Serveur RADIUS : un guide complet pour les entreprises

Ce guide fournit aux responsables informatiques, architectes réseau et directeurs techniques une référence technique définitive sur l'authentification serveur RADIUS pour le WiFi d'entreprise. Il couvre le framework AAA, l'architecture 802.1X, la sélection de la méthode EAP, les arbitrages de déploiement entre cloud et sur site, ainsi que l'attribution dynamique de VLAN. Les exploitants de sites dans l'hôtellerie, le commerce, l'événementiel et le secteur public y trouveront des conseils de mise en œuvre pratiques, des études de cas réelles et les cadres décisionnels nécessaires pour migrer de clés prépartagées non sécurisées vers une architecture de contrôle d'accès réseau sécurisée et basée sur l'identité.

📖 9 min de lecture📝 2,075 mots🔧 2 exemples concrets❓ 4 questions d'entraînement📚 10 définitions clés

Écouter ce guide

Voir la transcription du podcast

Bienvenue dans ce point technique Purple. Je suis votre hôte et, au cours des dix prochaines minutes, nous allons aborder l'une des décisions d'infrastructure les plus cruciales pour toute équipe informatique d'entreprise : l'authentification par serveur RADIUS. Si vous êtes responsable informatique, architecte réseau ou CTO en charge du WiFi au sein d'un hôtel, d'une chaîne de magasins, d'un stade ou d'un centre de conférences, ce briefing est pour vous. Nous allons éviter le jargon, expliquer l'architecture de manière claire et vous fournir les informations pratiques nécessaires pour prendre des décisions éclairées ce trimestre.

Commençons par une vue d'ensemble. Pourquoi tout cela est-il si important ?

Si vous gérez encore le WiFi de vos invités ou de votre personnel à l'aide d'un mot de passe unique partagé (une clé prépartagée), vous vous exposez à un risque de sécurité important et croissant. Ce mot de passe est partagé, écrit sur des reçus, photographié sur des tableaux blancs et transféré via des applications de messagerie. Une fois divulgué, vous n'avez plus aucune visibilité sur les personnes présentes sur votre réseau, aucune possibilité de révoquer l'accès d'un seul utilisateur sans perturber tous les autres, et aucun journal d'audit en cas de problème. Pour les organisations soumises aux normes PCI DSS, GDPR ou HIPAA, il ne s'agit pas seulement d'un problème technique. C'est une faille de conformité.

Le serveur RADIUS est la solution vers laquelle l'industrie a convergé pour répondre à ce problème. Voyons donc précisément ce que c'est et comment cela fonctionne.

RADIUS signifie Remote Authentication Dial-In User Service. Ce nom est un héritage historique des débuts de l'accès à Internet par ligne commutée, mais le protocole a considérablement évolué et reste aujourd'hui le pilier du contrôle d'accès au réseau d'entreprise. À la base, un serveur RADIUS est un système centralisé qui gère l'accès au réseau à l'aide d'un cadre appelé AAA : Authentification, Autorisation et Comptabilisation (Accounting). Ces trois piliers sont le fondement de tout ce dont nous allons parler aujourd'hui.

L'authentification est le premier pilier : vérifier qui est l'utilisateur. L'autorisation est le second : déterminer ce qu'il est autorisé à faire. Et la comptabilisation est le troisième : enregistrer ce qu'il a réellement fait.

Explorons chacun d'entre eux.

L'authentification. Lorsqu'un utilisateur tente de se connecter à un réseau WiFi sécurisé par WPA2-Enterprise ou WPA3-Enterprise, son appareil, que nous appelons le Supplicant, envoie une demande de connexion au point d'accès sans fil. Le point d'accès, que nous appelons l'Authentificateur, ne prend pas lui-même la décision d'authentification. Il agit comme un relais, transmettant la demande au serveur RADIUS. Le serveur valide ensuite l'identité de l'utilisateur par rapport à une source d'identité configurée. Il peut s'agir de Microsoft Entra ID, d'Okta, de Google Workspace ou d'une base de données d'utilisateurs locale. La source d'identité est la source unique de vérité pour déterminer qui est autorisé sur votre réseau.

Autorisation. Une fois l'utilisateur authentifié, le serveur RADIUS ne se contente pas de donner son feu vert et de se retirer. Il indique également au point d'accès exactement ce qu'il doit faire de cet utilisateur. Il renvoie un ensemble d'attributs, essentiellement des instructions, qui définissent l'expérience réseau de l'utilisateur. Le plus important de ces attributs est généralement l'attribution du VLAN. Le serveur RADIUS peut par exemple indiquer : cet utilisateur est membre du groupe du personnel de l'entreprise, attribuez-lui le VLAN dix, qui a accès aux serveurs de fichiers internes et aux imprimantes. Ou encore : cet utilisateur est un invité, attribuez-lui le VLAN vingt, qui dispose uniquement d'un accès internet et est complètement isolé du réseau de l'entreprise. Cette attribution dynamique de VLAN est l'une des fonctionnalités les plus puissantes du serveur RADIUS, et c'est le mécanisme qui permet une segmentation adéquate du réseau.

Comptabilité (Accounting). Le troisième pilier est souvent négligé, mais il est d'une importance capitale pour la conformité et les opérations. Au fur et à mesure que la session d'un utilisateur progresse, le serveur RADIUS enregistre des informations clés : l'heure de connexion, l'heure de déconnexion, la durée totale de la session, la quantité de données transférées et l'adresse MAC de son appareil. Cela crée une piste d'audit détaillée pour chaque connexion sur votre réseau. Sous la version quatre de la norme PCI DSS, ce type de journalisation n'est pas facultatif. C'est une exigence stricte. Et en cas d'incident de sécurité, ces journaux sont précieux pour l'investigation numérique.

Parlons maintenant de la norme technique qui permet de faire fonctionner tout cela : IEEE 802.1X.

