Passer au contenu principal
Français

La checklist pour migrer d'un NAC hérité vers un NAC Cloud-Native

Ce guide de référence technique faisant autorité fournit une checklist structurée en trois phases pour migrer d'un contrôle d'accès réseau (NAC) hérité vers une architecture cloud-native. Il apporte aux responsables informatiques et aux architectes réseau des stratégies concrètes pour gérer l'intégration des identités, la parité des politiques et la conformité sans perturber l'exploitation des sites.

📖 6 min de lecture📝 1,336 mots🔧 2 exemples concrets3 questions d'entraînement📚 8 définitions clés

Écouter ce guide

Voir la transcription du podcast
La checklist pour migrer d'un NAC hérité vers un NAC Cloud-Native Une note d'information Purple WiFi — environ 10 minutes --- INTRODUCTION ET CONTEXTE — environ 1 minute Bienvenue dans cette note d'information Purple WiFi. Je suis votre hôte, et aujourd'hui nous nous attaquons à l'une des décisions d'infrastructure les plus cruciales auxquelles sont confrontés les architectes réseau et les directeurs informatiques en ce moment : abandonner le contrôle d'accès réseau (NAC) hérité au profit d'une architecture NAC cloud-native. Si vous gérez un groupe hôtelier, un réseau de points de vente, un stade ou un campus du secteur public, il y a de fortes chances que votre déploiement NAC actuel soit en fin de vie, qu'il peine à monter en charge ou qu'il génère des problèmes de conformité que vous ne pouvez tout simplement pas vous permettre d'affronter à l'approche de la seconde moitié de cette décennie. L'application du GDPR se durcit. La version 4 de PCI DSS est pleinement en vigueur. Et votre parc WiFi pour les invités et le personnel se développe plus rapidement que ce que votre matériel sur site peut supporter. C'est pourquoi je souhaite vous proposer aujourd'hui une checklist pratique et structurée — le genre d'outil qu'un architecte de solutions senior passerait en revue avec vous avant de signer tout contrat de migration. Nous verrons ce qu'il faut auditer avant de commencer, comment exécuter un déploiement parallèle en toute sécurité, où se situent les risques réels et comment mesurer si la migration a réellement apporté de la valeur. C'est parti. --- ANALYSE TECHNIQUE APPROFONDIE — environ 5 minutes Commençons par les fondamentaux. Le NAC hérité — pensez à Cisco ISE sur du matériel vieillissant, ou à un serveur RADIUS greffé sur un annuaire vieux de dix ans — a été conçu pour un monde où le périmètre de votre réseau était bien défini, vos appareils gérés par l'entreprise et le trafic de vos invités secondaire. Ce monde n'existe plus. Le NAC cloud-native inverse le modèle. L'application des politiques est découplée du matériel. Votre plan de contrôle réside dans le cloud, vos points d'application sont des agents légers ou des points d'accès intégrés par API, et votre référentiel d'identité est fédéré — s'intégrant généralement avec Azure Active Directory, Okta ou une plateforme d'identité d'invités dédiée comme Purple. Alors, à quoi ressemble concrètement cette checklist ? Je la divise en trois phases. La phase une est l'évaluation pré-migration. Avant de toucher à la moindre configuration, vous devez disposer d'un inventaire complet de votre infrastructure NAC existante. Cela signifie chaque serveur RADIUS, chaque politique de demandeur (supplicant), chaque affectation de VLAN et chaque point d'intégration — votre SIEM, votre système de tickets ITSM, vos services d'annuaire. Vous devez savoir exactement ce que fait votre système hérité avant de pouvoir le répliquer dans le cloud. Au sein de cet inventaire, portez une attention particulière à trois éléments. Premièrement, votre déploiement IEEE 802.1X. Documentez chaque méthode EAP utilisée — EAP-TLS, PEAP-MSCHAPv2, quelle que soit celle que vous utilisez — car votre NAC cloud-native doit prendre en charge les mêmes méthodes, sous peine de subir des échecs d'authentification des terminaux dès le premier jour. Deuxièmement, vos flux de WiFi invités. Si vous utilisez actuellement un Captive Portal, comprenez exactement comment il s'intègre à votre NAC — est-il en ligne, basé sur une redirection, ou utilise-t-il un RADIUS CoA pour changer de VLAN après l'authentification ? La plateforme de WiFi invités de