En 2024, 67 % des entreprises françaises ont été victimes d’au moins une cyberattaque réussie [1]. Un chiffre qui donne le vertige. Mais avez-vous déjà pensé que votre alarme connectée, vos caméras IP ou votre contrôle d’accès biométrique pouvaient eux-mêmes devenir la cible de ces attaques ?
Chez IT Matelec, nous le constatons régulièrement lors de nos audits : les systèmes de sécurité physique sont devenus des objets connectés à part entière. Ils communiquent via internet, s’administrent depuis un smartphone et stockent des données sensibles. La question n’est donc plus seulement « Êtes-vous protégé contre l’intrusion physique ? » mais aussi « Votre système de protection est-il lui-même protégé contre l’intrusion numérique ? »
Cet article vous aide à comprendre les risques cyber liés à la domotique et à la sécurité connectée, à identifier les vulnérabilités les plus courantes et à adopter des mesures concrètes pour protéger votre installation.
Le paradoxe du système de sécurité connecté
Caméras IP UHD, alarmes pilotées par application, contrôle d’accès RFID ou biométrique : les équipements de sécurité se sont massivement connectés ces dernières années. Cette évolution offre un confort de gestion inédit — surveiller ses locaux depuis son téléphone, recevoir des alertes en temps réel, gérer les droits d’accès à distance. Mais chaque objet connecté représente aussi une surface d’attaque supplémentaire pour les cybercriminels.
Les chiffres sont parlants. Selon le rapport 2025 de Palo Alto Networks sur les menaces IoT, plus de 48 % du trafic provenant d’appareils IoT est considéré à haut risque, et 21 % de ces équipements présentent au moins une vulnérabilité connue [2]. Bitdefender a de son côté analysé 13,6 milliards d’attaques ciblant des appareils IoT entre janvier et octobre 2025, confirmant que les menaces liées à ces équipements ont triplé en un an [3].
Le secteur des PME est particulièrement exposé : selon l’ANSSI, les TPE, PME et ETI concentrent 49 % des cyberattaques visant les entreprises et 40 % des attaques par rançongiciel [4]. Pourtant, selon le baromètre 2025 de Cybermalveillance.gouv.fr, 80 % des TPE-PME reconnaissent ne pas être préparées aux cyberattaques [5]. En d’autres termes, les entreprises qui investissent dans la sécurité physique négligent souvent la sécurité numérique de leurs propres équipements de protection.
Les 4 portes d’entrée préférées des hackers
Comment un cybercriminel peut-il compromettre votre système de sécurité connecté ? Voici les quatre vulnérabilités que nous rencontrons le plus fréquemment sur le terrain.
1. Les mots de passe par défaut jamais changés
Les caméras IP, centrales d’alarme et lecteurs de badges sont souvent livrés avec des identifiants constructeur génériques, publiquement documentés. Près d’une entreprise sur quatre (23 %) n’utilise pas de mots de passe uniques sur ses caméras de sécurité. Il suffit d’une seule caméra compromise pour offrir un accès à l’ensemble du réseau. Dans certains cas, le flux vidéo peut même être consulté librement sur internet par quiconque connaît l’adresse de l’équipement [7].
2. Les micrologiciels (firmwares) non mis à jour
Une étude révèle que près de 4 caméras sur 10 présentent un risque cyber dû à un micrologiciel obsolète, et que 68 % des caméras d’entreprise n’ont pas été mises à jour avec la dernière version disponible. C’est exactement ce type de faille qui a été exploité sur des caméras IP Hikvision via la vulnérabilité critique CVE-2021-36260, permettant à des attaquants de prendre le contrôle total de l’appareil à distance [8]. Plusieurs années après la publication du correctif, des milliers de caméras restent vulnérables faute de mise à jour.
3. Les réseaux non segmentés
Lorsque les caméras, les alarmes et les badges connectés partagent le même réseau Wi-Fi que les postes de travail et les serveurs, la compromission d’un seul équipement de sécurité peut permettre à un attaquant de se déplacer latéralement vers l’ensemble du système d’information. C’est pourquoi l’ANSSI recommande explicitement la segmentation réseau (VLAN dédiés) pour isoler les équipements IoT des autres ressources de l’entreprise [9].
4. Les attaques par botnets et écoute réseau
Les équipements IoT mal sécurisés sont régulièrement enrôlés dans des botnets pour mener des attaques massives par déni de service (DDoS). Fin 2025, des attaques DDoS record ont été bloquées par Cloudflare, lancées depuis des milliers de routeurs et caméras compromis [3]. Par ailleurs, la plateforme IoT TUTK, présente dans plus de 100 millions d’appareils dont des caméras de surveillance, a fait l’objet de quatre vulnérabilités critiques permettant une prise de contrôle totale à distance [10].
Ce que risque concrètement un chef d’entreprise
Au-delà des aspects techniques, quelles sont les conséquences réelles d’un système de sécurité piraté ? Elles se déclinent sur quatre niveaux.
- Risque opérationnel : un attaquant peut neutraliser une alarme, désactiver des caméras ou compromettre un contrôle d’accès connecté pour préparer un cambriolage physique. Votre système de protection se retourne alors contre vous.
- Vol de données sensibles : les flux vidéo révèlent l’organisation interne, les allées et venues des salariés, les zones de stockage sensibles. Ces informations ont une valeur certaine pour des concurrents ou des criminels.
- Impact financier : selon la Cour des comptes et l’ANSSI, une cyberattaque coûte en moyenne 466 000 euros à une PME française, et 60 % des entreprises victimes cessent leur activité dans les 18 mois [4][1].
