Caméras IP, contrôle d'accès, GTB : ce que vos équipements connectés exposent vraiment

Des capteurs de présence qui optimisent la consommation énergétique, des caméras IP qui alimentent une supervision centralisée, des systèmes de contrôle d'accès pilotés depuis une application mobile, des systèmes de gestion technique du bâtiment (GTB) — ces plateformes qui pilotent depuis une interface unifiée l'éclairage, la climatisation, l'énergie et parfois les accès — : l'environnement physique de l'entreprise est aujourd'hui traversé par des flux de données en continu. Ce qui était une innovation il y a cinq ans est maintenant une infrastructure ordinaire dans la plupart des sites tertiaires, industriels ou logistiques.

Le problème n'est pas la technologie. Le problème est ce qu'on en fait — ou plutôt ce qu'on oublie de faire. Dans la grande majorité des organisations, les dispositifs IoT de sécurité physique ont été déployés par les équipes sûreté, opèrent sur des réseaux administrés par les équipes IT, et ne font l'objet d'aucune gouvernance claire entre ces deux univers. C'est dans cet espace non gouverné que les risques réels prennent forme.

Des équipements de sûreté devenus une surface d'attaque

Le marché mondial des bâtiments connectés devait atteindre 121 milliards de dollars en 2026 selon les données MarketsandMarkets publiées en 2025. Cette croissance rapide s'est accompagnée d'une augmentation proportionnelle de la surface d'attaque disponible.

Les chiffres publiés en 2026 par ORDR, spécialiste de la sécurité IoT, donnent la mesure du phénomène : les entreprises font face en moyenne à 820 000 attaques sur leurs dispositifs IoT chaque jour, soit une hausse de 46 % par rapport à l'année précédente. Plus d'un tiers des violations de données implique désormais un équipement IoT comme point d'entrée initial. Et selon les mêmes données, plus de 50 % des objets connectés déployés en entreprise présentent des vulnérabilités critiques exploitables immédiatement — dont 60 % liées à des firmwares non mis à jour.

Ce dernier point mérite d'être arrêté. Un firmware non mis à jour sur une caméra de vidéoprotection ou un lecteur de badge, c'est une porte laissée entrouverte sur votre réseau — parfois pendant des mois, parfois pendant des années. Ce n'est pas une hypothèse : c'est ce qu'ont documenté les analyses de Verizon DBIR et CybelAngel, qui notent une hausse de 75 % des attaques ciblant les environnements IoT industriels sur les deux dernières années.

Ce qui s'est réellement passé en 2025

L'année 2025 a apporté plusieurs illustrations concrètes de ce risque. En juillet 2025, Google a divulgué le botnet BadBox 2.0 — le plus grand réseau d'appareils connectés compromis jamais documenté, constitué majoritairement d'équipements grand public (téléviseurs connectés, routeurs, caméras IP) exploitant des firmwares obsolètes et des identifiants par défaut. Ce type d'infrastructure peut aussi bien alimenter des attaques DDoS que servir de point de rebond pour atteindre des réseaux d'entreprises.

Plus significatif encore pour les responsables de sécurité physique : le rapport d'activité 2025 de l'ANSSI, publié en mai 2026, recense 1 366 incidents traités sur l'année, avec une montée en puissance notable des exfiltrations de données (196 cas contre 130 en 2024) et des compromissions passant par les équipements de bordure. Les équipements IoT — y compris ceux dédiés à la sécurité physique — font partie de cette catégorie. Une étude sectiorelle publiée début 2026 estime que 28 % des incidents cyber impliquaient un équipement IoT en 2026, contre 15 % en 2024 (ISI Sec, 2026).

La progression est rapide. Et elle touche précisément les équipements qu'on croit être des solutions de protection.

Caméras et contrôle d'accès : les deux zones de risque prioritaires

Dans un environnement connecté typique, deux catégories d'équipements concentrent les vulnérabilités les plus sérieuses du point de vue de la sûreté physique.

Les caméras IP connectées sont omniprésentes. Elles sont aussi l'un des équipements les plus négligés sur le plan de la maintenance cyber. Beaucoup fonctionnent sur des protocoles non chiffrés, avec des identifiants configurés en usine jamais modifiés. Un attaquant qui y accède ne bénéficie pas seulement d'une vue sur vos espaces : il dispose d'un relevé en temps réel de vos procédures, de vos effectifs, de vos routines opérationnelles. C'est un outil de renseignement avant toute chose. Certaines attaques récentes contre des sites industriels ou des établissements de santé ont commencé par la compromission d'une caméra de surveillance, utilisée pour cartographier l'environnement avant une intrusion physique ou une cyberattaque coordonnée.

