Passer au contenu principal

Captive Portal WiFi pour le personnel : intégration et authentification des employés

Une référence technique complète pour les responsables informatiques sur la conception et le déploiement de portails captifs WiFi pour le personnel. Ce guide couvre l'authentification EAP-TLS, l'intégration du BYOD, la segmentation VLAN et la gestion de la bande passante pour améliorer l'efficacité opérationnelle et atténuer les risques de sécurité.

📖 6 min de lecture📝 1,263 mots🔧 2 exemples concrets3 questions d'entraînement📚 8 définitions clés

Écouter ce guide

Voir la transcription du podcast
Portail Captif WiFi pour le Personnel : Intégration et Authentification des Employés Un Guide d'Intelligence WiFi d'Entreprise par Purple [INTRODUCTION - environ 1 minute] Bienvenue dans la série d'intelligence WiFi d'entreprise de Purple. Aujourd'hui, nous abordons un sujet à la croisée de la sécurité, des opérations RH et de l'architecture réseau : le portail captif WiFi pour le personnel. Je sais ce que certains d'entre vous pensent. Un portail captif pour le personnel ? N'est-ce pas ce qu'on utilise pour les invités ? C'est exactement cette idée reçue que nous devons corriger d'emblée. Un portail captif WiFi pour le personnel n'est pas une page de connexion invité avec un logo différent. C'est une passerelle d'intégration structurée qui authentifie chaque employé, impose l'acceptation de la charte informatique et enregistre les appareils avant d'autoriser l'accès à votre réseau opérationnel. Faites-le correctement, et vous éliminez la plus grande vulnérabilité de la plupart des déploiements WiFi d'entreprise : la clé prépartagée partagée. Faites-le mal, et vous aurez des anciens employés, des prestataires et des appareils personnels connectés indéfiniment à votre réseau interne. Penchons-nous sur l'architecture. [ANALYSE TECHNIQUE APPROFONDIE - environ 5 minutes] Le problème fondamental de la plupart des déploiements WiFi pour le personnel est le mot de passe partagé. Une unique clé prépartagée WPA2, écrite sur un post-it dans l'arrière-boutique, partagée dans un groupe WhatsApp et jamais modifiée lorsqu'un collaborateur s'en va. Dans un hôtel de 200 chambres comptant 80 membres du personnel, ce mot de passe a été partagé avec environ 80 personnes, leurs partenaires qui ont emprunté leur téléphone, et au moins trois anciens employés. Ce n'est pas un réseau. C'est une porte ouverte. Le portail captif WiFi pour le personnel résout ce problème en remplaçant l'identifiant partagé par un flux d'intégration avec vérification d'identité. Voici comment cela fonctionne en pratique. Lorsqu'un nouvel employé connecte son appareil au réseau du personnel pour la première fois, il accède à un SSID de provisionnement. Il s'agit d'un réseau ouvert, mais cloisonné - il ne mène qu'au portail d'intégration et à votre fournisseur d'identité. Rien d'autre. L'employé est redirigé vers le portail captif, où il s'authentifie à l'aide de son identité d'entreprise. Dans la plupart des environnements d'entreprise actuels, cela se traduit par une authentification unique (SSO) via Microsoft Entra ID, Okta ou Google Workspace. Une fois que le fournisseur d'identité confirme que l'employé est actif et appartient au bon groupe, le portail effectue l'une des deux actions suivantes selon votre architecture d'authentification. Dans un déploiement basé sur des identifiants utilisant PEAP et MSCHAPv2, le portail valide les identifiants et génère un jeton d'accès au réseau. Dans un déploiement basé sur des certificats utilisant EAP-TLS, le portail déclenche la génération d'un certificat. Un certificat X.509 propre à l'appareil est émis par votre autorité de certification, intégré dans un profil de configuration - un fichier .mobileconfig sur iOS, ou un profil Passpoint sur Android - puis envoyé à l'appareil. L'appareil installe le profil, se déconnecte du SSID de provisionnement et se connecte automatiquement au SSID sécurisé du personnel en utilisant le certificat pour l'authentification EAP-TLS.À partir de ce moment, chaque fois que l'appareil se connecte au réseau du personnel, le serveur RADIUS valide le certificat. Pas de demande de mot de passe. Pas de connexion manuelle. L'appareil se connecte, tout simplement, de manière transparente et sécurisée. Parlons maintenant de la raison pour laquelle EAP-TLS est l'état cible pour la plupart des déploiements d'entreprise. La norme IEEE 802.1X définit le cadre, mais EAP-TLS est la méthode qui élimine totalement le vol d'identifiants du parcours d'authentification. Il n'y a aucun mot de passe à pirater par hameçonnage. Il n'y a pas de hachage à forcer par brute-force. Le certificat est lié à l'appareil. Si l'appareil est perdu ou volé, vous révoquez le certificat dans votre autorité de certification et le serveur RADIUS refuse l'accès lors de la tentative de connexion suivante. Si l'employé quitte l'entreprise, vous