Passer au contenu principal
Français

Le Guide de l'Entreprise pour Configurer le WiFi Invité : Sécurité, Segmentation et Vitesse

Ce guide technique d'entreprise fournit des instructions exploitables aux responsables informatiques et aux architectes réseau sur le déploiement d'un WiFi invité sécurisé et segmenté. Il couvre l'architecture VLAN, le chiffrement WPA3, l'authentification 802.1X, la conformité PCI-DSS et GDPR, ainsi que l'intégration de la couche de Captive Portal agnostique au matériel de Purple.

📖 5 min de lecture📝 1,074 mots🔧 2 exemples concrets3 questions d'entraînement📚 8 définitions clés

Écouter ce guide

Voir la transcription du podcast
Speak in British English with a confident, authoritative, and conversational tone - like a senior network consultant briefing a CTO before a board meeting. Measured pace, clear diction, occasional dry wit. Professional but not stiff: Bienvenue dans ce point technique de Purple. Je suis votre hôte, et nous abordons aujourd'hui un sujet qui se situe précisément à la croisée des casse-têtes informatiques et des véritables opportunités commerciales : la configuration correcte du WiFi invité. Pas la version "branchez un routeur et croisez les doigts". La version entreprise. Celle qui satisfait vos auditeurs, maintient vos invités connectés et préserve l'intégrité de votre réseau d'entreprise. [courte pause] Commençons par le contexte. Le WiFi invité n'est plus un luxe. C'est une infrastructure. La plateforme de Purple est déployée sur plus de 80 000 sites actifs - de Premier Inn à Manchester Airports Group, de Harrods à McDonald's. Et le point commun entre chacun de ces déploiements ? Dès que le WiFi invité tombe en panne, subit une faille ou échoue à un audit de conformité, cela devient la panne informatique la plus visible du bâtiment. Alors, assurons-nous que cela ne vous arrive pas. [courte pause] Première partie : l'architecture. Qu'est-ce que nous construisons concrètement ? Un déploiement de WiFi invité bien conçu comprend trois zones réseau distinctes, parfois quatre. La zone 1 est votre réseau invité - accès internet uniquement, totalement isolé de votre infrastructure d'entreprise. La zone 2 est votre réseau personnel - authentifié, chiffré, avec accès aux ressources internes. La zone 3 est votre réseau IoT - systèmes de gestion technique du bâtiment, imprimantes, capteurs, tous isolés à la fois des invités et du personnel. Et si vous êtes dans le commerce de détail ou l'hôtellerie, la zone 4 est votre LAN d'entreprise, qui contient vos systèmes de point de vente et tout ce qui touche aux données des titulaires de cartes. Le mot clé ici est isolé. Pas séparé par un mot de passe. Pas sur un SSID différent qui partage par hasard le même sous-réseau. Véritablement isolé, au niveau de la couche réseau, à l'aide de VLANs - Virtual Local Area Networks - avec des règles de pare-feu dynamique entre chaque zone. [courte pause] Pourquoi est-ce si important ? Deux mots : PCI-DSS. Le PCI-DSS - la norme de sécurité des données de l'industrie des cartes de paiement - exige que tout réseau acheminant des données de cartes de paiement soit complètement séparé de tout réseau accessible aux invités. Si votre WiFi invité et vos terminaux de point de vente partagent le même segment de réseau, l'ensemble de votre parc entre dans le champ d'application de la norme PCI. Cela implique des analyses de vulnérabilité externes trimestrielles, des tests d'intrusion annuels et une charge de conformité qui coûte bien plus cher que la configuration de VLAN que vous avez évitée. La solution est simple. Le VLAN 10 pour les invités. Le VLAN 20 pour le personnel. Le VLAN 30 pour l'IoT. Le VLAN 1 pour votre LAN d'entreprise. Des règles de pare-feu qui interdisent explicitement tout trafic du VLAN 10 vers les VLAN 20 et 1. C'est fait. Votre champ d'application PCI diminue considérablement. [courte pause] Parlons maintenant de chiffrement. La norme que vous devez déployer aujourd'hui est le WPA3 - la norme Wi-Fi Protected Access 3, ratifiée par la Wi-Fi Alliance. Le WPA3 remplace le WPA2 et corrige deux vulnérabilités critiques : il élimine le vecteur d'attaque KRACK et introduit l'authentification simultanée d'égaux - SAE - qui empêche les attaques par dictionnaire hors ligne contre les poignées de main capturées. Pour les réseaux invités spécifiquement, le WPA3 en mode Enhanced Open, également appelé OWE - Opportunistic Wireless Encryption - mérite d'être compris. L'OWE chiffre le trafic entre chaque appareil et le point d'accès sans nécessiter de mot de passe. Les invités se connectent de manière transparente, mais leur trafic est chiffré en transit. Fini le sniffing passif sur les réseaux ouverts. Pour le réseau de votre personnel, vous devez utiliser le WPA3 Enterprise avec l'authentification 802.1X. Le 802.1X est la norme IEEE pour le contrôle d'accès réseau basé sur les ports. Il utilise un serveur RADIUS - Remote Authentication Dial-In User Service - pour