Les chiffres parlent d’eux-mêmes. Selon le rapport IBM X-Force 2026, l’exploitation de vulnérabilités est devenue le premier vecteur d’accès initial (40 % des incidents, en hausse de 44 % sur un an), tandis que les attaques sur la chaîne d’approvisionnement ont quasiment quadruplé depuis 2020.
4,44 M$ : Coût moyen mondial d’une violation de données en 2025 (−9 % vs. 2024)
Source : IBM Cost of a Data Breach Report 2025
Le coût moyen d’une violation s’établit à 4,44 M$ (−9 % sur un an, grâce à une détection plus rapide), et le délai d’identification est tombé à 241 jours, un plus bas en neuf ans. Le ransomware, présent dans 44 % des compromissions (Verizon DBIR 2025), poursuit son industrialisation : 109 groupes d’extorsion actifs en 2025, contre 73 en 2024 (+49 %).
Mais le changement le plus structurant est ailleurs : l’IA est passée du côté des attaquants. Microsoft a documenté à RSAC 2026 son intégration dans chaque phase du cycle d’attaque, de la reconnaissance automatisée au phishing hyper-personnalisé, jusqu’aux malwares polymorphes capables de muter à chaque exécution.
Dans ce contexte, les briques périmétriques classiques ne suffisent plus. Les EDR ont considérablement renforcé la protection des endpoints, mais laissent un angle mort : le trafic réseau lui-même, là où se jouent mouvements latéraux, exfiltration et communications C2. Les plateformes NDR (Network Detection and Response) apportent cette surveillance continue, la détection comportementale et la capacité de réponse en temps réel.
44 % des compromissions impliquent un ransomware en 2025
Source : Verizon Data Breach Investigations Report 2025
Le NDR n’est plus une technologie confidentielle réservée aux grands comptes. Le marché mondial pesait 3,68 Md$ en 2025 et devrait atteindre 8,08 Md$ d’ici 2033 (Grand View Research, TCAC 10,1 %). Ce mouvement s’explique par quatre facteurs convergents.
3,68 Md$ → 8,08 Md$ d’ici 2033 (TCAC 10,1 %)
Taille du marché mondial NDR - Source : Grand View Research
Cloud, architectures hybrides, travail à distance et IoT ont multiplié les points d’entrée. Une part croissante du trafic circule désormais latéralement, d’est en ouest, au sein même de l’infrastructure et c’est précisément là que se jouent les phases les plus critiques d’une attaque. Le NDR est la seule brique capable de les observer en temps réel : scans de reconnaissance interne, pivots RDP ou SMB, tentatives d’élévation de privilèges, exfiltration vers des destinations inhabituelles. Sans cette visibilité est-ouest, un attaquant qui a franchi le périmètre peut se déplacer librement pendant des semaines.
S’il protège la confidentialité, il crée un angle mort pour les outils classiques. Les plateformes NDR modernes analysent les métadonnées et comportements des flux chiffrés sans déchiffrement. Le spectre couvert est large : beaconing caractéristique des C2, fingerprinting TLS via JA3/JA4, anomalies de certificats, phases de chiffrement massif d’un ransomware, exfiltration dissimulée en DNS ou HTTPS, tunnels encapsulés. Le trafic chiffré n’est pas un angle mort pour un NDR moderne : c’est un terrain d’analyse à part entière.
La couverture effective des EDR avoisine 50 % du parc dans la plupart des organisations. Tout un pan de l’infrastructure échappe structurellement aux agents : capteurs IoT, automates industriels, caméras IP, équipements biomédicaux, imprimantes réseau et c’est là que prolifèrent rogue devices et shadow IT. Le NDR apporte une visibilité sans agent : il détecte un appareil non inventorié dès qu’il émet du trafic, identifie les mouvements latéraux entre actifs non gérés et repère les communications suspectes d’un équipement OT compromis. Ce n’est pas un complément de l’EDR, c’est une couche de détection fondamentalement différente, qui observe ce que l’endpoint ne peut pas voir.
NIS2 et DORA imposent en Europe des capacités de surveillance réseau renforcées. En France, la LPM soumet les OIV à des obligations de détection et de notification encore plus strictes, tandis que la doctrine « cloud de confiance », le RGPD et la qualification ANSSI renforcent l’exigence de souveraineté. Ces cadres accélèrent le déploiement de plateformes capables de fournir preuves d’investigation, pistes d’audit exploitables et localisation des données sur le territoire national.
Le véritable facteur de rupture, c’est l’IA. La publication du premier Gartner Magic Quadrant NDR en mai 2025 a confirmé la maturité du marché. Les approches modernes combinent plusieurs techniques complémentaires pour une détection multicouche.
Il établit une ligne de base dynamique du comportement « normal » de chaque utilisateur, appareil et segment. Toute déviation significative déclenche une alerte. L’avantage clé : détecter des menaces inédites (zero-day) que les signatures ne peuvent pas identifier.
Elle profile les interactions réseau pour repérer les phases caractéristiques d’une attaque : reconnaissance, mouvement latéral, élévation de privilèges, C2, exfiltration et les cartographie sur le cadre MITRE ATT&CK pour fournir un contexte directement exploitable par les analystes.
