Le nombre d'appareils connectés aux réseaux d'entreprise augmente plus rapidement que la plupart des équipes de sécurité ne peuvent le suivre. Selon IoT Analytics, il y aura 21,1 milliards d'appareils IoT connectés dans le monde en 2025, et les projections dépassent les 25 milliards d'ici 2026. La surface d'attaque s'étend à un rythme que endpoint traditionnelle endpoint n'a jamais été conçue pour gérer. La plupart de ces appareils ne peuvent pas exécuter d'agents de sécurité. Ils sont livrés avec des identifiants par défaut, reçoivent rarement des mises à jour de micrologiciel et fonctionnent sur des systèmes propriétaires qui résistent aux modifications. Il en résulte un environnement dans lequel les attaquants trouvent facilement des points d'entrée et les défenseurs ont du mal à obtenir une bonne visibilité. Ce guide traite de la sécurité IoT, des menaces les plus importantes en 2026, des violations récentes qui exposent les conséquences dans le monde réel et des pratiques multicouches dont les organisations ont besoin pour protéger les appareils connectés sur le réseau moderne.
La sécurité IoT désigne l'ensemble des pratiques, technologies et politiques qui protègent les appareils connectés à l'Internet des objets et les réseaux auxquels ils sont connectés contre les cybermenaces. Elle couvre le renforcement des appareils, la surveillance des réseaux, le chiffrement des données et le contrôle d'accès pour les appareils connectés (capteurs, caméras, équipements médicaux, contrôleurs industriels et appareils intelligents) qui ne disposent souvent pas des ressources informatiques nécessaires pour exécuter les logiciels de sécurité traditionnels. Étant donné que ces appareils collectent, transmettent et traitent des données dans des environnements professionnels et industriels, une compromission peut avoir des répercussions bien au-delà de l'appareil lui-même.
L'ampleur du défi ne cesse de croître. Selon IoT Analytics, le nombre d'appareils IoT connectés a atteint 21,1 milliards dans le monde en 2025, soit une croissance de 14 % par rapport à l'année précédente. Le marché de la sécurité IoT reflète cette urgence, avec des estimations allant de 8 à 45 milliards de dollars en 2026, selon la définition donnée à la sécurité IoT (source : agrégation comparecheapssl, 2026).
La sécurité de l'IoT repose sur trois piliers : la sécurité des appareils, la sécurité des réseaux et la sécurité cloud. Chaque couche traite un segment différent de la surface d'attaque, mais la couche réseau revêt une importance capitale, car elle est la seule à offrir une visibilité sur les appareils qui ne peuvent pas héberger leurs propres défenses.
Les appareils IoT posent un défi particulièrement difficile en matière de sécurité, et ce pour cinq raisons :
Ces vulnérabilités expliquent pourquoi les opérateurs de botnets et les acteurs étatiques ciblent de plus en plus les appareils IoT comme point d'ancrage initial dans les réseaux d'entreprise.
La sécurité IoT s'articule autour de trois couches architecturales, chacune traitant une partie différente de la surface d'attaque. Il est essentiel de comprendre comment ces couches interagissent entre elles, et où se trouvent les failles, afin de mettre en place un environnement IoT défendable.
Couche périphérique. La sécurité commence au niveau du périphérique lui-même grâce à un micrologiciel renforcé, des processus de démarrage sécurisés, la gestion des identifiants et le chiffrement des données au repos. Les fabricants qui respectent des normes telles que NIST SP 800-213 intègrent la sécurité dans les périphériques dès la phase de conception. Cependant, de nombreux périphériques IoT sont commercialisés sans ces protections, et les entreprises ne peuvent pas les mettre à niveau après leur déploiement.
Couche réseau. La segmentation du réseau (VLAN, microsegmentation) isole les appareils IoT afin qu'une compromission dans un segment ne puisse pas se propager librement. Surveillance du trafic et détection des anomalies via détection et réponse aux incidents identifient les comportements suspects en temps réel. Cette couche est le principal moyen de contrôle pour les environnements sans agent.