Le 802.1X est la norme qui définit le contrôle d'accès réseau basé sur les ports. C'est le protocole qui permet à un point d'accès de bloquer tout le trafic réseau provenant d'un appareil jusqu'à ce que le serveur RADIUS ait confirmé que l'appareil est autorisé. La communication entre l'appareil de l'utilisateur et le point d'accès utilise un protocole appelé EAP (Extensible Authentication Protocol). L'EAP est essentiellement un framework qui prend en charge plusieurs méthodes d'authentification.

Les trois méthodes EAP les plus courantes dans le WiFi d'entreprise sont : PEAP (Protected Extensible Authentication Protocol), EAP-TTLS et EAP-TLS.

Le PEAP et l'EAP-TTLS sont des méthodes basées sur des identifiants. Elles créent un tunnel chiffré entre l'appareil et le serveur RADIUS, puis le nom d'utilisateur et le mot de passe de l'utilisateur sont vérifiés à l'intérieur de ce tunnel. Elles sont relativement faciles à déployer et fonctionnent bien dans les environnements où vous n'êtes pas encore prêt pour une infrastructure de certificats complète.

L'EAP-TLS est la référence absolue. Elle est basée sur des certificats, ce qui signifie que le serveur et l'appareil client présentent tous deux des certificats numériques pour s'authentifier mutuellement. Aucun mot de passe n'intervient. Cela élimine complètement le risque de vol d'identifiants, d'attaques de phishing et d'attaques de l'homme du milieu. Pour les appareils de l'entreprise, l'EAP-TLS est la méthode d'authentification vers laquelle vous devriez tendre.

Parlons maintenant des modèles de déploiement. En ce qui concerne le serveur RADIUS, vous disposez de deux options principales : sur site (on-premises) et hébergé dans le cloud.Le RADIUS sur site, utilisant des plateformes telles que FreeRADIUS ou Microsoft Network Policy Server, vous offre un contrôle complet sur l'infrastructure. Pour un site unique de grande taille, comme un stade ou un hôpital, cela peut être le bon choix. Les demandes d'authentification transitent par le réseau local, ce qui vous offre des temps de réponse inférieurs à la milliseconde. Et si votre annuaire d'identités est un Active Directory sur site qui ne peut pas être exposé à Internet pour des raisons de conformité, un serveur RADIUS sur site est souvent votre seule option viable.

Cependant, pour les organisations multi-sites, le RADIUS sur site introduit une charge opérationnelle importante. Vous devez gérer des instances de serveur distinctes sur chaque site, gérer les renouvellements de certificats manuellement et faire face aux conséquences en cas de problème à deux heures du matin.

Le Cloud RADIUS change totalement la donne. L'infrastructure est hébergée à l'échelle mondiale dans plusieurs zones de disponibilité. Lorsqu'un utilisateur se connecte sur un site distant, la demande est acheminée vers le nœud périphérique cloud le plus proche. La haute disponibilité est intégrée par défaut. De plus, la rotation des certificats est automatisée, ce qui élimine la cause la plus courante d'interruption de l'authentification dans les déploiements sur site.

Pour les organisations multi-sites disposant de fournisseurs d'identité natifs du cloud tels que Microsoft Entra ID, Okta ou Google Workspace, le Cloud RADIUS est presque toujours le choix supérieur sur le plan opérationnel. Le Cloud RADIUS de Purple s'intègre directement avec Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme et Fortinet. Cela signifie que vous pouvez déployer la solution sur l'ensemble de votre parc de matériel sans remplacer un seul point d'accès.

Laissez-moi partager deux scénarios réels pour rendre cela plus concret.

Le premier est un groupe hôtelier européen comptant 45 établissements répartis dans six pays. L'équipe informatique gérait FreeRADIUS sur des machines virtuelles dans chaque établissement, soit 45 instances distinctes à patcher, surveiller et maintenir. Lorsqu'un certificat a expiré dans un établissement, cela a provoqué une interruption totale du WiFi des clients lors d'une conférence majeure. Ils ont migré vers un service Cloud RADIUS, centralisant la gestion des politiques et éliminant la maintenance par site. L'équipe de trois ingénieurs a récupéré environ 40 pour cent du temps qu'elle consacrait auparavant à la maintenance du RADIUS.

Le second scénario est un stade de sport national de 68 000 places. L'équipe informatique avait des exigences strictes en matière de souveraineté des données. Tous les journaux d'authentification devaient rester sur le sol britannique. Ils ont déployé un double cluster RADIUS sur site en configuration actif-actif, avec un cluster secondaire dans un centre de colocalisation situé à 30 kilomètres. Cela leur a permis de bénéficier d'un contrôle local, d'une authentification inférieure à la milliseconde et de la capacité à gérer les pics de trafic sans dépendre de la connectivité Internet.

Ces deux scénarios illustrent clairement le cadre de décision. Choisissez Cloud RADIUS si vous disposez d'un parc multisite distribué, de fournisseurs d'identité natifs du cloud et d'une petite équipe informatique centrale. Choisissez une solution sur site si vous disposez d'un seul site d'envergure avec des exigences strictes en matière de souveraineté des données ou d'un environnement de sécurité isolé physiquement (air-gapped).

Passons maintenant aux questions les plus fréquemment posées.

Premièrement : quelle est la différence entre un serveur RADIUS et un Captive Portal ? Un Captive Portal est la page de connexion que les invités voient lorsqu'ils se connectent. Il fonctionne avec RADIUS. Le portail est l'interface utilisateur ; le serveur RADIUS est le moteur d'arrière-plan (back-end).

Deuxièmement : puis-je utiliser RADIUS pour les réseaux filaires ? Absolument. La norme 802.1X s'applique de la même manière à l'Ethernet filaire et aux réseaux sans fil.

