Qu'est-ce que Cloud RADIUS ? Le guide complet du RADIUS as a Service

Ce guide complet explore Cloud RADIUS (RADIUS as a Service), en détaillant son architecture, ses méthodes EAP et ses stratégies de déploiement. Il fournit aux responsables informatiques des conseils pratiques pour migrer de serveurs sur site vers un modèle d'authentification cloud évolutif, sécurisé et conforme.

📖 5 min de lecture📝 1,077 mots🔧 2 exemples concrets❓ 3 questions d'entraînement📚 8 définitions clés

Écouter ce guide

Voir la transcription du podcast

Qu'est-ce que Cloud RADIUS ? Le guide complet du RADIUS as a Service.

Bienvenue dans le podcast Purple WiFi Intelligence. Je suis votre hôte, et nous vous proposons aujourd'hui un décryptage approfondi de Cloud RADIUS : sa définition, son fonctionnement interne et, surtout, comment évaluer si cette solution est adaptée à votre entreprise pour ce trimestre. Que vous gériez un groupe hôtelier, un parc de points de vente, un stade ou un réseau du secteur public, cet épisode s'adresse à vous.

Plantons le décor.

Introduction et contexte.

Si vous avez déjà dû expliquer à un conseil d'administration pourquoi votre serveur d'authentification réseau est tombé en panne à 2 heures du matin (et pourquoi il a fallu trois heures pour le rétablir), vous comprenez déjà le problème fondamental que résout Cloud RADIUS. L'infrastructure RADIUS sur site traditionnelle est performante, mais elle engendre des coûts opérationnels importants : matériel à approvisionner, cycles de correctifs à gérer, redondance à concevoir manuellement et point de défaillance unique situé dans votre salle serveurs.

Cloud RADIUS, ou RADIUS as a Service, déplace cette couche d'authentification vers un environnement cloud managé et hautement disponible. Le protocole lui-même (Remote Authentication Dial-In User Service) n'a pas changé. Il reste l'épine dorsale du contrôle d'accès réseau IEEE 802.1X, le mécanisme que vos points d'accès utilisent pour valider qui accède à votre réseau. Mais l'infrastructure qui l'exécute est désormais gérée par un tiers. Et dans l'informatique d'entreprise, c'est un changement majeur.

Entrons maintenant dans les détails techniques.

Analyse technique approfondie.

Le protocole RADIUS a été défini à l'origine dans la RFC 2865, publiée en 2000, et s'est avéré remarquablement durable. Le protocole fonctionne sur un modèle client-serveur. Votre équipement d'accès réseau (qu'il s'agisse d'un point d'accès WiFi, d'un concentrateur VPN ou d'un commutateur filaire) fait office de client RADIUS, également appelé serveur d'accès réseau ou NAS. Lorsqu'un utilisateur tente de se connecter, le NAS transmet un paquet Access-Request au serveur RADIUS, qui valide les identifiants par rapport à un annuaire d'utilisateurs (généralement Active Directory, LDAP ou un fournisseur d'identité cloud) et renvoie un message Access-Accept ou Access-Reject.

Voilà pour l'échange de base. Mais la véritable complexité réside dans ce qui l'entoure : les méthodes EAP, l'attribution des VLAN, l'application des politiques, les enregistrements de comptabilité et la gestion des certificats.

Dans un déploiement sur site traditionnel, vous exécutez FreeRADIUS ou Microsoft NPS sur du matériel dédié, gérant vos propres certificats, configurant votre propre basculement et maintenant votre propre synchronisation de base de données utilisateurs. Pour un déploiement sur un site unique avec une équipe informatique compétente, c'est gérable. Pour un parc de 50 points de vente ou un groupe hôtelier possédant des établissements dans plusieurs pays, cela devient une charge opérationnelle considérable.
Le Cloud RADIUS simplifie tout cela. La logique d'authentification, l'infrastructure de certificats, la redondance et le moteur de politiques sont tous fournis sous forme de service managé. Vos points d'accès pointent vers des terminaux RADIUS hébergés dans le cloud — généralement une adresse IP principale et une adresse IP secondaire — et le service gère tout le reste en arrière-plan.

Parlons maintenant des méthodes d'authentification, car c'est là que les décisions techniques importent vraiment.

La méthode EAP la plus courante dans le WiFi d'entreprise est PEAP — Protected EAP — qui encapsule MSCHAPv2 dans un tunnel au sein d'une session TLS. Elle est largement prise en charge, fonctionne nativement avec Active Directory et constitue le choix par défaut pour la plupart des appareils Windows et Android. Cependant, PEAP présente des vulnérabilités connues, notamment au niveau de la validation des certificats. Si vos appareils clients ne sont pas configurés pour vérifier le certificat du serveur, vous êtes exposé à des attaques de collecte d'identifiants via des points d'accès pirates.

