Une PME ouvre un abonnement Azure pour héberger un serveur ou une base de données. Elle configure les ressources, elles fonctionnent, tout semble en ordre. Ce que personne ne voit : sans Defender for Cloud activé, cet environnement tourne sans surveillance active, sans détection de menaces et sans indicateur de posture de sécurité. La première alerte arrive souvent après une compromission.
Defender for Cloud n'est pas un antivirus cloud. C'est une plateforme de protection qui analyse en continu la posture de sécurité de vos ressources Azure, détecte les configurations risquées avant qu'elles deviennent des incidents et protège vos charges de travail (serveurs, bases de données, conteneurs, stockage) contre les menaces actives.
Ce guide explique comment ça marche, ce que ça couvre et par où commencer quand on est une PME avec quelques ressources Azure.
À retenir
L'essentiel de Microsoft Defender for Cloud pour les PME :
- Defender for Cloud n'est pas Defender for Business : l'un protège vos ressources Azure (cloud), l'autre vos postes de travail (endpoints). Ce sont deux produits distincts avec des périmètres différents.
- La version de base est gratuite : le niveau Foundational CSPM s'active sans frais sur tout abonnement Azure et fournit un score de sécurité, des recommandations et une évaluation de conformité immédiate.
- La protection active se paye par ressource : Defender for Servers, Defender for Storage, Defender for Databases, chaque plan se facture séparément selon le type et le nombre de ressources protégées.
- NIS2 et RGPD : Defender for Cloud aide à documenter la conformité : le tableau de bord de conformité réglementaire couvre NIS2, ISO 27001, RGPD et d'autres référentiels, avec un état par contrôle.
- Multicloud natif : Defender for Cloud protège aussi les ressources AWS et Google Cloud depuis la même interface, sans outil tiers.
En une phrase : Microsoft Defender for Cloud est la plateforme CNAPP de Microsoft qui combine gestion de la posture de sécurité cloud (CSPM) et protection des charges de travail (CWPP) pour les environnements Azure, multicloud et hybrides.
Defender for Cloud vs Defender for Business : ce n'est pas le même produit
C'est la confusion la plus fréquente. Les deux portent le nom "Defender", les deux viennent de Microsoft, mais ils ne protègent pas les mêmes choses.
Une PME qui a M365 Business Premium et quelques VMs Azure a besoin des deux : Defender for Business pour ses postes, Defender for Cloud pour son infrastructure Azure. Ce ne sont pas des alternatives, ce sont des couches complémentaires.
Les deux piliers de Defender for Cloud
1. CSPM : la gestion de la posture de sécurité
Le CSPM (Cloud Security Posture Management) évalue en continu la configuration de vos ressources Azure et détecte les écarts par rapport aux bonnes pratiques de sécurité. Il produit un Secure Score, une note chiffrée qui indique l'état global de votre posture.
Le niveau gratuit est utile immédiatement : il indique quelles ressources sont mal configurées, quels ports sont ouverts sans raison, quels comptes n'ont pas le MFA activé. La plupart des PME qui activent Foundational CSPM découvrent plusieurs dizaines de recommandations à corriger sur un environnement qu'elles croyaient sécurisé.
Le Defender CSPM payant ajoute l'analyse des chemins d'attaque : il modélise comment un attaquant pourrait se déplacer entre les ressources à partir d'une compromission initiale. C'est pertinent pour les environnements plus complexes avec plusieurs services interconnectés.
2. CWPP : la protection des charges de travail
Le CWPP (Cloud Workload Protection Platform) ajoute une couche de détection des menaces en temps réel sur chaque type de ressource. Contrairement au CSPM qui évalue la configuration, le CWPP surveille les comportements suspects pendant l'exécution.
Chaque plan se facture indépendamment. Une PME avec 3 VMs et une base de données SQL peut activer uniquement Defender for Servers et Defender for SQL sans payer pour les conteneurs ou les APIs.
Ce que vous voyez dans le tableau de bord
Le portail Defender for Cloud centralise tout dans une interface unique. Voici les vues principales utiles pour une PME.
Secure Score : un pourcentage qui résume l'état de votre posture. Un score de 30 % sur un environnement Azure non configuré est courant. Chaque recommandation corrigée fait monter le score.
Recommandations de sécurité : liste priorisée des configurations à corriger, avec l'impact sur le Secure Score, la sévérité (critique, élevée, moyenne, faible) et des instructions de remédiation directement dans le portail.
Alertes de sécurité : événements suspects détectés en temps réel sur les ressources protégées par les plans CWPP. Chaque alerte inclut une description de la menace, les ressources concernées et les étapes de réponse recommandées.
