Un parc Mac sans EDR, c'est une surface d'attaque invisible
macOS reste perçu comme intrinsèquement sûr dans beaucoup de PME romandes — croyance qui persiste malgré la multiplication des stealers, ransomwares et implants ciblant spécifiquement Apple Silicon depuis 2022. Un endpoint Mac sans EDR génère une télémétrie nulle : pas de détection comportementale, pas de timeline d'incident, et une réponse post-compromission réduite à la réinstallation. Pour une PME sous nLPD, l'absence de journalisation suffisante peut constituer un manquement à l'obligation de mesures techniques appropriées.
Critères de sélection pour une PME (20-150 endpoints)
Ce qui compte vraiment à cette échelle
Les éditeurs grand compte parlent de XDR, de threat intelligence corrélée et de SOC 24/7. Une PME de 45 Mac gérée par deux personnes a des besoins différents : installation sans agent kernel supplémentaire, console cloud sans infrastructure on-prem, licence mensuelle prévisible, et intégration native avec Apple Business Manager (ABM) pour le déploiement zero-touch via MDM (Jamf, Intune, Mosyle, Kandji). Les critères retenus ici :
- Empreinte CPU/RAM sur Apple M1/M2/M3 en charge de travail bureautique
- Mode de déploiement : profil MDM + System Extension approuvée par ABM, sans interaction utilisateur
- Conformité avec les contrôles CIS Benchmark macOS (niveau 1 et 2)
- Visibilité des processus, connexions réseau, modifications de fichiers système
- Réponse active : isolation réseau, kill process, collecte de forensics à distance
- Tarif indicatif par endpoint/an pour un parc de 25 à 100 licences
Apple Silicon : l'enjeu des System Extensions
Depuis macOS 11 (Big Sur), les Kernel Extensions (kext) sont dépréciées. Tout EDR sérieux doit fonctionner via System Extensions et Endpoint Security Framework (ESF). Sur Apple Silicon (M1/M2/M3), une System Extension non signée ou non approuvée via MDM bloque l'activation — ce qui rend le déploiement ABM+MDM indispensable pour éviter toute interaction manuelle sur chaque poste. Vérifiez que votre MDM pousse bien le profil com.apple.system-extension-policy avec l'identifiant d'équipe de l'éditeur avant le premier boot.
Defender for Endpoint sur Mac
Positionnement
Microsoft Defender for Endpoint (MDE) Plan 2 est inclus dans Microsoft 365 E3/E5 et Defender for Business — ce dernier ciblant explicitement les organisations de moins de 300 utilisateurs. Pour une PME déjà sous Microsoft 365 Business Premium (environ CHF 22/utilisateur/mois), MDE est disponible sans surcoût de licence EDR séparé, ce qui en fait l'option la moins chère dans un contexte Microsoft-centric.
Déploiement sur Mac via MDM
Le déploiement passe par un package .pkg signé, un profil de configuration MDM pour approuver la System Extension (com.microsoft.wdav.epsext), et un profil de notification. La documentation officielle Microsoft prévoit un déploiement entièrement silencieux via Intune ou Jamf. Le onboarding se fait par script shell ou package WDAV. Comptez 20 à 40 minutes de configuration MDM initiale, puis zéro interaction utilisateur sur les endpoints ABM.
Performances et détection
Sur M2, MDE consomme typiquement 1 à 3 % de CPU en surveillance passive et entre 180 et 250 Mo de RAM selon la version de l'agent (version 101.x au moment de la rédaction). Le moteur antivirus en temps réel peut impacter les builds de projets lourds (Xcode, Docker) — des exclusions ciblées sont nécessaires. La détection comportementale s'appuie sur la télémétrie ESF et remonte dans le portail Microsoft Defender (security.microsoft.com). Les alertes MITRE ATT&CK sont mappées, mais la granularité de la timeline macOS reste inférieure à celle des outils natifs macOS des concurrents.
Limites en contexte PME suisse
MDE nécessite une licence M365 active par utilisateur. Pour une PME qui n'est pas dans l'écosystème Microsoft, le coût réel explose. L'intégration SIEM native est limitée à Microsoft Sentinel — une dépendance forte pour les PME qui utilisent un autre outil de corrélation. La résidence des données est configurable (UE), mais pas en Suisse pour les tenants standard.
SentinelOne Singularity sur Mac
Positionnement
SentinelOne Singularity Core ou Commercial est souvent retenu par les MSP suisses pour des parcs mixtes Windows/Mac/Linux. Le modèle de licence est par endpoint/an, négociable à partir de 25 endpoints. Comptez CHF 55 à 90 par endpoint/an selon le niveau (Core, Control, Complete) et le revendeur — les tarifs MSP avec remise peuvent descendre sous CHF 50.