authentifier chaque appareil individuellement avant d'accorder l'accès au réseau. L'appareil présente des identifiants, le serveur RADIUS les valide par rapport à votre fournisseur d'identité - Microsoft Entra ID, Okta ou Google Workspace sont les choix de référence - et ce n'est qu'alors que le point d'accès ouvre le port. [courte pause] Cela nous amène aux méthodes d'authentification. Au sein du 802.1X, vous disposez de plusieurs variantes EAP - Extensible Authentication Protocol. L'EAP-TLS utilise une authentification mutuelle basée sur des certificats. Le serveur et le client présentent tous deux des certificats. C'est l'option la plus sécurisée et celle recommandée pour tout environnement où vous déployez des appareils managés. L'EAP-TTLS et le PEAP - Protected EAP - utilisent un certificat côté serveur avec des identifiants de type nom d'utilisateur et mot de passe de la part du client. Ils sont plus faciles à déployer mais légèrement moins sécurisés. Pour les réseaux invités, vous n'utilisez pas le 802.1X. Vous utilisez un Captive Portal - une page web qui intercepte la session de navigation de l'invité et l'oblige à s'authentifier avant de lui accorder l'accès à internet. C'est au niveau du Captive Portal que le GDPR entre en jeu. [courte pause] Le GDPR - le Règlement général sur la protection des données - exige que toutes les données personnelles que vous collectez sur le Captive Portal reposent sur une base légale. Pour le WiFi invité, cette base est presque toujours le consentement. Et le consentement en vertu du GDPR doit être librement donné, spécifique, éclairé et univoque. Les cases pré-cochées ne comptent pas. Associer le consentement marketing à l'accès au réseau ne compte pas. Ce qui compte, c'est ce que Purple appelle l'opt-in par choix conscient. L'invité voit un choix clair et honnête : se connecter au WiFi, et éventuellement, cocher cette case s'il souhaite recevoir des communications marketing. L'accès au réseau et le consentement marketing sont des décisions distinctes. C'est conforme au GDPR. C'est également, soit dit en passant, la raison pour laquelle les données que vous collectez sont de meilleure qualité - parce que les personnes qui ont donné leur consentement le voulaient vraiment. Purple détient les certifications ISO 27001, GDPR, CCPA et Cyber Essentials. Cela signifie que lorsque vous déployez Purple en tant que couche de Captive Portal, le cadre de conformité est déjà intégré. Vous ne partez pas de zéro. [courte pause] Section deux : l'approfondissement technique. Parlons spécifiquement de matériel et de déploiement. Purple est indépendant du matériel. Il se déploie sous forme de surcouche cloud sur vos points d'accès existants. La liste du matériel compatible comprend Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme et Fortinet. Si vous utilisez l'un d'entre eux, vous configurez votre SSID invité pour qu'il pointe vers le serveur RADIUS de Purple ou le point de terminaison du Captive Portal, et la plateforme gère ensuite l'authentification, la capture de données et les analyses. La séquence de déploiement pour un hôtel ou un centre de conférence typique se présente comme suit. Premièrement, vous configurez vos VLAN sur le commutateur central. Deuxièmement, vous créez vos SSID sur le contrôleur sans fil - un pour les invités, un pour le personnel, un pour l'IoT. Troisièmement, vous associez chaque SSID à son VLAN correspondant. Quatrièmement, vous configurez vos règles de pare-feu pour imposer l'isolation des zones. Cinquièmement, vous pointez votre SSID invité vers le Captive Portal de Purple. Sixièmement, vous configurez votre SSID personnel pour qu'il s'authentifie auprès de votre serveur RADIUS, qui interroge à son tour votre fournisseur d'identité. Voilà pour la structure. Les détails font toute la différence. [courte pause] Concernant la gestion de la bande passante : les réseaux invités ont besoin de politiques de QoS - Quality of Service - pour éviter qu'un seul appareil ne sature votre liaison montante. Un point de départ raisonnable est de 10 mégabits par seconde en téléchargement et 5 mégabits par seconde en téléversement par appareil, avec une limite stricte au niveau du SSID. Pour les sites à forte densité - stades, centres de conférence - vous devrez envisager le band steering pour orienter les appareils compatibles vers la bande 5 gigahertz, et potentiellement 6 gigahertz si vos points d'accès prennent en charge le WiFi 6E. Concernant le DNS : votre VLAN invité doit utiliser un résolveur DNS qui filtre les domaines malveillants. Ce n'est pas optionnel si vous êtes dans le secteur de la santé ou de l'éducation - c'est une protection contre l'utilisation de votre réseau pour accéder à des contenus nuisibles. L'option Purple Shield fournit cette fonctionnalité directement au niveau de la plateforme. [courte pause] Section trois : les pièges de mise en œuvre et comment les éviter. Premier piège : les réseaux plats. Je vois