui traverse plusieurs domaines comme un seul incident, pas comme cinq alertes décorrélées dans cinq consoles différentes.

Deux écoles : XDR natif (un éditeur fournit tout — Palo Alto Cortex XDR, CrowdStrike Falcon XDR, Microsoft Defender XDR) et open XDR (orchestrateur tiers qui consomme la télémétrie de plusieurs vendors — Stellar Cyber, Hunters, Anvilogic). Différence majeure en termes de vendor lock-in. On y revient en section 6.

MDR définition (Managed Detection & Response) — 50 mots
MDR (Managed Detection & Response) est un service de cybersécurité externalisé : un prestataire fournit des analystes humains 24/7 qui exploitent une stack technologique (EDR, parfois XDR ou SIEM) pour détecter, qualifier et contenir les incidents. C’est un service géré, pas un outil — il complète EDR/XDR sans les remplacer.

MDR — Managed Detection & Response (le service)

Un service. Pas un outil. Un MDR vous fournit des analystes humains qui exploitent une stack technologique (souvent EDR, parfois XDR, parfois SIEM) pour détecter, qualifier, contenir les incidents 24/7.

Le MDR n’est ni meilleur ni pire que l’EDR ou le XDR — c’est une autre catégorie. Vous pouvez avoir un EDR sans MDR (vous l’exploitez vous-même), un MDR qui exploite votre EDR (le prestataire utilise votre licence), un MDR qui apporte sa stack (vous ne payez rien d’autre que le service), ou un MXDR (managed XDR — combinaison la plus complète et la plus chère).

La distinction qui clarifie tout
EDR et XDR sont des outils. MDR est un service. Les comparer comme s’ils étaient interchangeables est une erreur conceptuelle qui rend la décision impossible. La vraie séquence : (1) quels outils me faut-il ? (2) qui les exploite — moi ou un prestataire ? Une fois ces deux questions séparées, le choix devient lisible.

Le tableau comparatif honnête — 12 critères qui comptent

Voici un tableau comparatif sans encadré « notre solution gagne sur tous les critères » à la fin.

Critère	EDR	XDR	MDR
Nature	Outil (logiciel)	Plateforme (logiciel)	Service (humains)
Périmètre télémétrie	Endpoint uniquement	Endpoint + identité + cloud + email + réseau	Selon stack utilisée par le prestataire
Détection	Comportementale endpoint	Corrélation cross-domaines	Selon stack + analystes
Réponse automatisée	Forte (isolation, kill process)	Forte + cross-domaines	Manuelle ou guidée par analyste
Couverture 24/7	Non (sauf SOC interne)	Non (sauf SOC interne)	Oui par construction
Skill requis en interne	Élevé (tuning, exploitation)	Très élevé (intégration, use cases)	Faible à moyen
Visibilité attaques identity-only	Aucune	Bonne (si IdP intégré)	Selon stack
Résilience face aux EDR-killers (BYOVD)	Faible (sensor désactivable)	Bonne (signaux cross-domaines)	Selon stack
Délai déploiement	Semaines	Mois	Semaines à mois
Coût licence type (par endpoint/an)	30-160 €	60-180 € (additionnel)	Service : 100-500 €/endpoint
Vendor lock-in	Modéré	Fort (XDR natif)	Fort (changement prestataire = douleur)
Conformité ReCyF / NIS2	Brique nécessaire	Brique recommandée	Service externalisable acceptable

EDR-killers et attaques identity-only : ce qui a changé en 2024-2025

Cette section devrait être la première de tous les guides « EDR vs MDR vs XDR » publiés depuis 12 mois. Elle ne l’est dans aucun. Probablement parce que les éditeurs n’ont aucun intérêt à expliquer pourquoi leur produit a un angle mort.

Pattern n°1 — Les EDR-killers (BYOVD, EDRKillShifter, AuKill)

En août 2024, Sophos X-Ops a publié l’analyse de EDRKillShifter, un outil EDR-killer découvert lors d’un incident RansomHub raté de mai 2024. EDRKillShifter exploite la technique BYOVD (Bring Your Own Vulnerable Driver) : l’attaquant déploie sur l’endpoint un driver Windows légitimement signé mais vulnérable (RentDrv2, ThreatFireMonitor dans les premiers échantillons), puis l’exploite pour terminer le processus de l’agent EDR avec privilèges kernel.