désactivez son compte chez le fournisseur d'identité, et comme le certificat a été émis pour cette identité, l'intégration SCIM propage automatiquement la désactivation. L'accès prend fin en même temps que le contrat de la personne. C'est l'architecture dont des organisations comme Premier Inn et Whitbread ont besoin pour gérer des centaines de sites avec des milliers d'appareils du personnel sur un parc distribué. Vous ne pouvez pas gérer cela à grande échelle avec des mots de passe partagés et une révocation manuelle. Abordons également la dimension BYOD, car c'est là que le Captive Portal devient particulièrement précieux. Dans la plupart des environnements de l'hôtellerie, du commerce de détail et de l'événementiel, une part importante du personnel utilise des appareils personnels pour des tâches opérationnelles. Le personnel d'entretien vérifie l'attribution des chambres sur son propre smartphone. Les vendeurs utilisent des tablettes personnelles pour consulter les stocks. Les équipes d'exploitation des stades utilisent des téléphones personnels pour communiquer. Ce sont des appareils non gérés. Vous ne contrôlez ni la version de leur OS, ni l'état de leur antivirus, ni les autres applications installées. Ils doivent, au mieux, être traités comme semi-fiables. Le Captive Portal WiFi du personnel gère le BYOD en plaçant ces appareils sur un VLAN dédié après l'authentification. Le VLAN leur donne accès aux applications internes spécifiques dont ils ont besoin - le système de gestion de propriété, l'interface de point de vente, l'application de planification - et rien d'autre. Ils ne peuvent pas accéder à vos serveurs d'entreprise, à vos systèmes financiers ou au réseau de vos appareils gérés. Il s'agit d'une segmentation VLAN appliquée au niveau RADIUS, et c'est la mise en œuvre pratique du principe du zero-trust : vérifier l'identité, puis accorder l'accès minimal requis. Un autre élément architectural mérite d'être abordé : la politique d'utilisation acceptable, ou AUP. Le Captive Portal est le point d'application naturel pour l'acceptation de l'AUP. Avant qu'un employé n'accède au réseau du personnel, le portail présente la politique - couvrant l'utilisation acceptable, la surveillance, le traitement des données et les conséquences d'une mauvaise utilisation - et exige un consentement explicite. Cela crée un enregistrement horodaté et auditable de l'acceptation de la politique. Sous le GDPR, cela est important. Sous PCI-DSS, pour tout réseau qui touche aux données des titulaires de carte, cela est important. Et en cas d'enquête disciplinaire impliquant une mauvaise utilisation du réseau, cela s'avère extrêmement important. Parlons maintenant de la bande passante. C'est ici que Purple Shield devient directement pertinent. Dans les environnements de personnel à forte densité - un hôtel pendant un week-end complet, un parc de magasins lors du Black Friday, un stade un jour de match - la saturation de la bande passante sur le réseau du personnel est un véritable problème opérationnel. Purple Shield fonctionne au niveau DNS, bloquant les publicités, les scripts de suivi et les domaines malveillants avant qu'ils n'atteignent l'appareil. L'effet pratique est une réduction allant jusqu'à 40 % du volume total de données téléchargées sur le réseau, selon les propres données de Purple. Pour les appareils du personnel, cela signifie des chargements de pages plus rapides, une consommation de batterie réduite et plus de bande passante disponible pour le trafic opérationnel. Les pages se chargent jusqu'à 3,5 fois plus vite lorsque les quelque 120 requêtes DNS typiques d'une page surchargée de publicités sont éliminées avant même de toucher le réseau. Vous bénéficiez de cette amélioration sans toucher au matériel, sans reconfigurer les points d'accès et sans aucune configuration par appareil. [RECOMMANDATIONS DE MISE EN ŒUVRE ET PIÈGES À ÉVITER - environ 2 minutes] Voici la séquence de mise en œuvre et les modes de défaillance à surveiller. Commencez par votre architecture VLAN avant de configurer le moindre point d'accès. Définissez au moins trois VLANs : personnel, invités et IoT. Cartographiez vos politiques de pare-feu. Obtenez l'approbation de votre équipe de sécurité. Les erreurs les plus coûteuses lors des déploiements WiFi se produisent lorsque le réseau est construit en premier et que l'architecture de sécurité est ajoutée après coup. Deuxièmement, déployez votre infrastructure RADIUS avec de la redondance. Une seule panne de serveur RADIUS bloque simultanément tous les membres du personnel hors du réseau. Dans un hôtel, cela signifie que la réception ne peut pas traiter les arrivées. Dans un magasin de détail, cela signifie que les systèmes de point de vente ne peuvent pas s'authentifier. Déployez au moins deux serveurs RADIUS dans une configuration actif-passif, et testez le basculement avant de passer en production. Troisièmement, intégrez