03 juillet 2026MDM & Endpoints

EDR sur Mac en PME : Defender, SentinelOne, CrowdStrike — comparatif terrain

Un Mac non surveillé dans un parc de 40 endpoints peut servir de pivot silencieux pendant des semaines. Choisir le bon EDR n'est pas une question de budget, c'est une question d'architecture et de maturité opérationnelle.

Par ZRS-Holding Sàrl·9 min de lecture·86 lectures
Partager

Un angle mort persistant dans les parcs mixtes

Dans une PME de 60 postes — 20 Mac, 38 Windows, 2 Linux — les Mac sont souvent déployés via Apple Business Manager avec un profil MDM propre, mais sans agent EDR actif. L'équipe IT considère macOS comme "naturellement sécurisé". Cette perception est fausse : en 2023–2024, des familles de malwares comme XLoader, Atomic Stealer et RustDoor ciblent exclusivement macOS. Gatekeeper et XProtect ne constituent pas un EDR : ils n'offrent ni détection comportementale, ni télémétrie réseau, ni réponse automatisée.

Pour un RSSI ou un DSI de PME romande, la question n'est donc pas "faut-il un EDR sur Mac ?" mais "lequel déployer avec le MDM en place, à quel coût, et avec quelle charge opérationnelle ?".

Cadre de référence : ce qu'exige le niveau de maturité minimal

Les CIS Benchmarks pour macOS 14 (Sonoma) définissent deux niveaux : L1 (obligatoire, applicable sans impact utilisateur) et L2 (durci, adapté aux environnements sensibles). La section 2.6 exige explicitement un antivirus/EDR actif avec mises à jour automatiques de signatures. Le NIST Cybersecurity Framework (fonctions Detect / Respond) va dans le même sens.

Côté suisse, la nLPD (nouveau droit de la protection des données), entrée en vigueur le 01.09.2023, impose des mesures techniques et organisationnelles proportionnées à la sensibilité des données traitées. Pour une fiduciaire ou un bureau d'études manipulant des données personnelles de clients, l'absence d'EDR sur une flotte macOS constitue une lacune documentable lors d'un audit ou d'un incident. Le NCSC recommande par ailleurs aux PME de disposer de journaux d'événements suffisants pour permettre une analyse post-incident — condition difficile à remplir sans agent EDR.

Trois EDR sous la loupe : architecture macOS

Microsoft Defender for Endpoint (MDE)

MDE sur macOS repose sur un daemon wdavdaemon qui s'exécute en espace utilisateur avec les extensions système signées par Microsoft (TCC approuvée via MDM). Il nécessite :

  • macOS 12 minimum (support Monterey), macOS 13/14 recommandé
  • Un profil MDM qui accorde Full Disk Access, Network Extension et System Extensions via payload Configuration Profile
  • La licence Microsoft 365 Business Premium ou Defender for Endpoint Plan 2 — environ CHF 18–22/utilisateur/mois selon volume et canal de distribution

Points forts terrain : intégration native avec Intune (déploiement du .pkg via App deployment, politiques de configuration via Settings Catalog), console unifiée Microsoft Defender XDR pour Windows + Mac, corrélation d'incidents cross-plateforme. Point faible : la latence de détection comportementale sur macOS est historiquement supérieure à celle des agents natifs macOS-first, et la charge CPU au scan peut atteindre 15–25 % sur des Mac avec des SSD NVMe lents (Mac mini 2018, MacBook Pro Intel).

SentinelOne Singularity

L'agent SentinelOne sur macOS utilise une Kernel Extension (KEXT) sur macOS < 11 et une System Extension sur macOS 11+. Le moteur Behavioral AI tourne entièrement en local (on-device), sans dépendance cloud pour la décision — avantage décisif pour les environnements avec contraintes de connectivité ou exigences de souveraineté des données.

  • Déploiement via MDM (Jamf, Intune, Kandji) avec profil Privacy Preferences Policy Control (PPPC) et Approved System Extensions
  • Tier Singularity Core : détection + NGAV, ~CHF 5–8/endpoint/mois en PME (50–200 endpoints)
  • Tier Singularity Control : ajoute Firewall Control, Device Control, ~CHF 8–12/endpoint/mois
  • Tier Singularity Complete : EDR complet + threat hunting, ~CHF 12–18/endpoint/mois

La fonctionnalité Storyline construit un graphe d'exécution (parent-child process, réseau, fichiers) par processus — particulièrement utile pour les analystes qui n'ont pas de SOC dédié, car l'investigation est semi-automatisée. L'agent consomme en moyenne 2–4 % CPU en mode surveillance passive sur macOS Sonoma (Apple Silicon M1/M2).

