Sécuriser les objets connectés en entreprise : prévenir les risques de piratage et d’intrusion physique

Comprendre les risques liés aux objets connectés en entreprise

Les objets connectés en entreprise (caméras IP, capteurs, badges d’accès, thermostats intelligents, serrures connectées, systèmes d’alarme, etc.) se sont imposés comme des outils stratégiques de performance et de sécurité. Selon une étude de l’IDC, plus de 55 milliards d’appareils IoT pourraient être déployés dans le monde d’ici 2025, dont une part significative en milieu professionnel. Mais cette connectivité accrue s’accompagne d’une multiplication des risques de piratage, de vols de données et d’intrusion physique.

Dans un contexte où les cyberattaques visant l’Internet des objets (IoT) ont augmenté de plus de 300 % en cinq ans (données Kaspersky et ENISA), sécuriser les objets connectés en entreprise n’est plus une option. Chaque capteur, chaque caméra de vidéosurveillance et chaque badge RFID représente un point potentiel d’entrée pour un attaquant, aussi bien dans le réseau informatique que dans les locaux physiques.

Objets connectés et intrusion physique : une menace sous-estimée

On associe souvent la sécurité des objets connectés à la seule cybersécurité. Pourtant, le risque d’intrusion physique est tout aussi critique. Un pirate qui prend le contrôle d’une serrure connectée, d’un système de contrôle d’accès ou d’une alarme intelligente peut pénétrer dans des zones sensibles sans laisser de traces visibles.

Parmi les scénarios les plus fréquents :

• Prise de contrôle d’une caméra IP pour observer les habitudes du personnel, identifier les zones peu surveillées et préparer un cambriolage.
• Neutralisation à distance d’un système d’alarme connecté avant une intrusion dans un entrepôt, un data center ou un magasin.
• Clonage de badges RFID ou NFC via des vulnérabilités rencontrées sur le système IoT de contrôle d’accès.
• Ouverture de serrures intelligentes mal configurées ou non mises à jour, parfois en quelques secondes.

Ce lien entre cybersécurité et sûreté physique est désormais au cœur des préoccupations des responsables sécurité, RSSI et DSI. L’enjeu est double : protéger les données numériques et empêcher tout accès non autorisé aux bâtiments, bureaux et zones critiques.

Pourquoi les objets connectés sont-ils si vulnérables ?

Les objets connectés en entreprise souffrent souvent des mêmes faiblesses structurelles :

• Mots de passe par défaut rarement changés, parfois identiques pour des milliers d’appareils.
• Absence de chiffrement (ou chiffrement faible) des communications entre l’objet et le serveur.
• Firmware obsolète, avec des failles connues mais non corrigées faute de mises à jour régulières.
• Portails d’administration accessibles depuis Internet sans filtrage réseau suffisant.
• Manque de segmentation réseau : caméras, capteurs et postes de travail se retrouvent sur le même VLAN.
• Prise en compte insuffisante de la sécurité dès la phase de conception (IoT “low cost” non sécurisé).

Selon plusieurs études sectorielles, près de 70 % des appareils IoT déployés dans les entreprises utiliseraient encore des identifiants d’usine ou des mots de passe facilement devinables. Pour un attaquant, il devient alors simple de scanner un réseau, d’identifier le modèle de l’appareil, puis d’essayer les combinaisons les plus courantes.

Évaluer le niveau de risque : cartographier les objets connectés

Avant de sécuriser les objets connectés en entreprise, la première étape consiste à savoir précisément quels sont les équipements en place et où ils se trouvent. De nombreuses organisations sous-estiment leur parc réel d’objets connectés, en particulier lorsque certaines équipes ont déployé des solutions de sécurité (caméras, interphones, capteurs) sans coordination avec la DSI ou le RSSI.

Une démarche structurée peut inclure :

• Un inventaire complet des équipements IoT (caméras IP, NVR, capteurs, serrures, bornes, badges, systèmes d’alarme, interphones, etc.).
• L’identification des modèles, versions de firmware, constructeurs et dates d’installation.
• La localisation précise des appareils (zones sensibles, zones publiques, périmètre extérieur, parking…).
• L’analyse des connexions réseau : VLAN utilisés, contacts vers Internet, liens avec les serveurs internes.
• La revue des accès distants (VPN, accès cloud du fabricant, applications mobiles utilisées par les équipes).

Cette cartographie permet de hiérarchiser les risques. Un badge d’accès mal sécurisé sur l’entrée d’un data center ou une caméra connectée positionnée sur un coffre-fort n’ont évidemment pas le même impact qu’un capteur de température dans un couloir technique.

Bonnes pratiques pour sécuriser les objets connectés en entreprise

Une fois l’inventaire réalisé, la mise en place de bonnes pratiques de cybersécurité et de sûreté devient essentielle. Certaines mesures s’appliquent à l’ensemble du parc IoT, quel que soit le fabricant.

1. Changer systématiquement les identifiants par défaut

Les mots de passe par défaut constituent la première porte d’entrée pour les pirates. Il est indispensable de :

• Modifier les identifiants d’administration lors de l’installation de chaque appareil.
• Utiliser des mots de passe robustes (minimum 12 caractères, mélange de lettres, chiffres, caractères spéciaux).
• Mettre en place une politique de changement régulier des mots de passe, notamment pour les comptes à privilèges.
• Limiter le nombre de comptes administrateurs aux seules personnes habilitées.

2. Segmenter le réseau et isoler les objets connectés

La segmentation réseau est une mesure clé pour réduire l’impact d’un piratage. En séparant les objets connectés du reste du système d’information, on limite la propagation d’une attaque.