votre serveur RADIUS à votre fournisseur d'identité via LDAP ou SAML. C'est ce qui permet le déprovisionnement automatique. Lorsqu'un employé est désactivé dans Microsoft Entra ID ou Okta, le serveur RADIUS cesse d'accepter ses identifiants ou son certificat lors de la tentative de connexion suivante. Pas d'étape manuelle, pas de file d'attente de tickets, pas de délai entre le départ et la suppression de l'accès. Quatrièmement, concevez le flux d'intégration de votre Captive Portal pour l'utilisateur le moins technique de votre équipe. Pas pour le responsable informatique. Pour l'agent d'entrepôt saisonnier qui n'a jamais installé de profil de configuration. Des instructions claires, une interface personnalisée à votre image et un numéro d'assistance visible sur chaque écran. Passons maintenant aux pièges. Le cas de défaillance le plus courant est un walled garden trop permissif. Si votre SSID d'approvisionnement permet un accès général à Internet, le personnel y restera tout simplement au lieu de finaliser le processus d'intégration. Limitez l'accès strict au portail, aux points de terminaison du fournisseur d'identité et au serveur de téléchargement de certificats. Rien d'autre. Le deuxième piège est la fragmentation d'Android. iOS gère les profils dot-mobileconfig de manière cohérente. Ce n'est pas le cas d'Android. Les différents fabricants et versions du système d'exploitation gèrent l'installation des certificats de manière différente. Testez votre flux d'intégration sur les appareils Android spécifiques que votre personnel utilise réellement avant le déploiement. Passpoint, également connu sous le nom de Hotspot 2.0, améliore considérablement l'expérience Android en permettant la détection automatique du réseau et l'authentification après la configuration initiale. Le troisième piège est l'expiration des certificats. Émettez des certificats à courte durée de vie - 90 jours est un paramètre par défaut raisonnable pour les appareils BYOD. Lorsque le certificat expire, l'appareil doit se réintégrer via le portail. Cela supprime naturellement les appareils obsolètes du réseau et force une nouvelle authentification par rapport à l'état actuel du fournisseur d'identité. Un appareil appartenant à un ancien employé dont le compte a été désactivé il y a six mois échouera automatiquement à la réintégration. [Q&A RAPIDE - environ 1 minute] Quelques questions qui nous sont fréquemment posées. "Pouvons-nous utiliser l'iPSK au lieu du 802.1X complet ?" Oui, pour les environnements où le déploiement de certificats n'est pas réalisable. L'iPSK, ou Identity Pre-Shared Key, attribue un mot de passe WiFi unique à chaque utilisateur ou appareil. C'est plus sécurisé qu'un PSK partagé car chaque identifiant est individuel et révocable. C'est moins sécurisé que l'EAP-TLS car cela reste basé sur un mot de passe. Utilisez-le comme une étape intermédiaire, pas comme une destination finale. "Avons-nous besoin de WPA3 si nous sommes déjà sur WPA2-Enterprise ?" Si votre matériel le prend en charge, oui. Le WPA3-Enterprise introduit le Simultaneous Authentication of Equals, qui élimine les attaques par dictionnaire hors ligne contre le handshake. Le coût de migration sur le matériel compatible se résume à une modification de configuration. L'amélioration de la sécurité est significative. "Comment gérer les sous-traitants qui ne disposent pas d'une identité d'entreprise ?" Utilisez l'iPSK ou un identifiant invité à durée limitée émis via le portail. Définissez une date d'expiration correspondant à la date de fin de contrat. La plateforme de Purple prend en charge nativement les identifiants d'accès limités dans le temps. [RÉSUMÉ ET PROCHAINES ÉTAPES - environ 1 minute] Permettez-moi de résumer. Un Captive Portal WiFi pour le personnel n'est pas une simple fonctionnalité de confort. C'est le point d'application pour la vérification de l'identité, l'acceptation des politiques, l'enregistrement des appareils et le contrôle d'accès sur votre réseau opérationnel. La clé pré-partagée partagée constitue un risque de conformité et une vulnérabilité de sécurité. Remplacez-la par un flux d'intégration avec vérification d'identité, une segmentation VLAN et une authentification basée sur RADIUS. Vos prochaines étapes immédiates : auditez votre méthode d'authentification actuelle sur le réseau du personnel. Si vous utilisez une PSK partagée, sa correction est votre priorité absolue. Si vous utilisez l'authentification 802.1X basée sur des identifiants, évaluez la transition vers l'EAP-TLS basé sur des certificats. Et si vous n'avez pas déployé Purple Shield sur votre réseau du personnel, la seule réduction de la bande passante justifie d'ouvrir la discussion. Pour obtenir des conseils de mise en œuvre, des modèles d'architecture et des études de cas issus des déploiements de Purple sur plus de 80 000 sites actifs, visitez purple.ai. Merci pour votre écoute.

