PPSK vs iPSK : comparaison des fonctionnalités et des modèles de déploiement

[0:00 - 1:00] Introduction et contexte Bienvenue dans ce briefing technique Purple. Aujourd'hui, nous abordons le PPSK - Private Pre-Shared Key - plus particulièrement dans le contexte des déploiements résidentiels multi-locataires et à usage mixte. Si vous êtes un promoteur immobilier, un opérateur de Build-to-Rent ou si vous gérez un portefeuille de logements étudiants, cela concerne directement les décisions que vous prendrez cette année. Commençons par les bases, car la terminologie ici est véritablement déroutante. Le PPSK porte plusieurs noms selon le fournisseur auquel vous vous adressez. Aruba l'appelle PPSK. Cisco Meraki l'appelle Personal Private Network. Extreme Networks utilise le terme Private PSK. Juniper Mist et Cambium utilisent ePSK. Ubiquiti UniFi l'appelle Private Pre-Shared Keys. Ils décrivent tous le même concept : au lieu que chaque utilisateur partage un mot de passe unique, chaque utilisateur ou groupe obtient son propre identifiant unique. [1:00 - 6:00] Analyse technique approfondie Pourquoi cela a-t-il de l'importance ? Pensez à un mot de passe partagé traditionnel sur le WiFi d'un immeuble. Chaque résident utilise la même clé. Lorsque quelqu'un déménage, vous avez deux choix : soit vous laissez son accès actif, ce qui pose un problème de sécurité, soit vous changez le mot de passe pour tout le monde, ce qui déconnecte les appareils de tous les autres résidents jusqu'à ce qu'ils se reconnectent. Aucune de ces options n'est acceptable à grande échelle. Le PPSK élimine entièrement ce problème. Vous révoquez une clé, un résident perd l'accès. Tous les autres ne sont absolument pas impactés. Il existe trois modèles de déploiement distincts qu'il convient de comprendre, et choisir le mauvais modèle pour votre contexte vous coûtera cher sur le plan opérationnel. Le premier est le PSK partagé standard - le mot de passe unique traditionnel pour tout le monde. C'est le plus simple à configurer et cela convient parfaitement pour un réseau domestique. Dans un immeuble multi-locataires, il est pratiquement inutilisable à une échelle significative. Un seul mot de passe divulgué compromet l'ensemble du réseau. Pas d'isolation VLAN entre les résidents. Pas de révocation individuelle. À éviter. Le deuxième modèle est le PPSK au niveau du groupe. Ici, vous attribuez un mot de passe unique à chaque groupe - peut-être chaque étage, chaque département dans un immeuble de bureaux, ou chaque propriété d'un portefeuille. Cela vous offre une segmentation VLAN au niveau du groupe et une révocation au niveau du groupe. Cela fonctionne bien pour les événements, les conférences et les environnements de bureau où vous souhaitez une séparation par département sans la complexité par utilisateur. La charge opérationnelle est faible, et vous n'avez pas nécessairement besoin d'un serveur RADIUS - de nombreux points d'accès gèrent nativement le PPSK de groupe. Le troisième modèle - et celui que nous recommandons pour le BTR, les logements étudiants et tout déploiement résidentiel - est l'iPSK par utilisateur. Identity Pre-Shared Key. Chaque résident reçoit son propre identifiant unique. Leurs appareils utilisent tous cet identifiant unique, ce qui les place dans leur propre VLAN privé - leur propre bulle WiFi. Leur téléphone voit leur smart TV, leur ordinateur portable voit leur Chromecast, leur enceinte connectée s'associe à leurs lumières. Mais ils ne peuvent voir les appareils d'aucun autre résident, même s'ils sont tous sur le même point d'accès physique et le même SSID. C'est cette architecture qui permet au WiFi géré de fonctionner véritablement comme un équipement résidentiel de choix. L'expérience du résident est identique à celle d'un routeur haut débit personnel à domicile. L'opérateur conserve le contrôle total de l'infrastructure. Laissez-moi vous présenter l'architecture technique, car sa compréhension vous aidera à poser les bonnes questions aux fournisseurs et aux intégrateurs. Dans un déploiement PPSK sans RADIUS, le point d'accès lui-même contient une base de données locale de clés et de leurs attributions VLAN associées. Lorsqu'un appareil se connecte, le point d'accès recherche la clé, identifie le VLAN auquel elle correspond et y place l'appareil. Cela fonctionne bien pour les petits déploiements - jusqu'à quelques centaines de clés sur la plupart des points d'accès d'entreprise. Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme et Fortinet prennent tous en charge une variante de cette solution. Pour les déploiements plus importants - un immeuble de deux cents logements à louer, une résidence étudiante de mille lits - vous aurez besoin de PPSK s'appuyant sur un serveur RADIUS. Le point d'accès transmet l'identifiant au serveur RADIUS, qui le valide par rapport à un annuaire, renvoie l'attribution VLAN appropriée, et le point d'accès place l'appareil en conséquence. Cette solution s'adapte à des dizaines de milliers de clés, s'intègre à des fournisseurs d'identité tels que Microsoft Entra ID, Okta ou Google Workspace, et vous offre une journalisation centralisée des audits - ce qui est important pour la conformité GDPR. En parlant de conformité - c'est un domaine où le choix du modèle de déploiement a de réelles implications juridiques. En vertu du GDPR, vous avez l'obligation de protéger les données des résidents. Si le résident A peut voir le trafic réseau du résident B, il s'agit d'un problème de protection des données. L'isolation VLAN par utilisateur, fournie par iPSK, est le mécanisme technique qui permet de remplir cette obligation. Ce n'est pas seulement un atout supplémentaire ; c'est une exigence de conformité dans tout contexte résidentiel où vous traitez des données personnelles. Le PCI DSS est pertinent si vous effectuez des traitements de paiement sur la même infrastructure réseau - un espace de vente au détail dans un projet à usage mixte, par exemple. La segmentation VLAN isole le trafic de paiement du trafic résidentiel, ce qui constitue une exigence fondamentale de la norme PCI DSS. L'IEEE 802.1X est la norme sous-jacente pour le contrôle d'accès réseau basé sur les ports, et bien que le 802.1X complet avec EAP-TLS et certificats soit la référence absolue en matière de sécurité d'entreprise, le PPSK avec RADIUS est un compromis pragmatique qui offre la plupart des avantages de sécurité avec une complexité de déploiement nettement inférieure. [6:00 - 8:00] Recommandations de mise en œuvre et pièges Laissez-moi maintenant vous présenter deux scénarios concrets, car la théorie a ses limites. Premier scénario : une tour résidentielle de deux cent cinquante appartements à louer dans un centre-ville. Le promoteur souhaite que le WiFi soit inclus dans le loyer mensuel en tant que service haut de gamme. Les résidents s'attendent à ce que leurs appareils domestiques intelligents fonctionnent - Sonos, Philips Hue, Amazon Echo, téléviseurs intelligents, consoles de jeux. Ils s'attendent à pouvoir ajouter de nouveaux appareils sans avoir à appeler un service d'assistance. Et ils s'attendent à ce que leur voisin ne puisse pas voir leur trafic réseau. La bonne architecture ici consiste à utiliser un seul SSID dans tout le bâtiment, soutenu par iPSK avec RADIUS. Chaque résident reçoit une clé unique lors de son aménagement - transmise via une application résidentielle ou un code QR dans son pack de bienvenue. Tous ses appareils utilisent cette clé. Le serveur RADIUS associe la clé à un VLAN dédié par logement. Lorsqu'il déménage, la clé est révoquée dans la plateforme de gestion. Le résident suivant reçoit une nouvelle clé. Aucun changement de mot de passe, aucune perturbation pour les autres résidents. Le matériel fonctionne sur n'importe quels points d'accès déjà spécifiés - Cisco Meraki, HPE Aruba, Ruckus ou Ubiquiti UniFi sont tous courants dans ce secteur. La plateforme de Purple s'intègre comme une surcouche cloud, gérant le cycle de vie des clés, les attributions de VLAN et l'intégration des résidents sans nécessiter une mise à niveau complète de l'infrastructure physique. Deuxième scénario : un développement à usage mixte avec des commerces au rez-de-chaussée, un espace de coworking aux deuxième et troisième étages, et des logements à partir du quatrième étage. Vous avez trois populations d'utilisateurs distinctes avec des exigences réseau complètement différentes. Les commerces ont besoin d'un isolement des paiements conforme à la norme PCI-DSS. Les membres du coworking ont besoin d'une fiabilité de niveau professionnel et d'une compatibilité VPN. Les résidents ont besoin de l'expérience de réseau domestique que nous venons de décrire. Ici, vous utiliseriez généralement trois SSIDs - un par population - ou un seul SSID avec PPSK et une attribution de VLAN basée sur les rôles pour séparer les trois groupes. L'approche à trois SSIDs est plus propre sur le plan opérationnel et s'adapte plus