Cisco ISE vs. Purple WiFi : comparaison et complémentarité

Vous êtes un consultant senior en sécurité réseau qui briefe un client en anglais britannique sur un ton confiant, autoritaire et conversationnel. Parlez clairement et à un rythme mesuré, comme si vous vous adressiez à un conseil d'administration de directeurs informatiques et d'architectes réseau. Il s'agit d'un briefing technique professionnel, pas d'un cours. Parlez en anglais britannique avec un accent standard de prononciation reçue : Bienvenue dans la série de briefings techniques Purple. Aujourd'hui, nous abordons une question qui revient constamment dans la conception des réseaux d'entreprise : Cisco ISE contre Purple WiFi. Comment se comparent-ils et, plus important encore, comment fonctionnent-ils ensemble ? Je vais vous donner une réponse claire en une dizaine de minutes. [pause moyenne] Commençons par le contexte. Si vous gérez un hôtel, un parc de commerces de détail, un stade ou un bâtiment du secteur public, vous avez presque certainement deux populations distinctes qui se connectent à votre réseau. Vous avez le personnel et les appareils de l'entreprise d'une part, et les invités, visiteurs, supporters ou clients d'autre part. Ces deux populations ont des exigences d'authentification, des droits sur les données et des objectifs commerciaux totalement différents. L'erreur commise par la plupart des organisations est de tenter de résoudre ces deux problèmes avec un seul outil. C'est de là que vient la confusion entre Cisco ISE et Purple. [pause moyenne] Première partie : ce que fait réellement Cisco ISE. Cisco Identity Services Engine, ou ISE, est la plateforme de contrôle d'accès réseau d'entreprise de Cisco. Son rôle est d'authentifier et d'autoriser les appareils d'entreprise et les collaborateurs. Elle le fait principalement via la norme IEEE 802.1X, qui est la norme de contrôle d'accès réseau basée sur les ports. Lorsqu'un ordinateur portable d'entreprise se connecte à votre réseau, ISE vérifie son certificat via EAP-TLS, ou ses identifiants via PEAP, le valide par rapport à Active Directory ou Microsoft Entra ID, évalue sa posture de sécurité, puis l'affecte au bon VLAN avec la bonne politique. Si l'appareil échoue à l'évaluation de sa posture, ISE peut le mettre automatiquement en quarantaine à l'aide du protocole RADIUS Change of Authorisation, ou CoA. ISE gère également l'intégration du BYOD, où les appareils personnels sont enregistrés avec un certificat afin de pouvoir s'authentifier de manière sécurisée sans mot de passe partagé. De plus, il s'intègre au framework pxGrid de Cisco, ce qui permet à d'autres outils de sécurité comme les pare-feux et les plateformes SIEM de consommer du contexte d'identité en temps réel. Les trois niveaux de licence d'ISE sont Essentials, Advantage et Premier. Essentials couvre le 802.1X et l'accès invité de base. Advantage ajoute le BYOD, l'évaluation de la posture et l'intégration MDM tierce. Premier ajoute les services d'identité passive et l'intégration avancée des menaces. [pause moyenne] ISE est donc une plateforme de sécurité de classe entreprise sérieuse. Mais voici le point crucial : son portail invité est fonctionnel, pas commercial. ISE peut rediriger un appareil non authentifié vers une page web, collecter un nom d'utilisateur et un mot de passe ou une approbation de parrain, et accorder l'accès à internet. Ce qu'il ne peut pas faire, c'est capturer un consentement marketing conforme au GDPR, afficher des splash pages personnalisées avec connexion via les réseaux sociaux, envoyer les données des visiteurs dans Salesforce ou HubSpot, générer des cartes de chaleur de fréquentation, ou segmenter les visiteurs par données démographiques pour une campagne marketing. Ce n'est pas pour cela qu'ISE a été conçu, et tenter de l'adapter à ce rôle crée de la complexité sans générer de résultat commercial. Vous êtes un consultant principal en sécurité réseau et vous poursuivez un briefing technique en anglais britannique avec un ton confiant, autoritaire et conversationnel. Parlez clairement et à un rythme mesuré. Parlez en anglais britannique avec un accent standard de prononciation reçue (RP) : Section deux : ce que fait Purple. Purple est une plateforme de superposition cloud. Nous nous intégrons au-dessus de votre infrastructure WiFi existante, qu'il s'agisse de Cisco Meraki, Cisco Catalyst, HPE Aruba, Ruckus, Juniper Mist ou de tout autre grand fournisseur. Nous ne remplaçons pas votre matériel. Nous ne remplaçons pas ISE. Nous gérons la couche d'expérience invité. Lorsqu'un visiteur se connecte à votre SSID invité, Purple intercepte cette connexion et présente un Captive Portal personnalisé. Ce portail peut proposer une connexion via les réseaux sociaux (Facebook, Google ou LinkedIn), un formulaire de collecte de données personnalisé, une option de connexion en un clic, ou Passpoint pour une reconnexion sécurisée automatique lors des visites ultérieures. Chaque connexion capture des données de première partie avec un consentement GDPR explicite. Ces données alimentent directement votre CRM, votre plateforme d'email marketing ou votre programme de fidélité. Purple est déployé dans plus de 80 000 sites actifs et a traité 440 millions de connexions rien qu'en 2024. Nous détenons la certification ISO 27001, respectons le GDPR et le CCPA, et maintenons un taux de disponibilité de 99,999 %. Parmi nos clients de renom figurent McDonald's, Harrods, Premier Inn, AGS Airports et Manchester