Ce n’est pas le premier outil de ce type. AuKill (Sophos 2023) exploitait un driver Process Explorer vulnérable et avait été utilisé par MedusaLocker et LockBit. Backstab, son équivalent open source, a aussi été observé chez LockBit. Ce qui a changé en 2024-2025 : ESET WeLiveSecurity a documenté que RansomHub développe et maintient EDRKillShifter en interne, et l’offre à ses affiliés via un panneau web protégé par un mot de passe à 64 caractères. La professionnalisation de l’outillage a explosé.

Concrètement : si vous comptez sur votre EDR comme dernière ligne de défense pour bloquer un ransomware, vous comptez sur une protection que l’attaquant peut désactiver en quelques secondes une fois en privilèges admin sur l’endpoint.

MITRE ATT&CK T1562 (Impair Defenses)
EDRKillShifter et BYOVD relèvent de la technique T1562 (Impair Defenses) du framework MITRE ATT&CK, plus précisément de la sous-technique T1562.001 (Disable or Modify Tools). Côté défense, MITRE D3FEND propose les contre-mesures D3-PA (Process Analysis), D3-DLIC (Driver Load Integrity Checking) et D3-EI (Executable Integrity). Tout EDR sérieux doit avoir tamper protection activée et alerter sur le chargement de drivers non signés ou révoqués.

Implication directe pour votre choix
Un EDR seul, même excellent, n’est plus une stratégie de détection-réponse résiliente en 2026. Vous avez besoin d’au moins une couche de visibilité qui ne dépend pas de l’agent endpoint — typiquement la télémétrie identité + réseau corrélée par un XDR ou un SIEM avec use cases adaptés. Sinon, votre dernière ligne de défense est un mur en papier.

Pattern n°2 — Les attaques identity-only (Snowflake / UNC5537)

Au printemps 2024, le groupe UNC5537 (tracking Mandiant) a compromis environ 165 organisations clientes de Snowflake en exploitant des credentials volés via infostealers (Lumma, MetaStealer, Raccoon, RedLine, RisePro, Vidar).

Mandiant a constaté que 80 % des comptes compromis avaient une exposition antérieure non rotée — certains credentials dataient de novembre 2020. L’attaque démarre le 14 avril 2024.

Les victimes nommées publiquement incluent AT&T (rançon de 370 000 $ confirmée payée, avec demande exceptionnelle du DOJ américain de retarder la publication pour raisons de sécurité nationale), Ticketmaster / Live Nation, Santander Bank, LendingTree, Advance Auto Parts, Neiman Marcus et Bausch Health.

UNC5537 a utilisé un outil de reconnaissance custom appelé FROSTBITE pour cataloguer les bases de données accessibles avant exfiltration. Trois facteurs ont rendu la campagne possible : MFA absente sur les comptes, credentials non rotés depuis des années, pas de network allow-list.

Pour un EDR endpoint-only, ce type d’attaque est invisible. Pour un MDR endpoint-only, idem. Seuls les dispositifs qui ingèrent les logs de l’IdP (Entra ID, Okta) et corrèlent avec des indicateurs de risque (impossible travel, OAuth scope abuse, refresh token suspect) peuvent voir ce qui se passe.

C’est ce que XDR promet de faire. Et c’est ce que les MDR endpoint-only ne font pas, malgré ce qu’on vous dit en démo commerciale.

MITRE ATT&CK T1078 (Valid Accounts)
Les attaques identity-only type Snowflake/UNC5537 relèvent de la technique T1078 (Valid Accounts), plus précisément T1078.004 (Cloud Accounts). Côté défense, MITRE D3FEND propose D3-MFA (Multi-Factor Authentication), D3-CA (Credential Analysis) et D3-AAA (Authentication Activity Analysis). Une stack qui n’ingère pas les logs IdP corrélés à un signal de comportement utilisateur (UEBA) est aveugle à ce vecteur.

Ce que ça change concrètement pour la décision

Avant 2024, le débat EDR vs XDR vs MDR pouvait se résumer à « scope » et « budget ». En 2026, il faut ajouter une troisième dimension : la résilience face à l’évolution des kill chains. Concrètement :

Si votre stack ne couvre que l’endpoint, vous avez deux angles morts confirmés : EDR désactivé (BYOVD) et identité compromise (UNC5537 pattern).
Si votre stack couvre identité + cloud + endpoint avec corrélation, vous voyez les deux. C’est la promesse XDR — qui tient à condition que les intégrations soient réelles, pas marketing.
Si vous externalisez en MDR, demandez explicitement les sources télémétriques couvertes. Un MDR qui ne consomme que de l’EDR est un MDR de 2022 vendu en 2026.

