Passer au contenu principal
Français

Le NAC (Network Access Control) expliqué

Une référence technique faisant autorité pour les responsables IT sur le Network Access Control (NAC), expliquant son architecture, ses modèles de déploiement et son rôle critique dans la sécurité du WiFi d'entreprise. Ce guide fournit des informations exploitables pour sécuriser l'accès au réseau dans les environnements de l'hôtellerie, du commerce de détail et des entreprises, en détaillant comment des plateformes comme Purple s'intègrent pour appliquer des politiques d'accès robustes.

📖 7 min de lecture📝 1,579 mots🔧 2 exemples concrets3 questions d'entraînement📚 8 définitions clés

Écouter ce guide

Voir la transcription du podcast
[Musique d'introduction - Mélodie entraînante, professionnelle et axée sur la technologie, s'estompant après 5 secondes] **Animateur (Voix assurée, autoritaire, anglais britannique) :** Bonjour et bienvenue dans ce briefing technique Purple. Je suis votre hôte et, au cours des dix prochaines minutes, nous allons vous présenter un aperçu de haut niveau d'un sujet de sécurité crucial : le contrôle d'accès au réseau, ou NAC. Si vous êtes responsable informatique, architecte ou CTO en charge du réseau de votre entreprise, ceci s'adresse à vous. Nous allons aller au-delà du jargon pour nous concentrer sur ce qu'est le NAC, pourquoi il est important pour votre stratégie WiFi et comment envisager son déploiement. **(Repère 1 minute - Introduction et contexte)** Alors, quel est le problème que le NAC résout concrètement ? Pendant des années, nous avons sécurisé nos réseaux avec un simple mot de passe. Mais aujourd'hui, avec les collaborateurs, les invités, les prestataires et l'afflux d'objets connectés qui cherchent tous à se connecter, ce point de défaillance unique n'est plus défendable. Le NAC nous fait passer d'un modèle basé sur le mot de passe à un modèle basé sur l'identité. Il ne demande plus « quel est le mot de passe ? » mais plutôt « qui êtes-vous, quel appareil utilisez-vous et pouvez-vous vous connecter en toute sécurité ? ». C'est le videur à l'entrée de votre espace numérique, qui vérifie les identités et s'assure de la conformité avant d'autoriser l'accès. **(Repère 6 minutes - Plongée technique)** Entrons dans l'architecture. Le cœur du NAC moderne est une norme appelée IEEE 802.1X. Ce n'est pas aussi complexe qu'il n'y paraît. Considérez cela comme une conversation en trois parties. Tout d'abord, vous avez le « Supplicant » (le demandeur) – c'est-à-dire l'ordinateur portable ou le téléphone qui cherche à se connecter. Deuxièmement, l'« Authentificateur » – votre point d'accès WiFi ou votre commutateur. Et troisièmement, le « Serveur d'authentification », qui est presque toujours un serveur RADIUS. Lorsque votre ordinateur portable se connecte, le point d'accès l'arrête à l'entrée et lui dit : « Un instant. Laissez-moi vérifier avec mon responsable. » Il récupère vos identifiants – idéalement un certificat numérique, pas un mot de passe – et les transmet au serveur RADIUS. Le serveur RADIUS vérifie votre identité par rapport à un annuaire, comme Active Directory. Mais voici l'élément crucial. Une véritable solution NAC ne se contente pas de dire « oui » ou « non ». Elle effectue également un contrôle d'intégrité de l'appareil. Elle demande : votre antivirus est-il à jour ? Votre système d'exploitation a-t-il reçu les derniers correctifs ? Votre disque est-il chiffré ? Si vous passez avec succès le contrôle d'identité et d'intégrité, le serveur RADIUS indique au point d'accès : « Il s'agit d'un appareil d'entreprise de confiance. Placez-le sur le VLAN du personnel. » S'il s'agit d'un invité, il pourra dire : « Je ne connais pas cette personne. Redirigez-la vers le Captive Portal de Purple pour qu'elle s'enregistre. » Et si votre appareil n'est pas conforme, il peut dire : « Cet appareil présente un risque. Placez-le dans le VLAN de quarantaine avec un accès uniquement au serveur de remédiation. » Cette attribution dynamique et basée sur des politiques est le super-pouvoir du NAC. C'est ce qui vous permet de concevoir un réseau véritablement segmenté et basé sur le Zero Trust. **(Repère 8 minutes - Recommandations de déploiement et pièges à éviter)** Alors, comment déployer cela sans semer le chaos ? Tout d'abord, n'essayez pas de tout faire en même temps. Commencez en mode surveillance uniquement. Laissez la solution NAC écouter pendant quelques semaines pour découvrir et profiler chaque appareil sur votre réseau. Vous serez surpris de ce que vous découvrirez. Deuxièmement, commencez votre mise en application sur un segment à faible risque, comme le WiFi de votre propre équipe informatique. Testez vos politiques, affinez-les. Pour vos appareils d'entreprise, privilégiez l'authentification par certificat. C'est plus sécurisé et, une fois configuré, totalement transparent pour l'utilisateur. Pour les invités, un Captive Portal est la solution idéale. C'est là qu'une plateforme comme Purple intervient. Nous gérons ce parcours invité, la conformité légale, les analyses, tandis que votre infrastructure NAC principale gère la sécurité approfondie de vos actifs d'entreprise. Le piège le plus courant que nous constatons est le manque de planification pour la gestion des certificats et la gestion de ces appareils IoT sans écran complexes qui ne prennent pas en charge le 802.1X. Pour ceux-ci, vous aurez besoin d'une stratégie combinant l'authentification MAC et le profilage des appareils. **(Repère 9 minutes - Questions-Réponses rapides)** Passons à une session rapide de questions-réponses. *Question une : Le NAC est-il réservé au WiFi ?* Non, il s'applique aussi bien au réseau filaire qu'au sans fil. Tout port sur lequel un appareil peut se brancher doit être sécurisé. *Question deux : Est-ce trop complexe pour une petite entreprise ?* Plus maintenant. Les solutions NAC basées sur le cloud les ont rendues accessibles sans avoir besoin d'une baie de serveurs sur site. *Question trois : Cela remplace-t-il mon pare-feu ?* Absolument pas. Il fonctionne en synergie avec votre pare-feu. Le NAC contrôle qui accède au réseau, et le pare-feu contrôle ce qu'ils peuvent faire une fois connectés. **(Repère 10 minutes - Résumé et prochaines étapes)** En résumé : le contrôle d'accès au réseau consiste à passer d'un modèle de mot de passe obsolète à un cadre de sécurité moderne basé sur l'identité. Il vous permet d'authentifier, d'autoriser et d'auditer chaque appareil sur votre réseau. En utilisant des normes comme le 802.1X et des outils comme l'évaluation de la posture et les VLAN dynamiques, vous pouvez créer un réseau à la fois plus sécurisé et plus intelligent. Votre prochaine étape ? Commencez par la découverte. Vous ne pouvez pas protéger ce que vous ne pouvez pas voir. Identifiez tout ce qui se trouve sur votre réseau, définissez vos rôles et commencez à élaborer vos politiques d'accès. Merci d'avoir suivi ce briefing technique Purple. Pour en savoir plus, visitez notre site purple.ai. [Musique de fin - Mélodie entraînante, professionnelle et axée sur la technologie, monte en volume et retentit pendant 5 secondes avant de se terminer]

