Je ne considère pas vraiment les caméras comme de l'IoT, ou en tout cas, pas toutes.
Les caméras "standalone", qui nécéssitent d'ouvrir des ports, c'est une saloperie et ça finit en botnet.
Les caméras managées style unifi, nest ou whatever, ça ne finira jamais en botnet car pas exposées sur une ip publique.
Et pour le VLAN IoT, tu confonds deux choses : Le risque d'être membre d'un botnet (nul) VS le risque qu'un objet IoT soit compromis et serve à d'autres choses, notamment sniffer des paquets dans le LAN, voir simplement remonter un peu trop de télémétrie, qui justifie de ne pas le mettre dans le vlan principal.