Toute la sécurité endpoint moderne repose sur un prérequis rarement questionné : un agent installé sur chaque machine. Or, selon les données consolidées par Promisec, 20 à 50 % des actifs d'une entreprise sont non gérés — donc invisibles pour ces outils. La supervision sans agent inverse la logique : au lieu d'attendre que les machines se signalent, elle va les interroger. Mode d'emploi.

// 01

Le problème avec les agents

Un EDR, un antivirus, un outil d'inventaire classique fonctionnent tous sur le même modèle : un petit logiciel — l'agent — installé sur chaque poste, qui remonte des informations vers une console centrale. Le modèle est efficace… sur les machines où l'agent est installé, à jour et fonctionnel.

Le problème est circulaire : pour installer un agent sur une machine, il faut d'abord savoir qu'elle existe. Or les machines à risque sont précisément celles que personne ne connaît — le serveur de test monté pour un projet et jamais décommissionné, le poste hors domaine du prestataire, le NAS branché par un service métier, l'automate industriel piloté par une version de Windows en fin de support, le smartphone personnel connecté au Wi-Fi interne.

Les ordres de grandeur mesurés par Promisec sur les parcs où sa plateforme est déployée donnent la mesure du phénomène :

20–50 %
des actifs d'une entreprise sont non gérés
Promisec, brochure PEM [1]
10–30 %
des endpoints n'ont aucun outil de sécurité
Promisec, brochure PEM [1]
41 %
des vecteurs d'attaque : l'exploitation de failles
Baromètre CESIN 2026 [2]

Mettez ces chiffres côte à côte et le risque devient concret : d'après le Baromètre CESIN 2026, l'exploitation de failles représente 41 % des vecteurs d'attaque constatés par les entreprises françaises. Une faille non corrigée sur une machine que vous ne voyez pas, c'est une porte d'entrée que personne ne surveille — ni vous, ni votre EDR, ni votre outil de patch management.

En une phrase : on ne protège pas ce qu'on ne voit pas. Tant que la carte du parc est incomplète, chaque investissement de sécurité s'applique à un périmètre partiel.

// 02

Comment fonctionne une supervision sans agent

La supervision sans agent — agentless — inverse le sens de la communication. Au lieu d'un logiciel installé sur chaque machine qui « rapporte » à la console, c'est un serveur central qui interroge les machines à distance, en utilisant les protocoles d'administration déjà présents nativement dans les systèmes d'exploitation et les équipements réseau.

C'est exactement le principe de Promisec PEM (Endpoint Manager) : la plateforme opère depuis le réseau, scanne en continu les plages d'adresses qu'on lui confie, et interroge chaque équipement découvert avec le protocole adapté. Trois familles de protocoles couvrent l'essentiel du parc :

WMI
Windows

Windows Management Instrumentation, présent nativement dans toutes les versions de Windows — y compris celles en fin de support. Permet de lire à distance logiciels installés, correctifs, services, processus, clés de registre et configuration matérielle.

SSH
Linux & macOS

Le serveur exécute des commandes de lecture à distance sur les machines Linux et macOS : paquets installés, version du noyau, comptes locaux, configurations sensibles. Aucun binaire à déployer sur les hôtes.

SNMP
Réseau & OT/IoT

Pour tout ce qui ne fait pas tourner d'OS classique : switches, imprimantes, caméras, automates, capteurs industriels. Là où aucun agent ne pourra jamais être installé, SNMP remonte l'identité et l'état de l'équipement.

Côté prérequis, l'installation tient en peu de choses : un serveur (ou une machine virtuelle) pour héberger la console, un compte d'administration existant pour l'interrogation à distance, et les flux réseau ouverts vers les segments à couvrir. Pas de déploiement poste par poste, pas de redémarrage, pas de paquet logiciel à maintenir sur les machines. C'est ce qui explique qu'un déploiement Promisec PEM se compte en heures là où un déploiement d'agents se compte en semaines.

