Service managé WiFi : un guide complet pour les entreprises

Ce guide couvre l'architecture technique, la stratégie de déploiement et l'analyse de rentabilisation d'un service managé WiFi dans les environnements multi-locataires et d'entreprise. Il explique le fonctionnement de l'isolation iPSK, la segmentation des réseaux résidents, personnel et invités, ainsi que la mesure du ROI - avec une pertinence spécifique pour les opérateurs de BTR, les promoteurs immobiliers et les bailleurs.

📖 7 min de lecture📝 1,668 mots🔧 2 exemples concrets❓ 3 questions d'entraînement📚 9 définitions clés

Écouter ce guide

Voir la transcription du podcast

Bienvenue dans ce briefing technique Purple. Aujourd'hui, nous décortiquons les services managés WiFi. Nous nous concentrons spécifiquement sur les environnements d'entreprise et multi-locataires - Build-to-Rent, résidences étudiantes et sites de grande envergure. Si vous êtes responsable informatique, architecte réseau ou CTO, ce briefing est pour vous. Nous laissons de côté le discours marketing pour entrer directement dans l'architecture, les stratégies de déploiement et l'impact business.

Commençons par le contexte. Pourquoi parler de services managés plutôt que d'acheter simplement des points d'accès et de les brancher ? Parce que les attentes ont changé. Nous traitons 440 millions de connexions par an sur 80 000 sites. Ce que nous constatons constamment, c'est que les réseaux échouent non pas parce que le matériel est mauvais, mais parce que l'architecture ne correspond pas au cas d'usage.

Prenez un immeuble Build-to-Rent. Vous avez 200 appartements. Si vous gérez cela comme un hôtel et y installez un Captive Portal, vous allez à l'échec. Les résidents ont des Smart TV, des enceintes Sonos, des ampoules Philips Hue. Un Captive Portal isole chaque appareil de tous les autres. Le téléphone de votre résident ne pourra pas communiquer avec sa télévision. Ils vont ouvrir un ticket d'assistance, et votre équipe informatique va passer des heures à mettre des adresses MAC sur liste blanche. C'est un cauchemar.

Alors, quelle est la solution technique ? C'est l'Identity Pre-Shared Key, ou iPSK. Aruba l'appelle PPSK. Cisco Meraki l'appelle Personal Private Network. C'est le même concept. Vous diffusez un seul SSID pour tout le bâtiment. Mais au lieu d'un seul mot de passe, chaque résident reçoit son propre mot de passe unique.

Quand le Résident A se connecte avec sa clé, le serveur RADIUS indique : c'est le Résident A, placez-le sur le VLAN 101. Quand le Résident B se connecte avec sa clé, il va sur le VLAN 102.

Cela crée une bulle WiFi. À l'intérieur de la bulle du Résident A, son téléphone voit parfaitement sa télévision. Mais le Résident A ne peut pas voir les appareils du Résident B, même s'ils sont connectés au même point d'accès physique dans le couloir. Isolation complète entre les locataires. Continuité totale au sein du foyer. Et quand le Résident A déménage ? Vous révoquez sa clé dans le tableau de bord. Vous ne modifiez pas le mot de passe de tout le bâtiment. Vous ne touchez pas au matériel.

Cela nous amène à l'architecture. Vous avez besoin d'une superposition cloud indépendante du matériel. Vous ne voulez pas être lié à un seul fournisseur de matériel pour toujours. Purple se situe au-dessus de la couche matérielle. Vous déployez Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme Networks ou Fortinet. Nous gérons l'authentification RADIUS, l'application des politiques et le portail d'intégration. Le matériel gère la transmission RF. Le plan de contrôle et le plan de données sont séparés.

Parlons de l'implémentation. Comment déployer cela concrètement ?

La première phase est la conception RF. Ne devinez pas. Réalisez une étude prédictive. Dans un immeuble collectif, la norme est généralement d'un point d'accès par logement. Vous devez garantir une couverture 5GHz car vous gérez 15 à 25 appareils par foyer. Un bâtiment de 200 logements compte entre 3 000 et 5 000 appareils connectés au WiFi à tout moment.

La phase deux est la segmentation. Vous avez besoin de trois réseaux. Trois SSIDs pour tous les gouverner. Un : Staff WiFi, sécurisé avec 802.1X lié à Microsoft Entra ID ou Okta. Deux : Guest WiFi, un réseau ouvert avec un Captive Portal et une isolation des clients pour les visiteurs dans le hall. Trois : Resident WiFi, utilisant l'iPSK pour les appartements. Ne mélangez jamais ces types d'utilisateurs sur un seul SSID.

