La Series A en IoT marque un tournant décisif. Ce n’est plus seulement une question de croissance, mais de crédibilité industrielle, financière et réglementaire. Cybersécurité, conformité au Cyber Resilience Act,
60–65 % : très technique, expert / 70–75 % : business spécialisé / 80–85 % : business accessible / 90 %+ : vulgarisation grand public
Dans l’univers des objets connectés, la Series A ne marque pas simplement une étape de croissance. Elle constitue un changement de nature : celui où la promesse technologique doit se transformer en modèle industriel viable, sécurisé et conforme. En 2026, alors que le marché mondial de l’IoT s’approche des 900 milliards de dollars et que les cyberattaques sur les appareils connectés explosent, les investisseurs ne financent plus des prototypes — ils financent de la résilience.
En 2026, le marché IoT atteint une maturité critique. Selon Persistence Market Research, le marché global de l’IoT est valorisé à 902,6 milliards de dollars en 2026 et devrait atteindre 2 020,5 milliards de dollars d’ici 2033, affichant un CAGR de 12,2%. Dans ce contexte, les investisseurs en Series A ne parient plus sur des démonstrateurs techniques — ils exigent des preuves d’industrialisation.
📊 24% seulement lèvent un second tour – Taux de survie post-Series A pour les startups hardware
La différence est brutale : 97% des startups hardware grand public échouent ou deviennent des « zombies », selon une analyse de CB Insights portant sur 382 entreprises. Pour les startups IoT, le passage de 1 000 unités à 100 000 unités n’est pas linéaire — c’est une refonte complète du processus de fabrication, de la qualité et de la logistique.
Les fonds de Series A deeptech en Europe, qui ont levé en moyenne 15,9 millions de dollars par tour en 2022 (le niveau le plus élevé en 19 ans selon Avnet Abacus), recherchent désormais des indicateurs tangibles :
| Critère d’évaluation | Seed/Pre-Series A | Series A attendue |
|---|---|---|
| Volume de production | Prototypes (< 100 unités) | Pilote industriel (1 000+ unités) |
| Rendement de production | Non mesuré | > 85% yield rate |
| Coût unitaire | Prix prototype (5-10x cible) | Prix série (< 2x cible finale) |
| Délai de production | 6-12 mois | < 90 jours |
| Certifications | Aucune | CE, FCC, certifications sectorielles |
« Le PCB terminé n’est que le début de la partie difficile. La plupart des startups échouent parce que la réalité se présente avec un presse-papiers : marché, argent, timing, exécution »
— CB Insights Hardware Post-Mortem Analysis
L’IoT industriel (IIoT) représente le segment à plus forte croissance. Le marché des plateformes IIoT pour la manufacture devrait croître à un CAGR de 12,1% entre 2026 et 2033, selon les projections sectorielles. Le secteur manufacturier, qui représente environ 20% des attaques malwares IoT en 2025, investit massivement dans des solutions sécurisées et évolutives.
Pour les startups ciblant ce segment, la Series A devient le moment où elles doivent prouver qu’elles peuvent déployer à l’échelle industrielle tout en maintenant des standards de sécurité irréprochables.
En 2026, la cybersécurité n’est plus une fonctionnalité — c’est un multiplicateur de valorisation. Les investisseurs introduisent désormais le concept de « resilience premium » : une prime de valorisation accordée aux startups IoT qui démontrent une architecture de sécurité robuste dès la conception.
📊 +37% au premier semestre 2023 avec 77,9 millions d’attaques – Augmentation des cyberattaques IoT
Les chiffres sont alarmants : 75% des attaques IoT ciblent les routeurs, tandis que 40% des malwares IoT frappent les secteurs manufacturier et transport, selon DeXpose. Pour une startup levant en Series A, ces statistiques transforment la cybersécurité d’un coût technique en avantage concurrentiel.
