Accueil / Ressources / Réseau

Comment sécuriser le réseau Wi-Fi de mon entreprise ?

Comment sécuriser le réseau Wi-Fi de mon entreprise ?

Il y a des portes qu’on verrouille soigneusement - la porte d’entrée des bureaux, le coffre-fort, l’accès au serveur. Et puis il y a le Wi-Fi. Celui qu’on configure un jour, qu’on oublie aussitôt, et qui tourne tranquillement en arrière-plan pendant des années avec le mot de passe noté sur un Post-it collé au bureau d’accueil.

Le réseau Wi-Fi professionnel est probablement le périmètre de sécurité le plus négligé en entreprise. Pas parce que les équipes IT s’en désintéressent, mais parce que le Wi-Fi est invisible : quand ça marche, on n’y pense pas. Et pendant qu’on n’y pense pas, il peut devenir une porte d’entrée pour des menaces très concrètes.

Bonne nouvelle : sécuriser wifi entreprise n’est pas une mission impossible. C’est une affaire de méthode, de quelques choix techniques bien posés, et d’une vigilance régulière. Voici l’essentiel de ce que nous déployons chez complit pour nos clients - sans jargon superflu, avec les vraies priorités.


Les risques concrets d’un Wi-Fi mal sécurisé

Avant les solutions, un peu de contexte - parce que “sécurité réseau wifi professionnel”, ça peut sembler abstrait jusqu’à ce que ça arrive.

L’accès non autorisé au réseau interne. Un réseau Wi-Fi mal protégé peut être accessible depuis le couloir, la rue, ou le parking en bas de l’immeuble. Quiconque parvient à s’y connecter dispose d’un accès potentiel à vos partages de fichiers, vos imprimantes, vos applications internes, et dans certains cas à vos serveurs.

L’attaque de type “Man in the Middle”. Sur un réseau Wi-Fi insuffisamment chiffré ou configuré sans authentification solide, un attaquant peut se positionner entre un utilisateur et le réseau pour intercepter des données - mots de passe, communications, documents sensibles.

Le rebond depuis un appareil compromis. Un collaborateur connecte son téléphone personnel infecté par un malware sur votre réseau Wi-Fi d’entreprise. Si tout le monde est sur le même segment réseau, ce malware peut se propager latéralement vers vos postes de travail et vos serveurs. Ce scénario n’est pas théorique - il est documenté dans des dizaines d’incidents de sécurité réels.

La fuite de données via un SSID invité mal configuré. Le réseau “Wi-Fi Guests” que vous avez créé pour les visiteurs donne peut-être accès à plus que prévu. Beaucoup d’entreprises découvrent, lors d’un audit, que leur réseau invité partage un segment avec des ressources internes.

Ces risques ne concernent pas que les grandes entreprises. Une PME de 20 personnes est une cible comme une autre - souvent plus facile, justement parce que les processus de sécurité y sont moins matures.


Les 7 mesures essentielles pour protéger votre Wi-Fi bureau

1. Passez au WPA3 - et abandonnez le WPA2 sans tarder

Le protocole WPA2 a dominé pendant près de 20 ans. C’est respectable, mais il montre ses limites. En particulier, il est vulnérable aux attaques par dictionnaire sur les mots de passe et à certaines attaques de réauthentification (comme KRACK, découverte en 2017).

WPA3, son successeur, introduit un mécanisme d’authentification renforcé (SAE - Simultaneous Authentication of Equals) qui résiste à ces attaques même si le mot de passe utilisé n’est pas parfait. Il rend également le chiffrement des sessions individuelles bien plus robuste.

Si votre équipement le supporte (et c’est le cas de la majorité des solutions professionnelles récentes, notamment Cisco Meraki et UniFi), activez WPA3 ou au minimum le mode de transition WPA2/WPA3 pour assurer la compatibilité avec les appareils plus anciens.

2. Segmentez votre réseau avec des VLAN

C’est probablement la mesure la plus impactante sur le plan de la sécurité réseau wifi professionnel - et l’une des moins bien comprises.

L’idée est simple : isoler les différents types d’équipements et d’utilisateurs dans des segments réseau distincts, via des VLAN (Virtual Local Area Networks). Un poste de travail n’a pas à “voir” une caméra IP. Un téléphone personnel n’a pas à accéder au partage de fichiers de l’entreprise. Une imprimante n’a pas à communiquer avec votre serveur de comptabilité.

La segmentation réseau limite drastiquement les mouvements latéraux en cas d’intrusion : un attaquant ou un malware qui pénètre sur un segment ne peut pas automatiquement atteindre les autres. C’est le principe du cloisonnement - comme les compartiments étanches d’un navire.

