Microsoft Defender : Suite XDR Microsoft 365 en 2026

Microsoft Defender est la suite XDR (Extended Detection and Response) de Microsoft, plateforme unifiée de cybersécurité qui regroupe sous une marque commune les protections déployées sur les endpoints, les identités Active Directory et Entra ID, les charges multi-cloud (Azure, AWS, GCP), les boîtes Microsoft 365, les serveurs, l'IoT/OT et les pipelines DevOps. Anciennement connue sous les noms Windows Defender Antivirus (composant intégré à Windows depuis Vista), Microsoft Advanced Threat Analytics (ATA) pour l'on-premise, Azure Advanced Threat Protection (Azure ATP) et Office 365 Advanced Threat Protection (Office 365 ATP), l'ensemble a été progressivement renommé entre 2020 et 2024 pour converger vers la bannière unique Microsoft Defender XDR (anciennement Microsoft 365 Defender). En 2026, Defender équipe par défaut plus de 1,4 milliard de machines Windows et figure régulièrement en haut du quadrant Gartner Magic Quadrant Endpoint Protection Platforms aux côtés de CrowdStrike Falcon et SentinelOne. Cette page entity-first détaille l'ensemble des composants de la suite, leurs capacités techniques, les plans de licensing (P1, P2, E5, A5, Microsoft 365 Business Premium), les comparatifs concurrentiels (CrowdStrike, SentinelOne, ESET, Bitdefender) et les limites pratiques pour les PME, les ETI et les grands comptes français qui hésitent à standardiser sur l'écosystème Microsoft.

Définition : qu'est-ce que Microsoft Defender en 2026 ?

Microsoft Defender désigne en 2026 la suite XDR (Extended Detection and Response) de Microsoft, livrée majoritairement en SaaS depuis le portail unifié security.microsoft.com. Elle agrège la télémétrie des endpoints, des identités, des serveurs, des charges cloud, des emails Microsoft 365, des applications SaaS, des appareils IoT/OT et des pipelines de développement, puis applique des modèles de détection comportementale, de la threat intelligence (Microsoft Threat Intelligence Center, MSTIC) et de l'IA générative (Microsoft Security Copilot) pour produire des incidents corrélés multi-domaines.

Il faut distinguer trois sens du mot « Defender » :

• Microsoft Defender Antivirus (anciennement Windows Defender Antivirus) : moteur AV intégré gratuitement à Windows depuis Vista (2007), devenu solide avec Windows 10/11. C'est la brique NGAV consommée par Defender for Endpoint.
• Microsoft Defender for ... : famille de produits payants (Endpoint, Identity, Cloud, Office 365, Servers, IoT, DevOps) chacun avec son propre licensing.
• Microsoft Defender XDR (anciennement Microsoft 365 Defender) : couche d'orchestration et de hunting qui unifie les signaux des produits Defender et de Microsoft Sentinel.

L'ensemble constitue le pilier SecOps de la stratégie Microsoft Security, complété par Microsoft Sentinel (SIEM/SOAR), Microsoft Purview (gouvernance/data security), Microsoft Entra (identités) et Microsoft Intune (gestion de flotte).

Histoire : de Windows Defender 2006 à Microsoft Defender XDR 2026

L'origine de Defender remonte à 2004, lorsque Microsoft rachète GIANT AntiSpyware et le rebadge en Microsoft AntiSpyware Beta (2005), puis en Windows Defender en 2006. À ses débuts, le produit ne couvre que les spywares.

Jalons :

