Est-ce que Windows Defender est suffisant ? L’avis de AV-Comparatives

Adapté et traduit d’un commentaire publié par Thomas Uhlemann, Cybersecurity Evangelist chez AV-Comparatives (article original, 26 mai 2026)

Le 13 janvier 2026, Microsoft publiait sur son Windows Learning Center un article intitulé « Trusted antivirus protection for PCs ». Le message central : Windows 11 embarque déjà une protection en temps réel solide grâce à Microsoft Defender Antivirus, sans abonnement ni installation supplémentaire, et pour beaucoup d’utilisateurs, ce niveau de protection serait largement suffisant. Microsoft précisait tout de même que les outils tiers apportent des fonctionnalités additionnelles, comme la surveillance d’identité ou des VPN intégrés.

Une version plus tranchée du même message était parue en avril sur le même site, reprise médiatiquement sous des titres suggérant que Windows 11 n’avait plus vraiment besoin d’un antivirus tiers. Cet article d’avril semble avoir été retiré depuis, ce qu’AV-Comparatives considère comme une évolution constructive. Le texte actuel du Learning Center est nettement plus nuancé : il présente Defender comme une base solide, reconnaît que les solutions tierces apportent des capacités qui vont au-delà de l’essentiel, et ne prétend plus que Defender suffit dans tous les cas de figure.

Cet article n’est pas une réponse polémique à Microsoft. Defender s’est considérablement amélioré au cours de la dernière décennie, et les systèmes Windows actuels sont, par défaut, bien mieux protégés que les générations précédentes. L’objectif ici est plutôt de replacer le débat sur la protection intégrée dans un contexte technique et opérationnel plus large, en s’appuyant sur les données de tests publiques d’AV-Comparatives ainsi que sur des évolutions observées dans l’ensemble de l’industrie, Microsoft y compris.

Ce que montrent les tests indépendants

AV-Comparatives teste Microsoft Defender depuis 2007 dans le cadre de sa série de tests grand public (Consumer Main Test Series). Les résultats dessinent le portrait d’un produit devenu une solution de sécurité crédible et mature. Ils révèlent aussi des écarts mesurables avec d’autres produits sur certains points précis — ce qui est justement la raison d’être des tests indépendants.

Test de protection contre les malwares, mars 2026

Sur un échantillon de 10 000 spécimens, Defender a obtenu un taux de protection en ligne élevé, dans le groupe de tête des produits testés. Le point le plus intéressant n’est cependant pas ce taux global, mais l’écart entre la détection en ligne et la détection hors ligne : Defender atteint 89,2 % en hors ligne, contre 98,6 % pour plusieurs autres produits testés.

Cet écart reflète un choix de conception plus qu’un défaut. Defender s’appuie fortement sur l’intelligence cloud et les systèmes de réputation en ligne, ce qui explique en grande partie les progrès réalisés ces dernières années. Dans un environnement disposant d’une connexion cloud stable, cela fonctionne très bien. Mais dès que cette connectivité devient indisponible, restreinte ou volontairement limitée — portails captifs, réseaux d’entreprise segmentés, déplacements, configurations soucieuses de la vie privée — le niveau de protection réel dépend davantage de ce que chaque produit est capable de faire localement, sans le cloud.

Test de performance, avril 2026

Dans le test de performance le plus récent, Defender se classe dans la moyenne du peloton, avec la mention « ADVANCED ».

Un point mérite d’être souligné : cette comparaison se fait à armes égales. Les produits tiers testés aux côtés de Defender ne fonctionnent pas avec un accès réduit à la plateforme Windows. Microsoft fournit lui-même aux éditeurs qualifiés, via le programme Microsoft Virus Initiative (MVI), des points d’intégration profonds : pilotes Early Launch Antimalware (ELAM), durcissement des services via Protected Process Light (PPL), et d’autres capacités similaires. La documentation Microsoft Learn décrit d’ailleurs ELAM comme un mécanisme officiellement pris en charge permettant à un logiciel antimalware de démarrer avant les autres composants tiers.

Le programme MVI liste également les laboratoires de tests indépendants dont la certification est exigée pour qu’un éditeur reste membre. AV-Comparatives fait partie de ces laboratoires officiellement reconnus : la certification « Approved » de son Real-World Protection Test est explicitement citée dans les critères MVI de Microsoft. Autrement dit, chaque produit membre du MVI présent dans les rapports d’AV-Comparatives tourne sur la même plateforme Windows que Defender, avec le même niveau d’intégration profonde disponible, et est certifié indépendamment selon un standard que Microsoft lui-même juge pertinent.