CoucheCloud application. La sécurité des API, le contrôle d'accès et le chiffrement des données en transit (TLS 1.2 ou supérieur) protègent les cloud avec lesquels les appareils IoT communiquent. La gestion Cloud garantit que les erreurs de configuration, comme celle à l'origine de la violation de Mars Hydro, n'exposent pas des milliards d'enregistrements.
Texte alternatif pour le diagramme architectural : architecture de sécurité IoT à trois niveaux montrant le renforcement des appareils en bas, la surveillance du réseau via NDR au milieu et les contrôles cloud en haut, avec des points de détection étiquetés à chaque niveau.
Étant donné que la majorité des appareils IoT ne peuvent pas exécuter endpoint , l'analyse du trafic réseau devient la principale méthode pour identifier les appareils compromis. Selon une étude sectorielle, 80 % des violations IoT commencent au niveau des appareils (2025, deepstrike.io), mais les défenseurs doivent détecter ces compromissions à partir du réseau, seul point d'observation disponible.
détection et réponse aux incidents les flux de trafic IoT est-ouest (internes) et nord-sud (externes) afin de détecter tout comportement anormal : rappels de commande et de contrôle, mouvements latéraux et tentatives d'exfiltration de données. L'analyse comportementale établit une base de référence pour les modèles de communication normaux de chaque appareil (une caméra IP doit communiquer avec son NVR, et non avec une adresse IP externe située dans une zone géographique inconnue) et signale automatiquement tout écart.
Cette approche sans agent offre une visibilité égale sur les appareils gérés et non gérés, comblant ainsi le fossé laissé par les stratégies endpoint.
La mise en place d'une architecture de sécurité IoT résiliente nécessite la combinaison de quatre capacités :
Les menaces liées à l'IoT en 2026 vont des botnets de plus de 20 Tbps et malware la chaîne d'approvisionnement malware campagnes de reconnaissance alimentées par l'IA et parrainées par des États qui ciblent les infrastructures critiques. Le tableau ci-dessous répertorie les menaces les plus courantes pour MITRE ATT&CK observées dans les attaques IoT.
Tableau : MITRE ATT&CK les plus couramment observées dans les attaques IoT (2024-2026)
Recrutement de botnets et attaques DDoS. Le botnet Aisuru/TurboMirai a atteint une capacité DDoS de plus de 20 Tbps en 2025-2026, soit une augmentation de 700 % de son potentiel d'attaque par rapport à l'année précédente. Microsoft Azure a bloqué une attaque DDoS record de 15,72 Tbps liée à des botnets IoT au début de l'année 2026.
Compromission de la chaîne logistique. BadBox 2.0 a compromis plus de 10 millions de téléviseurs intelligents, de projecteurs et de systèmes d'infodivertissement avec des logiciels malveillants préinstallés malware , ce qui en fait le plus grand botnet de téléviseurs connu à ce jour (source : Asimily).
Les ransomwares ciblant les systèmes OT et IoT. Selon Nozomi Networks, les attaques par ransomware contre les systèmes OT ont augmenté de 46 % en 2025, utilisant de plus en plus les appareils IoT compromis comme point d'entrée initial.
Exposition des données. La mauvaise configuration de Mars Hydro a exposé 2,7 milliards d'enregistrements d'appareils IoT en 2025, démontrant que les failles de sécurité IoT cloud peuvent être tout aussi dévastatrices que les compromissions au niveau des appareils.
Toutes catégories confondues, Bitdefender et Netgear ont détecté 13,6 milliards d'attaques IoT entre janvier et octobre 2025 seulement.
Les récentes violations de l'IoT démontrent que les attaques de la chaîne d'approvisionnement, les botnets et les erreurs de configuration constituent un risque existentiel pour les organisations non préparées. Les cinq cas ci-dessous, tous survenus entre 2024 et 2026, illustrent l'ampleur et la diversité des défaillances réelles en matière de sécurité de l'IoT.