• 2006 : Windows Defender intégré à Windows Vista (anti-spyware uniquement).
• 2009 : sortie de Microsoft Security Essentials (MSE), antivirus gratuit pour Windows 7.
• 2012 : Windows Defender intègre les capacités MSE et devient un véritable antivirus dans Windows 8.
• 2015 : acquisition d'Aorato, donnant naissance à Microsoft Advanced Threat Analytics (ATA) on-premise.
• 2017 : lancement de Windows Defender ATP (cloud EDR) avec Windows 10 1607.
• 2018 : lancement d'Azure ATP (futur Defender for Identity) et d'Office 365 ATP (futur Defender for Office 365).
• 2019 : extension de Defender ATP à macOS, puis Linux (2020), Android et iOS (2021).
• 2020 (3 mars) : grand rebranding, tout devient « Microsoft Defender for X » (Endpoint, Office 365, Identity, Cloud Apps).
• 2021 : lancement de Microsoft Defender for Cloud (fusion d'Azure Security Center et d'Azure Defender).
• 2022 : ajout de Defender for IoT (acquisition CyberX 2020) et Defender for DevOps.
• 2023 (juillet) : Microsoft 365 Defender renommé Microsoft Defender XDR.
• 2024 : intégration native avec Microsoft Sentinel dans le portail unifié security.microsoft.com, Security Copilot en GA.
• 2025-2026 : convergence finale avec Sentinel, ajout de capacités autonomous SOC (auto-investigation, auto-remediation par agents IA).

Composants principaux de la suite Defender

La suite se compose de huit produits distincts, chacun adressant une surface d'attaque :

• Microsoft Defender for Endpoint (MDE) : EDR/EPP pour Windows, macOS, Linux, iOS, Android.
• Microsoft Defender for Identity (MDI) : ITDR (Identity Threat Detection and Response) sur Active Directory et Entra ID, anciennement Azure ATP.
• Microsoft Defender for Office 365 (MDO) : protection des mails Exchange Online, Teams, SharePoint, OneDrive (anti-phishing, anti-malware, Safe Links, Safe Attachments).
• Microsoft Defender for Cloud (MDC) : CSPM/CWPP/DSPM multi-cloud (Azure, AWS, GCP) — voir ci-dessous.
• Microsoft Defender for Cloud Apps (MDCA) : CASB/SSPM, anciennement Microsoft Cloud App Security.
• Microsoft Defender for Servers : sous-plan de Defender for Cloud, étend MDE aux serveurs avec scanning vulnérabilités.
• Microsoft Defender for IoT : monitoring passif réseau OT/ICS et IoT (Modbus, DNP3, BACnet).
• Microsoft Defender for DevOps : analyse de code et IaC (GitHub, Azure DevOps, GitLab).

À cela s'ajoutent des briques connexes : Microsoft Defender External Attack Surface Management (EASM), Microsoft Defender Threat Intelligence (MDTI), et Microsoft Defender Vulnerability Management (MDVM).

Microsoft Defender XDR : l'intégration unifiée 2024

Microsoft Defender XDR est la couche d'orchestration et de corrélation qui ingère les signaux de tous les produits Defender (et désormais de Sentinel) pour produire des incidents multi-domaines. Renommé en juillet 2023 (anciennement Microsoft 365 Defender), il est accessible depuis le portail unifié security.microsoft.com.

Fonctionnalités clés :

• Incidents corrélés : regroupement automatique des alertes Endpoint + Identity + Email + Cloud Apps en un même incident.
• Automated Investigation and Response (AIR) : déclenchement de playbooks automatiques (isolation hôte, suppression mail, blocage compte) sans intervention humaine.
• Advanced Hunting : requêtes KQL sur 30 jours de télémétrie unifiée (voir section dédiée).
• Threat Analytics : rapports rédigés par MSTIC sur les acteurs et campagnes en cours, avec mappage MITRE ATT&CK.
• Microsoft Security Copilot : assistant LLM qui résume les incidents, génère des requêtes KQL, propose des remédiations.

L'intégration Sentinel arrivée en 2024 fusionne définitivement les portails SIEM et XDR, supprimant la duplication d'alertes et permettant un hunting cross-cloud.