header_image.png

Résumé exécutif

Le Network Access Control (NAC) est passé d'une mesure de sécurité de niche à un composant fondamental de la stratégie réseau des entreprises modernes. Pour les responsables informatiques, les architectes réseau et les CTO, la mise en œuvre d'une solution NAC robuste n'est plus une question de « si », mais de « quand » et « comment ». Ce guide sert de référence pratique et neutre vis-à-vis des fournisseurs pour comprendre et déployer le NAC, en particulier dans le contexte des environnements WiFi complexes que l'on trouve dans les hôtels, les chaînes de vente au détail et les grands espaces événementiels. Nous décortiquerons les composants essentiels du NAC, en le comparant aux méthodes d'authentification de base afin de clarifier sa valeur dans l'atténuation des risques de sécurité. L'accent est mis sur des résultats tangibles : assurer la conformité des terminaux, appliquer des politiques d'accès granulaires et sécuriser le périmètre du réseau contre un éventail toujours plus large d'appareils gérés et non gérés. En allant au-delà des concepts théoriques pour aborder des scénarios de déploiement réels, ce document fournit le cadre nécessaire pour prendre des décisions éclairées, calculer le ROI et aligner la sécurité réseau avec les objectifs commerciaux globaux. Il clarifie également la place de solutions telles que la plateforme Purple au sein d'une architecture NAC complète, comblant ainsi le fossé entre l'accès invité, la sécurité du personnel et l'application centralisée des politiques.