encore cela dans les environnements de vente au détail. Un seul SSID, un seul sous-réseau, les invités et les terminaux de point de vente sur le même domaine de diffusion. Cela ne respecte pas l'exigence 1.3 de la norme PCI-DSS, qui impose une segmentation réseau entre les réseaux non approuvés et l'environnement des données de titulaires de cartes. Corrigez cela avec des VLAN avant votre prochaine visite de QSA. Deuxième piège : les certificats auto-signés sur les portails captifs. Lorsqu'un invité se connecte à votre réseau et que son navigateur affiche un avertissement de certificat, soit il clique pour passer outre - ce qui l'habitue à ignorer les avertissements de sécurité - soit il quitte la page. Utilisez un certificat TLS valide provenant d'une autorité de certification reconnue sur votre Captive Portal. Let's Encrypt est gratuit. Il n'y a aucune excuse. Troisième piège : pas d'expiration de session. Les sessions invités doivent expirer. Une expiration de session de 24 heures est raisonnable pour l'hôtellerie. Une expiration de 4 heures est appropriée pour le commerce de détail. Sans expiration, un appareil connecté il y a six mois possède toujours une session active - et apparaît potentiellement toujours dans vos analyses en tant que "visiteur". Quatrième piège : l'absence de journaux d'accès. Le GDPR et la plupart des réglementations nationales sur les télécommunications vous obligent à conserver les journaux de connexion - adresse IP, adresse MAC, horodatage, durée de la session - pendant une période définie. Purple les conserve automatiquement et les exporte dans des formats compatibles avec les requêtes des forces de l'ordre. Si vous utilisez un Captive Portal DIY, assurez-vous que votre journalisation est configurée et que votre politique de conservation est documentée. [courte pause] Section quatre : questions-réponses rapides. Ai-je besoin d'un SSID séparé pour les appareils IoT ? Oui. Les appareils IoT sont le vecteur le plus courant pour les attaques par mouvement latéral. Isolez-les. Puis-je utiliser un seul point d'accès pour les invités et le personnel ? Oui, s'il prend en charge plusieurs SSID mappés sur différents VLANs. La plupart des points d'accès d'entreprise le font. Assurez-vous simplement que le port de coffre (trunk) sur le commutateur est configuré correctement. Le WPA3 bloque-t-il les appareils plus anciens ? Certains appareils plus anciens ne prennent pas en charge le WPA3. Configurez votre SSID en mode de transition WPA2/WPA3 pour maintenir la compatibilité descendante tout en offrant le WPA3 aux appareils compatibles. Quelle est la différence entre Passpoint et un Captive Portal ? Passpoint - également connu sous le nom de Hotspot 2.0 - permet aux appareils de se connecter automatiquement à l'aide d'un identifiant pré-provisionné, sans interaction avec un Captive Portal. C'est l'idéal pour les visiteurs fréquents ou les membres de programmes de fidélité. Purple prend en charge Passpoint et OpenRoaming, qui étend la connexion automatique à travers un réseau fédéré de sites participants. [courte pause] Section cinq : résumé et étapes suivantes. Voici ce que vous devez retenir de ce briefing. Premièrement : segmentez votre réseau. Invités, personnel, IoT et LAN d'entreprise sur des VLANs séparés avec des règles de pare-feu explicites entre eux. C'est l'action la plus efficace que vous puissiez entreprendre pour la sécurité et la conformité. Deuxièmement : déployez le WPA3 là où votre matériel le prend en charge. Le WPA3 Enterprise pour le personnel. Le WPA3 Enhanced Open ou un Captive Portal pour les invités. Troisièmement : rendez votre Captive Portal conforme au GDPR. Séparez l'accès au réseau du consentement marketing. Utilisez des opt-ins à choix conscient. Conservez les journaux de connexion. Quatrièmement : utilisez une solution cloud indépendante du matériel (hardware-agnostic) comme Purple. Elle vous offre une expérience invité cohérente sur l'ensemble de votre parc, quel que soit le fournisseur de points d'accès que vous utilisez. Et elle transforme votre WiFi invité d'un centre de coûts en une source de données de première partie. Cinquièmement : mesurez-le. La plateforme d'analyse de Purple vous fournit des données de fréquentation, des temps de séjour, des taux de retour et des informations démographiques - le tout dérivé des données de connexion WiFi. C'est le genre d'informations qui justifie l'investissement dans l'infrastructure auprès d'un conseil d'administration qui ne se soucie pas des VLANs mais se soucie des revenus. [courte pause] Si vous souhaitez approfondir l'un de ces sujets, le guide écrit complet est disponible sur le site web de Purple. Il couvre la configuration VLAN, la configuration RADIUS, la cartographie des données GDPR, ainsi que des exemples concrets de déploiements dans les secteurs de l'hôtellerie, du commerce de détail et des stades. Merci d'avoir écouté le Purple Technical Brief. À bientôt pour le prochain.