Troisièmement : que se passe-t-il si mon fournisseur de Cloud RADIUS subit une panne ? Les fournisseurs réputés publient des accords de niveau de service garantissant un taux de disponibilité de 99,99 %, soutenu par une redondance multi-région. Configurez toujours vos points d'accès avec une politique de secours, soit un accès ouvert à un VLAN restreint, soit des identifiants mis en cache localement, pour gérer ce scénario en toute fluidité.

Quatrièmement : comment RADIUS interagit-il avec le WiFi invité ? Pour les établissements proposant du WiFi à leurs visiteurs, l'intégration de votre infrastructure de serveur RADIUS avec une solution de Captive Portal crée un modèle d'accès hiérarchisé. Le personnel et les appareils de l'entreprise s'authentifient silencieusement via 802.1X, tandis que les invités sont redirigés vers un portail personnalisé pour leur accueil. La plateforme de Purple capture ensuite des données de première main et fournit des analyses sur le comportement des visiteurs, transformant ainsi votre réseau d'un centre de coûts en un actif de business intelligence.

En résumé. Le serveur RADIUS est le protocole centralisé qui assure la sécurité du WiFi d'entreprise. Il met en œuvre le cadre AAA pour vous offrir un contrôle granulaire sur l'accès à votre réseau, sur les actions des utilisateurs, ainsi qu'un journal d'audit complet de leur activité. Pour les exploitants de sites, les hôteliers, les détaillants et les organisations du secteur public, le déploiement d'un serveur RADIUS est l'étape fondamentale pour créer une infrastructure WiFi sécurisée, conforme et gérée de manière professionnelle.

Votre prochaine étape est claire. Si vous utilisez encore des clés pré-partagées, commencez à planifier votre migration dès aujourd'hui. Vérifiez la compatibilité de votre matériel actuel avec WPA3-Enterprise, évaluez vos options d'intégration d'annuaires d'identité et explorez une plateforme Cloud RADIUS capable d'évoluer avec votre organisation.

Pour obtenir d'autres guides techniques et ressources de mise en œuvre, visitez notre site purple dot ai. À la prochaine, et restez en sécurité.

Points clés à retenir

✓Le serveur RADIUS est la norme de l'industrie pour le contrôle d'accès au réseau d'entreprise, remplaçant les clés pré-partagées non sécurisées par une authentification basée sur l'identité via le framework AAA.
✓L'attribution dynamique de VLAN est le mécanisme qui applique la segmentation du réseau - un contrôle obligatoire pour la conformité PCI DSS dans les environnements de vente au détail et d'hôtellerie.
✓EAP-TLS est la méthode d'authentification de référence, éliminant totalement les mots de passe via la validation mutuelle des certificats entre le client et le serveur.
✓Le Cloud RADIUS est opérationnellement supérieur pour les sites multiples disposant de petites équipes informatiques centrales, offrant une rotation automatisée des certificats, une haute disponibilité intégrée et une gestion centralisée des politiques.
✓Un serveur RADIUS sur site reste le choix approprié pour les grands sites uniques ayant des exigences de souveraineté des données, des environnements isolés (air-gapped) ou des annuaires locaux hérités.
✓L'expiration des certificats est la principale cause d'interruption de service des serveurs RADIUS sur site - configurez des alertes de surveillance à 60 jours, 30 jours et 7 jours avant l'expiration.
✓Le Cloud RADIUS de Purple s'intègre avec Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme et Fortinet sur plus de 80 000 sites actifs avec une disponibilité de 99,999 %.

Synthèse

Pour les responsables informatiques, les architectes réseau et les directeurs de la technologie opérant dans les secteurs de l' hôtellerie , du commerce de détail , des transports et des grands espaces publics, la sécurisation des accès sans fil est une exigence opérationnelle fondamentale - et non une mise à niveau optionnelle. S'appuyer sur une clé pré-partagée (PSK) pour l'accès WiFi constitue une faille de sécurité majeure. Un seul identifiant compromis expose l'ensemble du réseau, et la révocation de l'accès nécessite de modifier le mot de passe de tous les appareils du parc. L'implémentation de l'authentification 802.1X via une architecture de serveur RADIUS (Remote Authentication Dial-In User Service) élimine ce problème. Chaque utilisateur s'authentifie individuellement, l'accès peut être révoqué instantanément et la segmentation du réseau est appliquée de manière dynamique.

Le serveur RADIUS met en œuvre le framework AAA : Authentification, Autorisation et Traçabilité (Accounting). Il valide les identités par rapport à des annuaires tels que Microsoft Entra ID, Okta ou Google Workspace, affecte les utilisateurs au segment de réseau approprié via l'attribution dynamique de VLAN et maintient un journal d'audit détaillé pour chaque session. Pour les organisations soumises aux normes PCI DSS, GDPR ou Cyber Essentials, ce journal d'audit n'est pas facultatif. Il s'agit d'une exigence de conformité stricte. Le serveur Cloud RADIUS de Purple sécurise le personnel et les appareils de l'entreprise via une authentification 802.1X basée sur des certificats, s'intégrant avec Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme et Fortinet sur plus de 80 000 sites actifs.

Analyse technique approfondie : architecture du serveur RADIUS

La norme IEEE 802.1X définit le contrôle d'accès réseau basé sur les ports (PNAC). Dans un contexte sans fil, elle implique trois rôles principaux travaillant de concert pour sécuriser la périphérie du réseau.

Rôle	Composant	Responsabilité
Supplicant	Appareil client (ordinateur portable, smartphone)	Présente les identifiants pour demander l'accès au réseau
Authentificateur	Point d'accès ou contrôleur WiFi	Applique le contrôle d'accès ; relaye les messages EAP
Serveur d'authentification	Serveur RADIUS	Valide les identifiants ; renvoie l'acceptation ou le rejet ainsi que les attributs de politique

Lorsqu'un supplicant s'associe à un point d'accès, le point d'accès bloque tout le trafic de données à l'exception des messages EAP (Extensible Authentication Protocol). Le point d'accès encapsule ces messages EAP dans des paquets RADIUS et les transmet au serveur RADIUS via le port UDP 1812. Le serveur vérifie les identifiants par rapport à un annuaire d'arrière-plan et renvoie un message Access-Accept ou Access-Reject. S'il est accepté, le point d'accès débloque le port et le trafic client circule librement.