Analyse technique approfondie

À la base, le Network Access Control est un paradigme de sécurité qui vise à unifier la technologie de sécurité des terminaux (telle que l'antivirus et la prévention des intrusions sur l'hôte), l'authentification des utilisateurs ou des systèmes, et l'application de la sécurité réseau. Là où un réseau WiFi traditionnel protégé par mot de passe demande uniquement « quel est le mot de passe ? », un réseau compatible NAC pose une série de questions plus intelligentes : « Qui êtes-vous ? », « Quel appareil utilisez-vous ? », « Cet appareil est-il conforme à nos politiques de sécurité ? » et « À quelles ressources êtes-vous autorisé à accéder ? »

Les composants clés : 802.1X et RADIUS

La pierre angulaire de la plupart des implémentations NAC modernes est la norme IEEE 802.1X. Il ne s'agit pas d'une technologie unique, mais d'un cadre pour le contrôle d'accès réseau basé sur les ports. Il implique trois participants clés :

  1. Supplicant : L'appareil client (par exemple, un ordinateur portable, un smartphone) qui demande l'accès au réseau.
  2. Authentificateur : Le matériel réseau qui protège le réseau, généralement un point d'accès WiFi ou un commutateur. Il agit comme un gardien, autorisant ou bloquant le trafic.
  3. Serveur d'authentification : Le cerveau centralisé de l'opération, presque toujours un serveur RADIUS (Remote Authentication Dial-In User Service). Il valide les identifiants du supplicant et indique à l'authentificateur le niveau d'accès à accorder.

Le processus fonctionne via le protocole EAP (Extensible Authentication Protocol), qui permet diverses méthodes d'authentification, des simples identifiants/mots de passe (EAP-PEAP) aux certificats numériques hautement sécurisés (EAP-TLS). Lorsqu'un appareil se connecte, l'authentificateur bloque tout le trafic à l'exception des communications 802.1X. Il transmet les identifiants du suppliant au serveur RADIUS, qui les vérifie par rapport à un annuaire (comme Active Directory). Si l'authentification réussit, le serveur RADIUS renvoie un message « Access-Accept » à l'authentificateur, incluant souvent des instructions de politique spécifiques, telles que l'attribution de l'appareil à un VLAN particulier.

architecture_overview.png

NAC vs Authentification WiFi de base : Une distinction cruciale

Il est crucial pour les décideurs de comprendre que le NAC n'est pas simplement un mot de passe amélioré. La différence est fondamentale pour la posture de sécurité du réseau.

comparison_chart.png

Comme l'illustre la comparaison, le NAC offre un contrôle basé sur l'identité qui est impossible avec des identifiants partagés. Il déplace le périmètre de sécurité de la périphérie du réseau vers l'appareil individuel, permettant une approche Zero Trust où l'accès n'est jamais présumé et toujours vérifié.

Le rôle de la conformité des terminaux

Une solution NAC mature va au-delà de l'authentification. Elle effectue une évaluation de la posture sur les appareils qui se connectent afin de s'assurer qu'ils respectent les politiques de sécurité prédéfinies avant de se voir accorder l'accès. Cela peut inclure des vérifications concernant :

  • Le niveau de correctif du système d'exploitation : L'appareil exécute-t-il les dernières mises à jour de sécurité ?
  • Le logiciel antivirus : Un client AV approuvé est-il installé, actif et à jour ?
  • Le chiffrement du disque : Le disque dur de l'appareil est-il chiffré ?
  • Le pare-feu hôte : Le pare-feu local est-il activé ?

Si un appareil échoue à ces vérifications, il peut être placé dans un VLAN de quarantaine avec un accès limité — peut-être uniquement aux serveurs de remédiation où l'utilisateur peut télécharger les mises à jour requises. Cette application proactive est un outil puissant pour empêcher la propagation de logiciels malveillants à partir de terminaux compromis.

Guide de mise en œuvre

Le déploiement du NAC est un projet stratégique, pas une simple installation de logiciel. Une approche progressive est recommandée pour minimiser les perturbations et garantir le succès.

Étape 1 : Découverte et définition des politiques

Avant d'appliquer la moindre règle, vous devez comprendre ce qui se trouve sur votre réseau. La phase initiale doit être un mode passif, dédié uniquement à la découverte. La solution NAC surveillera le trafic réseau pour profiler chaque appareil connecté — des ordinateurs portables d'entreprise et smartphones du personnel aux appareils des invités et au matériel IoT comme les téléviseurs intelligents, les terminaux de point de vente (POS) et les systèmes CVC. Cette visibilité est essentielle pour élaborer une politique d'accès complète. Durant cette phase, vous définirez des rôles (ex. : Utilisateur d'entreprise, Invité, Prestataire, Appareil IoT) et cartographierez les droits d'accès de chacun.