La phase trois est l'intégration de l'identité. Liez le provisionnement WiFi à votre système de gestion immobilière. Lorsqu'un bail est signé, la clé est générée automatiquement. Zéro intervention informatique. Les résidents sont en ligne le jour de leur emménagement sans attendre un technicien haut débit.

Abordons maintenant certains pièges. Qu'est-ce qui ne va pas ?

L'interférence co-canal en est un de taille. Si vous placez un point d'accès dans chaque logement, ils vont se parasiter les uns les autres sur le même canal radio. Vous devez activer la gestion automatisée des ressources radio sur votre contrôleur pour ajuster dynamiquement les canaux et la puissance de transmission.

La surcharge de diffusion multicast en est un autre. Les appareils intelligents utilisent le multicast pour se découvrir mutuellement. Chromecast, Apple TV, Sonos. Si vous ne contenez pas ce trafic au sein du VLAN iPSK spécifique, votre réseau se dégradera. Utilisez les fonctionnalités de passerelle DNS multicast de votre matériel pour maintenir le trafic de découverte au sein du bon segment de résidents.

Et pour les réseaux invités, attention à la randomisation des adresses MAC. Les systèmes d'exploitation modernes randomisent les adresses MAC par défaut, ce qui peut perturber les flux de Captive Portal. Assurez-vous que votre walled garden permet l'accès aux URL de validation essentielles de l'OS. Pour une alternative transparente basée sur des certificats, intéressez-vous à Passpoint, également connu sous le nom de Hotspot 2.0.

À présent, passons aux questions rapides que l'on me pose le plus souvent.

Puis-je utiliser mon matériel existant ? Oui. Purple est indépendant du matériel. Nous fonctionnons sur Cisco, Aruba, Ruckus, Mist, UniFi, Cambium, Extreme et Fortinet.

Quel est l'SLA de disponibilité ? 99,999 %. Cela représente moins de six minutes d'interruption par an.

Est-ce conforme au GDPR ? Oui. Nous sommes certifiés ISO 27001, conformes au GDPR et CCPA, et certifiés Cyber Essentials. L'hébergement des données est au choix : UE, Royaume-Uni ou États-Unis.

Combien de temps prend le déploiement ? Un bâtiment BTR typique de 200 logements peut être entièrement provisionné en une journée, en supposant que les points d'accès soient déjà installés.

Pour conclure. Un service managé WiFi consiste à séparer le plan de contrôle du matériel. Il s'agit d'utiliser l'iPSK pour créer des bulles privées pour les résidents. Il s'agit d'automatiser l'accueil et le départ. Et il s'agit de passer d'une dépense d'investissement à un service opérationnel prévisible.

Pour les opérateurs de BTR, c'est un moteur de NOI. Le WiFi managé permet d'obtenir un supplément de loyer. Il réduit les périodes de vacance. Il élimine les frais informatiques. Et il vous donne des analyses agrégées sur l'utilisation de vos espaces communs.

Si l'architecture est correcte, le réseau fonctionne tout seul. Consultez le guide complet pour les schémas d'architecture et les spécificités de configuration. Merci de votre écoute.

Points clés à retenir

✓Le WiFi multi-locataires nécessite une isolation par résident via iPSK - les portails captifs de WiFi invité sont architecturalement inadaptés aux déploiements résidentiels.
✓Un service WiFi géré sépare le plan de contrôle (superposition cloud Purple) du plan de données (matériel), ce qui le rend indépendant du matériel, qu'il s'agisse de Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist ou d'autres.
✓Trois SSIDs couvrent chaque type d'utilisateur : Personnel (802.1X), Invité (Captive Portal) et Résident (iPSK). Ne mélangez jamais les types d'utilisateurs sur un même SSID.
✓L'intégration automatisée liée au système de gestion immobilière permet aux résidents d'être connectés dès le jour de leur emménagement et révoque automatiquement les clés lors de leur départ.
✓Purple offre une disponibilité de 99,999 % et est certifié ISO 27001, GDPR, CCPA et Cyber Essentials, réduisant ainsi la charge des audits de conformité pour les opérateurs.
✓Le WiFi géré est un moteur de BNE pour les opérateurs BTR : la majoration des loyers, la réduction des périodes de vacance et l'élimination des frais informatiques se combinent pour rendre le service systématiquement positif pour le BNE.
✓L'interférence co-canal et l'inondation de paquets multicast sont les deux problèmes post-déploiement les plus courants dans les environnements MDU denses - ils sont tous deux résolus en activant les fonctionnalités RRM et de proxy mDNS sur le contrôleur matériel.