Et les postes éteints, nomades, BYOD ?

C'est l'objection classique — et elle est traitée par la logique même de l'outil. La découverte est continue : chaque passage compare l'état du réseau à l'inventaire connu. Une machine éteinte au moment du scan reste dans l'inventaire avec son dernier état connu, et elle est réinterrogée dès qu'elle réapparaît sur le réseau. Le portable nomade qui revient au bureau, le poste ressorti d'un placard, l'équipement BYOD qui se connecte au Wi-Fi : tous sont détectés à leur première apparition et analysés dans la foulée — sans qu'aucun logiciel n'ait été installé dessus.

Résumons la différence d'approche :

Avec agent (modèle classique) Sans agent (Promisec PEM)
Prérequis Un logiciel installé sur chaque machine Un serveur central + protocoles natifs (WMI, SSH, SNMP)
Périmètre vu Les machines où l'agent est déployé et fonctionnel Tout ce qui est présent sur le réseau, connu ou non
OS en fin de support Rarement supportés par les agents récents Interrogés comme les autres via les protocoles natifs
OT/IoT, imprimantes Pas d'agent possible : invisibles Couverts via SNMP
Déploiement Poste par poste, sur des semaines En quelques heures, sans toucher aux postes
Maintenance Mises à jour d'agents à suivre en permanence Aucune sur les endpoints

// 03

Ce que votre EDR ne voit pas

Précision importante : la supervision sans agent ne remplace pas votre EDR. La détection comportementale en temps réel sur le poste reste le travail de l'agent EDR. L'agentless voit ce que l'EDR, par construction, ne peut pas voir — à commencer par ses propres trous de couverture.

  • Les machines jamais enrôlées. Un EDR ne protège que là où son agent tourne. Les endpoints sans aucun outil de sécurité — 10 à 30 % du parc selon Promisec — n'apparaissent tout simplement dans aucune console.
  • Les agents cassés ou désactivés. Service arrêté, exclusion trop large, version périmée qui ne remonte plus rien : une machine qui disparaît d'une console ne déclenche, par définition, aucune alerte dans cette console. Il faut un regard extérieur pour s'en apercevoir.
  • Les OS que l'agent ne supporte pas. La version de Windows en fin de support qui fait tourner une application métier ou une machine de production : l'éditeur EDR n'a pas d'agent pour elle, l'agentless l'interroge quand même via WMI.
  • Tout ce qui n'est pas un poste de travail. Imprimantes, caméras, automates, capteurs, équipements OT/IoT, terminaux BYOD : aucun agent possible, mais une présence bien réelle sur le réseau — et une surface d'attaque bien réelle aussi.
Le rôle méconnu de l'agentless : mesurer la couverture réelle de vos autres outils. C'est le seul moyen factuel de répondre à la question « notre EDR est-il vraiment installé partout ? » — machine par machine, preuve à l'appui, sans dépendre de la console de l'EDR lui-même.

// 04

Les 3 étapes : découvrir, analyser, corriger

Promisec PEM structure la supervision sans agent en trois temps, qui s'enchaînent dans la même console :

01 / Découvrir
Inventaire complet du parc

Toutes les machines, tous les OS, avec ou sans agent. Promisec voit l'intégralité du parc depuis le réseau — y compris les postes éteints au moment du scan, les BYOD et les équipements OT/IoT. Hardware, software, patches, drivers.

02 / Analyser
Posture de sécurité évaluée

Score par poste et par groupe, détection des vulnérabilités, identification des non-conformités. Une vision précise de votre risque réel, sans approximation ni déclaratif.

03 / Corriger
Remédiation en 1 clic

GPO distribuées, blacklist d'applications, de processus et de services. Correction immédiate depuis la console, sans intervention manuelle sur le poste.

La force du modèle tient à cet enchaînement : la machine découverte à l'étape une est évaluée à l'étape deux et corrigée à l'étape trois — dans le même outil, sans réinstallation, sans transfert de données entre consoles. La boucle se referme là où, avec des outils séparés, chaque étape rouvre un chantier.

