Annexe A · TechnologiqueLecture 4 min·100 % des PME doivent l'inclure

A.8.7Protection contre les programmes malveillants

En 1 phrase : Tous les postes et serveurs doivent avoir un EDR moderne (pas un simple antivirus) avec console centralisée et alerting actif.

Pourquoi ce contrôle est critique

Le ransomware reste la menace #1 pour les PME en 2026 : 62 % des PME françaises ont subi au moins une tentative en 2025 (rapport ANSSI). Le coût moyen d'une attaque réussie : 200 k€ à 1,2 M€ selon la taille (rançon + downtime + reprise).

ISO 27001 (A.8.7) demande des mesures de protection actives, mises à jour, surveillées. Le simple antivirus signature-based des années 2010 ne suffit plus : il faut un EDR (Endpoint Detection & Response) qui détecte les comportements suspects.

Applicable à vous ?

Réponse rapide : oui à 100 %. Tous les postes (Windows, Mac, Linux), tous les serveurs (sur site ou cloud) doivent être protégés.

Cas particuliers :

• Smartphones : MDM avec contrôle apps, MFA et chiffrement disque obligatoires
• Conteneurs / Kubernetes : runtime security (Falco, Sysdig), image scanning
• SaaS : pas applicable côté client mais vérifier les certifs du fournisseur

Lignes directrices ISO 27002:2022

ISO 27002:2022 (§ 8.7) précise les axes de protection :

Mettre en place une protection technique sur tous les terminaux et serveurs (EDR, AV, anti-ransomware)
Maintenir les signatures et moteurs à jour automatiquement (sans intervention utilisateur)
Configurer le scanning automatique des fichiers reçus, téléchargés, exécutés
Restreindre les exécutions à une liste blanche d'applications (AppLocker, WDAC) pour environnements sensibles
Sensibiliser les utilisateurs aux signes d'infection (lenteur soudaine, popups, fichiers chiffrés)
Définir une procédure de réaction (isolation poste, alerte SOC/RSSI, restauration depuis sauvegarde)
Coordonner avec la veille sur les menaces (A.5.7) pour ajuster les politiques

Comment l'implémenter : 3 niveaux

Minimum acceptablePME 10-30p, maturité 1-2/5

Microsoft Defender (intégré Windows 10/11, gratuit)
Activation des protections cloud Microsoft (Defender for Endpoint Plan 1)
Tableau de bord console centralisée (Defender admin portal)
Mise à jour signatures vérifiée automatique
Procédure incident documentée si détection

Inclus M365 Business Premium · 0 € à part

Sweet spot PME

ProPME 30-100p, maturité 3-4/5

EDR commercial : CrowdStrike Falcon, SentinelOne, Microsoft Defender Plan 2
Console SOC unifiée (alerting, forensics, isolation à distance)
Policies différenciées : workstations vs serveurs vs admin
Tests de détection mensuels (EICAR, malware test sample)
Couverture 100 % postes + serveurs + cloud workloads
Réponse automatisée (isolation poste compromis en < 1 min)

5 - 15 €/poste/mois

Au-delàETI > 100p, secteurs sensibles

XDR (Extended Detection & Response) couvrant endpoint + cloud + identity
SOC 24/7 externalisé (CrowdStrike Falcon Complete, Arctic Wolf)
Threat hunting proactif (équipe dédiée ou externalisée)
Sandbox automatique des emails et téléchargements
Intégration SIEM (Splunk, Datadog, Sentinel)

20 - 80 €/poste/mois

Phrase exacte pour votre SOA

SOA — A.8.7 Inclus

Statut : Inclus

Justification :
Identifié par l'analyse de risques (atelier 5 EBIOS RM, scénario "ransomware sur poste collaborateur", score initial 20/25). Risque sectoriel élevé (62% PME FR). Exigence cyber-assureur AXA (clause prime 2026).

État : Implémenté (niveau Pro)
Microsoft Defender for Endpoint Plan 2 déployé sur 100% des postes (30/30) et serveurs (8/8). Console centralisée Defender XDR active. Réponse automatique configurée (isolation poste à risque). Test EICAR validé mensuel (14 mars 2026).

Preuve :
Capture Defender XDR 2026-04-15 + politique kyrionn-policy-edr.pdf + rapport test mensuel mars 2026 + procédure réponse incident PIC-v2.1

Mettre en place A.8.7 : 3 chemins concrets

Avec Kyrionn

1Connecter votre tenant M365
2Auto-check Defender / EDR sur tous postes
3Alerte si poste sans EDR ou signatures obsolètes
4Génération preuves auditeur en 1 clic
5Procédure incident pré-rédigée

30 min setup

Démarrer gratuitement

Avec Microsoft Defender Plan 2

1Souscrire M365 Business Premium ou E5
2Activer Defender for Endpoint Plan 2
3Onboarder tous les postes (script PowerShell)
4Configurer policies + Conditional Access
5Reporting via portal Defender + Power BI

1-2 jours setup · 17-32 €/u/mois

Avec Defender gratuit

1Defender intégré activé (par défaut Windows 10/11)
2Pas de console centralisée
3Suivi manuel sur chaque poste
4Pas de réponse automatisée
5Insuffisant pour audit ISO 27001 sérieux