Quel choix selon la taille et la maturité de votre organisation

La SERP est pleine de recommandations vagues type « EDR pour petites entreprises, XDR pour grandes ». Voici quelque chose de plus utile.

Profil	Stack recommandée	Mode opérationnel	Budget annuel typique
TPE 10-50 collab	EDR moderne (CrowdStrike, SentinelOne, Defender E5) + MDR endpoint-only	100 % externalisé MDR	15-40 K€
PME 50-250 collab	EDR + MDR avec ingestion identité (Entra ID/Okta logs)	MDR + RSSI temps partagé interne	40-120 K€
ETI 250-1500 collab	EDR + identité + cloud (= XDR natif ou SIEM ciblé) + MDR	MDR + équipe sécurité interne 1-3 ETP	120-400 K€
ETI 1500-5000 collab	XDR natif ou open XDR + MDR/MXDR ou SOC hybride	SOC hybride (interne + MSSP)	400 K€-1,2 M€
Grand compte 5000+	Stack composite (EDR + XDR + SIEM + Threat Intel)	SOC interne ou hybride 24/7	1,5 M€+
OIV / secteur réglementé (banque, santé, énergie)	Stack composite + obligation traçabilité + qualification PASSI	SOC interne ou MSSP qualifié PASSI	Surcoût 30-50 % du référentiel ci-dessus

Le piège que je vois en mission

Beaucoup d’ETI françaises sautent l’étape MDR pour aller directement au XDR + SOC interne. Erreur classique. Pourquoi ? Parce que recruter et garder 8-12 analystes SOC qualifiés en France en 2026 est extrêmement difficile. Le marché est asséché, les TJM s’envolent (550-750 € HT/jour pour un analyste SOC L2 expérimenté), le turnover est élevé.

Tant que vous n’avez pas la masse critique pour absorber le turnover et financer une équipe stable, le SOC interne est un projet qui ressemble à une ambition en présentation et qui finit en vacuité opérationnelle 18 mois plus tard. Le MDR (ou MXDR) n’est pas un palliatif faute de mieux — c’est souvent le bon choix structurel jusqu’à 2000 collaborateurs.

MDR : la grande variance de qualité dont personne ne parle

Il faut le dire franchement : la qualité des prestations MDR sur le marché varie de excellente à catastrophique, et la différence ne se voit pas dans le contrat.

Les 4 types de MDR que je rencontre en mission

MDR « réel » : SOC réellement 24/7, analystes L1/L2/L3 identifiés et certifiés (GCIH, GCFA, GCFE), threat hunting proactif documenté, réponse rapide démontrable, transparence sur les true positives. Rare. Coûte cher. Vaut ce que ça coûte.
MDR « alert forwarding » : le prestataire reçoit les alertes de votre EDR, les filtre via des playbooks automatisés et vous les renvoie. Aucun vrai analyste sur la majorité des alertes. Très répandu. Vendu au prix du MDR réel.
MDR « offshore » : analystes basés dans des centres offshore avec turnover élevé, formation faible, pas de connaissance de votre contexte métier. Décent en triage automatisé, faible en investigation complexe.
MDR « best effort » : un MSSP généraliste qui a ajouté « MDR » à son offre commerciale sans réel investissement humain. Vous payez pour un PDF hebdomadaire. C’est le pire des cas.

Comment tester la qualité réelle de votre MDR (ou prospect)

Je donne ces tests aux RSSI en mission. Si le prestataire passe les 4, c’est probablement un MDR sérieux. S’il en échoue 2+, vous payez pour quelque chose qui ne sert pas.

Test 1 — Demandez les 10 derniers true positives qualifiés sur votre tenant. Pas les alertes — les vraies attaques détectées et qualifiées comme telles. Si la conversation devient gênée, vous avez votre réponse.
Test 2 — Demandez le nom et les certifications des analystes qui couvrent votre compte (GCIH, GCFA, GCFE, OSCP). Refus ou évasion = signal d’alerte. Un MDR sérieux assume sa chaîne humaine.
Test 3 — Demandez à voir la procédure d’escalade L1 → L2 → L3 et les délais SLA. Idem pour le canal de communication d’urgence (numéro direct, pas un formulaire web).
Test 4 — Demandez à participer à un exercice purple team pendant la phase de POC. Un MDR confiant accepte. Un MDR alert-forwarding refuse poliment.

