Phylapp
Sécurité des objets connectés

Les objets connectés introduisent des risques souvent invisibles

Les objets connectés en entreprise créent des risques structurellement invisibles : shadow IoT, firmware vulnérables, protocoles non interprétables par les SIEM. La découverte réseau passive est la première étape pour rendre visible la surface d'attaque IoT réelle.

M
Mehdi SARIAK
24 mai 2026 7 min de lecture 19 lectures

Points clés

  • Les objets connectés déployés en entreprise — caméras IP, thermostats, imprimantes, badges NFC, capteurs industriels — créent des risques souvent non visibles par les outils de sécurité IT traditionnels.
  • L'invisibilité du risque IoT tient à trois facteurs : absence de l'inventaire IT, protocoles non interprétables par les SIEM classiques, et comportements communicants discrets difficiles à distinguer du trafic légitime.
  • Les firmware embarqués des objets connectés contiennent fréquemment des vulnérabilités non corrigées — systèmes d'exploitation anciens, bibliothèques non maintenues, credentials par défaut non modifiés.
  • Le risque IoT est amplifié par l'effet de masse : des milliers d'équipements déployés dans une organisation représentent autant de points d'entrée potentiels, chacun exploitable individuellement ou en coordination (botnet).
Cas US Casino (2017, Las Vegas) — Un casino américain a été compromis via son aquarium connecté. Le thermostat de l'aquarium, accessible depuis Internet, a servi de point d'entrée pour accéder au réseau interne et exfiltrer la base de données des clients VIP. L'équipement n'était pas dans l'inventaire IT et n'était surveillé par aucun outil de sécurité.

L'invisibilité structurelle des objets connectés dans les organisations

La plupart des objets connectés déployés en entreprise ne passent pas par la DSI. Ils sont achetés par les services généraux (caméras, contrôle d'accès), les équipes métiers (capteurs de production, outils de mesure), les responsables de sites (systèmes de climatisation, compteurs intelligents), ou les utilisateurs directement (assistants vocaux, hubs domotiques). Ce phénomène de shadow IoT — analogique du shadow IT — place ces équipements hors du périmètre des processus de qualification sécuritaire, hors des inventaires réseau, et hors de la surveillance des outils de sécurité. Un RSSI ayant une vision complète de ses serveurs et postes de travail peut ignorer que son réseau héberge des centaines d'équipements IoT non répertoriés.

Les vulnérabilités structurelles des firmwares IoT

Les objets connectés grand public et semi-industriels sont historiquement conçus pour optimiser le coût et la fonctionnalité, avec la sécurité en considération secondaire. Les audits de sécurité révèlent systématiquement les mêmes vulnérabilités : credentials administrateur par défaut non modifiés, interfaces web d'administration exposées sans authentification, protocoles de communication non chiffrés (HTTP, Telnet, MQTT sans TLS), composants open source avec des vulnérabilités connues non corrigées depuis des années, absence de mécanisme de mise à jour sécurisée. Ces vulnérabilités sont documentées dans des bases comme Shodan, qui indexe des millions d'équipements IoT accessibles depuis Internet, souvent sans que leurs propriétaires en soient conscients.

Les protocoles IoT comme angle mort des SIEM

Les SIEM et outils de détection traditionnels sont conçus pour analyser des protocoles réseau standards — TCP/IP, HTTP, DNS, SMB. Les objets connectés communiquent via des protocoles spécifiques — MQTT, CoAP, Zigbee, Z-Wave, LoRaWAN, Modbus, BACnet — que la plupart des outils de sécurité généralistes ne savent pas interpréter. Un flux MQTT anormal transportant des données exfiltrées peut traverser un SIEM sans générer d'alerte, faute de règles de corrélation adaptées. Cette incompatibilité entre les outils de sécurité existants et les protocoles IoT crée un angle mort structurel dans la capacité de détection des organisations n'ayant pas spécifiquement adressé cette problématique.

Cas EU Deutsche Telekom (2016) — Le botnet Mirai a compromis 900 000 routeurs Deutsche Telekom via une vulnérabilité dans le protocole TR-064, causant des interruptions de service massives pour les abonnés. Cet incident illustre l'effet de masse : des millions d'équipements avec la même vulnérabilité deviennent une arme coordonnée sans que leurs propriétaires en soient conscients.

L'effet de masse : du risque individuel au risque systémique

Pris individuellement, un thermostat connecté ou une caméra IP semble représenter un risque limité. L'effet de masse change radicalement cette équation. Des milliers d'équipements IoT avec les mêmes vulnérabilités dans une même organisation constituent une surface d'attaque massive et homogène. Coordonnés en botnet, ils peuvent générer des attaques par déni de service depuis l'intérieur même du réseau d'entreprise. Utilisés comme pivots, ils permettent d'accéder à des segments réseau autrement inaccessibles. Exploités silencieusement, ils peuvent exfiltrer des données sur de longues périodes sans déclencher d'alertes. Mirai (2016) a démontré que des millions d'équipements IoT grand public pouvaient être coordonnés pour générer l'attaque DDoS la plus puissante jamais enregistrée à l'époque.

Rendre visible l'invisible : les premières mesures

La première étape pour gérer les risques IoT est de les rendre visibles. La découverte réseau passive — analyse du trafic réseau pour identifier les équipements communicants et leurs protocoles — permet de cartographier le parc IoT réel sans interrompre les opérations. Des outils spécialisés comme Armis, Forescout, ou Claroty (pour les environnements industriels) maintiennent un inventaire dynamique des équipements connectés, classifient leurs types et risques associés, et alertent sur les comportements anormaux. Cette visibilité est la précondition de toute mesure de sécurisation : on ne peut pas protéger ce qu'on ne voit pas, et on ne peut pas détecter une anomalie sur un équipement qu'on ne sait pas qu'il existe.

Cas Asie Samsung SmartThings (2018) — Des chercheurs en sécurité ont démontré des vulnérabilités dans la plateforme SmartThings permettant de prendre le contrôle de serrures connectées, alarmes et capteurs à distance. Ce cas illustre que les objets connectés dans un environnement professionnel — salles de réunion, accès physiques, espaces de travail — peuvent exposer des actifs physiques critiques via une compromission numérique.

Articles similaires

Pourquoi l’IoT élargit fortement la surface d’attaque des organisations

Chaque objet connecté élargit la surface d'attaque selon trois dimensions : le dispositif, ses communications, et la plateforme cloud fabricant. La surface s'accumule sans se rétrécir — gérer le cycle de vie IoT est indispensable.

24 mai 2026 7 min

Les erreurs fréquentes dans l’intégration des équipements connectés

Les erreurs d'intégration IoT sont d'abord organisationnelles : acquisition sans qualification, credentials par défaut non modifiés, réseau non segmenté, firmware jamais mis à jour, documentation inexistante. Des processus standards corrigent ces lacunes structurelles.

24 mai 2026 7 min

Les signaux d’un environnement IoT insuffisamment maîtrisé

Un environnement IoT sous-maîtrisé émet des signaux détectables : équipements inconnus sur le réseau, flux vers des destinations non documentées, comportements anormaux. La surveillance active et l'interprétation correcte de ces signaux conditionne la détection précoce.

24 mai 2026 7 min
WhatsApp