Passer au contenu principal
Français

Sécurité du WiFi BYOD : comment autoriser les appareils personnels sur votre réseau en toute sécurité

Un guide pragmatique et neutre vis-à-vis des fournisseurs destiné aux responsables informatiques pour sécuriser l'accès WiFi BYOD. Il couvre la mise en œuvre de l'authentification 802.1X, l'intégration MDM et une segmentation stricte du réseau pour protéger les actifs de l'entreprise tout en autorisant les appareils personnels.

📖 5 min de lecture📝 1,146 mots🔧 2 exemples concrets3 questions d'entraînement📚 8 définitions clés

Écouter ce guide

Voir la transcription du podcast
[0:00 - 0:10] Musique d'introduction électronique entraînante et professionnelle, en fondu sonore. [0:10 - 1:00] Introduction & Contexte Animateur (Anglais britannique, confiant, autoritaire) : "Bonjour et bienvenue. Je suis votre hôte, et aujourd'hui nous nous attaquons à l'un des maux de tête les plus persistants pour les équipes informatiques d'entreprise : la sécurité du WiFi BYOD. Comment autoriser en toute sécurité les appareils personnels sur votre réseau d'entreprise sans ouvrir la porte aux malwares, aux fuites de données et aux violations de conformité ? Que vous gériez un hôtel de 500 chambres, une chaîne de magasins de détail ou un grand espace public, l'époque où l'on distribuait un mot de passe WPA2 partagé est révolue depuis longtemps. Aujourd'hui, nous laissons de côté la théorie pour nous intéresser à l'architecture pratique requise pour sécuriser la périphérie de l'entreprise. Nous aborderons le 802.1X, l'authentification par certificat et la segmentation stricte du réseau. C'est parti." [1:00 - 6:00] Analyse Technique Approfondie Animateur : "Très bien, penchons-nous sur l'architecture. Le changement fondamental que vous devez opérer consiste à passer des secrets partagés à un accès basé sur l'identité. Si vous utilisez encore une clé pré-partagée pour le WiFi de vos employés, vous avez une faille de sécurité majeure. La base non négociable ici est la norme IEEE 802.1X. Elle garantit qu'un appareil ne peut pas transmettre de trafic tant qu'il n'est pas explicitement authentifié. Mais le 802.1X n'est que le cadre ; la véritable sécurité provient de la méthode EAP que vous choisissez. Bien que le PEAP avec un nom d'utilisateur et un mot de passe soit courant, il est vulnérable au vol d'identifiants. La référence absolue que vous devriez viser est l'EAP-TLS. Celle-ci repose sur des certificats côté client. Lorsqu'un iPhone d'employé tente de se connecter, le serveur RADIUS vérifie le certificat unique de cet appareil. Pas de mots de passe à voler, pas d'attaques de l'homme du milieu. Mais comment installer ces certificats sur des appareils personnels non gérés ? C'est là qu'intervient la gestion des appareils mobiles, ou MDM. Des solutions comme Microsoft Intune ou Jamf jouent le rôle de gardien. Vous définissez une politique de conformité — par exemple, l'appareil doit disposer du dernier système d'exploitation, d'un verrouillage d'écran et ne doit pas être jailbreaké. Si l'appareil est conforme, le MDM pousse le certificat via SCEP, et l'appareil se connecte. Si l'utilisateur supprime le code d'accès plus tard, le MDM révoque le certificat et la connexion WiFi est immédiatement coupée. C'est un accès automatisé