Intégration à l’écosystème et périmètre de protection

La pile de sécurité de Microsoft est, sans surprise, la plus étroitement intégrée aux propres applications de Microsoft. SmartScreen, le moteur derrière la réputation des URL et la protection anti-phishing de Defender, fonctionne de manière fiable et bénéficie d’une télémétrie large au sein de Microsoft Edge et des clients Mail/Outlook intégrés. Pour un utilisateur vivant essentiellement dans l’écosystème Microsoft, l’expérience est fluide et cohérente.

Le périmètre se réduit en dehors de cet environnement. Le filtrage d’URL de SmartScreen dépend de la capacité du navigateur à transmettre les URL au système d’exploitation pour évaluation, et repose aussi sur des requêtes de réputation dans le cloud que certains utilisateurs ou organisations restreignent pour des raisons de confidentialité ou de conformité réglementaire. En pratique, un utilisateur naviguant principalement avec Chrome, Firefox, Brave ou Vivaldi, utilisant Thunderbird comme client mail, ou consultant sa messagerie web via un navigateur tiers, verra très probablement une couverture anti-phishing et anti-URL différente de celle d’un utilisateur travaillant exclusivement dans Edge et Outlook, télémétrie activée.

Les suites de sécurité tierces répondent généralement à cela avec des filtres d’URL indépendants du navigateur, des moteurs anti-phishing dédiés et des modules d’analyse de messagerie fonctionnant sur plusieurs environnements à la fois. Aucune des deux approches n’est intrinsèquement meilleure : elles reflètent simplement deux philosophies différentes — intégration étroite à l’écosystème d’un côté, couverture large et indépendante des applications de l’autre. Le choix pertinent dépend de la façon dont chaque utilisateur ou organisation travaille réellement.

Les vulnérabilités touchent tous les logiciels de sécurité

Comme tout composant largement déployé, les logiciels de sécurité font eux-mêmes, de temps à autre, l’objet de failles rendues publiques. Defender n’échappe pas à la règle. En mai 2026, plusieurs vulnérabilités de Defender ont été ajoutées au catalogue « Known Exploited Vulnerabilities » de la CISA, puis corrigées via le canal de mise à jour habituel de Defender. Des situations comparables ont été rapportées au fil des années sur des produits tiers également.

Ce constat n’a pas pour but de pointer du doigt un produit en particulier, mais illustre un argument plus large en faveur de la défense en couches (« layered defense »). Aucune couche de protection n’est parfaite — ni les systèmes d’exploitation, ni les navigateurs, ni les services cloud, ni la protection intégrée, ni les logiciels de sécurité tiers. C’est l’une des raisons pour lesquelles de nombreuses organisations continuent de privilégier des mécanismes de protection qui se chevauchent, plutôt que de s’appuyer sur une seule couche de défense.

IA, recherche de vulnérabilités et diversité défensive

Le paysage de la cybersécurité évolue rapidement, et Microsoft compte parmi les voix qui le soulignent.

Le 7 avril 2026, Anthropic a annoncé Claude Mythos Preview, un modèle d’IA de pointe qui, dans les semaines précédant l’annonce, avait identifié de manière autonome des milliers de vulnérabilités zero-day sur des systèmes d’exploitation et navigateurs majeurs. Ce modèle est désormais mobilisé pour renforcer des logiciels critiques dans le cadre du Project Glasswing, une initiative transverse à l’industrie dont les partenaires fondateurs incluent AWS, Apple, Cisco, CrowdStrike, Google, JPMorganChase, la Linux Foundation, NVIDIA, Palo Alto Networks et Microsoft. Dans les documents officiels de Glasswing, Igor Tsyganskiy, vice-président exécutif Cybersécurité et Microsoft Research chez Microsoft, observe que l’industrie entre dans une phase où la cybersécurité n’est plus limitée par la seule capacité humaine, et que l’accès anticipé à Mythos Preview permet à Microsoft d’identifier et de limiter les risques en amont.