header_image.png

Synthèse

Le WiFi invité n'est plus un aspect secondaire de l'informatique ; c'est une infrastructure d'entreprise critique. À travers plus de 80 000 sites actifs dans le monde, l'absence de sécurisation et de segmentation de l'accès sans fil entraîne directement des manquements à la conformité PCI-DSS, des violations de données et une mauvaise expérience pour les visiteurs. Ce guide détaille l'architecture exacte requise pour isoler le trafic invité des ressources de l'entreprise tout en offrant une connectivité transparente et une collecte de données conforme. Nous abordons la segmentation VLAN, l'implémentation de WPA3, l'authentification RADIUS pour les réseaux du personnel et les exigences légales relatives aux portails captifs en vertu du GDPR. Que vous déployiez Cisco Meraki, HPE Aruba ou Ubiquiti UniFi, les principes des réseaux basés sur l'identité s'appliquent. En traitant le WiFi invité comme un service de classe entreprise, vous éliminez les risques de sécurité et créez un canal sécurisé pour la collecte de données propriétaires.

Écouter le briefing audio

Analyse technique approfondie : Architecture et normes

Segmentation du réseau et conception des VLAN

La base d'un WiFi d'entreprise sécurisé repose sur une segmentation stricte du réseau. Vous devez isoler les appareils non approuvés de votre infrastructure d'entreprise au niveau de la couche réseau. Les réseaux plats - où les invités, le personnel et les systèmes de point de vente partagent un domaine de diffusion - constituent un risque de sécurité majeur et un échec immédiat par rapport à l'exigence 1.3 de PCI-DSS.

Un déploiement d'entreprise nécessite au moins trois VLAN (Virtual Local Area Networks) distincts :

  1. WiFi Invité (ex. VLAN 10) : Accès Internet uniquement. Complètement isolé des ressources internes.
  2. WiFi Personnel (ex. VLAN 20) : Accès authentifié pour les appareils de l'entreprise, offrant une route vers les applications internes.
  3. WiFi IoT (ex. VLAN 30) : Segment dédié aux systèmes de gestion technique de bâtiment, aux capteurs et aux imprimantes.