Chez complit, la segmentation VLAN est systématique dans nos déploiements Cisco Meraki et UniFi. Elle ne complexifie pas l’expérience utilisateur, mais elle change fondamentalement le profil de risque de l’infrastructure.

3. Créez un SSID invité totalement séparé

Le réseau invité, c’est bien. Le réseau invité mal configuré, c’est pire que rien - il donne une fausse impression de sécurité.

Un SSID invité correctement déployé doit être isolé du réseau interne de manière stricte : pas d’accès aux ressources partagées, pas de visibilité sur les autres postes, accès Internet seul. Idéalement, on lui applique également des restrictions de bande passante (pour éviter qu’un visiteur ne sature votre connexion) et un portail captif avec authentification minimale.

Ce SSID doit vivre sur son propre VLAN, différent de celui des collaborateurs, de celui des équipements IoT, et de celui de la production. Quatre réseaux distincts visibles depuis votre dashboard, une seule infrastructure physique.

4. Déployez une authentification 802.1X avec un serveur RADIUS

C’est la mesure qui fait le plus de différence dans les environnements exigeants, et pourtant elle reste sous-utilisée dans les PME.

Au lieu d’un mot de passe Wi-Fi partagé (que tout le monde connaît, que personne ne change, et qui finit sur le Post-it mentionné en introduction), le standard 802.1X permet une authentification individuelle de chaque utilisateur ou appareil. Chaque collaborateur se connecte avec ses propres identifiants - typiquement via l’annuaire Active Directory ou Azure AD de l’entreprise.

Le bénéfice est double : vous savez exactement qui est connecté et quand, et vous pouvez révoquer un accès instantanément en cas de départ d’un collaborateur ou de perte d’un appareil - sans avoir à changer le mot de passe pour tout le monde.

Le serveur RADIUS qui orchestre cette authentification peut être déployé on-premise ou en SaaS. Cisco Meraki s’intègre nativement avec des solutions comme Cisco ISE ou des fournisseurs d’identité cloud. UniFi supporte également 802.1X via un serveur RADIUS externe.

5. Activez le monitoring en temps réel

Un réseau qu’on ne surveille pas est un réseau dont on ne connaît pas l’état réel. Et en matière de sécurité, l’inconnu est rarement une bonne nouvelle.

Le monitoring réseau permet de détecter des anomalies : un pic de connexions inhabituel, un appareil inconnu qui tente de se connecter, un volume de trafic sortant anormal à 3h du matin. Ces signaux faibles sont précieux - ils indiquent souvent qu’il se passe quelque chose qui mérite investigation.

Les plateformes comme Cisco Meraki intègrent des capacités de monitoring avancé nativement : détection d’intrusions (IDS), visibilité applicative, alertes automatiques. UniFi propose des tableaux de bord de supervision complets et s’intègre facilement avec des outils SIEM tiers.

L’objectif n’est pas de créer une salle de crise, mais de ne pas découvrir un incident de sécurité trois mois après qu’il s’est produit.

6. Mettez à jour les firmwares de vos équipements

C’est le conseil le plus simple, le moins glamour, et pourtant l’un des plus efficaces. La grande majorité des attaques exploitent des vulnérabilités connues - c’est-à-dire des failles pour lesquelles un correctif existe déjà, mais n’a pas été appliqué.

Les fabricants publient régulièrement des mises à jour de firmware pour leurs bornes Wi-Fi et leurs switchs. Ces mises à jour corrigent des vulnérabilités de sécurité, mais aussi des bugs de stabilité. Ne pas les appliquer, c’est laisser une fenêtre entrouverte.

Cisco Meraki facilite considérablement cette étape : les mises à jour de firmware peuvent être automatisées depuis le dashboard cloud, avec fenêtres de maintenance configurables pour ne pas impacter la production. Sur UniFi, le processus nécessite une action plus manuelle, mais reste simple depuis l’interface de gestion.

7. Réalisez des audits de sécurité réguliers

Les mesures précédentes sont efficaces le jour où elles sont déployées. Mais les menaces évoluent, les configurations dérivent, et les besoins changent. Un audit régulier - au minimum annuel - permet de s’assurer que votre posture de sécurité réseau reste cohérente avec vos risques réels.

Cet audit comprend typiquement une revue des équipements et des firmwares, une analyse des règles de pare-feu et de segmentation, un test de pénétration Wi-Fi (tentative de connexion non autorisée, analyse des SSID visibles depuis l’extérieur), et un inventaire des appareils connectés.

Ce n’est pas un exercice de style - c’est une façon concrète de détecter ce qui a évolué sans que personne ne s’en rende compte : un VLAN mal configuré lors d’un changement d’équipe, une borne ajoutée en urgence sans appliquer les politiques standard, un firmware resté à l’arrêt depuis deux ans.