La due diligence technique en Series A, qui s’étend désormais sur 2 à 4 semaines (voire 10 jours pour les équipes préparées selon Eustatiu), inclut systématiquement un audit de sécurité approfondi :
« 87% des dirigeants identifient les vulnérabilités liées à l’IA comme un risque cybercriminel croissant, devant la fraude (77%) et le ransomware (54%) »
— World Economic Forum Global Cybersecurity Outlook 2026
L’exemple de Sandgrain, qui a levé 13,5 millions d’euros en Series A en décembre 2025 pour sa solution de sécurité IoT ancrée dans le hardware, illustre parfaitement ce « resilience premium ». Dans un contexte où 64% des organisations intègrent désormais les cyberattaques géopolitiques dans leur stratégie de risque cyber (World Economic Forum, 2026), les solutions de sécurité by-design deviennent des actifs stratégiques.
Contrairement aux startups software qui peuvent atteindre 1 million de dollars de revenus en 12-24 mois, les startups hardware IoT nécessitent généralement 3 à 5 ans pour le même objectif, selon les analyses de Hardware FYI. Cette différence structurelle impacte directement la stratégie de levée de fonds.
| Poste de dépense | Software (% du budget) | Hardware IoT (% du budget) |
|---|---|---|
| R&D / Engineering | 40-50% | 25-35% |
| Fabrication / Tooling | 0-5% | 30-40% |
| Stock / Inventory | 0% | 10-15% |
| Certification / Compliance | 0-2% | 5-10% |
| Sales & Marketing | 30-40% | 15-25% |
| 📊 210 000 $ – Montant médian levé en crowdfunding par les startups hardware | ||
| Ce tableau révèle une réalité brutale : les startups hardware doivent immobiliser du capital dans des actifs physiques (moules, stocks, certifications) avant même de générer des revenus significatifs. Le burn multiple (Net Burn / Net New ARR) doit être inférieur à 2x pour séduire les fonds de Series A en 2026, selon les benchmarks de Presta. | ||
Les investisseurs en Series A scrutent désormais trois ratios critiques :
Face à ces défis, les tours de Series A en hardware adoptent de plus en plus une structure en tranches conditionnelles :
La crise des semi-conducteurs de 2021-2023 a redéfini les attentes des investisseurs en matière de supply chain. En 2026, aucun investisseur de Series A ne finance une startup IoT sans une stratégie de résilience documentée.
Les questions posées lors de la due diligence sont devenues chirurgicales :
Une analyse de la supply chain peut révéler des dépendances critiques qui impactent directement la valorisation. Par exemple, une startup dépendant à 100% d’un fabricant de capteurs basé en Asie avec un lead time de 6 mois verra sa valorisation ajustée à la baisse, car elle porte un risque de disruption non maîtrisé.
📊 +387% dans le secteur énergétique, +224% dans la santé, +111% dans la manufacture – Augmentation des attaques sur les appareils mobiles et IoT dans les infrastructures critiques
Le World Economic Forum souligne que 42% des organisations considèrent la convergence IT/OT/IoT/robotique dans leur stratégie de mitigation des risques cyber. Cette convergence impose aux startups IoT de penser leur supply chain non seulement en termes de composants physiques, mais aussi de dépendances logicielles et de services cloud.
Le Cyber Resilience Act (CRA), entré en vigueur le 10 décembre 2024, impose des obligations de cybersécurité strictes pour tous les produits comportant des éléments numériques commercialisés dans l’UE. Les dates clés à retenir :
| Date | Obligation |
|---|---|
| 11 septembre 2026 | Obligation de signalement des vulnérabilités activement exploitées à l’ENISA dans les 24 heures |
| 11 décembre 2027 | Application complète du CRA : tous les produits doivent être conformes (marquage CE, documentation technique, propriétés de cybersécurité essentielles) |
| Pour une startup IoT levant en Series A en 2026, la conformité CRA n’est pas une option — c’est un prérequis à la commercialisation en Europe. Les investisseurs vérifient systématiquement : | |
« Le Cyber Resilience Act est préventif, établissant des obligations de sécurité dès la conception pour les fabricants de produits numériques, tandis que le Cyber Solidarity Act traite des cyberattaques à grande échelle et de la réponse d’urgence »
— NIS-2-Directive.com
La directive NIS2, dont la date limite de transposition par les États membres était le 17 octobre 2024, impose des exigences de cybersécurité aux entités essentielles (énergie, transport, banque, santé, eau potable, infrastructures numériques) et aux entités importantes (gestion des déchets, fabrication de produits critiques, alimentation, chimie).