Defender for Endpoint : NGAV, EDR, ASR et Tamper Protection

Microsoft Defender for Endpoint (MDE) est la pierre angulaire de la suite. Il combine :

• NGAV (Microsoft Defender Antivirus) : moteur ML cloud-assisted (MAPS), heuristique, behavior monitoring, blocage temps réel. Score AV-TEST régulièrement à 6/6 sur Windows 11.
• EDR cloud : télémétrie de bas niveau (process, files, registry, network, AMSI, ETW) streamée vers le cloud Microsoft, hunting KQL et réponse à distance (Live Response, équivalent du RTR de Falcon).
• Attack Surface Reduction (ASR) : 17 règles natives qui bloquent des comportements à haut risque (Office crée un processus enfant, JavaScript télécharge un exécutable, exécution de scripts obfusqués…).
• Tamper Protection : empêche la désactivation de Defender même par un administrateur local (politique gérée depuis le tenant).
• Smart App Control : whitelisting réputationnel intégré à Windows 11 22H2+, bloque les binaires non signés ou de mauvaise réputation.
• Network Protection : SmartScreen étendu au système entier (pas que Edge), blocage des C2 connus.
• Web Content Filtering : catégorisation URL (équivalent proxy léger).
• Threat & Vulnerability Management (TVM) : inventaire CVE, score d'exposition, recommandations priorisées (intégré dans P2).
• Automated Investigation and Remediation (AIR) : 1 à 6 playbooks par alerte, génération automatique de tickets et remediation.

L'agent Sense (Windows) ou mdatp (Linux/macOS) est intégré au système (Windows) ou installé en daemon (Linux/macOS, ~150 Mo). Onboarding via Intune, Configuration Manager, GPO ou script local.

Defender for Identity : ITDR sur Active Directory et Entra ID

Microsoft Defender for Identity (MDI), anciennement Azure Advanced Threat Protection (Azure ATP) et avant cela Microsoft Advanced Threat Analytics (ATA) on-premise (issue de l'acquisition Aorato 2015), est le module ITDR (Identity Threat Detection and Response) de la suite. Il se déploie via un capteur léger installé directement sur les contrôleurs de domaine (DC) et les serveurs ADFS / Entra Connect.

Le capteur lit le trafic LDAP, Kerberos, NTLM, DNS et les événements de sécurité Windows (4624, 4625, 4768, 4769, 4776), puis remonte les flux à atp.azure.com pour analyse. MDI détecte :

• Reconnaissance : enumeration LDAP/SAMR, BloodHound-like queries, AS-REP roasting.
• Mouvement latéral : Pass-the-Hash, Pass-the-Ticket, Overpass-the-Hash, NTLM relay.
• Compromission credentials : Kerberoasting, brute force, password spray, Skeleton Key.
• Persistance / Domain Dominance : DCSync, DCShadow, Golden Ticket, Silver Ticket, Diamond Ticket.
• Compromis Entra ID : risky sign-ins, anomalous OAuth grants, suspicious app consent (depuis l'intégration Entra ID Protection 2024).

Les alertes MDI nourrissent les incidents Defender XDR et apparaissent dans le graph de l'attaque (User Page, Lateral Movement Path). Pour aller plus loin sur la détection lateral movement Active Directory, voir notre analyse des trois zero-days Defender 2026 qui détaille les techniques de bypass et leurs contremesures.

Defender for Office 365 : anti-phishing, Safe Links et Safe Attachments

Microsoft Defender for Office 365 (MDO), anciennement Office 365 Advanced Threat Protection (Office 365 ATP), complète Exchange Online Protection (EOP, gratuit avec toute licence Microsoft 365) avec des fonctions avancées :

• Safe Attachments : détonation sandbox des pièces jointes (PDF, Office, ZIP, exécutables) avant livraison à l'utilisateur, sur des VM Hyper-V chez Microsoft.
• Safe Links : réécriture des URLs entrantes vers safelinks.protection.outlook.com, vérification temps réel à chaque clic (time-of-click protection).
• Anti-phishing avancé : modèles ML d'usurpation (impersonation), spoofing intelligence, mailbox intelligence, détection BEC (Business Email Compromise).
• Anti-malware : multi-engine (Microsoft + tiers), blocage 100% des familles connues.
• Attack Simulation Training : simulations de phishing intégrées (P2 only) avec parcours de formation.
• Automated Investigation and Response : suppression rétroactive des emails livrés (zero-hour auto purge, ZAP).
• Threat Explorer / Real-time Detections : hunting sur les flux email (P2 / P1).