Si vous êtes en train de signer un MDR sans avoir fait au moins ces 4 tests, vous achetez à l’aveugle. Le contrat MDR est généralement annuel ou pluriannuel — l’erreur coûte cher à corriger.

XDR : la promesse, la réalité, et le piège du vendor lock-in

Le XDR est probablement la catégorie où le décalage entre promesse marketing et réalité opérationnelle est le plus grand. Pas parce que la techno est mauvaise — elle est souvent excellente. Parce que les conditions de réussite sont rarement réunies.

Ce que XDR fait vraiment bien

Corréler des signaux faibles cross-domaines en un incident unique : un login suspect Entra ID + une exécution PowerShell anormale + une exfiltration vers un domaine cloud inhabituel deviennent une seule investigation au lieu de trois alertes décorrélées.
Réduire la fatigue d’alertes : moins d’alertes mais mieux qualifiées. À condition que le tuning soit fait — ce qui demande des semaines.
Accélérer l’investigation : timeline unifiée, requêtes cross-sources, contexte enrichi automatiquement. Gain réel pour les analystes.

Les 3 pièges que je vois en mission

D’abord, le XDR natif vendu sans audit d’éligibilité. Vous achetez Cortex XDR ou Falcon Insight XDR. Vous découvrez 6 mois plus tard que la moitié de votre stack (firewall non-Palo, IdP Okta non Entra, mail Mimecast non Defender) n’est pas réellement intégrée — juste des connecteurs partiels qui remontent des metadata. La promesse cross-domaines tombe à plat.

Ensuite, l’open XDR vendu sans capacité d’intégration en interne. Vous choisissez un Stellar Cyber ou un Hunters pour rester multi-vendor. Excellent en théorie. En pratique, l’intégration de chaque source de télémétrie demande 5-15 jours de detection engineering. Sans équipe interne dédiée, vous achetez une plateforme qui ne consomme que 30 % des sources prévues.

Enfin, le vendor lock-in implicite du XDR natif. Une fois que vous êtes sur Cortex XDR avec Palo NGFW + Cortex EDR + Cortex SIEM, changer un seul composant casse l’intégration. Le coût de sortie devient prohibitif. Les éditeurs le savent et leur tarification annuelle évolue en conséquence.

Recommandation honnête sur le XDR
Le XDR a sa place dans une stratégie cyber mature, mais il ne doit pas être votre premier achat. Avant XDR : EDR moderne tuné, MFA imposée 100 %, ingestion logs identité (au minimum), MDR ou SOC opérationnel. Si ces fondations ne sont pas en place, le XDR ajoute une couche de complexité à un dispositif qui n’est pas prêt à l’absorber.

Combien ça coûte vraiment (TJM et ordres de grandeur)

Personne ne donne de chiffres précis dans les guides EDR vs MDR vs XDR. Pour deux raisons : les éditeurs ne veulent pas afficher leurs prix publics, et les prestataires de conseil veulent garder la possibilité de discuter. Voici des ordres de grandeur honnêtes basés sur des appels d’offres réels en France 2025-2026.

Combien coûte un MDR en France ? — réponse en 50 mots
Le coût d’un MDR en France varie en 2026 entre 20 K€/an (PME 200 endpoints) et 1,5 M€/an (grand compte 5000+ endpoints). Un MDR PME se situe entre 100 et 250 €/endpoint/an. Un MDR ETI : 250-400 €/endpoint/an. Un MXDR (managed XDR) : 150-500 €/endpoint/an, services premium inclus.

EDR — coût licence (par endpoint, par an)

Niveau	Range tarif HT/endpoint/an	Exemples typiques
Entrée de gamme	30-50 €	Microsoft Defender for Endpoint P1, Sophos Intercept X de base
Standard	50-90 €	CrowdStrike Falcon Pro, SentinelOne Singularity Core
Avancé / Enterprise	90-160 €	CrowdStrike Falcon Enterprise, SentinelOne Singularity Complete

XDR — coût licence (par endpoint ou ingest)

Modèle tarifaire	Range tarif	Note
XDR natif (par endpoint/an)	60-180 €	Tarif additionnel sur EDR. Souvent bundlé.
Open XDR (par GB ingéré/jour)	0,50-3,50 €/GB/jour	Coût TCO dominé par le volume de logs
MXDR (managed XDR)	150-500 €/endpoint/an	Combine licence XDR + service MDR

