Comment configurer un WiFi invité : Le guide de segmentation des réseaux d'entreprise

Speak in a confident, authoritative British English accent with a senior consultant briefing tone - measured, clear, and conversational. Not a lecture, but a direct expert briefing. Pace is steady with natural pauses between sections: Bienvenue dans la série de briefings techniques Purple. Je vais vous expliquer exactement comment configurer un réseau WiFi invité correctement segmenté, sécurisé et utile sur le plan commercial. Il ne s'agit pas d'un tutoriel pour débutants. Vous êtes responsable informatique, architecte réseau ou CTO, et vous devez prendre une décision ce trimestre. Alors, allons droit au but. [medium pause] Le problème de la plupart des établissements n'est pas le manque de WiFi. C'est qu'ils disposent d'un seul réseau plat où les invités, le personnel et les appareils IoT partagent tous le même domaine de diffusion. C'est un risque de conformité, un risque de sécurité et, franchement, une opportunité commerciale manquée. Un hôtel de 200 chambres, une chaîne de vente au détail de 50 magasins, un stade accueillant 40 000 supporters - tous ont besoin de la même chose fondamentale : une véritable segmentation du réseau. [medium pause] Parlons de ce que signifie concrètement la segmentation. À la base, vous créez des réseaux logiquement distincts sur la même infrastructure physique à l'aide de VLAN - Virtual Local Area Networks. Un VLAN, défini par la norme IEEE 802.1Q, étiquette les trames Ethernet de manière à ce que le trafic des différents segments de réseau reste isolé au niveau de la couche de liaison de données, même lorsqu'il traverse le même commutateur physique ou point d'accès. Vous attribuez à chaque segment un ID de VLAN - par exemple, VLAN 10 pour le personnel, VLAN 20 pour les appareils IoT, VLAN 30 pour les invités - et vous configurez vos commutateurs managés et vos points d'accès pour appliquer cette séparation. [medium pause] Maintenant, la question cruciale : de combien de SSIDs avez-vous réellement besoin ? La réponse pour la plupart des entreprises est de trois. Un pour les invités, un pour le personnel, un pour l'IoT. Chaque SSID est associé à son propre VLAN. Les invités bénéficient uniquement d'un accès à Internet, sans chemin vers votre réseau d'entreprise. Le personnel s'authentifie via 802.1X auprès d'un serveur RADIUS - nous y reviendrons - et accède aux ressources internes. Les appareils IoT, vos caméras de vidéosurveillance, vos capteurs CVC, vos écrans intelligents, se trouvent sur leur propre segment isolé avec des règles de sortie strictement contrôlées. Si vous souhaitez approfondir le modèle à trois SSIDs, Purple propose un guide détaillé sur cette architecture exacte. [medium pause] Parlons authentification, car c'est là que la plupart des déploiements échouent. Pour le WiFi invité en particulier, vous disposez de quatre options réalistes. Tout d'abord, un réseau ouvert avec un Captive Portal - l'approche la plus courante, et la bonne solution pour les établissements qui doivent recueillir le consentement et des données de première partie conformément au GDPR. L'invité se connecte, arrive sur une page d'accueil personnalisée, s'authentifie via un identifiant de réseau social, un e-mail ou un SMS, et vous capturez une identité vérifiée. Deuxièmement, le WPA2-PSK - une phrase secrète partagée. Simple, mais cela ne vous donne aucune identité individuelle, aucun mécanisme de consentement, et vous ne pouvez pas révoquer l'accès pour un appareil spécifique sans changer le mot de passe pour tout le monde. Troisièmement, le WPA3-SAE, le successeur moderne du WPA2 qui élimine la vulnérabilité aux attaques par dictionnaire hors ligne. Quatrièmement, le 802.1X avec RADIUS - la référence absolue pour les réseaux du personnel, où chaque utilisateur s'authentifie individuellement par rapport à un annuaire comme Microsoft Entra ID ou Okta, et obtient un identifiant de session unique. Pour le WiFi invité, l'approche du Captive Portal avec chiffrement WPA3 sur l'SSID sous-jacent est la bonne combinaison : vous obtenez la capture d'identité, le consentement et un chiffrement moderne. [medium pause] Maintenant, parlons de RADIUS. La norme IEEE 802.1X est la norme de contrôle d'accès basée sur les ports. Elle définit un modèle à trois parties : le demandeur - l'appareil qui tente de se connecter - l'authentificateur, qui est votre point d'accès ou commutateur, et le serveur d'authentification, qui est votre serveur RADIUS. Lorsqu'un membre du personnel se connecte, son appareil envoie des identifiants via EAP - le protocole d'authentification extensible. EAP-TLS utilise une authentification mutuelle basée sur des certificats, l'option la plus sécurisée. PEAP enveloppe l'EAP dans un tunnel TLS et vous permet d'utiliser des identifiants de type nom d'utilisateur et