zero-trust. Maintenant, parlons du réseau lui-même. Un réseau plat est une catastrophe annoncée. Vous devez mettre en œuvre une segmentation stricte. Nous recommandons une architecture à trois zones. Le VLAN 10 est votre zone d'entreprise pour les appareils gérés. Le VLAN 20 est votre zone BYOD pour les appareils personnels des employés — celle-ci bénéficie d'un accès à Internet et d'un accès étroitement contrôlé à des applications internes spécifiques. Et le VLAN 30 est votre zone invités — Internet uniquement, avec isolation des clients activée pour que les appareils ne puissent pas communiquer entre eux. Votre pare-feu doit bloquer le routage entre ces VLAN par défaut." [6:00 - 8:00] Recommandations de Mise en Œuvre & Pièges à Éviter Animateur : "En matière de déploiement, le plus grand piège est l'expérience d'intégration. Si elle est trop complexe, votre support technique sera submergé. "Vous avez besoin d'un parcours d'intégration fluide. Diffusez un SSID de provisionnement. Lorsqu'un utilisateur se connecte, redirigez-le vers un Captive Portal — c'est là que des plateformes comme le Guest WiFi de Purple peuvent servir de premier point de contact, en guidant l'utilisateur pour télécharger le profil MDM. Une fois installé, l'appareil bascule automatiquement vers le réseau sécurisé 802.1X. Un autre piège à éviter est la randomisation des adresses MAC. Les appareils iOS et Android modernes randomisent leurs adresses MAC pour protéger la vie privée. Si vous vous appuyez sur les adresses MAC pour le contrôle d'accès ou le contournement du Captive Portal, votre système ne fonctionnera plus. Vous devez vous appuyer sur l'identité du certificat 802.1X, et non sur l'adresse MAC." [8:00 - 9:00] Questions-Réponses Rapides Animateur : "Passons à quelques questions rapides que nous posent souvent les CTO. Question une : Avons-nous besoin du WPA3 ? Réponse : Oui. Passez au WPA3-Enterprise. Il impose les cadres de gestion protégés (PMF), ce qui stoppe net les attaques de désauthentification. Question deux : Qu'en est-il d'OpenRoaming ? Réponse : Fortement recommandé pour une connectivité fluide. Purple agit en fait comme un fournisseur d'identité gratuit pour OpenRoaming sous la licence Connect, ce qui est un atout majeur pour l'expérience utilisateur sans compromettre la sécurité. Question trois : Comment gérons-nous la conformité dans le secteur de la santé ? Réponse : Une segmentation stricte est essentielle pour la conformité HIPAA. Maintenez le trafic BYOD entièrement isolé des réseaux cliniques et des systèmes de dossiers de santé informatisés." [9:00 - 10:00] Résumé et prochaines étapes Animateur : "Pour résumer : Éliminez les mots de passe partagés. Implémentez le 802.1X avec EAP-TLS. Imposez la conformité des appareils avec un MDM avant de délivrer des certificats. Et segmentez votre réseau de manière impitoyable. Sécuriser le BYOD ne consiste pas seulement à atténuer les risques ; il s'agit de réduire les tickets de support et de donner les moyens à vos collaborateurs en toute sécurité. Pour obtenir l'analyse technique complète, y compris les étapes de configuration et les schémas d'architecture, consultez le guide complet sur le site Web de Purple. Merci de nous avoir écoutés, et restez en sécurité." [10:00] La musique de fin monte puis s'estompe.

