Toute la sécurité endpoint moderne repose sur un prérequis rarement questionné : un agent installé sur chaque machine. Or, selon les données consolidées par Promisec, 20 à 50 % des actifs d'une entreprise sont non gérés — donc invisibles pour ces outils. La supervision sans agent inverse la logique : au lieu d'attendre que les machines se signalent, elle va les interroger. Mode d'emploi.
// 01
Le problème avec les agents
Un EDR, un antivirus, un outil d'inventaire classique fonctionnent tous sur le même modèle : un petit logiciel — l'agent — installé sur chaque poste, qui remonte des informations vers une console centrale. Le modèle est efficace… sur les machines où l'agent est installé, à jour et fonctionnel.
Le problème est circulaire : pour installer un agent sur une machine, il faut d'abord savoir qu'elle existe. Or les machines à risque sont précisément celles que personne ne connaît — le serveur de test monté pour un projet et jamais décommissionné, le poste hors domaine du prestataire, le NAS branché par un service métier, l'automate industriel piloté par une version de Windows en fin de support, le smartphone personnel connecté au Wi-Fi interne.
Les ordres de grandeur mesurés par Promisec sur les parcs où sa plateforme est déployée donnent la mesure du phénomène :
Mettez ces chiffres côte à côte et le risque devient concret : d'après le Baromètre CESIN 2026, l'exploitation de failles représente 41 % des vecteurs d'attaque constatés par les entreprises françaises. Une faille non corrigée sur une machine que vous ne voyez pas, c'est une porte d'entrée que personne ne surveille — ni vous, ni votre EDR, ni votre outil de patch management.
// 02
Comment fonctionne une supervision sans agent
La supervision sans agent — agentless — inverse le sens de la communication. Au lieu d'un logiciel installé sur chaque machine qui « rapporte » à la console, c'est un serveur central qui interroge les machines à distance, en utilisant les protocoles d'administration déjà présents nativement dans les systèmes d'exploitation et les équipements réseau.
C'est exactement le principe de Promisec PEM (Endpoint Manager) : la plateforme opère depuis le réseau, scanne en continu les plages d'adresses qu'on lui confie, et interroge chaque équipement découvert avec le protocole adapté. Trois familles de protocoles couvrent l'essentiel du parc :
Windows Management Instrumentation, présent nativement dans toutes les versions de Windows — y compris celles en fin de support. Permet de lire à distance logiciels installés, correctifs, services, processus, clés de registre et configuration matérielle.
Le serveur exécute des commandes de lecture à distance sur les machines Linux et macOS : paquets installés, version du noyau, comptes locaux, configurations sensibles. Aucun binaire à déployer sur les hôtes.
Pour tout ce qui ne fait pas tourner d'OS classique : switches, imprimantes, caméras, automates, capteurs industriels. Là où aucun agent ne pourra jamais être installé, SNMP remonte l'identité et l'état de l'équipement.
Côté prérequis, l'installation tient en peu de choses : un serveur (ou une machine virtuelle) pour héberger la console, un compte d'administration existant pour l'interrogation à distance, et les flux réseau ouverts vers les segments à couvrir. Pas de déploiement poste par poste, pas de redémarrage, pas de paquet logiciel à maintenir sur les machines. C'est ce qui explique qu'un déploiement Promisec PEM se compte en heures là où un déploiement d'agents se compte en semaines.
Et les postes éteints, nomades, BYOD ?
C'est l'objection classique — et elle est traitée par la logique même de l'outil. La découverte est continue : chaque passage compare l'état du réseau à l'inventaire connu. Une machine éteinte au moment du scan reste dans l'inventaire avec son dernier état connu, et elle est réinterrogée dès qu'elle réapparaît sur le réseau. Le portable nomade qui revient au bureau, le poste ressorti d'un placard, l'équipement BYOD qui se connecte au Wi-Fi : tous sont détectés à leur première apparition et analysés dans la foulée — sans qu'aucun logiciel n'ait été installé dessus.
Résumons la différence d'approche :
| Avec agent (modèle classique) | Sans agent (Promisec PEM) | |
|---|---|---|
| Prérequis | Un logiciel installé sur chaque machine | Un serveur central + protocoles natifs (WMI, SSH, SNMP) |
| Périmètre vu | Les machines où l'agent est déployé et fonctionnel | Tout ce qui est présent sur le réseau, connu ou non |
| OS en fin de support | Rarement supportés par les agents récents | Interrogés comme les autres via les protocoles natifs |
| OT/IoT, imprimantes | Pas d'agent possible : invisibles | Couverts via SNMP |
| Déploiement | Poste par poste, sur des semaines | En quelques heures, sans toucher aux postes |
| Maintenance | Mises à jour d'agents à suivre en permanence | Aucune sur les endpoints |
// 03
Ce que votre EDR ne voit pas
Précision importante : la supervision sans agent ne remplace pas votre EDR. La détection comportementale en temps réel sur le poste reste le travail de l'agent EDR. L'agentless voit ce que l'EDR, par construction, ne peut pas voir — à commencer par ses propres trous de couverture.
- Les machines jamais enrôlées. Un EDR ne protège que là où son agent tourne. Les endpoints sans aucun outil de sécurité — 10 à 30 % du parc selon Promisec — n'apparaissent tout simplement dans aucune console.
