Microsoft Defender for Endpoint s'enrichit d'un isolement automatique des machines compromises

Microsoft a annoncé l'ajout d'une capacité d'isolation automatique des appareils au sein de sa solution Defender for Endpoint. Actuellement disponible en preview, cette fonctionnalité s'inscrit dans le mécanisme d'interruption automatique des attaques déjà existant. Lorsqu'un poste de travail géré est soupçonné d'être compromis, le système peut le déconnecter du réseau afin de limiter les mouvements latéraux des attaquants.

Un isolement qui préserve la surveillance

L'objectif est de contenir la menace sur une seule machine, empêchant l'assaillant de se propager à d'autres équipements. Pendant l'isolement, l'appareil concerné perd toute connectivité réseau, mais conserve un lien direct avec le service Microsoft Defender for Endpoint. Cette liaison permet de continuer à superviser l'activité de la machine en temps réel, offrant ainsi aux équipes de sécurité une visibilité continue sur l'incident.

Selon la documentation publiée par l'éditeur, "lorsqu'un appareil de votre organisation est soupçonné d'être compromis, Microsoft Defender for Endpoint peut automatiquement isoler l'appareil dans le cadre de l'interruption automatique des attaques". Microsoft avance que ce mécanisme réduit les risques d'exfiltration de données et de propagation de rançongiciels. Il offre également un délai précieux aux analystes pour mener leurs investigations et déployer des actions de remédiation.

Prérequis et gestion de la fonctionnalité

L'isolation automatique s'applique exclusivement aux postes de travail des utilisateurs gérés par Defender for Endpoint. Les administrateurs disposant des droits nécessaires peuvent à tout moment libérer un appareil isolé directement depuis le portail Microsoft 365, via l'inventaire des machines, grâce à une option dédiée intitulée "Release from isolation".

Microsoft travaillait depuis plusieurs années sur des mécanismes d'isolation. Il était déjà possible d'isoler manuellement un équipement depuis le portail, que ce soit sous Windows ou Linux. La nouveauté réside dans le déclenchement automatique de cette mesure en cas de détection d'une compromission.

Évolutions connexes

En mai 2026, Microsoft a également mis en preview une autre fonctionnalité : la planification de scans antivirus (rapide, complet, etc.) sur les machines Linux gérées par Defender for Endpoint. Cette série d'annonces témoigne de la volonté de l'éditeur de renforcer les capacités de sa solution de sécurité pour les environnements hétérogènes.