Thermostats, caméras, serrures, détecteurs, assistants vocaux, prises intelligentes ou centrales d’alarme : les objets connectés sont désormais présents dans de nombreux logements et locaux professionnels. Leur intérêt est réel en matière de confort, de supervision et d’automatisation, mais leur connexion permanente au réseau crée aussi une surface d’exposition supplémentaire. La cybersécurité objets connectés ne concerne donc pas seulement l’informatique : elle touche directement la sûreté des accès, la confidentialité des données et, dans certains cas, la continuité d’activité.
Pourquoi les objets connectés sont une cible sensible
Un objet connecté associe généralement plusieurs briques techniques : capteurs, application mobile, service cloud, réseau local, parfois commande vocale et scénarios domotiques. Chaque maillon peut devenir un point d’entrée en cas de mauvaise configuration, de mot de passe faible, de logiciel non mis à jour ou de communication non chiffrée. Plus l’écosystème est riche, plus la vigilance doit être structurée.
Dans l’univers résidentiel comme en entreprise, certains équipements ont une portée particulière. Une caméra mal sécurisée peut exposer des images privées ; une serrure connectée compromise peut affecter le contrôle d’accès ; une centrale reliée à d’autres automatismes peut servir de passerelle vers le réseau interne. Le risque n’est donc pas limité à la perte de données : il peut aussi concerner la sécurité physique des occupants et des biens.
Il faut également distinguer deux niveaux de protection : la cybersécurité de l’objet lui-même, et la sécurité de l’environnement dans lequel il fonctionne. Un équipement correctement conçu peut être fragilisé par un Wi-Fi mal protégé, un compte administrateur partagé ou l’absence de séparation entre les usages personnels, professionnels et domotiques.
- Accès non autorisé à l’équipement ou à son application d’administration.
- Interception ou fuite de données issues des capteurs et historiques d’usage.
- Prise de contrôle à distance via une faille logicielle ou un mot de passe par défaut.
- Utilisation de l’objet comme relais vers d’autres appareils du réseau local.
Les principaux risques à identifier avant l’installation
La première erreur consiste à aborder l’achat d’un objet connecté uniquement sous l’angle des fonctionnalités. Avant toute mise en service, il est utile d’évaluer le type de données traitées, le niveau d’accès accordé à l’équipement et les conséquences concrètes d’un incident. Une ampoule connectée n’expose pas le même niveau de criticité qu’un système de vidéoprotection ou qu’un contrôleur d’ouverture.
Le second point de vigilance concerne les comptes et les services associés. Beaucoup d’objets reposent sur une application externe et sur des serveurs distants pour fonctionner, stocker des vidéos, envoyer des alertes ou permettre une administration hors site. Cela implique de vérifier les paramètres de sécurité du compte utilisateur, la localisation éventuelle des données et les conditions de conservation.
Enfin, la durée de maintien en condition de sécurité doit être prise en compte. Un équipement mis sur le marché sans politique claire de mises à jour ou sans suivi logiciel durable devient rapidement plus vulnérable. En environnement professionnel, cette question est particulièrement importante pour les dispositifs liés à l’alarme, à la détection incendie supervisée ou au contrôle d’accès, qui doivent s’inscrire dans une logique de maintenance documentée.
- Présence de mots de passe par défaut ou d’identifiants génériques.
- Absence d’authentification à deux facteurs sur le compte de gestion.
- Fonctions d’accès distant activées sans nécessité opérationnelle.
- Manque de mises à jour automatiques ou de correctifs de sécurité publiés.
- Collecte excessive de données au regard de l’usage réel.
| Point de contrôle | Question à se poser |
|---|---|
| Compte utilisateur | Le mot de passe est-il unique, robuste et complété par une double authentification si disponible ? |
| Mises à jour | Le fabricant publie-t-il des correctifs et l’appareil peut-il les installer simplement ? |
| Réseau | L’objet est-il isolé sur un réseau ou un VLAN dédié plutôt que mélangé aux postes sensibles ? |
| Données | Quelles informations sont collectées, où sont-elles stockées et pendant combien de temps ? |
| Administration | Les droits d’accès sont-ils limités aux seules personnes autorisées ? |
Les bonnes pratiques de configuration au quotidien
La base de la cybersécurité objets connectés repose sur des mesures simples mais souvent négligées. Dès l’installation, il convient de changer systématiquement les identifiants par défaut, de désactiver les fonctions inutiles et d’appliquer les dernières mises à jour disponibles. Cette phase initiale est décisive : beaucoup d’incidents exploitent des faiblesses connues, déjà corrigées mais jamais déployées.
Le réseau domestique ou professionnel mérite une attention particulière. Dans l’idéal, les objets connectés ne devraient pas partager exactement le même segment réseau que les ordinateurs de travail, serveurs, NAS ou équipements contenant des données sensibles. La segmentation, même simple, réduit les possibilités de propagation en cas de compromission d’un appareil secondaire.
