Nous utilisons des cookies sur ce site web

En cliquant sur "Accepter", vous acceptez le stockage de cookies sur votre appareil pour améliorer la navigation sur le site, analyser l'utilisation du site et contribuer à nos efforts de marketing. Consultez notre politique de confidentialité pour plus d'informations.

ModernWork

Microsoft Defender for Cloud : le guide PME 2026

Defender for Cloud expliqué pour les PME : CSPM, CWPP, plans gratuit et payant, NIS2, tarifs 2026 et guide de démarrage étape par étape pour sécuriser vos ressources Azure.

Microsoft Defender for Cloud : le guide PME 2026

Une PME ouvre un abonnement Azure pour héberger un serveur ou une base de données. Elle configure les ressources, elles fonctionnent, tout semble en ordre. Ce que personne ne voit : sans Defender for Cloud activé, cet environnement tourne sans surveillance active, sans détection de menaces et sans indicateur de posture de sécurité. La première alerte arrive souvent après une compromission.

Defender for Cloud n'est pas un antivirus cloud. C'est une plateforme de protection qui analyse en continu la posture de sécurité de vos ressources Azure, détecte les configurations risquées avant qu'elles deviennent des incidents et protège vos charges de travail (serveurs, bases de données, conteneurs, stockage) contre les menaces actives.

Ce guide explique comment ça marche, ce que ça couvre et par où commencer quand on est une PME avec quelques ressources Azure.

Vous voulez qu’un expert audite votre environnement cloud ?

À retenir

L'essentiel de Microsoft Defender for Cloud pour les PME :

  1. Defender for Cloud n'est pas Defender for Business : l'un protège vos ressources Azure (cloud), l'autre vos postes de travail (endpoints). Ce sont deux produits distincts avec des périmètres différents.
  2. La version de base est gratuite : le niveau Foundational CSPM s'active sans frais sur tout abonnement Azure et fournit un score de sécurité, des recommandations et une évaluation de conformité immédiate.
  3. La protection active se paye par ressource : Defender for Servers, Defender for Storage, Defender for Databases, chaque plan se facture séparément selon le type et le nombre de ressources protégées.
  4. NIS2 et RGPD : Defender for Cloud aide à documenter la conformité : le tableau de bord de conformité réglementaire couvre NIS2, ISO 27001, RGPD et d'autres référentiels, avec un état par contrôle.
  5. Multicloud natif : Defender for Cloud protège aussi les ressources AWS et Google Cloud depuis la même interface, sans outil tiers.

En une phrase : Microsoft Defender for Cloud est la plateforme CNAPP de Microsoft qui combine gestion de la posture de sécurité cloud (CSPM) et protection des charges de travail (CWPP) pour les environnements Azure, multicloud et hybrides.

Defender for Cloud vs Defender for Business : ce n'est pas le même produit

C'est la confusion la plus fréquente. Les deux portent le nom "Defender", les deux viennent de Microsoft, mais ils ne protègent pas les mêmes choses.

Critère Defender for Business Defender for Cloud
Ce qu’il protège Postes de travail, serveurs Windows/Mac, mobiles Ressources Azure (VMs, BDD, stockage, conteneurs)
Où il vit Microsoft 365 inclus dans Business Premium Azure abonnement séparé
Modèle tarifaire Inclus dans M365 Business Premiumou 2,60 € HT/user/mois Par ressource Azure protégée
Plafond utilisateurs 300 maxM365 Business Aucun
CSPM (posture cloud) Non Ouigratuit + payant
EDR (endpoints) Oui Nonintégration via Defender for Servers P1
Multicloud (AWS, GCP) Non Oui
Conformité réglementaire Non OuiNIS2, ISO 27001, RGPD, PCI DSS…

Une PME qui a M365 Business Premium et quelques VMs Azure a besoin des deux : Defender for Business pour ses postes, Defender for Cloud pour son infrastructure Azure. Ce ne sont pas des alternatives, ce sont des couches complémentaires.