header_image.png

Résumé Exécutif

Pour les responsables informatiques et les architectes réseau de l'hôtellerie, du commerce de détail et des grands espaces publics, la gestion de l'accès au réseau pour les appareils des employés présente des défis de sécurité et opérationnels majeurs. S'appuyer sur des clés pré-partagées (PSK) partagées est fondamentalement non sécurisé et crée une charge opérationnelle, permettant aux anciens employés et aux appareils non gérés de conserver l'accès au réseau indéfiniment. Ce guide présente une approche pratique et sécurisée pour l'intégration du WiFi du personnel à l'aide d'un flux de Captive Portal intégré à votre fournisseur d'identité. En tirant parti de cette architecture, vous pouvez guider en toute sécurité les appareils BYOD non gérés vers un réseau 802.1X, appliquer les politiques d'utilisation acceptable et maintenir la conformité, le tout sans la lourdeur d'un enregistrement complet MDM (Mobile Device Management). Pour les établissements qui utilisent déjà le Guest WiFi et le WiFi Analytics , l'extension de l'intégration sécurisée aux appareils des employés offre une stratégie de gestion de réseau unifiée et robuste.

Écouter ce Guide

Zoom Technique

Le fondement d'une intégration sécurisée des employés est la transition des méthodes d'authentification héritées vers EAP-TLS (Extensible Authentication Protocol-Transport Layer Security). EAP-TLS est la norme de l'industrie pour l'authentification WiFi sécurisée, s'appuyant sur des certificats numériques plutôt que sur des mots de passe. Le défi avec les réseaux d'employés, en particulier dans les environnements BYOD, est de distribuer ces certificats aux appareils non gérés.