Conformité réglementaire : tableau de bord qui mappe vos ressources Azure contre les contrôles de référentiels comme NIS2, ISO 27001, RGPD, SOC 2 ou PCI DSS. Utile pour préparer un audit ou documenter votre niveau de conformité auprès d'un client ou d'un commissaire aux comptes.
Inventaire des ressources : vue de toutes les ressources Azure avec leur état de santé sécurité. C'est souvent là que les PME découvrent des ressources oubliées qui tournent depuis des mois sans surveillance.
Guide de démarrage PME : 3 étapes
Étape 1 : activer le niveau gratuit (Foundational CSPM)
Dans le portail Azure, recherchez "Microsoft Defender for Cloud". Le Foundational CSPM s'active automatiquement sur les abonnements existants : vous pouvez consulter votre Secure Score et vos premières recommandations immédiatement, sans rien configurer.
La première lecture prend 15 à 30 minutes. La liste de recommandations peut surprendre : des ports RDP ouverts, des comptes de stockage sans chiffrement, des VMs sans mises à jour appliquées. Tout ce que le niveau gratuit identifie peut être corrigé sans passer aux plans payants.
Étape 2 : activer Defender for Servers sur vos VMs
Si vous avez des machines virtuelles Azure, Defender for Servers Plan 1 est l'extension logique. Il déploie Microsoft Defender for Endpoint sur vos VMs, ce qui vous donne une protection EDR sur les serveurs cloud avec les mêmes capacités que sur vos postes physiques.
Defender for Servers Plan 2 ajoute l'analyse de vulnérabilités sans agent, la surveillance du réseau et la détection comportementale avancée. Il s'adresse aux organisations qui ont des VMs exposées sur internet ou qui hébergent des données sensibles.
Étape 3 : activer les plans sur les ressources sensibles
Base de données avec des données clients ? Activez Defender for SQL ou Defender for MySQL. Stockage Azure avec des documents confidentiels ? Activez Defender for Storage. L'activation se fait ressource par ressource depuis le portail Defender for Cloud, et la facturation démarre immédiatement.
Tarification : ce que vous payez réellement
Les tarifs ci-dessous sont des valeurs indicatives en USD, issues de la documentation Microsoft et des partenaires. La page de tarification officielle Azure affiche les montants en temps réel selon la région et la devise. Vérifiez les prix définitifs sur le calculateur Azure ou auprès de votre revendeur.
Quelques points à retenir sur la facturation :
Les 30 premiers jours sont gratuits sur tous les plans payants. Ce n'est pas un argument commercial : c'est le temps qu'il faut pour évaluer ce que chaque plan détecte réellement sur votre environnement avant de s'engager.
Microsoft propose des unités de préachat (Commit Units) avec des remises allant jusqu'à 22 % pour un engagement annuel. Sur un parc de 10 à 20 VMs, l'économie peut être significative.
Defender for Servers Plan 2 inclut Defender CSPM avancé sans surcoût supplémentaire pour les ressources couvertes. Si vous activez Plan 2 sur vos serveurs, vous ne payez pas deux fois pour le CSPM sur ces mêmes ressources.
Defender for Cloud et la conformité NIS2
Depuis mars 2026, l'ANSSI a publié le Référentiel Cyber France (ReCyF), qui liste les mesures techniques recommandées pour répondre aux obligations NIS2. Les PME de plus de 50 salariés ou 10 millions d'euros de chiffre d'affaires dans les secteurs critiques (énergie, transport, santé, numérique, agroalimentaire) sont concernées.
Defender for Cloud contribue directement à plusieurs axes du ReCyF et de NIS2 :
Le tableau de bord de conformité réglementaire ne certifie pas votre conformité : il documente votre état actuel par rapport aux contrôles d'un référentiel. C'est un point de départ pour un audit, pas un certificat.
Ce que Defender for Cloud ne fait pas seul
Activer les plans Defender for Cloud ne suffit pas à sécuriser un environnement. C'est le même problème que d'acheter un système d'alarme sans l'abonner à une télésurveillance : les alertes s'accumulent sans que personne ne les traite.
Pour tirer parti de Defender for Cloud, il faut quelqu'un qui surveille les alertes, comprend leur contexte, triage les faux positifs et déclenche les actions correctives. Dans les grandes organisations, c'est le rôle d'un SOC. Pour les PME, c'est typiquement le rôle d'un prestataire MSP spécialisé qui intègre Defender for Cloud dans sa supervision.