La gestion des droits d’accès doit rester proportionnée. En entreprise, les comptes nominatifs sont préférables aux accès partagés. À domicile, il est prudent de limiter le nombre d’utilisateurs administrateurs et de distinguer, lorsque c’est possible, les profils de consultation, d’exploitation et de maintenance. Le même principe s’applique aux prestataires externes, dont l’accès doit être encadré et réversible.
- Remplacer immédiatement tout mot de passe d’usine par un mot de passe long et unique.
- Activer l’authentification multifacteur sur l’application ou le portail associé.
- Installer les mises à jour de firmware et d’application sans attendre.
- Désactiver UPnP, l’accès distant ou les services non indispensables si l’usage ne les exige pas.
- Créer un réseau Wi-Fi distinct pour les objets connectés lorsque l’infrastructure le permet.
- Vérifier régulièrement la liste des appareils et comptes autorisés.
Protection des données personnelles et cadre réglementaire
De nombreux objets connectés de sécurité traitent des données à caractère personnel : images, enregistrements audio, journaux de présence, horaires d’ouverture, identifiants d’utilisateurs ou historiques d’événements. À ce titre, leur déploiement doit s’inscrire dans une logique de conformité au RGPD lorsqu’il y a traitement de données personnelles, en particulier dans les contextes professionnels, collectifs ou locatifs.
Le principe de minimisation est central : il convient de ne collecter que les données strictement nécessaires à la finalité recherchée. Une caméra orientée vers un espace privé, un hall, un accès ou une zone de travail ne se gère pas de la même manière selon le contexte. De même, la durée de conservation des enregistrements doit être définie, justifiée et limitée. Les personnes concernées doivent être informées lorsque la réglementation l’exige.
Sur le plan contractuel et organisationnel, il faut aussi identifier qui est responsable du traitement, quels sous-traitants interviennent, et où les données sont hébergées. En matière de sécurité incendie connectée, il convient enfin de rappeler que les systèmes restent encadrés par des référentiels techniques spécifiques. Selon les équipements et leur usage, des normes comme EN 54 pour certains composants de détection incendie ou des références de la série NF S 61 peuvent être pertinentes dans le cadre de la conception, de l’installation ou de l’exploitation. Pour les produits de résistance à l’effraction, la certification NF A2P peut également constituer un repère de qualité et d’évaluation, selon la nature du dispositif.
- Identifier la finalité du traitement avant de déployer l’équipement.
- Informer les utilisateurs, occupants ou salariés lorsque cela est nécessaire.
- Limiter la durée de conservation des images, journaux et historiques.
- Documenter les accès, les rôles et les responsabilités en cas de maintenance externe.
- Vérifier la cohérence entre exigences cyber, sécurité physique et conformité réglementaire.
Un objet connecté de sécurité ne doit pas être évalué seulement sur ses fonctions visibles. Sa valeur dépend aussi de sa maintenabilité, de son niveau de protection des données, de la maîtrise des accès distants et de son intégration dans un environnement réseau correctement administré.
Maison et entreprise : des priorités proches, des niveaux d’exigence différents
À domicile, l’objectif principal est souvent de concilier simplicité d’usage et protection de la vie privée. Les gestes essentiels sont accessibles : réseau Wi-Fi sécurisé, mots de passe uniques, mises à jour activées, suppression des comptes inutilisés et revue régulière des autorisations accordées à l’application mobile. Il est aussi recommandé de prévoir des modes de secours en cas de panne réseau ou de perte d’accès au service distant, notamment pour les équipements critiques comme les serrures ou les automatismes d’ouverture.
En entreprise, la démarche doit être plus formalisée. L’inventaire des objets connectés, la cartographie réseau, la gestion des correctifs, la journalisation et les procédures de révocation des accès sont des éléments de base. Les équipements IoT ne doivent pas être installés hors gouvernance informatique ou sûreté, surtout lorsqu’ils interagissent avec le contrôle d’accès, la vidéosurveillance, l’alarme intrusion ou des automatismes techniques du bâtiment.
La continuité d’activité mérite également d’être anticipée. En cas d’indisponibilité du cloud, de compromission d’un compte administrateur ou d’arrêt d’un service tiers, il faut savoir comment maintenir les fonctions essentielles. Dans certains contextes, cela implique des procédures locales, une redondance ou une exploitation dégradée clairement définie.
- À la maison : privilégier la simplicité, la confidentialité et les réglages de base réellement appliqués.
- En entreprise : intégrer les objets connectés à la politique de sécurité du système d’information.
- Prévoir des solutions de secours pour les fonctions critiques d’accès ou d’alerte.
- Tracer les interventions de maintenance et supprimer rapidement les accès temporaires.
À retenir
- La cybersécurité objets connectés combine protection numérique, sécurité physique et maîtrise des accès.
- Les priorités immédiates sont connues : changer les identifiants par défaut, mettre à jour, segmenter le réseau et limiter les accès distants.
- Les objets traitant des images, des sons ou des journaux d’usage doivent être évalués au regard du RGPD et des obligations d’information.
- Pour les équipements de sécurité, il est utile de considérer aussi les référentiels et normes applicables, selon l’usage, comme EN 54, NF S 61 ou NF A2P.