header_image.png

Synthèse

Alors que le périmètre du réseau d'entreprise continue de se dissoudre, la gestion de l'accès WiFi BYOD (Bring Your Own Device) est passée d'une fonctionnalité de confort à un impératif de sécurité critique. Pour les responsables informatiques et les architectes réseau opérant dans des environnements d'entreprise — de l' Hôtellerie et du Commerce de détail à la Santé et aux Transports — le défi est clair : comment autoriser en toute sécurité les appareils personnels sur le réseau sans exposer les actifs de l'entreprise à un risque inacceptable.

Ce guide fournit un cadre pragmatique et indépendant des fournisseurs pour déployer un WiFi BYOD sécurisé. Nous contournerons les modèles théoriques pour nous concentrer sur une architecture exploitable : la mise en œuvre de l'authentification 802.1X, l'exploitation de la gestion des appareils mobiles (MDM) pour la conformité et l'application d'une segmentation réseau stricte. En associant ces contrôles techniques aux résultats commerciaux, les responsables informatiques peuvent déployer des solutions qui protègent l'intégrité des données tout en maintenant l'efficacité opérationnelle. Que vous mettiez à niveau des réseaux WPA2-PSK existants ou que vous conceviez une architecture zero-trust à partir de zéro, cette référence détaille les configurations précises requises pour sécuriser la périphérie de l'entreprise moderne.

Analyse technique approfondie : Architecture et normes

Le fondement de la sécurité du WiFi BYOD repose sur l'abandon des mots de passe partagés au profit d'un contrôle d'accès basé sur l'identité.

La norme 802.1X et les protocoles EAP

La norme IEEE 802.1X est la base non négociable de la sécurité WiFi d'entreprise. Elle fournit un contrôle d'accès réseau basé sur les ports (PNAC), garantissant qu'un appareil ne peut pas communiquer sur le réseau tant qu'il n'a pas été explicitement authentifié.

Pour les déploiements BYOD, la méthode EAP (Extensible Authentication Protocol) choisie est essentielle. Alors que l'EAP-PEAP (Protected EAP) utilisant un nom d'utilisateur et un mot de passe fournit une base de référence, l'EAP-TLS (Transport Layer Security) est la référence absolue. L'EAP-TLS repose sur des certificats côté client, éliminant ainsi le risque de vol d'identifiants et d'attaques de l'homme du milieu. Lorsqu'un smartphone personnel d'un utilisateur tente de se connecter, le serveur RADIUS valide le certificat unique installé sur cet appareil, garantissant à la fois l'identité de l'utilisateur et le statut d'autorisation de l'appareil.

Segmentation réseau et VLAN

Un réseau plat est un réseau compromis. Les appareils BYOD ne doivent jamais partager un sous-réseau avec des serveurs d'entreprise, des systèmes de point de vente ou des infrastructures critiques.

La mise en œuvre d'une architecture stricte à trois zones est requise :

  1. Zone d'entreprise (VLAN 10) : Appareils gérés appartenant à l'entreprise avec un accès complet aux ressources internes.
  2. Zone BYOD (VLAN 20) : Appareils appartenant aux employés. Cette zone doit disposer d'un accès Internet et d'un accès restreint et hautement surveillé à des applications internes spécifiques (par exemple, via un proxy inverse ou un VPN interne).
  3. Zone Invités (VLAN 30) : Appareils des visiteurs. Accès Internet uniquement. L'isolation des clients doit être activée pour empêcher les communications de pair à pair.

network_segmentation_diagram.png

Intégration du Mobile Device Management (MDM)

Pour imposer la conformité sur les appareils personnels, l'intégration d'un MDM est essentielle. Des solutions comme Microsoft Intune ou Jamf permettent au service informatique d'imposer des règles de sécurité de base — telles que des versions minimales du système d'exploitation, des verrouillages d'écran actifs et l'absence de root — avant de délivrer le certificat EAP-TLS requis pour l'accès au réseau. Si un appareil n'est plus conforme, le MDM révoque le certificat, coupant immédiatement l'accès WiFi.

Guide de mise en œuvre : Déploiement étape par étape

Le déploiement d'une architecture BYOD sécurisée nécessite une orchestration minutieuse entre le contrôleur LAN sans fil (WLC), le fournisseur d'identité (IdP) et la plateforme MDM.

Phase 1 : Préparation de l'infrastructure

  1. Configurer les VLANs : Créez les différents VLANs sur vos commutateurs principaux et propagez-les vers les points d'accès. Assurez-vous que le routage inter-VLAN est refusé par défaut au niveau du pare-feu.
  2. Déployer RADIUS : Implémentez un serveur RADIUS (par exemple, Cisco ISE, Aruba ClearPass ou un RADIUS cloud) intégré à votre annuaire d'entreprise (Active Directory, Entra ID).