EAP-TLS est la référence absolue. Il utilise une authentification mutuelle par certificat — le serveur et le client présentent tous deux des certificats — ce qui élimine totalement la surface d'attaque sur les mots de passe. Le compromis réside dans le déploiement des certificats clients, qui nécessite une infrastructure PKI et une intégration MDM. Pour les flottes d'appareils managés, c'est absolument le bon choix. Pour les environnements BYOD, c'est plus complexe.

EAP-TTLS et EAP-FAST méritent également d'être connus. TTLS est particulièrement courant dans les environnements où vous devez prendre en charge une large gamme d'appareils clients, y compris les systèmes Linux. EAP-FAST a été développé par Cisco comme une alternative à PEAP qui évite la dépendance à la validation des certificats, en utilisant à la place des Protected Access Credentials.

Un service Cloud RADIUS bien architecturé prend en charge toutes ces méthodes et vous permet de configurer des politiques par SSID — ainsi, votre SSID d'entreprise utilise EAP-TLS avec validation de certificat, votre SSID personnel utilise PEAP avec Active Directory, et votre réseau invité utilise un Captive Portal ou un flux de connexion sociale entièrement distinct de la pile RADIUS.

À ce propos — le RADIUS et le WiFi invité sont souvent confondus, mais ils répondent à des objectifs différents. RADIUS est votre couche d'authentification et d'autorisation pour les utilisateurs et appareils connus. Le WiFi invité utilise généralement un flux de Captive Portal, qui est un mécanisme totalement différent. La plateforme de Purple, par exemple, gère l'authentification des invités via une couche d'identité distincte, capturant des données de première partie et permettant l'automatisation du marketing, tandis que RADIUS gère le contrôle d'accès au réseau de l'entreprise et du personnel. Ce sont des systèmes complémentaires et non concurrents.

Voyons maintenant ce que signifie concrètement l'expression « hébergé dans le cloud ». Un service Cloud RADIUS correctement architecturé fonctionne sur plusieurs zones de disponibilité, avec basculement automatique. Les demandes d'authentification sont équilibrées entre les nœuds, et le service maintient des temps de réponse inférieurs à 100 millisecondes, même en cas de charge maximale. Pour un stade gérant 40 000 connexions simultanées lors d'un événement, ce profil de latence et de débit est critique. Un simple serveur sur site ne peut tout simplement pas rivaliser avec cette élasticité.

Du point de vue de la conformité, les fournisseurs de Cloud RADIUS opérant au Royaume-Uni et dans l'UE doivent être conformes au GDPR dans la gestion de leurs journaux d'authentification et des données utilisateur. Pour les secteurs du commerce de détail et de l'hôtellerie-restauration qui traitent également des données de cartes de paiement, les exigences de la norme PCI DSS concernant la segmentation du réseau et le contrôle d'accès sont directement pertinentes — RADIUS fait partie de votre environnement de contrôle, et votre QSA exigera des preuves de configuration correcte et de journalisation des audits.

Le WPA3 mérite également d'être abordé. La transition du WPA2 au WPA3 introduit l'authentification simultanée d'égaux (SAE) pour les réseaux personnels, et le WPA3-Enterprise pour les environnements d'entreprise. Le WPA3-Enterprise impose un mode de sécurité 192 bits pour la classification la plus élevée, ce qui nécessite des méthodes EAP et des suites de chiffrement spécifiques. Un service Cloud RADIUS doit prendre en charge ces configurations pour être pérenne.

Recommandations de mise en œuvre et pièges à éviter.

Passons à la pratique. Si vous évaluez Cloud RADIUS pour un déploiement ce trimestre, voici les points sur lesquels je vous conseille de vous concentrer.

Premièrement, l'intégration avec votre fournisseur d'identité. Votre service Cloud RADIUS doit se synchroniser avec l'emplacement réel de vos utilisateurs — qu'il s'agisse de Microsoft Entra ID (anciennement Azure AD), Google Workspace, Okta ou d'un Active Directory sur site via un proxy LDAP. La qualité de cette intégration détermine votre charge de travail opérationnelle. Un provisionnement natif SAML ou SCIM est bien préférable à des importations manuelles de fichiers CSV.