naturellement aux différents flux d'intégration. Le personnel des commerces utilise le 802.1X avec des identifiants d'entreprise. Les membres du coworking reçoivent un PPSK au niveau du groupe par entreprise. Les résidents reçoivent un iPSK par logement. Les trois populations partagent la même infrastructure physique de points d'accès, mais leur trafic ne se croise jamais. Laissez-moi aborder les pièges de mise en œuvre les plus courants, car je vois les mêmes erreurs se répéter. Le premier est de sous-estimer la densité des appareils. Un bâtiment de deux cents logements ne compte pas deux cents appareils connectés au WiFi. Il en compte trois mille à cinq mille. Quinze à vingt-cinq appareils par foyer est la moyenne actuelle, et ce chiffre augmente chaque année avec l'adoption croissante de la domotique. Votre étendue DHCP, le dimensionnement de votre sous-réseau VLAN et la planification de la capacité de vos points d'accès doivent tous en tenir compte. Le deuxième piège consiste à choisir le PPSK sans RADIUS pour un grand déploiement afin d'économiser des coûts, pour découvrir ensuite que la base de données locale des clés du point d'accès a une limite stricte. Pour tout projet de plus de cent logements, prévoyez un budget pour un serveur RADIUS dès le départ. Les services RADIUS hébergés dans le cloud éliminent la charge de l'infrastructure sur site. Le troisième piège consiste à négliger la bande de deux virgule quatre gigahertz. Vous voulez orienter les résidents vers le cinq gigahertz et le six gigahertz pour les performances. Mais les appareils IoT - prises intelligentes, capteurs plus anciens, certains haut-parleurs intelligents - ne prennent souvent en charge que le deux virgule quatre gigahertz. Votre configuration PPSK doit gérer les deux bandes. Le quatrième piège est le processus de départ des résidents. Le PPSK ne délivre ses avantages opérationnels que si le processus de révocation des clés est réellement exécuté au moment du départ. Si votre système de gestion immobilière ne s'intègre pas à votre plateforme de gestion de réseau, les clés s'accumulent. Automatisez le flux de révocation grâce à une intégration entre votre système de gestion des locations et votre plateforme de gestion WiFi. [8:00 - 9:00] Questions-Réponses Rapides Voici quelques questions rapides que l'on me pose régulièrement. Dois-je remplacer mes points d'accès existants pour déployer le PPSK ? Dans la plupart des cas, non. Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme Networks et Fortinet prennent tous en charge les variantes PPSK ou iPSK sur les micrologiciels actuels. Le PPSK est-il aussi sécurisé que le 802.1X avec des certificats ? Non. Un système 802.1X complet avec EAP-TLS et certificats numériques est plus sécurisé. Mais pour les déploiements résidentiels où vous accueillez des résidents non techniques avec des appareils grand public, le PPSK avec RADIUS est le choix pragmatique qui offre une sécurité adéquate avec une complexité opérationnelle gérable. Qu'en est-il du WPA3 ? Le PPSK peut fonctionner sur WPA3-Personal, et vous devriez l'activer lorsque le matériel de vos points d'accès le prend en charge. L'utilisation d'un mode de transition prenant en charge à la fois les clients WPA2 et WPA3 sur le même SSID est l'approche standard pendant la période de transition. [9:00 - 10:00] Résumé et Prochaines Étapes Pour résumer : le cadre de décision est simple. Si vous déployez le WiFi dans un contexte résidentiel multi-locataires - BTR, logement étudiant, logement social - vous voulez de l'iPSK par utilisateur avec RADIUS. Si vous déployez pour des événements, des conférences ou de la segmentation de départements de bureaux, un PPSK au niveau du groupe sans RADIUS est souvent suffisant. Si vous utilisez encore un mot de passe partagé unique pour un bâtiment multi-locataires, cela doit changer cette année. Les avantages opérationnels sont mesurables. Un déploiement BTR géré avec iPSK voit généralement le volume de tickets de support chuter de plus de quatre-vingt-dix pour cent par rapport aux déploiements non gérés ou avec PSK partagé. La gestion des identifiants lors des départs passe d'un événement perturbateur à l'échelle du bâtiment à une simple entrée dans une base de données. Merci d'avoir écouté ce briefing technique de Purple. Si vous souhaitez approfondir l'architecture, visitez purple dot ai. Si vous avez des questions sur votre déploiement spécifique, contactez l'un de nos architectes réseau.