Le framework AAA en pratique

L'authentification est le premier pilier : vérifier l'identité d'une personne. Lorsqu'un appareil se connecte à un SSID WPA3-Enterprise, le serveur RADIUS vérifie les identifiants ou le certificat présentés par rapport à la source d'identité configurée. Microsoft Entra ID, Okta et Google Workspace sont les fournisseurs d'identité cloud de référence qui s'intègrent directement aux plateformes Cloud RADIUS modernes.

L'autorisation est le deuxième pilier : déterminer ce que l'utilisateur authentifié peut faire. Le serveur RADIUS renvoie des attributs RADIUS au point d'accès, le plus critique étant l'ID de VLAN. Un membre de l'équipe financière se retrouve sur le VLAN 10 avec un accès aux systèmes internes. Un prestataire externe se retrouve sur le VLAN 20 avec un accès Internet uniquement. Un invité se retrouve sur le VLAN 30, isolé de toutes les ressources de l'entreprise. Cette attribution dynamique de VLAN est le mécanisme qui permet une segmentation réseau appropriée - un contrôle obligatoire pour la conformité PCI DSS dans les environnements du commerce de détail .

La comptabilité (Accounting) est le troisième pilier : enregistrer ce qui s'est réellement passé. Le serveur RADIUS enregistre les heures de début et de fin de session, la durée de la session, les données transférées et l'adresse MAC de chaque appareil. Sous la norme PCI DSS v4.0, cette journalisation est une exigence stricte. En cas d'incident de sécurité, ces journaux constituent la base de toute enquête d'analyse forensique.

Sélection de la méthode EAP

La sécurité de votre déploiement de serveur RADIUS dépend fortement de la méthode EAP sélectionnée. Les trois méthodes les plus courantes dans le WiFi d'entreprise sont PEAP, EAP-TTLS et EAP-TLS.

PEAP-MSCHAPv2 est la méthode la plus largement déployée. Elle crée un tunnel TLS chiffré à l'aide d'un certificat côté serveur, au sein duquel l'utilisateur s'authentifie avec un nom d'utilisateur et un mot de passe. Elle est relativement simple à déployer car vous n'avez à gérer qu'un seul certificat : celui du serveur. Cependant, si les appareils clients ne sont pas explicitement configurés pour valider le certificat du serveur, ils sont vulnérables aux attaques par point d'accès rogue (pirate). Un attaquant peut présenter un certificat frauduleux et capturer les identifiants. Il s'agit d'une menace réelle et documentée, et non théorique. Imposez une validation stricte des certificats via des objets de stratégie de groupe (GPO) ou des profils MDM, sans exception.

EAP-TLS est la référence absolue. Elle nécessite des certificats numériques à la fois sur le serveur RADIUS et sur chaque appareil client, éliminant totalement les mots de passe. Même si un attaquant capture l'intégralité de l'échange d'authentification, il n'y a aucun identifiant à extraire. Le compromis réside dans la surcharge administrative : le déploiement et la gestion des certificats clients nécessitent une infrastructure à clés publiques (PKI) et une plateforme MDM telle que Microsoft Intune ou Jamf. Pour les appareils d'entreprise, EAP-TLS est la méthode d'authentification vers laquelle vous devriez tendre. Le Cloud RADIUS de Purple prend en charge EAP-TLS de manière native, avec une gestion automatisée du cycle de vie des certificats.

Guide d'implémentation : cloud vs sur site

Lors du déploiement d'une architecture de serveur RADIUS, les équipes informatiques doivent choisir entre un déploiement hébergé dans le cloud ou sur site. C'est la décision d'architecture la plus importante du projet.

Le RADIUS sur site, utilisant des plateformes comme FreeRADIUS ou Microsoft Network Policy Server (NPS), vous offre un contrôle complet sur l'infrastructure. Pour un site unique de grande taille — un stade, un hôpital ou un établissement public — cela peut être le bon choix. Les demandes d'authentification transitent par le réseau local (LAN), offrant des temps de réponse inférieurs à la milliseconde. Si votre annuaire d'identité est un Active Directory sur site qui ne peut pas être exposé à Internet pour des raisons de souveraineté des données, un serveur RADIUS sur site est souvent votre seule option viable.

Cependant, pour les organisations multi-sites, le RADIUS sur site introduit une charge opérationnelle importante. Vous devez gérer des instances de serveur distinctes sur chaque site, gérer les renouvellements de certificats manuellement et répondre aux pannes à deux heures du matin lorsqu'un certificat expire. Pour une chaîne de vente au détail de 50 magasins, cela signifie 50 instances RADIUS distinctes à corriger, surveiller et maintenir.

Le Cloud RADIUS change complètement la donne. L'infrastructure est hébergée mondialement sur plusieurs zones de disponibilité. Lorsqu'un utilisateur se connecte dans une succursale, la demande est acheminée vers le nœud périphérique cloud le plus proche. La haute disponibilité est intégrée par défaut. La rotation des certificats est automatisée, éliminant la cause la plus fréquente de pannes d'authentification dans les déploiements sur site. Pour les organisations multi-sites disposant de fournisseurs d'identité cloud-native comme Microsoft Entra ID, Okta ou Google Workspace, Cloud RADIUS est presque toujours le choix le plus performant sur le plan opérationnel.

Le Cloud RADIUS de Purple s'intègre directement avec Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme et Fortinet. Vous déployez sur l'ensemble de votre parc de matériel sans remplacer un seul point d'accès.