Deuxièmement, la gestion des certificats. Si vous déployez EAP-TLS, vous devez avoir une réponse claire sur la manière dont les certificats clients sont émis, renouvelés et révoqués. Les meilleurs services Cloud RADIUS incluent une PKI intégrée ou s'intègrent parfaitement à votre autorité de certification existante. L'expiration des certificats est l'une des causes les plus fréquentes d'échec d'authentification sur les réseaux WiFi d'entreprise — elle est pourtant totalement évitable grâce à une automatisation adéquate.

Troisièmement, la compatibilité des équipements réseau. Vos points d'accès doivent prendre en charge l'authentification RADIUS — ce qui est le cas de presque tous les AP de qualité professionnelle — mais vous devez vérifier les méthodes EAP spécifiques et les attributs RADIUS pris en charge par le service choisi par rapport à l'implémentation du fournisseur de vos AP. Cisco, Aruba, Juniper Mist et Ruckus ont tous leurs propres nuances dans la gestion des attributs RADIUS et des messages CoA (Change of Authorisation).

Quatrièmement, la configuration de la redondance. Configurez toujours une adresse IP de serveur RADIUS principale et une secondaire. Le délai d'expiration de basculement (failover) sur vos périphériques NAS est crucial : s'il est configuré avec une valeur trop élevée, les utilisateurs subiront un retard d'authentification de 30 secondes lorsque le serveur principal est inaccessible. Un délai d'expiration de 3 à 5 secondes avec basculement immédiat est la configuration idéale pour la plupart des environnements.

Cinquièmement — et c'est ce que l'on oublie souvent — la comptabilisation (accounting). Les enregistrements d'accounting RADIUS constituent votre piste d'audit. Ils vous indiquent qui s'est connecté, depuis quel appareil, à quel moment et pour combien de temps. À des fins de conformité, en particulier dans les secteurs de la santé et du public, ces enregistrements doivent être conservés et accessibles. Assurez-vous que votre fournisseur de Cloud RADIUS vous donne accès aux données d'accounting, et pas seulement aux journaux d'authentification.

Pièges courants : la complexité du secret partagé. Votre secret partagé RADIUS — la clé pré-partagée entre votre NAS et le serveur RADIUS — doit être long et aléatoire. Les secrets partagés courts ou faciles à deviner constituent un véritable vecteur d'attaque. Utilisez au moins 32 caractères, générés de manière aléatoire, et renouvelez-les régulièrement.

Faites également attention à la mise sur liste blanche des adresses IP. De nombreux services Cloud RADIUS vous obligent à inscrire sur liste blanche les adresses IP sources de vos périphériques NAS. Dans un environnement cloud dynamique où votre plateforme de gestion des AP peut utiliser le NAT, cela peut entraîner des échecs d'authentification inattendus. Confirmez le comportement NAT de votre réseau avant le déploiement.

Questions-réponses rapides.

Passons en revue quelques questions que l'on me pose régulièrement.

Le Cloud RADIUS peut-il prendre en charge les environnements multi-locataires (multi-tenant) ? Oui — la plupart des services Cloud RADIUS d'entreprise prennent en charge l'isolation des locataires, de sorte qu'un fournisseur de services gérés peut exécuter des politiques RADIUS distinctes pour plusieurs clients à partir d'une plateforme unique.

Quelle est la latence typique pour une authentification Cloud RADIUS ? Moins de 100 millisecondes pour un service bien conçu. La négociation 802.1X elle-même ajoute un peu de surcharge, mais pour la plupart des méthodes EAP, le temps d'authentification total devrait être inférieur à 500 millisecondes de bout en bout.

Le Cloud RADIUS fonctionne-t-il avec OpenRoaming ? Oui. OpenRoaming — le framework de roaming de la Wireless Broadband Alliance — utilise la fédération RADIUS à son cœur. Un service Cloud RADIUS prenant en charge Hotspot 2.0 et OpenRoaming permet à vos utilisateurs de s'authentifier automatiquement sur les réseaux participants à l'échelle mondiale. Purple prend en charge OpenRoaming sous sa licence Connect, agissant en tant que fournisseur d'identité au sein de la fédération.

Le Cloud RADIUS est-il adapté aux environnements hautement sécurisés ? Pour la plupart des environnements d'entreprise, oui. Pour les environnements contenant des données classifiées ou soumis à des classifications de sécurité gouvernementales spécifiques, vous devrez peut-être évaluer si un service cloud géré répond à vos exigences d'accréditation spécifiques.

Résumé et prochaines étapes.