Si votre site traite des paiements, vous devez maintenir un réseau local d'entreprise distinct (ex. VLAN 1) pour l'environnement des données de titulaires de carte (CDE). Des règles de pare-feu d'état doivent explicitement bloquer le trafic provenant des VLAN Invité ou IoT à destination des VLAN Personnel ou Entreprise. Cette segmentation réduit votre périmètre de conformité PCI et limite les mouvements latéraux en cas de faille.

vlan_segmentation_architecture.png

Normes de chiffrement sans fil

La Wi-Fi Alliance a ratifié le WPA3 pour remplacer le WPA2, corrigeant des vulnérabilités critiques comme l'attaque KRACK. Le WPA3 introduit l'authentification simultanée d'égaux (SAE), qui empêche les attaques par dictionnaire hors ligne contre les handshakes capturés.

Pour le Guest WiFi , déployez le WPA3 Enhanced Open (Opportunistic Wireless Encryption ou OWE). Cela chiffre le trafic entre l'appareil client et le point d'accès sans nécessiter de mot de passe partagé, empêchant ainsi le sniffing de paquets passif sur les réseaux ouverts.

Pour le WiFi du personnel, déployez le WPA3 Enterprise. Celui-ci utilise le 802.1X pour le contrôle d'accès réseau basé sur les ports, en authentifiant chaque appareil individuellement avant d'accorder l'accès.

Authentification et Identité

L'authentification d'entreprise s'appuie sur un serveur RADIUS interrogeant un fournisseur d'identité comme Microsoft Entra ID, Okta ou Google Workspace. Lorsqu'un appareil du personnel tente de se connecter, il présente des identifiants via une méthode EAP (Extensible Authentication Protocol). L'EAP-TLS, qui utilise une authentification mutuelle basée sur des certificats, est l'approche la plus sécurisée pour les appareils gérés.

Pour les invités, le 802.1X n'est pas pratique. À la place, vous déployez un Captive Portal. Cette page web intercepte la requête HTTP initiale de l'invité et lui demande de s'authentifier ou d'accepter les conditions avant que le pare-feu n'autorise l'accès à Internet. Purple fournit un cloud overlay indépendant du matériel qui gère cette couche de Captive Portal pour tous les principaux fournisseurs de matériel.

Guide d'Implémentation

Le déploiement d'un réseau invité sécurisé nécessite une coordination entre vos commutateurs principaux, vos contrôleurs sans fil et votre plateforme de Captive Portal. Suivez cette séquence pour un déploiement standard :

  1. Configurer les VLANs : Définissez vos VLANs Invité, Personnel et IoT sur votre infrastructure de commutateurs principaux.
  2. Établir des Règles de Pare-feu : Implémentez des règles avec état sur votre pare-feu périphérique pour refuser le routage inter-VLAN depuis les segments non approuvés.
  3. Créer des SSIDs : Sur votre contrôleur sans fil (par exemple, Cisco Meraki, HPE Aruba, Juniper Mist), créez des SSIDs distincts associés aux balises VLAN correspondantes.
  4. Configurer l'Authentification Invité : Orientez votre SSID Invité vers l'URL du Captive Portal de Purple et ses serveurs RADIUS. Cela délègue l'authentification des invités et la capture des données vers le cloud overlay.
  5. Configurer l'Authentification du Personnel : Orientez votre SSID Personnel vers votre serveur RADIUS interne ou cloud, en l'intégrant à votre fournisseur d'identité principal.
  6. Appliquer des Limites de Bande Passante : Implémentez des politiques de qualité de service (QoS) sur le SSID Invité. Une base de 10 Mbps en téléchargement et 5 Mbps en envoi par client empêche un seul utilisateur de saturer la liaison montante.

Bonnes Pratiques et Conformité

GDPR et Collecte de Données

Si vous collectez des données personnelles via un Captive Portal, vous devez vous conformer au GDPR et aux lois locales sur la protection de la vie privée. La base légale pour le traitement des données des invités est presque toujours le consentement. Le consentement doit être donné librement, être spécifique, éclairé et sans ambiguïté. Vous ne pouvez pas lier le consentement marketing à l'accès au réseau, et vous ne pouvez pas utiliser de cases pré-cochées. Mettez en œuvre des opt-ins basés sur un choix conscient. L'utilisateur doit choisir activement de fournir ses données à des fins de marketing, indépendamment de son acceptation des conditions d'utilisation du réseau. La plateforme de Purple impose cette conformité par défaut, garantissant que les données de première partie que vous collectez sont juridiquement valides et témoignent d'une forte intention.