Les conséquences financières des cyberattaques liées à l'IoT sont considérables et ne cessent de s'aggraver :
Ces chiffres soulignent pourquoi la sécurité de l'IoT n'est plus facultative. Une seule violation de données provenant d'un appareil IoT non surveillé peut coûter plus cher que des années d'investissement préventif.
La sécurité IoT et OT partagent des défis communs, mais diffèrent en termes de priorités, de caractéristiques des appareils et de méthodes de détection. Il est essentiel de comprendre ces différences, ainsi que les points de convergence entre ces domaines, car les organisations gèrent des environnements de plus en plus interconnectés.
Tableau : Principales différences entre la sécurité IoT, OT et IIoT
L'IoT industriel (IIoT) fait le pont entre ces deux mondes, en déployant des capteurs et des contrôleurs connectés dans les environnements de fabrication et les infrastructures critiques où l'intégrité des données et la sécurité physique sont en jeu.
Une évolution réglementaire majeure a eu lieu le 11 décembre 2025, lorsque la CISA a publié le CPG 2.0, qui unifie les objectifs de sécurité informatique, IoT et OT sous six fonctions : gouverner, identifier, protéger, détecter, réagir et récupérer. Il s'agit du premier cadre à relier officiellement ces trois domaines, reflétant la convergence que les équipes de sécurité gèrent sur le plan opérationnel depuis des années.
Les organisations ont besoin de capacités intégrées de détection des menaces et de conformité qui couvrent l'IoT, l'OT et l'IT, et non d'outils cloisonnés qui créent des angles morts aux frontières.
Une défense IoT efficace nécessite huit pratiques à plusieurs niveaux, allant de l'inventaire des appareils à zero trust, avec une surveillance basée sur le réseau comblant les lacunes de sécurité sans agent.
Les organisations doivent également intégrer des systèmes de détection et de prévention des intrusions ainsi que des programmes de gestion des vulnérabilités dans leur stratégie de sécurité IoT afin de garantir une évaluation continue de leur posture.
L'adaptation zero trust à l'IoT nécessite de résoudre un problème fondamental : de nombreux appareils IoT ne prennent pas en charge zero trust standard zero trust , tels que l'authentification multifactorielle ou les certificats clients.
Les solutions pratiques comprennent :
Zero Trust for IoT (Guide Zero Trust pour l'IoT) de laCloud Alliance fournit un cadre de référence aux organisations qui travaillent à cette adaptation.
Le cadre réglementaire de l'IoT se durcit rapidement, avec l'entrée en vigueur des obligations de déclaration CRA de l'UE en septembre 2026 et la norme CISA CPG 2.0 qui unifie déjà les objectifs de sécurité informatique, IoT et OT.
Tableau : Paysage réglementaire en matière de sécurité de l'IoT au début de l'année 2026
Les organisations qui vendent des produits connectés dans l'UE devraient commencer à se préparer dès maintenant. Les obligations de déclaration CRA qui entreront en vigueur en septembre 2026 exigent des fabricants qu'ils signalent les vulnérabilités activement exploitées dans les 24 heures, ce qui représente un engagement opérationnel important.
La détection réseau basée sur l'IA, la consolidation du marché et la corrélation des signaux IT/IoT/OT définissent l'avenir de la sécurité IoT pour les entreprises modernes.
La détection des menaces basée sur l'IA est en train de transformer la manière dont les entreprises protègent leurs environnements IoT. Les modèles d'apprentissage automatique entraînés sur les modèles de trafic IoT peuvent identifier les appareils compromis plus rapidement que les systèmes basés sur des règles, et l'IA générative commence à automatiser les pipelines de réponse aux intrusions. D'ici 2026, une détection efficace des menaces devra ingérer les données provenant des domaines OT, IoT et périphériques et les corréler avec les signaux informatiques pour offrir une visibilité unifiée.