Pour les startups IoT ciblant ces secteurs, NIS2 impose :
Les pénalités du CRA peuvent atteindre 15 millions d’euros ou 2,5% du chiffre d’affaires mondial annuel (le montant le plus élevé étant retenu). Pour une startup en Series A, un défaut de conformité peut signifier :
La Series A marque la transition d’une gouvernance informelle à une structure professionnelle. Les investisseurs exigent désormais :
Entre le Seed et la Series A, l’équipe doit s’étoffer avec des profils clés :
| Fonction | Moment de recrutement | Impact sur la valorisation |
|---|---|---|
| VP Engineering | Avant Series A | Critique : démontre la capacité à scaler l’équipe tech |
| Head of Manufacturing | Avant ou immédiatement après | Critique : preuve d’industrialisation |
| CISO (Chief Information Security Officer) | Avant Series A si B2B/industriel | Fort : démontre la maturité cyber |
| VP Sales | Immédiatement après Series A | Modéré : nécessaire pour exécuter le go-to-market |
| CFO | 6-12 mois après Series A | Modéré : préparation Series B |
Les investisseurs posent désormais systématiquement la question du « bus factor » : si le CTO est renversé par un bus, le produit peut-il continuer à être développé et livré ? Une startup avec un bus factor de 1 (une seule personne détient la connaissance critique) verra sa valorisation impactée.
La mitigation passe par :
Les tours de Series A deeptech/hardware en Europe varient entre 4 et 15 millions d’euros, avec une médiane autour de 8 millions d’euros. Pour une startup IoT, le montant dépend de trois facteurs : (1) le coût d’industrialisation (moules, certifications, stock), (2) la durée avant la rentabilité (généralement 24-36 mois), et (3) le niveau de traction déjà atteint. Les investisseurs attendent désormais un ARR de 500 000 à 2 millions d’euros avec une croissance de 15-20% MoM avant de financer une Series A.
La due diligence technique s’étend sur 2 à 4 semaines en moyenne, mais peut être réduite à 10 jours pour les startups bien préparées. Les investisseurs ou leurs auditeurs tiers examinent : (1) l’architecture technique et la scalabilité, (2) la sécurité et la conformité réglementaire, (3) la qualité du code et les tests, (4) la supply chain et les dépendances, et (5) la structure de l’équipe et le bus factor. Les startups qui préparent un « data room » complet (documentation technique, résultats de tests de charge, audit de sécurité, modèle de coûts d’infrastructure) accélèrent significativement le processus.
Selon CB Insights, les quatre principales causes d’échec sont : (1) absence de demande consommateur (42% des cas), (2) burn rate excessif (29%), (3) perte d’intérêt après le crowdfunding initial, et (4) erreurs de stratégie produit. Pour les startups IoT spécifiquement, s’ajoutent les défis de scalabilité de production (incapacité à passer de 1 000 à 100 000 unités), de coûts unitaires non maîtrisés, et de vulnérabilités de cybersécurité découvertes tardivement. Seules 24% des startups hardware lèvent un second tour après la Series A, contre 46% pour les startups tech en général.
Le CRA transforme la conformité réglementaire en avantage concurrentiel. Une startup qui démontre une roadmap claire vers la conformité CRA (marquage CE, gestion des vulnérabilités, mises à jour sécurisées) bénéficie d’un « resilience premium » pouvant représenter 10-20% de valorisation supplémentaire. À l’inverse, une startup sans plan de conformité risque un discount de 20-30%, car les investisseurs intègrent le coût et le risque de mise en conformité post-investissement. En 2026, avec l’obligation de signalement des vulnérabilités à l’ENISA entrant en vigueur en septembre, la conformité CRA est devenue un critère de go/no-go pour les investisseurs européens.
