Introduction
Un antivirus installé mais désactivé est pire qu'une absence d'antivirus, car tout le monde suppose que l'appareil est protégé. Le moniteur Antivirus comble cette lacune. Il surveille l'état de protection de chaque appareil et émet une alerte en moins d'une minute si l'antivirus est désactivé, si les définitions deviennent obsolètes ou si la protection en temps réel est désactivée.
Aucune configuration n'est nécessaire. Ajoutez-le à une politique et il commence à surveiller.
Moniteur Antivirus
Le moniteur Antivirus lit l'état du Centre de sécurité Windows de l'appareil. Il n'est lié à aucun produit spécifique : il rapporte l'évaluation de l'état du Centre de sécurité pour l'antivirus enregistré, qu'il s'agisse de Microsoft Defender ou d'un produit tiers (SentinelOne, Bitdefender, Webroot, et autres). Ce que vous voyez dans l'alerte correspond à ce que vous verriez dans l'application Sécurité Windows sur l'appareil.
Le Centre de sécurité signale l'un des cinq états. Le moniteur émet une alerte pour tout état qui n'est pas Bon:
État | Alerte ? | Signification |
Bon | Non | L'antivirus est présent, activé et à jour |
Médiocre | Oui | L'antivirus est enregistré mais défaillant (désactivé ou définitions obsolètes) |
Non surveillé | Oui | Le Centre de sécurité ne surveille pas l'antivirus |
En veille | Oui | Les alertes antivirus sont mises en veille dans Sécurité Windows |
Inconnu | Oui | Aucun antivirus n'est enregistré auprès du Centre de sécurité, ou l'état n'a pas pu être déterminé |
Le contenu de l'alerte indique Antivirus status: <state>, ainsi l'alerte elle-même vous indique quel état l'a déclenchée.
🖥️ NOTE SUR LA PLATEFORME :
Windows : Postes de travail uniquement (Windows 10/11). Le Centre de sécurité n'existe pas sur Windows Server, donc le moniteur ne peut pas évaluer les serveurs. Il ne génèrera pas de fausse alerte «pas d'antivirus» sur un serveur ; il ne rapportera tout simplement pas d'état.
macOS : Non pris en charge.
Linux : Non pris en charge.
ℹ️ REMARQUE : Le moniteur reflète l'antivirus enregistré auprès du Centre de sécurité. Si un produit tiers fonctionne sans s'enregistrer (certains agents EDR d'entreprise font cela), l'état indique Inconnu et le moniteur émet une alerte, même si cet antivirus fonctionne techniquement. Enregistrez le produit auprès du Centre de sécurité ou excluez ces appareils de la politique.
Configuration du moniteur Antivirus
Ouvrez la politique de moniteur à laquelle vous souhaitez l'ajouter, puis cliquez sur + Ajouter un nouveau moniteur (ou ouvrez un moniteur Antivirus existant pour le modifier). Le panneau Modifier le moniteur le panneau s'ouvre à droite.
Nom et type
Saisissez un nom dans le Nom champ. Soyez précis. «Postes de travail - Santé AV» est plus lisible dans une liste d'alertes que «Moniteur Antivirus».
Définissez Type sur Antivirus. La liste déroulante l'indique Windows uniquement.
Gravité
Définissez Gravité selon la réponse attendue de votre équipe :
Information — priorité faible, à titre informatif
Avertissement — mérite attention mais pas urgent
Critique — nécessite une réponse rapide
Urgence — abandon de toutes les tâches en cours
💡 CONSEIL : Critique est une valeur par défaut sensée ici. Un appareil sans antivirus fonctionnel est une exposition active, pas un élément de maintenance.
Conditions de détection
Il n'y a ni seuil, ni durée de dépassement, ni condition à définir. L'agent vérifie l'état du Centre de sécurité environ une fois par minute et crée une alerte dès la première lecture qui n'est pas Bon (voir le tableau des états ci-dessus).
ℹ️ REMARQUE : L'état propre du Centre de sécurité peut légèrement décaler par rapport à la réalité. Si l'antivirus est désactivé ou si les définitions deviennent obsolètes, il peut s'écouler un moment avant que le Centre de sécurité le reflète et que le moniteur le détecte.