Pour résumer : Cloud RADIUS est une approche mature et prête pour la production du contrôle d'accès réseau qui élimine la charge opérationnelle de l'infrastructure RADIUS sur site, sans faire de compromis sur la sécurité ou les fonctionnalités. Pour les organisations multisites, le retour sur investissement est évident : vous éliminez les dépenses d'investissement matériel, réduisez les frais généraux informatiques, bénéficiez d'une redondance intégrée et profitez d'un service qui évolue avec votre parc.

Les décisions clés sont : quelle méthode EAP convient le mieux à votre flotte d'appareils, comment vous l'intégrez à votre fournisseur d'identité existant, et si le service choisi vous offre les capacités de conformité et d'audit requises par votre organisation.

Si vous gérez un groupe hôtelier, une chaîne de magasins ou des réseaux du secteur public, je vous recommande de commencer par un proof-of-concept sur un seul site : configurez correctement votre RADIUS, validez l'intégration avec votre fournisseur d'identité et mesurez la latence d'authentification avant de déployer la solution sur l'ensemble de votre parc.

Pour en savoir plus sur l'analyse WiFi, la gestion des réseaux invités et la façon dont la plateforme de Purple s'intègre à l'authentification basée sur RADIUS, visitez purple.ai. Merci pour votre écoute.

Points clés à retenir

✓Cloud RADIUS élimine les dépenses d'investissement (capex) et les frais de maintenance des serveurs d'authentification sur site.
✓Il offre une évolutivité élastique et une redondance mondiale, indispensables pour les environnements distribués du commerce de détail, de l'hôtellerie et des entreprises.
✓La migration vers EAP-TLS via Cloud RADIUS est la référence absolue pour sécuriser les réseaux contre le vol d'identifiants.
✓L'intégration transparente avec les IdP modernes (Entra ID, Google Workspace) via SCIM automatise l'intégration et la désinscription des utilisateurs.
✓Une configuration correcte du NAS, incluant des délais de basculement de 3 à 5 secondes et des secrets partagés complexes, est essentielle pour la fiabilité.
✓Les journaux d'imputabilité (Accounting) générés par Cloud RADIUS sont obligatoires pour démontrer la conformité avec PCI DSS et le GDPR.
✓RADIUS gère l'accès des utilisateurs connus, tandis que les plateformes de Guest WiFi gèrent l'engagement des visiteurs et la capture de données.

Synthèse

Pour les réseaux d'entreprise modernes, l'architecture RADIUS (Remote Authentication Dial-In User Service) traditionnelle sur site représente un goulot d'étranglement opérationnel majeur. La gestion des serveurs physiques, les correctifs des systèmes d'exploitation, la gestion des autorités de certification et l'ingénierie de la redondance multi-sites consomment des ressources informatiques précieuses. Le Cloud RADIUS (ou RADIUS en tant que Service) résout ce problème en migrant la couche d'authentification IEEE 802.1X vers une infrastructure cloud gérée et hautement disponible. Ce guide fournit un aperçu technique complet du Cloud RADIUS pour les responsables informatiques, les architectes réseau et les directeurs de la technologie qui évaluent les stratégies de déploiement. En passant d'un modèle lourd en investissements physiques et maintenu manuellement à un modèle élastique et distribué à l'échelle mondiale, les organisations de la Vente au détail , de l' Hôtellerie et du Transport peuvent appliquer des politiques d'accès robustes, assurer la conformité (telle que PCI DSS et GDPR), et s'intégrer de manière transparente aux fournisseurs d'identité modernes tels que Microsoft Entra ID et Google Workspace.

Analyse Technique Approfondie

L'Évolution de l'Architecture RADIUS

Le protocole RADIUS, défini initialement dans la RFC 2865, fonctionne sur un modèle client-serveur dans lequel les serveurs d'accès réseau (NAS) — tels que les points d'accès WiFi ou les concentrateurs VPN — transmettent les demandes d'authentification à un serveur central. Historiquement, cela impliquait le déploiement de FreeRADIUS ou de Microsoft Network Policy Server (NPS) sur du matériel dédié. Bien qu'efficace pour les déploiements sur site unique, l'extensibilité de cette architecture dans des environnements distribués introduit d'importants défis en matière de latence et de redondance.

Le Cloud RADIUS masque l'infrastructure sous-jacente. Les demandes d'authentification sont acheminées vers des terminaux cloud distribués dans le monde entier, garantissant des temps de réponse inférieurs à 100 ms, même lors des pics de charge. Cette élasticité est cruciale pour les environnements à haute densité comme les stades ou les centres de conférence.