Filtrage de contenu et DNS

Les réseaux invités représentent un risque si les utilisateurs accèdent à des contenus illégaux ou malveillants. Configurez votre VLAN invité pour utiliser un résolveur DNS sécurisé qui bloque les domaines de logiciels malveillants connus et les contenus pour adultes. Le module complémentaire Purple Shield fournit un filtrage de contenu au niveau DNS directement intégré à la plateforme.

Dépannage et atténuation des risques

Le piège du réseau plat

Risque : Déployer un seul SSID pour tous les utilisateurs, ou associer plusieurs SSIDs au même sous-réseau. Atténuation : Auditez les configurations de vos commutateurs. Assurez-vous que chaque SSID redirige le trafic vers un VLAN distinct, et vérifiez que votre pare-feu rejette les paquets tentant de passer du sous-réseau invité au sous-réseau de l'entreprise.

Erreurs de certificat du Captive Portal

Risque : Les invités rencontrent des avertissements de navigateur lorsque le Captive Portal intercepte leur trafic à l'aide d'un certificat auto-signé. Atténuation : Utilisez toujours un certificat TLS valide provenant d'une autorité de certification (CA) publique de confiance pour le domaine de votre Captive Portal. Purple gère cela automatiquement pour les portails hébergés.

Durées de session infinies

Risque : Les appareils des invités restent authentifiés indéfiniment, ce qui fausse les analyses et consomme des adresses IP. Atténuation : Configurez une expiration de session stricte sur le Captive Portal. Une expiration de 24 heures convient à l'hôtellerie ; une expiration de 4 heures est préférable pour le Retail .

ROI et impact commercial

Le WiFi invité est un investissement dans les données de première partie. En déployant un Captive Portal sécurisé et conforme, vous transformez un centre de coûts informatiques en un actif marketing. La plateforme de Purple traite 440 millions de connexions par an, transformant des visiteurs anonymes en profils clients connus.

guest_wifi_analytics_dashboard.png

Avec une segmentation appropriée, vous réduisez la portée et le coût des audits PCI-DSS. Avec le WPA3 et le filtrage DNS, vous limitez les risques de violation de données. Et avec WiFi Analytics , vous gagnez en visibilité sur la fréquentation, le temps de présence et les taux de retour. Par exemple, McDonald's a utilisé les analyses de Purple pour réduire de 90 % les visites sur site des ingénieurs informatiques physiques, tandis que Harrods a obtenu un ROI de 57x en intégrant les données WiFi à son programme de fidélité.

Définitions clés

VLAN (Virtual Local Area Network)

Un regroupement logique de périphériques réseau qui agissent comme s'ils se trouvaient sur leur propre réseau indépendant, quel que soit leur emplacement physique.

Utilisé pour isoler le trafic invité du trafic d'entreprise sur les mêmes points d'accès physiques et commutateurs.

802.1X

Une norme IEEE pour le contrôle d'accès réseau basé sur les ports qui authentifie les appareils avant qu'ils ne puissent rejoindre le réseau.

La référence absolue en matière de sécurité WiFi pour le personnel, empêchant les appareils non autorisés d'accéder au LAN de l'entreprise.

RADIUS

Remote Authentication Dial-In User Service ; un protocole qui fournit une authentification, une autorisation et une traçabilité centralisées.

Le serveur qui se situe entre vos points d'accès WiFi et votre fournisseur d'identité pour valider les informations d'identification du personnel.

Captive Portal

Une page web que l'utilisateur d'un réseau public est obligé de consulter et avec laquelle il doit interagir avant de pouvoir accéder à Internet.

Le mécanisme utilisé pour collecter les données des invités, présenter les conditions d'utilisation et appliquer des limites de bande passante.

WPA3

Wi-Fi Protected Access 3 ; le dernier programme de certification de sécurité développé par la Wi-Fi Alliance.

Remplace le WPA2 pour offrir un chiffrement plus fort et protéger contre les attaques par dictionnaire hors ligne.

PCI-DSS

Payment Card Industry Data Security Standard ; une norme de sécurité de l'information pour les organisations qui gèrent les cartes de crédit de marque.

Exige une segmentation réseau stricte afin d'isoler le trafic WiFi invité des systèmes de point de vente.

Passpoint (Hotspot 2.0)

Une norme qui permet aux appareils mobiles de découvrir et de se connecter automatiquement aux réseaux WiFi à l'aide d'identifiants pré-provisionnés.