mot de passe par rapport à Active Directory ou Entra ID. Pour la plupart des déploiements d'entreprise, PEAP-MSCHAPv2 avec Microsoft Entra ID ou Okta est le choix pratique. Il est parfaitement pris en charge par tous les principaux équipements matériels - Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi - et s'intègre proprement avec votre fournisseur d'identité existant. [medium pause] Laissez-moi vous guider à travers une implémentation concrète. Prenons un hôtel de 200 chambres. Vous avez déployé des points d'accès Cisco Meraki dans les chambres, les couloirs, les salles de conférence et les espaces réservés au personnel. Vous configurez trois SSIDs sur le tableau de bord Meraki. Le SSID invité - appelons-le par le nom de l'hôtel - est ouvert, associé au VLAN 30, avec une redirection de Captive Portal vers la page de connexion de Purple. Les invités s'authentifient par e-mail ou via un compte de réseau social. Purple recueille leur consentement, stocke le profil et déclenche automatiquement un e-mail de bienvenue. Le SSID du personnel est en WPA2-Enterprise, associé au VLAN 10, s'authentifiant auprès du tenant Microsoft Entra ID de l'hôtel via RADIUS. Le SSID IoT est un réseau masqué, WPA2-PSK avec un mot de passe aléatoire fort, associé au VLAN 20, avec des règles de pare-feu qui n'autorisent que les ports de sortie spécifiques requis par chaque type d'appareil. Sur le pare-feu Meraki, vous ajoutez une règle de niveau 3 qui bloque explicitement le trafic inter-VLAN. Les invités ne peuvent pas accéder au réseau du personnel. Le personnel ne peut pas accéder au segment IoT à moins que vous ne l'autorisiez explicitement. Et surtout, un appareil IoT compromis - par exemple, une smart TV présentant une vulnérabilité non corrigée - ne peut pas rebondir vers votre PMS ou vos systèmes de paiement. [medium pause] Ce dernier point est extrêmement important pour la conformité PCI-DSS. Si vos systèmes de traitement des cartes de paiement se trouvent sur le même réseau que le WiFi invité, l'ensemble de votre infrastructure WiFi entre dans le champ d'application de la norme PCI-DSS. Une segmentation VLAN appropriée, combinée à des règles de pare-feu et des contrôles d'accès documentés, est le principal mécanisme permettant de réduire votre périmètre PCI-DSS. Le PCI Security Standards Council est explicite sur ce point : la segmentation du réseau n'est pas une exigence PCI-DSS, mais elle réduit le nombre de composants système concernés. Faites-le correctement et vous pourrez simplifier considérablement votre évaluation annuelle. [medium pause] Parlons d'un deuxième scénario : une chaîne de vente au détail de 50 magasins. Chaque magasin accueille un mélange de clients invités, de personnel équipé de terminaux portables pour les stocks et les points de vente, et de terminaux IoT, notamment la signalisation numérique et les capteurs environnementaux. Le défi ici est l'évolutivité et la cohérence. Vous ne pouvez pas configurer manuellement le réseau de chaque magasin. Vous avez besoin d'une plateforme gérée dans le cloud qui vous permet de déployer un modèle de configuration cohérent sur l'ensemble des 50 sites à partir d'un tableau de bord unique. HPE Aruba Central, le tableau de bord Cisco Meraki et Juniper Mist prennent tous en charge ce modèle. Vous définissez votre structure de VLAN et la configuration de vos SSIDs une seule fois, vous les déployez sous forme de modèle, et chaque site hérite automatiquement de la bonne segmentation. Purple s'intègre à toutes ces plateformes sous forme de surcouche cloud - ce qui signifie que vous ne remplacez pas votre matériel existant, vous ajoutez le Captive Portal et la couche d'analyse de Purple par-dessus. Sur ces 50 magasins, vous obtenez des données d'invités unifiées, une image de marque cohérente et une gestion centralisée des consentements. Purple est présent dans plus de 80 000 sites actifs et a traité 440 millions de connexions rien qu'en 2024, la plateforme est donc conçue pour ce type d'évolutivité multi-sites. [medium pause] Voyons maintenant les pièges de déploiement les plus fréquents. Premièrement : oublier d'activer l'isolation des clients sur le SSID invité. L'isolation des clients empêche un appareil invité de communiquer directement avec un autre appareil sur le même SSID. Sans cela, un utilisateur malveillant peut scanner et attaquer les appareils des autres invités. Activez-la. Toutes les plateformes majeures la prennent en charge. Deuxièmement : mal configurer la plage DHCP. Chaque VLAN a besoin de sa propre plage DHCP avec la passerelle et les paramètres DNS corrects. Une erreur fréquente consiste à faire pointer le DHCP du VLAN invité vers le serveur DNS de l'entreprise, ce qui divulgue les noms d'hôtes internes. Utilisez un résolveur DNS public - ou mieux, un service DNS filtré - pour le trafic invité. Troisièmement : ne