L'Internet des objets (IoT) a envahi tous les aspects de notre vie, des réfrigérateurs qui nous indiquent quand acheter du lait aux villes qui surveillent le trafic et la pollution en temps réel. Mais si l'IoT a connu une croissance rapide, sa sécurité, elle, n'a pas suivi.
C'est l'adolescent maladroit de la technologie : intelligent, connecté et extrêmement ambitieux, mais encore assez imprudent pour laisser la porte grande ouverte. La question est maintenant de savoir si 2026 sera enfin l'année où la sécurité de l'IoT atteindra un niveau de maturité tel que le monde pourra lui faire confiance, ou si nous continuerons à vivre avec un réseau d'appareils plus curieux que prudents.
Une décennie de promesses et de panique
L'IoT était censé faciliter la vie. Au lieu de cela, il est devenu le terrain de jeu des cybercriminels qui exploitent les mots de passe faibles, les micrologiciels obsolètes et la fabrication précipitée. Au début des années 2010, les entreprises se sont précipitées pour mettre leurs appareils en ligne, sans se soucier de leur sécurité. La sécurité était considérée comme un ajout facultatif, quelque chose à corriger plus tard, si jamais cela s'avérait nécessaire.
Résultat ? Des milliards d'appareils qui sont en fait des mini-ordinateurs, souvent commercialisés sans les protections que l'on trouve couramment sur les ordinateurs portables modernes.
Les fabricants ont privilégié la rapidité et le profit au détriment de la résilience, partant souvent du principe que les utilisateurs ne le remarqueraient pas ou s'en moqueraient. Malheureusement, les pirates l'ont remarqué. Des botnets comme Mirai et ses successeurs ont utilisé des caméras et des routeurs non sécurisés pour lancer des attaques DDoS massives, prouvant que l'IoT pouvait être utilisé comme une arme avec une efficacité terrifiante. Depuis, les violations ont gagné en sophistication, mais le problème fondamental n'a pratiquement pas changé.
Même si les organisations déploient des usines intelligentes et des infrastructures connectées, la maturité en matière de sécurité n'a pas suivi. L'IoT reste fragmenté, les fournisseurs utilisant des normes propriétaires et des protections disparates. L'adolescence de l'industrie se caractérise par une ambition sans responsabilité, et c'est exactement ce qui doit changer.
Le vide en matière de responsabilité
Au cœur de l'immaturité de l'IoT se trouve un manque de responsabilité, en particulier lors du déploiement des logiciels. Personne n'est vraiment responsable de la sécurité de l'IoT de bout en bout. Les fabricants livrent les appareils, les distributeurs les rebaptisent, les consommateurs les connectent, et lorsque quelque chose ne va pas, tout le monde se renvoie la balle. L'absence de responsabilité claire crée une chaîne de vulnérabilité où même les mesures élémentaires de cybersécurité sont négligées.
La réglementation a tenté de rattraper son retard, mais reste incohérente. La loi européenne sur la cyber-résilience et la loi américaine sur l'amélioration de la cybersécurité de l'IoT constituent des avancées, mais elles ne couvrent qu'une partie du problème. De nombreux appareils ne sont pas concernés, en particulier les importations bon marché qui inondent les marchés mondiaux. C'est comme appliquer les lois sur le port de la ceinture de sécurité dans certaines voitures, mais pas dans d'autres : la sécurité devient un pari.
Il en résulte un écosystème où le maillon le plus faible définit le risque pour tout le monde. Un thermostat intelligent doté d'un micrologiciel obsolète peut être le point d'entrée d'une violation de la sécurité d'une entreprise. Pourtant, les utilisateurs ont rarement une visibilité ou un contrôle sur ce qui se passe en coulisses. Tant que les fabricants ne seront pas confrontés à de réelles incitations (ou sanctions) pour sécuriser leurs produits pendant tout leur cycle de vie, l'IoT continuera à se comporter comme un adolescent laissé sans surveillance en ligne.
Pourquoi les enjeux n'ont jamais été aussi élevés
Le problème n'est pas seulement que les appareils IoT sont peu sûrs, c'est qu'ils sont désormais essentiels. Il y a dix ans, un babyphone piraté était inquiétant. Aujourd'hui, un appareil IoT non sécurisé peut perturber les chaînes d'approvisionnement, les réseaux énergétiques ou les systèmes de santé. La surface d'attaque s'est étendue des ménages à des industries entières, et les temps d'arrêt se traduisent désormais directement par des pertes de revenus et des dangers concrets.
L'IoT industriel (IIoT) en particulier a fait monter les enjeux, avec des capteurs intelligents dans les domaines de la fabrication, de la logistique et de l'énergie, qui permettent une efficacité incroyable mais créent également de nouveaux points de défaillance. Un capteur compromis fournissant des données erronées peut avoir des répercussions sur les systèmes de décision automatisés, entraînant des erreurs coûteuses, voire des dommages physiques. Dans des secteurs tels que la santé, un appareil médical piraté peut constituer une menace potentielle pour la vie humaine.
Plus l'IoT s'intègre dans les systèmes essentiels, plus il devient urgent de les sécuriser. Pourtant, malgré les avertissements très médiatisés des chercheurs en sécurité, les investissements dans la défense de l'IoT restent à la traîne par rapport à son adoption. C'est comme si le monde se précipitait vers la transformation numérique tout en retenant son souffle sur la cybersécurité, en espérant que tout se passe pour le mieux.