Résolution automatique
Résoudre automatiquement l'alerte lorsque les conditions sont rétablies ferme l'alerte automatiquement dès que le Centre de sécurité indique Bon à nouveau, par exemple après la mise à jour des définitions ou la réactivation de la protection en temps réel.
Laissez-le activé, sauf si vous souhaitez que chaque incident antivirus reste ouvert pour une révision manuelle.
Remédiation
Associez une ou plusieurs automatisations à exécuter lorsque ce moniteur se déclenche. Un schéma courant : réinstaller ou réparer l'agent antivirus, forcer une mise à jour des définitions ou réactiver la protection en temps réel via un script.
Cliquez dans le Remédiation champ et sélectionnez une automatisation.
Pour en ajouter d'autres, cliquez sur + Ajouter une autre remédiation.
Pour en supprimer une, cliquez sur × à côté.
Une fois associée, ouvrez l'automatisation depuis l'icône de lien pour affecter le contenu du moniteur à une variable d'automatisation si vous souhaitez transmettre le contexte de l'alerte dans la logique de l'automatisation.
💡 CONSEIL : Si un appareil ne doit légitimement pas exécuter votre antivirus standard (une machine de laboratoire, un environnement de test isolé), excluez-le des tags cibles de la politique plutôt que d'ignorer les alertes répétées.
Notifications
Sous Notifier les destinataires, deux cases à cocher contrôlent si les destinataires de la politique reçoivent un e-mail :
À la création de l'alerte — les destinataires reçoivent un e-mail lorsque l'alerte se déclenche
À la résolution de l'alerte — les destinataires reçoivent un e-mail lorsque l'alerte est résolue
Les destinataires sont gérés au niveau de la politique de moniteur, dans la Destinataires section.
FAQ
Qui peut créer et modifier des moniteurs ? Les techniciens ayant accès à la politique de moniteur concernée. Les paramètres de permissions sont gérés dans Espace de travail → Permissions.
Cela fonctionnera-t-il avec mon antivirus tiers, ou uniquement avec Defender ? Il fonctionne avec tout antivirus enregistré auprès du Centre de sécurité Windows, ce qui inclut la plupart des produits commerciaux. Il lit l'évaluation de l'état du Centre de sécurité, sans vérifier un produit spécifique.
Pourquoi ce moniteur ne se déclenche-t-il pas sur mon Windows Server ? Le Centre de sécurité n'existe pas sur Windows Server, donc le moniteur ne peut pas l'évaluer. Il s'applique uniquement aux postes de travail Windows. Il ne générera pas non plus de fausses alertes sur les serveurs.
Puis-je surveiller l'antivirus sur macOS ou Linux ? Pas avec ce moniteur. Pour les autres plateformes, utilisez un moniteur Exécuter un script qui vérifie directement l'état de votre agent antivirus.
Qu'est-ce qui déclenche exactement l'alerte ? Tout état du Centre de sécurité autre que Bon : Médiocre (désactivé ou définitions obsolètes), Non surveillé, En veille ou Inconnu. Le contenu de l'alerte vous indique lequel.
Mon EDR fonctionne mais le moniteur indique «État de l'antivirus : Inconnu». Pourquoi ? Le produit n'est pas enregistré auprès du Centre de sécurité, donc Windows ne peut pas en garantir le bon fonctionnement. Vérifiez si votre EDR dispose d'une option d'enregistrement auprès du Centre de sécurité, ou excluez ces appareils de la politique si vous êtes confiant dans votre couverture.
L'alerte s'est déclenchée mais l'antivirus semble correct sur l'appareil. Que se passe-t-il ? L'état du Centre de sécurité peut légèrement décaler après la mise à jour ou le redémarrage d'un produit antivirus. Si l'alerte ne se résout pas automatiquement en quelques minutes, ouvrez Sécurité Windows → Virus & la protection contre les menaces sur l'appareil pour voir ce que le Centre de sécurité rapporte réellement.