Purple, par exemple, gère cela de manière native avec une application des politiques basée sur le cloud, mais vous devez cartographier votre flux actuel avant de pouvoir le migrer. Troisièmement, votre posture de conformité. Si vous êtes concerné par la norme PCI DSS, vous devez documenter votre segmentation réseau actuelle — en particulier la manière dont les environnements de données des titulaires de cartes sont isolés des réseaux invités et du personnel. Un NAC cloud-native peut en réalité simplifier cela, mais la migration elle-même est un événement de changement qui doit être documenté pour votre QSA. La phase deux est le fonctionnement en parallèle. C'est là que la plupart des migrations réussissent ou échouent. La bonne approche consiste à déployer votre NAC cloud-native en mode shadow aux côtés de votre système hérité. Vous n'effectuez pas encore de bascule — vous validez la parité des politiques. Chaque décision d'accès prise par votre système hérité doit correspondre à la même décision prise par le système cloud-native. Exécutez ce test pendant au moins deux semaines, idéalement quatre. Utilisez un sous-ensemble de terminaux réels — un groupe pilote d'appareils du personnel, un unique SSID invité sur un site — et comparez les journaux d'authentification côte à côte. Pendant le fonctionnement en parallèle, il y a trois éléments spécifiques à valider. Un : la latence. L'authentification RADIUS cloud-native doit être inférieure à 100 millisecondes pour la grande majorité des requêtes. Si vous constatez une latence plus élevée, vérifiez la configuration de votre proxy RADIUS et la sélection de votre région cloud. Deux : la fidélité des politiques. Chaque attribution de rôle, chaque tag VLAN, chaque restriction d'accès — le système cloud correspond-il au système hérité ? Toute divergence représente une faille de sécurité potentielle ou un échec de l'expérience utilisateur. Trois : le comportement en cas de basculement. Que se passe-t-il lorsque le plan de contrôle cloud est temporairement inaccessible ? Vos points d'application ont besoin d'une politique de secours définie — généralement un mode fail-open pour le trafic invité ou fail-closed pour le personnel et l'IoT. Documentez cela explicitement. La phase trois est la bascule complète et l'optimisation. Une fois que vous avez validé la parité des politiques, vous effectuez la bascule pendant une fenêtre de maintenance. La clé ici est le séquençage : basculez d'abord le trafic invité — c'est le moins risqué et le plus facile à annuler. Ensuite, les SSID du personnel. Puis le 802.1X filaire, le cas échéant. Enfin, les réseaux IoT et de technologies opérationnelles, qui ont souvent les configurations d'authentification les plus fragiles et nécessitent le plus de soin. Après la transition, vos trente premiers jours sont consacrés à l'optimisation. Le NAC cloud-native vous offre une télémétrie dont vous ne disposiez tout simplement pas auparavant : taux d'authentification par appareil, nombre de correspondances avec les politiques, indicateurs de comportement anormal. Utilisez ces données. La plateforme d'analyse WiFi de Purple, par exemple, affiche le temps de présence des appareils, les schémas de connexion et les anomalies d'authentification dans un tableau de bord unique, ce qui est extrêmement utile pour affiner vos politiques post-migration. Un autre point technique mérite d'être souligné : le WPA3. Si vous migrez votre NAC, c'est le moment idéal pour évaluer également votre norme de chiffrement. Le WPA3-Enterprise avec le mode 192 bits est désormais la recommandation pour les environnements de haute sécurité dans le cadre du programme de certification de sécurité de la Wi-Fi Alliance. Ce n'est pas obligatoire pour la plupart des déploiements de WiFi invités, mais pour les réseaux du personnel et de l'IoT traitant des données sensibles, la mise à niveau vaut l'effort parallèle. --- RECOMMANDATIONS DE MISE EN ŒUVRE ET PIÈGES À ÉVITER — environ 2 minutes Laissez-moi vous présenter les trois modes de défaillance les plus courants que je constate lors des migrations de NAC, et comment les éviter. Premier mode de défaillance : sous-estimer la dépendance à l'identité. Le NAC cloud-native n'est efficace que dans la mesure où votre infrastructure d'identité