MDR — coût service

Format	Range tarif HT/an	Couvre
MDR PME (jusqu’à 200 endpoints)	20-60 K€	Surveillance 24/7 + triage + escalade
MDR ETI (200-1500 endpoints)	60-250 K€	Surveillance + investigation + threat hunting limité
MDR grand compte (1500+)	250 K€-1,5 M€	Tout MDR + threat hunting proactif + IR retainer
Cabinet d’avocats spécialisé cyber (retainer)	5-15 K€/an minimum garanti	Hotline 24/7, pas inclus dans MDR
Prestataire IR forensique (retainer)	10-30 K€/an	Pas inclus dans MDR sauf MDR premium

Note importante : ces fourchettes sont des ordres de grandeur observés en France 2025-2026 sur des appels d’offres réels. Les tarifs varient fortement selon le secteur, la criticité, le volume négocié, l’engagement pluriannuel. Méfiez-vous des sites qui annoncent des chiffres précis au pourcentage près — ils les inventent à 80 %.

Le bon angle : commencer par l’identité, pas par l’outil

Si vous êtes en train de comparer EDR, MDR et XDR alors que votre Active Directory n’a pas de tiering propre, pas de MFA imposée à 100 % sur les comptes admin, et des comptes orphelins partout — vous regardez le mauvais problème.

80 % des intrusions passent par un compromis d’identité : credential stuffing, kerberoasting, AS-REP roasting, pass-the-hash, RBCD, OAuth scope abuse. Pas par des zero-days endpoint exotiques. Par votre AD passoire.

Acheter un EDR à 100 €/poste/an pour 1500 endpoints (150 K€/an) sans avoir réglé les fondamentaux identité, c’est mettre une alarme dernier cri sur une porte qui n’a pas de serrure. L’attaquant n’a pas besoin de contourner votre EDR — il rentre par l’identité, pivote, et désactive votre EDR avec BYOVD une fois admin du domaine.

La séquence correcte
(1) Tiering AD propre — Tier 0 isolé, PAW pour les admins, MFA imposée 100 %, audit PingCastle/BloodHound trimestriel.
(2) EDR moderne tuné en mode prevent (pas audit-only).
(3) Ingestion logs identité dans un SIEM ou XDR.
(4) MDR ou SOC pour exploiter le tout 24/7.
(5) Threat hunting proactif. Sauter l’étape 1 pour aller directement à 4 ou 5 est l’erreur la plus coûteuse que je vois en mission.

Mapping MITRE ATT&CK et D3FEND par catégorie

Pour ceux qui ont besoin d’arguments techniques pour défendre un budget ou cadrer une RFP, voici le mapping MITRE ATT&CK / D3FEND par catégorie EDR / XDR / MDR. Référence à mettre dans votre cahier des charges.

Technique ATT&CK / D3FEND	EDR seul	XDR (natif ou open)	MDR avec stack mature
T1059 (Command & Scripting Interpreter)	✅ Détection comportementale endpoint	✅ + corrélation cross-domaines	✅ + investigation analyste
T1078 (Valid Accounts) — identity-only	❌ Aveugle	✅ Si IdP intégré	✅ Si stack inclut IdP
T1078.004 (Cloud Accounts) — Snowflake pattern	❌ Aveugle	✅ Si cloud workload + IdP intégrés	✅ Si stack inclut cloud
T1110 (Brute Force) cloud	❌ Aveugle	✅	✅
T1486 (Data Encrypted for Impact) — ransomware	✅ Si tamper protection active	✅	✅ + réponse 24/7
T1562 (Impair Defenses) — EDR-killers	🟧 Faible (sensor désactivable)	✅ Détection via signaux cross-domaines	✅ Si stack mature
T1562.001 (Disable Tools) — BYOVD	🟧 Tamper protection ralentit	✅ Détection via logs réseau / identité	✅
T1190 (Exploit Public-Facing App)	🟧 Détection post-exploitation	✅	✅
T1210 (Exploitation of Remote Services)	✅ Endpoint	✅ + réseau	✅
T1071 (Application Layer Protocol C2)	🟧 Endpoint partiel	✅ + réseau	✅
T1041 (Exfiltration Over C2 Channel)	🟧 Endpoint partiel	✅ + DLP cloud	✅