Les systèmes de contrôle d'accès connectés représentent une menace d'un autre ordre. Comme nous l'avons détaillé dans notre article sur le contrôle d'accès physique en entreprise, les badges RFID basse fréquence à 125 kHz — encore utilisés par une part significative des organisations — sont clonables avec du matériel disponible en ligne pour moins de 300 euros. Mais le risque ne s'arrête pas là : les plateformes logicielles qui pilotent ces systèmes sont, elles aussi, accessibles depuis des réseaux d'entreprise, parfois depuis l'extérieur. Une vulnérabilité dans le logiciel de gestion des accès peut permettre d'ouvrir ou de bloquer des portes à distance, de modifier des droits, ou d'effacer des journaux.

Ces deux catégories partagent un point commun : elles relèvent de la sûreté physique dans leur usage, mais de la cybersécurité dans leurs vecteurs d'attaque. C'est exactement l'espace dans lequel les organisations restent le plus souvent sans réponse organisée.

NIS2 et la chaîne d'approvisionnement IoT : une question que vous ne pouvez plus ignorer

La directive NIS2, dont la transposition française entre dans sa phase finale en 2026 avec les décrets d'application en cours de publication, introduit une exigence qui change structurellement le rapport des organisations à leurs équipements connectés : la sécurité de la chaîne d'approvisionnement.

L'article 21 de la directive impose aux entités concernées — entre 10 000 et 15 000 organisations en France selon l'ANSSI — de gérer les risques pesant non seulement sur leurs propres systèmes, mais sur l'ensemble de leur écosystème de fournisseurs et de prestataires. Cela inclut explicitement les fournisseurs de solutions IoT, de logiciels de gestion de bâtiment (GTB), et de maintenance des systèmes de sécurité physique.

Concrètement, cela signifie poser des questions que peu d'organisations se sont posées jusqu'ici : qui fabrique vos caméras connectées, et quelle est leur politique de mise à jour des firmwares ? Votre prestataire de maintenance sûreté a-t-il accès à vos systèmes à distance, et dans quelles conditions ? Votre fournisseur de contrôle d'accès peut-il démontrer le niveau de sécurité de sa plateforme cloud ? La directive NIS2 ne distingue pas : si votre fournisseur est le maillon faible, c'est votre conformité et votre responsabilité qui sont engagées.

Cette dimension "supply chain" rejoint par ailleurs d'autres textes réglementaires en cours d'entrée en vigueur : le Cyber Resilience Act européen, qui imposera des exigences de sécurité dès la conception pour les produits numériques connectés, avec les premières obligations de signalement de vulnérabilités applicables à partir de septembre 2026. La convergence réglementaire est là. Elle rattrape des pratiques qui, dans beaucoup d'organisations, n'ont pas évolué depuis le déploiement initial de ces équipements.

La convergence physique/SI : sortir du cloisonnement pour gérer les risques réels

La vraie réponse aux risques IoT dans ces environnements n'est pas technique : elle est organisationnelle. Le défi n'est pas d'installer de nouveaux équipements — c'est de faire en sorte que les équipes sûreté et les équipes systèmes d'information partagent une vision commune des risques et une gouvernance commune des réponses.

Ce constat est au cœur de notre analyse de la convergence sûreté-sécurité à l'ère de la transformation numérique : les vulnérabilités les plus graves naissent aux interfaces entre domaines, là où personne n'est clairement responsable. Un accès à une caméra IP qui passe par le réseau IT, géré par la DSI mais branché à un flux vidéo supervisé par le responsable sûreté, avec une maintenance assurée par un prestataire externe ayant accès aux deux : qui est responsable si ce dispositif est compromis ?

Les organisations qui progressent sur ce sujet ne fusionnent pas leurs équipes — elles créent des processus transverses : une cartographie commune de tous les équipements IoT connectés au réseau (y compris ceux qui ne sont pas dans le périmètre IT traditionnel), des procédures de mise à jour des firmwares intégrées dans les contrats de maintenance, des tests de sécurité couvrant simultanément les vecteurs physiques et les vecteurs logiques.

Cette approche est documentée dans l'article CARINEL sur NIS2 et la convergence sécurité physique-cybersécurité : les solutions IoT non maîtrisées figurent parmi les vulnérabilités les plus fréquemment identifiées lors des audits convergents.

Comment CARINEL aborde les environnements IoT dans ses audits

La méthodologie Red Traffic Analyses (RTA) que CARINEL déploie sur ses missions de diagnostic intègre systématiquement la dimension connectée des équipements de sûreté physique. Ce n'est pas un ajout récent : c'est une réalité opérationnelle depuis que les caméras IP, les contrôles d'accès en réseau et les GTB connectés sont devenus la norme dans les sites audités.