Déploiement étape par étape

Étape 1 : Choisissez votre modèle de déploiement. Analysez trois facteurs : votre fournisseur d'identité actuel et s'il est de type cloud-native ; la résilience de votre réseau WAN sur chaque site ; et la capacité de votre équipe à gérer la maintenance continue. Ces trois facteurs déterminent si le cloud ou le sur site est la solution idéale.

Étape 2 : Intégrez votre source d'identité. Connectez votre serveur RADIUS à l'annuaire d'identité de votre organisation. La plupart des plateformes Cloud RADIUS prennent en charge l'intégration directe avec Microsoft Entra ID, Okta et Google Workspace via LDAP ou SAML. Pour un Active Directory sur site, utilisez LDAP via un connecteur sécurisé.

Étape 3 : Configurez votre matériel réseau. Créez un nouveau SSID configuré pour WPA2-Enterprise ou WPA3-Enterprise et pointez-le vers votre serveur RADIUS. Configurez le secret partagé - le mot de passe qui chiffre la communication entre le point d'accès et le serveur RADIUS. Ce secret partagé doit correspondre exactement des deux côtés. Une non-correspondance est l'une des causes les plus courantes d'échecs d'authentification lors du déploiement initial.

Étape 4 : Définissez les politiques d'autorisation. Associez les groupes d'utilisateurs de votre annuaire d'identité aux politiques réseau. Le personnel bénéficie d'un accès complet sur le VLAN 10. Les invités ont un accès uniquement à Internet sur le VLAN 20. Les appareils IoT obtiennent un VLAN restreint avec des règles de pare-feu bloquant les mouvements latéraux.

Étape 5 : Intégrez vos utilisateurs. Pour le personnel de l'entreprise, déployez des profils WiFi via votre plateforme MDM. Pour les invités, utilisez un Captive Portal. La plateforme Guest WiFi de Purple automatise le flux d'intégration des invités, prenant en charge la connexion via les réseaux sociaux, les formulaires d'inscription et les codes promotionnels. Les appareils du personnel et de l'entreprise s'authentifient silencieusement via 802.1X tandis que les invités sont redirigés vers un portail personnalisé - un modèle d'accès multiniveau qui offre à la fois sécurité et WiFi Analytics .

Pour en savoir plus sur l'architecture SSID pour les réseaux d'invités, de personnel et d'IoT, consultez Three SSIDs to rule them all: guest, Passpoint, and IoT WiFi .

Bonnes pratiques

Exigez une validation stricte des certificats sur chaque appareil client. Utilisez des objets de stratégie de groupe (GPO) pour les appareils Windows et des profils MDM pour macOS et les appareils mobiles. Le profil doit spécifier exactement quelle autorité de certification approuver et quel est le nom de serveur attendu. Ne laissez pas l'utilisateur configurer cela manuellement. Le non-respect de cette consigne est le principal vecteur d'attaque pour le vol d'identifiants sur les déploiements PEAP.

Déployez au moins deux instances de serveur RADIUS. Configurez tous les points d'accès pour basculer vers le serveur secondaire si le principal devient inaccessible. Pour Cloud RADIUS, cette redondance est intégrée et gérée par le fournisseur. Pour les solutions sur site, déployez un cluster actif-actif sur deux sites géographiquement distincts.

Utilisez le contournement d'authentification MAC (MAB) pour les appareils IoT sans interface. Les imprimantes, les capteurs et l'affichage dynamique ne peuvent pas présenter d'identifiants 802.1X. Le MAB permet l'authentification basée sur l'adresse MAC. Étant donné que les adresses MAC sont facilement usurpées, associez toujours les appareils authentifiés par MAB à un VLAN restrictif et à des règles de pare-feu bloquant l'accès aux ressources de l'entreprise.

Renouvelez régulièrement les secrets partagés. Le secret partagé entre vos points d'accès et votre serveur RADIUS doit être long, aléatoire et renouvelé périodiquement. Un secret partagé faible ou par défaut compromet l'ensemble de la chaîne d'authentification. Validez la segmentation par des tests d'intrusion. La configuration seule ne constitue pas une preuve. Commandez un test d'intrusion qui inclut explicitement l'environnement sans fil et la validation de la segmentation des VLAN. Un testeur doit tenter activement d'accéder aux ressources de l'entreprise à partir du VLAN invité et documenter le fait que chaque tentative est bloquée. C'est la preuve dont votre évaluateur de sécurité qualifié PCI DSS a besoin.

Dépannage et atténuation des risques

Les modes de défaillance les plus courants dans les déploiements de serveurs RADIUS se divisent en quatre catégories.

Incohérence du secret partagé. Si le secret partagé configuré sur le point d'accès ne correspond pas au secret sur le serveur RADIUS, chaque tentative d'authentification échouera silencieusement. Copiez-collez toujours les secrets partagés au lieu de les saisir manuellement. Vérifiez la configuration des deux côtés avant de tester.

Expiration du certificat. Sur les déploiements sur site, si le certificat du serveur expire, chaque appareil client rejettera la connexion. Cela entraîne une panne complète de l'authentification sans dégradation progressive. Les fournisseurs de Cloud RADIUS automatisent la rotation des certificats, éliminant ainsi ce risque. Pour les déploiements sur site, configurez des alertes de surveillance à 60 jours, 30 jours et sept jours avant l'expiration.

Validation du certificat client non imposée. Si les clients PEAP ne sont pas configurés pour valider le certificat du serveur, ils se connecteront à n'importe quel serveur RADIUS qui répond - y compris les points d'accès malveillants. Imposez la validation des certificats via des profils GPO ou MDM sur chaque appareil géré.

Dépendance au WAN pour le Cloud RADIUS. Le Cloud RADIUS dépend entièrement de la liaison WAN de chaque site. Si la connexion Internet est coupée, l'authentification échoue. Mettez en œuvre une stratégie de survie locale : configurez les points d'accès pour mettre en cache les identifiants du personnel critique, ou utilisez le SD-WAN pour garantir une haute disponibilité de la liaison Internet. Configurez toujours une politique de secours - soit un accès ouvert à un VLAN restreint, soit des identifiants mis en cache localement.

