Cybersécurité et IA : comment l’IoT et l’IA révolutionnent défense et sécurité

Dans un univers où chaque babyphone, montre connectée ou capteur industriel échange en temps réel avec des plateformes cloud, l’interconnexion massive des objets – l’Internet des objets (IoT) – devient une réalité incontournable aussi bien chez les particuliers que pour les acteurs publics ou la défense. En parallèle, l’IA s’immisce dans tous les processus : automatisation de la justice, pilotage de drones et de robots autonomes, sécurisation de la maison connectée… Depuis les années 2020, cette convergence IoT/IA connaît une croissance rapide, appelée à s’accélérer avec l’entrée en vigueur des nouvelles directives européennes d’ici 2025. Mais ce mouvement porte aussi son lot de défis inédits.

Cette révolution technologique concerne pratiquement tout le monde : fabricants européens, soumis à la future directive sur la sécurité des objets connectés (août 2025), institutions judiciaires, entreprises technologiques, armées, collectivités, et bien sûr, usagers individuels. Du côté des menaces, les failles de cybersécurité abondent : mots de passe faibles, absence de chiffrement, botnets furtifs, souvent reléguées au second plan face à l’urgence de mise sur le marché. Mais l’IA et le big data offrent également de nouveaux leviers pour prédire les risques, surveiller en temps réel, accroître le niveau d’automatisation et traiter d’immenses volumes de données.

Cette rencontre technologique s’étend des foyers privés aux tribunaux, des villes aux salles de commandement militaires. Elle pousse à la refonte des standards de sécurité, au développement d’un dialogue éthique sur la prise de décision algorithmique et à la mobilisation collective pour que l’innovation reste synonyme de confiance — et non de nouvelle vulnérabilité.

L’écosystème européen : réglementation et risques persistants

L’écosystème numérique européen s’apprête à franchir un cap à la fois réglementaire et technique. Selon Statista, le nombre d’objets connectés dans le monde dépassera les 30 milliards d’unités d’ici 2030, contre 15 milliards en 2023. Rien qu’en Europe, plus d’un million de caméras IP ou de babyphones sont utilisés à domicile ou dans des infrastructures publiques, avec des failles logicielles majeures souvent relevées.

Le 1er août 2025 marquera l’entrée en vigueur de la nouvelle directive européenne sur la sécurité des équipements radioélectriques, imposant des exigences inédites : ne pas perturber les réseaux, garantir la confidentialité des données, bloquer les usages frauduleux. Les fabricants non conformes risqueront l’interdiction pure et simple de leurs produits sur le marché européen. Une étude de l’Institut national suisse de test pour la cybersécurité (NTC) montre cependant que la majorité des objets analysés présentent encore des vulnérabilités flagrantes : mots de passe par défaut, absence de chiffrement, mises à jour difficiles.

« Il faut impérativement que nous corrigions le retard de la filière sur la sécurité numérique, sinon ce sont nos vies privées et, à terme, nos infrastructures critiques qui sont exposées», alerte Sandrine Zientara, présidente de chambre à la Cour de cassation et pilote du dernier rapport sur l’IA dans la Justice (avril 2025).

En France, Judilibre diffuse déjà plus d’un million de décisions de justice anonymisées et exploitables par l’IA pour recherche automatisée, catégorisation ou extraction de jurisprudence. Ce volume devrait doubler d’ici fin 2025. Toutefois, la Cour de cassation insiste : la décision judiciaire finale reste humaine, l’algorithme n’ayant qu’un rôle d’aide à la décision et à la gestion des volumes.

Défense, automatisation et effets de réseau

Du côté de la défense, l’automatisation par IA s’impose : capteurs connectés, big data pour anticiper des mouvements hostiles, maintenance prédictive, détection automatisée. Plus de 250 projets d’IA appliquée à la sécurité seraient en cours en Europe selon le ministère des Armées, du drone autonome au renseignement stratégique.

Mais la sophistication de ces technologies et l’essor de l’IoT créent un effet réseau qui multiplie les surfaces d’attaque. Chaque capteur domestique ou industriel peut servir de point d’entrée à une compromission généralisée, comme l’a démontré l’attaque Mirai en 2016. L’actualité récente montre que les botnets hospitaliers ou industriels sont toujours d’actualité.

Face à cette menace, le monde de la justice et de la défense adopte désormais des garde-fous algorithmiques : audits réguliers, data scientists aux côtés des experts métiers, impératif d’explicabilité pour toute décision assistée par algorithme. Les standards techniques et réglementaires, notamment ceux attendus pour 2025, pourraient devenir de véritables références internationales.

« La transformation numérique doit impérativement s’accompagner d’exigences éthiques et sécuritaires. L’innovation sans garde-fous, c’est ouvrir la porte à tous les détournements», prévient Christophe Soulard, Premier président de la Cour de cassation.

La transition vers des infrastructures pilotées par l’IA et l’IoT appelle un saut qualitatif en matière de cybersécurité, de régulation et d’approche éthique : sans progrès dans ces domaines, la confiance envers la « smart society » risque de s’effriter sous le poids des attaques ou des biais d’algorithmes mal contrôlés. Il ne s’agit plus simplement de gadgets connectés, mais de la solidité de nos sociétés.