l'est. Si votre Active Directory est mal entretenu (comptes obsolètes, appartenances à des groupes incohérentes, absence d'obligation de MFA), vous répliquerez ces problèmes dans le cloud à grande échelle et avec une plus grande visibilité pour les attaquants. Avant de migrer votre NAC, effectuez un audit d'hygiène des identités. Nettoyez les comptes obsolètes. Imposez le MFA sur toutes les identités privilégiées. Fédérez l'identité de vos invités via une plateforme dédiée plutôt que d'essayer de greffer les invités sur votre annuaire d'entreprise. Deuxième mode de défaillance : ignorer l'IoT. Dans les environnements de l'hôtellerie et du commerce de détail, les appareils IoT (contrôleurs de porte, capteurs CVC, signalisation numérique, terminaux de point de vente) s'authentifient souvent via le contournement d'adresse MAC, une méthode d'authentification faible que le NAC hérité a historiquement tolérée. Le NAC cloud-native vous donne l'opportunité d'imposer une véritable authentification basée sur des certificats pour l'IoT, mais cela nécessite un projet de déploiement de certificats d'appareils que de nombreuses organisations sous-estiment. Prévoyez un budget distinct pour cela. Troisième mode de défaillance : traiter la migration comme un projet ponctuel. Le NAC cloud-native n'est pas un déploiement que l'on configure pour ensuite l'oublier. La valeur réside dans la télémétrie continue et l'automatisation des politiques. Si vous n'attribuez pas la responsabilité de la plateforme après la migration (à un ingénieur en sécurité réseau désigné ou à un partenaire de services gérés), vous retomberez dans les mêmes lacunes de conformité et de visibilité que vous aviez avec votre système hérité d'ici douze mois. --- Q&A RAPIDE — environ 1 minute Quelques questions que l'on me pose régulièrement. "Combien de temps prend une migration typique ?" Pour un déploiement sur un seul site, comptez de quatre à huit semaines, de l'évaluation à la transition complète. Pour un parc multisite (par exemple, un groupe hôtelier de cinquante établissements), prévoyez de six à douze mois, en menant un programme progressif site par site. « Devons-nous remplacer nos points d'accès ? » Pas nécessairement. La plupart des plateformes NAC cloud-natives prennent en charge l'authentification RADIUS standard, de sorte que vos AP existants compatibles 802.1X fonctionneront. Cependant, si vos AP ont plus de cinq ans et ne prennent pas en charge le WPA3 ou les API de gestion modernes, la migration est un excellent catalyseur pour renouveler le matériel par la même occasion. « Qu'en est-il du GDPR et des données des invités ? » Un NAC cloud-native, combiné à une plateforme de guest WiFi appropriée, améliore en réalité votre conformité au GDPR. Vous bénéficiez d'une gestion centralisée des consentements, de contrôles sur la résidence des données et de politiques de rétention automatisées — autant d'éléments qui sont nettement plus difficiles à mettre en œuvre sur une infrastructure sur site héritée. --- RÉSUMÉ ET PROCHAINES ÉTAPES — environ 1 minute En résumé : migrer d'un NAC hérité vers un NAC cloud-native n'est pas seulement un renouvellement d'infrastructure — c'est un changement stratégique dans la façon dont vous gérez l'accès au réseau, la conformité et l'intelligence des invités à grande échelle. La feuille de route est claire. Auditez minutieusement votre infrastructure existante avant de commencer. Lancez un déploiement en parallèle pour valider la parité des politiques. Effectuez la transition de manière séquentielle et à faible risque. Et investissez dans la télémétrie continue et l'automatisation des politiques qui rendent le NAC cloud-native véritablement supérieur à ce qui existait auparavant. Si vous évaluez des plateformes, les capacités de guest WiFi et d'analyse de Purple s'intègrent nativement aux architectures NAC cloud-natives, vous offrant un panneau de contrôle unique pour l'identité des invités, la politique réseau et l'analyse des points de vente. Cela vaut la peine d'en discuter avec l'équipe. Merci d'avoir écouté le Purple WiFi Intelligence Briefing. La documentation technique complète, les schémas d'architecture et la version écrite de cette feuille de route sont disponibles sur purple.ai. À la prochaine.