La consolidation du marché reflète l'importance stratégique de la sécurité de l'IoT. L'acquisition d'Armis par ServiceNow pour 7,75 milliards de dollars en 2025 a été la transaction phare d'une année où les fusions-acquisitions dans le domaine de la cybersécurité ont dépassé les 84 milliards de dollars au total. L'acquisition de Nozomi Networks par Mitsubishi Electric (environ 883 millions de dollars) confirme que la sécurité OT/IoT est devenue une priorité pour les conseils d'administration.
L'approche centrée sur le réseau gagne du terrain en tant que principal contrôle de sécurité de l'IoT. Les organisations investissent dans des capacités de détection comportementale des menaces et de recherche des menaces qui fonctionnent sur l'ensemble des populations d'appareils gérés et non gérés, en traitant le réseau comme un capteur universel.
Vectra AI la sécurité de l'IoT sous l'angle de la détection basée sur le réseau et Attack Signal Intelligence. Les appareils IoT ne pouvant pas exécuter endpoint , le réseau devient la principale source d'information pour identifier les appareils compromis. La philosophie Vectra AI, qui consiste à partir du principe que les appareils seront compromis (les pirates informatiques intelligents trouveront toujours le moyen de s'introduire dans le réseau, et l'important est de les détecter rapidement), s'applique directement aux environnements IoT, où la surface d'attaque croissante des appareils non gérés exige une visibilité unifiée.
Cela implique de corréler les signaux provenant des environnements sur site, cloud, d'identité et IoT/OT afin de mettre en évidence les attaques réelles, et non pas davantage d'alertes. Lorsqu'une caméra commence à communiquer avec un hôte externe inconnu ou qu'un capteur commence à scanner des sous-réseaux internes, détection et réponse aux incidents le comportement et le classent comme prioritaire pour enquête, que l'appareil puisse ou non exécuter un agent.
Le paysage de la sécurité de l'IoT continuera à évoluer de manière significative au cours des 12 à 24 prochains mois, sous l'effet des échéances réglementaires, de l'évolution des techniques d'attaque et de la convergence technologique.
L'application de la réglementation commence sérieusement. Les obligations de déclaration prévues par la loi européenne sur la cyber-résilience entrent en vigueur le 11 septembre 2026, obligeant les fabricants à signaler dans les 24 heures les vulnérabilités activement exploitées dans les produits connectés. Les organisations qui vendent ou déploient des appareils IoT dans l'UE devraient dès à présent auditer leurs processus de divulgation des vulnérabilités. Aux États-Unis, l'avenir du programme Cyber Trust Mark de la FCC reste incertain après le retrait de UL Solutions en tant qu'administrateur en décembre 2025, mais le soutien bipartite du Congrès laisse présager l'émergence d'un remplaçant.
La course à l'armement en matière d'IA s'accélère. Les pirates utilisent l'IA pour automatiser la recherche de vulnérabilités, adapter leurs modèles DDoS et mettre en place des techniques d'évasion qui évoluent en temps réel. Les défenseurs ripostent avec des analyses comportementales basées sur l'IA, capables d'établir une base de référence pour des millions d'appareils IoT et de détecter les anomalies à la vitesse de la machine. L'avantage ira aux organisations qui déploient l'IA de manière défensive avant que les pirates ne développent leur IA de manière offensive.
La convergence IT/IoT/OT devient une réalité opérationnelle. La norme CISA CPG 2.0 a officialisé ce que les équipes de sécurité savent depuis des années : l'IT, l'IoT et l'OT ne peuvent pas être sécurisés de manière isolée. Au cours des 12 prochains mois, on devrait voir apparaître des plateformes de sécurité unifiées qui corrèlent les signaux entre les trois domaines, remplaçant ainsi les ensembles d'outils fragmentés qui créent des angles morts aux frontières entre les domaines. Les organisations devraient donner la priorité aux investissements dans des plateformes qui offrent une visibilité interdomaines.
Le nombre d'appareils continue d'augmenter. Avec un nombre d'appareils IoT qui devrait dépasser les 25 milliards en 2026, le volume considérable de terminaux non gérés va submerger les organisations qui s'appuient sur un inventaire manuel et une sécurité appareil par appareil. La détection, la classification et la surveillance comportementale automatisées passeront du statut de bonne pratique à celui d'exigence de base.
