Phylapp
Sécurité des objets connectés

Pourquoi la sécurité est rarement intégrée dès l’installation des IoT

La sécurité est absente des installations IoT parce que les équipes non IT déploient sans processus sécuritaire, sous pression calendaire et sans formation. Le Cyber Resilience Act et les checklists de mise en service standardisées sont les réponses structurelles.

M
Mehdi SARIAK
24 mai 2026 7 min de lecture 15 lectures

Points clés

  • La sécurité est structurellement absente de l'installation des IoT parce que ce ne sont pas les équipes IT qui les déploient : les services généraux, les équipes métiers, et les prestataires externes installent des équipements sans processus de sécurisation défini.
  • Le concept de Secure-by-Default — équipements livrés avec des configurations sécurisées activées par défaut — progresse sous l'impulsion réglementaire (UK PSTI Act, Cyber Resilience Act européen) mais reste insuffisamment appliqué par les fabricants.
  • La pression calendaire et le manque de formation transforment chaque déploiement IoT en prise de risque acceptée implicitement : mettre l'équipement en service vite prime sur le sécuriser correctement.
  • L'absence de processus standardisé de mise en service sécurisée — checklist, responsable désigné, validation IT/RSSI — perpétue les vulnérabilités dès le déploiement initial.
Cas US Home Depot (2014) — La compromission des terminaux de point de vente ayant exposé 56 millions de cartes bancaires a débuté par des credentials volés à un fournisseur tiers. L'installation initiale des systèmes sans procédure de sécurisation stricte des accès tiers est directement analogue aux déploiements IoT effectués sans checklist de sécurisation.

Le problème de la responsabilité fragmentée

Dans la grande majorité des organisations, les objets connectés ne sont pas déployés par la DSI ou le RSSI. Les caméras de surveillance sont installées par le service sécurité physique ou un prestataire spécialisé. Les systèmes de contrôle d'accès sont gérés par les services généraux. Les capteurs industriels sont mis en service par les équipes de production avec le support du constructeur. Les systèmes de climatisation et de gestion technique des bâtiments sont sous la responsabilité du facility management. Chacun de ces acteurs a des objectifs fonctionnels précis — l'équipement doit fonctionner — mais aucun n'est naturellement responsable de la sécurité réseau de ce qu'il déploie. Cette fragmentation des responsabilités est la cause organisationnelle principale de l'absence de sécurité à l'installation.

La pression du calendrier contre la rigueur sécuritaire

Le déploiement d'équipements IoT s'inscrit souvent dans des projets avec des contraintes calendaires fortes : ouverture d'un nouveau site, mise en service d'une ligne de production, emménagement dans de nouveaux locaux. Dans ce contexte, la mise en service rapide de l'équipement est la priorité absolue. La configuration sécurisée — modification des credentials, désactivation des services non nécessaires, vérification des règles de firewall, documentation — représente un temps supplémentaire que les équipes pressées n'ont pas. La sécurité devient ainsi systématiquement la variable d'ajustement sacrifiée sur l'autel des délais. Seule l'existence d'un processus de mise en service standardisé — une checklist que tout prestataire doit compléter avant réception — permet de résister à cette pression.

Le manque de formation des équipes de déploiement

Les techniciens déployant des équipements IoT — installateurs de caméras, techniciens de maintenance industrielle, intégrateurs de systèmes domotiques — ont généralement une formation axée sur la fonctionnalité et l'installation physique, pas sur la sécurité réseau. Ils ne savent pas que les credentials par défaut représentent un risque. Ils n'ont pas été formés aux bonnes pratiques de configuration sécurisée. Ils ne savent pas quoi faire d'une CVE si on leur en soumet une. Cette lacune de formation est systémique et ne peut pas être corrigée par équipement à équipement : elle nécessite une formation standardisée pour tous les acteurs impliqués dans le déploiement IoT, couplée à des processus qui rendent incontournables les étapes de sécurisation.

Cas EU SNCF (WannaCry, 2017) — La propagation de WannaCry dans l'infrastructure SNCF a illustré l'impact des systèmes non patchés dans un environnement industriel. Le parallèle avec les déploiements IoT sans sécurisation initiale est direct : des équipements mis en service sans configuration sécurisée restent vulnérables pendant toute leur durée de vie si aucun processus de mise à niveau n'est déclenché.

Le Cyber Resilience Act et le Secure-by-Default

Le Cyber Resilience Act (CRA) européen, applicable progressivement depuis 2024, impose aux fabricants de produits connectés des exigences de sécurité précises, notamment la livraison de produits avec des configurations sécurisées activées par défaut (Secure-by-Default). Cette exigence réglementaire vise à déplacer la responsabilité de la sécurisation initiale du déployeur vers le fabricant : les équipements livrés sans credentials par défaut exploitables, avec les services non nécessaires désactivés, et avec un processus de mise à jour sécurisé, réduisent structurellement le risque lié aux déploiements réalisés sans expertise sécuritaire. À terme, cette réglementation devrait améliorer le niveau de sécurité de base des équipements IoT disponibles sur le marché européen.

Construire un processus de mise en service sécurisée

En attendant que le Secure-by-Default devienne la norme, les organisations doivent construire un processus de mise en service IoT sécurisée. Ce processus inclut une checklist de configuration obligatoire — modification des credentials, désactivation des services non utilisés, activation du chiffrement des communications, vérification de la version firmware et mise à jour si disponible, documentation de la configuration dans l'inventaire IT. Ce processus doit être imposé à tous les prestataires déployant des équipements IoT dans l'organisation, avec une validation DSI/RSSI avant la réception définitive de l'installation. L'intégration de cette checklist dans les contrats de déploiement est le mécanisme qui rend la sécurisation initiale incontournable.

Cas Asie Air India (2021) — La compromission via le prestataire de données SITA illustre l'impact des lacunes de sécurisation initiale dans la chaîne d'approvisionnement numérique. Quand les prestataires ne sont pas tenus à des standards de sécurité précis lors de la mise en service, les risques qu'ils introduisent deviennent des risques de l'organisation cliente. En IoT, chaque déploiement par un tiers sans checklist sécuritaire crée exactement ce type d'exposition.

Articles similaires

Les objets connectés introduisent des risques souvent invisibles

Les objets connectés en entreprise créent des risques structurellement invisibles : shadow IoT, firmware vulnérables, protocoles non interprétables par les SIEM. La découverte réseau passive est la première étape pour rendre visible la surface d'attaque IoT réelle.

24 mai 2026 7 min

Pourquoi l’IoT élargit fortement la surface d’attaque des organisations

Chaque objet connecté élargit la surface d'attaque selon trois dimensions : le dispositif, ses communications, et la plateforme cloud fabricant. La surface s'accumule sans se rétrécir — gérer le cycle de vie IoT est indispensable.

24 mai 2026 7 min

Les erreurs fréquentes dans l’intégration des équipements connectés

Les erreurs d'intégration IoT sont d'abord organisationnelles : acquisition sans qualification, credentials par défaut non modifiés, réseau non segmenté, firmware jamais mis à jour, documentation inexistante. Des processus standards corrigent ces lacunes structurelles.

24 mai 2026 7 min
WhatsApp