header_image.png

Résumé exécutif

Migrer d'un Network Access Control (NAC) hérité vers une architecture cloud-native n'est plus une mise à niveau discrétionnaire ; c'est une exigence critique pour maintenir la sécurité, l'évolutivité et la conformité dans les environnements d'entreprise modernes. Les systèmes hérités, souvent dépendants d'un matériel sur site vieillissant et de structures d'annuaire rigides, peinent à soutenir la croissance explosive des appareils IoT, la mobilité dynamique du personnel et les exigences strictes de l'accès invité moderne. Pour les directeurs des opérations de site et les responsables informatiques des secteurs de l'hôtellerie, du commerce de détail et du secteur public, la transition vers un NAC cloud-native atténue les risques de panne matérielle et de fragmentation des politiques tout en permettant une automatisation pilotée par API.

Ce guide de référence technique fournit une liste de contrôle complète pour exécuter cette migration. Il présente une approche structurée en trois phases : Évaluation pré-migration, Exécution parallèle et validation, et Basculement complet et optimisation. En découplant l'application des politiques du matériel et en fédérant les bases d'identités, les organisations peuvent parvenir à un provisionnement sans contact, à une application robuste de la norme IEEE 802.1X et à une intégration transparente avec les outils de l'écosystème. De manière cruciale, ce guide détaille comment exploiter des plateformes comme Purple pour unifier l'identité des invités et la politique réseau, garantissant ainsi que la migration offre un ROI opérationnel immédiat et une posture de sécurité renforcée.

Approfondissement technique

Le changement fondamental lors du passage d'un NAC hérité à un NAC cloud-native implique le découplage du plan de contrôle et du plan de données. Les architectures héritées reposent généralement sur des serveurs RADIUS monolithiques et des appliances physiques déployées à la périphérie ou agrégées dans un centre de données central. Ce modèle crée des goulots d'étranglement, augmente la latence pour les sites distribués et exige une intervention manuelle constante pour maintenir la cohérence des politiques.

Le NAC cloud-native abstrait le moteur de politique et le fournisseur d'identité (IdP) dans un environnement cloud évolutif. L'application est repoussée vers la périphérie, soit via des agents logiciels légers, soit via une intégration API directe avec les points d'accès et les commutateurs modernes. Cette architecture modifie fondamentalement la manière dont l'authentification et l'autorisation sont traitées.

Fédération d'identité et RADIUS

Au cœur de la migration se trouve la transition de la gestion des identités. Le NAC hérité repose souvent sur des liaisons LDAP directes vers l'Active Directory sur site. Les solutions cloud-natives privilégient les intégrations SAML ou OIDC avec des fournisseurs d'identité cloud tels qu'Azure AD ou Okta. Lors de la migration, l'infrastructure RADIUS doit être modernisée. Les services Cloud RADIUS gèrent les authentifications IEEE 802.1X (par exemple, EAP-TLS, PEAP-MSCHAPv2) à l'échelle mondiale, réduisant la latence en acheminant les requêtes vers le point de présence géographique le plus proche.Il est essentiel de documenter chaque méthode EAP (Extensible Authentication Protocol) actuellement utilisée. L'absence de prise en charge des types EAP existants dans le nouvel environnement entraînera des échecs d'authentification immédiats pour les terminaux. De plus, pour l'accès invité, l'intégration d'une plateforme de Guest WiFi robuste comme Purple permet d'appliquer des politiques basées sur le cloud, en masquant la complexité du changement d'autorisation RADIUS (CoA) et des attributions de VLAN au niveau du matériel local.

Segmentation du réseau et conformité

Le NAC moderne ne se limite pas à l'accès ; il s'agit de segmentation dynamique. Dans les environnements soumis à la PCI DSS ou au GDPR, la capacité d'attribuer dynamiquement des VLAN ou d'appliquer des politiques de micro-segmentation basées sur le rôle de l'utilisateur, la posture de l'appareil et l'emplacement est primordiale. Le NAC natif dans le cloud évalue le contexte (qui, quoi, où et quand) avant d'accorder l'accès.

Lors de la migration, les attributions de VLAN statiques existantes doivent être mappées sur des politiques dynamiques. Par exemple, un terminal de point de vente doit être isolé du réseau invité et du réseau général du personnel. Le moteur de politique cloud évalue l'adresse MAC de l'appareil (ou idéalement, un certificat d'appareil) et ordonne à l'infrastructure réseau de le placer dans la zone sécurisée conforme à la norme PCI.

architecture_overview.png

Guide de mise en œuvre

L'exécution de la migration nécessite une approche disciplinée et progressive afin de minimiser les perturbations pour les sites actifs et les opérations commerciales critiques.

