Phylapp
Sécurité des objets connectés

De l’innovation technologique à la gestion des risques

Innovation IoT et gestion des risques sont complémentaires, pas opposées. Intégrer des critères sécuritaires dans l'évaluation des innovations, exploiter les pilotes pour l'analyse sécuritaire, et construire une culture de l'innovation sécurisée transforme le RSSI en enabler.

M
Mehdi SARIAK
24 mai 2026 7 min de lecture 17 lectures

Points clés

  • L'innovation IoT et la gestion des risques associée ne sont pas des impératifs contradictoires mais complémentaires : une organisation capable de gérer les risques IoT peut adopter les innovations plus rapidement et plus durablement que celles qui les ignorent.
  • Le temps de mise sur le marché des innovations IoT est structurellement court, laissant peu d'espace pour une qualification sécuritaire complète — intégrer la sécurité dans les processus d'évaluation des innovations est plus efficace que de l'ajouter après déploiement.
  • Les phases pilotes sont le moment optimal pour tester à la fois la valeur fonctionnelle et le profil sécuritaire d'une innovation IoT — avant un déploiement à grande échelle qui multiplierait également les risques.
  • La direction générale doit comprendre que le choix n'est pas entre "innover" et "sécuriser" mais entre "innover en maîtrisant les risques" et "innover en créant des vulnérabilités qu'on découvrira lors d'un incident".
Cas US Uber (2016) — La culture de croissance agressive d'Uber ("move fast and break things") a conduit à des pratiques de sécurité insuffisantes qui ont abouti à la dissimulation d'une violation de données touchant 57 millions d'utilisateurs. Le PDG a payé 148 M$ et l'ex-RSSI a été poursuivi pénalement. L'innovation sans gestion des risques intégrée génère des coûts qui finissent par dépasser les bénéfices de la vélocité initiale.

L'innovation IoT comme moteur de valeur — et de risques

Les innovations IoT — objets connectés industriels, bâtiments intelligents, jumeaux numériques, capteurs distribués — génèrent une valeur opérationnelle et économique réelle : efficacité énergétique, optimisation des processus, maintenance prédictive, amélioration de l'expérience client. Cette valeur justifie les investissements et explique l'adoption rapide par les organisations. Mais chaque innovation IoT introduit simultanément une nouvelle surface d'attaque, de nouvelles dépendances, et de nouveaux profils de risque que l'organisation doit apprendre à gérer. La question n'est pas de freiner l'innovation mais de s'assurer que les processus de gestion des risques évoluent au même rythme que les déploiements technologiques.

Intégrer la sécurité dans l'évaluation des innovations IoT

La méthode la plus efficace pour gérer les risques associés aux innovations IoT est de les intégrer dans le processus d'évaluation dès le début, pas après le déploiement. Cette intégration ajoute des critères sécuritaires dans la grille d'évaluation des innovations : le constructeur dispose-t-il d'un programme de divulgation des vulnérabilités ? Quelle est la durée de support logiciel ? Les données collectées peuvent-elles être hébergées en Europe ? Les protocoles de communication utilisent-ils des standards de sécurité reconnus ? L'équipement peut-il fonctionner sans connectivité cloud permanente si nécessaire ? Ces questions, posées lors de la phase d'évaluation, permettent d'écarter les innovations qui créeraient des risques non maîtrisables ou d'adapter les conditions de déploiement pour les innovations acceptables.

Les phases pilotes comme terrain d'évaluation sécuritaire

Les phases pilotes IoT — déploiement limité à quelques équipements ou un site pour évaluer la valeur fonctionnelle avant déploiement généralisé — sont également l'opportunité optimale pour évaluer le profil sécuritaire d'une innovation. Pendant le pilote, une analyse réseau de la communication de l'équipement (vers quelles destinations, quels protocoles, quels volumes) révèle des comportements non documentés par le constructeur. Un test d'intrusion ciblé identifie les vulnérabilités exploitables avant qu'elles soient multipliées par l'échelle du déploiement. Un test de la procédure de mise à jour firmware valide la robustesse du processus de correction. Ces évaluations sécuritaires pendant le pilote permettent de déployer à grande échelle en connaissance de cause, avec les mesures compensatoires définies.

Cas EU Deutsche Bank (pratiques) — Deutsche Bank a développé un processus de qualification technologique qui intègre des critères de risque opérationnel et de cybersécurité dans l'évaluation de toute nouvelle technologie avant adoption. Cette approche — évaluer simultanément valeur et risque — permet d'adopter les innovations qui créent réellement de la valeur nette (bénéfices fonctionnels supérieurs aux coûts de risque) et d'écarter celles dont le profil de risque est disproportionné.

Construire une culture de l'innovation sécurisée

La gestion des risques IoT ne doit pas être perçue par les équipes business comme un frein à l'innovation mais comme un enabler permettant d'adopter les innovations de manière durable. Cette perception se construit par des comportements concrets : le RSSI qui participe aux évaluations d'innovations dès le début, qui propose des architectures de déploiement sécurisées plutôt que des refus, qui forme les équipes métiers plutôt que de les contraindre, qui mesure et communique les succès des déploiements IoT sécurisés. Une organisation où le RSSI est perçu comme partenaire de l'innovation plutôt que comme obstacle développe naturellement une culture où la sécurité est intégrée dans les projets dès leur conception.

Le rôle de la direction générale dans l'équilibre innovation-risque

L'équilibre entre innovation IoT et gestion des risques ne peut être trouvé qu'avec un arbitrage au niveau de la direction générale. Le RSSI seul ne peut pas imposer des contraintes sécuritaires à des projets d'innovation portés par des directeurs métiers dont le support hiérarchique est plus élevé. La direction générale doit formaliser sa position : l'innovation IoT est encouragée dans le cadre d'un processus de qualification défini et non hors de ce cadre. Cette position, exprimée clairement et appliquée systématiquement, envoie un signal cohérent à toute l'organisation et donne au RSSI la légitimité nécessaire pour faire respecter les processus de qualification sans bloquer l'innovation.

Cas Asie Samsung (innovation sécurisée) — Samsung a développé des processus de "security-by-design" pour ses gammes IoT, intégrant des évaluations de sécurité dans chaque cycle de développement produit. Cette approche, qui applique en interne les principes du Cyber Resilience Act avant même son entrée en vigueur, illustre que les organisations les plus innovantes sont aussi celles qui intègrent la sécurité le plus tôt dans leurs processus d'innovation.

Articles similaires

Les objets connectés introduisent des risques souvent invisibles

Les objets connectés en entreprise créent des risques structurellement invisibles : shadow IoT, firmware vulnérables, protocoles non interprétables par les SIEM. La découverte réseau passive est la première étape pour rendre visible la surface d'attaque IoT réelle.

24 mai 2026 7 min

Pourquoi l’IoT élargit fortement la surface d’attaque des organisations

Chaque objet connecté élargit la surface d'attaque selon trois dimensions : le dispositif, ses communications, et la plateforme cloud fabricant. La surface s'accumule sans se rétrécir — gérer le cycle de vie IoT est indispensable.

24 mai 2026 7 min

Les erreurs fréquentes dans l’intégration des équipements connectés

Les erreurs d'intégration IoT sont d'abord organisationnelles : acquisition sans qualification, credentials par défaut non modifiés, réseau non segmenté, firmware jamais mis à jour, documentation inexistante. Des processus standards corrigent ces lacunes structurelles.

24 mai 2026 7 min
WhatsApp