• Créer un ou plusieurs VLAN dédiés aux équipements IoT (caméras, contrôles d’accès, capteurs…).
• Appliquer des règles de filtrage strictes entre ces VLAN et le réseau de production (serveurs, postes de travail).
• Restreindre les connexions sortantes vers Internet uniquement aux services indispensables (ex. mises à jour firmware).
• Limiter les accès à distance aux seules adresses IP et comptes autorisés.

3. Tenir les firmwares et logiciels à jour

Les fabricants publient régulièrement des mises à jour corrigeant des vulnérabilités de sécurité. Pourtant, une part importante des parcs IoT reste figée sur des versions obsolètes, faute de processus de mise à jour.

• Mettre en place une politique de mises à jour régulières, planifiées et documentées.
• Tester les nouveaux firmwares sur un échantillon restreint avant un déploiement global.
• Surveiller les bulletins de sécurité des constructeurs et des CERT (Computer Emergency Response Team).
• Prévoir un remplacement anticipé des appareils dont le support logiciel n’est plus assuré.

4. Chiffrer les communications et les données sensibles

Pour éviter l’interception de flux vidéo, de logs d’accès ou de données techniques, il est essentiel d’activer le chiffrement dès que possible.

• Utiliser des protocoles sécurisés (HTTPS, TLS, SSH) pour l’administration à distance.
• Activer le chiffrement des flux vidéo sur les caméras IP et enregistreurs (NVR) compatibles.
• Chiffrer les données stockées localement sur les serveurs d’enregistrement et de supervision.
• S’assurer de la robustesse des certificats utilisés (taille de clé, algorithmes recommandés).

5. Renforcer la sécurité physique des équipements IoT

Sécuriser les objets connectés, c’est aussi limiter les manipulations physiques non autorisées. Un intrus capable de débrancher, de réinitialiser ou de remplacer un appareil peut contourner les protections logicielles.

• Installer les caméras, capteurs et lecteurs de badges hors de portée directe lorsque c’est possible.
• Protéger les coffrets techniques, baies de brassage et armoires électriques par des serrures physiques.
• Surveiller les points de concentration (NVR, contrôleurs d’accès, switches PoE) à l’aide de systèmes d’alarme ou de vidéosurveillance.
• Mettre en place des scellés de sécurité sur les boîtiers sensibles.

Politiques de sécurité, audits et sensibilisation des équipes

La sécurisation des objets connectés ne repose pas uniquement sur la technologie. Elle implique aussi une gouvernance claire et une implication durable des équipes.

Plusieurs axes sont à travailler :

• Politiques de sécurité IoT : intégrer explicitement les équipements connectés dans les chartes de sécurité de l’entreprise (choix des fournisseurs, exigences minimales, procédures d’installation et de retrait).
• Audits réguliers : programmé tous les 12 à 24 mois, un audit de sécurité IoT permet de détecter les failles, les appareils oubliés, les configurations risquées et les dérives d’usage.
• Sensibilisation des équipes : les services sécurité, informatique, maintenance et même les prestataires doivent être formés aux risques liés aux objets connectés (mots de passe, mises à jour, stockage des données, gestion des accès).
• Gestion du cycle de vie : prévoir le retrait sécurisé des équipements (effacement des données, réinitialisation, destruction des supports sensibles) lors de leur remplacement.

Choisir des objets connectés adaptés aux exigences de sécurité

Le choix du matériel joue un rôle déterminant dans la sécurité globale de l’infrastructure. Tous les objets connectés ne se valent pas, en particulier sur le plan de la cybersécurité.

Avant d’acheter une caméra IP, un système de contrôle d’accès ou une serrure connectée pour un environnement professionnel, il est pertinent d’évaluer :

• La réputation du fabricant en matière de sécurité (historique de failles, réactivité des correctifs, transparence).
• La disponibilité de mises à jour régulières et la durée de support annoncée.
• Les fonctionnalités de sécurité intégrées (chiffrement, logs détaillés, gestion fine des droits, compatibilité avec des solutions SIEM).
• La possibilité d’intégrer l’appareil dans une architecture segmentée (compatibilité réseau, protocoles supportés).
• Les certifications éventuelles (ANSSI, ISO/IEC 27001, normes spécifiques aux systèmes d’alarme ou de contrôle d’accès).

Pour des environnements sensibles (industrie, santé, finance, data centers), il est conseillé de privilégier des gammes professionnelles de systèmes de sécurité connectés, conçues avec une approche “security by design”. Ces produits intègrent généralement des mécanismes de protection plus avancés et une meilleure traçabilité des événements de sécurité.

Vers une approche globale de la sécurité des systèmes connectés

Les frontières entre cybersécurité et sûreté physique s’estompent au fur et à mesure que les systèmes de sécurité se connectent et s’intègrent entre eux. Un système de vidéosurveillance IP, une alarme anti-intrusion intelligente ou un contrôle d’accès biométrique ne doivent plus être considérés comme des îlots isolés, mais comme des composants d’un système d’information étendu.

Adopter une approche globale signifie :

• Penser conjointement sécurité réseau, protection des données et protection des locaux.
• Assurer une coordination étroite entre DSI, RSSI, direction sécurité/sûreté et direction générale.
• Intégrer la sécurité IoT dans les projets de transformation digitale, dès la phase de conception.
• Investir à la fois dans des équipements de sécurité adaptés et dans des solutions logicielles de supervision et de corrélation d’événements.

Dans ce cadre, sécuriser les objets connectés en entreprise devient un levier de confiance pour les clients, les partenaires et les collaborateurs. En limitant les risques de piratage et d’intrusion physique, l’organisation protège son patrimoine informationnel, ses actifs matériels et, plus largement, la continuité de son activité.