Phase 1 : Évaluation pré-migration

Avant de modifier toute configuration, un inventaire complet de l'écosystème NAC existant est obligatoire. Cela comprend la cartographie de tous les serveurs RADIUS, des configurations de suppliants, des schémas de VLAN et des intégrations tierces (telles que les plateformes SIEM ou ITSM).

  1. Auditer les sources d'identité : Identifiez tous les annuaires et bases de données utilisés pour l'authentification. Nettoyez les comptes obsolètes et imposez la MFA sur les identités privilégiées.
  2. Cartographier les méthodes EAP : Documentez toutes les méthodes IEEE 802.1X utilisées sur les réseaux filaires et sans fil.
  3. Analyser les flux d'invités : Documentez l'intégration actuelle du Captive Portal. Évaluez comment une solution moderne de Guest WiFi peut simplifier ce processus.
  4. Passer en revue les appareils IoT : Identifiez les appareils qui dépendent du contournement de l'authentification MAC (MAB) et planifiez une authentification basée sur des certificats dans la mesure du possible.

Phase 2 : Fonctionnement en parallèle et validation

La stratégie la plus efficace consiste à déployer le NAC natif dans le cloud en mode fantôme (shadow mode) aux côtés du système existant. Cela permet de valider les politiques sans impact sur le trafic de production.

  1. Déployer le RADIUS Cloud : Configurez le NAC cloud pour recevoir les demandes d'authentification en parallèle avec le système existant.
  2. Valider la parité des politiques : Comparez les décisions d'accès (rôle, VLAN, ACL) prises par les deux systèmes. Toute divergence doit être étudiée et résolue.3. Tester la latence : Assurez-vous que les requêtes d'authentification cloud se terminent dans des seuils acceptables (généralement inférieurs à 100 ms).
  3. Groupes pilotes : Migrez un petit sous-ensemble d'utilisateurs (par exemple, le personnel informatique) ou un SSID non critique spécifique vers le nouveau système pour valider la fonctionnalité de bout en bout.

migration_phases_diagram.png

Phase 3 : Transition complète et optimisation

Une fois la parité confirmée, effectuez la transition pendant une fenêtre de maintenance planifiée.

  1. Séquencer la transition : Commencez par les réseaux à plus faible risque. Migrez d'abord les réseaux invités, suivis du réseau sans fil du personnel, du réseau filaire 802.1X, et enfin des réseaux IoT/OT.
  2. Surveiller la télémétrie : Utilisez la visibilité accrue de la plateforme cloud pour surveiller les taux de réussite d'authentification et identifier les comportements anormaux.
  3. Intégrer les analyses : Transmettez la télémétrie à une plateforme de WiFi Analytics pour obtenir des informations sur le temps de séjour des appareils, les modèles de connexion et l'utilisation de l'espace.
  4. Mettre hors service le matériel existant : Une fois la stabilité atteinte, effacez de manière sécurisée et mettez hors service les anciens équipements NAC.

Bonnes pratiques

Pour garantir un déploiement résilient et évolutif, respectez les bonnes pratiques sectorielles suivantes :

  • Adopter le WPA3-Enterprise : Lorsque le matériel le prend en charge, imposez le WPA3-Enterprise avec le mode 192 bits pour les réseaux hautement sécurisés (par exemple, finance, RH). Cela s'aligne sur les dernières normes de sécurité de la Wi-Fi Alliance. Pour une compréhension plus approfondie des normes sans fil modernes, reportez-vous à notre guide sur les Fréquences Wi-Fi : Un guide des fréquences Wi-Fi en 2026 .
  • Fédérer l'identité des invités : Ne gérez pas les comptes invités dans les annuaires d'entreprise. Utilisez une plateforme dédiée comme Purple pour gérer l'intégration des invités, la gestion du consentement et la résidence des données, garantissant ainsi la conformité au GDPR.
  • Mettre en œuvre les principes du Zero Trust : Abandonnez la confiance implicite basée sur l'emplacement réseau. Imposez une évaluation continue de la posture de sécurité de tous les terminaux avant d'accorder l'accès.
  • Automatiser l'intégration de l'IoT : Évitez le MAB en mettant en œuvre un provisionnement automatisé des certificats pour les appareils sans écran.