Ce qu’il ne faut surtout pas faire

Autant être direct sur quelques pratiques que nous rencontrons régulièrement et qui créent des risques réels.

Ne pas utiliser un mot de passe Wi-Fi générique ou évident. “entreprise2024”, le nom de la société suivi de l’année, ou le numéro de téléphone visible sur votre site : ce sont des candidats évidents pour une attaque par dictionnaire. Un bon mot de passe Wi-Fi est long (20 caractères minimum), aléatoire, et changé régulièrement - ou remplacé par une authentification 802.1X.

Ne pas laisser le SSID de gestion des équipements visible. Certains équipements exposent par défaut un SSID d’administration. Il doit être désactivé ou masqué - et surtout, le mot de passe d’administration par défaut doit être changé immédiatement lors de l’installation.

Ne pas connecter des appareils personnels au réseau d’entreprise sans politique BYOD. Si vous acceptez les appareils personnels sur votre réseau, ils doivent atterrir sur un VLAN dédié avec des règles d’accès limitées - pas sur le même segment que vos postes de production.

Ne pas désactiver les logs pour “alléger” le système. Les journaux d’événements sont votre principal outil de détection a posteriori. Les désactiver pour des raisons de performance, c’est renoncer à comprendre ce qui s’est passé en cas d’incident.

Ne pas considérer le VPN comme un substitut à la sécurité Wi-Fi. Le VPN protège le trafic qui en sort. Il ne protège pas l’accès initial au réseau local, ni ce qui se passe entre les appareils sur le même segment. Les deux couches sont complémentaires, pas interchangeables.


Ce que complit met en place pour vous

Chez complit, intégrateur IT et AV basé à Paris, la sécurité réseau est un composant systématique de nos déploiements - pas une option qu’on ajoute si le budget le permet.

Concrètement, cela se traduit par une architecture en VLAN avec des politiques de trafic strictes entre segments, une authentification 802.1X intégrée à votre annuaire existant dès que l’environnement le justifie, un monitoring actif via les dashboards Cisco Meraki ou UniFi, et un plan de mise à jour firmware documenté.

Nous réalisons également des audits de sécurité Wi-Fi pour des entreprises souhaitant évaluer leur posture existante - avec un rapport d’analyse clair et des recommandations priorisées, sans jargon inutile.

Si vous ne savez pas exactement ce que fait votre réseau Wi-Fi en ce moment, c’est peut-être le bon moment pour le découvrir - avant quelqu’un d’autre.


FAQ - Sécurité Wi-Fi en entreprise

Mon réseau Wi-Fi est-il vraiment une cible pour les attaquants ?

Oui - et souvent plus que vous ne le pensez. Les réseaux Wi-Fi d’entreprise sont régulièrement scrutés par des outils automatisés qui cartographient les SSID, testent les protocoles d’authentification et cherchent des configurations vulnérables. Ce ne sont pas forcément des attaques ciblées : les scripts tournent en continu, et un réseau mal configuré finit par être détecté. La bonne question n’est pas “suis-je une cible ?” mais “est-ce que mon réseau résisterait à une tentative sérieuse ?”.

Faut-il changer régulièrement le mot de passe Wi-Fi de l’entreprise ?

Si vous utilisez un mot de passe partagé (ce qu’on appelle le mode PSK - Pre-Shared Key), oui : changer ce mot de passe régulièrement est une bonne pratique, a minima lors de chaque départ d’un collaborateur. Mais la vraie solution est de passer à une authentification 802.1X individuelle, qui supprime ce problème structurellement : chaque personne a ses propres identifiants, et on révoque exactement ce qu’on veut révoquer, sans impacter les autres utilisateurs.

La segmentation VLAN est-elle compatible avec mes équipements actuels ?

La segmentation VLAN est supportée par l’immense majorité des équipements réseau professionnels actuels - que ce soit Cisco Meraki, UniFi, ou d’autres marques. Si votre infrastructure est récente, elle est très probablement compatible. Si vous avez des équipements anciens (notamment des switchs non gérés), certains composants devront peut-être être remplacés. Un audit rapide de l’existant permet de répondre à cette question en quelques heures.

Quelle est la différence entre un réseau Wi-Fi sécurisé et un réseau Wi-Fi qui “a l’air” sécurisé ?

Un réseau qui “a l’air” sécurisé a un mot de passe, un SSID qui ne hurle pas le nom de l’entreprise, et peut-être un antivirus sur les postes. Un réseau réellement sécurisé a une segmentation VLAN opérationnelle, une authentification forte, un monitoring actif, des firmwares à jour, et fait l’objet d’audits réguliers. La différence entre les deux, c’est souvent ce qu’un attaquant ou un audit découvre dans les premières heures.

Parlons de votre projet.

Devis ou simple question,
réponse dans quelques heures.