Microsoft teste une nouvelle fonction de Defender for Endpoint capable d’isoler automatiquement un poste compromis. Une mesure pensée pour contenir plus vite les attaques en cours.

Microsoft Defender peut désormais placer automatiquement les PC suspects en quarantaine réseau. © Microsoft
Microsoft Defender peut désormais placer automatiquement les PC suspects en quarantaine réseau. © Microsoft

Microsoft Defender ne veut plus seulement repérer les intrusions, il veut aussi aider à les contenir. Dans Defender for Endpoint, Redmond teste désormais une fonction capable de couper automatiquement du réseau un poste soupçonné d’avoir été piraté, afin de limiter les mouvements latéraux, l’exfiltration de données ou la propagation d’un ransomware. Une quarantaine réseau, en somme, déclenchée sans intervention immédiate des équipes de sécurité.

Une quarantaine automatique, mais pas sans garde-fous

Cette nouvelle fonction s’inscrit dans le dispositif de réponse automatique aux attaques développé par Microsoft pour Defender for Endpoint. Elle ne concerne pour l’instant que les postes utilisateurs déjà enrôlés et administrés par la solution, ce qui exclut les machines présentes sur le réseau mais non supervisées par l’outil.

Lorsqu’un appareil est isolé automatiquement, il est déconnecté du réseau afin de limiter les risques pour le reste de l’organisation. Il conserve toutefois un lien avec Microsoft Defender for Endpoint, qui continue de le surveiller. Les équipes de sécurité peuvent ainsi suivre l’état de la machine depuis la console, consulter l’historique des actions appliquées et poursuivre leurs analyses sans perdre toute visibilité sur le poste. Côté utilisateur, une notification s’affiche pour indiquer que l’appareil est en cours d’isolement réseau.

Pour limiter les effets de bord, Microsoft a également prévu plusieurs garde-fous. L’isolement cible les appareils associés à l’incident, et non l’environnement dans son ensemble. Il peut être levé par les opérateurs après investigation et remédiation, ou annulé au terme d’une fenêtre définie. Les entreprises peuvent par ailleurs configurer des exclusions, soit pour empêcher certains appareils sensibles d’être isolés, soit pour maintenir des communications indispensables pendant la quarantaine, avec des outils d’administration ou des applications métier, par exemple.

Le portail Microsoft Defender permet de suivre les actions d’isolement et de levée de quarantaine appliquées automatiquement à un appareil compromis. © Clubic
Le portail Microsoft Defender permet de suivre les actions d’isolement et de levée de quarantaine appliquées automatiquement à un appareil compromis. © Clubic

Un pas de plus vers la réponse autonome

Cette préversion s’ajoute à une série de fonctions de confinement déjà intégrées à Defender for Endpoint. Microsoft permettait déjà aux administrateurs de contenir manuellement des appareils compromis, avait étendu l’isolation à certains systèmes Linux enrôlés et pouvait restreindre des comptes utilisateurs impliqués dans des attaques actives. Ces mesures reposaient toutefois surtout sur des interventions ciblées ou sur des cas bien définis, là où la nouvelle fonction confie à Defender le déclenchement de la quarantaine sur les postes de travail supervisés.

Il faudra donc soigner la configuration. Des règles trop strictes risquent de couper des postes ou des communications utiles au fonctionnement de l’organisation. Des réglages trop souples pourraient, à l’inverse, retarder l’isolement et limiter sa portée.

À découvrir
Meilleur antivirus : le comparatif en 2026
Comparatifs services
Foire aux questionsContenu généré par l’IA
Qu’est-ce que l’« isolement réseau automatique » dans un EDR comme Microsoft Defender for Endpoint ?

L’isolement réseau automatique consiste à couper quasi instantanément les connexions d’un poste suspect vers le réseau interne et Internet pour limiter l’impact d’une attaque en cours. Dans un EDR (Endpoint Detection and Response), cette action est déclenchée par des signaux de compromission détectés localement et corrélés côté plateforme. L’objectif est de réduire la propagation (notamment ransomware) et les mouvements latéraux vers d’autres machines. En pratique, l’appareil reste allumé et utilisable dans une certaine mesure, mais ses communications sont fortement restreintes selon des règles prédéfinies.

Que signifie « mouvements latéraux » et pourquoi c’est critique lors d’un incident ?

Les mouvements latéraux désignent les techniques utilisées par un attaquant pour passer d’un poste compromis à d’autres systèmes du même réseau. Cela peut se faire via du vol d’identifiants, l’abus de services d’administration à distance ou l’exploitation de partages et de failles internes. C’est souvent l’étape qui transforme une compromission isolée en crise globale (serveurs touchés, contrôle du domaine, chiffrement à grande échelle). Isoler vite le premier poste soupçonné permet de casser cette chaîne avant que l’attaquant ne rebondisse vers des actifs plus sensibles.

Pourquoi un poste « isolé » doit-il garder un canal de communication avec Defender for Endpoint ?

Si l’isolement était total, l’équipe sécurité perdrait la télémétrie et la capacité d’agir à distance (collecte d’artefacts, lancement d’analyses, application d’actions de remédiation). Un canal contrôlé vers la plateforme EDR permet de conserver la visibilité et d’orchestrer la réponse tout en bloquant le reste du trafic. Ce principe revient à autoriser uniquement des communications de gestion et de sécurité, et à refuser les flux applicatifs classiques. L’efficacité dépend alors des règles réseau appliquées et de la capacité de l’agent EDR à rester opérationnel sur la machine suspecte.