Les deux piliers de Defender for Cloud

1. CSPM : la gestion de la posture de sécurité

Le CSPM (Cloud Security Posture Management) évalue en continu la configuration de vos ressources Azure et détecte les écarts par rapport aux bonnes pratiques de sécurité. Il produit un Secure Score, une note chiffrée qui indique l'état global de votre posture.

Niveau Nom Prix Ce qu’il couvre
Gratuit Foundational CSPM 0 €
  • Secure Score
  • Recommandations de sécurité
  • Évaluation Microsoft Cloud Security Benchmark
  • Inventaire des ressources
Payant Defender CSPM Par ressource/mois
  • Analyse agentless des vulnérabilités
  • Analyse des chemins d’attaque
  • Posture sensible aux données
  • Contextualisation code-to-cloud
  • Graphe de sécurité cloud

Le niveau gratuit est utile immédiatement : il indique quelles ressources sont mal configurées, quels ports sont ouverts sans raison, quels comptes n'ont pas le MFA activé. La plupart des PME qui activent Foundational CSPM découvrent plusieurs dizaines de recommandations à corriger sur un environnement qu'elles croyaient sécurisé.

Le Defender CSPM payant ajoute l'analyse des chemins d'attaque : il modélise comment un attaquant pourrait se déplacer entre les ressources à partir d'une compromission initiale. C'est pertinent pour les environnements plus complexes avec plusieurs services interconnectés.

2. CWPP : la protection des charges de travail

Le CWPP (Cloud Workload Protection Platform) ajoute une couche de détection des menaces en temps réel sur chaque type de ressource. Contrairement au CSPM qui évalue la configuration, le CWPP surveille les comportements suspects pendant l'exécution.

Type de ressource Plan Ce qu’il détecte
Serveurs (VMs) Defender for Servers Plan 1
  • Intégration Defender for Endpoint
  • Protection des VMs Windows et Linux
Serveurs (VMs) Defender for Servers Plan 2 Premium
  • Plan 1 inclus
  • Analyse des vulnérabilités agentless
  • Surveillance réseau
  • Détection comportementale avancée
Bases de données Defender for SQL, MySQL, PostgreSQL
  • Injections SQL
  • Accès anormaux
  • Exfiltration de données
Stockage Defender for Storage
  • Malwares dans les blobs
  • Accès suspects
  • Exfiltration
Conteneurs Defender for Containers
  • Menaces sur Kubernetes
  • Images vulnérables
  • Comportements anormaux dans les pods
App Service Defender for App Service
  • Attaques sur les applications web hébergées sur Azure
APIs Defender for API
  • Abus d’API
  • Authentification suspecte
  • Volumétrie anormale
Key Vault Defender for Key Vault
  • Accès suspects aux secrets et certificats

Chaque plan se facture indépendamment. Une PME avec 3 VMs et une base de données SQL peut activer uniquement Defender for Servers et Defender for SQL sans payer pour les conteneurs ou les APIs.

Ce que vous voyez dans le tableau de bord

Le portail Defender for Cloud centralise tout dans une interface unique. Voici les vues principales utiles pour une PME.

Secure Score : un pourcentage qui résume l'état de votre posture. Un score de 30 % sur un environnement Azure non configuré est courant. Chaque recommandation corrigée fait monter le score.

Recommandations de sécurité : liste priorisée des configurations à corriger, avec l'impact sur le Secure Score, la sévérité (critique, élevée, moyenne, faible) et des instructions de remédiation directement dans le portail.

Alertes de sécurité : événements suspects détectés en temps réel sur les ressources protégées par les plans CWPP. Chaque alerte inclut une description de la menace, les ressources concernées et les étapes de réponse recommandées.