Phase 2 : Configuration de l'Autorité de Certification et du MDM

  1. Établir une PKI : Configurez une autorité de certification (CA) pour délivrer les certificats clients.
  2. Configurer SCEP/EST : Activez le protocole SCEP (Simple Certificate Enrollment Protocol) ou EST (Enrollment over Secure Transport) pour automatiser la distribution des certificats aux appareils.
  3. Définir les politiques MDM : Dans votre MDM, créez une politique de conformité qui vérifie l'état de sécurité de l'appareil. Créez un profil WiFi contenant la configuration EAP-TLS et l'URL SCEP à pousser vers les appareils conformes.

byod_onboarding_flow.png

Phase 3 : L'expérience d'intégration (Onboarding)

Le processus d'intégration doit être fluide pour éviter de surcharger le support technique.

  1. SSID de provisionnement : Diffusez un SSID de provisionnement ouvert ou WPA3-SAE.
  2. Redirection vers le Captive Portal : Lorsque les utilisateurs se connectent, redirigez-les vers un Captive Portal. Ici, la plateforme Guest WiFi de Purple peut servir de point de contact initial, guidant les utilisateurs pour télécharger le profil MDM.
  3. Transition automatisée : Une fois le profil MDM installé et le certificat provisionné, l'appareil se déconnecte automatiquement du SSID de provisionnement et se connecte au SSID BYOD sécurisé en 802.1X.

Bonnes pratiques et normes de l'industrie

Pour maintenir une posture de sécurité robuste, respectez les bonnes pratiques suivantes :

  • Imposer l'isolation des clients : Sur les VLANs Invités et BYOD, activez l'isolation des clients au niveau du point d'accès. Cela empêche tout mouvement latéral si un appareil personnel est compromis.
  • Implémenter WPA3-Enterprise : Passez de WPA2 à WPA3-Enterprise pour bénéficier des cadres de gestion protégés (PMF) obligatoires et de suites cryptographiques améliorées.
  • Tirer parti d'OpenRoaming : Pour une connectivité fluide et sécurisée dans l'ensemble des sites, envisagez d'implémenter OpenRoaming. Purple agit en tant que fournisseur d'identité gratuit pour OpenRoaming sous la licence Connect, simplifiant l'accès sécurisé sans intégration manuelle.
  • Surveillance continue : Utilisez WiFi Analytics pour surveiller les modèles de trafic. Une consommation de bande passante inhabituelle ou des tentatives de connexion provenant du sous-réseau BYOD doivent déclencher des alertes automatisées.
  • Alignement de la conformité : Assurez-vous que vos politiques BYOD s'alignent sur les réglementations en vigueur. Par exemple, dans le secteur de la santé, la ségrégation du trafic BYOD est cruciale pour la conformité GDPR et d'autres normes, comme détaillé dans WiFi in Hospitals: A Guide to Secure Clinical Networks .

Dépannage et atténuation des risques

Même avec une architecture robuste, des problèmes surviendront. Voici les modes de défaillance courants et les stratégies d'atténuation :

Expiration des certificats

Risque : Les appareils perdent soudainement la connectivité lorsque leurs certificats clients expirent. Atténuation : Configurez le MDM pour renouveler automatiquement les certificats 30 jours avant leur expiration via SCEP. Implémentez une surveillance sur l'autorité de certification (CA) pour alerter le service informatique des expirations imminentes.

Randomisation des adresses MAC Android

Risque : Les appareils iOS et Android modernes randomisent leurs adresses MAC par défaut, ce qui peut perturber les contrôles d'accès basés sur l'adresse MAC ou les règles de contournement du Captive Portal. Atténuation : Appuyez-vous entièrement sur l'identité 802.1X (le certificat) plutôt que sur l'adresse MAC pour l'authentification et l'application des politiques.