Flux d'Intégration en Libre-Service

Pour y parvenir, les établissements déploient un portail d'intégration en libre-service. Ce processus suit un parcours structuré pour garantir la distribution sécurisée des identifiants :

  1. Connexion Initiale : L'utilisateur connecte son appareil personnel à un SSID de provisionnement ouvert dédié. Ce réseau agit comme un environnement fermé, limitant l'accès à tout sauf au portail d'intégration et au fournisseur d'identité (IdP).
  2. Authentification : L'utilisateur est redirigé vers le Captive Portal, où il s'authentifie à l'aide de ses identifiants d'entreprise. Cela implique une intégration SAML ou SCIM avec des IdP tels que Microsoft Entra ID, Okta ou Google Workspace.
  3. Génération de Certificat : Une fois l'authentification réussie, le système génère un certificat client unique et spécifique à l'appareil.
  4. Installation du Profil : Un profil de configuration est envoyé à l'appareil. Ce profil contient le certificat client, le certificat de l'autorité de certification racine (CA) et les paramètres de configuration réseau pour le SSID 802.1X sécurisé.
  5. Connexion sécurisée : L'appareil se déconnecte automatiquement du SSID de provisionnement et se connecte au SSID d'entreprise sécurisé en utilisant le certificat nouvellement installé pour l'authentification EAP-TLS.

byod_onboarding_flow.png

Pourquoi les PSK partagées échouent dans les réseaux d'employés

Historiquement, les établissements se sont appuyés sur des clés pré-partagées (PSK) pour l'accès des employés. Cette approche est fondamentalement inadaptée dans un environnement d'entreprise moderne. Les PSK, une fois partagées, posent un risque de sécurité. Elles n'offrent pas de responsabilité individuelle, et si un appareil est perdu ou qu'un employé s'en va, il est nécessaire de changer le mot de passe sur l'ensemble du réseau. Dans un hôtel de 200 chambres comptant 80 employés, un mot de passe partagé a probablement été communiqué à environ 80 personnes, à leurs partenaires et à au moins trois anciens employés. Ce n'est pas un réseau sécurisé, c'est une porte ouverte.

authentication_methods_comparison.png

Guide d'implémentation

Le déploiement d'un Captive Portal WiFi sécurisé pour les employés nécessite une planification et une exécution minutieuses. Suivez ces étapes pour un déploiement réussi dans les environnements de l'hôtellerie, du commerce de détail ou des stades.

Étape 1 : Définir les politiques d'accès et la segmentation

Avant de configurer l'infrastructure technique, définissez clairement ce que les appareils des employés doivent être autorisés à consulter. Les appareils BYOD ne sont pas gérés ; vous n'avez aucun contrôle sur les mises à jour de leur système d'exploitation, l'état de leur antivirus ou les applications installées. Par conséquent, ils doivent être traités comme des appareils non approuvés.

Placez les appareils des employés dans un VLAN dédié. Ce VLAN doit fournir un accès internet et restreindre l'accès aux seules applications internes spécifiques requises pour le rôle de l'employé, telles qu'une interface web de point de vente de détail ou une application de nettoyage pour l'hôtellerie. Ne placez jamais d'appareils BYOD sur le même VLAN que les serveurs de l'entreprise ou les appareils gérés. Pour en savoir plus sur la sécurisation des réseaux d'arrière-guichet, consultez notre guide sur les Retail Staff WiFi Policies: Securing the Back-of-House Network ou la version portugaise Políticas de WiFi para Colaboradores no Retalho: Proteger as Redes Back-of-House .

Étape 2 : Configurer le serveur RADIUS et l'intégration de l'IdP

Votre serveur RADIUS est le cœur du processus d'authentification 802.1X. Il doit être configuré pour prendre en charge EAP-TLS et s'intégrer à votre fournisseur d'identité.

Connectez votre serveur RADIUS à votre IdP via SAML ou LDAP. Cela garantit que seuls les employés actifs peuvent s'authentifier et recevoir des certificats. Lorsqu'un employé est désactivé dans Microsoft Entra ID ou Okta, le serveur RADIUS cessera d'accepter ses identifiants ou certificats lors de la prochaine tentative de connexion. Établissez une CA interne ou utilisez une PKI hébergée dans le cloud pour émettre des certificats clients. Le serveur RADIUS doit faire confiance à cette CA.

Étape 3 : Concevoir le portail d'intégration et appliquer la charte informatique

Le portail d'intégration est le premier point d'interaction de l'utilisateur avec le système. Il doit être intuitif et clairement personnalisé aux couleurs de votre marque. Fournissez des instructions étape par étape sur l'écran du portail. Les utilisateurs doivent savoir exactement sur quoi cliquer et à quoi s'attendre ensuite.