Architecture agent
L'agent SentinelOne sur Mac utilise une System Extension approuvée (identifiant d'équipe 4AYE5J54KN) et un Full Disk Access accordé via profil MDM. Le moteur de détection est entièrement local (IA embarquée) — un point important pour les PME avec des postes parfois hors réseau (consultants terrain). La remédiation automatique (rollback de fichiers chiffrés) est disponible dès le niveau Commercial, sans dépendance cloud pour l'action elle-même.
Performances
Empreinte mesurée sur M1 Pro : 0,5 à 2 % CPU en veille, pic à 8 % lors d'un scan complet. Consommation mémoire : 120 à 200 Mo. L'impact sur les opérations I/O est perceptible lors des premiers scans post-déploiement (15 à 30 minutes), puis négligeable. La timeline d'incident (Storyline) est la fonctionnalité différenciante : chaque processus, connexion réseau et modification de fichier est corrélé dans un graphe causal, ce qui réduit significativement le temps d'investigation post-incident.
Console et intégration MDM
La console Singularity est entièrement cloud, sans composant on-prem obligatoire. L'API REST permet l'automatisation des actions de réponse. Le déploiement via Jamf ou Intune est documenté avec des profils JSON prêts à l'emploi. La résidence des données est configurable (régions EU disponibles).
CrowdStrike Falcon sur Mac
Positionnement
CrowdStrike Falcon Go et Falcon Pro ciblent les PME, mais la tarification reste élevée à petite échelle : CHF 100 à 180 par endpoint/an selon le module (Prevent, Insight, Discover) pour un parc sous 50 licences. À partir de 100 endpoints avec un revendeur partenaire, la négociation devient possible. Falcon est la référence en threat intelligence (base Adversary Intelligence, indicateurs de groupes APT nommés), pertinente pour les PME exposées (fintech, pharma, sous-traitants industriels).
Architecture
Le sensor Falcon sur Mac (version 7.x) utilise lui aussi ESF et une System Extension (identifiant X9E956P446). Le kernel driver legacy est abandonné depuis macOS 12. L'agent est léger : 60 à 120 Mo de RAM, moins de 1 % CPU en surveillance continue sur M2. Toute la logique de détection est cloud-first : le sensor envoie des événements au backend Falcon, qui applique les règles de détection. Cela implique une latence de détection dépendante de la connectivité — les endpoints hors réseau ont une protection réduite aux indicateurs statiques locaux.
Déploiement et gestion
Le package .pkg est déployable via ABM/MDM. La configuration du profil System Extension et Full Disk Access suit le même schéma que les concurrents. CrowdStrike fournit des profils Jamf et Intune prêts à l'emploi. La console Falcon Hub est exhaustive mais peut paraître complexe pour une PME sans analyste SOC dédié — le signal-to-noise des alertes demande un tuning initial (politique de prévention, exclusions).
Points de vigilance
La dépendance au cloud CrowdStrike a été illustrée de façon brutale en juillet 2024 avec l'incident de mise à jour du sensor Windows (8,5 millions de BSOD). Sur Mac, la mise à jour du sensor passe aussi par le backend CrowdStrike — une régression de contenu peut théoriquement impacter des endpoints Mac. Prévoyez une politique de ring deployment : déploiement du sensor sur 10 % du parc en premier, validation 48h, puis rollout complet.
Tableau comparatif synthétique
Lecture pour un parc de 50 Mac, PME suisse sans SOC interne :
- MDE (Defender for Endpoint) — Coût additionnel nul si M365 BP déjà en place. Meilleur choix Microsoft-only. Limite : télémétrie macOS moins granulaire, données hors Suisse.
- SentinelOne Singularity Commercial — CHF 55–90/endpoint/an. Storyline = meilleure investigation autonome. Détection locale = résilience hors réseau. Recommandé pour MSP et PME mixtes.
- CrowdStrike Falcon Pro — CHF 100–180/endpoint/an. Threat intelligence supérieure, agent ultra-léger. Complexité console + prix = PME exposées ou régulées (FINMA, pharma).
Cas pratique : fiduciaire vaudoise, 38 Mac, migration de l'antivirus legacy
Contexte
Une fiduciaire basée à Lausanne gère 38 collaborateurs, tous sur MacBook Pro M2 (macOS 14 Sonoma). Parc géré via Jamf Pro avec ABM. Jusqu'en 2024, protection assurée par un antivirus legacy (agent kext, incompatible M2 natif, en mode Rosetta 2). Après un audit interne révélant l'absence de télémétrie comportementale et un rapport d'incident NCSC sur des campagnes de phishing ciblant les fiduciaires romandes, la DSI décide de déployer un EDR.
Critères retenus
- Budget EDR : CHF 4 000 à 5 500/an maximum (38 endpoints)
- Pas de SOC interne — investigations gérées par le DSI seul
- Déploiement zero-touch via Jamf (ABM actif)
- Données clients soumises à la nLPD : nécessité de journalisation des accès aux fichiers
- Obligation de pouvoir notifier le PFPDT en cas de violation dans les 72h (art. 24 nLPD)
Processus de sélection et déploiement (étapes)
- DSI — Évaluation des trois EDR sur 5 endpoints pilotes M2 pendant 3 semaines. Mesure CPU/RAM via Activity Monitor + iStatMenus, simulation de téléchargement de malware EICAR et d'un script de reconnaissance réseau.
