# Règles d'exclusion avec un EDR La gestion des flux d'application via des règles d'exclusion est une approche propre aux solutions antivirus traditionnelles, mais elle ne **s'applique pas** à un EDR tel que **CrowdStrike** ou **SentinelOne**. ## Différence de fonctionnement entre antivirus et EDR * **Antivirus :** analyse de manière proactive tous les fichiers inactifs du système (qu'ils soient exécutés ou non). Cela génère un volume important d'analyses et nécessite de nombreuses exclusions pour éviter les faux positifs sur des fichiers inactifs. * **EDR (CrowdStrike, SentinelOne) :** se concentre uniquement sur les fichiers réellement exécutés et sur les comportements dynamiques du système (processus, connexions, actions des utilisateurs, etc.). Aucune analyse complète continue du disque n'est effectuée ; les fichiers inactifs ne sont pas analysés, sauf lors d'analyses manuelles. {% hint style="info" %} Puisqu'un EDR analyse **des comportements suspects plutôt que des signatures**, exclure un dossier de l'analyse est inutile. {% endhint %} {% hint style="warning" %} Exclure un dossier aurait un effet négatif : si un comportement suspect devait se produire dans ce dossier, l'EDR ne serait pas en mesure de le détecter. Cela dit, cela reste techniquement possible si le besoin est validé par notre équipe SOC. {% endhint %} ## Prévention intelligente et gestion réactive des exclusions CrowdStrike intègre un ensemble de mécanismes préventifs pour limiter les faux positifs sans intervention manuelle : * Des listes d'exclusions préconfigurées sont automatiquement appliquées lors du déploiement. * En cas de détection suspecte impliquant une application métier, le programme est temporairement bloqué, puis analysé par notre SOC avant toute action définitive. {% hint style="warning" %} Pour éviter d'éventuelles perturbations métier indésirables, l'isolement complet est effectué **uniquement manuellement**, soit après analyse par notre équipe SOC, soit par vous. {% endhint %} ## Les exclusions ne doivent pas être définies en amont Tenter d'anticiper les exclusions avant toute détection représente un risque majeur : * Cela revient à exclure par avance des comportements potentiellement malveillants simplement parce qu'ils sont associés à une application métier connue. * **Résultat :** vous risquez de neutraliser les capacités de détection de l'EDR, permettant à certaines attaques de passer inaperçues. Chez **Stoïk**, les exclusions sont gérées **uniquement en réponse à une détection réelle**, sur la base de l'analyse du SOC. ## Conclusion Les exclusions dans un EDR sont beaucoup moins nombreuses et sont appliquées **uniquement lorsqu'un événement bloquant s'est réellement produit**. Il n'est ni nécessaire ni conseillé d'ajouter des règles d'exclusion « préventives » comme vous le feriez avec un antivirus traditionnel. **Exemple concret :** L'un de nos clients (un acteur national de la distribution) avait plus de 3 000 postes de travail et plusieurs milliers d'exclusions dans sa précédente solution antivirus. Après le passage à CrowdStrike, aucune exclusion n'a été nécessaire. --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.stoik.io/help/help-center-fr/stoik-mdr/edr-setup-overview/exclusion-rules-with-an-edr.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.