Points d'accès non autorisés (Rogue AP)

Risque : Les employés peuvent brancher des routeurs personnels pour contourner les restrictions, créant ainsi des points d'accès non autorisés. Atténuation : Activez la détection des Rogue AP sur votre contrôleur LAN sans fil (WLC) d'entreprise (par exemple, lors de la gestion d'un déploiement Wireless Access Point Ruckus ) et configurez les ports des commutateurs pour qu'ils se désactivent en cas de détection de plusieurs adresses MAC (Port Security).

ROI et impact commercial

La sécurisation du WiFi BYOD n'est pas un simple centre de coûts ; elle apporte une valeur commerciale mesurable :

  1. Réduction de la charge de travail du support technique : L'automatisation de l'attribution des certificats via MDM réduit les tickets de réinitialisation de mot de passe et les demandes d'intégration manuelle jusqu'à 80 %.
  2. Atténuation des risques : Une segmentation stricte et des contrôles de conformité réduisent considérablement la probabilité d'une violation de données coûteuse provenant d'un appareil personnel compromis.
  3. Productivité accrue : Les employés bénéficient d'un accès fluide et sécurisé aux ressources nécessaires sur leurs appareils préférés, améliorant ainsi l'efficacité globale.
  4. Analyses basées sur les données : En acheminant le trafic BYOD et des invités via une plateforme d'analyse, les sites peuvent recueillir des informations exploitables sur l'utilisation de l'espace et les temps de séjour.

Pour une perspective plus large sur la manière dont les appareils personnels s'intègrent dans des écosystèmes de réseau plus vastes, reportez-vous à notre guide sur les Réseaux Personnels (PAN) : Technologies, Applications, Sécurité et Tendances Futures .

Définitions clés

802.1X

Une norme IEEE pour le contrôle d'accès réseau basé sur les ports (PNAC) qui fournit un mécanisme d'authentification aux appareils souhaitant se connecter à un LAN ou un WLAN.

Le protocole fondamental qui empêche les appareils non autorisés de faire transiter du trafic sur le réseau de l'entreprise.

EAP-TLS

Extensible Authentication Protocol-Transport Layer Security. Une méthode d'authentification qui utilise une infrastructure à clés publiques (PKI) et des certificats côté client.

La référence absolue pour l'authentification BYOD, éliminant le besoin de mots de passe et protégeant contre le vol d'identifiants.

MDM (Mobile Device Management)

Logiciel qui permet aux administrateurs informatiques de contrôler, sécuriser et appliquer des politiques sur les smartphones, tablettes et ordinateurs portables.

Utilisé pour vérifier la conformité de l'appareil avant de délivrer le certificat requis pour rejoindre le WiFi BYOD.

Network Segmentation

La pratique consistant à diviser un réseau informatique en plusieurs sous-réseaux ou VLAN afin d'améliorer les performances et la sécurité.

Crucial pour garantir que les appareils personnels compromis ne puissent pas accéder aux serveurs de l'entreprise ou aux systèmes de point de vente.

Client Isolation

Une fonctionnalité de sécurité de réseau sans fil qui empêche les appareils connectés au même point d'accès de communiquer directement entre eux.

Doit être activé sur les réseaux Invités et BYOD pour empêcher la propagation de logiciels malveillants de pair à pair ou les déplacements latéraux.

SCEP (Simple Certificate Enrollment Protocol)

Un protocole conçu pour rendre la délivrance et la révocation de certificats numériques aussi évolutives que possible.

Utilisé par le MDM pour déployer automatiquement et de manière transparente des certificats EAP-TLS sur les appareils BYOD conformes.

RADIUS

Remote Authentication Dial-In User Service. Un protocole réseau qui fournit une gestion centralisée de l'authentification, de l'autorisation et de la comptabilité (AAA).

Le serveur qui vérifie le certificat de l'appareil par rapport à l'annuaire et indique au WLC s'il doit autoriser la connexion.

WPA3-Enterprise

La dernière génération de sécurité WiFi, offrant une force cryptographique améliorée et des cadres de gestion protégés (PMF) obligatoires.

