Passer au contenu principal
Français

Architecture WiFi pour clients d'hôtel : Intégration PMS, Captive Portals et contrôle de la bande passante

Ce guide fournit un cadre complet pour concevoir des réseaux WiFi d'hôtel de classe entreprise. Il détaille les exigences techniques pour la segmentation VLAN, l'intégration PMS via FIAS, la conception de Captive Portal et le contrôle de la bande passante par client afin de garantir la sécurité, la conformité et des performances optimales.

📖 6 min de lecture📝 1,401 mots🔧 2 exemples concrets3 questions d'entraînement📚 8 définitions clés

Écouter ce guide

Voir la transcription du podcast
Bienvenue dans ce briefing technique Purple. Aujourd'hui, nous abordons l'architecture du WiFi pour les clients d'hôtels, et plus particulièrement les trois piliers qui déterminent le succès ou l'échec de votre déploiement : l'intégration PMS, la conception du Captive Portal et le contrôle de la bande passante. Si vous êtes responsable informatique, architecte réseau ou CTO en charge d'un hôtel ou d'un portefeuille d'établissements, ce briefing vous est destiné. Nous entrerons dans les détails techniques tout en restant pratiques. Chaque point est lié à une décision que vous devrez prendre. Commençons par l'architecture elle-même. Un réseau WiFi d'hôtel n'est pas un déploiement de bureau standard. Il doit desservir simultanément au moins trois populations distinctes : les clients, le personnel et les systèmes du bâtiment. Chacune a des exigences de sécurité, de performance et de conformité totalement différentes. L'erreur fondamentale de la plupart des déploiements est de traiter ces trois populations comme un seul et même réseau. La bonne approche est la segmentation par VLAN (Virtual Local Area Networks), définie par la norme IEEE 802.1Q. Vous créez des réseaux logiquement distincts sur la même infrastructure physique. Le WiFi invité est positionné sur le VLAN 10, isolé de tout le réseau interne. L'accès du personnel se fait sur le VLAN 20, authentifié via 802.1X par votre serveur RADIUS. Les appareils IoT (téléviseurs connectés, thermostats, serrures de porte) sont sur le VLAN 30 avec des règles de pare-feu strictes limitant leurs accès. Et si vous disposez de terminaux de point de vente sur la propriété, ils doivent impérativement avoir leur propre VLAN dédié, car la norme PCI DSS exige que les environnements de données des titulaires de cartes soient isolés de tout autre trafic réseau. Ce n'est pas une option. C'est une exigence de conformité de base. C'est également votre principale défense contre les mouvements latéraux, ce schéma d'attaque par lequel un appareil client compromis tente de sonder vos systèmes internes. Passons maintenant à la couche sans fil. Si vous déployez une nouvelle infrastructure aujourd'hui, vous devriez spécifier du WiFi 6 (IEEE 802.11ax). Dans les environnements à haute densité comme les salles de conférence ou les grands espaces événementiels, le WiFi 6E ajoute la bande de 6 gigahertz, vous offrant ainsi un spectre nettement plus large. L'amélioration clé des performances par rapport à la génération précédente est l'OFDMA (Orthogonal Frequency Division Multiple Access), qui permet à un seul point d'accès de servir plusieurs clients simultanément plutôt que de manière séquentielle. En termes pratiques, vous bénéficiez d'une capacité de débit environ quatre fois supérieure par point d'accès par rapport au WiFi 5, avec une latence beaucoup plus faible en charge. L'emplacement des points d'accès importe plus qu'on ne le pense. Le premier réflexe est de placer les points d'accès dans les couloirs. C'est une erreur. Dans un hôtel, vous devez viser une couverture en chambre. La bonne pratique consiste à installer un point d'accès par chambre, ou au minimum un pour deux chambres, monté au plafond ou derrière le téléviseur. Cela élimine le problème d'atténuation des couloirs où le signal doit traverser deux murs pour atteindre un client. Pour les espaces publics (halls d'entrée, restaurants, salles de conférence), commandez une véritable étude de site RF avant de finaliser l'emplacement. Chaque point d'accès doit être câblé. Du Cat 6A vers chaque point d'accès, raccordé à un commutateur PoE à chaque étage. Le WiFi maillé convient pour un usage domestique. Dans un hôtel, vous avez besoin