Airports Group. [medium pause] Section trois : comment ils coexistent dans une topologie réseau moderne. L'architecture est simple dès lors que l'on comprend la séparation des responsabilités. Vous exploitez deux ou trois SSIDs sur les mêmes points d'accès. Le SSID de l'entreprise utilise WPA3-Enterprise avec 802.1X, et ISE fait office de serveur RADIUS. Chaque appareil du personnel s'authentifie à l'aide d'un certificat ou d'un identifiant. ISE attribue l'appareil au bon VLAN, applique la bonne politique et enregistre la session. Purple n'a aucun rôle à jouer ici. C'est entièrement le domaine d'ISE. Le SSID invité est ouvert ou utilise WPA3-Personal avec une clé pré-partagée pour l'association initiale. Le trafic est redirigé vers le portail cloud de Purple. Purple gère l'authentification, la collecte des consentements et les analyses. Le point d'accès applique un environnement fermé (walled garden) jusqu'à ce que Purple signale l'autorisation, puis ouvre l'accès à internet. ISE n'a aucun rôle à jouer ici. C'est le domaine de Purple. Pour les déploiements plus complexes, vous pouvez ajouter un troisième SSID pour les appareils IoT, en utilisant des clés pré-partagées d'identité, ou iPSK, où chaque appareil reçoit une phrase de passe unique mappée à un VLAN spécifique. ISE peut gérer cela pour l'IoT d'entreprise, ou la fonctionnalité SecurePass de Purple s'en charge pour l'IoT des sites, comme les terminaux de point de vente et la signalisation numérique. Si vous souhaitez une intégration plus étroite entre les deux plateformes, le système pxGrid de Cisco permet à Purple de publier le contexte de session invité dans l'écosystème ISE, de sorte que votre équipe des opérations de sécurité puisse visualiser l'activité des invités aux côtés de l'activité de l'entreprise dans une vue unifiée. [medium pause] Section quatre : recommandations de déploiement et pièges courants. Laissez-moi vous présenter les trois erreurs les plus courantes que je constate lors des déploiements. Premièrement : utiliser le portail invité intégré d'ISE pour le WiFi invité commercial. Le portail invité d'ISE est conçu pour les sous-traitants et le personnel temporaire, et non pour un accès invité axé sur le marketing. Il ne dispose d'aucune intégration CRM, d'aucune gestion du consentement et d'aucun outil d'analyse. Si vous travaillez dans le secteur de l'hôtellerie, de la vente au détail ou de l'événementiel, vous avez besoin de Purple sur le SSID invité. ISE gère l'entreprise. Purple gère les invités. Séparez-les bien. Deuxièmement : ne pas segmenter correctement les VLAN. Le trafic invité doit être isolé du trafic d'entreprise au niveau de la couche deux. Purple fonctionne dans un VLAN distinct routé directement vers Internet, sans aucun accès aux ressources internes. ISE applique l'attribution de VLAN pour les appareils de l'entreprise. Si vous confondez ces deux éléments, vous créez une faille de sécurité et un problème de conformité. Troisièmement : négliger la configuration du walled garden (portail captif). Lorsque Purple est le Captive Portal, le point d'accès doit autoriser le trafic DNS et HTTP vers les points de terminaison cloud de Purple avant l'authentification. Si votre walled garden est trop restrictif, le portail ne se chargera pas. S'il est trop permissif, les utilisateurs pourront contourner l'authentification. La documentation d'assistance de Purple fournit les plages IP et les domaines exacts à inscrire sur liste blanche pour chaque fournisseur de matériel. [medium pause] Section cinq : questions-réponses rapides. Est-ce que Purple remplace Cisco ISE ? Non. Ils résolvent des problèmes différents pour des utilisateurs différents sur des SSID différents. Puis-je exécuter Purple sur Cisco Meraki sans ISE ? Oui. Purple s'intègre nativement avec Cisco Meraki via l'API Meraki. ISE n'est pas requis pour le WiFi invité. Puis-je exécuter les deux sur les mêmes points d'accès ? Oui. L'utilisation de multiples SSID sur le même matériel est une pratique courante. Est-ce que Purple prend en charge le 802.1X ? La fonctionnalité SecurePass de Purple prend en charge le WPA3-Enterprise avec 802.1X pour les appareils invités sur lesquels l'application Purple est installée, permettant une reconnexion automatique par certificat sans Captive Portal. Qu'en est-il de la conformité PCI DSS ? Le WiFi invité doit être isolé des systèmes de cartes de paiement. L'architecture VLAN de Purple répond à cette exigence. ISE applique la même isolation pour les appareils de l'entreprise. [medium pause] Résumé et prochaines étapes. Le cadre de décision est simple. Si l'appareil appartient à votre organisation ou à votre personnel, ISE gère l'authentification. Si l'appareil appartient à un invité, un visiteur, un client ou un supporter, Purple gère l'expérience. Les deux plateformes partagent la même infrastructure physique mais fonctionnent dans des couches logiques totalement distinctes. Pour l'étape suivante, cartographiez votre architecture SSID actuelle. Identifiez quels SSIDs sont d'entreprise et lesquels sont destinés aux invités. Confirmez que le trafic invité est isolé par VLAN. Évaluez ensuite si votre portail invité actuel fournit le consentement marketing, les analyses et l'intégration CRM dont vos équipes commerciales ont besoin. Si ce n'est pas le cas, c'est précisément le besoin auquel Purple répond. Vous trouverez le guide écrit complet, les schémas d'architecture et des exemples pratiques sur purple.ai. Merci pour votre temps.