Le standard de sécurité recommandé pour les déploiements BYOD modernes afin de prévenir les attaques de désauthentification.

Exemples concrets

Un hôtel de 200 chambres doit permettre à son personnel d'utiliser des smartphones personnels pour accéder à une application de ménage basée sur le cloud, mais doit s'assurer que ces appareils ne peuvent pas accéder au système de gestion de l'établissement (PMS) ni au réseau WiFi invité.

  1. Configurer un VLAN BYOD dédié (par exemple, VLAN 20) sur le commutateur central et le WLC.
  2. Créer un SSID 802.1X (par exemple, « Staff-BYOD ») mappé sur le VLAN 20.
  3. Intégrer un MDM (par exemple, Intune) pour déployer des certificats EAP-TLS uniquement sur les appareils qui respectent les exigences de sécurité minimales.
  4. Configurer des règles de pare-feu à la périphérie : autoriser l'accès Internet sortant pour le VLAN 20 afin de joindre l'application de ménage cloud. Interdire explicitement le routage du VLAN 20 vers le VLAN d'entreprise (où réside le PMS) et le VLAN invité.
Commentaire de l'examinateur : Cette approche équilibre parfaitement les besoins opérationnels et la sécurité. En s'appuyant sur EAP-TLS, l'hôtel évite les mots de passe partagés. Les règles strictes du pare-feu garantissent que même si l'appareil personnel d'un membre du personnel est compromis par un logiciel malveillant, l'infection ne peut pas se propager latéralement vers les serveurs critiques du PMS.

Une grande chaîne de vente au détail enregistre un volume élevé d'appels au centre d'assistance en raison de l'expiration des certificats BYOD des employés, ce qui bloque l'accès du personnel au réseau d'inventaire.

  1. Auditer l'intégration du MDM et de l'autorité de certification (CA).
  2. Configurer la politique MDM pour utiliser SCEP (Simple Certificate Enrollment Protocol) afin d'automatiser le renouvellement des certificats.
  3. Définir le seuil de renouvellement pour qu'il se déclenche 30 jours avant la date d'expiration du certificat.
  4. Mettre en œuvre un système d'alerte sur l'autorité de certification pour notifier l'équipe des opérations informatiques en cas d'échec d'un lot de renouvellements.
Commentaire de l'examinateur : La gestion du cycle de vie des certificats est un point de défaillance courant dans les déploiements BYOD. Passer d'un provisionnement manuel à des renouvellements SCEP automatisés transforme un goulot d'étranglement du centre d'assistance en un processus d'arrière-plan silencieux et automatisé, améliorant considérablement le ROI.

Questions d'entraînement

Q1. Un directeur informatique d'hôpital souhaite autoriser les médecins visiteurs à utiliser leurs iPads personnels pour consulter des plannings non sensibles. Le directeur propose de placer ces iPads sur le VLAN d'entreprise existant pour simplifier le routage. Quel est le risque principal et quelle est l'approche architecturale correcte ?

Conseil : Considérez le principe du moindre privilège et l'impact d'un appareil personnel compromis sur les systèmes cliniques.

Voir la réponse type

Le risque principal est le mouvement latéral ; si l'iPad d'un médecin visiteur est infecté par un malware, le placer sur le VLAN d'entreprise expose les systèmes cliniques critiques et les dossiers de santé électroniques (DSE) à une compromission potentielle. L'approche correcte consiste à mettre en œuvre un VLAN BYOD ou Partenaire dédié avec des règles de pare-feu strictes qui n'autorisent que l'accès sortant vers l'application de planification spécifique, en refusant explicitement le routage vers le VLAN d'entreprise.

Q2. Votre réseau utilise actuellement le contournement d'authentification par adresse MAC (MAB) pour autoriser les appareils personnels des cadres sur un réseau WiFi privilégié. Les cadres se plaignent de devoir réenregistrer fréquemment leurs nouveaux iPhones. Pourquoi cela se produit-il et comment devez-vous reconcevoir le mécanisme d'authentification ?