Offre une expérience d'itinérance fluide, similaire au réseau cellulaire, pour les visiteurs fréquents sans nécessiter de connexions répétées au Captive Portal.

First-Party Data

Informations qu'une entreprise collecte directement auprès de ses clients et dont elle est entièrement propriétaire.

La principale valeur commerciale du WiFi invité ; collecter des coordonnées propres et conformes pour enrichir les systèmes CRM.

Exemples concrets

Un hôtel de 200 chambres doit déployer un WiFi sécurisé pour les clients, le personnel et de nouveaux thermostats intelligents IoT. Ils exploitent actuellement un réseau plat sur du matériel HPE Aruba. Comment doivent-ils réarchitecturer le réseau pour atteindre la conformité PCI-DSS et sécuriser les appareils IoT ?

  1. Créez trois nouveaux VLANs sur le commutateur central : VLAN 10 (Invités), VLAN 20 (Personnel), VLAN 30 (IoT), en laissant le VLAN 1 pour le LAN d'entreprise (PMS et terminaux de paiement).
  2. Configurez le pare-feu périphérique pour bloquer tout le trafic des VLANs 10 et 30 vers les VLANs 1 et 20.
  3. Sur le contrôleur Aruba, créez trois SSIDs. Associez "Hotel_Guest" au VLAN 10, "Hotel_Staff" au VLAN 20, et un SSID masqué "Hotel_IoT" au VLAN 30.
  4. Configurez "Hotel_Guest" avec WPA3 Enhanced Open et dirigez-le vers le Captive Portal de Purple pour une intégration conforme au GDPR.
  5. Configurez "Hotel_Staff" avec WPA3 Enterprise, en vous authentifiant auprès d'un serveur RADIUS lié à Microsoft Entra ID.
  6. Configurez "Hotel_IoT" avec WPA3 Personal en utilisant un mot de passe fort et complexe (ou PPSK si supporté), car les appareils IoT ne prennent généralement pas en charge le 802.1X.
Commentaire de l'examinateur : Cette approche isole correctement le trafic invité non approuvé et le trafic IoT hautement vulnérable des systèmes de l'entreprise. En déplaçant les systèmes de paiement vers un VLAN isolé, l'hôtel réduit considérablement son champ d'application de conformité PCI-DSS. L'utilisation d'un Captive Portal garantit la conformité légale pour la collecte des données des invités.

Une chaîne nationale de vente au détail de 500 points de vente souhaite collecter les adresses e-mail de ses clients via le WiFi invité pour développer son programme de fidélité. Elle prévoit de rendre la saisie de l'e-mail obligatoire pour accéder à Internet. Est-ce conforme, et comment cela doit-il être mis en œuvre avec Cisco Meraki ?

  1. Rendre la saisie de l'e-mail obligatoire à des fins de marketing enfreint les règles de consentement du GDPR. Le consentement doit être donné librement et ne peut être une condition d'accès au service.
  2. Implémentez un Captive Portal avec des options de consentement explicites. L'utilisateur doit pouvoir se connecter en acceptant uniquement les Conditions d'utilisation. Une case à cocher distincte, non pré-cochée, doit être fournie pour le consentement marketing.
  3. Dans le tableau de bord Meraki, configurez le paramètre "Splash page" du SSID invité sur "Click-through" ou "Sign-on with custom RADIUS".
  4. Saisissez les adresses IP et les secrets partagés du serveur RADIUS Purple dans la configuration Meraki.
  5. Définissez l'URL de splash personnalisée ("Custom splash URL") sur l'adresse du portail Purple.
  6. Dans le tableau de bord Purple, concevez la splash page pour inclure les cases à cocher de consentement séparées requises et configurez l'intégration pour envoyer directement les e-mails des clients ayant consenti vers le CRM du détaillant.
Commentaire de l'examinateur : Cette solution identifie correctement la violation du GDPR dans le plan proposé. En dissociant l'accès au réseau du consentement marketing, le détaillant garantit sa conformité. Les étapes techniques décrivent avec précision le modèle d'intégration standard pour Meraki et les Captive Portals externes.