La sécurité de l'IoT n'est plus une préoccupation marginale, mais une exigence fondamentale pour les entreprises. Avec 21,1 milliards d'appareils connectés en 2025, des menaces croissantes allant des botnets de plus de 20 Tbps aux malware la chaîne d'approvisionnement et malware des millions d'appareils, et l'approche des échéances réglementaires, les organisations qui reportent leurs investissements dans la sécurité de l'IoT acceptent un risque qu'elles pourraient ne pas être en mesure d'absorber.
La voie à suivre est claire. Dressez un inventaire complet des appareils. Séparez les appareils IoT des systèmes critiques. Déployez un système de détection basé sur le réseau pour couvrir les appareils qui ne peuvent pas se protéger eux-mêmes. Préparez-vous aux exigences de l'EU CRA et du CISA CPG 2.0 qui sont déjà inscrites au calendrier. Et adoptez un état d'esprit qui tient compte des compromissions, car dans un environnement comptant des centaines de milliers d'appareils non gérés, il est plus important de trouver rapidement l'attaquant que d'espérer qu'il ne pénètre jamais dans le système.
Découvrez comment l'approche Vectra AI en matière de détection et réponse aux incidents une visibilité unifiée sur les environnements IoT, OT, cloud et d'identité, transformant le réseau en un capteur que endpoint ne pourront jamais égaler.
La sécurité IoT désigne l'ensemble des pratiques, technologies et politiques conçues pour protéger les appareils connectés à l'Internet des objets et les réseaux auxquels ils sont connectés contre les cybermenaces. Elle englobe le renforcement des appareils, la surveillance du réseau, le chiffrement des données et le contrôle d'accès pour les appareils connectés qui manquent souvent des ressources informatiques nécessaires pour exécuter les logiciels de sécurité traditionnels. Avec 21,1 milliards d'appareils connectés prévus en 2025 selon IoT Analytics, la sécurité IoT est devenue une préoccupation majeure pour les entreprises. Les trois piliers de la sécurité IoT (sécurité des appareils, sécurité des réseaux et sécurité cloud) fonctionnent ensemble pour protéger les appareils contre les compromissions initiales, détecter les menaces en transit et sécuriser les données générées par ces appareils. Les organisations qui négligent l'un de ces piliers créent des failles que les attaquants exploitent régulièrement.
Les menaces IoT les plus critiques en 2026 comprennent le recrutement de botnets (le botnet Aisuru/TurboMirai a atteint une capacité DDoS de plus de 20 Tbps), la compromission de la chaîne d'approvisionnement (BadBox 2.0 a pré-infecté plus de 10 millions d'appareils), l'exploitation des identifiants par défaut, les vulnérabilités du micrologiciel et le mouvement latéral des réseaux IoT vers les réseaux informatiques. Parmi les menaces émergentes, on peut citer la reconnaissance automatisée alimentée par l'IA, les campagnes soutenues par des États comme IOCONTROL qui ciblent les infrastructures critiques, et les variantes Mirai de nouvelle génération telles que Eleven11bot et Kimwolf. La hausse de 46 % des attaques par ransomware contre les systèmes OT (Nozomi Networks, 2025) signale également un risque croissant à la frontière entre l'IoT et l'OT.
Commencez par dresser un inventaire complet des appareils afin d'identifier tous les appareils connectés à votre réseau. Mettez ensuite en place une segmentation du réseau afin d'isoler les appareils IoT dans des VLAN dédiés. Modifiez immédiatement toutes les informations d'identification par défaut : l'OWASP IoT Top 10 classe cette mesure comme la vulnérabilité numéro un. Déployez une surveillance basée sur le réseau, telle que NDR, afin de détecter les menaces sur les appareils qui ne peuvent pas exécuter d'agents. Automatisez les mises à jour du micrologiciel afin de corriger les vulnérabilités connues. Chiffrez toutes les données en transit avec TLS 1.2 ou une version supérieure. Appliquez zero trust en vérifiant chaque appareil et chaque connexion. Enfin, planifiez la gestion complète du cycle de vie des appareils, de leur acquisition à leur mise hors service, en suivant les recommandations du NIST SP 800-213 et du CISA CPG 2.0.