ROI et impact commercial

Le déploiement d'une architecture serveur RADIUS transforme le réseau sans fil d'une vulnérabilité en un actif géré et sécurisé, offrant des avantages opérationnels mesurables.

Pour un groupe hôtelier européen possédant 45 propriétés, la migration de 45 instances FreeRADIUS sur site vers le Cloud RADIUS a permis de récupérer environ 40 % du temps de maintenance de l'équipe informatique centrale (données internes de Purple). Il s'agit d'une capacité d'ingénierie réorientée de la simple maintenance opérationnelle vers des initiatives stratégiques.

Pour une chaîne de magasins se préparant à un audit PCI DSS, une segmentation adéquate du réseau via l'attribution dynamique de VLAN exclut totalement le réseau WiFi invité du périmètre de l'environnement des données des titulaires de cartes. Les plateformes comme le Guest WiFi de Purple fonctionnent sur le VLAN destiné aux invités, complètement isolées du trafic de paiement. La plateforme d'analyse est hors du périmètre PCI, et l'entreprise conserve la liberté de déployer des outils générateurs de revenus - analyses des invités, programmes de fidélité, engagement client - en toute sécurité et confiance.

Pour les organisations comptant plus de 10 sites et moins de cinq ingénieurs réseau, les dépenses d'exploitation prévisibles de Cloud RADIUS offrent généralement un retour sur investissement positif en moins de 18 mois par rapport au maintien d'une infrastructure sur site (données internes Purple). L'acquisition de matériel, l'alimentation, le refroidissement et le temps d'ingénierie pour les déploiements sur site à grande échelle dépassent systématiquement le coût d'abonnement d'un service géré Cloud RADIUS.

Purple opère sur plus de 80 000 sites actifs avec un taux de disponibilité de 99,999 %, la certification ISO 27001, la conformité GDPR et CCPA, et la certification Cyber Essentials. Pour les équipes informatiques qui doivent faire preuve de diligence raisonnable auprès de leur conseil d'administration ou de leurs auditeurs, ces certifications apportent la validation tierce qu'un déploiement sur site auto-géré ne peut pas fournir.

Pour une comparaison détaillée de Cloud RADIUS de Purple avec d'autres plateformes, consultez la comparaison des fonctionnalités et du co-déploiement Aruba ClearPass vs. Purple WiFi .

Définitions clés

Serveur RADIUS

Remote Authentication Dial-In User Service. Un serveur de protocole réseau qui fournit une gestion centralisée de l'authentification, de l'autorisation et de la comptabilisation (AAA) pour l'accès au réseau. Défini dans la RFC 2865 et étendu par les RFC ultérieures.

Le moteur central qui valide les identifiants des utilisateurs par rapport à un annuaire et dicte les politiques d'accès au réseau. Tout déploiement de WiFi d'entreprise utilisant le 802.1X nécessite un serveur RADIUS.

802.1X

Une norme IEEE pour le contrôle d'accès réseau basé sur les ports qui fournit un mécanisme d'authentification pour les appareils souhaitant se connecter à un réseau local (LAN) ou local sans fil (WLAN). Elle définit les rôles de Supplicant, d'Authentificateur et de Serveur d'Authentification.

La norme que les points d'accès utilisent pour communiquer avec le serveur RADIUS. Sans 802.1X, il n'existe aucun mécanisme pour bloquer les appareils non authentifiés en périphérie du réseau.

EAP-TLS

Extensible Authentication Protocol - Transport Layer Security. Une méthode d'authentification nécessitant des certificats numériques à la fois sur l'appareil client et sur le serveur RADIUS. Fournit une authentification mutuelle sans qu'aucun mot de passe ne soit impliqué.

La référence absolue pour l'authentification des appareils d'entreprise. Élimine le vol d'identifiants et les attaques de phishing. Nécessite une infrastructure PKI et une plateforme MDM pour déployer des certificats clients à grande échelle.

PEAP-MSCHAPv2

Protected Extensible Authentication Protocol avec Microsoft Challenge Handshake Authentication Protocol version 2. Utilise un certificat TLS côté serveur pour créer un tunnel chiffré, à l'intérieur duquel l'utilisateur s'authentifie avec un identifiant et un mot de passe.

La méthode d'authentification WiFi d'entreprise la plus courante. Sécurisée uniquement lorsque les clients sont explicitement configurés pour valider le certificat du serveur via des profils GPO ou MDM.

Attribution dynamique de VLAN

Le processus par lequel un serveur RADIUS indique à un point d'accès de placer un utilisateur authentifié sur un réseau local virtuel (VLAN) spécifique en fonction de son identité et de son appartenance à un groupe dans l'annuaire.

Le mécanisme qui applique la segmentation du réseau. Essentiel pour la conformité PCI DSS dans le commerce de détail et l'hôtellerie. Permet à un seul SSID de desservir le personnel, les sous-traitants, les invités et les appareils IoT sur des segments de réseau distincts.

Cadre AAA

Authentification, Autorisation et Comptabilisation (Accounting). Le cadre à trois piliers mis en œuvre par le serveur RADIUS pour gérer l'accès au réseau. L'Authentification vérifie l'identité, l'Autorisation détermine le niveau d'accès, la Comptabilisation enregistre l'activité de la session.

Le fondement conceptuel de tous les déploiements de serveurs RADIUS. La norme PCI DSS v4.0 exige que les trois piliers soient mis en œuvre pour les réseaux traitant des données de paiement.

Supplicant

L'appareil client (ordinateur portable, smartphone, capteur IoT) qui demande l'accès au réseau en présentant des identifiants ou un certificat à l'Authentificateur.

Le terminal qui doit répondre au défi d'authentification du serveur RADIUS. Comprendre quel composant est en échec est la base d'un dépannage efficace.