MDO existe en deux plans : P1 (Safe Attachments, Safe Links, anti-phishing — inclus dans Business Premium et E3 + add-on) et P2 (P1 + Threat Explorer, Attack Simulation Training, AIR — inclus dans E5). Pour un déploiement en profondeur, voir notre guide dédié Defender for Office 365 : configuration anti-phishing avancée.

Defender for Cloud : CSPM, CWPP et DSPM multi-cloud

Microsoft Defender for Cloud (MDC) est la plateforme Cloud-Native Application Protection Platform (CNAPP) de Microsoft. Issue de la fusion en 2021 d'Azure Security Center (CSPM) et d'Azure Defender (CWPP), elle couvre désormais les trois grands clouds publics.

Sous-fonctions :

• CSPM (Cloud Security Posture Management) : 1 200+ contrôles benchmarks (CIS Azure/AWS/GCP, NIST 800-53, ISO 27001, PCI DSS, HIPAA, FedRAMP). Plan Foundational (gratuit) ou Defender CSPM (payant, attack path analysis, agentless scanning).
• CWPP (Cloud Workload Protection Platform) : protection runtime des VM (Defender for Servers), conteneurs (Defender for Containers, Falco-based), bases SQL (Defender for SQL), stockage (Defender for Storage), Key Vault, App Service, Resource Manager, DNS.
• DSPM (Data Security Posture Management) : depuis 2024, découverte et classification des données sensibles dans les blobs et bases multi-cloud, mappage des accès et des chemins d'exfiltration potentiels.
• Multi-cloud connectors : onboarding AWS et GCP en lecture seule via rôles IAM, scan agentless des VM (snapshot + analyse).
• Defender for APIs : protection des API Management Azure (anomalies, secrets exposés).

Le pricing est à la consommation (per resource/month) : 15 €/serveur/mois pour Defender for Servers Plan 2, 5 € pour les conteneurs, 0,02 € par 10K transactions Storage, etc. Voir la documentation officielle Defender for Cloud.

Microsoft Defender XDR — Advanced Hunting (KQL unifié)

L'Advanced Hunting est l'outil de threat hunting intégré à Defender XDR. Il expose plus de 40 tables de télémétrie unifiée queryables en Kusto Query Language (KQL), le même langage qu'Azure Data Explorer et Sentinel :

• Endpoint : DeviceEvents, DeviceProcessEvents, DeviceFileEvents, DeviceNetworkEvents, DeviceLogonEvents, DeviceImageLoadEvents, DeviceRegistryEvents, DeviceImpressionEvents.
• Identity : IdentityLogonEvents, IdentityQueryEvents, IdentityDirectoryEvents, IdentityInfo.
• Email : EmailEvents, EmailAttachmentInfo, EmailUrlInfo, EmailPostDeliveryEvents, UrlClickEvents.
• Cloud Apps : CloudAppEvents.
• Alerts : AlertInfo, AlertEvidence.

Exemple de requête KQL pour détecter un Pass-the-Hash :

IdentityLogonEvents
| where Timestamp > ago(7d)
| where LogonType == "Network" and Protocol == "Ntlm"
| where AccountName !endswith "$"
| join kind=inner (DeviceLogonEvents | where LogonType == "Network") on AccountName
| project Timestamp, AccountName, DeviceName, RemoteIP, ActionType
| summarize count() by AccountName, DeviceName
| where count_ > 5

Les requêtes peuvent être convertis en règles de détection personnalisées (Custom Detections) qui génèrent des alertes Defender XDR à intervalles réguliers (5 min, 1 h, 24 h) et déclenchent des actions automatiques.

Intégration Microsoft Sentinel : SIEM/SOAR cloud

Microsoft Sentinel (anciennement Azure Sentinel) est le SIEM/SOAR cloud-native de Microsoft, complémentaire à Defender XDR. Là où Defender XDR couvre les sources Microsoft (endpoints, M365, Azure, Entra), Sentinel ingère tout le reste (firewalls, proxys, réseaux, applications custom, sources cloud tierces) via plus de 350 connecteurs.