Pour en savoir plus sur l'évolution de la sécurité réseau, consultez L'avenir de la sécurité Wi-Fi : NAC piloté par l'IA et détection des menaces et son équivalent en espagnol, El Futuro de la Seguridad Wi-Fi: NAC Impulsado por IA y Detección de Amenazas .

Dépannage et atténuation des risques

Les migrations comportent intrinsèquement des risques. Anticiper les modes de défaillance courants est essentiel pour une transition en douceur.

Mode de défaillance : Problèmes de synchronisation d'identité Si l'IdP cloud ne parvient pas à se synchroniser avec les annuaires sur site, l'authentification échouera. Atténuation : Implémentez une surveillance robuste sur les agents de synchronisation d'annuaire. Configurez des connecteurs de synchronisation redondants sur différents sites physiques.

Mode de défaillance : Latence d'authentification élevée Le routage du trafic RADIUS vers une région cloud éloignée peut provoquer des expirations de délai (timeouts) sur le suppliant du terminal. Atténuation : Sélectionnez une région cloud géographiquement proche des sites. Implémentez des proxys RADIUS locaux ou des appliances de succursale résilientes pour les sites critiques tels que les grands magasins de Retail ou les établissements de Healthcare .

Mode de défaillance : Perte de connectivité IoT Les appareils IoT existants ont souvent des configurations réseau codées en dur ou manquent de support pour les méthodes EAP modernes. Atténuation : Maintenez un SSID dédié et isolé avec repli MAB spécifiquement pour les appareils IoT existants jusqu'à ce qu'ils puissent être remplacés. Assurez-vous que ce VLAN dispose d'ACL strictes limitant les mouvements latéraux.

ROI & Impact Business

La transition vers un NAC cloud-native offre une valeur commerciale mesurable au-delà d'une sécurité renforcée.

  • Efficacité opérationnelle : Le provisionnement sans contact (zero-touch) et la gestion centralisée des politiques réduisent considérablement les heures d'ingénierie requises pour les mouvements, ajouts et modifications (MAC).
  • Économies de matériel : Le déclassement des appliances sur site élimine les coûts d'alimentation, de refroidissement et de contrats de maintenance associés.
  • Expérience client améliorée : L'intégration du NAC avec une plateforme moderne de Guest WiFi réduit les frictions d'intégration, ce qui entraîne des taux d'adhésion plus élevés et une collecte de données plus riche pour les équipes marketing des secteurs de l' Hospitality et du Transport .
  • Réduction des risques : Les rapports de conformité automatisés et la segmentation dynamique réduisent la probabilité et l'impact potentiel d'une violation de données, abaissant ainsi les primes de cyber-assurance et protégeant la réputation de la marque.

Définitions clés

Contrôle d'accès au réseau (NAC)

Une solution de sécurité qui applique des politiques aux appareils et aux utilisateurs tentant d'accéder à un réseau.

Essentiel pour garantir que seuls les appareils autorisés et conformes se connectent aux réseaux d'entreprise ou invités.

Architecture Cloud-Native

Conception d'applications spécifiquement pour exploiter les modèles de cloud computing, généralement à l'aide de microservices et d'APIs.

Permet au NAC d'évoluer à l'infini et de dissocier la gestion des politiques des contraintes matérielles locales.

RADIUS (Remote Authentication Dial-In User Service)

Un protocole réseau qui fournit une gestion centralisée de l'authentification, de l'autorisation et de la comptabilité (AAA).

Le protocole central utilisé par les commutateurs réseau et les points d'accès pour communiquer avec le moteur de politique NAC.

IEEE 802.1X

Une norme IEEE pour le contrôle d'accès réseau basé sur les ports, fournissant un mécanisme d'authentification aux appareils souhaitant se connecter à un LAN ou WLAN.

La référence absolue pour une authentification réseau sécurisée de classe entreprise pour les appareils du personnel.

MAC Authentication Bypass (MAB)

Une méthode d'octroi d'accès au réseau basée sur l'adresse MAC de l'appareil plutôt que sur un nom d'utilisateur/mot de passe ou un certificat.

