Vos appareils connectés ne font pas partie de votre réseau IT. Pour un attaquant, si.
Imprimantes, caméras, pointeuses, écrans, capteurs de bâtiment — l'IoT a envahi vos locaux. Votre infrastructure réseau, elle, n'a pas suivi.
Chez Computis, notre département SwissFi intervient chaque semaine dans des PME romandes, des communes et des institutions publiques pour auditer ou déployer leur infrastructure réseau. Et depuis trois ans, le même angle mort revient sans exception : les appareils IoT — imprimantes, caméras IP, pointeuses, écrans d’affichage, capteurs de bâtiment… — sont branchés sur le réseau de l’entreprise comme s’ils étaient des postes de travail. Sans segmentation. Sans politique de mise à jour. Sans surveillance. Invisibles pour les outils de sécurité. Parfaitement visibles pour un attaquant.
En 2026, plus de 57 % des appareils IoT en entreprise présentent des vulnérabilités critiques non corrigées. Dans les PME sans équipe IT dédiée, ce chiffre dépasse 70 %. Ces appareils ne sont pas protégés par votre antivirus. Ils ne figurent pas dans votre inventaire de sécurité. Mais ils sont sur votre réseau — et ils parlent à vos serveurs.
Le problème : l’IoT a grandi plus vite que vos politiques réseau
Il y a dix ans, le réseau d’une PME comprenait des ordinateurs, des serveurs et peut-être une imprimante. Aujourd’hui, le même espace héberge des dizaines d’appareils connectés dont personne ne tient vraiment la liste : caméras de surveillance IP, systèmes de contrôle d’accès, thermostats intelligents, écrans d’affichage dynamique, caisses enregistreuses, pointeuses biométriques, capteurs de consommation énergétique. Chacun de ces appareils a une adresse IP. Chacun communique sur votre réseau. Et la quasi-totalité d’entre eux tourne sur des firmwares qui n’ont pas été mis à jour depuis leur installation.
Le problème n’est pas que ces appareils sont dangereux en eux-mêmes. C’est qu’ils sont traités comme des équipements passifs alors qu’ils sont des points d’entrée actifs. Un attaquant qui compromet une caméra IP bon marché ne cherche pas à regarder vos locaux — il cherche un point de pivot vers votre réseau interne, vos serveurs de fichiers, votre messagerie.
Ce qu’on observe dans les PME et communes romandes
Lors d’un audit réseau pour une commune vaudoise de 8’000 habitants, nous avons identifié 34 appareils IoT actifs sur le réseau principal — dont 12 caméras de surveillance, 6 systèmes de contrôle d’accès et plusieurs bornes de recharge pour véhicules électriques. Aucun n’était isolé dans un VLAN dédié. Tous communiquaient librement avec les postes de travail administratifs et le serveur de fichiers communal. Trois appareils tournaient sur des firmwares présentant des vulnérabilités critiques connues et documentées publiquement depuis plus de 18 mois.
Dans une PME industrielle de 45 collaborateurs, une imprimante multifonction installée en 2019 servait de point d’entrée lors d’un test de pénétration simulé. En moins de 40 minutes, notre équipe avait accès au réseau partagé, aux documents RH et à la messagerie du dirigeant. L’imprimante n’avait jamais reçu de mise à jour firmware. Son mot de passe d’administration était celui d’usine.
Ce que ça veut dire pour votre organisation
Un appareil IoT compromis sur votre réseau peut déclencher une violation de données au sens de la nLPD — même si l’attaque ne visait pas directement vos données. Si des données personnelles de collaborateurs, de clients ou d’administrés ont été accessibles via cet appareil, l’obligation de notification s’applique. La responsabilité incombe à votre organisation, pas au fabricant de la caméra ou de l’imprimante. La segmentation réseau n’est plus une option technique réservée aux grandes infrastructures — c’est une mesure de protection de base au sens de la nLPD.
Les trois angles morts à corriger en priorité
Aucun inventaire des appareils connectés.
Vous ne pouvez pas sécuriser ce que vous ne connaissez pas. Dans la majorité des structures que nous auditons, personne n’est capable de lister avec certitude tous les appareils actifs sur le réseau. Un scan réseau réalisé lors de l’audit révèle systématiquement des appareils oubliés, des équipements de précédents prestataires, des appareils personnels des collaborateurs — tous potentiellement vecteurs de risque.
Absence de segmentation réseau pour les appareils IoT.
Mettre vos caméras, imprimantes et capteurs sur le même réseau que vos postes de travail et vos serveurs, c’est construire une maison sans portes intérieures. La segmentation via VLAN dédiés isole chaque catégorie d’appareils : un appareil IoT compromis ne peut pas communiquer avec votre infrastructure critique. C’est la mesure technique la plus efficace — et souvent la moins mise en œuvre.
Firmwares jamais mis à jour, mots de passe d’usine conservés.