Autre donnée qui va dans le même sens : en octobre 2025, le Threat Intelligence Group de Google a documenté le premier cas connu d’un exploit zero-day développé avec l’assistance d’une IA et « armé » en vue d’une campagne d’exploitation à grande échelle planifiée. Sur l’ensemble de l’année 2025, Google a recensé 90 zero-days exploités dans la nature, avec un délai moyen entre la divulgation et l’exploitation active désormais compté en jours plutôt qu’en semaines ou en mois.

C’est cet aspect qui, selon AV-Comparatives, mériterait davantage d’attention dans le débat grand public sur la protection informatique. L’intérêt stratégique de la diversité défensive est documenté depuis plus de vingt ans. En 2003 déjà, Dan Geer, Bruce Schneier, Rebecca Bace, Peter Gutmann et d’autres publiaient « CyberInsecurity: The Cost of Monopoly », qui soutenait qu’une monoculture logicielle autour d’un système d’exploitation dominant crée un risque systémique : quiconque met au point une attaque efficace contre cet environnement unique touche potentiellement tout le monde. La recommandation était déjà de diversifier les plateformes, les éditeurs et les approches de détection.

Pendant vingt ans, cet argument est resté largement théorique. Avec une recherche de vulnérabilités désormais opérable à l’échelle de l’IA, il ne l’est plus. Un écosystème de sécurité diversifié oblige les attaquants à faire face à plusieurs moteurs de détection indépendants, sources de télémétrie, équipes de recherche et philosophies de protection distinctes, plutôt qu’à un modèle de défense uniforme. La concurrence entre éditeurs a aussi historiquement stimulé l’innovation en matière de détection comportementale, de mitigation d’exploits, de moteurs anti-phishing et de partage de renseignement sur les menaces à l’échelle de l’industrie.

La diversité au niveau de la protection des postes de travail est l’un des rares domaines où utilisateurs individuels, responsables IT et organisations peuvent contribuer activement à la résilience globale du système, simplement par les produits qu’ils choisissent de déployer.

Ce que cela signifie concrètement pour les utilisateurs

Pour de nombreux particuliers ayant des usages simples, Microsoft Defender offre une base de protection solide dès l’installation. L’écart entre la protection intégrée à Windows et les solutions de sécurité tierces est aujourd’hui bien plus faible qu’il y a dix ans, et Microsoft peut légitimement s’en attribuer le mérite.

Cela étant, les tests indépendants continuent de révéler des différences mesurables entre produits : constance de la détection, protection hors ligne, impact sur les performances système, couverture anti-phishing en dehors de l’écosystème Microsoft, ainsi que des fonctionnalités plus poussées comme la surveillance d’identité, la protection bancaire ou la mitigation d’exploits. Savoir si la protection intégrée suffit, ou si une couche de sécurité supplémentaire apporte une réelle valeur ajoutée, dépend de plusieurs facteurs : profil de risque individuel, habitudes de navigation et de messagerie, niveau technique, exigences organisationnelles, préférences en matière de confidentialité et budget.

Plutôt que de poser le débat en termes de « Defender contre antivirus tiers », il est souvent plus utile de considérer la sécurité des postes de travail moderne comme un spectre d’approches de protection en couches, chacune avec ses propres compromis. La position à adopter sur ce spectre est une question d’adéquation avec ses besoins, pas une question de bien ou de mal.

Conclusion

Microsoft Defender est devenu une solution de protection des points de terminaison capable et crédible, et l’évolution du texte publié récemment sur le Learning Center de Microsoft va dans le bon sens. Ce niveau de protection intégrée n’était pas la norme il y a dix ans, et ce progrès profite à tout l’écosystème Windows.

Dans le même temps, les données des tests indépendants, l’évolution de l’industrie vers une recherche de vulnérabilités à l’échelle de l’IA, et l’argument de longue date en faveur de la diversité défensive suggèrent que la question la plus pertinente en 2026 n’est pas de savoir si Defender est « bon » ou « mauvais ». C’est plutôt de déterminer quelle combinaison de couches de sécurité, de choix d’écosystème et de modèles opérationnels correspond le mieux à l’environnement et au niveau de risque réels de chaque utilisateur.

AV-Comparatives continuera d’évaluer ces technologies de façon indépendante, avec des résultats publics conçus pour aider à des décisions éclairées dans l’ensemble de l’industrie, quel que soit l’éditeur.


Source : Thomas Uhlemann, Cybersecurity Evangelist chez AV-Comparatives — article original en anglais, publié le 26 mai 2026.