Résumé analytique

Le déploiement d'un WiFi d'entreprise dans des environnements multi-locataires exige bien plus que du matériel grand public et un mot de passe partagé. Pour les responsables informatiques, les architectes réseau et les directeurs de site, un service managé WiFi transforme la connectivité d'un casse-tête à forte intensité de capital en un service opérationnel prévisible.

Purple gère des réseaux pour plus de 80 000 sites dans le monde, traitant 440 millions de connexions en 2024 (données internes de Purple). Nous constatons la différence entre les réseaux qui évoluent et ceux qui échouent. Ce guide explique en détail comment concevoir, déployer et gérer un service managé WiFi qui isole le trafic en toute sécurité, prend en charge les appareils intelligents des résidents et offre un SLA de disponibilité de 99,999 %.

Que vous gériez des propriétés Build-to-Rent (BTR), des logements étudiants ou des espaces commerciaux, vous avez besoin d'une surcouche cloud indépendante du matériel qui s'intègre avec Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme et Fortinet. Ce guide couvre l'architecture, les phases de déploiement, les exigences de conformité et le modèle économique.

Analyse technique approfondie : l'architecture du WiFi multi-locataires

Le principal défi dans les environnements multi-locataires comme le BTR ou les immeubles collectifs consiste à offrir une expérience réseau semblable à celle d'un foyer sur une infrastructure d'entreprise partagée. Le WiFi invité , conçu pour les visiteurs temporaires avec des Captive Portals, ne répond pas à cette exigence. Les résidents ont besoin que leur Smart TV détecte leur smartphone, tout en restant totalement invisibles pour l'appartement voisin.

La solution technique est l'Identity Pre-Shared Key (iPSK), également appelée PPSK par HPE Aruba ou Personal Private Network par Cisco Meraki. La terminologie varie selon les fournisseurs, mais le concept reste identique.

La "bulle WiFi" iPSK

L'iPSK attribue une phrase de passe WPA2 ou WPA3 unique à chaque résident ou locataire. Le serveur RADIUS utilise cette clé unique pour attribuer l'appareil connecté à un VLAN spécifique ou appliquer une politique de micro-segmentation. Le résultat est une bulle WiFi propre à chaque résident.

Trois propriétés définissent cette bulle. Premièrement, la confidentialité entre les résidents : les appareils configurés avec la clé du Résident A ne peuvent pas voir les appareils configurés avec la clé du Résident B, même s'ils sont connectés exactement au même point d'accès physique. Deuxièmement, la continuité au sein du foyer : le téléphone du Résident A détecte son Chromecast et son enceinte intelligente de manière transparente, tout comme sur un réseau domestique. Troisièmement, l'accès spécifique par résident : lorsqu'un résident déménage, Purple révoque sa clé spécifique via la surcouche cloud. Vous n'avez pas besoin de changer le mot de passe de tout l'immeuble. Aucun autre résident n'est impacté.

Pour une comparaison plus approfondie des modèles de déploiement PPSK et iPSK, consultez notre guide sur le PPSK haute performance : comparaison des fonctionnalités et des modèles de déploiement .

Overlay cloud agnostique du matériel

Un service managé WiFi moderne fonctionne comme un overlay logiciel au-dessus de la couche matérielle. Cette architecture sépare le plan de contrôle du plan de données. Purple s'intègre directement à vos contrôleurs LAN sans fil existants ou à vos tableaux de bord cloud. Nous gérons l'authentification RADIUS, l'application des politiques et l'intégration des utilisateurs, tandis que le matériel local gère la transmission RF.

L'architecture segmente le trafic en trois réseaux logiques distincts, chacun ayant son propre modèle de sécurité. Le WiFi résident utilise l'iPSK avec attribution de VLAN par clé. Le WiFi invité utilise un Captive Portal avec isolation des clients et consentement explicite pour la capture de données marketing. Le WiFi du personnel utilise la norme IEEE 802.1X avec EAP-TLS ou PEAP, liée à Microsoft Entra ID, Okta ou Google Workspace. Pour une analyse détaillée de la structure de ces trois SSIDs, consultez notre guide sur les Trois SSIDs pour tout régner : WiFi invité, Passpoint et IoT .