Méthodes EAP et Posture de Sécurité

Le choix de la méthode EAP (Extensible Authentication Protocol) dicte fondamentalement votre posture de sécurité :

PEAP (Protected EAP) : Encapsule MSCHAPv2 dans un tunnel au sein d'une session TLS. Bien que largement pris en charge et facile à intégrer avec Active Directory, le PEAP est vulnérable à la collecte d'identifiants via des points d'accès malveillants si les appareils clients ne sont pas strictement configurés pour valider le certificat du serveur.
EAP-TLS : La référence absolue pour les entreprises. Il nécessite une authentification mutuelle par certificat — le serveur et le client doivent tous deux présenter des certificats valides. Cela élimine complètement les attaques basées sur les mots de passe, mais nécessite une infrastructure à clés publiques (PKI) robuste et une intégration de gestion des appareils mobiles (MDM) pour le déploiement des certificats.
EAP-TTLS et EAP-FAST : Offrent des alternatives lorsque la compatibilité avec un large éventail de clients (y compris les systèmes hérités ou Linux) est requise, ou lorsque les dépendances de validation de certificats doivent être contournées à l'aide de Protected Access Credentials (PAC).

Intégration de WPA3 et OpenRoaming

Les déploiements modernes doivent prendre en compte WPA3-Enterprise, qui impose un mode de sécurité 192 bits pour les classifications les plus élevées, nécessitant des suites de chiffrement spécifiques. De plus, le Cloud RADIUS facilite la participation à des frameworks de fédération comme OpenRoaming. Purple, par exemple, agit en tant que fournisseur d'identité gratuit pour OpenRoaming sous sa licence Connect, permettant une authentification transparente et sécurisée sur les réseaux mondiaux participants.

Guide de déploiement

Le déploiement de Cloud RADIUS nécessite une approche systématique pour garantir une absence totale d'interruption de service pendant la transition.

Étape 1 : Intégration du fournisseur d'identité (IdP)

Votre instance Cloud RADIUS doit se synchroniser avec votre annuaire d'utilisateurs de référence. Le provisionnement natif SAML ou SCIM avec Microsoft Entra ID, Google Workspace ou Okta est fortement recommandé par rapport aux proxys LDAP manuels ou aux imports CSV. Cela garantit que lorsqu'un employé est désactivé dans le système RH, son accès au réseau est instantanément révoqué.

Étape 2 : Stratégie de gestion des certificats

Si vous déployez EAP-TLS, définissez le cycle de vie de vos certificats. Sélectionnez un fournisseur Cloud RADIUS qui intègre une PKI ou qui s'intègre parfaitement avec votre autorité de certification (CA) existante. Automatisez la délivrance et la révocation des certificats via votre plateforme MDM (par exemple, Intune ou Jamf) afin d'éviter les échecs d'authentification dus à des certificats expirés.

Étape 3 : Configuration des équipements réseau

Configurez vos équipements NAS (points d'accès, commutateurs) pour pointer vers les adresses IP Cloud RADIUS principale et secondaire. Assurez-vous que le secret partagé est cryptographiquement complexe (minimum 32 caractères aléatoires). Ajustez les paramètres de délai d'expiration de basculement ; un délai de 3 à 5 secondes est optimal pour éviter les retards d'authentification prolongés si le nœud principal est inaccessible.

Étape 4 : Définition des politiques

Établissez des politiques par SSID. Par exemple, imposez EAP-TLS pour le réseau d'entreprise, PEAP pour les appareils IoT existants, et isolez l'accès des invités. Notez que RADIUS gère les utilisateurs connus ; pour les visiteurs, déployez une solution de Guest WiFi dédiée avec un Captive Portal pour collecter des données de première partie, en l'intégrant à une plateforme de WiFi Analytics . Pour en savoir plus sur l'engagement des invités, reportez-vous à Comment améliorer la satisfaction des invités : Le guide ultime .

Bonnes Pratiques

Implémenter une validation stricte du certificat de serveur : Pour les déploiements PEAP, diffusez des stratégies de groupe ou des profils MDM qui obligent les clients à valider le certificat du serveur RADIUS et à limiter la confiance à des autorités de certification (CA) racines spécifiques.
Segmenter le trafic de comptabilisation et d'authentification : Assurez-vous que les données de comptabilisation (accounting) RADIUS sont activement surveillées et conservées. Cette piste d'audit est essentielle pour les rapports de conformité (par ex., PCI DSS, HIPAA).
Surveiller la latence d'authentification : Une latence élevée indique souvent un routage sous-optimal ou des problèmes de synchronisation IdP. Utilisez des outils de surveillance pour suivre le temps écoulé entre le paquet Access-Request et le paquet Access-Accept.
Optimiser la planification des signaux et des canaux : Une authentification fiable repose sur une couche physique stable. Consultez des guides tels que Understanding RSSI and Signal Strength for Optimal Channel Planning pour vous assurer que votre environnement RF prend en charge l'itinérance 802.1X de manière fluide.

