L'Avicca et InfraNum rappellent les bonnes pratiques en matière de sécurité des réseaux IoT
L'Avicca et InfraNum font le point sur les risques cyber pesant sur les réseaux d'objets connectés. Si les règles d'hygiène informatique s'appliquent pleinement, les réseaux IoT ont des spécificités, notamment en termes de surface d'attaque. Face à ces enjeux et aux coûts associés, la mutualisation s'impose.
© Adobe stock
Dans un rapport de 2024, l'Anssi recensait une trentaine d'incidents cyber dans le seul secteur de l'eau entre 2021 et 2024. Et dans son panorama de la cybermenace publié en mars 2026 (notre article du 12 mars 2026), l'agence alerte sur le risque de multiplication des attaques coordonnées sur les infrastructures physiques. Des attaques qui pourraient mettre les "territoires connectés" portés par les collectivités en première ligne.
Un risque étendu
Un enjeu qui a conduit l'Avicca et la fédération des Infrastructures numériques (InfraNum) à plancher sur la cybersécurité de l'internet des objets (IoT). Un groupe de travail associant territoires et industriels vient de publier une note, fruit d'entretiens avec l'écosystème des territoires connectés. Le document cible les décideurs pour les aider à cerner les risques et à les atténuer via une stratégie cyber ad hoc.
Premier message, il n'existe "pas de vide méthodologique" : les normes, standards et recommandations existantes sont transposables aux réseaux IoT. Ce qui change, c'est le champ concerné. L'IoT induit de nombreux acteurs dont il faut clarifier les responsabilités. Il élargit surtout la surface d'attaque - des capteurs aux relais radio en passant par les plateformes de données -, s'étend au domaine public et peut avoir un fort impact sur la vie des usagers. La sécurité des réseaux IoT pèse sur l'image des collectivités.
La spécificité des réseaux IoT appelle par ailleurs à départager les incidents relevant du cyber de ceux qui n'en sont pas. Nombre de remontées de "données aberrantes" s'expliquent par des malfaçons matérielles, des défauts de paramétrage ou un brouillage des ondes (relevant de l'ANFR) plutôt que par de véritables attaques. D'où l'intérêt de définir en amont, avec les services métiers, le comportement normal d'un capteur afin de distinguer la panne de l'incident.
Le facteur humain, principal point faible
Comme pour les attaques cyber classiques, le facteur humain reste central. Mots de passe par défaut non modifiés, sessions laissées ouvertes, droits d'accès trop larges, partage d'identifiants en clair : autant de pratiques qui fragilisent toute la chaîne. L'implication de la DSI et du Responsable sécurité des systèmes d'information (RSSI) dès le cahier des charges est indispensable, les métiers ne devant pas être seuls à la manœuvre.
Sur le plan technique, les collectivités sont invitées à se méfier des solutions non européennes ou qui reportent la sécurité à des versions ultérieures. Il est aussi recommandé de séparer le réseau IoT du réseau informatique de la collectivité.
Enfin, sans attendre le Cyber résilience act (CRA, voir encadré), qui entend faire peser les exigences cyber sur les fournisseurs de solutions IoT selon une logique "security by design", les collectivités doivent inscrire dans les cahiers des charges des clauses cyber précises (maintien en condition de sécurité, responsabilités, pénalités).
La mutualisation comme réponse
La note rappelle enfin que la cybersécurité a un coût, de l'ordre de 5 à 15% d'un projet. Un audit spécifique coûte entre 5.000 et 10.000 euros et la certification de capteurs entre 10.000 et 30.000 euros selon le niveau visé. Elle recommande cependant d'ajuster l'effort à un niveau de risque acceptable, défini par usage.
Pour faire face à ces investissements, les territoires sont plus que jamais incités à la mutualisation. Celle-ci peut prendre des formes très diverses : responsable de la sécurité mutualisé, catalogues de services "clé en main" à destination des petites communes, assistance à maîtrise d'ouvrage (AMO) ou centre des opérations de sécurité (SOC) mutualisés. Au-delà des économies, c'est un rempart contre les achats isolés, porteurs de risques de souveraineté, d'interopérabilité et de pérennité. Les expériences de Rennes — agrément par capteur et par cas d'usage — et de Montpellier — SOC externalisé 24/7 et tests d'intrusion réguliers — sont citées en exemple.
› Montée en puissance du Cyber Resilience ActAdopté en octobre 2024, le règlement européen Cyber Resilience Act (CRA) est entré en vigueur le 10 décembre 2024, pour une pleine application au 11 décembre 2027. Il imposera aux fabricants une sécurité native sur la quasi-totalité des produits numériques et objets connectés. Là où la directive NIS 2 régule les organisations, dont les collectivités, le CRA régule les produits. Le CRA s'inscrit dans la logique du "marquage CE" et impose des exigences aux matériels et logiciels mis sur le marché, en faisant peser la charge de conformité sur la chaîne des opérateurs économiques : fabricant en premier lieu, puis importateur et distributeur. |