Prochaine frontière de la détection. Avec 32 % des accès initiaux liés à des identifiants compromis (IBM X-Force 2026), relier le comportement réseau au contexte identitaire permet de détecter l’usage malveillant de credentials légitimes, un angle mort que ni le NDR ni l’IAM ne couvrent isolément.
Les LLM s’invitent dans les workflows du SOC : résumé d’alertes, triage de niveau 1, recommandations de remédiation, guidage de l’investigation. Leur intégration appelle toutefois une vigilance particulière : hallucinations sur des contextes critiques, prompt injection, et surtout souveraineté des données transitant par un LLM tiers hébergé hors d’Europe. Les organisations les plus matures privilégient des modèles opérés en interne ou dans un environnement maîtrisé.
Pour les organisations utilisant massivement l’IA dans leurs opérations de sécurité - Source : IBM Cost of a Data Breach Report 2025
Les organisations qui déploient massivement l’IA dans leurs opérations de sécurité économisent en moyenne 1,9 M$ par incident et réduisent leur cycle de réponse de 80 jours. Gartner prévoit par ailleurs que d’ici 2029, plus de 50 % des incidents découverts par les technologies NDR proviendront de l’activité réseau cloud, contre environ 10 % aujourd’hui.
Face à un marché saturé d'éditeurs revendiquant une approche « pilotée par l'IA », comment distinguer une plateforme réellement performante ?
Couvrir l'ensemble des flux nord-sud et est-ouest, sur tous les environnements (data center, cloud, SaaS, OT/ICS, IoT). Une plateforme mono-environnement laisse des angles morts exploitables.
Les équipes SOC reçoivent en moyenne 2 992 alertes par jour, dont 63 % ne sont jamais investiguées (Vectra AI, 2026), et 73 % des équipes citent les faux positifs comme leur principal défi (SANS 2025). Triage intelligent, corrélation multi-signaux et contextualisation sont indispensables.
Analyser les métadonnées et les comportements des flux chiffrés, sans déchiffrement, est devenu un prérequis.
Les protocoles industriels (Modbus, BACnet, OPC-UA, S7) échappent aux outils IT classiques. La plateforme doit couvrir IT et OT depuis une interface unifiée.
IoC, TTP documentées, renseignement contextualisé par secteur et zone géographique sans cette couche, la détection reste aveugle.
Intégration native avec SIEM, EDR, SOAR et gestion des identités. Le NDR est un pilier de la triade de visibilité SOC et un composant clé des architectures XDR.
Isolement d'un hôte, coupure d'une session, blocage d'un flux : quand les attaques se déploient en minutes, la vitesse de confinement fait la différence.
Analyse des flux cloud, télémétrie SaaS et activité du plan de données, au-delà de l'inspection de paquets traditionnelle.
Dans le contexte NIS2/DORA/LPM, la capacité à déployer en on-premise, cloud souverain ou air-gapped est décisive. Localisation des données, maîtrise du code et qualification ANSSI sont des garanties à exiger.
Quels modèles, quel entraînement, quelle explicabilité ? Une alerte sans contexte suffisant pour décider n'est pas une alerte utile.
Le NDR au sens de Gartner — détecter et répondre aux menaces dans le trafic réseau — reste un socle indispensable, mais ne suffit plus. Le marché évolue vers l’observabilité réseau : plateforme unifiée combinant visibilité continue, détection comportementale, investigation forensique, threat intelligence et orchestration de la réponse. Il ne s’agit plus seulement de « détecter et répondre », mais de comprendre en profondeur ce qui se passe sur le réseau pour anticiper, décider et agir.
Quatre tendances de fond confirment que l'avenir appartient aux plateformes qui dépassent le NDR classique.
Des agents autonomes capables de détecter, trier, investiguer et initier une remédiation sans intervention humaine transforment les opérations du SOC. Ils ne remplacent pas les analystes, mais libèrent leur temps pour les menaces les plus sophistiquées en automatisant les niveaux 1 et 2.
Réseau + identité + endpoint + cloud : devenir capable de relier ces signaux en temps réel est indispensable pour suivre des attaquants qui basculent d’un environnement à l’autre en quelques minutes.
En combinant analyse comportementale, threat intelligence et gestion de la surface d’attaque, elle permet de réduire l’exposition avant même que l’attaque ne se matérialise.
Tendance moins visible mais très structurante : les métadonnées de flux, la latence, la volumétrie et la cartographie des dépendances servent à la fois les équipes sécurité et les équipes réseau. Cette double valeur justifie l'investissement et favorise le décloisonnement de ces fonctions — un enjeu organisationnel majeur dans les grandes structures.
Face à des attaques plus rapides, plus ciblées et plus furtives que jamais, le NDR seul ne suffit plus. L’avantage ira aux organisations qui adoptent l’observabilité réseau : une plateforme unifiée mêlant visibilité continue, détection comportementale, threat intelligence et réponse automatisée, sur IT, OT, cloud et environnements air-gapped. C’est cette vision intégrée qui permet de passer d’une posture réactive à une véritable capacité d’anticipation. Et dans cette course, la qualité de l’IA embarquée avec sa précision, son explicabilité, sa capacité à réduire le bruit plutôt qu’à l’amplifier fera toute la différence.
Alors que les cyberattaques gagnent en sophistication et en rapidité, les plateformes NDR s'imposent comme un pilier de la cyberdéfense moderne.
Et l'IA vient de signer son acte de décès.