En pratique, cela se traduit par plusieurs axes d'analyse qui vont au-delà du seul constat d'installation. L'inventaire des équipements connectés sur les réseaux sûreté — qui inclut souvent des dispositifs oubliés, débranchés mais toujours accessibles, ou installés par des prestataires sans enregistrement formel. La vérification des versions de firmware et des politiques de mise à jour réelles, pas telles qu'elles sont prévues dans les contrats mais telles qu'elles s'appliquent sur le terrain. L'analyse des droits d'accès distants accordés aux prestataires de maintenance. Et la cartographie des responsabilités réelles : qui, dans l'organisation, est en charge de la sécurité des équipements IoT de sûreté, et cette responsabilité est-elle formalisée dans la gouvernance ?

Le Security Circle Model (SCM) permet d'organiser cette analyse par niveaux de criticité : les équipements qui protègent les zones les plus sensibles font l'objet d'une attention prioritaire, tandis que l'ensemble du périmètre connecté est cartographié pour identifier les angles morts. Cette approche est détaillée dans notre article sur la méthodologie d'audit de sécurité et dispositif global de sûreté.

Nous travaillons sur ces missions en coordination avec nos partenaires cyber — notamment Zero Trust et sa plateforme ZDR360+ — pour couvrir les dimensions techniques de la sécurisation réseau et des équipements, sans quitter notre périmètre d'expertise sûreté physique.

Les points d'action prioritaires pour 2026

Sans attendre un audit complet, trois actions permettent d'engager une démarche sérieuse sur la sécurité des environnements IoT de sûreté physique.

La première est l'inventaire. Il est impossible de sécuriser ce qu'on ne voit pas. Dresser la liste exhaustive de tous les équipements IoT connectés — caméras, lecteurs de badge, capteurs, centrales d'alarme en réseau — avec pour chacun le firmware installé, le prestataire de maintenance, et les droits d'accès associés, est le préalable à toute démarche sérieuse.

La deuxième est la révision des contrats de maintenance. La question de la responsabilité des mises à jour de firmware doit figurer explicitement dans les contrats avec les fournisseurs. Si elle n'y est pas, c'est une lacune de gouvernance qui peut constituer un manquement NIS2 pour les organisations concernées.

La troisième est la coordination physique/IT. Organiser a minima une réunion entre les équipes sûreté et les équipes IT autour du périmètre IoT de sécurité physique — qui supervise quoi, quels sont les niveaux d'alerte, quelles sont les procédures en cas de compromission d'un équipement — permet de sortir des angles morts organisationnels les plus dangereux.

Ces trois actions ne remplacent pas un audit structuré. Mais elles créent les conditions pour que l'organisation soit en mesure d'en tirer des conclusions opérationnelles.

Pour aller plus loin

Les enjeux IoT s'inscrivent dans une transformation plus large des risques liés à la sûreté physique. L'impact de l'intelligence artificielle sur les systèmes de sécurité ouvre des perspectives supplémentaires, notamment sur la détection comportementale et les nouvelles vulnérabilités spécifiques aux systèmes IA. La question du contrôle d'accès physique — porte d'entrée la plus commune dans un smart building compromis — est traitée en détail dans notre article dédié.

RDV gratuit avec nos experts : https://www.carinel.com/test-avec-nos-experts

Tél : 01 89 71 59 06 | info@carinel.com | www.carinel.com

SOURCES

• ORDR, IoT Security Statistics 2026, mai 2026 — https://ordr.net/blog/iot-security-statistics

• CybelAngel / Verizon DBIR data, IoT Cybersecurity: Threats, Risks and Controls in 2026, avril 2026

• MarketsandMarkets, Smart Building Market, 2025 (via Chesley Brown, octobre 2025)

• Bitdefender / Netgear, 2025 IoT Security Landscape Report, octobre 2025

• ISI Sec, Actualité cyber 2026 : incidents, réglementations et tendances, 2026 — https://isisec.net/actualites/actualite-cyber-2026/

• ANSSI, Rapport d'activité 2025, mai 2026 — https://cyber.gouv.fr/actualites/publication-du-rapport-dactivite-2025-de-lanssi/

• ANSSI, Panorama de la cybermenace 2024, mars 2025

• EUR-Lex, Directive NIS2 (UE) 2022/2555, article 21 — https://eur-lex.europa.eu

• Synox, Directive NIS2 & IoT B2B, février 2026

• Factorial / SoSafe, NIS2 en France : transposition et obligations 2026

• HID Global / IFSEC, Security Industry Report 2024