Normes de sécurité et conformité

Un service managé WiFi doit passer les audits avec succès. Purple est certifié ISO 27001, conforme au GDPR et à la CCPA, et certifié Cyber Essentials. Pour les établissements qui gèrent des données de paiement, le modèle de segmentation réseau prend en charge la conformité PCI-DSS en isolant le trafic des points de vente sur un VLAN dédié, sans mouvement latéral vers les segments résidents ou invités. Le WPA3 est pris en charge sur les matériels Cisco Meraki, HPE Aruba, Ruckus et Juniper Mist, offrant une confidentialité persistante et une protection contre les attaques par dictionnaire hors ligne.

Guide d'implémentation

Le déploiement d'un service managé WiFi nécessite une planification rigoureuse en quatre phases. L'omission de l'une de ces phases est la cause la plus fréquente des tickets de support post-déploiement.

Phase 1 : Conception RF et sélection du matériel

Ne devinez pas l'emplacement des points d'accès. Réalisez une étude RF prédictive à l'aide d'outils comme Ekahau avant l'achat. Pour les environnements BTR, la norme est généralement d'un point d'accès par appartement afin de garantir la couverture 5GHz et de gérer la densité de 15 à 25 appareils IoT par foyer (données internes Purple). Un bâtiment de 200 appartements compte entre 3 000 et 5 000 appareils connectés au WiFi à tout moment.

Sélectionnez le matériel dans la liste standard : Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme Networks ou Fortinet. Purple fonctionne comme un overlay cloud sur chacun d'eux. Vous n'êtes pas lié à un fournisseur.

Phase 2 : Stratégie de segmentation réseau

Concevez votre structure VLAN avant de configurer la plateforme cloud. Le VLAN de gestion est strictement réservé aux APs et aux switches, sans aucun trafic utilisateur. Les VLANs résidents sont attribués de manière dynamique via iPSK, avec un VLAN par clé de résident ou par groupe de résidents. Le VLAN du personnel est sécurisé via 802.1X en utilisant votre fournisseur d'identité. Le VLAN invité est un réseau ouvert avec un Captive Portal et l'isolation des clients activée. Ne reliez jamais ces VLANs.

Phase 3 : Intégration de l'identité et de l'authentification

Connectez l'overlay cloud Purple à votre fournisseur d'identité. Pour les réseaux du personnel, configurez le provisionnement SAML ou SCIM à partir de Microsoft Entra ID ou Okta. Pour les réseaux de résidents, intégrez l'étape de provisionnement WiFi dans votre système de gestion immobilière afin que les clés soient générées automatiquement lors de la signature du bail. Les résidents reçoivent leur clé WiFi unique par e-mail ou via l'application Purple avant leur arrivée. La gestion des appareils en libre-service réduit considérablement les tickets de support informatique. Pour les environnements du secteur de l' hôtellerie , intégrez votre PMS pour provisionner automatiquement l'accès WiFi des invités lors du check-in.

Phase 4 : Validation et tests

Avant l'emménagement des résidents, validez l'isolation iPSK. Connectez deux appareils en utilisant la clé du Résident A et confirmez qu'ils peuvent communiquer entre eux par ping. Connectez un troisième appareil en utilisant la clé du Résident B et confirmez qu'il ne peut pas pinguer les appareils du Résident A. Effectuez un test de débit depuis chaque appartement pour confirmer que la liaison de raccordement ne constitue pas un goulot d'étranglement. Validez le flux du Captive Portal sur iOS et Android, y compris la gestion de la randomisation MAC.

Bonnes pratiques

Lors du déploiement d'un service managé WiFi, respectez ces normes indépendantes des fournisseurs.

Exigez le WPA3 lorsque les appareils clients le prennent en charge. Imposez le WPA3 pour les réseaux de résidents afin de prévenir les attaques par dictionnaire hors ligne. Le handshake SAE (Simultaneous Authentication of Equals) du WPA3 remplace le handshake à 4 voies vulnérable du WPA2-PSK. La plupart des appareils fabriqués après 2020 prennent en charge le WPA3.

Automatisez l'intégration de bout en bout. Les résidents doivent recevoir leur clé WiFi unique avant leur arrivée. Associez la génération de la clé à la signature du bail dans votre système de gestion immobilière. La gestion des appareils en libre-service via l'application Purple élimine le besoin d'une intervention informatique pour les déménagements et les ajouts quotidiens.

Implémentez la régulation de la bande passante par clé. Appliquez des limites de bande passante par utilisateur ou par clé via des attributs RADIUS pour éviter qu'un seul résident ne sature la connexion de raccordement du site. C'est également le mécanisme utilisé pour les offres de services par paliers : le profil de clé par défaut fournit 100 Mbps, et un profil mis à niveau fournit 1 Gbit/s, sans qu'aucune modification matérielle ne soit requise.

