Articles / Pourquoi un EDR ne suffit pas à sécuriser votre SI

Pourquoi un EDR ne suffit pas à sécuriser votre SI

ump — Un mot de passe pourri backfill 2025-11-18 · Voir sur Substack ↗

Pas d'image extraite du Substack pour cet article. Les posts seront publiés sans image.
← Retour
📢 Tweet Teaser posted
296 chars
Avec lien Substack · Soir 18h30–20h · 30% du mix

Un EDR bloque Mimikatz. Mais il ne voit pas le relais NTLM qui compromet vos comptes à privilèges. 80% des attaques ciblées passent par l'AD, pas par un .exe suspect. Voilà pourquoi un EDR seul ne suffit jamais. https://unmotdepassepourri.substack.com/p/pourquoi-un-edr-ne-suffit-pas-a-securiser

📅 26/05 à 19h10 dans 2j
✓ Publié 26/05 à 19h10
🧵 Thread posted
1749 chars
Lien en dernier tweet seulement · Midi 12h–13h30
1/8

1/ "On a un EDR, on est protégés." J'entends ça toutes les semaines. Et à chaque fois, je sais qu'on part sur une fausse sécurité. Pas parce que l'EDR est mauvais. Mais parce qu'il n'est pas conçu pour tout couvrir.

2/8

2/ Un EDR fait bien son job : bloquer Mimikatz, détecter un dump de LSASS, voir les escalades locales. Mais dès qu'un attaquant utilise PowerShell légitime, WMI ou PsExec, la signature disparaît. L'EDR devient aveugle sans config très fine.

3/8

3/ Le vrai angle mort : ce qui se passe au niveau réseau et Active Directory. Relais NTLM, abus de délégation Kerberos, exploitation de trusts inter-forêts… Aucun agent endpoint ne détecte ça. Parce que ça ne touche pas un processus, mais le protocole lui-même.

4/8

4/ Scénario réel (composite) : collectivité équipée EDR dernière génération. L'outil bloque bien les outils bruyants. Mais les attaquants pivotent via NTLM relay non couvert. Résultat : comptes admin compromis, ransomware déployé, plusieurs semaines d'arrêt.

5/8

5/ Selon Microsoft Digital Defense 2023 : 80% des attaques ciblées exploitent directement l'Active Directory. Pas un fichier. Pas un malware. Un protocole légitime mal configuré.

6/8

6/ La vraie défense passe par plusieurs couches : → SMB signing forcé → LLMNR/NBT-NS désactivés → Tiering model → MFA résistant phishing (FIDO2) → LAPS sur tous les postes → NDR couplé à l'EDR

7/8

7/ Un EDR sans durcissement réseau + sécurité identités + détection réseau, c'est comme une alarme sur une porte sans serrure. Utile. Mais insuffisant.

8/8

8/ La vraie question n'est pas "quel EDR choisir ?". C'est : "comment construire un écosystème de défense en profondeur ?" Plus de détails terrain ici : https://unmotdepassepourri.substack.com/p/pourquoi-un-edr-ne-suffit-pas-a-securiser

📅 22/09 à 12h14 dans 121j
✓ Publié 22/09 à 12h14
💡 Standalone #1 posted
235 chars
Sans lien · Matin 7h30–9h · 70% du mix

Un EDR bloque ce qui est bruyant. Mais 80% des attaques passent par des outils Windows légitimes : PowerShell, WMI, PsExec. Pas de signature. Pas de malware. Juste un protocole légitime détourné. C'est là que la plupart des SI tombent.

📅 27/07 à 08h57 dans 64j
✓ Publié 27/07 à 08h57
💬 Standalone #2 posted
254 chars
Sans lien · Matin 7h30–9h · 70% du mix

On vend des EDR comme une solution magique. Mais un EDR ne voit pas un relais NTLM. Il ne voit pas un abus de délégation Kerberos. Il ne voit pas une compromission via un trust AD mal configuré. Il voit ce qui se passe sur l'endpoint. Pas dans le réseau.

📅 24/09 à 08h57 dans 123j
✓ Publié 24/09 à 08h57
🔥 Provoc posted
236 chars
Sans lien · Valide avant de publier · Soir 18h30–20h

Si ton SI repose uniquement sur un EDR, tu paies une fausse sécurité. L'attaquant sérieux n'exécute pas Mimikatz. Il abuse un protocole légitime que ton EDR ne couvrira jamais. La cybersécurité ne se vend pas en SaaS. Elle se construit.

📅 28/09 à 18h59 dans 127j
✓ Publié 28/09 à 18h59