Phase 2 : Application progressive

Commencez l'application sur un segment limité et à faible risque du réseau, tel que le WiFi du personnel du service informatique. Cela permet à l'équipe d'affiner les politiques et de résoudre les problèmes dans un environnement contrôlé. Pour les appareils d'entreprise, le déploiement de la norme 802.1X avec authentification par certificat (EAP-TLS) est la référence absolue, offrant l'expérience utilisateur la plus sécurisée et la plus fluide. Pour l'accès des invités et le BYOD, une approche par Captive Portal est plus pratique.

Phase 3 : Intégration de l'accès des invités et du personnel avec Purple

Dans les établissements accueillant des populations d'utilisateurs distinctes, la séparation du trafic des invités et du personnel est primordiale. C'est là qu'une plateforme comme Purple s'intègre dans l'architecture NAC. La politique NAC sur l'authentificateur (point d'accès/commutateur) peut identifier le trafic des invités et le rediriger vers le Captive Portal de Purple pour l'authentification et l'acceptation de la politique. Pendant ce temps, les appareils du personnel peuvent être authentifiés de manière transparente via 802.1X auprès d'un serveur RADIUS.

purple_nac_deployment.png

Ce modèle hybride offre le meilleur des deux mondes :

  • Réseau Invité : Géré par Purple pour un parcours utilisateur personnalisé aux couleurs de la marque, des options de connexion via les réseaux sociaux, de l'analyse de données et la conformité avec les réglementations sur la confidentialité des données comme le GDPR. Le réseau sous-jacent est isolé dans un VLAN invité.
  • Réseau du personnel : Sécurisé via 802.1X pour une authentification robuste basée sur des certificats, avec des appareils placés dans un VLAN d'entreprise ayant accès aux ressources internes.
  • Réseau IoT/Opérationnel : Les appareils tels que les terminaux de point de vente ou les systèmes de gestion technique du bâtiment sont placés dans leur propre VLAN hautement restreint, utilisant souvent l'authentification basée sur l'adresse MAC comme contrôle de base.

Phase 4 : Déploiement complet et surveillance

Une fois les politiques validées et l'intégration testée, l'application peut être déployée à l'échelle de toute l'organisation. Une surveillance continue est essentielle. Le tableau de bord NAC devient un outil principal pour les opérations de sécurité, offrant une visibilité en temps réel sur les événements d'accès au réseau, l'état de conformité et les menaces potentielles.

Bonnes pratiques

  • Privilégiez l'authentification basée sur des certificats (EAP-TLS) : Pour les appareils gérés par l'entreprise, évitez les mots de passe. Les certificats sont plus sécurisés et offrent une expérience utilisateur sans friction.
  • Implémenter le routage VLAN dynamique : Utilisez les attributs RADIUS pour affecter automatiquement les appareils au bon segment de réseau en fonction de leur rôle et de leur posture. C'est l'essence même de l'application des politiques.
  • Concevoir pour parer aux défaillances : Que se passe-t-il si le serveur RADIUS est injoignable ? Configurez les authentificateurs pour qu'ils s'ouvrent en cas de panne (autoriser l'accès, moins sécurisé) ou qu'ils se ferment en cas de panne (refuser l'accès, plus sécurisé) sur la base d'une évaluation des risques du segment de réseau spécifique.
  • Ne pas vouloir tout faire à la fois : Commencez par une politique simple et procédez par itération. Un point de départ courant consiste à imposer des contrôles de posture pour les appareils de l'entreprise et à fournir un accès de base uniquement à Internet pour les invités.
  • Intégrer à votre écosystème de sécurité : Une solution NAC moderne doit s'intégrer aux pare-feu, aux SIEM et aux outils de gestion des terminaux pour permettre une réponse automatisée aux menaces. Par exemple, si un pare-feu détecte un trafic malveillant provenant d'un terminal, il peut signaler à la solution NAC de mettre automatiquement cet appareil en quarantaine.