La sécurité IoT se concentre sur la protection des appareils connectés tels que les caméras, les capteurs et les appareils intelligents, en accordant généralement la priorité à la confidentialité et à l'intégrité des données (la triade CIA traditionnelle). La sécurité OT protège les systèmes de contrôle industriels (SCADA, PLC et systèmes de contrôle distribués) où la sécurité physique et la disponibilité sont primordiales, en réorganisant les priorités selon l'ordre suivant : disponibilité, intégrité, confidentialité (AIC). L'IoT industriel (IIoT) fait le pont entre ces deux domaines, en déployant des capteurs et des contrôleurs connectés dans des environnements industriels. Le CISA CPG 2.0, publié le 11 décembre 2025, a unifié pour la première fois les objectifs de sécurité informatique, IoT et OT sous six fonctions, reflétant la convergence opérationnelle que les organisations modernes doivent gérer.
Les appareils IoT sont vulnérables pour cinq raisons structurelles. Ils sont souvent livrés avec des mots de passe par défaut ou codés en dur que les utilisateurs ne modifient jamais. Ils fonctionnent avec des systèmes d'exploitation propriétaires ou intégrés qui ne peuvent pas héberger d'agents de sécurité. Ils reçoivent rarement des mises à jour de micrologiciels, 60 % des violations IoT étant attribuées à des micrologiciels non corrigés (2025, deepstrike.io). Ils ont un cycle de vie long, parfois de 10 à 25 ans, sans correctifs de sécurité prévus à la fin du support. Et ils fonctionnent dans un écosystème hétérogène avec des milliers de fabricants et des normes de sécurité incohérentes, ce qui rend la gestion centralisée extrêmement difficile. Ces contraintes signifient que la surveillance au niveau du réseau est souvent le seul moyen viable de détecter lorsqu'un appareil IoT a été compromis.
Les organisations doivent surveiller six cadres réglementaires clés. La loi européenne sur la cyber-résilience prévoit des obligations de déclaration qui entreront en vigueur le 11 septembre 2026, les principales obligations suivant en décembre 2027. La loi britannique PSTI est déjà applicable et interdit les mots de passe par défaut sur les appareils IoT grand public. La norme CISA CPG 2.0, publiée en décembre 2025, définit des objectifs de sécurité unifiés pour les infrastructures critiques américaines en matière d'informatique, d'IoT et d'OT. La norme NIST SP 800-213 propose des contrôles de sécurité spécifiques à l'IoT. La norme IEC 62443 couvre les systèmes d'automatisation et de contrôle industriels. Le programme volontaire de labellisation FCC U.S. Cyber Trust Mark est en attente d'un nouvel administrateur après le retrait de UL Solutions en décembre 2025.
La gestion des appareils IoT englobe les processus et les outils nécessaires à l'approvisionnement, à la surveillance, à la mise à jour et à la mise hors service des appareils connectés tout au long de leur cycle de vie. Elle comprend la détection automatisée des actifs afin de maintenir un inventaire en temps réel de chaque appareil connecté, la gestion des mises à jour du micrologiciel afin de corriger les vulnérabilités connues, la gestion de la configuration afin d'appliquer les normes de sécurité de base, le contrôle d'accès afin de limiter les communications des appareils aux services autorisés, et la surveillance de l'état afin de détecter les appareils dégradés ou compromis. Une gestion efficace des appareils est fondamentale pour la sécurité de l'IoT, car les organisations ne peuvent pas protéger des appareils dont elles n'ont pas connaissance. Le NIST et la CISA soulignent tous deux que l'inventaire des appareils est la première étape de tout programme de sécurité IoT, et le cadre de bonnes pratiques en huit étapes décrit ci-dessus commence par cette capacité pour une bonne raison.