Les discussions autour des robots chiens Unitree et des backdoors présumées rappellent un problème plus large pour les PME de l’aire métropolitaine de Barcelona : les objets connectés ne sont pas de simples équipements. Ce sont des terminaux informatiques mobiles, souvent reliés au cloud, capables de capter des images, du son, des données réseau et des informations opérationnelles.
Pour une direction générale, un DSI ou un responsable des opérations, la bonne question n’est pas seulement de savoir si un modèle précis est vulnérable. La question est de savoir si l’entreprise sait identifier, isoler, superviser et contractualiser les risques liés à tout équipement connecté fourni par un tiers.
Le vrai sujet : la confiance accordée au fournisseur
Une backdoor est un accès non documenté ou insuffisamment maîtrisé qui permet d’entrer dans un système sans passer par les contrôles habituels. Elle peut être intentionnelle, liée à la maintenance, ou résulter d’une mauvaise conception. Dans tous les cas, elle affaiblit la gouvernance de sécurité.
Les robots connectés concentrent plusieurs risques : firmware propriétaire, applications mobiles, connexions cloud, interfaces radio, caméras, microphones, API, comptes administrateurs et mises à jour à distance. Si l’entreprise ne maîtrise pas ces couches, elle dépend entièrement des pratiques du fournisseur.
Pourquoi ce risque concerne les PME locales
Dans l’aire métropolitaine de Barcelona, de nombreuses entreprises combinent sites physiques, prestataires externes, réseaux Wi-Fi professionnels, équipements industriels, vidéosurveillance et services cloud. Ajouter un robot connecté dans cet environnement peut créer un nouveau point d’entrée si l’intégration n’est pas cadrée.
Le risque n’est pas limité aux robots chiens. Il concerne aussi les caméras IP, badges, capteurs IoT, bornes, imprimantes, équipements de contrôle d’accès, systèmes de démonstration et appareils importés sans analyse de sécurité préalable.
Ce qu’il faut vérifier avant tout achat ou test
Avant de déployer un robot ou tout appareil connecté, l’entreprise doit demander une documentation claire : architecture réseau, flux sortants, pays d’hébergement des services, méthode de mise à jour, comptes par défaut, journalisation, chiffrement, politique de support et procédure de suppression des données.
Il faut aussi clarifier le modèle opérationnel. L’équipement fonctionne-t-il sans cloud ? Peut-il être utilisé sur un réseau isolé ? Les mises à jour sont-elles obligatoires ? Le fournisseur peut-il se connecter à distance ? Qui valide les accès de maintenance ? Ces réponses doivent être obtenues avant le pilote, pas après l’incident.
Mesures techniques minimales à appliquer
Un équipement connecté inconnu ne doit jamais être placé sur le même réseau que les postes utilisateurs, serveurs, outils métiers ou systèmes industriels. La première mesure consiste à créer un segment réseau dédié, avec des règles strictes de sortie vers Internet et sans accès transversal par défaut.
L’entreprise doit ensuite surveiller les flux réseau, désactiver les services inutiles, remplacer les identifiants par défaut, limiter les comptes administrateurs, documenter les versions de firmware et conserver un inventaire précis. Si le fournisseur impose une application mobile, celle-ci doit aussi être évaluée.
Pour un pilote, il est préférable de définir une durée limitée, un responsable interne, un périmètre réseau isolé, des critères de sécurité et une procédure de retrait. Un test technologique sans cadre devient rapidement un actif fantôme dans le système d’information.
Gouvernance : le rôle des achats, de l’IT et des opérations
La sécurité des objets connectés ne peut pas reposer uniquement sur l’équipe IT. Les achats doivent intégrer des clauses sur la sécurité, les mises à jour, l’accès distant, la confidentialité et la fin de vie. Les opérations doivent décrire l’usage réel, les lieux d’utilisation et les données captées.
Le DSI ou le responsable sécurité doit pouvoir refuser un déploiement si les informations techniques sont insuffisantes. Ce n’est pas une posture de blocage, c’est une mesure de maîtrise du risque. Un fournisseur incapable d’expliquer ses flux, ses accès et ses mises à jour expose l’entreprise à une dépendance difficile à piloter.
Que faire maintenant si vous avez déjà un équipement connecté
La première étape est de recenser les appareils déjà présents : robots, caméras, capteurs, tablettes de contrôle, passerelles, bornes et équipements de démonstration. Il faut identifier qui les administre, sur quel réseau ils fonctionnent, quelles données ils traitent et quels services externes ils contactent.
Ensuite, l’entreprise doit classer les risques : exposition Internet, accès distant fournisseur, présence de caméra ou micro, proximité avec des systèmes critiques, absence de mises à jour, comptes partagés, documentation manquante. Cette cartographie permet de prioriser les actions sans immobiliser l’activité.
Un audit digital peut aider à structurer cette analyse, notamment lorsque les équipements connectés sont dispersés entre plusieurs équipes, sites ou prestataires.
Décision à retenir pour les dirigeants
Le débat autour des robots chiens Unitree illustre une règle simple : tout appareil intelligent introduit une relation de confiance avec un fournisseur, un logiciel et une infrastructure distante. Cette confiance doit être vérifiée, limitée et documentée.
Pour les PME, la bonne approche n’est pas d’interdire toute innovation. Elle consiste à imposer un cadre : réseau isolé, revue fournisseur, contrat clair, supervision des flux, inventaire à jour et validation avant mise en production. C’est ainsi que l’entreprise peut tester de nouvelles technologies sans ouvrir une porte invisible dans son système d’information.