d'une liaison de raccordement déterministe et à faible latence. Parlons maintenant de l'intégration PMS (Property Management System). C'est là que l'architecture WiFi hôtelière diverge le plus radicalement d'un déploiement d'entreprise standard. Le PMS est le système d'enregistrement de référence pour chaque séjour de client. Il sait qui s'est enregistré, dans quelle chambre il se trouve, quand il part et quelle catégorie de tarif il a réservée. L'intégration de votre Captive Portal au PMS permet aux clients de s'authentifier à l'aide de leur numéro de chambre et de leur nom de famille : pas de mot de passe à retenir, pas de code de coupon à saisir. Le Captive Portal envoie une requête API en temps réel au PMS, valide les identifiants par rapport aux réservations actives et accorde l'accès en 200 à 500 millisecondes. Le protocole qui sous-tend la plupart de ces intégrations est le FIAS (Fidelio Interface Application Specification). Développé à l'origine pour le PMS Fidelio, aujourd'hui Oracle Opera, le FIAS est devenu le standard de fait pour les interfaces des systèmes hôteliers. Au-delà de l'authentification, l'intégration PMS permet une gestion automatique des sessions. Lorsqu'un client libère sa chambre, le PMS envoie un événement de départ à la plateforme WiFi, qui révoque immédiatement son jeton d'accès. Aucune intervention manuelle n'est requise. La valeur des données ici est significative. Chaque session WiFi authentifiée crée un profil client vérifié : nom, e-mail, type de chambre, durée du séjour, type d'appareil. Ces données, capturées avec un consentement GDPR explicite sur la page de connexion, deviennent un actif marketing de premier niveau. La plateforme de Purple a traité 440 millions de connexions en 2024 à travers 80 000 sites. Les données clients capturées via des Captive Portals intégrés au PMS atteignent systématiquement des taux de validation de 70 à 80 %, contre 30 à 40 % pour les soumissions de formulaires non validés. Passons à la conception du Captive Portal. Un Captive Portal est la passerelle d'authentification sur laquelle les clients arrivent lorsqu'ils se connectent pour la première fois. Il intercepte le trafic HTTP et redirige le navigateur vers une page hébergée avant d'accorder l'accès à Internet. Le mécanisme technique fonctionne ainsi. Le point d'accès ou le contrôleur attribue à l'appareil du client une adresse IP restreinte. Toutes les requêtes HTTP sont redirigées vers l'URL du portail via une interception DNS. Le client s'authentifie. Le contrôleur reçoit un signal d'autorisation de la part du serveur RADIUS. L'adresse MAC de l'appareil est ajoutée à la liste des autorisations. L'accès normal à Internet est accordé. La conformité au GDPR sur le Captive Portal est non négociable. Votre page de connexion doit présenter un avis de confidentialité clair, des options de consentement explicites pour le marketing et un mécanisme permettant aux clients d'exercer leurs droits relatifs aux données. Crucialement, le consentement pour utiliser le WiFi n'est pas le même que le consentement pour recevoir des e-mails marketing. Il doit s'agir d'options de consentement distinctes et non groupées. La plateforme de Purple gère cela de manière native, avec des enregistrements de consentement liés à chaque profil d'utilisateur et des pistes d'audit disponibles pour examen réglementaire. Pour la sécurité, le WPA3 est la norme actuelle. Le WPA3-Personal utilise l'authentification simultanée d'égaux (SAE), ce qui élimine la vulnérabilité aux attaques par dictionnaire présente dans le WPA2-PSK. Pour les réseaux invités, un SSID ouvert derrière un Captive Portal avec chiffrement sans fil opportuniste (OWE) fournit un chiffrement sans nécessiter de clé pré-partagée. L'isolation des clients doit être activée sur tous les SSIDs invités afin d'empêcher le trafic de pair à pair entre les appareils des invités. Passons maintenant au contrôle de la bande passante. C'est le troisième pilier, et c'est celui qui est le plus souvent sous-dimensionné. La règle d'or pour la planification de la bande passante d'un hôtel est la suivante : planifiez pour la demande de pointe, pas pour la demande moyenne. Pour un établissement de milieu de gamme, prévoyez 10 à 25 mégabits par seconde par chambre. Pour un hôtel à service complet, 25 à 50 