Depuis 2024, l'intégration est bidirectionnelle et se gère depuis le même portail security.microsoft.com : les incidents Defender XDR remontent automatiquement dans Sentinel sans duplication de coût (les données déjà ingérées par Defender XDR sont gratuites côté Sentinel pour la corrélation). Cela permet de construire un SOC unique combinant :

• Détection multi-sources (UEBA, Fusion, ML).
• Threat Intelligence (TAXII / STIX / MDTI).
• Playbooks SOAR (Logic Apps).
• Runbooks Security Copilot.

Pour un déploiement Sentinel complet et son rôle dans une architecture cloud Azure, voir notre guide Microsoft Sentinel SIEM/SOAR cloud Azure.

Plans et licensing : P1, P2, E5, A5, Business Premium

Le licensing Defender est notoirement complexe. Voici les principales offres en 2026 :

• Microsoft Defender for Endpoint Plan 1 (P1) : NGAV + ASR + Web Filtering + Network Protection + Device Control. Pas d'EDR, pas d'AIR, pas de TVM. Inclus dans Microsoft 365 Business Premium, E3 (depuis 2022) et A3.
• Microsoft Defender for Endpoint Plan 2 (P2) : P1 + EDR + Threat & Vuln Mgmt + AIR + Advanced Hunting + Threat Analytics + Live Response. Inclus dans E5, E5 Security, A5.
• Defender for Business : version simplifiée pour PME (1 à 300 sièges), équivalent fonctionnel de P2 light, inclus dans Business Premium.
• Defender for Office 365 P1 / P2 : voir section dédiée.
• Defender for Identity : licence par utilisateur Active Directory monitorée. Inclus dans EMS E5, M365 E5, M365 E5 Security.
• Defender for Cloud Apps : licence par utilisateur. Inclus dans EMS E5, M365 E5.
• Microsoft 365 E5 Security : add-on (~14 €/utilisateur/mois) qui ajoute MDE P2 + MDO P2 + MDI + MDCA à un plan E3.
• Microsoft 365 E5 : ~57 €/utilisateur/mois en commitment annuel, inclut tout (Office, EMS E5, Compliance E5, Security E5).
• Microsoft 365 A5 : équivalent E5 pour l'éducation, ~10 €/utilisateur/mois en tarif académique.
• Microsoft 365 Business Premium : ~22 €/utilisateur/mois, plafonné à 300 sièges, inclut MDE P1 + MDO P1 + Defender for Business.

Tous les prix s'entendent en commitment annuel public Microsoft, hors remises CSP / EA / Microsoft 365 Frontline.

Limites du licensing pour les PME et ETI françaises

Le modèle de licensing Defender pose plusieurs problèmes concrets dans les structures françaises de moins de 1 000 salariés :

• E5 cher et bundle obligatoire : pour avoir l'EDR (P2), Defender for Identity et MDO P2, il faut soit l'add-on E5 Security (~14 €/utilisateur/mois en plus d'un E3 à ~36 €) soit le bundle complet E5 (~57 €/utilisateur/mois). Sur 200 utilisateurs, l'addition dépasse 100 k€/an.
• E3 sans EDR par défaut : depuis 2022, MDE P1 est inclus dans E3, mais l'EDR (P2) reste payant en supplément (~5 €/utilisateur/mois).
• Business Premium plafonné à 300 sièges : au-delà, obligation de migrer vers les plans Enterprise, plus chers.
• P1 sans Advanced Hunting : impossibilité de chasser les menaces en KQL, ce qui limite l'usage SOC.
• Servers facturé séparément : pour protéger des serveurs (Windows Server, Linux on-prem), il faut activer Defender for Cloud Plan 2 (~12 €/serveur/mois) en plus des licences utilisateur.
• Multi-tenant complexe : MSSP doivent gérer une configuration par tenant, sans console centrale native (sauf via Lighthouse / Granular Delegated Admin Privileges).
• Renomages permanents : turbulence cognitive constante (Office 365 ATP → MDO, Azure ATP → MDI, Microsoft 365 Defender → Defender XDR), impactant la documentation interne et les formations.