Conformité réglementaire : tableau de bord qui mappe vos ressources Azure contre les contrôles de référentiels comme NIS2, ISO 27001, RGPD, SOC 2 ou PCI DSS. Utile pour préparer un audit ou documenter votre niveau de conformité auprès d'un client ou d'un commissaire aux comptes.

Inventaire des ressources : vue de toutes les ressources Azure avec leur état de santé sécurité. C'est souvent là que les PME découvrent des ressources oubliées qui tournent depuis des mois sans surveillance.

Guide de démarrage PME : 3 étapes

Étape 1 : activer le niveau gratuit (Foundational CSPM)

Dans le portail Azure, recherchez "Microsoft Defender for Cloud". Le Foundational CSPM s'active automatiquement sur les abonnements existants : vous pouvez consulter votre Secure Score et vos premières recommandations immédiatement, sans rien configurer.

La première lecture prend 15 à 30 minutes. La liste de recommandations peut surprendre : des ports RDP ouverts, des comptes de stockage sans chiffrement, des VMs sans mises à jour appliquées. Tout ce que le niveau gratuit identifie peut être corrigé sans passer aux plans payants.

Étape 2 : activer Defender for Servers sur vos VMs

Si vous avez des machines virtuelles Azure, Defender for Servers Plan 1 est l'extension logique. Il déploie Microsoft Defender for Endpoint sur vos VMs, ce qui vous donne une protection EDR sur les serveurs cloud avec les mêmes capacités que sur vos postes physiques.

Defender for Servers Plan 2 ajoute l'analyse de vulnérabilités sans agent, la surveillance du réseau et la détection comportementale avancée. Il s'adresse aux organisations qui ont des VMs exposées sur internet ou qui hébergent des données sensibles.

Étape 3 : activer les plans sur les ressources sensibles

Base de données avec des données clients ? Activez Defender for SQL ou Defender for MySQL. Stockage Azure avec des documents confidentiels ? Activez Defender for Storage. L'activation se fait ressource par ressource depuis le portail Defender for Cloud, et la facturation démarre immédiatement.

IT Systèmes configure et supervise les environnements Azure dans le cadre de ses contrats MSP.

Demander un audit cloud →

Tarification : ce que vous payez réellement

Les tarifs ci-dessous sont des valeurs indicatives en USD, issues de la documentation Microsoft et des partenaires. La page de tarification officielle Azure affiche les montants en temps réel selon la région et la devise. Vérifiez les prix définitifs sur le calculateur Azure ou auprès de votre revendeur.

Plan Ressource facturée Prix indicatif (USD)
Foundational CSPM Toutes ressources Gratuit
Defender CSPM (avancé) Par VM / BDD / stockage / conteneur Variable selon le parc
Defender for Servers Plan 1 Par serveur/mois ~5 $ HT / serveur / mois
Defender for Servers Plan 2 Par serveur/mois ~15 $ HT / serveur / mois
Defender for Storage Par compte de stockage/mois ~10 $ HT / compte / mois
Defender for SQL Par instance SQL/mois ~15 $ HT / instance / mois
Defender for Containers Par vCore des nœuds Kubernetes Variable
Defender for App Service Par App Service Plan/mois ~15 $ HT / plan / mois

Quelques points à retenir sur la facturation :

Les 30 premiers jours sont gratuits sur tous les plans payants. Ce n'est pas un argument commercial : c'est le temps qu'il faut pour évaluer ce que chaque plan détecte réellement sur votre environnement avant de s'engager.

Microsoft propose des unités de préachat (Commit Units) avec des remises allant jusqu'à 22 % pour un engagement annuel. Sur un parc de 10 à 20 VMs, l'économie peut être significative.

Defender for Servers Plan 2 inclut Defender CSPM avancé sans surcoût supplémentaire pour les ressources couvertes. Si vous activez Plan 2 sur vos serveurs, vous ne payez pas deux fois pour le CSPM sur ces mêmes ressources.