Isolez les appareils IoT par bande. Encouragez les résidents à utiliser la bande 2,4 GHz pour les appareils de domotique, en réservant les bandes 5 GHz et 6 GHz pour les applications à large bande passante comme les ordinateurs portables et les consoles. Cela réduit les interférences co-canal sur la bande 5 GHz et améliore les performances globales du réseau. Utilisez WiFi Analytics pour les espaces communs. Les données de fréquentation agrégées et anonymisées des halls d'accueil, des salles de sport et des espaces de co-working vous aident à optimiser l'utilisation de l'espace et à justifier les investissements dans des zones de services supplémentaires.

Résolution des problèmes et atténuation des risques

Même avec un SLA de disponibilité de 99,999 %, des problèmes physiques et RF surviennent. Préparez-vous à ces modes de défaillance courants.

Interférence co-canal (CCI). Dans les déploiements BTR denses avec un point d'accès dans chaque logement, les points d'accès sur le même canal interfèrent les uns avec les autres. Activez la gestion automatisée des ressources radio (RRM) sur votre contrôleur matériel pour ajuster dynamiquement les canaux et la puissance d'émission. Sur Cisco Meraki, cela correspond à Paramètres radio > Auto RF. Sur HPE Aruba, il s'agit d'ARM (Adaptive Radio Management).

Inondation de trafic multicast et broadcast. Les appareils domestiques intelligents dépendent fortement du trafic multicast, en particulier mDNS pour la détection Chromecast, Apple TV et Sonos. Un trafic multicast non contrôlé dégrade les performances du réseau pour l'ensemble des résidents. Utilisez les fonctionnalités de passerelle DNS multicast de votre matériel pour contenir le trafic de détection au sein du VLAN ou du groupe de politiques iPSK spécifique. Sur Ruckus, il s'agit du proxy mDNS SmartZone. Sur Juniper Mist, il s'agit de la politique mDNS.

Interception du Captive Portal et randomisation MAC. Pour le réseau invité, les mises à jour récentes des systèmes d'exploitation, notamment iOS 14+ et Android 10+, randomisent les adresses MAC par défaut, ce qui peut perturber les flux de Captive Portal. Assurez-vous que votre walled garden permet l'accès aux URL de validation essentielles de l'OS, notamment captive.apple.com et connectivitycheck.gstatic.com. Pour une alternative transparente, implémentez Passpoint (Hotspot 2.0) pour une association automatique basée sur des certificats sans connexion via un portail.

Disponibilité du serveur RADIUS. Si votre serveur RADIUS est indisponible, l'authentification iPSK échoue et les résidents ne peuvent pas se connecter. Le Cloud RADIUS de Purple est géo-redondant avec une disponibilité de 99,999 %. Si vous utilisez un serveur RADIUS sur site, configurez un serveur RADIUS secondaire sur chaque groupe de points d'accès en tant que solution de secours.

ROI et impact commercial

Un service WiFi géré transforme le modèle financier d'un coût d'investissement d'infrastructure en une dépense opérationnelle prévisible. La comparaison ci-dessous illustre les principales différences.

Pour les opérateurs de BTR, considérer le WiFi comme un service géré génère des rendements mesurables. Les propriétés dotées d'un WiFi géré de classe entreprise bénéficient d'une prime sur les loyers. Le WiFi géré en tant que service optionnel est systématiquement positif pour le RNE lorsqu'il est déployé sous forme de superposition logicielle sur du matériel détenu en propre, selon les références de la National Apartment Association. Le modèle se détériore lorsque le WiFi est regroupé avec un contrat haut débit tiers qui capte la valeur.

Les gains en efficacité opérationnelle sont tout aussi importants. L'élimination des réinitialisations de mots de passe et de l'intégration manuelle permet au service informatique de gagner des heures chaque mois. La gestion des clés en libre-service permet aux résidents d'ajouter de nouveaux appareils sans avoir à ouvrir de ticket de support. Lorsqu'un résident déménage, Purple révoque automatiquement sa clé s'il est intégré au système de gestion immobilière.

Pour les environnements de commerce de détail , la couche d'analyse du Guest WiFi ajoute une dimension supplémentaire. Purple a collecté 29 milliards de points de données (données internes de Purple) à travers plus de 80 000 sites. Ces données se traduisent par des tendances de fréquentation, des analyses de temps de séjour et des taux de visiteurs récurrents qui guident les décisions de merchandising et de gestion du personnel.