pas tester le routage inter-VLAN après le déploiement. Configurez vos VLANs, puis testez concrètement depuis un appareil invité que vous ne pouvez pas accéder au réseau du personnel. Utilisez un outil comme nmap ou essayez simplement de naviguer vers une IP interne. Documentez le résultat du test. Quatrièmement : négliger la gestion de la bande passante. Le WiFi invité sur un réseau plat peut saturer votre liaison montante et dégrader le trafic opérationnel et celui du personnel. Appliquez des limites de bande passante par client et par SSID. Sur Cisco Meraki, il s'agit d'un paramètre unique par SSID. Sur HPE Aruba, vous utilisez des politiques de mise en forme du trafic basées sur les applications. [medium pause] Concernant le GDPR : si vous opérez au Royaume-Uni ou dans l'UE, votre Captive Portal doit présenter un mécanisme de consentement clair et affirmatif avant de collecter la moindre donnée personnelle. Les cases précochées ne constituent pas un consentement valide en vertu du UK GDPR. Le consentement doit être granulaire - des options d'adhésion distinctes pour les communications marketing d'une part, et pour la journalisation des accès réseau d'autre part. Les options de choix conscient de Purple sont conçues spécifiquement pour cela : l'invité fait un choix explicite et éclairé, et Purple stocke l'enregistrement du consentement avec un horodatage et la version spécifique du texte de consentement accepté. Cette piste d'audit est ce dont vous avez besoin si l'organisme de réglementation vient frapper à votre porte. [medium pause] Très bien, passons à une session de questions-réponses rapide sur les sujets qui me sont le plus souvent posés. [short pause] Ai-je besoin d'un point d'accès physique distinct pour chaque SSID ? Non. Les points d'accès d'entreprise modernes prennent en charge plusieurs SSIDs sur une seule radio. La limite pratique est d'environ trois à quatre SSIDs par radio avant de commencer à dégrader l'efficacité du temps d'antenne en raison de la surcharge des trames de gestion. Trois SSIDs - invité, personnel, IoT - est le bon chiffre. [short pause] Puis-je utiliser un routeur grand public pour le WiFi invité ? Pas dans un espace d'entreprise. Les routeurs grand public ne prennent pas en charge le marquage VLAN, le 802.1X, ni la gestion cloud. Vous avez besoin de matériel administrable. Ubiquiti UniFi est le point d'entrée pour les petits sites ; Cisco Meraki, HPE Aruba, ou Ruckus pour tout ce qui dépasse 20 points d'accès. [short pause] Comment gérer Passpoint et OpenRoaming ? Passpoint - également connu sous le nom de Hotspot 2.0, défini sous la norme IEEE 802.11u - permet aux appareils de se connecter automatiquement à un réseau WiFi en utilisant les identifiants déjà présents sur l'appareil, sans Captive Portal. OpenRoaming est la fédération mondiale basée sur Passpoint. Purple prend en charge OpenRoaming dans le cadre de l'offre Connect, en agissant comme fournisseur d'identité. Pour les sites tels que les aéroports et les hubs de transport, c'est de plus en plus la solution idéale pour une connectivité continue des passagers. [short pause] Qu'en est-il du filtrage DNS pour les réseaux invités ? Il est obligatoire. Un résolveur DNS filtré bloque les domaines de commande et de contrôle des logiciels malveillants, les sites de phishing et les contenus inappropriés. Il vous fournit également un journal des requêtes DNS pour la surveillance de la sécurité. L'extension Shield de Purple comprend le filtrage DNS dans le cadre de la suite de sécurité du réseau invité. [medium pause] Pour résumer : configurez votre réseau WiFi invité avec trois VLAN - les invités sur le VLAN 30, le personnel sur le VLAN 10, l'IoT sur le VLAN 20. Utilisez un Captive Portal avec un consentement GDPR explicite pour les invités. Authentifiez le personnel via 802.1X auprès de votre fournisseur d'identité. Isolez les appareils IoT avec des règles de sortie strictes. Activez l'isolation des clients sur le SSID invité. Appliquez des limites de bande passante. Testez le routage inter-VLAN après chaque changement de configuration. Et utilisez une plateforme gérée dans le cloud afin de pouvoir appliquer une configuration cohérente sur chaque site à partir d'un seul endroit. [medium pause] Si vous souhaitez aller plus loin, la plateforme de WiFi invité de Purple s'intègre à votre matériel existant - qu'il s'agisse de Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist ou Ubiquiti UniFi - et ajoute le Captive Portal, la gestion du consentement, les analyses et la couche d'automatisation du marketing qui transforme votre infrastructure WiFi en un actif de données propriétaires. Nous sommes sur purple.ai. Le guide écrit complet avec les schémas d'architecture, les exemples concrets et les listes de contrôle de configuration est lié dans les notes de l'émission. Merci pour votre écoute.