EDR, XDR, SIEM, SOC : le lexique cybersécurité pour dirigeants de PME
EDR, XDR, SIEM, SOC, MFA, Zero Trust, NIS 2… Le vocabulaire de la cybersécurité se multiplie et devient de plus en plus technique. Pour un dirigeant ou un responsable administratif, comprendre ces termes n’est pas un luxe : c’est ce qui permet d’arbitrer les devis, de challenger son prestataire IT et de décider en connaissance de cause.
Ce lexique regroupe 18 notions essentielles de la cybersécurité pour une PME, organisées en 6 familles thématiques. Pas de jargon gratuit : chaque terme est défini simplement, avec un cas concret et la bonne question à se poser. Si vous vous demandez par ailleurs si votre entreprise est prête à externaliser son informatique, complétez cette lecture avec notre article sur les 7 signaux d’un besoin d’infogérance.
Famille 1 : Protection du poste et des accès
C’est le premier rempart : ce qui se passe sur les postes de travail et au moment de la connexion. Trois notions à maîtriser.
EPP — Endpoint Protection Platform
Plate-forme de protection des postes. C’est l’antivirus traditionnel nouvelle génération : il bloque les fichiers malveillants connus via des signatures et un peu d’heuristique. Utile, mais insuffisant face aux attaques modernes.
Exemple concret : un collaborateur télécharge une pièce jointe infectée — l’EPP la bloque si la signature est déjà connue.
EDR — Endpoint Detection & Response
L’évolution de l’antivirus. L’EDR surveille en continu le comportement des postes (processus, connexions réseau, modifications système) et détecte les anomalies même sur des attaques inconnues. Il permet surtout de répondre : isoler le poste, stopper le processus malveillant, remonter en arrière.
Exemple concret : un ransomware commence à chiffrer des fichiers à 2h du matin. L’EDR détecte le comportement anormal, isole automatiquement le poste et alerte l’équipe de sécurité.
MFA — Multi-Factor Authentication
L’authentification à plusieurs facteurs : en plus du mot de passe, un second élément est demandé (SMS, application, clé physique). Une mesure simple qui neutralise jusqu’à 99 % des attaques par vol d’identifiants (étude Microsoft).
À mettre en place en priorité sur : messagerie, accès distant (VPN), outils d’administration, accès bancaires, Microsoft 365 / Google Workspace.
Famille 2 : Détection et supervision
Une fois les protections posées, il faut voir ce qui se passe sur l’ensemble du système d’information. C’est le rôle de cette famille.
SIEM — Security Information and Event Management
Plate-forme qui collecte tous les journaux (serveurs, pare-feu, postes, applications) et détecte les corrélations suspectes. Un SIEM bien configuré peut repérer une tentative d’intrusion qui traverse plusieurs équipements, là où chaque outil pris isolément ne verrait rien.
En clair : le SIEM, c’est la salle de vidéosurveillance qui regarde tous les flux en même temps.
SOC — Security Operations Center
L’équipe humaine (internalisée ou externalisée) qui exploite le SIEM 24/7 et réagit aux alertes. Pour une PME, un SOC mutualisé chez un prestataire coûte bien moins cher qu’une équipe dédiée, tout en apportant la surveillance nécessaire.
XDR — Extended Detection & Response
Successeur de l’EDR, l’XDR unifie la détection sur tout le SI : postes, e-mails, cloud, identités, réseau. Une seule console, une seule logique d’alerte, une réponse automatisée coordonnée.
Pour une PME : l’XDR remplace avantageusement une collection d’outils séparés (antivirus + firewall + filtre e-mails + IDS) par une brique unique et pilotable.
Famille 3 : Réseau et connectivité sécurisés
Les flux qui entrent et sortent de votre entreprise doivent être maîtrisés et chiffrés. C’est tout l’enjeu des infrastructures et réseaux professionnels. Trois piliers à connaître.
VPN — Virtual Private Network
Tunnel chiffré qui permet à un collaborateur en déplacement ou en télétravail d’accéder aux ressources de l’entreprise comme s’il était au bureau. Indispensable dès que vos équipes travaillent hors site.
Attention : un VPN mal configuré devient lui-même une porte d’entrée pour les attaquants. La gestion rigoureuse des comptes et la combinaison avec le MFA sont essentielles.
Zero Trust
Approche de sécurité moderne où on ne fait confiance à personne par défaut, même aux utilisateurs internes. Chaque accès est vérifié, authentifié et chiffré, qu’il vienne du réseau interne ou d’internet.