- Risque juridique et réglementaire : la directive européenne NIS2 impose désormais aux entreprises concernées (y compris certaines PME sous-traitantes) des obligations précises en matière de gestion des risques cyber, de signalement des incidents sous 24 heures et de sécurisation de la chaîne d’approvisionnement. Les sanctions peuvent atteindre 10 millions d’euros ou 2 % du chiffre d’affaires mondial, avec une responsabilité personnelle des dirigeants [11][12].
En 2026, la cybersécurité de votre système de sécurité physique n’est donc plus un sujet technique réservé au service informatique. C’est un enjeu stratégique qui concerne directement le dirigeant.
6 bonnes pratiques pour sécuriser votre installation
La bonne nouvelle, c’est que des mesures simples et concrètes permettent de réduire considérablement les risques. Voici les six réflexes que nous recommandons systématiquement à nos clients.
- Changer tous les mots de passe par défaut dès l’installation. Utilisez des mots de passe robustes d’au moins 12 caractères, combinant lettres, chiffres et symboles. Cette seule mesure élimine la première vulnérabilité exploitée par les hackers.
- Mettre à jour régulièrement les firmwares de tous les équipements : caméras, centrales d’alarme, lecteurs de badges. Chaque mise à jour corrige des failles de sécurité découvertes depuis la version précédente.
- Segmenter le réseau en plaçant les équipements de sécurité sur un VLAN dédié, isolé du réseau bureautique. C’est la recommandation phare de l’ANSSI pour les objets connectés professionnels [9].
- Activer le chiffrement des flux en privilégiant des protocoles sécurisés (HTTPS, TLS/SSL) pour les communications entre caméras, serveurs et applications de supervision.
- Mettre en place une authentification multi-facteurs (MFA) pour l’accès aux interfaces d’administration, en particulier pour les connexions à distance.
- Faire auditer son installation au moins une fois par an. Un diagnostic de cybersécurité couvrant l’ensemble des équipements connectés permet de repérer les failles avant qu’elles ne soient exploitées.
Système non sécurisé vs. système sécurisé par un professionnel
| Critère | Non sécurisé | Sécurisé par un professionnel |
| Mots de passe | Par défaut (admin/admin) | Uniques, robustes, renouvelés |
| Firmwares | Jamais mis à jour | Mis à jour régulièrement |
| Réseau | Partagé avec la bureautique | VLAN dédié et isolé |
| Chiffrement | Flux en clair | HTTPS / TLS activé |
| Audit | Aucun suivi | Diagnostic annuel documenté |
Le rôle de l’installateur : un partenaire de cybersécurité
Peut-on réellement sécuriser seul un système de vidéoprotection ou d’alarme connectée ? En théorie, oui. En pratique, la multiplicité des équipements, des protocoles et des mises à jour rend la tâche complexe pour un non-spécialiste.
IT Matelec, prestataire spécialisé, conçoit des installations intégrant dès le départ les bonnes pratiques de cybersécurité : cloisonnement réseau, protocoles chiffrés, équipements certifiés NF A2P ou EN 50131. Nous assurons également un suivi dans la durée (maintenance préventive, mises à jour régulières des firmwares, veille sur les vulnérabilités) pour garantir que votre système reste fiable au fil des mois et des années.
L’obsolescence des équipements est un risque souvent sous-estimé : un système de vidéoprotection installé il y a cinq ans et jamais mis à jour constitue aujourd’hui une cible facile. Moderniser sa vidéoprotection, c’est aussi renforcer sa cybersécurité. Enfin, la mise en conformité avec les réglementations (NIS2, RGPD) exige une documentation et un suivi que seul un installateur professionnel peut garantir dans la durée.
Protégez votre système de sécurité avant qu’il ne soit trop tard
Votre système de sécurité vous protège des intrusions physiques. Mais qui le protège des intrusions numériques ? En 2026, la cybersécurité des équipements de sécurité connectés n’est plus un luxe : c’est une nécessité pour toute entreprise qui souhaite protéger ses locaux, ses données et sa réputation.
IT Matelec vous accompagne dans cette démarche avec plus de 40 ans d’expertise en sécurité connectée. Demandez votre diagnostic sécurité gratuit pour évaluer la vulnérabilité de votre installation et mettre en place les mesures adaptées.
Sources
[1] Rapport Hiscox 2024, cité par la Fevad – 67 % des entreprises françaises victimes d’au moins une cyberattaque en 2024
[2] Palo Alto Networks, Rapport 2025 sur les menaces de sécurité des appareils IT/IoT
[3] Bitdefender & NETGEAR, Rapport 2025 sur le paysage de la sécurité de l’IoT – 13,6 milliards d’attaques IoT analysées
[4] CriseHelp / ANSSI / Cour des comptes – Les TPE-PME représentent 77 % des cyberattaques en France
[5] Cybermalveillance.gouv.fr, Baromètre national de la maturité cyber des TPE-PME, 2ème édition, décembre 2025
[6] DPO Partage – Cyberattaques liées à l’utilisation des caméras de vidéosurveillance
[7] Cybermalveillance.gouv.fr – Alerte vulnérabilité CVE-2021-36260 caméras IP Hikvision
[8] ANSSI – Recommandations relatives à la sécurité des systèmes d’objets connectés, 2025
[9] Clubic / Bitdefender – 100 millions d’appareils touchés par les vulnérabilités de la plateforme TUTK
[11] Directive NIS2 (UE 2022/2555) – Wikipédia / ANSSI / Orange Cyberdefense
[12] MonScoreSecurite.fr – NIS2 et DORA : sanctions et obligations pour les PME en 2026