Pour les organisations qui ne sont pas déjà sur Microsoft 365, le coût d'entrée plaide souvent pour un EDR tiers (CrowdStrike, SentinelOne, ESET) ou un MSSP MDR.

Comparatif : Defender for Endpoint vs CrowdStrike Falcon vs SentinelOne

Les trois leaders du quadrant Gartner EPP affichent des philosophies très différentes. Synthèse :

Pour une analyse détaillée des trois plateformes, voir notre comparatif EDR CrowdStrike vs Defender vs SentinelOne 2026.

Defender vs ESET vs Bitdefender (segment PME)

Sur le segment PME et ETI (50-1 000 utilisateurs), Defender for Business affronte principalement deux européens : ESET et Bitdefender.

Pour les PME déjà sous Microsoft 365 Business Premium, Defender for Business est la solution la plus rentable (incluse). Pour les structures sans M365 ou exigeant la souveraineté européenne stricte, ESET et Bitdefender restent compétitifs.

Compatibilité OS et plateformes

Microsoft Defender for Endpoint couvre en 2026 :

• Windows : Windows 10 (1709+), Windows 11, Windows Server 2012 R2 / 2016 / 2019 / 2022 / 2025, Windows 365 Cloud PC.
• macOS : macOS 13 Ventura, 14 Sonoma, 15 Sequoia (les 3 dernières versions supportées).
• Linux : RHEL 7.2+, CentOS 7.2+, Ubuntu 16.04+, Debian 9+, SUSE 12+, Oracle Linux 7.2+, Amazon Linux 2/2023, Fedora 33+, Rocky / AlmaLinux. Architectures x64 et ARM64 (depuis 2024).
• iOS : iOS 14+ (App Store), supervised mode recommandé.
• Android : Android 8+ (Play Store), avec Work Profile.
• VDI / multi-session : Azure Virtual Desktop, Windows 365, Citrix, VMware Horizon, AVD Multi-Session.
• Conteneurs : via Defender for Containers (AKS, EKS, GKE, OpenShift).

Pour Linux et macOS, les capacités EDR sont alignées avec Windows depuis 2024 (collecte process, files, network, Live Response, custom detections). En 2025, Microsoft a publié l'agent ARM64 Linux pour les Raspberry Pi industriels et les workloads Graviton AWS.

Le scandale Defender bypass : unhooking et techniques d'évasion EDR

Comme tout EDR, Defender for Endpoint n'est pas infaillible. Plusieurs familles de bypass ont été documentées entre 2022 et 2026 :

• AMSI bypass : patch en mémoire de amsi.dll!AmsiScanBuffer pour neutraliser l'inspection PowerShell (technique connue depuis 2017, toujours efficace dans certaines configurations).
• ETW patching : patch de ntdll!EtwEventWrite pour empêcher la remontée de télémétrie kernel events vers le sensor.
• Userland unhooking : suppression des hooks que Defender installe dans ntdll.dll et kernel32.dll pour intercepter les API Windows. Outils comme Hells Gate, Halos Gate, Tartarus Gate, RecycledGate, SysWhispers3 reconstruisent les syscalls directs.
• Direct syscalls / Indirect syscalls : appel des syscalls Windows sans passer par ntdll.dll userland, contournant les hooks.
• Process hollowing / Module stomping : injection de code dans des binaires légitimes signés pour échapper aux signatures.
• BYOVD (Bring Your Own Vulnerable Driver) : utilisation d'un driver signé vulnérable (rtcore64.sys, dbutil_2_3.sys, etc.) pour désactiver Defender depuis le kernel. Microsoft maintient une Vulnerable Driver Blocklist mise à jour mensuellement et activable via Smart App Control / WDAC.
• EDRSilencer / EDRSandblast : outils open source qui désactivent les sensor EDR via Windows Filtering Platform ou patching kernel.
• Tamper Protection bypass : plusieurs PoC publiés en 2024-2025 exploitant des bugs IOCTL pour décharger le sensor.