Dépannage et atténuation des risques

Même avec des services gérés, des erreurs de configuration peuvent entraîner des échecs d'accès. Les modes de défaillance courants comprennent :

Expiration du certificat : La cause numéro un des échecs EAP-TLS. Atténuation : Mettez en place des alertes automatisées 30 jours avant l'expiration du certificat de l'autorité de certification ou du serveur.
Incohérence du secret partagé : Se produit souvent lors de l'ajout de nouveaux points d'accès. Atténuation : Standardisez les modèles de configuration dans votre système de gestion de réseau.
Problèmes de NAT et de liste blanche d'adresses IP : Les fournisseurs de Cloud RADIUS exigent généralement une liste blanche des adresses IP des NAS. Si vos filiales utilisent des adresses IP dynamiques ou des configurations NAT complexes, les demandes d'authentification peuvent être rejetées. Atténuation : Utilisez des adresses IP de sortie statiques ou déployez un proxy RADIUS local si nécessaire.
Échecs de synchronisation de l'IdP : Si l'annuaire cloud ne parvient pas à se synchroniser avec l'AD sur site, les nouveaux utilisateurs ne peuvent pas s'authentifier. Atténuation : Surveillez activement l'état du connecteur SCIM/LDAP.

ROI et impact commercial

La transition vers Cloud RADIUS apporte une valeur commerciale mesurable :

Réduction des dépenses d'investissement d'infrastructure (Capex) : Élimine le besoin d'acheter, de racker et d'alimenter des serveurs RADIUS physiques sur chaque site majeur.
Diminution des coûts opérationnels : Les équipes informatiques ne passent plus des heures à corriger les vulnérabilités du système d'exploitation ou à gérer manuellement le basculement des serveurs. Les mises à jour gérées par le fournisseur garantissent une conformité continue.
Poste de sécurité renforcé : La transition vers EAP-TLS via une PKI cloud atténue le risque de vol d'identifiants, réduisant ainsi directement le coût potentiel d'une violation de données.
Agilité et évolutivité : Lors de l'ouverture d'une nouvelle succursale ou d'un nouvel hôtel, l'authentification réseau peut être configurée en quelques minutes plutôt qu'en plusieurs semaines. Pour des stratégies de déploiement pratiques, consultez Setting Up WiFi for Business: A 2026 Playbook .

En centralisant le contrôle d'accès, les entreprises sécurisent non seulement leur périmètre, mais libèrent également leurs ingénieurs les plus expérimentés pour qu'ils puissent se concentrer sur des initiatives stratégiques plutôt que sur la maintenance d'infrastructures existantes.

Définitions clés

Cloud RADIUS

Un service géré qui héberge le protocole Remote Authentication Dial-In User Service dans un environnement cloud hautement disponible, éliminant ainsi le besoin de serveurs d'authentification sur site.

Évalué par les équipes informatiques qui cherchent à réduire les dépenses d'investissement en matériel et les frais opérationnels tout en maintenant un accès réseau sécurisé 802.1X.

EAP-TLS (Extensible Authentication Protocol-Transport Layer Security)

Une méthode d'authentification hautement sécurisée exigeant que le client et le serveur présentent tous deux des certificats numériques pour prouver leur identité.

La norme recommandée pour les réseaux d'entreprise afin de prévenir les attaques basées sur les mots de passe, nécessitant une PKI et un MDM pour le déploiement.

NAS (Network Access Server)

L'appareil (tel qu'un point d'accès WiFi, un commutateur ou un concentrateur VPN) qui agit en tant que client RADIUS, transmettant les informations d'identification de l'utilisateur au serveur RADIUS.

Les ingénieurs réseau doivent configurer le NAS avec les adresses IP du serveur RADIUS et les secrets partagés appropriés pour activer l'authentification 802.1X.

Shared Secret

Une chaîne de texte cryptographique connue uniquement du NAS et du serveur RADIUS, utilisée pour chiffrer les paquets RADIUS et vérifier l'authenticité de l'expéditeur.

Un secret partagé faible constitue une vulnérabilité de sécurité majeure ; les déploiements d'entreprise doivent utiliser des chaînes de caractères longues et générées de manière aléatoire.