Couramment utilisé pour les appareils IoT sans interface (imprimantes, caméras) qui ne peuvent pas prendre en charge le 802.1X, bien qu'il soit intrinsèquement moins sécurisé.

Segmentation dynamique

La capacité d'attribuer des politiques d'accès réseau (comme des VLAN ou des ACL) de manière dynamique en fonction de l'identité de l'utilisateur, du type d'appareil ou du contexte.

Cruciale pour isoler différents types de trafic (par exemple, séparer les terminaux de point de vente du WiFi invité).

Fournisseur d'identité (IdP)

Une entité système qui crée, maintient et gère les informations d'identité pour les principaux et fournit des services d'authentification.

Le NAC cloud-native s'appuie sur des IdP modernes (Azure AD, Okta) plutôt que sur des serveurs LDAP locaux existants.

Change of Authorisation (CoA)

Une extension RADIUS qui permet au serveur NAC de modifier dynamiquement les autorisations d'accès d'une session active.

Utilisé de manière intensive dans les portails WiFi invités pour faire passer un utilisateur d'un VLAN pré-authentification restreint à un VLAN d'accès complet après acceptation des conditions.

Exemples concrets

Un hôtel de 500 chambres migre vers un NAC cloud-native. Il utilise actuellement un serveur RADIUS hérité sur site pour le protocole 802.1X (PEAP) du personnel et un Captive Portal de base pour les clients. Il dispose de 200 appareils IoT (téléviseurs connectés, serrures de porte) s'authentifiant via MAB. Comment doit-il planifier la migration pour minimiser les perturbations pour les clients ?

  1. Déployer le NAC cloud et l'intégrer à l'IdP existant pour le personnel. 2. Intégrer Purple Guest WiFi avec le NAC cloud pour l'accès des clients. 3. Transition Phase 1 : Migrer l'SSID invité vers le nouveau flux de Captive Portal. Cette étape présente un faible risque et offre un ROI marketing immédiat. 4. Transition Phase 2 : Migrer le protocole 802.1X du personnel. S'assurer que le nouveau certificat du serveur RADIUS est approuvé par les terminaux du personnel pour éviter les avertissements. 5. Transition Phase 3 : Migrer les appareils IoT. Créer une politique spécifique dans le NAC cloud pour le MAB, en veillant à ce que ces appareils soient placés dans un VLAN isolé.
Commentaire de l'examinateur : Cette approche séquentielle permet d'isoler les risques. Migrer les clients en premier offre un succès rapide et valide l'architecture cloud. Laisser l'IoT en dernier donne le temps de cartographier méticuleusement les adresses MAC et de s'assurer que les nouvelles politiques MAB sont correctement configurées avant la transition.

Une grande chaîne de vente au détail comptant 150 magasins subit une latence élevée (plus de 500 ms) pendant la phase d'exécution parallèle de sa migration vers le NAC cloud, ce qui provoque l'expiration du délai d'attente des terminaux de point de vente (POS) lors de l'authentification.

La latence est probablement causée par la distance géographique entre les magasins et la région du serveur RADIUS cloud, ou par des recherches d'annuaire inefficaces. La solution consiste à : 1. Vérifier que le tenant du NAC cloud est hébergé dans la région géographique optimale. 2. Déployer un proxy RADIUS léger ou un équipement de secours local (survivable edge appliance) dans les hubs régionaux pour mettre en cache les authentifications et gérer les terminaisons EAP locales. 3. S'assurer que l'intégration de l'IdP utilise des recherches rapides et indexées (par exemple, une intégration native Azure AD plutôt que d'interroger un serveur LDAP sur site via un VPN).

Commentaire de l'examinateur : Les environnements de vente au détail sont extrêmement sensibles à la latence, en particulier pour les systèmes de point de vente. La solution identifie correctement la nécessité de rapprocher la décision d'authentification de la périphérie (edge), soit géographiquement, soit via une mise en cache locale, ce qui constitue un modèle d'architecture standard pour les entreprises distribuées.

Questions d'entraînement

Q1. Votre organisation migre de Cisco ISE vers un NAC cloud-native. Pendant la phase d'exécution parallèle, vous remarquez qu'un groupe spécifique de scanners de codes-barres plus anciens dans votre entrepôt échoue à l'authentification sur le NAC cloud, mais réussit sur ISE. Quelle est la cause la plus probable et comment devez-vous y remédier ?