Concrètement : plus de « périmètre » à défendre — chaque ressource est protégée individuellement. Une évolution devenue incontournable avec le télétravail et le cloud.
NGFW — Next-Generation Firewall
Pare-feu nouvelle génération, capable d’analyser le contenu des flux (pas seulement les ports/IP), de filtrer le web, d’intégrer un antivirus passerelle et de détecter les intrusions. Remplace le pare-feu « traditionnel » dans toute architecture moderne, y compris en PME.
3 confusions fréquentes à lever (et la bonne question à poser)
Même chez des dirigeants informés, certains termes sont souvent utilisés de façon interchangeable alors qu’ils désignent des réalités différentes. Voici les trois confusions à lever pour dialoguer efficacement avec votre prestataire IT :
| Souvent confondus | La vraie différence | La bonne question à poser |
|---|---|---|
| Antivirus / EPP / EDR | L’antivirus bloque les menaces connues. L’EDR détecte les comportements inconnus et permet d’y répondre. | « Mon outil détecte-t-il une attaque inconnue ou seulement les menaces déjà répertoriées ? » |
| 2FA / MFA | Le 2FA est un cas de MFA (2 facteurs). Le MFA peut combiner plusieurs facteurs et s’adapter selon le risque. | « Mes accès sensibles (email, admin, VPN, finance) sont-ils tous couverts ? » |
| VPN / Zero Trust | Le VPN ouvre un tunnel vers le réseau interne. Zero Trust vérifie chaque accès à chaque ressource, indépendamment du réseau. | « Un attaquant qui franchit mon VPN a-t-il accès à tout mon SI ? » |
Famille 4 : Menaces et vecteurs d’attaque
Savoir contre quoi on se protège est aussi important que de savoir comment. Trois menaces à connaître pour chaque dirigeant de PME.
Phishing (hameçonnage)
E-mail, SMS ou appel qui se fait passer pour un expéditeur de confiance (banque, fournisseur, DG de l’entreprise) pour pousser la victime à cliquer, payer ou communiquer ses identifiants. Première cause d’intrusion dans les entreprises — largement devant les vulnérabilités purement techniques.
Variante redoutable : le spear phishing, ciblé sur une personne précise après recherche OSINT sur LinkedIn ou le site de l’entreprise.
Ransomware (rançongiciel)
Logiciel malveillant qui chiffre vos données (ou les exfiltre avant) et exige une rançon pour les libérer. Les attaques ciblent massivement les PME depuis 2022. Le coût total d’une attaque dépasse souvent 300 000 € pour une PME, tous préjudices confondus (source : Hiscox).
Bonne pratique : ne jamais payer, restaurer depuis une sauvegarde immuable (voir famille 5).
Ingénierie sociale
Techniques de manipulation humaine pour obtenir des informations, un accès ou un paiement. Un faux appel « Microsoft », un faux dirigeant pressé par SMS, un usurpateur en badge de livreur : la faille exploitée est humaine, pas technique.
La parade principale : la sensibilisation régulière des équipes et des processus qui rendent impossibles les paiements urgents sans double contrôle.
Famille 5 : Résilience et continuité d’activité
La question n’est pas « serai-je attaqué un jour ? » mais « combien de temps me faudra-t-il pour redémarrer ? ». Cette famille concerne votre capacité à encaisser un incident majeur.
Sauvegarde 3-2-1 (et 3-2-1-1-0)
Règle d’or : 3 copies des données, sur 2 supports différents, dont 1 externalisée (hors site ou hors ligne). En 2026, on parle plutôt de 3-2-1-1-0 : la dernière copie doit être immuable (non modifiable pendant X jours), pour résister aux ransomwares qui ciblent désormais les sauvegardes elles-mêmes.
PCA / PRA — Plan de continuité / reprise d’activité
Deux concepts complémentaires : le PCA vise à maintenir l’activité pendant l’incident (site de repli, procédures dégradées), le PRA vise à remettre le SI à son état nominal après l’incident. Les deux doivent être documentés et testés — un plan non exercé est un plan qui ne marche pas.
RTO / RPO — Recovery Time / Point Objective
Les deux indicateurs qui pilotent votre stratégie de continuité :
- RTO (Recovery Time Objective) : temps maximum acceptable entre l’incident et la reprise. « En combien de temps dois-je être à nouveau opérationnel ? »
- RPO (Recovery Point Objective) : quantité maximale de données que vous pouvez vous permettre de perdre. « Quelle est l’ancienneté acceptable de ma dernière sauvegarde exploitable ? »
Sans RTO/RPO définis, impossible de dimensionner correctement sa sauvegarde et son infogérance.