SCIM (System for Cross-domain Identity Management)

Une norme ouverte qui automatise l'échange d'informations d'identité d'utilisateur entre les systèmes informatiques ou les applications cloud.

Utilisé pour provisionner et déprovisionner automatiquement les utilisateurs dans l'annuaire Cloud RADIUS lorsque des modifications sont apportées dans le système d'identité principal des RH ou de l'informatique.

OpenRoaming

Un cadre de fédération développé par la Wireless Broadband Alliance qui permet aux utilisateurs de se connecter automatiquement et en toute sécurité aux réseaux WiFi participants à l'échelle mondiale.

Les fournisseurs de Cloud RADIUS qui prennent en charge OpenRoaming (comme Purple) permettent aux sites d'offrir une connectivité transparente et sécurisée aux visiteurs, sans Captive Portal.

Accounting Logs

Enregistrements générés par le serveur RADIUS détaillant les événements de connexion de l'utilisateur, y compris l'heure de début, l'heure de fin, les données transférées et l'adresse IP attribuée.

Indispensable pour les audits de sécurité, le dépannage et la démonstration de la conformité avec des cadres tels que PCI DSS et le GDPR.

Change of Authorization (CoA)

Une fonctionnalité RADIUS qui permet au serveur de modifier dynamiquement la session active d'un utilisateur, comme changer son VLAN ou le déconnecter, sans nécessiter de reconnexions.

Utilisé par les administrateurs réseau pour mettre instantanément en quarantaine un appareil compromis ou appliquer de nouvelles restrictions de politique en milieu de session.

Exemples concrets

Un hôtel de 200 chambres utilise actuellement Microsoft NPS sur site pour l'authentification du personnel au WiFi via PEAP. Il subit des expirations de délai d'authentification pendant les heures de pointe d'arrivée et souhaite migrer vers Cloud RADIUS avec EAP-TLS pour une meilleure sécurité et fiabilité. Comment le directeur informatique doit-il concevoir cette migration ?

Déployer un tenant Cloud RADIUS et l'intégrer à Microsoft Entra ID via SCIM pour une gestion automatisée du cycle de vie des utilisateurs. 2. Configurer la PKI intégrée de Cloud RADIUS pour émettre des certificats clients. 3. Utiliser l'MDM existant (ex. Intune) pour déployer la CA racine, les certificats clients et un nouveau profil WiFi configuré pour EAP-TLS sur tous les appareils du personnel. 4. Configurer les points d'accès de l'hôtel pour pointer vers les adresses IP primaires et secondaires de Cloud RADIUS, en utilisant un nouveau secret partagé complexe de 32 caractères. 5. Faire fonctionner l'ancien NPS et le nouveau Cloud RADIUS en parallèle sur des SSID différents pendant une période de transition de deux semaines avant de déclasser les serveurs sur site.

Commentaire de l'examinateur : Cette approche minimise les risques en exploitant des SSID parallèles pendant la transition. Le passage à EAP-TLS élimine les risques de vol d'identifiants associés à PEAP, et l'utilisation de l'MDM pour le déploiement des certificats garantit une friction nulle pour les utilisateurs finaux. L'intégration SCIM garantit que lorsqu'un membre du personnel s'en va, son accès est instantanément révoqué.

Une chaîne nationale de vente au détail comptant 500 points de vente doit assurer la conformité PCI DSS pour ses terminaux de point de vente (POS), qui se connectent via WiFi. Elle migre vers Cloud RADIUS. Quelles configurations spécifiques sont requises pour respecter la conformité ?

Mettre en œuvre une segmentation réseau stricte : les terminaux POS doivent s'authentifier sur un SSID dédié et masqué, mappé sur un VLAN isolé. 2. Imposer l'authentification EAP-TLS pour tous les terminaux POS afin d'assurer une authentification mutuelle et d'empêcher les terminaux non autorisés de rejoindre le réseau POS. 3. Configurer le service Cloud RADIUS pour conserver tous les journaux de comptabilité (Access-Accept, Access-Reject, durée de connexion) pendant au moins un an, comme l'exige la norme PCI DSS. 4. Veiller à ce que les secrets partagés RADIUS entre les AP des succursales et le service Cloud RADIUS soient renouvelés tous les 90 jours à l'aide d'un script automatisé.

Commentaire de l'examinateur : Cette solution répond directement aux exigences de la norme PCI DSS concernant la segmentation logique, le contrôle d'accès fort et l'auditabilité. Se fier au filtrage par adresse MAC est insuffisant pour la conformité ; EAP-TLS fournit la preuve cryptographique nécessaire de l'identité de l'appareil. La conservation des journaux de comptabilité dans le cloud simplifie le processus d'audit pour le QSA.