Conseil : Considérez la manière dont les appareils plus anciens gèrent le chiffrement et la négociation des protocoles.

Voir la réponse type

La cause la plus probable est une incompatibilité dans les méthodes EAP ou les suites de chiffrement prises en charge. Le NAC cloud peut avoir déprécié des protocoles plus anciens et moins sécurisés (comme TLS 1.0 ou des chiffrements faibles spécifiques) que le serveur ISE hérité autorisait encore. Pour y remédier, vous devez soit mettre à jour le firmware/supplicant sur les scanners de codes-barres pour prendre en charge les protocoles modernes, soit, si cela n'est pas possible, configurer une politique spécifique et isolée dans le NAC cloud pour autoriser temporairement l'ancien protocole strictement pour ce groupe d'appareils, en atténuant le risque de sécurité via une segmentation réseau stricte.

Q2. Un campus universitaire souhaite implémenter WPA3-Enterprise pour son réseau personnel parallèlement à la migration du NAC. Cependant, 15 % des ordinateurs portables du personnel utilisent des cartes réseau sans fil plus anciennes qui ne prennent pas en charge WPA3. Comment l'architecte réseau doit-il concevoir les SSIDs ?

Conseil : Considérez les modes de transition et l'impact sur la posture de sécurité.

Voir la réponse type

L'architecte doit configurer le SSID du personnel pour utiliser le mode de transition WPA3-Enterprise. Cela permet aux appareils compatibles de se connecter en utilisant WPA3-Enterprise, tandis que les appareils plus anciens basculent sur WPA2-Enterprise. Alternativement, si une conformité de sécurité stricte est requise pour des départements spécifiques, un SSID dédié uniquement à WPA3 peut être créé pour les appareils conformes, en laissant le SSID hérité actif jusqu'à ce que le matériel restant soit renouvelé.

Q3. Au cours de la phase 1 (évaluation pré-migration), vous découvrez que le WiFi invité actuel repose fortement sur RADIUS CoA pour déplacer les utilisateurs d'un VLAN en accès restreint (walled-garden) vers un VLAN d'accès Internet. Les nouveaux AP cloud ne prennent pas en charge de manière fiable le CoA sur le WAN. Quel est le changement d'architecture recommandé ?

Conseil : Considérez comment les plateformes d'invités modernes gèrent l'application des politiques sans dépendre d'une commutation VLAN locale complexe.

Voir la réponse type

L'approche recommandée consiste à abandonner la commutation VLAN locale et à utiliser une plateforme de WiFi invité gérée dans le cloud (comme Purple). Dans ce modèle, l'AP place tout le trafic invité dans un seul VLAN invité. Le Captive Portal et l'application des politiques (limitation de la bande passante, filtrage de contenu, durée de la session) sont gérés soit par le pare-feu intégré de l'AP, soit par une passerelle cloud, éliminant ainsi complètement le besoin de RADIUS CoA et simplifiant la configuration à la périphérie.

Continuer la lecture de cette série

Gestion du WiFi pour les clients d'hôtels : Intégration du PMS, des portails et des normes de marque

Ce guide technique détaille comment concevoir des réseaux WiFi hôteliers de classe entreprise, en se concentrant sur la segmentation VLAN, l'intégration PMS pour la gestion automatisée des sessions et l'optimisation du Captive Portal pour une collecte de données conforme au GDPR.

Lire le guide →

Comment configurer un WiFi invité : Guide de configuration d'entreprise sécurisé

Ce guide de référence fournit aux responsables informatiques et aux architectes réseau un plan d'action définitif pour déployer un WiFi invité d'entreprise sécurisé. Il couvre l'architecture essentielle, la migration vers le WPA3, la segmentation VLAN et l'intégration de Captive Portal pour protéger les systèmes internes tout en collectant des données de première partie conformes.

Lire le guide →

Gestion de la bande passante pour le WiFi du personnel : lissage, QoS et réduction du trafic

Ce guide détaille les méthodes pratiques pour gérer la bande passante du WiFi du personnel dans les établissements d'entreprise. Il aborde le lissage du trafic, l'implémentation de la QoS et la manière dont le déploiement de Purple Shield réduit la charge réseau sans nécessiter de mise à niveau des infrastructures.

Lire le guide →