Le Captive Portal est un point d'application naturel pour l'acceptation obligatoire de la charte informatique. Avant que les employés n'accèdent au réseau du personnel, le portail présente la politique et exige une acceptation explicite. Cela crée un enregistrement horodaté et vérifiable de l'acceptation de la politique, ce qui est essentiel pour la conformité GDPR et PCI-DSS.

Bonnes pratiques

Pour garantir un déploiement sécurisé et gérable, suivez ces meilleures pratiques du secteur.

Implémenter des certificats à courte durée de vie

Comme les appareils BYOD ne sont pas gérés, le risque que des appareils compromis restent sur le réseau est plus élevé. Atténuez ce risque en émettant des certificats à courte durée de vie. Plutôt que d'émettre des certificats valides pendant trois ans, émettez des certificats valides pendant 90 jours. À l'expiration du certificat, l'utilisateur doit s'authentifier à nouveau via le portail d'intégration. Cela permet de purger naturellement les appareils inactifs du réseau et de garantir que seuls les employés actifs conservent leur accès.

Exploiter Passpoint (Hotspot 2.0)

Pour une expérience d'intégration fluide, en particulier sur les appareils Android, utilisez Passpoint. Passpoint permet aux appareils de détecter et de s'authentifier automatiquement sur les réseaux sécurisés sans que l'utilisateur n'ait à sélectionner manuellement le SSID ou à interagir avec un captive portal après la configuration initiale. Cela réduit considérablement les frictions et améliore l'expérience utilisateur.

Utiliser Purple Shield pour la gestion de la bande passante

Dans les environnements d'employés à haute densité, la saturation de la bande passante sur le réseau du personnel est un véritable problème opérationnel. Purple Shield fonctionne au niveau DNS, bloquant les publicités, les scripts de suivi et les domaines malveillants avant qu'ils n'atteignent l'appareil. L'effet pratique est une réduction allant jusqu'à 40 % du total des données téléchargées sur le réseau. Pour les appareils des employés, cela se traduit par des vitesses de chargement des pages plus rapides, une consommation de batterie réduite et plus de bande passante disponible pour le trafic opérationnel.

Dépannage et atténuation

Même avec des systèmes bien conçus, des problèmes peuvent survenir. Comprendre les modes de défaillance courants est essentiel pour une résolution rapide.

Configuration du Walled Garden

L'SSID de provisionnement doit être étroitement contrôlé. Si le Walled Garden est trop ouvert, les utilisateurs risquent de rester connectés au réseau de provisionnement pour accéder à internet, contournant ainsi complètement le processus d'intégration sécurisé. Assurez-vous que l'SSID de provisionnement n'autorise que l'accès au portail d'intégration, aux points de terminaison d'authentification IdP et aux serveurs de téléchargement de certificats nécessaires. Tout autre trafic doit être bloqué.

Fragmentation Android

Les appareils Apple iOS gèrent les profils de configuration de manière très cohérente. Android, en revanche, est extrêmement fragmenté. Les différents fabricants et versions de systèmes d'exploitation gèrent les profils WiFi et l'installation des certificats de manière différente. Pour atténuer ce problème, assurez-vous que votre solution d'intégration fournit des instructions claires et spécifiques à chaque système d'exploitation, et tirez parti de Passpoint dans la mesure du possible.

ROI et impact pour l'entreprise

La mise en œuvre d'un Captive Portal WiFi sécurisé pour le personnel offre un retour sur investissement clair grâce à une sécurité accrue, une réduction des frais généraux informatiques et une amélioration de la productivité des employés.

En permettant aux utilisateurs de s'intégrer eux-mêmes, les centres de support informatique constatent une réduction spectaculaire des tickets d'assistance liés aux mots de passe WiFi et aux problèmes de connectivité. Le passage de PSK à EAP-TLS réduit considérablement le risque d'accès non autorisé au réseau et de violations de données. Cela est essentiel pour maintenir la conformité avec des normes telles que PCI DSS et le GDPR. Les employés peuvent connecter rapidement et en toute sécurité leurs appareils personnels pour accéder aux outils dont ils ont besoin, améliorant ainsi l'efficacité globale et la satisfaction dans les secteurs du commerce de détail , de la santé , de l' hôtellerie et des transports .