Conseil : Pensez aux fonctionnalités de confidentialité des OS mobiles modernes concernant les identifiants matériels.

Voir la réponse type

Cela se produit parce que les appareils iOS (et Android) modernes utilisent par défaut la randomisation MAC pour protéger la confidentialité des utilisateurs, ce qui signifie que l'adresse MAC change, rompant ainsi les règles MAB. Pour corriger cela, vous devez abandonner l'authentification basée sur le MAC et implémenter le 802.1X avec EAP-TLS. En déployant un MDM pour pousser des certificats clients uniques sur les appareils des cadres, l'authentification devient liée à une identité cryptographique plutôt qu'à un identifiant matériel volatil.

Q3. Lors d'un déploiement BYOD, vous décidez d'utiliser EAP-PEAP (nom d'utilisateur et mot de passe) au lieu d'EAP-TLS pour gagner du temps sur la configuration d'une autorité de certification. Quelle vulnérabilité de sécurité spécifique cela introduit-il ?

Conseil : Considérez comment les appareils vérifient le réseau auquel ils se connectent et comment les identifiants sont transmis.

Voir la réponse type

L'utilisation d'EAP-PEAP introduit un risque de vol d'identifiants via des attaques de type Man-in-the-Middle (MitM) ou des points d'accès illégitimes. Si un appareil n'est pas configuré pour valider strictement le certificat du serveur (ce qui est courant sur les appareils BYOD non gérés), un attaquant peut diffuser un SSID usurpé, intercepter la poignée de main PEAP et capturer les identifiants d'entreprise de l'utilisateur. EAP-TLS atténue entièrement ce risque en exigeant une authentification mutuelle par certificat.

Continuer la lecture de cette série

Comment configurer SCEP pour l'enrôlement automatisé de certificats WiFi d'entreprise

Ce guide explique comment configurer SCEP (Simple Certificate Enrollment Protocol) pour l'enrôlement automatisé de certificats WiFi d'entreprise, couvrant l'architecture complète depuis la PKI et le NDES jusqu'au déploiement de profils MDM et à la validation RADIUS. Il s'adresse aux responsables informatiques, architectes réseau et CTO d'hôtels, de chaînes de vente au détail, de stades, de centres de conférence et d'organisations du secteur public qui souhaitent dépasser les clés pré-partagées et mettre en œuvre une authentification 802.1X EAP-TLS évolutive et basée sur l'identité. La plateforme cloud overlay de Purple, indépendante du matériel, s'intègre directement à cette architecture, fournissant la couche WiFi pour les invités et le BYOD qui coexiste avec votre réseau d'employés authentifié par certificat.

Lire le guide →

Le guide de l'entreprise pour SCEP : Déployer le protocole SCEP (Simple Certificate Enrollment Protocol) pour la sécurité automatisée du WiFi sur les campus

Ce guide de référence technique fournit un schéma d'architecture définitif et une stratégie d'implémentation étape par étape pour le déploiement de certificats WiFi d'entreprise à l'aide de SCEP. Il présente les différences cruciales entre SCEP et PKCS, la séquence de déploiement exacte requise pour réussir, ainsi que des stratégies concrètes de mitigation des risques pour les responsables informatiques.

Lire le guide →

Comment implémenter SCEP pour l'enrôlement automatisé de certificats WiFi

Ce guide explique comment implémenter SCEP (Simple Certificate Enrollment Protocol) pour l'enrôlement automatisé de certificats WiFi dans les établissements d'entreprise. Il couvre l'ensemble du schéma architectural - de la conception de la PKI et l'intégration MDM à la séquence de déploiement obligatoire en trois étapes - et montre aux responsables informatiques et architectes réseau comment éliminer les identifiants partagés, automatiser la gestion du cycle de vie des certificats et respecter les exigences PCI DSS et GDPR à grande échelle.

Lire le guide →