Contexte historique et international

La convergence IA/IoT s’inscrit aussi dans une dynamique historique : depuis l’automatisation industrielle des années 1970–1980 jusqu’à la démocratisation des objets connectés à partir des années 2010. International Data Corporation estime qu’on atteindra 42 milliards d’objets connectés déployés en 2025, aussi bien pour la domotique, la santé, l’automobile, les smart cities que pour les infrastructures critiques et la défense.

Le développement de l’IA — notamment le machine learning et la vision par ordinateur — dépasse la simple robotique ou l’analyse de données : il devient le cœur des dispositifs de gestion de crise et de prise de décision en temps réel.

L’histoire récente de l’IoT montre que l’innovation rapidité a souvent primé sur la sécurité. Entre 2016 et 2022, des attaques massives de type botnet ont démontré la vulnérabilité structurelle des objets connectés, servant à l’espionnage, au sabotage, à la collecte illégale de données ou à la déstabilisation d’États.

L’Europe, pionnière en matière de régulation, a rapidement réagi par le RGPD mais aussi grâce à des directives spécifiques, imposant désormais aux fabricants un vrai cahier des charges cybersécurité : mise à jour, chiffrement, gestion des accès. À l’échelle internationale, les États-Unis privilégient l’innovation technique tandis qu’en Asie, la priorité est donnée aux smart cities ultra connectées, parfois au détriment de la vie privée.

IA, Justice, Défense : nouveaux usages, nouvelles vulnérabilités

Si l’IoT s’accompagnait déjà d’un risque de « diffusion d’attaque », la montée en puissance de l’IA rebat les cartes, aussi bien dans la justice — pour l’anonymisation et le traitement massif de dossiers — que dans la défense, avec l’automatisation renforcée des chaînes de décision : drones autonomes, systèmes cyber-défensifs auto-adaptatifs.

En 2023, près de la moitié des incidents de cybersécurité majeurs impliquaient des dispositifs IoT ou des systèmes autonomes, d’après l’ENISA.

Quelques ordres de grandeur : en 2023, Statista estimait à plus de 15 milliards le nombre d’objets connectés ; pour 2030 : 29 milliards, soit 4 objets par habitant. Une large part de ces équipements est encore livrée avec des mots de passe par défaut : l’audit du NTC suisse en 2024 révélait que 68 % des babyphones testés utilisaient un seul mot de passe d’usine.

L’attaque Mirai de 2016 a compromis des centaines de milliers d’objets dotés de failles majeures (attaque de 1,2 Tbps) et provoqué des coupures sur Twitter, Netflix ou OVH. Les variantes de ces malwares se concentrent désormais sur les capteurs industriels et les assistants vocaux.

En justice, l’IA est déjà concrète : le logiciel d’anonymisation de la Cour de cassation retire automatiquement les noms, adresses et détails privés des décisions publiées. Près d’un million de décisions devraient être traitées ainsi chaque année en France d’ici 2025.

Mais sur la vision par ordinateur, la marge de progression est réelle : les IA plafonnent à 58 % de précision sur l’analyse de vidéo complexe, contre 94 % chez l’humain (John Hopkins, 2024) — ce qui reste un enjeu critique pour la sécurité des véhicules autonomes ou la vidéosurveillance.

La militarisation de l’IA/IoT progresse également : les essaims de micro-drones (swarm drones) pilotés par IA sont, par exemple, testés pour des missions de renseignement ou d’attaque coordonnée, à partir de jeux de données associant captations réelles et simulations.

Sécurité « by design », open source et enjeux écologiques

Du côté industriel, la sécurité « by design » s’impose comme doctrine : mécanismes de mise à jour automatique, gestion des droits d’accès, auditabilité. La norme ETSI EN 303 645 recommande désormais l’abandon des mots de passe par défaut.

À noter aussi, l’empreinte énergétique de l’IA : l’entraînement d’un modèle comme GPT-3 consomme autant d’énergie que dix années d’électricité d’une famille européenne. La question de l’arbitrage entre efficacité, coût écologique et sécurité se pose dans la justice comme dans la défense.

Face à l’opacité de certains logiciels propriétaires, la France mise sur l’open source, encouragé par l’ANSSI pour les firmwares sensibles : auditabilité, mutualisation des correctifs, indépendance stratégique.

Perspectives, vigilance et ressources

La convergence entre IA et IoT n’en est encore qu’à ses débuts. Sur le terrain, industriels, chercheurs et institutions publiques multiplient les expérimentations ; pour tous, grand public comme organisations critiques, la vigilance sur les mises à jour, la sélection de solutions respectueuses des données, et la sensibilisation à la cybersécurité deviennent des réflexes essentiels.

Les rapports publiés par des laboratoires, des associations professionnelles, des agences comme l’ANSSI et des instituts indépendants tels que le NTC permettent de suivre au plus près les évolutions, tandis que la participation à des veilles ou à des hackathons nourrit la culture de l’open source et du partage d’expérience.

Alors que les cas d’usage et les choix technologiques évoluent rapidement, il sera essentiel de surveiller l’application effective des nouvelles directives européennes, la montée en puissance des solutions « by design » orientées vers l’éthique et la sécurité, et l’évolution des benchmarks sur les performances des IA embarquées.

À suivre : newsletter du CIGREF, mises à jour de la CNIL, grands rendez-vous tech et sciences en Europe (KubeCon, European Cyber Week, etc.).