Dépannage et atténuation des risques

  • Problèmes de demandeur 802.1X : Le casse-tête le plus courant est la prise en charge incohérente de la norme 802.1X sur les différents systèmes d'exploitation et pilotes de périphériques. Assurez-vous que les appareils sont correctement configurés via MDM ou GPO.
  • Gestion des certificats : L'EAP-TLS nécessite une infrastructure à clés publiques (PKI). La gestion du cycle de vie des certificats (émission, renouvellement, révocation) peut être complexe. Planifiez cette charge opérationnelle.
  • Randomisation des adresses MAC : Les appareils mobiles modernes (iOS, Android) utilisent des adresses MAC randomisées pour empêcher le suivi, ce qui peut perturber les règles d'authentification basées sur l'adresse MAC. Pour les réseaux d'invités, cela renforce la nécessité d'une connexion via un portail. Pour le BYOD d'entreprise, cela nécessite un flux d'authentification basé sur l'utilisateur.
  • Intégration de l'IoT : De nombreux appareils IoT ne prennent pas en charge la norme 802.1X. Une combinaison d'authentification basée sur l'adresse MAC et de profilage est souvent nécessaire. La solution NAC doit être capable d'identifier un appareil comme étant, par exemple, une Smart TV Samsung et de l'affecter automatiquement au VLAN IoT approprié.

ROI et impact commercial

Investir dans le NAC n'est pas seulement une dépense de sécurité ; cela apporte une valeur commerciale tangible.

Domaine d'impact commercial Métrique de mesure Résultat attendu
Atténuation des risques Réduction des incidents de sécurité provenant de terminaux compromis. Coût réduit de la remédiation des failles et de la récupération des données.
Conformité Audits PCI DSS, GDPR, HIPAA réussis. Évitement des amendes réglementaires et des dommages réputationnels.
Efficacité opérationnelle Réduction des tickets d'assistance informatique pour les problèmes d'accès au réseau. L'automatisation de l'intégration et de l'application des politiques libère le personnel informatique pour des projets stratégiques.
Expérience utilisateur Expérience de connexion plus rapide et plus fluide pour le personnel. Productivité accrue et réduction de la frustration des utilisateurs.
Business Intelligence (Avec Purple) Analyses riches sur le comportement et la démographie des invités. Décisions basées sur les données pour le marketing, les opérations et l'agencement des sites.

En quantifiant ces avantages, les responsables informatiques peuvent élaborer un dossier commercial convaincant pour le déploiement du NAC, en le présentant comme un catalyseur stratégique d'un environnement de travail numérique sécurisé et efficace.

Références

[1] IBM, "Cost of a Data Breach Report 2023." [2] PCI Security Standards Council, "Guidance for PCI DSS Scoping and Network Segmentation." [3] IEEE, "IEEE 802.1X-2020 - IEEE Standard for Port-Based Network Access Control."

Définitions clés

Network Access Control (NAC)

Une solution de sécurité réseau qui utilise un ensemble de protocoles pour définir et mettre en œuvre une politique décrivant comment sécuriser l'accès aux nœuds du réseau par les appareils lorsqu'ils tentent initialement d'y accéder.

Les équipes informatiques déploient le NAC pour empêcher les utilisateurs non autorisés et les appareils non conformes d'accéder aux réseaux d'entreprise ou privés, réduisant ainsi la surface d'attaque.

IEEE 802.1X

Une norme IEEE pour le contrôle d'accès réseau basé sur les ports (PNAC). Elle fait partie du groupe de protocoles réseau IEEE 802.1 et fournit un mécanisme d'authentification aux appareils souhaitant se connecter à un LAN ou un WLAN.

Il s'agit de la norme fondamentale pour l'authentification de classe entreprise sur les réseaux filaires et sans fil, permettant la vérification de l'identité par utilisateur et par appareil.

RADIUS

Remote Authentication Dial-In User Service. Un protocole réseau qui fournit une gestion centralisée de l'authentification, de l'autorisation et de la comptabilité (AAA) pour les utilisateurs et les appareils qui se connectent et utilisent un service réseau.

Dans une architecture NAC, le serveur RADIUS est le cerveau. Il reçoit les demandes d'authentification des commutateurs et des points d'accès, valide les identifiants par rapport à un annuaire d'utilisateurs et renvoie les décisions de politique.

Conformité des terminaux (évaluation de la posture)

Le processus de vérification d'un appareil lors de l'authentification pour s'assurer qu'il est conforme à un ensemble prédéfini de politiques de sécurité, telles que la présence d'un système d'exploitation à jour, d'un antivirus actif et d'un pare-feu activé.

Il s'agit d'une fonctionnalité clé des solutions NAC avancées. Elle garantit qu'un appareil est non seulement autorisé mais aussi sain avant d'être admis sur le réseau, empêchant ainsi la propagation de logiciels malveillants.

VLAN (Virtual Local Area Network)

Un regroupement logique d'appareils dans le même domaine de diffusion. Les VLANs sont généralement configurés sur des commutateurs en plaçant certaines interfaces dans un domaine de diffusion et d'autres dans un autre.