CrowdStrike Falcon

Falcon repose sur le Falcon Sensor pour macOS, distribué en .pkg, qui utilise exclusivement des System Extensions (pas de KEXT depuis Falcon 6.x). La détection est hybride : certaines règles tournent en local, l'analyse comportementale approfondie et la threat intelligence sont traitées dans le cloud CrowdStrike (Threat Graph).

  • Falcon Go / Pro / Enterprise — en PME 50 endpoints, Falcon Pro approche CHF 15–20/endpoint/mois
  • Temps de réponse cloud pour les alertes : typiquement < 1 minute en environnement connecté
  • Déploiement MDM : profil PPPC + System Extension + Network Filter obligatoires ; le déploiement silencieux sans MDM échoue sur macOS 13+ (notarisation Apple insuffisante sans approbation MDM)

Avantage majeur : la threat intelligence intégrée (indicateurs d'acteurs, TTPs MITRE ATT&CK) est de très haute qualité. Inconvénient PME : la console Falcon est complexe pour une équipe IT de 1–2 personnes sans formation. Le coût total — licence + formation + intégration SIEM — peut dépasser CHF 25 000/an pour 50 endpoints.

Déploiement MDM : points de friction macOS spécifiques

Quel que soit l'EDR choisi, macOS impose des approbations de sécurité que seul le MDM peut pré-autoriser silencieusement. Un déploiement manuel oblige chaque utilisateur à aller dans Réglages système > Confidentialité et sécurité pour autoriser manuellement — inacceptable en entreprise.

Les payloads MDM requis (format mobileconfig) sont :

  1. System Extensions : whitelist du Team ID de l'éditeur (ex. VWPT5G3JKT pour CrowdStrike)
  2. Privacy Preferences Policy Control (PPPC) : Full Disk Access pour le daemon de l'agent
  3. Network Extension : autorisation du filtre réseau (nécessaire pour le module de détection réseau)
  4. Notifications : optionnel, pour afficher les alertes utilisateur

Avec Apple Business Manager et l'enrollment automatique (ADE), ces profils sont poussés avant que l'utilisateur ne touche le Mac — c'est la seule façon d'atteindre zéro intervention utilisateur. Sans ADE, l'agent s'installe mais les extensions système restent en attente d'approbation, rendant la détection inactive.

Pour les parcs utilisant FleetDM (osquery-based), l'EDR et FleetDM sont complémentaires : FleetDM gère l'inventaire et les requêtes de conformité (vérifier que l'agent EDR est bien actif, version à jour, dernière connexion console < 24h), tandis que l'EDR gère la détection comportementale en temps réel.

Tableau comparatif synthétique

Détection on-device Partielle (cloud-assisted) Totale Hybride Rollback automatique Non Oui (1-click) Non Console unifiée Win+Mac Oui (M365) Oui Oui Coût ~50 endpoints (CHF/mois) ~900–1100 ~600–900 ~750–1000 Complexité admin (1–2 IT) Moyenne Faible Élevée Souveraineté données (EU/CH) Oui (EU Data Boundary) Oui (EU) Oui (EU)

Cas pratique : fiduciaire vaudoise, 18 Mac, 22 Windows

Contexte : Fiduciaire à Lausanne, 40 collaborateurs, 18 MacBook Pro (dont 12 Apple Silicon M2, 6 Intel 2019–2020), 22 PC Windows 11 22H2/23H2. Données traitées : comptabilité clients, déclarations fiscales, données personnelles au sens de la nLPD. MDM en place : Intune (Windows) + Intune + Apple Business Manager (Mac). Pas de SOC externalisé. Responsable IT seul, appuyé par un MSP externe 4h/semaine.

Problème initial : Audit nLPD interne (15.03.2024) révèle l'absence d'EDR sur les Mac. Les logs systèmes disponibles couvrent moins de 7 jours. Le MSP estime à 3–4 jours le délai de détection d'un incident sur les postes Mac.

Décision et calcul : Le responsable IT compare MDE (déjà partiellement licencié via M365 Business Premium à CHF 22/utilisateur/mois) vs SentinelOne Complete.

