La règle c'est ce qui est connecté directement à Internet doit recevoir des mises à jour de sécurité régulièrement.
Les équipements pour une raison ou une autre ne reçoivent pas de mise à jour de sécurité devraient être accessible uniquement via un équipement tiers.
Par exemple si tu as un Raspberry Pi, il est possible d'exposer SSH de ce Raspberry Pi sur Internet et d'utiliser la commande SSH (elle est même dispo sous Windows 10 maintenant) pour te connecter à ton thermostat à distance.
Exemple :
ssh -p 522 -L 80:192.168.0.10:80 login@mon_ip_publique
522 : le port où Raspberry Pi écoute avec SSH (éviter le port 22 par défaut)
login : le login sur ton Raspberry Pi
192.168.0.10 : IPv4 de ton thermostat
mon_ip_publique : IPv4 publique de ta box internet
il faudra te rendre sur
http://127.0.0.1/ pour accéder à ton thermostat hors de chez toi (après avoir passé la commande SSH)