IoT Infrastructures critiques Smart Cities  Veille Technologique · Avril 2025 · 14 min

L'IoT dans les infrastructures critiques
Eau, énergie, transport : entre gains opérationnels et vulnérabilités systémiques

Les infrastructures qui assurent l'alimentation en eau, la distribution d'électricité et la fluidité des transports forment l'ossature silencieuse de nos sociétés. L'Internet des Objets y déploie ses capteurs, ses automates et ses plateformes de supervision avec une intensité croissante depuis 2015. Cette transformation génère des gains d'efficacité réels et des vulnérabilités nouvelles que les décideurs publics et privés doivent analyser avec la même rigueur.

14,2 T$valeur économique potentielle de l'IIoT à l'horizon 2030 selon Accenture
1,3 T$taille estimée du marché IoT mondial en 2026 selon Research Nester
4–6 %réduction moyenne des coûts opérationnels pour les entreprises ayant déployé l'IoT industriel
18 %réduction des interruptions non programmées sur les zones Linky pilotes avec IA (Enedis, 2024)
La réalité des déploiements IoT dans les trois secteurs d'infrastructure
Secteurs couverts et technologies déployées
Secteur de l'eau

LoRaWAN pour les installations rurales dispersées (couverture km, faible consommation). NB-IoT / LTE-M pour les déploiements urbains. Capteurs de pression, sondes turbidité, compteurs communicants. Veolia, Suez et équivalents européens ont déployé des millions de points de mesure.

Secteur de l'énergie

Programme Linky Enedis : 35 millions d'unités installées en France. Supervision bidirectionnelle. Parcs éoliens offshore : plusieurs milliers de capteurs par turbine (vibrations, températures, paramètres électriques). Réduction des coûts de maintenance de 15 à 25 % chez Ørsted et Vattenfall (REX 2022–2024).

Secteur des transports

SNCF Réseau : capteurs MEMS sur plusieurs centaines d'ouvrages d'art pour surveillance déformations structurelles en continu. Feux connectés, capteurs de comptage, guidance dynamique pour la gestion du trafic urbain. Supervision des gabarits de tunnel et conditions ferroviaires en temps réel.

Architecture de référence pour un déploiement IoT en infrastructure critique

Les retours d'expérience convergent vers une architecture en quatre couches fonctionnelles. La couche perception regroupe les capteurs, actionneurs et équipements de terrain. La couche réseau assure le transport des données via des protocoles adaptés aux contraintes du terrain. La couche traitement (edge ou fog computing) effectue le filtrage, l'agrégation et les décisions locales à faible latence. La couche applicative héberge les plateformes de supervision, les moteurs d'analyse et les interfaces métier.

Référentiel réglementaire applicable en France et Europe

Les opérateurs d'infrastructures critiques sont soumis en France à la réglementation OIV avec des mesures de sécurité définies par les Arrêtés Sectoriels SAIV. La directive NIS2 (applicable depuis octobre 2024) étend les obligations de cybersécurité à un périmètre plus large, incluant les services essentiels et les entités importantes dans douze secteurs. La directive CER (Critical Entity Resilience) vise la résilience contre les menaces physiques et numériques. Pour les opérateurs d'eau, des exigences spécifiques de sécurité SCADA issues des textes sectoriels eau et assainissement s'appliquent.

Success story — la smart water grid d'un opérateur ibérique

Un opérateur d'eau municipal portugais desservant 800 000 habitants a engagé entre 2019 et 2022 un programme de transformation de son réseau de distribution. Architecture technique retenue : réseau LoRaWAN propriétaire couvrant l'intégralité de la zone de desserte, avec redondance 4G sur les nœuds critiques.

12 000
Capteurs de pression déployés
28→17 %
Taux de pertes réseau (eau non facturée)
4,2 M€
Économie annuelle réalisée sur les pertes réseau
11 j → 48 h
Délai moyen d'intervention avant réparation d'une fuite

La supervision en temps réel de la pression a également identifié des zones de surpression récurrentes détériorant prématurément les canalisations, conduisant à des travaux préventifs ciblés qui ont réduit les interventions d'urgence de 31 %. La détection des fuites, précision de localisation à 50 mètres sur 78 % des événements contre une localisation curative antérieure par équipes terrain.

L'attaque contre la station d'Oldsmar — anatomie d'une menace réelle

En février 2021, un opérateur de la station de traitement d'eau d'Oldsmar en Floride a observé en temps réel l'interface de supervision de son système SCADA tenter de faire passer la concentration de soude caustique de 111 à 11 100 parties par million dans le réseau de distribution d'eau potable. Un acteur non identifié avait accédé au système via TeamViewer, installé sur les postes de supervision et directement accessible depuis internet avec des identifiants partagés non mis à jour.

Cet incident n'a pas produit de dommage physique grâce à la vigilance de l'opérateur présent. Son importance réside dans ce qu'il démontre sur la vulnérabilité structurelle des systèmes SCADA d'infrastructures critiques de petite et moyenne taille. L'absence de segmentation réseau, l'utilisation de logiciels de prise en main à distance sur des systèmes de contrôle industriel et le partage d'identifiants sans politique d'accès formalisée constituent des configurations encore très répandues dans les services municipaux aux budgets informatiques contraints.

Signal d'alerte CISA 2024 — hacktivisme pro-russe sur eau et énergie

Des campagnes d'acteurs hacktivistes pro-russes ont ciblé spécifiquement les systèmes de contrôle industriel des infrastructures d'eau aux États-Unis et en Europe, exploitant des interfaces HMI accessibles sur internet avec des mots de passe par défaut. Ces campagnes visent à établir des positions persistantes pour une exploitation future dans un contexte géopolitique dégradé. La doctrine des attaquants étatiques sur les infrastructures critiques s'appuie sur la patience stratégique et la préposition de capacités de nuisance activables à la demande.

Prospective — couplage IoT-IA et encadrement réglementaire AIoT

Enedis déploie depuis 2023 des algorithmes de détection d'anomalies sur les données Linky, permettant d'identifier des signaux faibles annonciateurs de défaillances réseau avant qu'elles ne se manifestent en interruption de service. Les résultats préliminaires indiquent une réduction de 18 % des interruptions non programmées sur les zones pilotes. La qualification des algorithmes d'IA utilisés pour piloter des processus critiques devra s'inscrire dans des cadres de certification adaptés. L'AI Act européen, applicable progressivement jusqu'en 2027, classifie certaines applications IA dans les infrastructures critiques comme systèmes à haut risque, imposant des exigences de traçabilité, de robustesse et de supervision humaine.

Recommandations stratégiques pour les décideurs d'infrastructures

Trois priorités s'imposent pour toute organisation gérant une infrastructure critique connectée. La réalisation d'un audit de l'exposition réseau des systèmes OT et IoT, avec cartographie des interfaces accessibles depuis internet, constitue le point de départ indispensable. La mise en conformité NIS2, avec la nomination d'un responsable sécurité des systèmes d'information disposant d'une autorité réelle sur les systèmes OT. Et la mise en place d'exercices de crise simulant des scénarios d'attaque OT spécifiques, avec participation des équipes techniques et de la direction générale, au moins une fois par an.

VEILLE TECHNOLOGIQUE · IoT & Infrastructures critiques · I2S-Consultants · Avril 2025