Microsoft a renforcé Tamper Protection en 2025 avec le Defender Anti-Tamper Driver en mode VBS (Virtualization-Based Security) et un mécanisme de kernel callback verification. Pour une analyse approfondie des techniques d'évasion modernes et des contremesures à mettre en place côté SOC, voir notre dossier EDR bypass 2026 : techniques et contremesures.

Conformité et certifications

Microsoft Defender XDR et l'ensemble des produits Defender bénéficient des certifications globales Microsoft :

• FedRAMP High (autorisation US Federal).
• ISO 27001, 27017, 27018, 27701 (gestion sécurité, cloud, vie privée).
• SOC 1 Type II, SOC 2 Type II, SOC 3.
• GDPR (RGPD) — DPA Microsoft Online Services Terms.
• EU Data Boundary (depuis 2024) : stockage et traitement des données personnelles dans l'UE pour les clients européens.
• HIPAA (US Healthcare).
• PCI DSS (paiements).
• CSA STAR Level 2.
• HDS (Hébergeur de Données de Santé) pour Microsoft Azure France et France Central.
• NIS2 : Defender XDR + Sentinel sont reconnus comme moyens techniques pour répondre aux obligations NIS2 (article 21).
• DORA : pour les acteurs financiers, intégration aux processus ICT risk management.

Une nuance importante : les certifications SecNumCloud de l'ANSSI ne sont pas accordées à Microsoft Azure / Defender. Pour les OIV/OSE en France, cela peut nécessiter une architecture hybride avec un cloud souverain (Bleu, S3NS, OVHcloud, Outscale) pour les données les plus sensibles.

Use cases : PME, ETI et grand compte

Trois scénarios de référence pour cadrer un projet Defender :

PME 10 utilisateurs sur Microsoft 365 E5

Une PME française type (10 collaborateurs, 100% Microsoft 365) qui souscrit Microsoft 365 E5 (~57 €/utilisateur/mois soit 6 840 €/an) bénéficie automatiquement de :

• Defender for Endpoint P2 sur les 10 postes Windows / Mac.
• Defender for Office 365 P2 (Safe Links, Safe Attachments, Attack Simulation).
• Defender for Identity sur le DC on-prem ou Entra ID.
• Defender for Cloud Apps pour les SaaS.
• Microsoft Sentinel (50 Mo/jour gratuits).
• Microsoft Security Copilot (en option à ~4 €/heure d'usage).

Pour une telle structure, une formule plus économique consiste à coupler Microsoft 365 Business Premium (~22 €/u/mois) à un MDR externe (~30-50 €/u/mois) couvrant le triage 24/7. Voir notre offre audit Microsoft 365.

ETI 1 000 utilisateurs avec E5 Security add-on

Une ETI à 1 000 collaborateurs déjà sous Microsoft 365 E3 + EMS E3 peut ajouter le bundle Microsoft 365 E5 Security (~14 €/u/mois soit 168 k€/an) pour activer MDE P2 + MDO P2 + MDI + MDCA. Combiné à un SOC interne (3 ETP) ou MSSP, cela couvre :

• EDR sur 1 200 postes (utilisateurs + serveurs onboardés via Defender for Cloud).
• Chasse KQL hebdomadaire.
• Custom Detections personnalisées.
• Intégration Sentinel pour ingestion firewall + proxy + Active Directory.

Grand compte 20 000 utilisateurs en architecture XDR

Un grand compte CAC 40 standardise sur l'écosystème complet : E5 + E5 Security pour 20 000 utilisateurs, Defender for Cloud sur l'ensemble des souscriptions Azure et comptes AWS, Defender for IoT sur les sites industriels, Sentinel ingérant 5-10 To/mois en mode Auxiliary Logs, Security Copilot pour le triage L1, Defender Experts (MDR Microsoft) en complément du SOC interne. Coût total cybersécurité Microsoft : 6 à 10 M€/an. Une attention particulière est portée aux exigences pentest Microsoft 365 et au red teaming continu pour valider la posture.

FAQ : questions fréquentes sur Microsoft Defender

Quelle est la différence entre Microsoft Defender et Windows Defender ?