Famille 6 : Conformité et gouvernance
Le cadre réglementaire et les bonnes pratiques qui structurent votre démarche cybersécurité.
RGPD — Règlement général sur la protection des données
Règlement européen en vigueur depuis 2018, qui encadre le traitement des données personnelles (clients, salariés, prospects). Sanction maximale : 4 % du chiffre d’affaires mondial. Pour une PME, les points clés sont le registre des traitements, les mentions d’information, les droits des personnes (accès, rectification, effacement) et la notification d’incident à la CNIL sous 72h.
Directive NIS 2
Nouvelle directive européenne (transposée en France en 2025) qui étend les obligations de cybersécurité à environ 15 000 entités en France : ETI, collectivités, secteurs essentiels (santé, énergie, alimentaire, services numériques, fournisseurs IT). Si vous êtes concerné, les exigences couvrent la gouvernance, la gestion des risques, la notification d’incident et la chaîne d’approvisionnement.
À vérifier : votre éligibilité NIS 2 et votre niveau de maturité actuel — nos experts cybersécurité Matrys Tech peuvent vous accompagner sur cet audit.
Pentest — Test d’intrusion
Audit offensif mené par des experts qui tentent réellement de pénétrer votre SI, avec votre autorisation. Le rapport liste les vulnérabilités trouvées, par ordre de criticité, avec les recommandations de correction. Idéal une fois par an et après tout changement majeur (nouvelle application, migration cloud, ouverture de site).
Par où commencer : le socle minimum pour une PME
Tout déployer d’un coup serait irréaliste. Voici l’ordre de priorité recommandé pour construire votre posture de sécurité étape par étape, sans se disperser :
- MFA partout où c’est possible. Messagerie, accès distant, administration, applications sensibles. Effet immédiat, coût quasi nul.
- EDR sur tous les postes et serveurs. Remplace un antivirus vieillissant, détecte les attaques inconnues, permet la réponse à incident.
- Sauvegardes 3-2-1 avec copie immuable. Votre dernière ligne de défense contre le ransomware. Testées au moins deux fois par an.
- Sensibilisation régulière des équipes. Campagnes de phishing simulé, capsules vidéo courtes, rappels trimestriels. L’humain est à la fois la faille principale et le meilleur rempart.
- Pare-feu nouvelle génération et VPN avec MFA. Pour tout flux entrant, sortant, et tout accès distant.
- PCA/PRA documenté et testé. Avec des RTO/RPO définis par service métier.
- Audit régulier et pentest annuel. Pour objectiver le niveau réel et piloter les investissements dans la durée.
Cette démarche n’a pas à être menée seule. Chez Matrys Tech, nous accompagnons les PME sur chacun de ces chantiers, du choix des outils à l’opérationnel au quotidien — découvrez nos solutions de cybersécurité et notre checklist des 20 contrôles essentiels. Pour chiffrer l’investissement, consultez également notre article dédié aux prix de l’infogérance en PME.
Questions fréquentes
Par quoi commencer si on a un budget cybersécurité limité ?
Les deux mesures au meilleur rapport effet/coût sont la MFA (gratuite dans la majorité des suites Microsoft 365 et Google Workspace) et la sensibilisation des équipes au phishing (formations en ligne à petit budget). Elles neutralisent à elles seules la majorité des attaques opportunistes. Ensuite viennent l’EDR et la sauvegarde immuable, qui demandent un investissement mais couvrent les scénarios les plus coûteux.
EDR et antivirus, c'est la même chose ?
Non. L’antivirus (EPP) bloque les menaces connues via des signatures. L’EDR surveille le comportement des postes et détecte les menaces inconnues, tout en permettant d’y répondre (isolation, remédiation). En 2026, un antivirus seul ne suffit plus face aux ransomwares modernes : l’EDR est devenu le standard, y compris en PME, où les éditeurs proposent désormais des offres dimensionnées pour ce segment.
Faut-il un SOC interne pour une PME ?
Dans la grande majorité des cas, non. Monter un SOC interne nécessite au minimum 3 à 5 équivalents temps plein en 24/7 — un coût inenvisageable pour une PME. La solution est le SOC mutualisé ou managé proposé par un prestataire spécialisé : vous bénéficiez d’une surveillance 24/7, d’experts certifiés et d’une capacité de réponse, pour une fraction du coût d’une équipe dédiée.
Besoin d’un diagnostic cybersécurité pour votre PME ?