Un MSP configure les plans adaptés à votre parc, supprime les alertes sans contexte (le bruit habituel des premières semaines), et met en place des règles de gestion adaptées à votre environnement spécifique. Il surveille les alertes critiques 24h/24 et intervient sur les incidents sans que vous ayez à comprendre les détails techniques de la plateforme.
C'est le périmètre de l'Hypergérance IT Systèmes : supervision continue des environnements Azure (Defender for Cloud, Microsoft Sentinel, Entra ID), triage des alertes, résolution autonome des incidents courants et escalade humaine sur les menaces avérées. La cybersécurité et la gestion de l'infrastructure cloud sont traitées ensemble, pas comme deux silos séparés.
Questions fréquentes
Qu'est-ce que Microsoft Defender for Cloud ?
Microsoft Defender for Cloud est une plateforme CNAPP (Cloud Native Application Protection Platform) qui combine la gestion de la posture de sécurité cloud (CSPM) et la protection des charges de travail cloud (CWPP). Elle analyse en continu les ressources Azure, AWS et Google Cloud pour détecter les mauvaises configurations, les vulnérabilités et les menaces actives depuis une interface centralisée.
Defender for Cloud est-il gratuit ?
En partie. Le niveau Foundational CSPM est gratuit sur tout abonnement Azure : il donne accès au Secure Score, aux recommandations de sécurité et à un tableau de bord de conformité de base. Les plans de protection des charges de travail (Defender for Servers, Defender for Storage, Defender for SQL, etc.) sont payants, facturés par ressource protégée. Les 30 premiers jours de chaque plan payant sont gratuits.
Quelle est la différence entre Defender for Cloud et Defender for Business ?
Defender for Business protège les postes de travail et serveurs physiques ou virtuels dans le contexte Microsoft 365 Business Premium. Defender for Cloud protège les ressources hébergées dans Azure (et d'autres clouds). Les deux peuvent coexister : Defender for Business pour les endpoints, Defender for Cloud pour l'infrastructure cloud. Defender for Servers Plan 1 intègre d'ailleurs Defender for Endpoint sur les VMs Azure, ce qui crée un pont entre les deux produits.
Comment Defender for Cloud aide-t-il à respecter NIS2 ?
Defender for Cloud propose un tableau de bord de conformité réglementaire qui mappe l'état de vos ressources Azure contre les contrôles NIS2 (et d'autres référentiels : ISO 27001, RGPD, SOC 2, PCI DSS). Il ne certifie pas votre conformité mais documente votre état actuel par contrôle, avec les ressources non conformes et les recommandations de correction. Depuis mars 2026, ce tableau de bord peut être aligné sur les exigences du Référentiel Cyber France (ReCyF) publié par l'ANSSI.
Defender for Cloud fonctionne-t-il avec AWS ou Google Cloud ?
Oui. Defender for Cloud est multicloud natif. En connectant vos comptes AWS ou GCP via des connecteurs Azure Arc, vous obtenez le même Secure Score, les mêmes recommandations et les mêmes alertes sur ces environnements depuis l'interface Azure. C'est l'un des avantages de la plateforme sur les outils de sécurité cloud natifs à chaque provider.
Par où commencer pour une PME avec peu de ressources Azure ?
Le point de départ est d'activer Foundational CSPM (gratuit) et de traiter les premières recommandations, notamment celles classifiées "Critical" et "High". Cela prend quelques heures et améliore immédiatement la posture sans aucun coût. Ensuite, si vous avez des VMs, Defender for Servers Plan 1 est l'extension logique à environ 5 $ par serveur par mois.
Combien coûte réellement Defender for Cloud pour une PME standard ?
Pour une PME type avec 5 VMs, 2 bases de données SQL et quelques comptes de stockage sur Azure, une estimation indicative avec les plans Plan 1 pour les serveurs et Defender for SQL donnerait environ 100 à 150 € HT par mois (hors Foundational CSPM qui reste gratuit). Ce chiffre varie selon la région Azure, le taux de change et les conditions négociées avec le revendeur. Le calculateur Azure permet d'obtenir une estimation personnalisée avant d'activer les plans.
Ce que propose IT Systèmes sur Defender for Cloud
IT Systèmes est partenaire Microsoft et accompagne les PME et ETI dans le déploiement, la configuration et la supervision de leurs environnements Azure. Nos équipes activent et configurent Defender for Cloud adapté à votre parc de ressources, gèrent le triage des alertes et s'assurent que ce pour quoi vous payez est actif et correctement paramétré.
Nous intervenons pour les cabinets comptables, les cabinets d'avocats et les PME de tous secteurs avec des exigences de sécurité sur leur infrastructure cloud.