Contre-mesures D3FEND par catégorie

Le framework MITRE D3FEND est encore peu utilisé en France mais devient une référence côté défense. Voici les principales contre-mesures alignées sur les techniques précédentes :

D3-PA (Process Analysis) — couvert par EDR, XDR, MDR avec stack endpoint.
D3-DLIC (Driver Load Integrity Checking) — contre-mesure BYOVD, doit être activée sur l’EDR (tamper protection + driver allow-listing).
D3-MFA (Multi-Factor Authentication) — contre-mesure T1078, hors scope EDR/XDR/MDR mais pré-requis absolu.
D3-CA (Credential Analysis) — couvert par XDR avec ingestion IdP, ou MDR avec ITDR (Identity Threat Detection & Response).
D3-AAA (Authentication Activity Analysis) — couvert par XDR ou MDR avec UEBA / ITDR.
D3-NTA (Network Traffic Analysis) — couvert par XDR avec NDR intégré, ou MDR avec stack incluant NDR.

Spécificités françaises : ReCyF, NIS2, PASSI, MSSP local vs US

Tout ce qui précède s’applique partout. Ce qui suit est spécifique au contexte français 2026.

ReCyF (ANSSI mars 2026) — les attendus EDR/MDR/XDR

Le Référentiel Cyber France (ReCyF), publié par l’ANSSI le 17 mars 2026, intègre des mesures de détection-réponse explicites alignées sur les attendus NIS2. Il est non-obligatoire par défaut mais opposable en cas de contrôle ANSSI pour les entités qui choisissent de l’appliquer. Source : cyber.gouv.fr/la-directive-nis-2.

Concrètement, pour les entités essentielles NIS2, l’ANSSI considère désormais qu’une capacité de détection-réponse 24/7 (interne ou externalisée) est une mesure structurante. Pour les entités importantes, c’est fortement recommandé.

Si vous êtes assujetti NIS2 et que vous comparez EDR/MDR/XDR aujourd’hui, alignez-vous sur le ReCyF dès la spec — vous gagnerez 6 mois de remédiation.

Qualification PASSI — pour les missions sensibles

Si vous êtes OIV, opérateur de service essentiel sensible, ou si vous répondez à un marché public cyber qui mentionne explicitement PASSI, votre prestataire MDR ou MXDR doit être qualifié PASSI sur la portée Détection des incidents de sécurité.

Tous les MSSP français ne le sont pas. La majorité des MSSP US (CrowdStrike, SentinelOne en service managé) ne le sont pas non plus. L’annuaire PASSI public est consultable sur le site de l’ANSSI.

MSSP français vs MSSP US — le débat opérationnel

En France, vous avez plusieurs catégories de prestataires MDR sur le marché. Les MSSP français spécialisés (Advens, I-Tracing, Almond, Intrinsec, Synetis…) avec ancrage local fort, équipes en France, capacité de réponse en français, contractualisation française.

Les MSSP français de groupes IT (Orange Cyberdefense, Atos, Capgemini, Sopra Steria…) avec offre MDR intégrée à un portefeuille plus large. Les MSSP US ou européens avec présence française (Sophos MDR, Arctic Wolf, Field Effect, Bitdefender MDR…).

Les pure players éditeurs en mode managed (CrowdStrike Falcon Complete, SentinelOne Vigilance, Microsoft Defender Experts). Le bon choix dépend de votre criticité, de votre contexte sectoriel et de vos obligations réglementaires.

Si vous êtes soumis à NIS2 entité essentielle ou à des obligations PASSI, privilégiez un MSSP français qualifié. Si vous êtes une PME tech sans obligations spécifiques, un MSSP US peut être pertinent — à condition d’avoir testé la qualité réelle (cf. section 5).

Les 8 questions à poser avant de signer un contrat

Si vous êtes en phase de RFP ou de négociation contrat, voici les 8 questions qui filtrent les bons prestataires des mauvais. Posez-les telles quelles et observez la réaction.

