Microsoft vient d’ajouter une nouvelle fonctionnalité de sécurité particulièrement intéressante à Microsoft Defender for Endpoint. Depuis mai 2026, la société a présenté en avant-première un système capable d’isoler automatiquement un appareil compromis du réseau lorsqu’une attaque est détectée.
Contrairement à un antivirus classique qui réagit à une simple alerte ou à un fichier détecté comme malveillant, le système « interruption automatique des attaques » de Microsoft Defender XDR analyse plusieurs signaux avant de déclencher une action automatique.
Microsoft explique que Defender corrèle les informations provenant de différentes sources comme les postes de travail, les identités, les emails ou encore les applications SaaS afin de reconstituer l’incident dans son ensemble avant d’agir.
Lorsqu’un appareil est identifié comme point d’ancrage d’attaque actif, Defender peut alors lancer l’isolation du réseau. Presque tout le trafic est coupé, mais la machine maintient un lien avec les services Defender for Endpoint afin que les équipes de sécurité puissent continuer à enquêter sur la station à distance.
Microsoft précise également que cet isolement reste limité aux appareils concernés par l’incident et qu’il peut être levé manuellement à tout moment.
Plus de détails sur le fonctionnement technique dans le documentation officielle.
Isolement du dispositif, confinement : quelles différences ?
Cette nouvelle isolation automatique complète plusieurs mécanismes déjà présents dans Microsoft Defender XDR, mais tous ne fonctionnent pas exactement de la même manière.
Par exemple, l’action « confinement de l’appareil » bloque déjà les communications entrantes et sortantes d’un appareil suspect afin de limiter sa capacité à communiquer avec le reste du réseau.
Le nouveau « Isolate Device », actuellement en avant-première, va plus loin. Ici, l’appareil est pratiquement coupé du réseau, tout en conservant une connexion avec les services Defender for Endpoint pour permettre des opérations d’analyse et de remédiation à distance.
Microsoft propose également d’autres actions automatiques telles que la désactivation d’un utilisateur compromis pour empêcher son utilisation par un attaquant ou le verrouillage d’un utilisateur, qui bloque l’utilisation d’une identité compromise sur les appareils protégés.
Actuellement, l’isolation automatique affecte uniquement les postes de travail intégrés à Defender for Endpoint. Les serveurs ne sont pas encore pris en charge par cette fonctionnalité.
Réponse beaucoup plus rapide aux ransomwares
Jusqu’à présent, l’isolement d’une machine compromise nécessitait généralement une intervention manuelle de l’équipe de sécurité. Même lorsqu’une attaque est détectée rapidement, quelques minutes peuvent suffire à un ransomware ou à un attaquant pour se propager sur plusieurs appareils du réseau.
Grâce à cette automatisation, Defender peut désormais réagir immédiatement dès qu’un appareil est identifié comme compromis avec un niveau de confiance suffisamment élevé.
Cependant, l’équipe de sécurité garde le contrôle de l’incident. Depuis le portail Microsoft Defender, il est toujours possible de suivre les actions automatiques déclenchées, de voir quels appareils ont été isolés et de supprimer l’isolement une fois la remédiation terminée.
Microsoft indique également qu’une bannière apparaît dans le portail Defender lorsqu’une action automatique d’interruption d’attaque est déclenchée sur un incident.
