À l’heure où l’Internet des objets s’invite dans tous les foyers et entreprises, et où l’intelligence artificielle prend une place croissante dans l’automatisation du quotidien, la question de la cybersécurité devient cruciale : qui protège nos données, comment, et avec quelles limites réelles face aux nouvelles menaces ?
Particuliers, familles, entreprises, collectivités : toute la société est concernée, des utilisateurs de maisons intelligentes aux responsables IT et DevOps dans les grandes organisations. L’explosion du nombre d’objets connectés (« Internet of Things ») dans nos vies (caméras, babyphones, montres, alarmes, assistants vocaux…) inaugure une nouvelle ère, où l’intelligence artificielle et l’automatisation sont censées améliorer la sécurité et la gestion de ces équipements, mais révèlent aussi de nouvelles failles critiques. Mot de passe par défaut, chiffrement faible, absence de mises à jour : le maillon faible persiste. La directive européenne sur la sécurité numérique des objets connectés entrera en vigueur le 1er août 2025, imposant des exigences drastiques aux industriels, mais la conformité tarde.
Dès maintenant, partout en Europe : la maison, le bureau, les réseaux industriels, les infrastructures publiques sont concernés, avec l’échéance d’août 2025 pour la directive RED qui constitue un tournant réglementaire majeur. L’intégration massive de modules IoT connectés en WiFi/Bluetooth, l’exploitation de plateformes cloud, le recours au big data et au machine learning pour analyser les flux et automatiser la détection des menaces sont au cœur des dispositifs actuels. Mais les limites structurelles des IA actuelles en traitement de scènes dynamiques et de signaux faibles laissent passer des attaquants de plus en plus ingénieux.
L’enjeu est double : efficacité, confort et innovation, mais aussi résilience numérique face à des enjeux grandissants de vie privée, de conformité RGPD, et de protection contre les cyberattaques (exploitation des appareils pour lancer des attaques DDoS, espionnage domestique, manipulation de dispositifs domotiques…). Aujourd’hui, chaque acteur – industriel, distributeur, expert DevOps/SecOps mais aussi utilisateur final – doit s’emparer du sujet. Des solutions open source (Home Assistant, outils DevSecOps), réglementaires ou issues du machine learning s’imposent comme le nouveau front de la sécurité numérique dans une société toujours plus automatisée.
La révolution de l’Internet des objets sous contraintes réglementaires
La révolution de l’Internet des objets bat son plein : selon les projections de Statista, plus de 30 milliards d’objets connectés seront déployés dans le monde d’ici 2030. En Europe, ce maillage technologique s’apprête à connaître un nouveau tournant réglementaire, avec l’entrée en vigueur au 1er août 2025 de la directive européenne sur les équipements radioélectriques (RED). Cette réglementation impose des exigences de cybersécurité sur tous les produits communicants : montres, babyphones, alarmes, prises intelligentes, mais aussi vêtements, bijoux et jouets connectés.
Sur le terrain, la plupart des dispositifs analysés en 2024 présentent des failles majeures : mots de passe par défaut facilement accessibles, absence ou faiblesse du chiffrement, mécanismes de mises à jour obsolètes ou inexistants. « La non-conformité aux principes de sécurité numérique justifiera l’interdiction de commercialisation sur le territoire européen », rappelle l’autorité européenne, insistant sur le partage de la responsabilité entre fabricants, importateurs et distributeurs. À titre d’exemple, 60 % des babyphones et des caméras connectées analysés fin 2024 étaient vulnérables à la prise de contrôle distante.
Les attaques par botnets d’objets connectés, utilisés comme armes pour saturer ou espionner (DDoS, captation d’images, extorsion de données), se multiplient. En 2023, la vague d’attaques Mirai-like a touché des milliers de foyers européens. Conséquence directe : la confiance des utilisateurs est en berne, et les acteurs industriels accélèrent leur mise en conformité et leur roadmap DevSecOps sous peine de voir leurs produits déréférencés.
L’intelligence artificielle n’est cependant pas la baguette magique attendue. Comme le souligne une équipe de l’Université Johns Hopkins, « l’IA peine à décoder des scènes en mouvement ou à anticiper des comportements ; son analyse sur des environnements complexes ou imprévisibles reste inférieure à celle d’un humain ». Les algorithmes sont largement entraînés sur des images fixes, rarement sur des dynamiques et variations contextuelles du réel.
Pour les décideurs, le défi est de garantir la conformité — donc la viabilité commerciale — des produits IoT, tout en adoptant une innovation responsable. La Cour de cassation rappelle dans un rapport que « chaque cas d’usage IA doit être évalué selon son apport réel, tout en considérant son impact éthique, énergétique et environnemental ».
La réglementation pousse l’écosystème à combler le fossé entre avancées technologiques et sécurité réelle des usages. Ceux qui n’anticiperont pas ce virage prudentiel seront confrontés à des sanctions réglementaires et à une défiance croissante du marché : particuliers comme entreprises n’acceptent plus de sacrifier leur vie privée ou la continuité de service sur l’autel de l’innovation mal sécurisée.
De l’objet individuel à la société connectée : enjeux et menaces
De l’objet individuel à la société connectée, l’essor fulgurant de l’Internet des objets (IoT) a profondément transformé la relation entre utilisateur, industrie et infrastructures. En 2024, plus de 15 milliards d’objets connectés circulent, un chiffre qui pourrait dépasser les 30 milliards d’ici 2030. Cette vague touche aussi bien les jouets pour enfants, la santé (télésurveillance, capteurs médicaux), l’industrie (capteurs IIoT), la sécurité de la maison, et jusqu’aux systèmes critiques urbains (Smart City).
