# Comment désinstaller un hôte EDR ?

## Prérequis

Avant de pouvoir désinstaller un agent EDR, assurez-vous d’avoir :

* **Autorisation des services gérés**: `Afficher et modifier les outils des services gérés` doit être activé sur votre compte. Voir [Gestion des accès utilisateur](/help/help-center-fr/onboarding/user-access-management.md).
* **MFA activée depuis au moins 2 semaines**: allez dans `Paramètres` > `Paramètres utilisateur` et cliquez sur `Activez` dans la section `Authentification à deux facteurs` .

## Désinstallation sur un poste de travail ou un serveur

Accédez à `MDR` > `Actifs surveillés` > `Hôtes`. Localisez l’hôte et cliquez sur l’icône **Désinstaller** sur sa ligne.

<figure><img src="/files/e36102a271ad461036cc55299b3fcdbf23cfb11c" alt=""><figcaption></figcaption></figure>

Les étapes suivantes dépendent du fournisseur EDR exécuté sur l’hôte.

### CrowdStrike

Avec CrowdStrike, la désinstallation s’effectue sur l’appareil. Cliquer sur **Désinstaller** ouvre une fenêtre modale avec un **jeton de maintenance** à usage unique dont vous aurez besoin pour supprimer l’agent localement.

{% stepper %}
{% step %}
**Obtenir le jeton de maintenance**

La fenêtre modale affiche automatiquement le jeton. Laissez cette fenêtre ouverte pendant la désinstallation.
{% endstep %}

{% step %}
**Désinstaller sur l’appareil**

{% tabs %}
{% tab title="Windows" %}

1. Téléchargez l’outil de désinstallation [**CrowdStrike Falcon**](https://drive.google.com/file/d/1a5RD8HvwsSl26viCYw_QWhoKRn9JfRD-/view?usp=sharing) lié dans la fenêtre modale.
2. Exécutez l’outil. Lorsque vous y êtes invité, saisissez le nom de l’actif surveillé et la clé de maintenance affichés dans la fenêtre modale.
3. Attendez que l’outil confirme la suppression.

<figure><img src="/files/8a1612e1597ecb3974afeb48ce8c55befd6d3089" alt=""><figcaption></figcaption></figure>
{% endtab %}

{% tab title="macOS" %}

1. Ouvrez le Terminal et exécutez :

```bash
sudo /Applications/Falcon.app/Contents/Resources/falconctl uninstall -t
```

2. Lorsque vous y êtes invité, saisissez le nom de l’actif surveillé et la clé de maintenance affichés dans la fenêtre modale.

<figure><img src="/files/124f1be12a5cdb7103bb05380733ffae9aa5d00b" alt=""><figcaption></figcaption></figure>
{% endtab %}

{% tab title="Linux" %}

1. Ouvrez un terminal.
2. Appliquez le jeton de maintenance :

```bash
sudo /opt/CrowdStrike/falconctl -s --maintenance-token=<maintenance_token>
```

3. Désinstallez le capteur Falcon :

   Debian / Ubuntu :

   ```bash
   sudo apt-get purge falcon-sensor
   ```

   RHEL / CentOS / Fedora :

   ```bash
   sudo yum remove falcon-sensor
   ```

<figure><img src="/files/7cb06e3b63bf76ec0159bca849390740b867e483" alt=""><figcaption></figcaption></figure>
{% endtab %}
{% endtabs %}
{% endstep %}

{% step %}
**Confirmer dans Stoïk Protect**

Retournez à la fenêtre modale, cochez « J’ai terminé la désinstallation sur l’appareil à l’aide du jeton ci-dessus » et cliquez sur **Confirmer**.

L’hôte passe à `Désinstallation en cours`, voir [Après la désinstallation](#after-uninstallation).

<details>

<summary>Afficher le jeton / Annuler la désinstallation</summary>

Une fois la désinstallation en cours, deux icônes supplémentaires apparaissent sur la ligne de l’hôte :

* **Afficher le jeton**: rouvre la fenêtre modale en mode lecture seule afin que vous puissiez recopier le jeton de maintenance si nécessaire.