- Les agents cassés ou désactivés. Service arrêté, exclusion trop large, version périmée qui ne remonte plus rien : une machine qui disparaît d'une console ne déclenche, par définition, aucune alerte dans cette console. Il faut un regard extérieur pour s'en apercevoir.
- Les OS que l'agent ne supporte pas. La version de Windows en fin de support qui fait tourner une application métier ou une machine de production : l'éditeur EDR n'a pas d'agent pour elle, l'agentless l'interroge quand même via WMI.
- Tout ce qui n'est pas un poste de travail. Imprimantes, caméras, automates, capteurs, équipements OT/IoT, terminaux BYOD : aucun agent possible, mais une présence bien réelle sur le réseau — et une surface d'attaque bien réelle aussi.
// 04
Les 3 étapes : découvrir, analyser, corriger
Promisec PEM structure la supervision sans agent en trois temps, qui s'enchaînent dans la même console :
Toutes les machines, tous les OS, avec ou sans agent. Promisec voit l'intégralité du parc depuis le réseau — y compris les postes éteints au moment du scan, les BYOD et les équipements OT/IoT. Hardware, software, patches, drivers.
Score par poste et par groupe, détection des vulnérabilités, identification des non-conformités. Une vision précise de votre risque réel, sans approximation ni déclaratif.
GPO distribuées, blacklist d'applications, de processus et de services. Correction immédiate depuis la console, sans intervention manuelle sur le poste.
La force du modèle tient à cet enchaînement : la machine découverte à l'étape une est évaluée à l'étape deux et corrigée à l'étape trois — dans le même outil, sans réinstallation, sans transfert de données entre consoles. La boucle se referme là où, avec des outils séparés, chaque étape rouvre un chantier.
// 05
3 cas d'usage types
Sur le terrain, la supervision sans agent sert d'abord trois besoins récurrents. Les scénarios ci-dessous sont volontairement génériques : ce sont les situations que l'on retrouve, à quelques variantes près, dans la plupart des organisations.
L'inventaire complet — retrouver les machines que personne ne connaît
Situation type : la DSI pense connaître son parc via l'annuaire Active Directory et l'outil d'inventaire maison. Le premier scan agentless raconte une autre histoire : machines hors domaine, serveurs oubliés, équipements OT jamais répertoriés, BYOD connectés au Wi-Fi interne.
Ce n'est pas un accident, c'est mécanique : quand 20 à 50 % des actifs sont non gérés, le premier passage révèle systématiquement des surprises. Le livrable, lui, est durable :
- un inventaire exhaustif — hardware, software, OS, correctifs — mis à jour en continu ;
- une alerte sur toute nouvelle machine qui apparaît sur le réseau ;
- une base fiable pour dimensionner licences, EDR et plan de patching sur le parc réel, pas sur le parc supposé.
La conformité — prouver, pas déclarer
Situation type : un audit ISO 27001, une échéance NIS 2, un questionnaire d'assureur cyber. Il faut démontrer que les politiques internes sont appliquées : antivirus actif partout, chiffrement des disques, versions logicielles autorisées, correctifs déployés.
Le problème : selon Promisec, 10 à 50 % des endpoints ne respectent pas les politiques internes de leur organisation. Et tant que la vérification repose sur du déclaratif ou sur les consoles des outils eux-mêmes, l'écart reste invisible. La supervision sans agent vérifie chaque machine de l'extérieur et produit des tableaux de bord de conformité prêts pour l'auditeur — y compris pour les machines qui échappent aux outils standards. C'est le prolongement naturel d'un audit des postes de travail : le contrôle ponctuel devient un contrôle continu.
La remédiation 1-clic — corriger sans se déplacer
Situation type : l'analyse remonte un logiciel interdit installé sur une partie du parc, un service indésirable qui tourne, une GPO qui n'est pas appliquée sur les machines hors domaine. Détecter, c'est bien ; le but, c'est de corriger.
Depuis la console Promisec, l'équipe distribue une GPO, met en blacklist une application, un processus ou un service, et applique la correction immédiatement — sans prise en main à distance, sans script à pousser poste par poste, sans déplacement physique. Pour une équipe IT réduite, c'est la différence entre une campagne de remédiation qui prend une après-midi et une qui s'étale sur des semaines.
Promisec PEM est déployé chez plus de 1 000 entreprises dans le monde, sur des parcs Windows, Linux, macOS et OT/IoT. En France, Kipsafe en est le partenaire exclusif : installation, configuration, exploitation et formation de vos équipes, avec un interlocuteur francophone unique. Le détail de la plateforme est sur notre page Promisec PEM.
Ce qu'il faut retenir
La supervision sans agent ne relève pas de la magie : elle exploite des protocoles d'administration (WMI, SSH, SNMP) qui existent déjà dans votre infrastructure, depuis un serveur central, sans rien installer sur les machines. Ce déplacement du point de vue change trois choses très concrètes : l'inventaire devient exhaustif (y compris ce que l'AD et l'EDR ne voient pas), la conformité devient démontrable machine par machine, et la correction se pilote depuis la console plutôt que poste par poste.
À l'heure où l'exploitation de failles représente 41 % des vecteurs d'attaque (Baromètre CESIN 2026), réduire les angles morts du parc n'est plus un confort d'inventaire — c'est une mesure de sécurité à part entière.