mégabits par seconde par chambre. Pour un établissement de luxe ou axé sur les conférences, 50 à 100 mégabits par seconde par chambre. La limitation du débit par client empêche un seul invité de saturer votre liaison montante. Sur Cisco Meraki, vous configurez cela comme une limite de bande passante par client sur le SSID. Sur HPE Aruba, il s'agit d'une politique de rôle utilisateur appliquée via le contrôleur. Sur Juniper Mist, il s'agit d'une politique de limite de débit WLAN. Le mécanisme diffère selon le fournisseur, mais le principe reste le même : définir un plafond descendant et montant par appareil, et l'appliquer au niveau du contrôleur. La qualité de service (QoS) se situe au-dessus de la limitation de débit. Le WMM (WiFi Multimedia) est la norme 802.11e qui définit quatre files d'attente de trafic : voix, vidéo, au mieux (best effort) et arrière-plan. Les appels VoIP et vidéo doivent être prioritaires dans les files d'attente voix et vidéo. La navigation web et les téléchargements entrent dans la catégorie "au mieux". Configurer correctement le WMM signifie qu'un invité en appel vidéo ne sera pas perturbé lorsque la personne de la chambre voisine lancera un téléchargement volumineux. Laissez-moi maintenant vous donner les recommandations de mise en œuvre et les pièges à éviter. Commencez par une étude de site. Avant de toucher au moindre câble, parcourez l'établissement avec un analyseur de spectre. Identifiez les sources d'interférences existantes : réseaux voisins, fours à micro-ondes en cuisine, téléphones DECT à la réception. Cela orientera votre plan de canaux et le positionnement de vos points d'accès (AP). Deuxièmement, concevez votre architecture VLAN avant de configurer quoi que ce soit. Cartographiez : le VLAN Guest WiFi, le VLAN personnel, le VLAN IoT et systèmes du bâtiment, et le VLAN de gestion. Faites documenter et approuver ce plan avant le déploiement. Troisièmement, dimensionnez correctement votre liaison internet montante. Pour un hôtel de 200 chambres avec un taux d'occupation de 80 %, prévoir 25 mégabits par chambre aux heures de pointe vous donne une bande passante minimale garantie de 4 gigabits par seconde. Une ligne louée avec capacité de débordement est le produit adapté ici, et non une connexion haut débit standard. Les pièges. Le plus courant consiste à sous-dimensionner la liaison montante, puis à rejeter la faute sur l'infrastructure sans fil lorsque les clients se plaignent. Neuf fois sur dix, un WiFi d'hôtel lent est un problème de bande passante internet, et non un problème de radiofréquence. Le second piège consiste à déployer un Captive Portal qui collecte des données mais ne dispose d'aucun flux de travail marketing en aval. Vous avez créé cet actif de données. Maintenant, utilisez-le. E-mails de pré-séjour, enquêtes de post-séjour, inscription aux programmes de fidélité, offres ciblées pendant le séjour. Questions-réponses rapides. Ai-je besoin du WiFi 6 ou le WiFi 5 suffira-t-il ? Si vous déployez une nouvelle infrastructure aujourd'hui, optez toujours pour le WiFi 6. La différence de coût est minime et la marge de performance est significative. Dois-je faire payer le WiFi aux clients ? Non. En 2026, le WiFi payant pour les clients est un risque pour leur satisfaction. Comment gérer un client qui se plaint d'un WiFi lent ? Tout d'abord, vérifiez l'utilisation de votre liaison montante Internet. Deuxièmement, vérifiez le nombre d'associations aux points d'accès (AP). Troisièmement, recherchez d'éventuels AP non autorisés ou des interférences sur votre plan de canaux. Pour conclure. Une architecture WiFi pour clients d'hôtel correctement conçue est un actif stratégique, pas un coût d'infrastructure. Les trois points à retenir : Un - segmentez votre réseau dès le premier jour. Clients, personnel et IoT sur des VLAN distincts, avec un pare-feu entre eux. Deux - intégrez votre Captive Portal à votre PMS. L'authentification par numéro de chambre et nom de famille vous fournit des données clients vérifiées et une gestion transparente des sessions. Trois - dimensionnez votre liaison montante Internet pour la demande de pointe, et non pour la demande moyenne, et appliquez une limitation de débit par client pour préserver l'expérience de chaque utilisateur sur le réseau. Merci pour votre écoute.