Le NAC utilise les VLANs comme principal outil d'application. En fonction de l'identité et de la posture d'un appareil, la solution NAC demande au commutateur de le placer dans un VLAN spécifique (par exemple, "Invité", "Entreprise"), segmentant ainsi efficacement le réseau.

Captive Portal

Une page web que l'utilisateur d'un réseau d'accès public est obligé de consulter et avec laquelle il doit interagir avant d'obtenir l'accès. Les portails captifs (Captive Portal) sont généralement utilisés par les centres d'affaires, les aéroports, les halls d'hôtels et d'autres lieux proposant du Wi-Fi gratuit.

Bien qu'ils ne soient pas aussi sécurisés que le 802.1X, les portails captifs (Captive Portal) sont la norme pour l'authentification des invités. Les plateformes comme Purple les utilisent pour gérer les conditions d'utilisation, collecter des données marketing et appliquer des politiques d'accès pour les utilisateurs externes à l'entreprise.

EAP (Extensible Authentication Protocol)

Un cadre d'authentification fréquemment utilisé dans les connexions réseau et Internet. Il est défini dans la RFC 3748 et fournit un moyen standard d'utiliser différentes méthodes d'authentification au sein du cadre 802.1X.

Les architectes informatiques choisissent différents types d'EAP en fonction des besoins de sécurité. EAP-TLS (utilisant des certificats) est hautement sécurisé, tandis que PEAP (utilisant des mots de passe) est plus facile à déployer mais moins sécurisé.

PCI DSS

La norme de sécurité des données de l'industrie des cartes de paiement (Payment Card Industry Data Security Standard). Un ensemble de normes de sécurité conçues pour garantir que toutes les entreprises qui acceptent, traitent, stockent ou transmettent des informations de carte de crédit maintiennent un environnement sécurisé.

L'un des principaux moteurs du déploiement du NAC dans le commerce de détail et l'hôtellerie est l'exigence 1.2.1 du PCI DSS, qui impose la segmentation du réseau où sont stockées les données des titulaires de cartes par rapport aux réseaux invités ou autres.

Exemples concrets

Un hôtel de luxe de 500 chambres doit fournir un accès WiFi sécurisé aux clients, au personnel et à un nombre croissant d'appareils IoT (smart TV, thermostats, capteurs de mini-bar) tout en garantissant la conformité PCI DSS pour ses systèmes de paiement.

  1. Segmentation du réseau : Déployer une solution NAC pour créer des SSIDs et des VLANs distincts : "HotelGuest", "HotelStaff" et "HotelIoT". Un quatrième VLAN, uniquement filaire, est créé pour les terminaux de paiement conformes à la norme PCI.
  2. Accès client : Le SSID "HotelGuest" redirige les utilisateurs vers un Captive Portal Purple. Les clients s'authentifient via un login social ou un formulaire d'e-mail, en acceptant les conditions d'utilisation. Purple gère le consentement GDPR et fournit à l'hôtel des analyses sur les visiteurs. La politique du NAC place tous les appareils des clients dans le VLAN Guest, qui dispose d'un accès Internet uniquement et est isolé de tous les systèmes internes de l'hôtel.
  3. Accès du personnel : Le SSID "HotelStaff" est configuré pour le WPA3-Enterprise avec 802.1X EAP-TLS. Les appareils fournis par l'entreprise (ordinateurs portables, tablettes) sont dotés de certificats clients via une solution MDM. Lorsque le personnel se connecte, son appareil est authentifié par le serveur RADIUS et placé dans le VLAN Staff, ce qui lui donne accès aux ressources internes telles que le Property Management System (PMS).
  4. Accès IoT : Le SSID "HotelIoT" utilise l'authentification MAC. Les adresses MAC de tous les appareils IoT déployés sont pré-enregistrées dans le système NAC. Lorsqu'une smart TV se connecte, son adresse MAC est vérifiée et elle est placée dans le VLAN IoT, qui a uniquement accès à son serveur de gestion spécifique et est bloqué à la fois sur les réseaux des clients et du personnel.
Commentaire de l'examinateur : Cette approche multiniveau applique correctement le principe du moindre privilège. Elle utilise la méthode d'authentification la plus appropriée pour chaque type d'utilisateur et d'appareil, équilibrant ainsi sécurité et facilité d'utilisation. L'intégration de Purple pour l'expérience client décharge l'hôtel de la complexité de la gestion des consentements et fournit des données marketing précieuses, tandis que le framework robuste 802.1X sécurise le trafic d'entreprise sensible. Cette segmentation est essentielle pour atteindre la conformité PCI DSS en isolant les systèmes de paiement de tous les autres réseaux.