  • MDE : inclus dans la licence M365 Business Premium existante → coût marginal = 0 CHF de licence supplémentaire pour les 18 Mac. Coût de déploiement MDM (2 jours consultant) : CHF 1 600.
  • SentinelOne Complete : CHF 14/endpoint/mois × 18 = CHF 252/mois = CHF 3 024/an + CHF 1 200 déploiement.

La décision retenue est MDE, non pas uniquement pour le coût, mais parce que la console Microsoft Defender XDR est déjà utilisée pour les alertes Windows — l'unification réduit le contexte de surveillance à un seul tableau de bord pour 1 IT seul.

Procédure de déploiement (exécutée sur 3 jours) :

  1. J1 matin — Préparation ABM/Intune : Vérification que les 18 Mac sont bien enrollés ADE dans Apple Business Manager, synchronisés dans Intune. Les 6 Mac Intel non-ADE sont identifiés : enrollment manuel via le portail Intune Company Portal planifié.
  2. J1 après-midi — Profils MDM : Création dans Intune de 4 profils de configuration macOS : System Extensions (Team ID Microsoft UBF8T346G9), PPPC (Full Disk Access pour com.microsoft.wdav), Network Extension, Notifications. Assignation au groupe de sécurité "Mac-EDR-Pilot" (5 Mac M2 de test).
  3. J2 matin — Déploiement pilote : Package MDE (.pkg) déployé via Intune LOB App. Vérification dans la console MDE que les 5 Mac apparaissent comme "Onboarded" dans les 90 minutes. Test de détection : téléchargement du fichier EICAR sur un Mac pilote → alerte générée en < 4 minutes.
  4. J2 après-midi — Rollout complet : Changement d'assignation vers le groupe "Tous Mac" (12 ADE). Les 6 Mac Intel non-ADE : déclenchement manuel du Company Portal, enrollment et profils poussés lors des sessions utilisateur.
  5. J3 — Vérification conformité : Requête Intune Device Compliance : 16/18 Mac conformes (agent actif, signatures à jour). 2 Mac Intel affichent "Pending" car utilisateurs hors bureau. Relance planifiée à la reconnexion réseau. Mise à jour du registre de traitement nLPD : mention "EDR actif sur l'ensemble de la flotte Mac depuis le 22.04.2024".

Résultat : Couverture EDR 100 % en J+7 (après retour des 2 utilisateurs absents). Coût total : CHF 1 600 (consultant). Réduction du délai de détection estimé : de 3–4 jours à < 15 minutes sur les Mac ADE.

Récapitulatif opérationnel

  • Auditer le parc Mac : Identifier les Mac hors ADE (enrollment MDM incomplet = EDR potentiellement inactif même si l'agent est installé).
  • Prioriser les profils MDM avant le .pkg : Sans System Extension + PPPC + Network Extension approuvés via MDM, l'agent s'installe mais ne protège pas. C'est la cause n°1 de fausse sécurité.
  • Aligner le choix EDR sur l'outillage existant : M365 Business Premium → MDE sans coût supplémentaire. Environnement non-Microsoft → SentinelOne pour sa simplicité console. Besoin de threat intelligence avancée → CrowdStrike, mais prévoir budget formation.
  • Vérifier la couverture via requête MDM automatisée : Intune Compliance Policy ou FleetDM query toutes les 24h : agent actif, version ≥ N-1, dernière connexion console < 48h.
  • Documenter pour la nLPD : Consigner dans le registre des activités de traitement la mesure technique "EDR actif" avec date de mise en œuvre, version de l'agent, périmètre couvert.
  • Tester la détection : Fichier EICAR + simulation de connexion C2 DNS (outil NCSC ou exercice tabletop) au moins une fois par an.
  • Planifier la rétention des logs : Les événements EDR doivent être conservés ≥ 90 jours (MDE : 180 jours par défaut dans Defender XDR) pour permettre une analyse post-incident conforme aux exigences nLPD et NCSC.
  • Inclure les Mac dans le processus de patch management : L'EDR ne compense pas un macOS non patché — enforcer via MDM une politique de mise à jour OS : délai maximal 14 jours après release pour les correctifs de sécurité critiques.

SynGuard accompagne les équipes IT de PME romandes dans la configuration des profils MDM macOS et l'intégration des agents EDR dans les flux de conformité nLPD existants.

Sources

Noter cet article

Pas encore de note