header_image.png

Synthèse

L'architecture WiFi hôtelière ne se limite plus à la simple couverture ; elle repose désormais sur une segmentation sécurisée, une authentification fluide et la transformation d'un coût d'infrastructure en un actif de données stratégique. Pour les responsables IT et les architectes réseau déployant des infrastructures dans le secteur de l' Hôtellerie , traiter les réseaux des clients, du personnel et des systèmes du bâtiment comme un seul réseau plat constitue une défaillance critique. Ce guide détaille les exigences techniques pour un WiFi hôtelier de classe entreprise, en se concentrant sur trois piliers fondamentaux : l'intégration du Captive Portal avec votre système de gestion hôtelière (PMS) via FIAS pour une validation client transparente, le déploiement d'une segmentation VLAN robuste pour répondre aux exigences PCI DSS, et l'application de contrôles de bande passante par chambre pour garantir des performances constantes. En alignant votre stratégie matérielle — qu'il s'agisse de déployer Cisco Meraki, HPE Aruba ou Juniper Mist — avec une authentification Guest WiFi intelligente, vous sécurisez votre environnement tout en collectant les données de première partie de haute qualité nécessaires pour fidéliser et générer des revenus.

Écouter le Briefing

Analyse Technique Approfondie : Architecture et Segmentation

Un réseau hôtelier doit servir simultanément les clients, le personnel et les technologies opérationnelles sans compromettre la sécurité ni les performances d'aucun groupe. L'exigence fondamentale est la séparation logique à l'aide de réseaux locaux virtuels (VLAN) régis par la norme IEEE 802.1Q.

Vous devez isoler le trafic au niveau du commutateur. Le Guest WiFi nécessite son propre VLAN, entièrement protégé par un pare-feu des ressources internes. L'accès du personnel doit fonctionner sur un VLAN distinct, sécurisé par une authentification 802.1X par rapport à un serveur RADIUS (s'intégrant à des fournisseurs d'identité comme Microsoft Entra ID ou Okta). Un troisième VLAN doit isoler les appareils IoT — thermostats intelligents, serrures de porte et vidéosurveillance. Enfin, tous les systèmes de point de vente doivent se trouver sur un VLAN isolé pour maintenir la conformité PCI DSS. Cette segmentation élimine le vecteur d'attaque par mouvement latéral, garantissant qu'un appareil client compromis ne puisse pas sonder vos systèmes de gestion hôtelière.

Couche Sans Fil et Emplacement des Points d'Accès

Pour la couche de radiofréquence (RF), le Wi-Fi 6 (IEEE 802.11ax) constitue la norme de référence pour les nouveaux déploiements. Il introduit l'accès multiple par répartition en fréquence orthogonale (OFDMA), qui permet à un seul point d'accès de desservir plusieurs clients simultanément. Cela offre une capacité de débit environ quatre fois supérieure à celle du Wi-Fi 5 et réduit considérablement la latence dans les environnements à forte densité.

Le positionnement physique des points d'accès (AP) détermine les performances. Le modèle traditionnel de déploiement des AP dans les couloirs oblige les signaux à traverser des portes coupe-feu épaisses et la plomberie des salles de bains avant d'atteindre le client. Vous devez déployer un modèle d'AP en chambre — un AP par chambre, ou un AP pour deux chambres au minimum. Chaque AP nécessite une connexion filaire Cat 6A vers un commutateur PoE ; le backhaul maillé (mesh) n'est pas adapté aux environnements hôteliers d'entreprise.

Intégration au système de gestion hôtelière (PMS)

Le PMS est la source unique de vérité pour les opérations hôtelières. L'intégration de votre couche d'authentification WiFi avec le PMS transforme l'expérience client et améliore radicalement la qualité des données.