Quels sont les 10 derniers true positives qualifiés sur des tenants comparables au mien ? (Pas les alertes — les vraies attaques détectées et qualifiées comme telles.)
Quelles sont vos sources de télémétrie ingérées par défaut ? Identité (Entra ID, Okta, AD) ? Cloud (AWS, Azure, GCP) ? Email ? Réseau ? SaaS critiques ?
Comment votre stack se comporte si l’agent EDR est désactivé par BYOVD ? Avez-vous des règles de détection sur ce pattern précis (T1562.001) ?
MTTD et MTTR moyens sur les 12 derniers mois sur des clients de profil similaire ? Pas les SLA contractuels — les chiffres réels.
Composition de votre équipe SOC (L1/L2/L3) : combien d’analystes, certifications (GCIH, GCFA, GCFE), où sont-ils basés, quel turnover sur 24 mois ?
Êtes-vous qualifié PASSI ANSSI ? Sur quelle portée ? (Vérifier sur l’annuaire ANSSI public.)
Procédure d’escalade en cas d’incident majeur : qui m’appelle, sous quel délai, quel canal de secours si mes mails sont down ?
Conditions de sortie du contrat : préavis, restitution des données, durée typique d’un changement de prestataire pour un client de mon profil ?

Un prestataire sérieux répond clairement à 8/8. Un prestataire moyen répond à 5-6 avec quelques évasions. Un prestataire à éviter botte en touche sur la moitié.

FAQ — 12 questions de RSSI

Quelle est la différence entre EDR, MDR et XDR ?

EDR (Endpoint Detection & Response) est un outil qui surveille les endpoints. XDR (Extended Detection & Response) est une plateforme qui corrèle endpoints + identité + cloud + email + réseau. MDR (Managed Detection & Response) est un service externalisé qui exploite EDR ou XDR avec des analystes 24/7. EDR et XDR sont des outils. MDR est un service. Les comparer comme s’ils étaient interchangeables est une erreur conceptuelle.

Faut-il choisir entre EDR, MDR et XDR ou peut-on les combiner ?

On les combine systématiquement. La séquence type : EDR comme brique de base sur les endpoints, XDR (ou SIEM) pour la corrélation cross-domaines, MDR (ou MXDR) pour l’exploitation 24/7. Le choix porte sur la maturité du déploiement et le mode opérationnel (interne, externalisé, hybride), pas sur l’exclusion d’une catégorie.

EDR seul est-il encore une stratégie viable en 2026 ?

Non, plus comme stratégie autonome. Depuis 2024, les EDR-killers (EDRKillShifter, AuKill, Backstab) ont été adoptés par 10+ groupes ransomware. Un EDR isolé peut être désactivé en quelques secondes par un attaquant ayant atteint le niveau admin. Il faut au minimum coupler EDR avec une visibilité identité indépendante de l’agent.

Qu’est-ce qu’EDRKillShifter et pourquoi c’est important ?

EDRKillShifter est un outil EDR-killer publié par Sophos X-Ops le 14 août 2024, après un incident RansomHub raté de mai 2024. Il exploite la technique BYOVD (Bring Your Own Vulnerable Driver) pour désactiver l’agent EDR avec privilèges kernel avant chiffrement. ESET WeLiveSecurity a documenté que RansomHub développe et maintient l’outil en interne, et l’offre à ses affiliés via panneau web. C’est un outil custom, pas un produit acheté sur le dark web.

Qu’est-ce que l’attaque Snowflake / UNC5537 et pourquoi c’est important ?

Au printemps 2024, le groupe UNC5537 (tracking Mandiant) a compromis ~165 organisations clientes de Snowflake (notifiées par Mandiant) en exploitant des credentials volés via infostealers (Lumma, MetaStealer, Raccoon, RedLine, RisePro, Vidar) sur des comptes sans MFA. Victimes notables : AT&T (rançon $370K confirmée), Ticketmaster, Santander, LendingTree. Aucun endpoint corporate n’a été touché. L’attaque démontre qu’une intrusion complète peut se jouer intégralement sur l’identité et le cloud — invisible pour un EDR endpoint-only.

MDR ou XDR pour une PME française de 100 collaborateurs ?

MDR avec ingestion identité a minima. À 100 collaborateurs, recruter et garder une équipe SOC interne est inenvisageable. Le XDR sans équipe pour l’exploiter est un investissement gaspillé. Privilégier un MDR qui consomme votre EDR + vos logs Entra ID/Okta. Budget typique : 25-60 K€/an. Vérifier la qualité réelle via les 4 tests de la section 5.

Quel budget annuel pour une stack EDR + MDR pour une ETI 500 collaborateurs ?

Ordre de grandeur : 80-180 K€/an. Composition typique : EDR moderne (CrowdStrike Falcon Pro ou SentinelOne Core) à 30-50 K€/an + MDR avec ingestion identité à 50-130 K€/an. Variation selon secteur (banque/santé +30 %), complexité du SI, niveau de service attendu, qualité du prestataire.