Pour les plateformes de transport et les établissements de santé , la posture de conformité et de sécurité d'un service géré réduit la charge de travail liée aux audits. La certification ISO 27001, la conformité au GDPR et la certification Cyber Essentials sont héritées de la plateforme plutôt que de faire l'objet d'un audit interne.

Écoutez notre briefing technique complet ci-dessous pour une discussion approfondie sur les stratégies de déploiement et les pièges à éviter.

Définitions clés

iPSK (Identity Pre-Shared Key)

Un mécanisme de sécurité qui permet à plusieurs phrases de passe WPA2 ou WPA3 uniques de fonctionner sur un seul SSID. Le serveur RADIUS utilise la phrase de passe spécifique pour identifier l'utilisateur et appliquer une attribution de VLAN ou une politique. Également appelé PPSK par HPE Aruba et Personal Private Network par Cisco Meraki.

Essentiel pour les environnements multi-locataires. Assure l'isolation des résidents sans nécessiter des centaines de SSID ou de VLAN distincts configurés au niveau du matériel.

RADIUS (Remote Authentication Dial-In User Service)

Un protocole réseau fournissant une gestion centralisée de l'authentification, de l'autorisation et de la comptabilité (AAA) pour les utilisateurs se connectant à un service réseau. Défini dans l'RFC 2865.

Le moteur d'authentification derrière à la fois le 802.1X et l'iPSK. Purple fournit un Cloud RADIUS, éliminant le besoin de serveurs RADIUS sur site et les coûts de maintenance associés.

VLAN (Virtual Local Area Network)

Un sous-réseau logique qui regroupe un ensemble d'appareils de différents réseaux locaux physiques. Défini dans la norme IEEE 802.1Q. Il isole le trafic de diffusion et améliore la sécurité en empêchant les mouvements latéraux entre les segments.

Utilisé pour séparer le trafic des résidents de celui du personnel, et pour isoler les résidents les uns des autres au sein d'un même bâtiment.

Captive Portal

Une page web qu'un utilisateur doit consulter et avec laquelle il doit interagir avant de pouvoir accéder au réseau. Généralement utilisée pour présenter les conditions générales et collecter des données de première partie.

Idéal pour le WiFi invité dans les halls et les espaces communs. Ne convient pas aux réseaux de résidents, où une connectivité persistante et automatique est requise.

802.1X

Une norme IEEE pour le contrôle d'accès réseau basé sur les ports (PNAC). Elle fournit un mécanisme d'authentification exigeant des identifiants individuels avant d'accorder l'accès au réseau. Généralement mise en œuvre avec EAP-TLS (basé sur des certificats) ou PEAP (nom d'utilisateur et mot de passe).

La référence absolue pour le WiFi du personnel. Nécessite des identifiants uniques liés à un fournisseur d'identité plutôt qu'un mot de passe partagé, ce qui permet de révoquer instantanément l'accès lorsque le personnel s'en va.

BTR (Build-to-Rent)

Développements résidentiels construits spécifiquement pour la location à long terme plutôt que pour la vente. Caractérisés par une gestion professionnelle, des équipements partagés et un accent mis sur l'expérience des résidents.

Un marché principal pour le WiFi géré multi-locataires. La connectivité est traitée comme un service essentiel comparable à l'accès à une salle de sport, justifiant une prime de loyer mesurable.

Passpoint (Hotspot 2.0)

Une norme de la Wi-Fi Alliance qui permet une découverte et une association automatiques et sécurisées au réseau sans Captive Portal. Les appareils se connectent à l'aide de certificats ou d'identifiants SIM, offrant une expérience d'itinérance similaire à celle du réseau cellulaire.

Utilisé pour éliminer les connexions répétées aux portails captifs pour les visiteurs réguliers et pour offrir une itinérance transparente sur les déploiements multi-sites.

Cloud overlay

Une couche de gestion et de politique basée sur un logiciel qui fonctionne au-dessus du matériel réseau physique. Gère l'authentification, l'application des politiques, les analyses et l'intégration sans nécessiter de modifications de la configuration matérielle sous-jacente.

Le modèle architectural qui rend Purple indépendant du matériel. La surcouche s'intègre à l'API du matériel plutôt que de remplacer ce dernier, préservant ainsi l'investissement existant.

WPA3

La génération actuelle de protocole de sécurité WiFi, définie par la Wi-Fi Alliance. Introduit l'authentification simultanée d'égaux (SAE) pour remplacer la poignée de main en 4 étapes vulnérable de WPA2-PSK, offrant ainsi une confidentialité persistante et une résistance aux attaques par dictionnaire hors ligne.