Authentification via FIAS

Lorsqu'un client se connecte au réseau, il est redirigé vers un Captive Portal. Au lieu de s'appuyer sur un mot de passe générique ou un formulaire d'e-mail non vérifié, l'intégration PMS permet au client de s'authentifier à l'aide de son nom de famille et de son numéro de chambre. La plateforme de Captive Portal interroge le PMS en temps réel — généralement à l'aide du protocole FIAS (Fidelio Interface Application Specification) — pour valider les identifiants par rapport aux réservations actives. Cette validation par API s'effectue en moins de 500 millisecondes.

pms_integration_diagram.png

Gestion des sessions et qualité des données

Cette intégration automatise le cycle de vie des sessions. Lorsqu'un client effectue son départ (check-out), le PMS déclenche un événement qui révoque immédiatement l'accès WiFi. Si un client prolonge son séjour, la session réseau est automatiquement prolongée.

Plus important encore, l'intégration PMS résout le problème de qualité des données. Les formulaires standard de capture d'e-mails génèrent souvent des taux d'erreur de 30 %. En validant les données par rapport au PMS, vous capturez un profil client vérifié associé à des données de séjour spécifiques. Purple a traité 440 millions de connexions en 2024, et nos données montrent que les Captive Portals intégrés au PMS atteignent des taux de validation de 70 % à 80 %. Ces données de première partie (first-party) consenties alimentent directement votre CRM, permettant des analyses ciblées WiFi Analytics et du marketing post-séjour.

Conception et sécurité du Captive Portal

Le Captive Portal est votre principal mécanisme de capture de données et de conformité. Il fonctionne en attribuant une adresse IP restreinte à l'appareil du client et en utilisant une interception DNS pour rediriger le trafic HTTP vers la page d'accueil (splash page). Une fois que le client s'est authentifié et a accepté les conditions, le serveur RADIUS autorise l'adresse MAC, et l'accès complet à Internet est accordé.

GDPR et consentement dissocié

Votre Captive Portal doit présenter des options de consentement explicites et granulaires. Le consentement à l'utilisation du réseau ne peut pas être associé au consentement pour les communications marketing. La plateforme de Purple gère cela de manière native, en liant des enregistrements de consentement vérifiables à des profils d'utilisateurs individuels.

Chiffrement et isolation des clients

Vous devez activer l'isolation des clients sur le SSID invité. Cela empêche la communication de pair à pair, évitant ainsi qu'un appareil invité ne scanne ou n'accède à un autre. Pour le chiffrement, le WPA3 est la norme. Alors que le WPA3-Enterprise sécurise le réseau du personnel, les réseaux invités doivent utiliser l'Opportunistic Wireless Encryption (OWE) lorsqu'il est pris en charge, offrant un chiffrement individualisé pour les réseaux ouverts sans nécessiter de mot de passe partagé. Pour plus de détails sur l'accès sécurisé, consultez notre guide sur EAP Method WiFi: A Guide to Secure Network Access .

Contrôle de la bande passante et QoS

La gestion de la bande passante est le dernier pilier d'une architecture stable. La principale cause des plaintes des invités est une liaison montante Internet sous-dimensionnée.

Dimensionnement de la liaison montante

Vous devez dimensionner la bande passante en fonction de la demande simultanée de pointe, et non de l'utilisation moyenne. Les allocations recommandées sont :

  • Budget / Milieu de gamme : 10 à 25 Mbps par chambre
  • Service complet : 25 à 50 Mbps par chambre
  • Luxe / Conférence : 50 à 100 Mbps par chambre

Pour un établissement de 200 chambres avec un taux d'occupation de 80 %, l'allocation de 25 Mbps par chambre nécessite une liaison montante minimale garantie de 4 Gbps. Une ligne louée dédiée est obligatoire.

Limite de débit et politique de QoS

Pour éviter qu'un seul utilisateur ne sature la liaison montante, vous devez appliquer une limitation de débit par client au niveau du contrôleur. Que vous déployiez Cisco Meraki, HPE Aruba ou Ubiquiti UniFi, configurez une limite stricte sur le trafic descendant et montant par appareil.

