EDR sur Mac : pourquoi l'antivirus traditionnel ne suffit plus

L’idée que les Mac n’ont pas besoin d’antivirus a fait son temps. Elle reposait sur deux constats valides en 2010 : les Mac étaient peu nombreux, donc peu intéressants pour les attaquants, et le système macOS gérait bien les exécutions non signées. Aujourd’hui, les Mac représentent une part significative des parcs d’entreprise (notamment dans les agences créatives, la finance d’investissement, les marques de luxe), et les attaquants ont mis à jour leur outillage. La question n’est plus « antivirus oui ou non » mais « EDR ou pas EDR » — et la réponse devient « oui » dès que l’organisation a une exigence de conformité ou un risque réel.

Antivirus, EDR, XDR : démêler les acronymes

Trois générations de protection coexistent sur le marché :

• Antivirus traditionnel (Sophos, Bitdefender, Kaspersky en version basique) : compare le hash des fichiers à une base de signatures de menaces connues. Efficace contre les malwares anciens, aveugle face aux attaques sans fichier ou personnalisées.
• EDR — Endpoint Detection and Response (Microsoft Defender for Endpoint, CrowdStrike Falcon, SentinelOne) : surveille en continu le comportement du système (processus créés, scripts exécutés, modifications du système, connexions réseau), corrèle les événements, déclenche des alertes ou bloque automatiquement les schémas suspects, et permet d’investiguer rétrospectivement.
• XDR — Extended Detection and Response : EDR + télémétrie réseau + identité + cloud, corrélés dans une plateforme unique. Le marché parle parfois d’EDR « étendu ».

Pour une PME, EDR est aujourd’hui le standard de fait. XDR est pertinent à partir d’une centaine d’utilisateurs et d’une volonté de centralisation forte.

Les trois EDR qu’on déploie le plus

Microsoft Defender for Endpoint. Inclus dans les licences Microsoft 365 E5 ou en add-on. Excellent rapport qualité/prix quand l’organisation est déjà sur M365, intégration native avec Intune, Entra ID Conditional Access, Sentinel SIEM. Notre choix par défaut sur les environnements Microsoft-centric.

CrowdStrike Falcon. Le standard enterprise indépendant. Console claire, agent ultra-léger, capacités d’investigation et de threat hunting de référence. Plus cher, mais le retour de la part de nos équipes SecOps est sans équivoque : c’est la solution qui « voit » le mieux, particulièrement sur les attaques avancées.

SentinelOne Singularity. Alternative crédible à CrowdStrike, avec une dimension « réponse autonome » (rollback automatique des actions malveillantes) intéressante. Bien adapté aux organisations qui veulent un EDR puissant sans abonnement Microsoft E5.

Sur Mac spécifiquement, les trois ont une couverture comparable depuis 2022 (CrowdStrike historiquement légèrement en avance). Le choix se fait surtout sur les coûts et la pile existante.

Ce que voit un EDR sur un Mac

Concrètement, un EDR moderne enregistre sur chaque poste : tous les processus créés (avec arbre de filiation), toutes les connexions réseau initiées (avec géolocalisation IP), toutes les modifications de fichiers système, les chargements de drivers et d’extensions noyau, les actions sur les agents launchd, l’exécution de scripts (zsh, bash, Python, AppleScript), les téléchargements de fichiers et leur source.

Cette télémétrie permet de détecter des schémas qu’un antivirus classique manquerait totalement. Exemple courant : un utilisateur reçoit un mail de phishing très ciblé, ouvre un PDF qui exécute un script en arrière-plan, qui télécharge un binaire signé Apple Developer ID légitime mais malveillant. L’antivirus voit un binaire signé légitime — il ne dit rien. L’EDR voit la chaîne PDF → script → téléchargement → exécution depuis /tmp avec connexion sortante vers une IP douteuse — il alerte ou bloque.

Le déploiement, en pratique

Le déploiement d’un EDR sur un parc Mac existant se fait via le MDM (Kandji, Jamf, Intune). On pousse l’agent en pkg, on accorde les permissions Full Disk Access et Network Extension via un profil de configuration MDM (sinon l’utilisateur doit cliquer manuellement, ce qui est ingérable à l’échelle), on vérifie la remontée des télémétries dans la console, on construit les premières règles d’alerte.

La phase de tuning des règles dure typiquement deux à quatre semaines : l’EDR remonte beaucoup de bruit au début (l’environnement de votre organisation a ses propres normes), il faut affiner pour éviter la fatigue d’alerte tout en gardant la sensibilité sur les vrais signaux.

Le modèle économique

Trois schémas de licence selon la solution retenue :

• Defender for Endpoint : compris dans Microsoft 365 E5, ou disponible en add-on à la licence E3.
• CrowdStrike Falcon : licence par poste selon le module (Pro / Enterprise / Complete).
• SentinelOne Singularity : positionnement comparable à CrowdStrike, parfois plus accessible selon les négociations.

À cela s’ajoute le coût opérationnel : un EDR n’est utile que si quelqu’un regarde les alertes. Soit l’organisation interne s’en charge, soit elle externalise via un MDR (Managed Detection and Response) — Macinwork propose les deux configurations selon les contextes.

Ce qu’on recommande, en 2026

Pour une PME parisienne de 30 à 200 utilisateurs avec un mix Mac/PC, sur un environnement Microsoft 365 : Defender for Endpoint, géré via Intune et Kandji, supervisé par notre équipe sur un mode 8h-19h en jours ouvrés. Pour une PME avec un risque cyber élevé (finance, santé, donneur d’ordre soumis à NIS2) : CrowdStrike Falcon avec couverture 24/7 via un MDR partenaire.

Si vous opérez sans EDR aujourd’hui sur un parc d’au moins 30 postes, c’est une lacune qu’il vaut mieux combler avant l’incident. Le formulaire en bas de la home est fait pour démarrer la conversation.