Recommandé pour tous les nouveaux déploiements. Pris en charge par le matériel Cisco Meraki, HPE Aruba, Ruckus et Juniper Mist. La plupart des appareils fabriqués après 2020 prennent en charge WPA3.

Exemples concrets

Une propriété Build-to-Rent de 250 unités à Manchester doit fournir un WiFi sécurisé pour les résidents, le personnel et les visiteurs. Le gestionnaire immobilier souhaite inclure un WiFi de 100 Mbps dans le loyer de base, avec une option permettant aux résidents de passer à 1 Gbps. Comment le réseau doit-il être architecturé ?

Déployez un réseau physique unique à l'aide de points d'accès HPE Aruba, à raison d'un par unité. Implémentez la surcouche cloud de Purple pour gérer trois services distincts à partir d'une seule plateforme. Le WiFi du personnel utilise l'authentification 802.1X liée à Microsoft Entra ID. Le WiFi invité déploie un Captive Portal dans le hall et la salle de sport pour les visiteurs et les locataires potentiels. Le WiFi résident utilise l'iPSK : Purple génère une clé unique pour chaque appartement lors de la signature du bail. Le profil de clé par défaut est limité à 100 Mbps via des attributs RADIUS. Lorsqu'un résident achète le niveau supérieur, le profil RADIUS passe automatiquement à 1 Gbps. Aucun changement de matériel. Aucune visite d'ingénieur. Le système de gestion immobilière déclenche la mise à jour de la clé via l'API Purple.

Commentaire de l'examinateur : Cette approche utilise une surcouche cloud indépendante du matériel pour segmenter le trafic de manière logique plutôt que physique. L'utilisation d'attributs RADIUS pour contrôler la bande passante par clé iPSK permet une montée en gamme fluide sans intervention informatique manuelle, soutenant directement le modèle de NOI par porte. L'idée clé est que la couche de service managé - et non le matériel - est le lieu de la différenciation commerciale.

Une chaîne de vente au détail nationale comptant 400 points de vente doit déployer une expérience WiFi invité cohérente. Leur configuration actuelle, gérée en interne, nécessite des mises à jour manuelles du micrologiciel, ce qui entraîne des postures de sécurité incohérentes d'un site à l'autre. Ils doivent également capturer des données marketing de première partie de manière conforme.

Passez à un service managé WiFi. Déployez des points d'accès Cisco Meraki sur les 400 sites, gérés via un tableau de bord centralisé. Intégrez le Captive Portal de Purple sur tous les sites à partir d'un compte cloud unique. Le service managé gère les mises à jour automatiques et planifiées du micrologiciel en dehors des heures d'ouverture, garantissant ainsi un temps d'arrêt nul et une posture de sécurité cohérente. Le portail Purple présente un opt-in explicite et éclairé pour le marketing, capturant les données de première partie (e-mail, données démographiques) et les envoyant directement au CRM de la chaîne via la couche d'intégration de Purple. La conformité GDPR est héritée de la plateforme.

Commentaire de l'examinateur : Ce scénario met en évidence le passage des frais généraux informatiques à un service managé. Le détaillant élimine le risque lié aux mises à jour manuelles et acquiert un mécanisme de capture de données conforme. Le détail critique est l'opt-in explicite : la collecte passive de données sans consentement explicite ne respecte pas le GDPR. Le Captive Portal de Purple est conçu pour répondre à cette exigence dès le départ.

Questions d'entraînement

Q1. Vous déployez un réseau pour un complexe de logements étudiants de 500 lits. L'opérateur souhaite que les résidents connectent des téléviseurs connectés, des consoles de jeux et des smartphones. Il prévoit actuellement d'utiliser un seul SSID avec un Captive Portal nécessitant l'enregistrement de l'adresse MAC pour les appareils sans écran. Quel est le défaut de ce plan, et quelle est la bonne approche ?

Conseil : Pensez à la façon dont les appareils comme Chromecast découvrent le smartphone de contrôle sur un réseau, et à ce que fait l'isolement des clients sur ce processus de découverte.

Voir la réponse type

Le défaut est qu'un Captive Portal avec isolement des clients empêche la découverte d'appareils. Un smartphone ne peut pas diffuser sur un téléviseur connecté car les appareils ne peuvent pas se voir sur le réseau. L'enregistrement de l'adresse MAC pour les appareils sans écran est également impossible à gérer à l'échelle de 500 lits. La bonne approche est d'utiliser un iPSK. Fournissez à chaque étudiant un mot de passe unique. Cela crée une bulle VLAN privée pour cet étudiant, permettant à ses appareils de communiquer entre eux tout en restant isolés des 499 autres résidents. Les appareils sans écran se connectent en utilisant le même mot de passe que le téléphone de l'étudiant, ce qui ne nécessite aucun enregistrement de l'adresse MAC.