Définitions clés

Captive Portal

Une page Web qu'un utilisateur d'un réseau public ou d'entreprise est obligé de consulter et avec laquelle il doit interagir avant que l'accès ne lui soit accordé.

Utilisé dans les réseaux du personnel comme passerelle pour la vérification d'identité, l'acceptation de l'AUP et le provisionnement des certificats.

EAP-TLS

Extensible Authentication Protocol-Transport Layer Security. Une méthode d'authentification 802.1X qui utilise des certificats numériques à la fois sur le client et sur le serveur.

La méthode d'authentification WiFi la plus sécurisée, éliminant le besoin de mots de passe et empêchant le vol d'identifiants.

RADIUS

Remote Authentication Dial-In User Service. Un protocole réseau qui fournit une gestion centralisée de l'authentification, de l'autorisation et de la comptabilité.

Le serveur central qui valide les certificats des appareils auprès du fournisseur d'identité avant d'accorder l'accès au réseau.

VLAN Segmentation

La pratique consistant à diviser un réseau physique en plusieurs réseaux logiques pour isoler le trafic.

Essentiel pour maintenir les appareils personnels non approuvés (BYOD) du personnel séparés des serveurs d'entreprise sensibles et des systèmes de POS.

Passpoint (Hotspot 2.0)

Une norme de l'industrie qui permet une intégration et une itinérance WiFi fluides et sécurisées sans nécessiter de sélection manuelle du SSID ou d'interaction avec un Captive Portal après la configuration initiale.

Améliore l'expérience utilisateur pour l'intégration du personnel, en particulier sur les appareils Android.

Walled Garden

Un environnement réseau restreint qui contrôle l'accès des utilisateurs à des services et contenus web spécifiques.

Utilisé sur le SSID de provisioning pour garantir que le personnel ne peut accéder qu'au portail d'intégration et à l'IdP, les empêchant ainsi de contourner la configuration de sécurité.

SCIM

System for Cross-domain Identity Management. Un standard ouvert pour automatiser l'échange d'informations d'identité utilisateur entre les domaines d'identité.

Permet le déprovisionnement automatique de l'accès réseau lorsqu'un employé quitte l'entreprise et qu'il est désactivé dans l'IdP.

iPSK

Identity Pre-Shared Key. Une fonctionnalité de sécurité qui attribue un mot de passe WiFi unique à chaque utilisateur ou appareil individuel.

Utilisé comme alternative à 802.1X pour les appareils sans écran ou les sous-traitants qui ne peuvent pas installer de certificat.

Exemples concrets

Un hôtel de 200 chambres doit fournir un accès WiFi à 80 employés de ménage et de maintenance qui utilisent leurs smartphones personnels pour accéder au système de gestion de propriété (PMS) basé sur le cloud. L'hôtel utilise actuellement un mot de passe WPA2 unique qui n'a pas été modifié depuis trois ans. Comment le responsable informatique doit-il sécuriser ce réseau sans acheter de logiciel MDM pour les appareils personnels ?

  1. Créez un nouvel SSID de provisionnement ouvert (par exemple, « Hotel-Staff-Onboard ») avec un walled garden strict autorisant l'accès uniquement au Captive Portal et à Microsoft Entra ID.
  2. Configurez un Captive Portal pour exiger une connexion SSO via Entra ID et afficher la politique d'utilisation acceptable (AUP) pour le personnel.
  3. Une fois la connexion réussie et l'AUP acceptée, générez un certificat EAP-TLS spécifique à l'appareil valable 90 jours.
  4. Poussez le profil de configuration sur le téléphone du membre du personnel pour qu'il se connecte automatiquement au SSID 802.1X sécurisé (par exemple, « Hotel-Staff-Secure »).
  5. Configurez le serveur RADIUS pour affecter les appareils connectés à un VLAN BYOD dédié qui ne dirige que vers Internet et le PMS cloud, bloquant ainsi l'accès au VLAN des serveurs de l'entreprise.
Commentaire de l'examinateur : Cette approche élimine la vulnérabilité liée au partage de mot de passe tout en évitant les problèmes de confidentialité liés à un enregistrement complet sur un MDM. Le certificat de 90 jours garantit que les anciens appareils sont automatiquement supprimés, et la segmentation VLAN protège le réseau de l'entreprise contre les appareils personnels potentiellement compromis.