Les fabricants d’appareils IoT publient régulièrement des correctifs de sécurité. Ces correctifs ne s’appliquent pas automatiquement — ils nécessitent une procédure manuelle que personne ne fait parce que personne n’en est responsable. Résultat : des vulnérabilités connues, documentées, exploitables, qui restent ouvertes pendant des années sur votre réseau.
L’approche SwissFi × Computis : sécuriser le réseau jusqu’au dernier appareil
La sécurité IoT ne se règle pas avec un antivirus supplémentaire. Elle se règle au niveau de l’architecture réseau — et c’est précisément là qu’intervient SwissFi le département WiFi et réseau de Computis.
Notre approche combine trois niveaux. D’abord, un audit préliminaire de l’existant : scan complet du réseau, inventaire exhaustif des appareils connectés, identification des firmwares obsolètes et des configurations à risque, cartographie des flux entre les segments. Ensuite, la mise en place de l’architecture de segmentation : création de VLAN dédiés par catégorie d’appareils (IoT, invités, postes de travail, serveurs), configuration des règles de filtrage inter-VLAN, déploiement sur l’infrastructure réseau existante ou refondue. Enfin, une politique de gestion des appareils dans le temps : procédure de mise à jour firmware, inventaire maintenu, intégration dans votre routine de maintenance IT.
Le résultat : votre imprimante, vos caméras et vos capteurs restent fonctionnels — mais ils ne peuvent plus servir de porte d’entrée vers votre infrastructure critique.
Ce que ça donne concrètement pour votre organisation :
Passez à l’action
Savez-vous combien d’appareils sont connectés à votre réseau en ce moment ?
Si la réponse est “à peu près” ou “je ne sais pas exactement”, c’est le point de départ. Chez Computis, nous réalisons un audit préliminaire complet de votre infrastructure réseau : scan exhaustif des appareils connectés, identification des vulnérabilités IoT, cartographie des flux et des segments, recommandations priorisées par niveau de risque.
Ce qu’il faut retenir
L’IoT en entreprise n’est pas un sujet réservé aux grandes infrastructures industrielles. C’est une réalité quotidienne dans la moindre PME romande et la plus petite commune vaudoise. Chaque appareil connecté non maîtrisé est une surface d’attaque offerte gratuitement à quiconque sait la chercher. La bonne nouvelle : une architecture réseau bien segmentée résout l’essentiel du problème — et elle se déploie sur votre infrastructure existante, sans tout reconstruire.
FAQ
Nous avons un firewall — nos appareils IoT ne sont-ils pas déjà protégés ?
Un firewall protège votre périmètre externe — il filtre ce qui entre et sort d’Internet. Mais si un appareil IoT est compromis depuis l’intérieur du réseau (via une vulnérabilité firmware, un accès physique ou une connexion Wi-Fi non sécurisée), le firewall ne voit rien. Seule la segmentation interne — VLAN dédiés avec règles de filtrage inter-segment — empêche un appareil compromis de communiquer avec votre infrastructure critique.
La segmentation VLAN, ça ne va pas casser le fonctionnement de nos appareils ?
Non, si elle est correctement configurée. La segmentation isole les flux non nécessaires — elle ne coupe pas les communications légitimes. Une caméra de surveillance doit pouvoir envoyer ses flux vers votre NVR, pas vers votre serveur de fichiers RH. Nos déploiements SwissFi sont précisément calibrés pour maintenir la fonctionnalité de chaque appareil tout en supprimant les flux non justifiés.
Qui est responsable de mettre à jour les firmwares des appareils IoT dans une PME sans IT interne ?
C’est précisément le vide organisationnel que nous observons le plus souvent. Personne n’est explicitement responsable — donc personne ne le fait. Dans le cadre d’un contrat de managed services Computis, la gestion des firmwares des appareils en périmètre fait partie du suivi proactif. Pour les structures sans IT dédiée, c’est l’une des premières choses que nous structurons.
SwissFi, c’est différent de Computis ? Comment ça fonctionne ensemble ?
Chez Computis, notre pôle réseau et WiFi — que nous appelons SwissFi en interne — couvre la conception, le déploiement et la gestion des infrastructures réseau. La cybersécurité (SwissForts), le cloud (SwissFarms) et les réseaux (SwissFi) sont trois domaines de spécialisation d'une même équipe. Vous avez un interlocuteur unique.
Comment fonctionne concrètement l’audit préliminaire réseau IoT ?
L’audit préliminaire est une prestation payante qui produit un rapport documenté : inventaire complet des appareils connectés, identification des firmwares obsolètes et des configurations à risque, cartographie des flux réseau, évaluation de votre segmentation existante et recommandations priorisées. Son coût est intégralement déduit de la prestation si vous choisissez de travailler avec nous par la suite.
Abonnez-vous — chaque mardi, un éclairage concret sur l’IT et la cybersécurité pour les PME et institutions suisses.