Defender for Cloud et la conformité NIS2

Depuis mars 2026, l'ANSSI a publié le Référentiel Cyber France (ReCyF), qui liste les mesures techniques recommandées pour répondre aux obligations NIS2. Les PME de plus de 50 salariés ou 10 millions d'euros de chiffre d'affaires dans les secteurs critiques (énergie, transport, santé, numérique, agroalimentaire) sont concernées.

Defender for Cloud contribue directement à plusieurs axes du ReCyF et de NIS2 :

Exigence NIS2 / ReCyF Ce que Defender for Cloud apporte
Gestion des vulnérabilités Analyse agentless des VMs, recommandations de correction priorisées
Contrôle des accès Détection des comptes sans MFA, alertes sur les accès anormaux
Sécurité des chaînes d’approvisionnement Intégration DevOps, scan des dépôts de code (GitHub, Azure DevOps)
Journalisation et surveillance Alertes en temps réel, intégration avec Microsoft Sentinel
Gestion des incidents Alertes classifiées par sévérité avec procédures de réponse
Conformité documentée Tableau de bord NIS2 natif avec état par contrôle, exportable

Le tableau de bord de conformité réglementaire ne certifie pas votre conformité : il documente votre état actuel par rapport aux contrôles d'un référentiel. C'est un point de départ pour un audit, pas un certificat.

Ce que Defender for Cloud ne fait pas seul

Activer les plans Defender for Cloud ne suffit pas à sécuriser un environnement. C'est le même problème que d'acheter un système d'alarme sans l'abonner à une télésurveillance : les alertes s'accumulent sans que personne ne les traite.

Pour tirer parti de Defender for Cloud, il faut quelqu'un qui surveille les alertes, comprend leur contexte, triage les faux positifs et déclenche les actions correctives. Dans les grandes organisations, c'est le rôle d'un SOC. Pour les PME, c'est typiquement le rôle d'un prestataire MSP spécialisé qui intègre Defender for Cloud dans sa supervision.

Un MSP configure les plans adaptés à votre parc, supprime les alertes sans contexte (le bruit habituel des premières semaines), et met en place des règles de gestion adaptées à votre environnement spécifique. Il surveille les alertes critiques 24h/24 et intervient sur les incidents sans que vous ayez à comprendre les détails techniques de la plateforme.

C'est le périmètre de l'Hypergérance IT Systèmes : supervision continue des environnements Azure (Defender for Cloud, Microsoft Sentinel, Entra ID), triage des alertes, résolution autonome des incidents courants et escalade humaine sur les menaces avérées. La cybersécurité et la gestion de l'infrastructure cloud sont traitées ensemble, pas comme deux silos séparés.

Questions fréquentes

Qu'est-ce que Microsoft Defender for Cloud ?
Microsoft Defender for Cloud est une plateforme CNAPP (Cloud Native Application Protection Platform) qui combine la gestion de la posture de sécurité cloud (CSPM) et la protection des charges de travail cloud (CWPP). Elle analyse en continu les ressources Azure, AWS et Google Cloud pour détecter les mauvaises configurations, les vulnérabilités et les menaces actives depuis une interface centralisée.

Defender for Cloud est-il gratuit ?
En partie. Le niveau Foundational CSPM est gratuit sur tout abonnement Azure : il donne accès au Secure Score, aux recommandations de sécurité et à un tableau de bord de conformité de base. Les plans de protection des charges de travail (Defender for Servers, Defender for Storage, Defender for SQL, etc.) sont payants, facturés par ressource protégée. Les 30 premiers jours de chaque plan payant sont gratuits.

Quelle est la différence entre Defender for Cloud et Defender for Business ?
Defender for Business protège les postes de travail et serveurs physiques ou virtuels dans le contexte Microsoft 365 Business Premium. Defender for Cloud protège les ressources hébergées dans Azure (et d'autres clouds). Les deux peuvent coexister : Defender for Business pour les endpoints, Defender for Cloud pour l'infrastructure cloud. Defender for Servers Plan 1 intègre d'ailleurs Defender for Endpoint sur les VMs Azure, ce qui crée un pont entre les deux produits.