Windows Defender est l'ancien nom (jusqu'en 2020) de l'antivirus intégré à Windows, désormais appelé Microsoft Defender Antivirus. Il est gratuit avec toute installation Windows. Microsoft Defender tout court désigne en 2026 la suite XDR complète (Endpoint, Identity, Cloud, Office 365…) qui repose sur Defender Antivirus comme brique NGAV mais ajoute EDR, hunting, AIR et corrélation multi-domaines via des licences payantes (P1, P2, E5).

Microsoft Defender est-il gratuit ?

Oui et non. Microsoft Defender Antivirus (le moteur AV) est gratuit, intégré à Windows 10 / 11 / Server. Mais l'EDR, le hunting, la protection identités, mails, cloud et la corrélation XDR (Microsoft Defender for Endpoint, for Identity, for Office 365, for Cloud, XDR) sont des produits SaaS payants, par utilisateur ou par ressource, soit à l'unité soit via les bundles E5 / E5 Security / Business Premium.

Plan 1 vs Plan 2 : que choisir ?

Defender for Endpoint Plan 1 apporte le NGAV, l'ASR, la Network Protection, le Web Content Filtering et le Device Control. Il convient à une PME qui ne fait pas d'investigation. Plan 2 ajoute l'EDR, l'Advanced Hunting (KQL), le Threat & Vulnerability Management, l'AIR et la Threat Analytics. P2 est nécessaire dès qu'on a un SOC ou un MSSP qui fait du hunting et de la réponse. P1 est inclus dans E3 et Business Premium ; P2 est inclus dans E5, A5 et E5 Security.

Peut-on utiliser Defender sans Microsoft 365 ?

Oui, en achetant les licences Defender en standalone : Defender for Endpoint P1 ~3 €/utilisateur/mois, P2 ~5 €, Defender for Servers ~12 €/serveur/mois, Defender for Cloud à la consommation Azure / AWS / GCP. Defender for Office 365 nécessite en revanche une boîte Exchange Online (donc une licence M365 minimum). Defender for Identity nécessite un tenant Entra ID, gratuit dans sa version basique mais lié à un domaine Active Directory.

Quelle alternative à Defender pour une PME française ?

Sur le segment PME, les alternatives crédibles incluent ESET PROTECT Complete, Bitdefender GravityZone Business Security, SentinelOne Singularity Core, Sophos Intercept X, ou des MDR clé-en-main type Tehtris / HarfangLab (souverainetés française) avec EDR intégré. Le choix dépend du degré d'imbrication avec Microsoft 365 : si la PME y est déjà, Defender for Business / Business Premium est imbattable financièrement. Sinon, un EDR tiers + un MDR souverain offre souvent un meilleur ratio fonctionnalités / prix.

Microsoft Defender remplace-t-il un SIEM ?

Non. Defender XDR est un XDR orienté télémétrie de produits Microsoft, alors qu'un SIEM ingère tous les logs de l'organisation (firewalls, applications custom, sources OT, logs cloud tiers). Microsoft positionne Sentinel comme SIEM/SOAR complémentaire à Defender XDR, avec une intégration native depuis 2024 dans le portail unifié security.microsoft.com.

Liens approfondis

Pour approfondir Microsoft Defender et les sujets connexes :

• Defender for Office 365 : configuration anti-phishing avancée — guide opérationnel des règles MDO P2.
• Trois zero-days Defender 2026 : analyse de la surface d'attaque — vulnérabilités récentes et patchs.
• EDR 2026 : CrowdStrike vs Defender vs SentinelOne — comparatif détaillé.
• Microsoft Sentinel : SIEM/SOAR cloud Azure — pour la couche SIEM complémentaire.
• EDR bypass 2026 : techniques et contremesures — unhooking, BYOVD, AMSI bypass.
• Audit Microsoft 365 — notre prestation d'audit de configuration M365 / Defender / Entra.
• Pentest Microsoft 365 — test d'intrusion ciblé sur les configurations M365 et tests de résistance Defender.
• Microsoft Learn — Defender XDR — documentation officielle.
• Portail Microsoft Defender — console de gestion (login tenant requis).
• Microsoft Security — site corporate, livres blancs et études.