Une grande chaîne de vente au détail connaît de graves problèmes de connectivité sur ses points de vente (POS) lors des ventes du Black Friday, car les membres du personnel diffusent des vidéos en streaming sur leurs téléphones personnels connectés au réseau du personnel pendant leurs pauses. Comment l'architecte réseau peut-il résoudre ce problème sans interdire les appareils personnels ?

  1. Implémentez Purple Shield sur le réseau du personnel pour bloquer les charges utiles publicitaires et les scripts de suivi au niveau DNS, récupérant instantanément jusqu'à 40 % de la bande passante gaspillée.
  2. Mettez en œuvre des politiques de qualité de service (QoS) sur le contrôleur sans fil pour donner la priorité au trafic des applications de POS et d'inventaire par rapport à la navigation Web générale et au streaming vidéo.
  3. Appliquez une limitation de débit sur le VLAN BYOD pour plafonner la bande passante maximale disponible pour chaque appareil personnel.
Commentaire de l'examinateur : Cette solution répond au conflit de bande passante sur le plan technique plutôt que par le biais de politiques de ressources humaines inapplicables. Purple Shield réduit la charge de données de base, tandis que la QoS et la limitation de débit garantissent que le trafic opérationnel critique a toujours la priorité pendant les périodes de pointe.

Questions d'entraînement

Q1. Un directeur des opérations de stade souhaite attribuer un mot de passe WiFi unique aux 500 membres du personnel d'un jour de match pour leur "faciliter la connexion rapide". Quel est le principal risque de sécurité de cette approche, et quelle est l'alternative recommandée ?

Conseil : Pensez à ce qui se passe lorsqu'un membre du personnel d'un jour de match ne revient pas pour l'événement suivant.

Voir la réponse type

Le principal risque est l'impossibilité de révoquer l'accès individuellement. Lorsqu'un membre du personnel s'en va, il conserve le mot de passe, ce qui lui donne un accès indéfini au réseau opérationnel. L'alternative recommandée est un flux d'intégration par Captive Portal qui délivre des certificats EAP-TLS spécifiques à l'appareil et liés à son identité, permettant au service informatique de révoquer l'accès par appareil ou automatiquement lors d'un départ.

Q2. Les journaux de votre serveur RADIUS indiquent que plusieurs appareils Android ne parviennent pas à finaliser le processus d'installation du certificat après s'être authentifiés sur le Captive Portal. Quelle en est la cause la plus probable et comment y remédier ?

Conseil : Considérez les différences dans la façon dont les systèmes d'exploitation mobiles gèrent les profils de configuration.

Voir la réponse type

La cause la plus probable est la fragmentation de l'OS Android, car les différents fabricants gèrent l'installation des certificats différemment. Cela peut être atténué en fournissant des instructions claires et spécifiques à l'OS sur le Captive Portal, en utilisant une application d'intégration dédiée, ou en s'appuyant sur Passpoint (Hotspot 2.0) pour une expérience d'intégration plus fluide et standardisée.

Q3. Une équipe informatique d'un hôpital conçoit un réseau BYOD pour le personnel. Elle prévoit de placer les appareils BYOD sur le même VLAN que les serveurs de dossiers de santé informatisés (DSI) de l'hôpital pour s'assurer que le personnel puisse accéder rapidement aux données des patients. Est-ce une conception sécurisée ? Pourquoi ?

Conseil : Considérez le niveau de confiance des appareils BYOD non managés.

Voir la réponse type

Non, ce n'est pas une conception sécurisée. Les appareils BYOD ne sont pas managés, ce qui signifie que l'équipe informatique ne contrôle pas leur niveau de sécurité, leurs mises à jour d'OS ou leurs applications installées. Ils doivent être traités comme non approuvés. Les placer sur le même VLAN que les serveurs DSI sensibles crée un risque important de déplacement latéral. Les appareils BYOD doivent être placés sur un VLAN dédié et segmenté, avec des règles de pare-feu strictes limitant l'accès aux seules interfaces web nécessaires, sans jamais autoriser d'accès direct aux serveurs.