La principale différence réside dans le profil de risque et la structure de capital. Une Series A software finance principalement du go-to-market (sales, marketing), tandis qu’une Series A hardware IoT finance l’industrialisation (outillage, certifications, stock) ET le go-to-market. Cela se traduit par : (1) des montants plus élevés (8-15M€ vs 4-8M€ pour le software), (2) des milestones plus techniques (yield rate, coût unitaire) en plus des milestones commerciales, (3) une due diligence plus longue incluant audit supply chain et conformité réglementaire, et (4) une dilution potentiellement plus forte (25-50% à la Series A pour le hardware vs 15-25% pour le software) car le capital est immobilisé plus longtemps avant de générer des revenus récurrents.
📊 902,6 milliards $ : Taille du marché mondial IoT en 2026, en route vers 2 020,5 milliards $ d’ici 2033 (Source : Persistence Market Research)
🔒 +37% : Augmentation des attaques malwares IoT au premier semestre 2023, atteignant 77,9 millions d’attaques (Source : IoTAC)
💰 15,9 millions $ : Montant médian d’une levée Series A pour les startups hardware en 2022, le plus élevé en 19 ans (Source : Avnet Abacus)
⚠️ 97% : Taux d’échec ou de « zombification » des startups hardware grand public (Source : CB Insights)
🏭 12,1% : CAGR projeté pour les plateformes IIoT dans la manufacture entre 2026 et 2033 (Source : Industry Analysis)
🛡️ 64% : Pourcentage d’organisations intégrant les cyberattaques géopolitiques dans leur stratégie de risque cyber en 2026 (Source : World Economic Forum)
⏱️ 24 heures : Délai imposé par le Cyber Resilience Act pour signaler les vulnérabilités activement exploitées à l’ENISA dès septembre 2026 (Source : EU CRA)
📉 24% : Pourcentage de startups hardware levant un second tour après la Series A, contre 46% pour les startups tech en général (Source : CB Insights)
La Series A en IoT n’est pas un tour de croissance. C’est une transformation structurelle où la complexité devient l’actif stratégique. En 2026, dans un marché approchant les 900 milliards de dollars mais marqué par un resserrement du capital depuis 2022, les investisseurs financent la résilience — pas seulement l’innovation.
Les startups qui anticipent la complexité gagnent un multiple supérieur. Celles qui comprennent que la cybersécurité est un levier de valorisation, que la conformité réglementaire (CRA, NIS2) est un avantage concurrentiel, et que l’industrialisation doit être démontrée avant la levée, accèdent au capital dans des conditions optimales.
La question n’est plus : « Avez-vous un produit qui fonctionne ? » mais « Avez-vous un système qui scale, qui résiste aux attaques, qui respecte les réglementations, et qui peut être fabriqué de manière rentable à l’échelle ? »
Ceux qui répondent « oui » à ces quatre questions ne lèvent pas simplement une Series A. Ils construisent les infrastructures critiques de demain.
Blitzscaling : la croissance à tout prix, entre mythe californien et réalité économique
Michael Block, La fabuleuse histoire d’un professeur de golf
Advisor et Consultant auprès des dirigeants d'entreprise - Fondateur de GOWeeZ !
En accompagnant des startups IoT dans leur levée de fonds, j'ai constaté un décalage récurrent : beaucoup arrivent en Series A avec une technologie brillante, mais une vision floue de leur industrialisation. La complexité technique, réglementaire et sécuritaire de l'IoT n'est pas un obstacle — c'est votre meilleur atout concurrentiel. Les investisseurs ne cherchent plus des prototypes séduisants, mais des entreprises capables de scaler sans compromettre la sécurité ni la conformité. Cet article synthétise les leçons tirées du terrain : si vous maîtrisez ces trois piliers (sécurité, scalabilité, rentabilité), vous ne levez pas simplement des fonds, vous construisez une forteresse industrielle difficile à concurrencer.