Comment Defender for Cloud aide-t-il à respecter NIS2 ?
Defender for Cloud propose un tableau de bord de conformité réglementaire qui mappe l'état de vos ressources Azure contre les contrôles NIS2 (et d'autres référentiels : ISO 27001, RGPD, SOC 2, PCI DSS). Il ne certifie pas votre conformité mais documente votre état actuel par contrôle, avec les ressources non conformes et les recommandations de correction. Depuis mars 2026, ce tableau de bord peut être aligné sur les exigences du Référentiel Cyber France (ReCyF) publié par l'ANSSI.

Defender for Cloud fonctionne-t-il avec AWS ou Google Cloud ?
Oui. Defender for Cloud est multicloud natif. En connectant vos comptes AWS ou GCP via des connecteurs Azure Arc, vous obtenez le même Secure Score, les mêmes recommandations et les mêmes alertes sur ces environnements depuis l'interface Azure. C'est l'un des avantages de la plateforme sur les outils de sécurité cloud natifs à chaque provider.

Par où commencer pour une PME avec peu de ressources Azure ?
Le point de départ est d'activer Foundational CSPM (gratuit) et de traiter les premières recommandations, notamment celles classifiées "Critical" et "High". Cela prend quelques heures et améliore immédiatement la posture sans aucun coût. Ensuite, si vous avez des VMs, Defender for Servers Plan 1 est l'extension logique à environ 5 $ par serveur par mois.

Combien coûte réellement Defender for Cloud pour une PME standard ?
Pour une PME type avec 5 VMs, 2 bases de données SQL et quelques comptes de stockage sur Azure, une estimation indicative avec les plans Plan 1 pour les serveurs et Defender for SQL donnerait environ 100 à 150 € HT par mois (hors Foundational CSPM qui reste gratuit). Ce chiffre varie selon la région Azure, le taux de change et les conditions négociées avec le revendeur. Le calculateur Azure permet d'obtenir une estimation personnalisée avant d'activer les plans.

Ce que propose IT Systèmes sur Defender for Cloud

IT Systèmes est partenaire Microsoft et accompagne les PME et ETI dans le déploiement, la configuration et la supervision de leurs environnements Azure. Nos équipes activent et configurent Defender for Cloud adapté à votre parc de ressources, gèrent le triage des alertes et s'assurent que ce pour quoi vous payez est actif et correctement paramétré.

Nous intervenons pour les cabinets comptables, les cabinets d'avocats et les PME de tous secteurs avec des exigences de sécurité sur leur infrastructure cloud.

→ Découvrir nos services cloud et cybersécurité

Prendre rendez-vous → Réponse sous 24 h

Nos derniers articles

Voir plus
logiciel
Développement & automatisation

"Je flippe d'installer un logiciel"

En 1996 je faisais mes premiers pas en informatique sur un poste où je faisais du tableau Excel pour classer les codes de triches de mes jeux vidéo préférés. 🕹️Le début d’une passion pour les outils bureautiques (chacun son truc 😅). Il y avait 3 000 machines connectées à internet ! 😶 Mais que s'est-il passé après ?
3/7/2026
fishing
Cybersécurité

Phishing 2026 : définition, exemples et protection PME (guide complet)

Spear phishing, BEC, deepfake vocal : pourquoi la formation seule échoue, ce que coûte vraiment un incident (275k€) et les protections qui marchent en 2026
26/6/2026
sauvegarde-vs-la-retention
Cloud & infrastructure

Comparons la sauvegarde VS la rétention

La sauvegarde VS la rétention : voilà le match que tout le monde attendait !!! 🥊 (okai pas du tout mais il me fallait un titre accrocheur..🤫)
3/7/2026