XDR natif ou open XDR ?

XDR natif (Cortex, Falcon, Defender) : intégration simple, vendor lock-in fort. Open XDR (Stellar Cyber, Hunters, Anvilogic) : flexibilité multi-vendor, exigence d’équipe interne pour intégration. Pour la majorité des ETI, XDR natif est plus pragmatique. Pour les grands comptes avec stack hétérogène et équipe sécurité solide, open XDR préserve les investissements existants.

MDR français ou MDR US/européen ?

Si vous êtes assujetti NIS2 entité essentielle ou à des obligations PASSI, privilégiez un MSSP français qualifié (Advens, I-Tracing, Almond, Intrinsec, Synetis, Orange Cyberdefense). Si vous êtes une PME tech sans obligations spécifiques, un MSSP US peut être pertinent (Sophos MDR, Arctic Wolf, CrowdStrike Falcon Complete, SentinelOne Vigilance) — à condition d’avoir testé la qualité réelle. Critères clés : capacité de réponse en français, ancrage juridique français, équipes basées en France ou en zone horaire compatible.

Comment tester la qualité réelle d’un prestataire MDR ?

Quatre tests : (1) demander les 10 derniers true positives qualifiés sur tenants comparables, (2) demander le CV et certifications des analystes (GCIH, GCFA, GCFE) couvrant le compte, (3) demander la procédure d’escalade L1→L3 avec canaux d’urgence, (4) demander un exercice purple team pendant la phase de POC. Un MDR sérieux passe les 4. Un MDR alert-forwarding échoue à au moins 2.

NIS2 et ReCyF imposent-ils EDR, XDR ou MDR ?

Aucun référentiel n’impose une catégorie spécifique. Le ReCyF (ANSSI mars 2026) considère qu’une capacité de détection-réponse 24/7 (interne ou externalisée) est structurante pour les entités essentielles, recommandée pour les entités importantes. La forme (EDR + SOC interne, MDR, MXDR) est laissée au choix de l’entité, à condition que les capacités effectives soient démontrables.

Combien coûte un MXDR (managed XDR) ?

Ordre de grandeur 2026 en France : 150-500 €/endpoint/an selon profil. Soit 75-250 K€/an pour 500 endpoints, 150-500 K€/an pour 1000 endpoints. Le MXDR combine licence XDR + service MDR. C’est typiquement le bon choix pour ETI 500-2000 collaborateurs sans capacité d’exploiter un XDR en interne.

Pour conclure

Si vous êtes arrivé jusqu’ici, vous êtes probablement déjà mieux outillé que la majorité des RSSI qui décident sur la base d’un comparatif Gartner et d’une démo commerciale d’éditeur.

Trois choses à garder en tête.

D’abord : EDR, XDR et MDR ne sont pas trois alternatives concurrentes. C’est une grille à deux dimensions — outil vs service, scope endpoint vs cross-domaines. La bonne question n’est pas « lequel choisir » mais « quelle combinaison correspond à ma maturité et mes contraintes ».

Une PME française en 2026 a besoin d’EDR + MDR avec ingestion identité. Une ETI de 1000 personnes a probablement besoin d’EDR + XDR + MDR ou MXDR. Un grand compte construit une stack composite avec SOC hybride.

Ensuite : 2024-2025 a marqué un tournant que la SERP française n’a pas encore digéré. Les EDR-killers (EDRKillShifter, AuKill) et les attaques identity-only (Snowflake/UNC5537, ~165 organisations) ont rendu obsolète le débat « endpoint vs cross-domaines ». La résilience est devenue un critère central.

Un dispositif de détection-réponse qui dépend d’une seule source télémétrique (l’endpoint) est un dispositif vulnérable par construction.

Enfin : la qualité d’un MDR varie de excellente à catastrophique, et la différence ne se voit pas dans le contrat. Faites les 4 tests de la section 5 avant de signer.

Si vous ne pouvez pas, demandez à un cabinet indépendant de les faire pour vous. C’est probablement le meilleur ROI cyber que vous pouvez obtenir cette année.

Bonne route. Et si vous voulez challenger quoi que ce soit dans cet article, écrivez-moi. Les meilleurs débats RSSI se font hors LinkedIn.

Sources et références

Pour aller plus loin — cluster I-leadconsulting

Qui sommes nous ?

Découvrez nos domaines d’expertise

Tous

Nos domaines d’expertises

Comprendre nos implications