Une chaîne de vente au détail multi-sites de 150 magasins souhaite remplacer son réseau WPA2-PSK partagé et non sécurisé. Elle doit sécuriser les appareils de l'entreprise, fournir un WiFi invité et s'assurer que les terminaux de point de vente (POS) en magasin sont isolés.

  1. RADIUS centralisé : Un serveur RADIUS hébergé dans le cloud est déployé pour gérer l'authentification des 150 magasins, garantissant ainsi une application cohérente des politiques.
  2. Appareils d'entreprise : Les tablettes des directeurs de magasin et les scanners portables des employés sont configurés via MDM pour se connecter à un SSID "Corporate" à l'aide d'une authentification basée sur des certificats 802.1X. La politique du NAC effectue également un contrôle de conformité pour s'assurer que les appareils exécutent la version du logiciel approuvée par l'entreprise.
  3. WiFi invité : Un SSID public "RetailGuest" utilise un Captive Portal (comme Purple) pour fournir un accès Internet. Cela isole le trafic des invités et permet à la chaîne de mener des campagnes marketing ciblées basées sur l'analyse de la localisation.
  4. Isolation des terminaux POS : Les terminaux POS sont connectés via des ports filaires. Les ports du commutateur sont configurés avec une authentification basée sur l'adresse MAC, les verrouillant sur les adresses MAC spécifiques des terminaux. Ces ports sont attribués à un VLAN PCI dédié et hautement restreint qui ne peut communiquer qu'avec le processeur de paiement.
  5. Déploiement progressif : La solution est d'abord déployée dans un magasin pilote unique. Une fois validée, la configuration est poussée à distance vers les 149 autres magasins, en s'appuyant sur les plateformes centralisées NAC et MDM.
Commentaire de l'examinateur : La clé du succès dans ce scénario multi-sites réside dans la centralisation. Une solution NAC et RADIUS basée sur le cloud évite d'avoir recours à des serveurs dédiés dans chaque magasin, ce qui réduit considérablement les coûts et la charge de gestion. L'utilisation de connexions filaires et de l'authentification MAC pour les terminaux POS statiques est une solution robuste et pratique pour la conformité PCI. Le déploiement progressif est une stratégie essentielle de réduction des risques pour un projet de cette envergure.

Questions d'entraînement

Q1. Un stade accueille un événement sportif majeur et doit fournir du WiFi aux supporters, à la presse et au personnel opérationnel. La presse a besoin d'une bande passante plus élevée et d'un accès à des serveurs multimédias spécifiques. Comment concevriez-vous la politique d'accès au réseau ?

Conseil : Envisagez d'utiliser différents SSIDs et une orientation VLAN basée sur RADIUS.

Voir la réponse type
  1. WiFi Supporters : Un SSID ouvert, "StadiumFanWiFi", redirige tous les utilisateurs vers un Captive Portal pour l'authentification. Le portail peut gérer des connexions à haute densité et appliquer une limitation de bande passante pour garantir un usage équitable. Tous les supporters sont placés dans un VLAN d'accès général, uniquement Internet.
  2. WiFi Presse : Un SSID masqué, "StadiumPress", est protégé par WPA2/3-Enterprise (802.1X). Les membres de la presse pré-enregistrés reçoivent des identifiants. Lors de l'authentification, le serveur RADIUS les identifie comme faisant partie du groupe "Presse" et les affecte à un VLAN Presse dédié. Ce VLAN dispose d'un profil QoS plus élevé et d'un accès aux serveurs multimédias internes.
  3. WiFi Personnel : Un troisième SSID masqué, "StadiumOps", utilise également le 802.1X pour le personnel opérationnel. Ils sont affectés à un VLAN d'exploitation sécurisé avec accès aux systèmes de billetterie, de sécurité et de gestion du bâtiment.

Q2. Votre entreprise met en œuvre une politique de BYOD (Bring Your Own Device). Un employé souhaite connecter son ordinateur portable personnel au réseau de l'entreprise. Quels sont les contrôles de conformité minimaux que votre solution NAC devrait effectuer avant d'accorder l'accès ?

Conseil : Pensez aux vecteurs les plus courants de logiciels malveillants et de fuite de données.