Questions d'entraînement

Q1. Votre organisation migre d'un Active Directory sur site vers Google Workspace. Vous utilisez actuellement PEAP-MSCHAPv2 pour l'authentification WiFi. Pourquoi est-ce un problème, et quelle est la solution recommandée ?

Conseil : Considérez la façon dont PEAP valide les identifiants par rapport au protocole d'annuaire.

Voir la réponse type

PEAP-MSCHAPv2 s'appuie sur le hachage NT du mot de passe d'un utilisateur, que Google Workspace ne stocke ni n'expose nativement. La solution recommandée consiste à migrer vers EAP-TLS en utilisant un fournisseur Cloud RADIUS qui intègre une PKI. Le service Cloud RADIUS peut synchroniser les identités des utilisateurs depuis Google Workspace via SAML/SCIM, et authentifier les appareils à l'aide de certificats clients plutôt que de mots de passe.

Q2. Une succursale signale que les utilisateurs subissent des délais de 30 secondes lors de la connexion au réseau WiFi, suivis d'une connexion réussie. L'IP principale du Cloud RADIUS dans cette région est actuellement en maintenance. Quelle erreur de configuration est à l'origine de ce délai ?

Conseil : Analysez la communication entre le NAS et les serveurs RADIUS.

Voir la réponse type

Le NAS (point d'accès ou commutateur) est configuré avec un délai d'attente (timeout) du serveur RADIUS trop élevé (par exemple, 30 secondes). Il attend que le serveur principal réponde avant de basculer sur le serveur secondaire. Ce délai d'attente devrait être réduit à 3-5 secondes pour garantir un basculement rapide sans impact sur l'expérience utilisateur.

Q3. Vous déployez Cloud RADIUS pour un hôpital. L'équipe de sécurité exige que seuls les appareils appartenant à l'entreprise puissent se connecter au réseau interne, même si un employé connaît un nom d'utilisateur et un mot de passe valides. Comment appliquez-vous cette règle ?

Conseil : Quelle méthode EAP vérifie l'identité de l'appareil, et pas seulement la connaissance de l'utilisateur ?

Voir la réponse type

Déployez EAP-TLS. Configurez la solution MDM de l'hôpital pour pousser un certificat client unique uniquement sur les appareils enregistrés appartenant à l'entreprise. Configurez la politique Cloud RADIUS pour rejeter toute demande d'authentification qui ne présente pas un certificat valide signé par la PKI interne de confiance, bloquant ainsi efficacement les appareils BYOD ou non autorisés, quelle que soit la connaissance du mot de passe.

Continuer la lecture de cette série

Les avantages de sécurité de RADIUS as a Service pour les effectifs hybrides

Ce guide de référence technique explique comment RADIUS as a Service sécurise l'accès au réseau pour les effectifs hybrides au sein des sites distribués. Il présente l'architecture, les avantages de sécurité et les étapes de déploiement pour remplacer une infrastructure RADIUS sur site par un service d'authentification géré dans le cloud. Destiné aux responsables informatiques et aux architectes réseau des hôtels, chaînes de magasins, stades et organisations du secteur public, ce guide fournit les éléments requis pour évaluer et mettre en œuvre une migration vers le RADIUS cloud dès ce trimestre.

Intégration de RADIUS as a Service avec les annuaires cloud (Azure AD & Google Workspace)

Ce guide de référence technique détaille comment intégrer RADIUS as a Service avec les annuaires cloud - Microsoft Entra ID et Google Workspace - pour l'authentification WiFi d'entreprise. Il couvre la transition architecturale du NPS sur site vers un RADIUS cloud-native, le déploiement de l'authentification EAP-TLS basée sur des certificats, ainsi que les meilleures pratiques opérationnelles pour sécuriser l'accès sans fil dans les secteurs de l'hôtellerie, du commerce de détail et du secteur public. Pour les responsables informatiques et les architectes réseau déjà investis dans l'identité cloud, ce guide comble le fossé entre la gestion des annuaires et la sécurité du réseau physique.

Comment implémenter l'authentification 802.1X avec Cloud RADIUS

Ce guide de référence technique fournit un cadre complet pour implémenter l'authentification 802.1X avec Cloud RADIUS sur l'ensemble des parcs d'entreprises distribués. Il détaille l'architecture, la sélection de la méthode EAP, le séquençage du déploiement et les stratégies de réduction des risques nécessaires pour sécuriser l'accès au réseau tout en éliminant les coûts opérationnels de l'infrastructure sur site.