Q2. Une chaîne hôtelière souhaite mettre à niveau son WiFi pour le personnel. Actuellement, tout le personnel utilise un seul mot de passe WPA2-PSK. Lorsqu'un employé s'en va, le service informatique change rarement le mot de passe en raison de la charge de travail liée à la mise à jour de chaque appareil. Recommandez une solution sécurisée de classe entreprise et expliquez le bénéfice opérationnel immédiat.

Conseil : Recherchez une méthode d'authentification qui associe l'accès au réseau à des identités d'utilisateurs individuelles plutôt qu'à un secret partagé.

Voir la réponse type

Remplacez le WPA2-PSK partagé par une authentification 802.1X (WPA2 ou WPA3-Enterprise). Intégrez le réseau sans fil au fournisseur d'identité de l'hôtel, tel que Microsoft Entra ID. Le personnel s'authentifie à l'aide de ses identifiants d'entreprise individuels. Lorsqu'un employé part, son compte Entra ID est désactivé, ce qui révoque immédiatement son accès WiFi sans affecter les autres membres du personnel. Pas de rotation de mot de passe. Pas de reconfiguration d'appareil. Le bénéfice opérationnel est un offboarding sans intervention : le service informatique désactive un compte et l'accès au réseau est révoqué automatiquement.

Q3. Un promoteur immobilier BTR conçoit un projet de 300 logements. Son directeur financier lui demande pourquoi il ne peut pas simplement installer un routeur haut débit grand public par logement plutôt qu'un service WiFi géré. Rédigez un argumentaire commercial en trois points en faveur du modèle de service géré.

Conseil : Prenez en compte l'impact sur le bénéfice net d'exploitation (BNE), la charge opérationnelle et les éléments de différenciation de l'expérience résidentielle.

Voir la réponse type

Premier point : le BNE par logement. Un service WiFi géré permet de facturer un supplément de loyer mesurable par logement et par mois. Les contrats haut débit individuels par logement laissent cette valeur ajoutée au FAI, et non à l'opérateur. Une solution logicielle superposée sur du matériel détenu en propre conserve cette valeur. Deuxième point : l'efficacité opérationnelle. Les routeurs grand public nécessitent une maintenance, des mises à jour de firmware et des réinitialisations de mot de passe par logement. Un service géré centralise l'ensemble de ces tâches. Lorsqu'un résident déménage, sa clé est révoquée automatiquement. Pas de déplacement de technicien. Troisième point : l'expérience résidentielle. Les routeurs grand public ne peuvent pas supporter 15 à 25 appareils IoT par foyer avec une isolation adéquate. Un service iPSK géré offre une expérience comme à la maison où les appareils connectés fonctionnent correctement, réduisant ainsi les tickets de support et améliorant la fidélisation.

Continuer la lecture de cette série

Qu'est-ce que PPSK : comparaison des fonctionnalités et des modèles de déploiement

Ce guide de référence technique complet analyse l'architecture PPSK (Private Pre-Shared Key) en la comparant à iPSK et 802.1X afin d'aider les exploitants de sites et les équipes informatiques à sélectionner le bon modèle d'authentification. Il fournit des stratégies de déploiement concrètes pour les environnements multi-locataires, garantissant des réseaux WiFi sécurisés, isolés et faciles à gérer.

Nama ff iPSK ind: un guide complet pour les entreprises

Ce guide explique comment l'iPSK (Identity Pre-Shared Key) résout le défi majeur de la connectivité dans les immeubles résidentiels multi-locataires, en offrant un WiFi privé de qualité domestique à chaque résident sur une infrastructure partagée. Il couvre l'architecture d'authentification, les étapes de déploiement et l'analyse commerciale pour traiter le WiFi géré comme un service générateur de revenus dans les environnements BTR et MDU.

iPSK : un guide complet pour les entreprises

Ce guide explique comment déployer l'iPSK (Identity Pre-Shared Key) dans des environnements multi-locataires tels que les développements résidentiels Build to Rent, les résidences étudiantes et les propriétés MDU. Il couvre l'architecture basée sur RADIUS qui offre à chaque résident une bulle WiFi privée et isolée sur un seul SSID partagé, et détaille les étapes de mise en œuvre, les intégrations matérielles et les arguments commerciaux pour traiter le WiFi comme un service managé.