Le tournant de 2026 : la réglementation rencontre la normalisation
La bonne nouvelle, c'est que 2026 pourrait marquer le début de la maturité tant attendue de l'IoT. Les gouvernements et les groupes industriels s'accordent enfin sur des normes applicables. La loi européenne sur la cyber-résilience, qui devrait être pleinement mise en œuvre d'ici 2026, tiendra les fabricants responsables des failles de sécurité et exigera des mises à jour tout au long du cycle de vie des appareils. De même, les États-Unis introduisent des systèmes d'étiquetage qui permettent aux consommateurs de voir d'un seul coup d'œil si un produit IoT répond aux normes de sécurité.
Cette vague de réglementations obligera les fabricants à donner la priorité à la sécurité, de la conception à la mise hors service. Les appareils devront être équipés d'un système de cryptage intégré, d'une gestion des correctifs et d'un système transparent de signalement des vulnérabilités. Le changement culturel est aussi important que le changement technique : la sécurité ne sera plus une considération secondaire en matière de marketing, mais une nécessité en matière de conformité.
La normalisation mondiale jouera également un rôle. Des initiatives telles que ETSI EN 303 645 et ISO/IEC 27400 créent des lignes directrices universelles susceptibles de relier des écosystèmes fragmentés. Si elles sont largement suivies, ces normes pourraient faire de l'interopérabilité et de la confiance la nouvelle norme, ce dont l'IoT a désespérément besoin après une décennie de chaos.
L'essor de la confiance intégrée : certificats, PKI et au-delà
À mesure que la sécurité de l'IoT évolue, l'identité en sera la colonne vertébrale. Vous ne pouvez pas sécuriser ce que vous ne pouvez pas authentifier, et c'est là que les certificats numériques et la PKI entrent en jeu. Les appareils ont besoin d'identifiants cryptographiques qui prouvent leur identité avant de pouvoir communiquer en toute sécurité. Ce modèle reflète la façon dont les navigateurs font confiance aux sites web grâce aux certificats SSL/TLS, sauf qu'aujourd'hui, la même logique doit s'appliquer à des millions d'appareils dans le monde entier.
La PKI attribue aux appareils IoT une empreinte digitale, garantissant une communication cryptée et des chaînes de confiance vérifiables. Elle permet une intégration sécurisée, des mises à jour logicielles et même la révocation d'appareils en cas de problème. Pourtant, de nombreux fabricants continuent d'ignorer la PKI, car elle ajoute à la complexité. Il en résulte un vide de confiance où des appareils malveillants peuvent se faire passer pour des appareils légitimes.
Le passage à une confiance intégrée basée sur le matériel, utilisant des TPM ou des éléments sécurisés, s'accélérera en 2026. Ces puces peuvent stocker des clés cryptographiques en toute sécurité et effectuer une authentification locale, réduisant ainsi l'exposition. Associées à des services de certificats gérés, les réseaux IoT peuvent enfin évoluer en toute sécurité sans dépendre de l'intervention humaine pour chaque identifiant. C'est le type de maturité invisible de l'infrastructure dont dépend la véritable cybersécurité.
L'IA aidera (et compliquera les choses)
L'intelligence artificielle jouera un double rôle dans l'évolution de l'IoT. D'une part, la détection des anomalies basée sur l'IA peut signaler les comportements suspects plus rapidement que ne le pourraient jamais des analystes humains. Avec des milliards d'appareils générant des données, l'automatisation est le seul moyen de repérer les schémas indiquant une compromission. L'IA peut apprendre à reconnaître ce qui est « normal » pour chaque appareil et déclencher des alarmes en cas d'écart.
Cependant, l'IA élargit également la surface d'attaque. Les acteurs malveillants peuvent utiliser des modèles génératifs pour créer des logiciels malveillants plus adaptatifs, falsifier la télémétrie des appareils ou manipuler les données en transit. À mesure que l'IA s'intègre dans la prise de décision de l'IoT, les attaquants cibleront non seulement les appareils, mais aussi les modèles qui les contrôlent. La frontière entre les menaces physiques et numériques s'estompera encore davantage.
L'avenir exigera une sécurité à la fois adaptative et explicable. Les défenses assistées par l'IA ne seront fiables que si elles sont transparentes sur la manière dont elles détectent et répondent aux menaces. Sinon, nous remplacerons la confiance aveugle dans les appareils par une confiance aveugle dans les algorithmes, et ce n'est pas un progrès.
Conclusion
Pour que l'IoT puisse véritablement se développer, il doit apprendre la responsabilité, adopter des normes universelles et considérer l'identité comme le fondement de la confiance. Les enjeux sont passés de la commodité aux conséquences, et 2026 pourrait enfin apporter la pression et les incitations nécessaires à un changement systémique. Les fabricants, les régulateurs et les entreprises ont tous un rôle à jouer, mais le changement culturel pourrait être le plus difficile de tous.
La sécurité n'est pas une fonctionnalité ponctuelle, c'est un état d'esprit. Si 2026 devient l'année où la sécurité de l'IoT atteindra enfin sa maturité, ce ne sera pas grâce à une loi ou à une technologie en particulier. Ce sera parce que l'industrie cessera de courir après la vitesse et commencera à respecter la complexité du monde connecté qu'elle a construit. C'est alors que l'IoT cessera d'être le parent pauvre de la cybersécurité et prendra enfin sa place en tant que membre responsable de l'écosystème numérique.
En savoir plus sur la manière de mettre en œuvre la sécurité de l'IoT dans votre infrastructure
Remarque : cet article de blog a été rédigé par un contributeur invité dans le but d'offrir une plus grande variété de contenu à nos lecteurs. Les opinions exprimées dans cet article rédigé par un auteur invité sont celles du contributeur et ne reflètent pas nécessairement celles de GlobalSign.