Au-dessus de la limitation de débit se trouve la qualité de service (QoS). En utilisant la norme WMM (WiFi Multimedia), vous devez hiérarchiser le trafic en quatre files d'attente. Les appels VoIP et vidéo nécessitent une priorité élevée, garantissant que l'appel Microsoft Teams d'un invité ne soit pas dégradé par un autre invité téléchargeant un fichier volumineux sur la file d'attente standard.

bandwidth_control_chart.png

Guide d'implémentation

Suivez cette séquence pour un déploiement réussi :

  1. Réaliser une étude de site RF : Parcourez l'établissement avec un analyseur de spectre pour identifier les sources d'interférences avant de planifier l'emplacement des points d'accès.
  2. Concevoir l'architecture VLAN : Documentez vos VLAN Invités, Personnel, IoT et POS. Configurez des règles de pare-feu explicites de refus par défaut entre eux.
  3. Dimensionner la liaison montante : Calculez la demande de pointe sur la base de la référence de 25 Mbps par chambre et procurez-vous une ligne louée dédiée.
  4. Déployer le Captive Portal : Intégrez le portail à votre PMS. Testez le flux d'authentification, la capture du consentement et la révocation de session sur les appareils iOS, Android et Windows.
  5. Surveiller et ajuster : Après le déploiement, surveillez le nombre d'associations aux AP et l'utilisation de la liaison montante pour identifier les zones mortes ou les goulots d'étranglement de bande passante.

Dépannage et atténuation des risques

Les modes de défaillance les plus fréquents dans les déploiements WiFi hôteliers découlent d'une mauvaise planification plutôt que d'une défaillance matérielle.

  • La plainte du « WiFi lent » : Il s'agit rarement d'un problème RF. Tout d'abord, vérifiez l'utilisation de votre liaison montante Internet. Si le circuit est saturé, aucun réglage des AP ne résoudra le problème. Deuxièmement, vérifiez la répartition des clients sur les AP ; si un AP compte 40 clients et qu'un AP adjacent en compte 5, votre configuration de band steering doit être ajustée.
  • Le piège du « silo de données » : Déployer un Captive Portal sans intégration en aval est un investissement gâché. Les données capturées lors de la connexion doivent être transmises automatiquement à vos outils d'automatisation marketing pour alimenter les programmes de fidélité du secteur Retail ou de l'hôtellerie.
  • Le risque de réseau plat : Ne pas segmenter le réseau filaire compromet la sécurité sans fil. Si un client branche un ordinateur portable sur un port Ethernet exposé dans une salle de conférence et accède au VLAN du personnel, votre architecture a échoué. Assurez-vous que les ports des commutateurs situés dans les espaces publics sont attribués au VLAN invité ou entièrement désactivés.

ROI et impact commercial

Le WiFi d'entreprise nécessite des dépenses d'investissement importantes, mais il offre des rendements mesurables lorsqu'il est correctement conçu. Le ROI se réalise à travers trois canaux :

  1. Efficacité opérationnelle : L'intégration PMS élimine la génération manuelle de coupons et le dépannage à la réception, libérant ainsi des heures de travail pour le personnel chaque semaine.
  2. Acquisition de données de première partie : Un Captive Portal authentifié permet de constituer une base de données de profils de clients vérifiés. Ces données alimentent les campagnes de réservation directe, réduisant ainsi la dépendance vis-à-vis des agences de voyage en ligne (OTA) et de leurs commissions associées.
  3. Satisfaction des clients : Un WiFi fiable et à haut débit est l'un des principaux moteurs d'avis positifs. Un réseau segmenté et correctement dimensionné élimine les frictions qui mènent à des commentaires négatifs, ce qui a un impact direct sur la réputation de l'établissement et sur son tarif journalier moyen.

Définitions clés

VLAN (Virtual Local Area Network)

Un sous-réseau logique qui regroupe un ensemble d'appareils sur la même infrastructure physique, isolant leur trafic de diffusion des autres VLAN.

Essentiel pour séparer le trafic des clients des systèmes internes de l'hôtel et garantir la conformité PCI DSS.

Captive Portal

Une page web qui intercepte le trafic réseau et exige que les utilisateurs s'authentifient ou acceptent les conditions d'utilisation avant de leur accorder un accès complet à Internet.

Le principal point de contact pour l'authentification des clients, le consentement GDPR et la collecte de données de première partie.

FIAS (Fidelio Interface Application Specification)

Un protocole universel utilisé par les systèmes de gestion hôtelière (comme Oracle Opera) pour communiquer en temps réel avec des systèmes tiers.

Utilisé par le Captive Portal pour valider le numéro de chambre et le nom de famille d'un client par rapport aux dossiers actifs du PMS.

