Endpoint detection and response

L'EDR cherche à détecter, enregistrer, évaluer et répondre aux activités suspectes qui pourraient résulter de logiciels problématiques ou d'utilisateurs frauduleux. Certaines solutions d'EDR analysent les événements de sécurité directement sur l'équipement numérique, tandis que d'autres les envoient à un serveur central ou sur le cloud pour les analyser^[2].

Combiné avec un moteur utilisant de l'intelligence artificielle, le logiciel EDR est très réactif dans la détection et l'arrêt de menaces (malwares, virus, attaques Zero day, menaces persistantes avancées...). L'intelligence artificielle lui permet d'être auto-apprenant et de ne pas devoir se connecter sur Internet pour mettre à jour des bases de données^{[réf. nécessaire]}.

Le terme est utilisé pour la première fois en juillet 2013 par Anton Chuvakin^[4] de la société Gartner. Il désigne une catégorie d’outils et de solutions qui mettent l’accent sur la détection d’activités suspectes directement sur les hôtes du système d'information. Initialement dénommée « Endpoint Threat Detection & Response » (ETDR), en 2015 Gartner réduit l’expression en « Endpoint Detection and Response » (EDR)^[3].

Gartner estime que le marché des logiciels antivirus traditionnel est obsolète.^{[réf. nécessaire]}