<figure><img src="/files/d38a115d1867d453cb81066fa7606f44d7f89f07" alt=""><figcaption></figcaption></figure>

* **Annuler la désinstallation**: efface le `Désinstallation en cours` statut dans Stoïk Protect.

<figure><img src="/files/c169046b593c83947e89197984962bbedecade65" alt=""><figcaption></figcaption></figure>

{% hint style="warning" %}
« Annuler la désinstallation » efface uniquement le statut dans Stoïk Protect. Cela ne réinstalle pas l’agent sur l’appareil. Si vous avez déjà exécuté la commande de désinstallation, l’agent a déjà été supprimé. L’annulation remettra simplement l’hôte à `Actif` dans le tableau jusqu’à ce que CrowdStrike le marque `Inactif`.
{% endhint %}

</details>
{% endstep %}
{% endstepper %}

### SentinelOne

Avec SentinelOne, la désinstallation est entièrement gérée par Stoïk Protect. Aucune commande à exécuter sur l’appareil. Le flux est le même sur Windows, macOS et Linux.

{% stepper %}
{% step %}
Cliquez sur le **Désinstaller** icône sur la ligne de l’hôte.
{% endstep %}

{% step %}
Vérifiez le nom de l’actif dans la fenêtre modale et cliquez sur **Confirmer**.

L’hôte passe à `Désinstallation en cours` immédiatement, puis sur `Inactif` une fois que SentinelOne cesse de signaler l’agent.
{% endstep %}
{% endstepper %}

{% hint style="warning" %}
Les désinstallations SentinelOne ne peuvent pas être annulées. L’ordre est envoyé à SentinelOne dès que vous cliquez sur Confirmer et il n’y a ensuite aucun bouton Annuler sur la ligne. Vérifiez bien le nom de l’hôte avant de confirmer.
{% endhint %}

## Désinstallation sur un appareil mobile

Le flux mobile n’utilise pas Stoïk Protect. L’EDR est supprimé directement sur l’appareil.

{% tabs %}
{% tab title="Android" %}
Supprimez l’application EDR depuis la gestion des applications ou les paramètres de l’appareil, comme n’importe quelle autre application.
{% endtab %}

{% tab title="iOS" %}
Ouvrez `Paramètres` > `Général` > `VPN et gestion de l’appareil` et supprimez le profil EDR, puis supprimez l’application EDR.
{% endtab %}
{% endtabs %}

## Après la désinstallation

L’agent est supprimé de l’appareil immédiatement, mais l’enregistrement de l’hôte reste visible dans Stoïk Protect un peu plus longtemps. La durée dépend de l’EDR.

{% tabs %}
{% tab title="CrowdStrike" %}
L’hôte reste dans CrowdStrike pendant 45 jours après la désinstallation. Pendant cette période, son statut dans Stoïk Protect est `Désinstallation en cours`. Après 45 jours, CrowdStrike purge l’hôte et le statut devient `Inactif`.
{% endtab %}

{% tab title="SentinelOne" %}
L’hôte reste dans SentinelOne jusqu’à la prochaine mise en ligne de l’appareil. Tant qu’il est hors ligne, son statut dans Stoïk Protect est `Désinstallation en cours`; lorsqu’il se reconnecte, SentinelOne supprime l’hôte et le statut devient `Inactif`. Si l’appareil ne se reconnecte jamais (perdu, volé, mis hors service), l’hôte reste `Désinstallation en cours` indéfiniment.
{% endtab %}
{% endtabs %}

Pour toute question sur les statuts des hôtes, voir [Comment lire le tableau des hôtes](/help/help-center-fr/stoik-mdr/edr-monitoring/how-to-read-the-hosts-table.md#statuses).


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://docs.stoik.io/help/help-center-fr/stoik-mdr/edr-monitoring/how-to-uninstall-an-edr-host.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.