Captive Portal

Une page web avec laquelle les utilisateurs doivent interagir avant de pouvoir accéder à un réseau WiFi public. Gère l'expérience d'intégration côté utilisateur tandis que le serveur RADIUS gère l'authentification en arrière-plan et l'application des politiques de session.

Utilisé pour l'accueil des invités dans l'hôtellerie, le commerce de détail et les espaces publics. Fonctionne en conjonction avec le serveur RADIUS - le portail est l'interface utilisateur, le serveur RADIUS est le moteur d'arrière-plan.

Contournement d'authentification MAC (MAB)

Un mécanisme qui permet aux appareils dépourvus de fonctionnalités 802.1X (imprimantes, capteurs IoT, affichage dynamique) d'être authentifiés sur la base de leur adresse MAC plutôt que d'identifiants ou de certificats.

Requis pour les appareils sans écran ou interface qui ne peuvent pas exécuter un supplicant 802.1X. Les adresses MAC étant faciles à usurper, les appareils authentifiés par MAB doivent toujours être placés sur un VLAN hautement restreint.

Secret partagé

Un mot de passe qui chiffre la communication entre un point d'accès (client RADIUS) et le serveur RADIUS. Doit être configuré à l'identique des deux côtés et renouvelé périodiquement.

Une non-concordance du secret partagé est l'une des causes les plus courantes d'échec d'authentification lors du déploiement initial. Privilégiez toujours le copier-coller à la saisie manuelle.

Exemples concrets

Un hôtel de 200 chambres doit sécuriser les appareils du personnel via 802.1X tout en fournissant un accès WiFi invités isolé. Le système de gestion de propriété s'exécute sur les appareils du personnel et ne doit pas être accessible depuis le réseau invités. L'hôtel fait partie d'un groupe de 45 établissements gérés par une équipe informatique centrale de trois personnes.

Déployer le Cloud RADIUS de Purple intégré à Microsoft Entra ID. Configurer un SSID pour le personnel utilisant WPA3-Enterprise avec EAP-TLS, en déployant des certificats clients sur tous les appareils du personnel via Microsoft Intune. Configurer le serveur RADIUS pour attribuer de manière dynamique les appareils du personnel au VLAN 10, qui a accès au système de gestion de propriété et aux imprimantes internes. Déployer un SSID invités distinct utilisant WPA2-Personal avec un Captive Portal pour l'intégration, attribué au VLAN 20 avec un accès Internet uniquement et des règles de pare-feu strictes bloquant tout trafic vers le VLAN 10. Le Cloud RADIUS gère les 45 établissements à partir d'un tableau de bord de gestion unique, la rotation automatisée des certificats éliminant la charge de maintenance par site qui consommait auparavant 40 % du temps de l'équipe.

Commentaire de l'examinateur : Ce scénario illustre la valeur fondamentale de Cloud RADIUS pour l'hôtellerie multi-sites. Le serveur RADIUS gère l'authentification du personnel via EAP-TLS, offrant la sécurité la plus solide disponible pour les appareils qui accèdent à des systèmes opérationnels sensibles. Le Captive Portal gère l'intégration des invités séparément, l'isolation VLAN garantissant que le réseau invités reste hors du champ d'application de la norme PCI DSS. Le modèle de déploiement cloud est le facteur décisif pour une équipe de trois personnes gérant 45 établissements : un déploiement sur site nécessiterait la maintenance de 45 instances distinctes.

Une chaîne de magasins comprenant 50 points de vente subit de fréquentes interruptions d'authentification causées par des certificats expirés sur ses serveurs FreeRADIUS locaux. Les tablettes de point de vente s'authentifient via 802.1X, et chaque interruption empêche le personnel de traiter les paiements jusqu'à ce que le certificat soit renouvelé manuellement. Le directeur informatique souhaite éliminer ce mode de défaillance avant la prochaine période de forte activité.

Migrer les 50 instances FreeRADIUS locales vers une plateforme Cloud RADIUS centralisée. Intégrer le Cloud RADIUS à l'annuaire d'entreprise Okta. Mettre à jour les configurations des points d'accès sur les 50 sites pour pointer vers les nouveaux points de terminaison Cloud RADIUS. Configurer l'attribution dynamique de VLAN pour placer les tablettes de point de vente sur le VLAN 10 (réseau de paiement) et les appareils du personnel sur le VLAN 20 (réseau d'entreprise). Le fournisseur de services cloud gère automatiquement toutes les rotations de certificats de serveur. Valider la segmentation VLAN entre le réseau de paiement et le réseau WiFi invités par un test d'intrusion avant le prochain cycle d'audit.

Commentaire de l'examinateur : La cause racine des interruptions est la gestion manuelle des certificats sur 50 instances locales distinctes, un risque opérationnel classique pour les parcs informatiques de commerces distribués. Cloud RADIUS élimine ce problème en automatisant la gestion du cycle de vie des certificats. La migration centralise également la gestion des politiques, ce qui signifie qu'un changement de politique se déploie simultanément sur les 50 sites au lieu de nécessiter des mises à jour manuelles sur chaque site. La recommandation de test d'intrusion répond à l'exigence PCI DSS de validation de la segmentation, et pas seulement de sa configuration.

Questions d'entraînement

Q1. Un commerce de détail se prépare à un audit PCI DSS v4.0. Il utilise actuellement un seul SSID avec une clé pré-partagée pour les tablettes POS du personnel et l'accès des invités. L'assesseur de sécurité qualifié a signalé cela comme une constatation critique. Quel est le changement d'architecture immédiat requis, et quelle fonctionnalité RADIUS de serveur est centrale pour la remédiation ?

Conseil : Concentrez-vous sur la segmentation du réseau et sur la fonctionnalité RADIUS spécifique qui l'applique de manière dynamique.