- DSI + Juriste — Vérification de la résidence des données : SentinelOne sélectionné avec région EU (Frankfurt). Rédaction d'un addendum au contrat fournisseur (sous-traitant au sens nLPD, art. 9).
- DSI — Création du package SentinelOne dans Jamf Admin. Importation du profil System Extension (com.sentinelone.sentinel-extensions, équipe 4AYE5J54KN), profil Full Disk Access, profil de notification. Test de scope sur le groupe pilote ABM.
- DSI — Ring deployment : 8 endpoints semaine 1 (groupe IT + direction), puis 15 endpoints semaine 2, puis 15 endpoints semaine 3. Aucun incident de compatibilité.
- DSI — Configuration de la politique de détection : mode Protect (prévention active), exclusions pour les chemins de l'ERP fiduciaire (/Applications/Fiduciaire/*.app), seuil d'alerte email sur toute détection de sévérité Medium+.
- DSI — Alignement avec le CIS Benchmark macOS 14 niveau 1 : activation FileVault (déjà en place), désactivation des services inutiles via profil Jamf, restriction des System Extensions non approuvées.
- DSI — Mise en place d'un runbook d'incident : en cas d'alerte Critical, isolation réseau de l'endpoint via console Singularity, signalement au NCSC si compromission avérée, notification PFPDT sous 72h si données personnelles exfiltrées.
Résultat chiffré
Coût total : CHF 3 876/an (38 × CHF 102, tarif revendeur MSP SentinelOne Commercial). Déploiement complet en 3 semaines. Première détection réelle à J+12 : script Python de collecte de credentials détecté sur un MacBook suite à un test de phishing interne. Timeline Storyline a permis d'identifier l'origine (pièce jointe .zip ouverte depuis Mail.app) en 8 minutes, sans forensics manuelle. Aucun impact utilisateur lors du déploiement.
Récapitulatif opérationnel
- Vérifiez que votre MDM (Jamf, Intune, Mosyle) est connecté à ABM avant tout déploiement EDR — c'est le prérequis pour l'approbation silencieuse des System Extensions sur Apple Silicon.
- Exigez un PoC de 3 semaines minimum sur des M2/M3 réels, pas sur des VM : les performances CPU/RAM diffèrent significativement.
- Pour les PME sans SOC, privilégiez un EDR avec détection locale (SentinelOne) plutôt que cloud-first (Falcon) si vos endpoints travaillent hors réseau régulièrement.
- Si vous êtes déjà sur Microsoft 365 Business Premium, évaluez MDE avant d'acheter une licence séparée — le coût marginal est nul, la couverture macOS suffisante pour un risque moyen.
- Documentez les sous-traitants de traitement de données EDR (vendor, région de stockage, durée de rétention des logs) — obligation nLPD art. 9 pour tout accès à des données personnelles des collaborateurs.
- Appliquez le CIS Benchmark macOS niveau 1 en parallèle du déploiement EDR : un EDR sur un OS mal configuré détecte mais ne compense pas les mauvaises defaults.
- Définissez un runbook d'incident avant le go-live : qui isole l'endpoint, qui notifie le NCSC, qui déclenche la procédure nLPD art. 24 (72h PFPDT).
- Pratiquez le ring deployment (10-20 % d'abord) pour tout update majeur de sensor — l'incident CrowdStrike de juillet 2024 a rappelé que les mises à jour automatiques de sensor peuvent avoir des effets de bord.
- Vérifiez trimestriellement que la version du sensor est compatible avec la dernière version macOS — Apple sort des mises à jour mineures qui peuvent casser des System Extensions.
- Conservez les logs EDR au minimum 12 mois (bonne pratique nLPD/NCSC) et testez l'export des timelines d'incident dans votre SIEM ou stockage sécurisé.
SynGuard accompagne les PME romandes dans la sélection, le déploiement et l'intégration MDM de solutions EDR sur parcs Mac et Windows — sans engagement sur une marque unique.
Sources
- Loi fédérale sur la protection des données (nLPD) — fedlex.admin.ch — Texte consolidé de la nLPD, notamment art. 8 (mesures techniques), art. 9 (sous-traitants), art. 24 (notification de violations).
- Signalement d'incidents — NCSC — Portail de signalement des cyberincidents pour les entreprises et particuliers suisses.
- Préposé fédéral à la protection des données et à la transparence (PFPDT) — Autorité de surveillance nLPD, procédures de notification de violations de données.
- CIS Benchmark for Apple macOS — Center for Internet Security — Référentiel de durcissement macOS, niveaux 1 et 2, mis à jour par version d'OS.
- NIST Cybersecurity Framework — nist.gov — Cadre de référence pour la gestion du risque cyber, fonctions Identify/Protect/Detect/Respond/Recover.