// 05

3 cas d'usage types

Sur le terrain, la supervision sans agent sert d'abord trois besoins récurrents. Les scénarios ci-dessous sont volontairement génériques : ce sont les situations que l'on retrouve, à quelques variantes près, dans la plupart des organisations.

Cas d'usage 01

L'inventaire complet — retrouver les machines que personne ne connaît

Situation type : la DSI pense connaître son parc via l'annuaire Active Directory et l'outil d'inventaire maison. Le premier scan agentless raconte une autre histoire : machines hors domaine, serveurs oubliés, équipements OT jamais répertoriés, BYOD connectés au Wi-Fi interne.

Ce n'est pas un accident, c'est mécanique : quand 20 à 50 % des actifs sont non gérés, le premier passage révèle systématiquement des surprises. Le livrable, lui, est durable :

  • un inventaire exhaustif — hardware, software, OS, correctifs — mis à jour en continu ;
  • une alerte sur toute nouvelle machine qui apparaît sur le réseau ;
  • une base fiable pour dimensionner licences, EDR et plan de patching sur le parc réel, pas sur le parc supposé.
Cas d'usage 02

La conformité — prouver, pas déclarer

Situation type : un audit ISO 27001, une échéance NIS 2, un questionnaire d'assureur cyber. Il faut démontrer que les politiques internes sont appliquées : antivirus actif partout, chiffrement des disques, versions logicielles autorisées, correctifs déployés.

Le problème : selon Promisec, 10 à 50 % des endpoints ne respectent pas les politiques internes de leur organisation. Et tant que la vérification repose sur du déclaratif ou sur les consoles des outils eux-mêmes, l'écart reste invisible. La supervision sans agent vérifie chaque machine de l'extérieur et produit des tableaux de bord de conformité prêts pour l'auditeur — y compris pour les machines qui échappent aux outils standards. C'est le prolongement naturel d'un audit des postes de travail : le contrôle ponctuel devient un contrôle continu.

Cas d'usage 03

La remédiation 1-clic — corriger sans se déplacer

Situation type : l'analyse remonte un logiciel interdit installé sur une partie du parc, un service indésirable qui tourne, une GPO qui n'est pas appliquée sur les machines hors domaine. Détecter, c'est bien ; le but, c'est de corriger.

Depuis la console Promisec, l'équipe distribue une GPO, met en blacklist une application, un processus ou un service, et applique la correction immédiatement — sans prise en main à distance, sans script à pousser poste par poste, sans déplacement physique. Pour une équipe IT réduite, c'est la différence entre une campagne de remédiation qui prend une après-midi et une qui s'étale sur des semaines.

// Promisec PEM avec Kipsafe
Une plateforme éprouvée, un partenaire exclusif en France

Promisec PEM est déployé chez plus de 1 000 entreprises dans le monde, sur des parcs Windows, Linux, macOS et OT/IoT. En France, Kipsafe en est le partenaire exclusif : installation, configuration, exploitation et formation de vos équipes, avec un interlocuteur francophone unique. Le détail de la plateforme est sur notre page Promisec PEM.

Ce qu'il faut retenir

La supervision sans agent ne relève pas de la magie : elle exploite des protocoles d'administration (WMI, SSH, SNMP) qui existent déjà dans votre infrastructure, depuis un serveur central, sans rien installer sur les machines. Ce déplacement du point de vue change trois choses très concrètes : l'inventaire devient exhaustif (y compris ce que l'AD et l'EDR ne voient pas), la conformité devient démontrable machine par machine, et la correction se pilote depuis la console plutôt que poste par poste.

À l'heure où l'exploitation de failles représente 41 % des vecteurs d'attaque (Baromètre CESIN 2026), réduire les angles morts du parc n'est plus un confort d'inventaire — c'est une mesure de sécurité à part entière.