Microsoft a décidé d’enrichir les capacités de sa solution Microsoft Defender for Endpoint avec l’ajout d’une fonctionnalité permettant d’isoler automatiquement les appareils compromis. Actuellement disponible en mode preview, son objectif est de bloquer les tentatives de mouvements latéraux des pirates au sein d’un réseau informatique.

Contenir les cyberattaques grâce à Defender for Endpoint

Cette nouveauté présentée par Microsoft s’intègre directement dans le mécanisme d’interruption automatique des attaques. Lorsqu’un appareil est automatiquement isolé par le système de sécurité, il se retrouve déconnecté du réseau afin de limiter les manœuvres pour l’attaquant. En effet, l’objectif étant de le contenir sur cette machine sans qu’il soit en mesure d’effectuer des mouvements latéraux vers d’autres appareils du réseau.

Même si la machine isolée est déconnectée du réseau au cours de ce processus d’isolation, elle conserve sa connectivité avec le service Microsoft Defender for Endpoint, qui continue de surveiller l’appareil en temps réel.

Microsoft précise à ce sujet : “Lorsqu’un appareil de votre organisation est soupçonné d’être compromis, Microsoft Defender for Endpoint peut automatiquement isoler l’appareil dans le cadre de l’interruption automatique des attaques.”

La firme de Redmond affirme également que ce mécanisme de sécurité limite les risques d’exfiltration de données et la propagation de ransomware. Surtout, lorsqu’une attaque est contenue, les équipes de sécurité doivent en profiter pour investiguer et mettre en place les actions de remédiation. Microsoft Defender for Endpoint doit donc, en principe, leur offrir ce temps précieux.

Prérequis et gestion de l’isolement

L’isolation automatique de la machine via cette fonctionnalité est soumise à une condition : elle s’applique uniquement aux postes de travail des utilisateurs gérés par Microsoft Defender for Endpoint.

À tout moment, les appareils peuvent être libérés de “leur confinement” par un administrateur disposant des permissions nécessaires. Tout s’effectue directement depuis le portail Microsoft 365 via l’inventaire des appareils où il y a une option dédiée pour libérer la machine (“Release from isolation”).

Sachez que Microsoft travaille depuis plusieurs années sur les mécanismes d’isolation des appareils et des utilisateurs. Il était d’ailleurs déjà possible d’isoler manuellement une machine depuis le portail Microsoft, peu importe qu’elle soit sous Windows ou Linux.

Enfin, en mai 2026, Microsoft a également introduit en preview une fonctionnalité permettant de planifier des scans antivirus sur les machines Linux (scan rapide, scan complet, etc.).