Voir la réponse type

L'évaluation minimale de la conformité pour un appareil BYOD doit inclure :

  1. Pare-feu fonctionnel : Le pare-feu local de l'appareil doit être activé pour empêcher les connexions entrantes non sollicitées.
  2. Antivirus à jour : Une solution antivirus approuvée doit être installée, en cours d'exécution et avoir reçu des mises à jour de signatures au cours des dernières 24 à 48 heures.
  3. Mises à jour de l'OS : Le système d'exploitation doit avoir installé tous les correctifs de sécurité critiques. La politique peut spécifier que l'OS ne doit pas avoir plus d'un mois de retard par rapport à la dernière version du correctif.
  4. Aucun logiciel non approuvé : Une vérification des applications interdites spécifiques, telles que les clients de partage de fichiers peer-to-peer, qui pourraient introduire un risque. Si l'appareil échoue à l'un de ces contrôles, l'accès doit lui être refusé ou il doit être placé dans un VLAN de remédiation.

Q3. Un hôpital souhaite déployer de nouvelles pompes à perfusion connectées en WiFi. Ces appareils ne prennent pas en charge le 802.1X. Comment pouvez-vous les intégrer et les gérer en toute sécurité à l'aide d'une solution NAC ?

Conseil : Envisagez une approche multifacteur pour les appareils sans écran qui ne prennent pas en charge l'authentification avancée.

Voir la réponse type

Étant donné que les pompes ne prennent pas en charge le 802.1X, une approche multicouche est nécessaire :

  1. Authentification MAC : Enregistrez l'adresse MAC de chaque pompe à perfusion dans le système NAC. Cela fournit un niveau d'identité de base.
  2. Profilage des appareils : La solution NAC doit être configurée pour profiler l'appareil en fonction de son trafic réseau (par exemple, l'empreinte DHCP, les protocoles utilisés). Elle doit identifier l'appareil comme une "Pompe à perfusion Modèle X".
  3. Politique combinée : Créez une politique qui exige À LA FOIS que l'adresse MAC figure sur la liste d'autorisation ET que le profil de l'appareil corresponde à l'empreinte attendue. Cela empêche l'usurpation d'adresse MAC, car l'ordinateur portable d'un attaquant pourrait avoir une adresse MAC valide mais ne se comportera pas comme une pompe à perfusion sur le réseau.
  4. VLAN et ACL stricts : Une fois authentifiée, la pompe est placée dans un VLAN "Medical_IoT" hautement restreint. Une liste de contrôle d'accès (ACL) est appliquée à son trafic, lui permettant de communiquer UNIQUEMENT avec l'adresse IP spécifique du serveur de gestion des pompes à perfusion et rien d'autre. Tout autre trafic est explicitement refusé.

Continuer la lecture de cette série

Comment configurer SCEP pour l'enrôlement automatisé de certificats WiFi d'entreprise

Ce guide explique comment configurer SCEP (Simple Certificate Enrollment Protocol) pour l'enrôlement automatisé de certificats WiFi d'entreprise, couvrant l'architecture complète depuis la PKI et le NDES jusqu'au déploiement de profils MDM et à la validation RADIUS. Il s'adresse aux responsables informatiques, architectes réseau et CTO d'hôtels, de chaînes de vente au détail, de stades, de centres de conférence et d'organisations du secteur public qui souhaitent dépasser les clés pré-partagées et mettre en œuvre une authentification 802.1X EAP-TLS évolutive et basée sur l'identité. La plateforme cloud overlay de Purple, indépendante du matériel, s'intègre directement à cette architecture, fournissant la couche WiFi pour les invités et le BYOD qui coexiste avec votre réseau d'employés authentifié par certificat.

Lire le guide →

Le guide de l'entreprise pour SCEP : Déployer le protocole SCEP (Simple Certificate Enrollment Protocol) pour la sécurité automatisée du WiFi sur les campus

Ce guide de référence technique fournit un schéma d'architecture définitif et une stratégie d'implémentation étape par étape pour le déploiement de certificats WiFi d'entreprise à l'aide de SCEP. Il présente les différences cruciales entre SCEP et PKCS, la séquence de déploiement exacte requise pour réussir, ainsi que des stratégies concrètes de mitigation des risques pour les responsables informatiques.

Lire le guide →

Comment implémenter SCEP pour l'enrôlement automatisé de certificats WiFi

Ce guide explique comment implémenter SCEP (Simple Certificate Enrollment Protocol) pour l'enrôlement automatisé de certificats WiFi dans les établissements d'entreprise. Il couvre l'ensemble du schéma architectural - de la conception de la PKI et l'intégration MDM à la séquence de déploiement obligatoire en trois étapes - et montre aux responsables informatiques et architectes réseau comment éliminer les identifiants partagés, automatiser la gestion du cycle de vie des certificats et respecter les exigences PCI DSS et GDPR à grande échelle.

Lire le guide →