WPA3-Enterprise

Le niveau le plus élevé de sécurité WiFi, exigeant que les utilisateurs ou appareils individuels s'authentifient à l'aide d'identifiants uniques via un serveur RADIUS (802.1X).

La norme obligatoire pour sécuriser les réseaux du personnel et les appareils de l'entreprise au sein de l'hôtel.

Client Isolation

Une fonctionnalité de contrôleur sans fil qui empêche les appareils connectés au même SSID de communiquer directement entre eux.

Doit être activé sur tous les réseaux invités pour empêcher les attaques de pair à pair et protéger la vie privée des clients.

Rate Limiting

La pratique consistant à restreindre la bande passante maximale (vitesse de téléchargement montant et descendant) disponible pour un appareil client individuel.

Crucial pour éviter qu'un seul client téléchargeant des fichiers volumineux ne dégrade l'expérience réseau de tous les autres.

QoS (Quality of Service) / WMM

Mécanismes réseau qui priorisent certains types de trafic (comme la voix ou la vidéo) par rapport à un trafic moins sensible au facteur temps (comme les téléchargements de fichiers).

Garantit que les appels VoIP des clients ou les outils de communication du personnel fonctionnent de manière fiable, même lorsque le réseau est fortement chargé.

OFDMA

Orthogonal Frequency Division Multiple Access ; une fonctionnalité Wi-Fi 6 qui permet à un point d'accès de desservir plusieurs clients simultanément en divisant les canaux en sous-canaux plus petits.

Améliore considérablement les performances et réduit la latence dans les zones à forte densité comme les salles de conférence et les halls d'hôtel.

Exemples concrets

Un hôtel de 150 chambres proposant une gamme complète de services fait face à de fréquentes plaintes de clients concernant la lenteur du WiFi lors du pic de soirée (19h00 - 22h00). L'établissement dispose actuellement d'une connexion haut débit de 1 Gbps et utilise un réseau unique plat avec un mot de passe WPA2 partagé.

  1. Mettre à niveau la liaison montante Internet vers une ligne louée dédiée fournissant au moins 3,75 Gbps (150 chambres * 25 Mbps). 2. Implémenter une segmentation VLAN en déplaçant les clients vers un VLAN 10 isolé. 3. Déployer un Captive Portal intégré au PMS Oracle Opera de l'hôtel via FIAS, permettant aux clients de s'authentifier avec leur numéro de chambre et leur nom de famille. 4. Appliquer une limitation de débit par client de 25 Mbps en descente / 10 Mbps en montée au niveau du contrôleur sans fil pour empêcher les appareils individuels de saturer la liaison montante.
Commentaire de l'examinateur : Cette approche s'attaque à la cause profonde (la saturation de la liaison montante) tout en résolvant simultanément la vulnérabilité de sécurité du réseau plat. L'intégration PMS élimine les frictions liées au mot de passe partagé tout en permettant une capture précieuse de données de première partie.

Un complexe hôtelier de luxe doit déployer un WiFi sécurisé pour les tablettes du personnel utilisées pour le ménage et la maintenance, tout en garantissant que les appareils des clients ne puissent pas accéder aux systèmes de gestion de l'établissement.

Créer un VLAN personnel dédié (VLAN 20) distinct du VLAN client (VLAN 10). Configurer l'SSID du personnel pour utiliser WPA3-Enterprise, en authentifiant les tablettes auprès du serveur RADIUS de l'entreprise à l'aide de la norme 802.1X. Appliquer des règles strictes de routage inter-VLAN au niveau du pare-feu : refuser par défaut tout le trafic entre le VLAN 10 et le VLAN 20, et autoriser uniquement le VLAN 20 à atteindre les adresses IP et les ports spécifiques requis pour l'application de ménage.

Commentaire de l'examinateur : S'appuyer sur WPA2-PSK pour les appareils du personnel constitue un risque de sécurité si la phrase secrète est compromise. WPA3-Enterprise avec 802.1X garantit une authentification au niveau de l'appareil, et la politique stricte du pare-feu empêche physiquement tout mouvement latéral à partir du réseau client.

Questions d'entraînement

Q1. Un directeur des opérations hôtelières souhaite mettre en place un réseau WiFi unique et ouvert pour les clients et les nouvelles smart TV des chambres afin de « simplifier les choses ». En tant qu'architecte réseau, comment réagissez-vous ?