0 h · 0 €

Contrôles liés à A.8.7

A.5.7Veille sur les menacesà venir

Threat intel alimente policies EDR

A.8.8Gestion des vulnérabilitésà venir

Patches OS et applications

A.8.9Gestion des configurationsà venir

Hardening et policies

A.8.13Sauvegardes

Plan B en cas de ransomware

A.8.15Loggingà venir

Logs de détection EDR

A.5.24Gestion des incidentsà venir

Réaction à une infection

Retour à l'index Annexe A Fiche suivante : A.8.13 Sauvegardes

Annexe A · TechnologiqueLecture 4 min·100 % des PME doivent l'inclure

A.8.7Protection contre les programmes malveillants

En 1 phrase : Tous les postes et serveurs doivent avoir un EDR moderne (pas un simple antivirus) avec console centralisée et alerting actif.

Pourquoi ce contrôle est critique

Applicable à vous ?

Réponse rapide : oui à 100 %. Tous les postes (Windows, Mac, Linux), tous les serveurs (sur site ou cloud) doivent être protégés.

Cas particuliers :

• Smartphones : MDM avec contrôle apps, MFA et chiffrement disque obligatoires
• Conteneurs / Kubernetes : runtime security (Falco, Sysdig), image scanning
• SaaS : pas applicable côté client mais vérifier les certifs du fournisseur

Lignes directrices ISO 27002:2022

ISO 27002:2022 (§ 8.7) précise les axes de protection :

Mettre en place une protection technique sur tous les terminaux et serveurs (EDR, AV, anti-ransomware)
Maintenir les signatures et moteurs à jour automatiquement (sans intervention utilisateur)
Configurer le scanning automatique des fichiers reçus, téléchargés, exécutés
Restreindre les exécutions à une liste blanche d'applications (AppLocker, WDAC) pour environnements sensibles
Sensibiliser les utilisateurs aux signes d'infection (lenteur soudaine, popups, fichiers chiffrés)
Définir une procédure de réaction (isolation poste, alerte SOC/RSSI, restauration depuis sauvegarde)
Coordonner avec la veille sur les menaces (A.5.7) pour ajuster les politiques

Comment l'implémenter : 3 niveaux

Minimum acceptablePME 10-30p, maturité 1-2/5

Microsoft Defender (intégré Windows 10/11, gratuit)
Activation des protections cloud Microsoft (Defender for Endpoint Plan 1)
Tableau de bord console centralisée (Defender admin portal)
Mise à jour signatures vérifiée automatique
Procédure incident documentée si détection

Inclus M365 Business Premium · 0 € à part

Sweet spot PME

ProPME 30-100p, maturité 3-4/5

EDR commercial : CrowdStrike Falcon, SentinelOne, Microsoft Defender Plan 2
Console SOC unifiée (alerting, forensics, isolation à distance)
Policies différenciées : workstations vs serveurs vs admin
Tests de détection mensuels (EICAR, malware test sample)
Couverture 100 % postes + serveurs + cloud workloads
Réponse automatisée (isolation poste compromis en < 1 min)

5 - 15 €/poste/mois

Au-delàETI > 100p, secteurs sensibles

XDR (Extended Detection & Response) couvrant endpoint + cloud + identity
SOC 24/7 externalisé (CrowdStrike Falcon Complete, Arctic Wolf)
Threat hunting proactif (équipe dédiée ou externalisée)
Sandbox automatique des emails et téléchargements
Intégration SIEM (Splunk, Datadog, Sentinel)

20 - 80 €/poste/mois

Phrase exacte pour votre SOA

SOA — A.8.7 Inclus

Statut : Inclus

Preuve :
Capture Defender XDR 2026-04-15 + politique kyrionn-policy-edr.pdf + rapport test mensuel mars 2026 + procédure réponse incident PIC-v2.1

Mettre en place A.8.7 : 3 chemins concrets

Avec Kyrionn

1Connecter votre tenant M365
2Auto-check Defender / EDR sur tous postes
3Alerte si poste sans EDR ou signatures obsolètes
4Génération preuves auditeur en 1 clic
5Procédure incident pré-rédigée

30 min setup

Démarrer gratuitement

Avec Microsoft Defender Plan 2

1Souscrire M365 Business Premium ou E5
2Activer Defender for Endpoint Plan 2
3Onboarder tous les postes (script PowerShell)
4Configurer policies + Conditional Access
5Reporting via portal Defender + Power BI

1-2 jours setup · 17-32 €/u/mois

Avec Defender gratuit

1Defender intégré activé (par défaut Windows 10/11)
2Pas de console centralisée
3Suivi manuel sur chaque poste
4Pas de réponse automatisée
5Insuffisant pour audit ISO 27001 sérieux

0 h · 0 €

Contrôles liés à A.8.7

A.5.7Veille sur les menacesà venir

Threat intel alimente policies EDR

A.8.8Gestion des vulnérabilitésà venir

Patches OS et applications

A.8.9Gestion des configurationsà venir

Hardening et policies

A.8.13Sauvegardes

Plan B en cas de ransomware

A.8.15Loggingà venir

Logs de détection EDR

A.5.24Gestion des incidentsà venir

Réaction à une infection

Retour à l'index Annexe A Fiche suivante : A.8.13 Sauvegardes