Par leur multiplication, ces objets génèrent un déluge de données dites « massives », dont les volumes mondiaux doublent quasiment tous les 18 à 24 mois. 80 % de ces données seraient aujourd’hui générées en dehors des data centers traditionnels, à la périphérie des réseaux (edge computing). Chaque micro-contrôleur mal sécurisé peut devenir la porte d’entrée d’une attaque à grande échelle.
Historiquement, le secteur a privilégié le time-to-market et la fonctionnalité, reléguant la sécurité au second plan : mots de passe « admin/admin », mises à jour impossibles ou protocoles radio propriétaires non chiffrés sont monnaie courante. Selon une étude du NTC suisse (2025), une majorité des produits IoT grand public reste non conforme aux minimums de cybersécurité attendus.
La sensibilisation réglementaire a pris du retard. La directive européenne sur les équipements radioélectriques de 2014 n’intégrait pas de véritables exigences natives de cybersécurité. C’est avec la révision de 2021 et l’application prévue pour août 2025 que la conformité devient réellement contraignante.
Sur le plan international, l’Europe s’aligne désormais avec l’Asie ou les États-Unis sur l’exigence de conformité, bien qu’avec quelques années de retard. Les États-Unis renforcent chaque année leur arsenal réglementaire sur la chaîne d’approvisionnement des objets critiques, tandis que la Chine impose à ses fabricants locaux des contrôles de sécurité plus stricts, dans un écosystème moins interopérable. La France, de son côté, sert de laboratoire technique par la dématérialisation des services publics, la smart home généralisée et le recours croissant à l’IA dans l’administration, mais aussi par une exposition accrue si la sécurité ne progresse pas aussi vite que l’innovation.
Cybersécurité IoT : IA, vulnérabilités et nouveaux défis
L’intégration du machine learning et du deep learning dans la cybersécurité a transformé la détection d’anomalies et l’analyse des logs, mais certaines failles structurelles subsistent. L’IA excelle sur des jeux de données massifs ou structurés, mais peine à analyser des comportements humains complexes ou à anticiper la « créativité » des attaquants.
Le nombre d’objets non conformes reste préoccupant : selon l’étude du NTC (2025), plus de 70 % des objets connectés grand public testés présentent au moins une vulnérabilité critique, comme un mot de passe admin par défaut ou des mises à jour firmware non signées. IDC estime que le nombre d’objets connectés dans le monde dépassera les 30 milliards d’ici 2025, soit près de quatre objets par personne. Chez les technophiles, un foyer moyen gère déjà 15 à 20 devices via Home Assistant ou équivalent.
La menace des botnets se confirme : les attaques DDoS via objets connectés ont été multipliées par cinq en trois ans selon Akamai. Le botnet Mirai, qui a détourné des milliers de caméras IP via des failles simplistes, a déjà généré jusqu’à 1,2 Tbps de trafic malveillant.
La question de la sobriété énergétique survient également : la centralisation des données et le traitement IA en edge ou cloud font grimper la facture : entraîner un modèle IA de reconnaissance vidéo consomme parfois autant d’électricité qu’une centaine de foyers par an.
Du côté des mises à jour logicielles, près de 40 % des produits testés par le NTC ne proposent aucun mécanisme automatique fiable de mise à jour firmware, alors que plus de 60 % des incidents de cybersécurité dans les environnements hybrides sont dus à des devices non patchés selon Gartner.
L’adoption de pratiques DevSecOps côté industriels reste limitée : moins de 15 % des fabricants d’objets grand public intègrent un scanning automatisé de vulnérabilités à chaque release. Côté cloud et backend, la pratique est désormais standard via des outils comme Trivy, Snyk ou GitLab Secure.
Concrètement, lors d’un POC sur un réseau de maison connectée, une IA classique n’a détecté qu’une intrusion simulée sur cinq lors d’attaques par mouvements inhabituels de devices, là où un humain ou un système de règles contextuelles réussissait davantage. En cause : la difficulté des modèles à comprendre la dynamique des environnements imprévisibles.
La directive européenne « RED » implique qu’à partir du 1er août 2025, un simple jouet connecté ou badge Bluetooth acheté hors UE mais non conforme pourra être interdit de vente sur tout le territoire – une mesure qui va changer la donne pour les vendeurs marketplace.
Certains des projets de sécurité IoT les plus actifs sont issus de l’open source, comme Home Assistant ou OpenWrt. Mais les correctifs peuvent tarder à arriver faute d’investissements suffisants, laissant les utilisateurs exposés s’ils ne surveillent pas de près les issues et changelogs.
Le chemin reste long pour un IoT à la fois sécurisé, automatisé et écoresponsable, tant du côté industriel qu’au niveau domestique. L’adoption des bonnes pratiques DevSecOps, l’intégration de modèles IA robustes et une vigilance continue côté utilisateur font la différence — à condition de bien comprendre les limites humaines et algorithmiques en jeu.
Pour aller plus loin : ressources, communautés et perspectives
Même si la directive européenne d’août 2025 et les innovations IA dans la cybersécurité occupent le devant de la scène, il est important de garder une approche pragmatique : la sécurisation de l’IoT et l’intégration responsable d’algorithmes sont un processus continu. Pour rester informés, particuliers comme professionnels peuvent se tourner vers les sites officiels (ANSSI, CNIL), les communautés open source (GitHub Actions, Framasoft, Slack DevSecOps) ou encore des newsletters spécialisées dans la sécurité.
Pour approfondir le sujet, les publications de l’Institut national de test pour la cybersécurité, les rapports de la Cour de cassation sur la data justice, ou les interventions du Paris Open Source Summit constituent autant de ressources précieuses. Les podcasts comme Sécurité by Design ou NoLimitSecu permettent également de rester connectés à l’essentiel.