Questions d'entraînement

Q1. Votre site met à niveau son infrastructure sans fil pour prendre en charge les points d'accès Wi-Fi 6E. L'équipe marketing souhaite implémenter un Captive Portal obligeant les utilisateurs à se connecter avec leur compte Facebook ou Google afin de collecter des données démographiques. L'équipe informatique s'inquiète de la sécurité. Quelle est la bonne approche d'implémentation ?

Conseil : Pensez à la différence entre les méthodes d'authentification et les mécanismes de collecte de données.

Voir la réponse type

Déployez les nouveaux points d'accès avec WPA3 Enhanced Open sur le SSID invité pour garantir le chiffrement du trafic. Implémentez un Captive Portal offrant la connexion via réseau social (OAuth) en option, tout en veillant à minimiser les données demandées au fournisseur social à ce qui est strictement nécessaire. Vous devez également proposer une méthode de connexion alternative (par exemple, un formulaire simple) pour les utilisateurs qui ne souhaitent pas utiliser la connexion sociale, garantissant ainsi que le consentement reste librement donné conformément au GDPR.

Q2. Un stade de 50 000 places subit une grave dégradation du réseau pendant la mi-temps. Les visiteurs se plaignent de ne pas pouvoir se connecter au WiFi, et l'utilisation du CPU du commutateur central grimpe à 95 %. Quelles modifications de configuration devriez-vous implémenter ?

Conseil : Examinez le trafic de diffusion (broadcast) et la gestion de la bande passante.

Voir la réponse type
  1. Implémentez l'isolation des clients (isolation de niveau 2) sur le SSID invité pour empêcher les appareils de communiquer entre eux, réduisant ainsi le trafic de diffusion. 2. Appliquez des limites strictes de bande passante QoS par client (par exemple, 5 Mbps) pour éviter que quelques utilisateurs ne saturent la liaison montante. 3. Activez le band steering pour orienter les clients vers la bande 5 GHz, réduisant ainsi la congestion sur le spectre 2.4 GHz. 4. Réduisez la durée du bail DHCP à 30 minutes pour libérer rapidement les adresses IP dans un environnement à forte rotation.

Q3. Lors d'un audit PCI-DSS, l'auditeur note que les points d'accès WiFi invités sont branchés sur le même commutateur physique que les terminaux de point de vente. L'auditeur menace de recaler l'audit. Comment résoudre ce problème sans acheter de nouveaux commutateurs physiques ?

Conseil : La séparation physique n'est pas le seul moyen d'obtenir une isolation.

Voir la réponse type

Implémentez une segmentation logique à l'aide de VLAN. Attribuez les ports du commutateur connectés aux points d'accès à un VLAN invité dédié (par exemple, VLAN 10). Attribuez les ports connectés aux terminaux de point de vente au VLAN d'entreprise (par exemple, VLAN 1). Configurez le port de liaison montante vers le pare-feu comme un port trunk acheminant les deux VLAN. Enfin, configurez des règles de pare-feu dynamique (stateful) pour interdire explicitement tout routage entre le VLAN 10 et le VLAN 1.

Continuer la lecture de cette série

Comment configurer un WiFi invité : Le guide de segmentation des réseaux d'entreprise

Ce guide détaille l'architecture technique, les normes d'authentification et la méthodologie de déploiement nécessaires pour concevoir un réseau WiFi d'entreprise sécurisé et segmenté. Vous apprendrez à implémenter le modèle à trois SSID, à déployer le protocole 802.1X pour l'authentification du personnel, à configurer des portails captifs conformes au GDPR pour l'accès des invités, et à réduire la portée de votre conformité PCI DSS.

Lire le guide →

Comment limiter le temps de connexion et la bande passante sur un WiFi invité

Un guide de référence technique faisant autorité sur la mise en œuvre de restrictions de temps et de bande passante sur les réseaux WiFi invités d'entreprise. Ce guide fournit des schémas d'architecture exploitables, des configurations neutres vis-à-vis des fournisseurs et des études de cas réelles pour aider les responsables informatiques à équilibrer performances réseau, conformité de sécurité et expérience des visiteurs.

Lire le guide →

Monetizing Guest WiFi Through Data Analytics and Splash Pages

This authoritative guide provides IT managers, network architects, and CTOs with a comprehensive technical framework for transforming guest WiFi from a cost centre into a high-yield first-party data asset. It outlines network architecture, data analytics integration, captive portal optimization, and global compliance strategies to drive measurable venue revenue.

Lire le guide →