Voir la réponse type

Le point de vente doit déployer un serveur RADIUS pour implémenter l'authentification 802.1X et remplacer la PSK partagée. La fonctionnalité centrale est l'assignation dynamique de VLAN : le serveur RADIUS doit être configuré pour placer les tablettes POS sur un VLAN de paiement et les invités sur un VLAN isolé d'accès à internet uniquement, avec des règles de pare-feu strictes empêchant tout trafic entre eux. Le SSID invité doit utiliser un Captive Portal pour l'onboarding. La segmentation doit être validée par un test de pénétration, et non seulement par une revue de configuration, pour satisfaire à l'exigence 11 de la norme PCI DSS.

Q2. Une entreprise comptant 30 succursales hésite entre le Cloud RADIUS et un serveur RADIUS sur site. Elle dispose d'une petite équipe informatique centrale de quatre ingénieurs, utilise Okta pour la gestion des identités et n'a pas d'exigences en matière de souveraineté des données. Quel modèle de déploiement est recommandé et quelle est la principale justification opérationnelle ?

Conseil : Évaluez la charge de maintenance liée à la gestion de 30 instances distinctes par rapport à un service cloud centralisé.

Voir la réponse type

Le Cloud RADIUS est fortement recommandé. Avec 30 sites et quatre ingénieurs, le déploiement et la maintenance de 30 instances de serveur RADIUS sur site consommeraient une part disproportionnée de la capacité de l'équipe. Le Cloud RADIUS s'intègre nativement avec Okta, automatise la rotation des certificats et offre une haute disponibilité intégrée sans que l'équipe ait à gérer l'infrastructure sous-jacente. L'absence d'exigences de souveraineté des données supprime la principale justification du sur site. L'équipe doit configurer les points d'accès avec une politique de secours pour gérer gracieusement la dépendance au WAN.

Q3. Lors d'un déploiement PEAP-MSCHAPv2, les utilisateurs signalent des avertissements de certificat de sécurité sur leurs appareils lors de la connexion au SSID WiFi de l'entreprise. Certains utilisateurs ignorent les avertissements et se connectent quand même. Quel est le risque de sécurité et quelle étape de configuration a été manquée ?

Conseil : Considérez ce qui se passe lorsqu'un client ne valide pas le certificat du serveur, et comment un attaquant pourrait exploiter cela.

Voir la réponse type

Le risque de sécurité est une attaque par point d'accès malveillant. Sans validation forcée du certificat, un appareil client se connectera à n'importe quel serveur RADIUS qui répond, y compris un serveur exploité par un attaquant. L'attaquant présente un certificat frauduleux, l'utilisateur ignore l'avertissement et l'attaquant capture l'identifiant et le mot de passe à l'intérieur du tunnel PEAP. L'étape de configuration manquée est le déploiement de profils MDM (pour macOS et mobiles) et d'objets de stratégie de groupe (GPO pour Windows) qui spécifient explicitement l'autorité de certification de confiance et le nom de serveur attendu. Les utilisateurs ne doivent jamais être laissés à prendre manuellement des décisions de confiance concernant les certificats.

Q4. Un stade de 68 000 places doit authentifier les appareils du personnel lors d'un événement majeur où 40 000 appareils peuvent tenter de se connecter dans une fenêtre de 30 minutes. L'équipe informatique a des exigences strictes en matière de souveraineté des données : tous les journaux d'authentification doivent rester sur le sol britannique. Quel modèle de déploiement est recommandé, et quelle architecture spécifique répond à l'exigence de trafic de pointe ?

Conseil : Considérez les avantages en termes de latence et de débit d'une authentification locale par rapport à des requêtes acheminées par le cloud dans des conditions de pic d'activité.

Voir la réponse type

Un serveur RADIUS sur site est recommandé en raison des exigences de souveraineté des données et de la charge d'authentification en rafale extrême. L'architecture recommandée est un cluster double RADIUS sur site en configuration actif-actif, avec un cluster secondaire dans un centre d'hébergement au Royaume-Uni. L'authentification locale offre des temps de réponse inférieurs à la milliseconde et élimine la dépendance WAN qui créerait un goulot d'étranglement lors des pics d'activité. Le cluster actif-actif assure la redondance sans dépendre de la connectivité Internet. Les journaux d'authentification restent sur le sol britannique, répondant ainsi aux exigences de souveraineté des données.

Continuer la lecture de cette série

Aruba ClearPass vs. Purple WiFi : comparaison des fonctionnalités et co-déploiement

Un guide technique complet détaillant l'architecture de co-déploiement d'Aruba ClearPass et de Purple WiFi. Il traite de la configuration du proxy RADIUS, de l'attribution dynamique de VLAN et des meilleures pratiques pour fournir des réseaux d'invités sécurisés et axés sur l'analyse de données aux côtés du contrôle d'accès réseau (NAC) d'entreprise.

Cisco ISE vs. Purple WiFi : comparaison et complémentarité

Ce guide explique comment Cisco ISE et Purple WiFi remplissent des rôles distincts mais complémentaires au sein des réseaux d'entreprise. Il détaille comment utiliser Cisco ISE pour un accès d'entreprise sécurisé 802.1X tout en tirant parti de Purple pour un WiFi invité conforme au GDPR, des analyses marketing et l'intégration CRM.

EAP-TLS vs EAP-TTLS : Quel protocole WiFi basé sur les certificats choisir ?

Ce guide propose une comparaison directe et définitive entre EAP-TLS et EAP-TTLS pour l'authentification WiFi d'entreprise sous la norme IEEE 802.1X. Il explique la différence architecturale entre l'authentification mutuelle par certificat et le tunneling de certificat côté serveur uniquement, et offre aux responsables informatiques, architectes réseau et RSSI un cadre de décision clair basé sur les capacités de gestion des appareils et les exigences de conformité. Purple prend en charge les parcours d'authentification EAP-TLS et EAP-TTLS pour le WiFi du personnel, et ce guide aide les organisations à comprendre les compromis d'infrastructure avant de s'engager dans l'une ou l'autre approche.