Conseil : Considérez les implications du mouvement latéral et de la taille du domaine de diffusion.

Voir la réponse type

Déconseillez cette approche. Les appareils des clients et les appareils IoT (smart TV) doivent être segmentés sur des VLAN distincts. Les placer sur le même réseau ouvert expose les téléviseurs à un accès direct depuis les appareils des clients, créant ainsi une vulnérabilité de sécurité majeure. De plus, cela augmente le domaine de diffusion, ce qui peut dégrader les performances globales du réseau. Les téléviseurs doivent être sur un VLAN IoT isolé (par exemple, VLAN 30) avec des règles de pare-feu strictes.

Q2. Lors d'une étude de site pour un nouvel établissement de 300 chambres, l'installateur de câblage suggère de réduire les coûts en plaçant un point d'accès dans le couloir pour quatre chambres. Pourquoi est-ce problématique ?

Conseil : Pensez à l'atténuation RF et aux obstacles physiques dans un environnement hôtelier.

Voir la réponse type

Le positionnement dans les couloirs est une conception défaillante pour les hôtels. Le signal RF doit traverser des portes coupe-feu lourdes, des armoires à miroirs et des salles de bains carrelées pour atteindre l'appareil du client dans la chambre, ce qui entraîne une forte atténuation du signal et de mauvaises performances. La conception correcte est un modèle de point d'accès en chambre (un AP par chambre, ou au minimum un pour deux chambres) afin de garantir une ligne de visée directe ou une couverture avec un minimum d'obstacles.

Q3. L'équipe marketing souhaite inscrire automatiquement chaque client qui se connecte au WiFi à la newsletter promotionnelle hebdomadaire de l'hôtel. Comment le Captive Portal doit-il être configuré pour gérer cela ?

Conseil : Considérez les exigences du GDPR concernant le consentement groupé.

Voir la réponse type

Le Captive Portal doit être configuré avec des options de consentement explicites et non groupées. En vertu du GDPR, le consentement pour accéder au réseau WiFi ne peut pas être conditionné par le consentement aux communications marketing. La splash page doit proposer une case d'option distincte et non cochée pour la newsletter. La plateforme de Purple applique cette séparation de manière native, garantissant la conformité tout en enregistrant des preuves de consentement vérifiables.

Continuer la lecture de cette série

How to Set Up a Captive Portal on Starlink: A Guide for Remote & Maritime Venues

Ce guide explique comment contourner le matériel Starlink natif et intégrer un Captive Portal géré dans le cloud à l'aide d'équipements de routage d'entreprise. Vous apprendrez à surmonter la limitation du CGNAT, à appliquer la segmentation VLAN, à gérer les contraintes de bande passante par satellite et à garantir la conformité réglementaire.

Lire le guide →

Bonnes pratiques du Captive Portal : conception pour une conversion élevée et la conformité

Ce guide technique offre aux responsables informatiques, architectes réseau et directeurs d'exploitation de sites un plan complet pour déployer des captive portals équilibrant sécurité réseau et taux de conversion élevé. Il couvre l'ensemble de l'architecture, de la segmentation VLAN et l'authentification RADIUS à la conception de consentements conformes au GDPR et à la sélection des méthodes d'authentification. Issu de l'expérience opérationnelle de Purple sur plus de 80 000 sites et 440 millions de connexions en 2024, chaque recommandation est ancrée dans des données de déploiement réelles.

Lire le guide →

Comment optimiser les Captive Portals pour une sécurité réseau maximale et une conversion utilisateur optimale

Ce guide fournit un plan technique complet pour optimiser les Captive Portals au sein des entreprises, couvrant l'architecture de segmentation réseau, la sélection des méthodes d'authentification, la conception de formulaires de consentement conformes au GDPR et l'optimisation de la conversion. Il s'adresse aux responsables informatiques, architectes réseau et CTO d'hôtels, de chaînes de magasins, de stades et d'organisations du secteur public qui doivent concilier la sécurité réseau et la collecte de données de première partie. Purple gère l'infrastructure de Captive Portals de plus de 80 000 sites avec 440 millions de connexions en 2024, et les cadres présentés ici reflètent cette expérience opérationnelle.

Lire le guide →