À partir du 1er août 2025, l’Union européenne instaurera un changement majeur pour les objets connectés : toute technologie utilisant des ondes radio devra intégrer, dès la conception, des exigences strictes de cybersécurité. Cette mesure concerne tant les industriels de l’IoT que les importateurs, distributeurs ou plateformes en ligne, sous peine de retrait du marché européen en cas de non-conformité. Cette décision vise à répondre à l’enchevêtrement technologique où objets connectés et intelligence artificielle se conjuguent pour manipuler des volumes croissants de données sensibles.
Les objets connectés – montres, caméras, enceintes, babyphones, voitures autonomes, équipements domotiques – sont désormais présents dans chaque secteur : domiciles, entreprises, infrastructures publiques et espaces critiques tels que la santé, la justice ou la défense. Ces devices, souvent commandés par une intelligence artificielle, deviennent à la fois vecteurs d’innovation et points d’entrée pour la cybercriminalité. Selon le rapport du NTC publié en mai 2025, 70 % des objets testés ne satisfont pas aux futures exigences : faible robustesse des mots de passe, absence de chiffrement, mises à jour impossibles et portes ouvertes à la prise de contrôle à distance. Conséquences : formation de botnets, vols ou fuites de données personnelles, chantage, compromission d’infrastructures critiques.
La réglementation s’appuie sur les principes de “security by design” et de “confidentialité by default” : exigences de chiffrement fort, mots de passe robustes, mises à jour logicielles sécurisées et gestion fine des accès. De nouveaux contrôles et certifications seront mis en place, dont la conformité deviendra indispensable pour commercialiser un device. Cette évolution transformera profondément la chaîne industrielle : intégration du DevSecOps dès le prototypage, nouveaux standards d’intégration logicielle, moments cruciaux d’auditabilité.
L’irruption de l’intelligence artificielle dans l’IoT aggrave encore la complexité. IA embarquée pour la reconnaissance faciale, prédiction comportementale, maintenance préventive… Elle s’impose dans la santé, la justice ou la défense, mais révèle ses limites face à l’imprévisibilité humaine. Ainsi, la Cour de cassation encadre l’IA à l’analyse documentaire, la refusant comme décisionnaire autonome. L’IA reste vulnérable : incapacité à gérer certains contextes, risques de manipulation ou de biais algorithmique, interrogation sur l’opacité et la gouvernance des algorithmes.
L’Europe poursuit un double objectif : restaurer une confiance numérique malmenée par de multiples attaques (botnets, espionnage, détournement de caméras ou d’alarme, compromission de smart homes et d’hôpitaux) et reprendre la souveraineté technologique. L’accent est mis sur la fiabilité, l’auditabilité et la documentation robuste, sans jamais sacrifier l’innovation.
Aujourd’hui, environ 15 milliards d’objets connectés circulent dans le monde, dont plusieurs centaines de millions en Europe. Ce chiffre devrait doubler d’ici 2030, accentuant la surface d’attaque potentielle. Selon une étude NTC, 87 % des objets testés présentaient au moins une vulnérabilité majeure. L’Europe souhaite devancer les États-Unis (modèle “innove d’abord, sécurise ensuite”) et la Chine (conformité stricte mais faible respect de la vie privée), pour inventer une voie propre, équilibrant innovation, conformité et protections des données.
Derrière la réglementation, les défis techniques persistent : beaucoup de devices reposent sur des architectures logicielles peu robustes ; protocoles non chiffrés (MQTT, Zigbee, Z-Wave), firmwares obsolètes, mises à jour OTA non signées. Les microcontrôleurs “AI-ready” (Edge TPU, Jetson Nano) complexifient encore le contrôle et l’audit de la chaîne logicielle. Les responsables informatiques des entreprises – DSI et RSSI – doivent renforcer leur politique “zero trust”, masquer le Shadow IT de l’IoT et organiser la remédiation automatisée.
Sur le terrain, les intrusions et détournements restent courants : signalements mensuels à l’ANSSI ou l’ENISA, objets zombifiés enrôlés dans des botnets pour attaquer hôpitaux ou administrations. Les obligations RGPD se croisent, imposant auditabilité et sanction possible en cas de défaut de protection des données personnelles ou d’indisponibilité des droits d’accès, d’effacement et de portabilité.
Les institutions européennes exigent désormais des audits réguliers des modèles d’IA embarqués : explicabilité des décisions, surveillance humaine sur toute action à conséquence majeure (justice, santé, armée). Même la consommation énergétique des algorithmes entre dans les critères d’évaluation et de balance coûts/bénéfices, à l’heure où edge, cloud et IA norment l’innovation.
La nouvelle réglementation attend une mobilisation de l’ensemble de l’écosystème : fabricants, éditeurs logiciels, opérateurs, intégrateurs, utilisateurs, chacun voit sa responsabilité clarifiée et élargie à toutes les étapes de la chaîne, de la conception à l’utilisation finale. D’ici l’été 2025, la conformité sera le passage obligé de l’innovation dans l’IoT, entraînant une dynamique inédite d’audit et d’amélioration continue, au service de la confiance numérique.
À l’heure où IA, hardware et cloud se rejoignent dans les objets du quotidien, la sécurité devient la condition unique de l’innovation, de la souveraineté et de la confiance partagée. Pour l’Europe, il s’agit de prendre le leadership mondial du numérique responsable : l’affaire de tous, professionnels comme citoyens.
