Phylapp
Sécurité des objets connectés

Pourquoi les politiques de sécurité couvrent rarement les IoT

Les PSSI couvrent rarement les IoT, créant un vide réglementaire interne qui laisse ces équipements sans cadre de sécurité. Étendre la PSSI au périmètre IoT — déploiement, configuration, données, cycle de vie — est la fondation structurelle d'une gouvernance IoT efficace.

M
Mehdi SARIAK
24 mai 2026 7 min de lecture 19 lectures

Points clés

  • Les politiques de sécurité des systèmes d'information (PSSI) des organisations couvrent traditionnellement les équipements IT standards (postes, serveurs, réseaux) et omettent les objets connectés, créant un vide réglementaire interne qui laisse les IoT sans cadre de sécurité formalisé.
  • Ce vide n'est pas intentionnel : les PSSI ont été rédigées avant la prolifération IoT et n'ont pas été mises à jour pour intégrer ces nouveaux actifs.
  • L'absence de couverture IoT dans la PSSI crée des responsabilités floues, des comportements non encadrés, et une impossibilité de contraindre les équipes métiers à respecter des règles non formalisées.
  • Mettre à jour la PSSI pour couvrir les IoT est une étape structurante qui officialise les règles, clarifie les responsabilités, et fournit le cadre légitimant les actions du RSSI sur le périmètre IoT.
Cas US Yahoo (2016) — La violation exposant 3 milliards de comptes a partiellement tenu à l'absence de politiques de sécurité appliquées à certains systèmes jugés périphériques. En IoT, les équipements connectés non couverts par la PSSI sont dans une position analogue : sans règles formalisées, sans audit, et sans responsable identifié, ils accumulent des vulnérabilités sans mécanisme de correction systématique.

L'angle mort structurel des PSSI vis-à-vis des IoT

La grande majorité des Politiques de Sécurité des Systèmes d'Information définissent leur périmètre autour des "systèmes d'information" dans leur acception classique : serveurs, postes de travail, réseaux, applications, bases de données. Les objets connectés — caméras, capteurs, systèmes de bâtiment, équipements industriels connectés — entrent dans une zone grise : ils font partie du réseau de l'organisation mais ne sont explicitement ni inclus ni exclus du périmètre PSSI. Cette ambiguïté se traduit par une absence effective de règles applicables : aucune exigence de configuration sécurisée, aucun standard de mot de passe, aucune obligation de déclaration des déploiements à la DSI, aucune règle sur les données collectées et leur durée de conservation. Ce vide réglementaire interne est le terreau des mauvaises pratiques documentées dans les incidents IoT.

Les conséquences pratiques du vide politique IoT

L'absence de couverture IoT dans la PSSI a des conséquences concrètes sur la posture sécuritaire de l'organisation. Sans règle formalisée, le RSSI n'a pas de base pour contraindre les équipes métiers à déclarer leurs déploiements IoT, à modifier les credentials par défaut, ou à soumettre les équipements à une qualification sécuritaire préalable. Sans responsabilité formellement assignée, chaque équipe peut légitimement renvoyer la responsabilité de la sécurité IoT vers une autre. Sans exigences documentées dans les contrats fournisseurs, il n'y a pas de base pour exiger des constructeurs qu'ils communiquent leurs CVE ou maintiennent leur support logiciel. Le vide politique crée de facto une absence de gouvernance dont les effets se manifestent lors de chaque incident IoT.

Étendre la PSSI au périmètre IoT : les éléments essentiels

Une politique de sécurité couvrant les IoT doit adresser plusieurs domaines spécifiques. La définition du périmètre : quels types d'équipements sont couverts par la politique IoT. Les règles de déploiement : obligation de déclaration à la DSI avant tout déploiement, processus de qualification sécuritaire, checklist de mise en service. Les standards de configuration : exigence de modification des credentials par défaut, désactivation des services non utilisés, activation du chiffrement, documentation dans l'inventaire. La gestion du cycle de vie : processus de mise à jour firmware, gestion des équipements en fin de support, procédure de décommission sécurisée. Les règles sur les données : limitation des données collectées au nécessaire, durée de rétention définie, conditions d'accès documentées. Ces éléments, intégrés dans la PSSI ou dans une politique annexe dédiée IoT, fournissent le cadre réglementaire interne nécessaire à la gouvernance IoT.

Cas EU Marriott/Starwood (2018) — L'infrastructure Starwood n'était pas entièrement couverte par les politiques de sécurité Marriott lors de l'acquisition. Ce vide politique a permis à des accès non conformes aux standards Marriott de persister, facilitant une compromission de quatre ans non détectée. En IoT, des équipements déployés avant la mise en place d'une politique IoT se trouvent dans la même situation de non-conformité structurelle.

Le rôle de la PSSI IoT dans la responsabilisation des acteurs

Une politique formalisée couvrant les IoT remplit une fonction de responsabilisation que les recommandations informelles ne peuvent pas assurer. Quand la PSSI stipule explicitement que tout équipement IoT doit être déclaré à la DSI avant déploiement et que la non-déclaration constitue une violation de la politique de sécurité, le responsable métier qui déploie sans déclarer engage sa responsabilité de manière documentée. Ce cadre formel modifie les comportements bien plus efficacement que les rappels récurrents du RSSI. Il fournit également au RSSI la légitimité pour auditer le parc IoT, demander la remédiation des non-conformités, et escalader à la direction générale les situations de risque non traitées.

La mise à jour des politiques : un processus continu

La révision de la PSSI pour couvrir les IoT n'est pas un exercice à réaliser une seule fois. La technologie IoT évolue rapidement — de nouveaux types d'équipements, de nouveaux protocoles, de nouvelles catégories de risque émergent régulièrement. La réglementation progresse — Cyber Resilience Act, NIS2, évolutions de la PGSSI-S. Les pratiques organisationnelles changent. La PSSI IoT doit faire l'objet d'une revue annuelle intégrant les retours d'expérience des incidents, l'évolution de la réglementation, et les nouvelles catégories d'équipements déployés. Cette révision régulière garantit que le cadre réglementaire interne reste aligné avec la réalité opérationnelle et réglementaire de l'organisation.

Cas Asie SoftBank (2019) — Un ingénieur a vendu des données confidentielles en exploitant des lacunes dans les politiques de contrôle des accès. En IoT, des lacunes similaires dans la politique de sécurité — absence de règles sur qui peut accéder aux interfaces d'administration des équipements, quand, et avec quels droits — créent des conditions propices aux incidents internes ou à l'exploitation des accès par des acteurs extérieurs.

Articles similaires

Les objets connectés introduisent des risques souvent invisibles

Les objets connectés en entreprise créent des risques structurellement invisibles : shadow IoT, firmware vulnérables, protocoles non interprétables par les SIEM. La découverte réseau passive est la première étape pour rendre visible la surface d'attaque IoT réelle.

24 mai 2026 7 min

Pourquoi l’IoT élargit fortement la surface d’attaque des organisations

Chaque objet connecté élargit la surface d'attaque selon trois dimensions : le dispositif, ses communications, et la plateforme cloud fabricant. La surface s'accumule sans se rétrécir — gérer le cycle de vie IoT est indispensable.

24 mai 2026 7 min

Les erreurs fréquentes dans l’intégration des équipements connectés

Les erreurs d'intégration IoT sont d'abord organisationnelles : acquisition sans qualification, credentials par défaut non modifiés, réseau non segmenté, firmware jamais mis à jour, documentation inexistante. Des processus standards corrigent ces lacunes structurelles.

24 mai 2026 7 min
WhatsApp