Solutions de WiFi géré : un guide complet pour les entreprises

PARTIE 1 : Bienvenue. Aujourd'hui, nous parlons de WiFi managé - non pas du routeur grand public que vous branchez chez vous, mais de l'infrastructure managée dans le cloud et de classe entreprise qui sous-tend tout, des 800 établissements de Premier Inn aux terminaux de Manchester Airports Group. Plantons le décor. Vous gérez un parc multi-sites - hôtels, commerces, un stade ou un développement immobilier résidentiel (build-to-rent). Votre WiFi est probablement un patchwork. Certains sites disposent de Cisco Meraki, d'autres d'équipements HPE Aruba installés en 2018, et quelque part se trouve une configuration Ubiquiti UniFi qu'un sous-traitant a installée et que personne ne comprend vraiment. Cela vous semble familier ? C'est le problème que résout le WiFi managé. Il remplace ce patchwork par une interface cloud unique - un seul tableau de bord, un seul moteur de politique, une seule posture de sécurité - quel que soit le matériel sous-jacent. Entrons dans l'architecture. Un déploiement de WiFi managé correctement conçu gère trois segments de réseau distincts. Tout d'abord, le WiFi Invité - le réseau public auquel les visiteurs, les invités ou les acheteurs se connectent. Deuxièmement, le WiFi Personnel - un réseau distinct et authentifié pour les employés, utilisant IEEE 802.1X avec un serveur RADIUS pour un accès basé sur l'identité. Troisièmement, un VLAN IoT - isolé de tout le reste, supportant vos systèmes de gestion technique de bâtiment, la vidéosurveillance, les serrures intelligentes et les capteurs. Pourquoi trois ? Parce qu'un client se connectant au WiFi de votre hôtel ne devrait jamais pouvoir accéder à votre système de gestion immobilière. Et vos appareils IoT - qui fonctionnent souvent avec des firmwares obsolètes et ne peuvent pas être mis à jour - ne devraient jamais être accessibles depuis le réseau invité. L'isolation VLAN n'est pas optionnelle. C'est la base d'une architecture réseau sécurisée. Maintenant, l'authentification. Pour l'accès invité, vous avez deux approches principales. Le Captive Portal traditionnel - où un visiteur ouvre un navigateur, voit une page d'accueil, accepte vos conditions et se connecte éventuellement via e-mail ou réseaux sociaux. C'est ce que Purple déploie dans 80 000 sites à travers le monde. Il capture des données de première main avec des opt-ins par choix conscient qui sont entièrement conformes au GDPR. La seconde approche est Passpoint, également connu sous le nom de Hotspot 2.0 ou OpenRoaming. Celui-ci utilise 802.11u et WPA3 pour authentifier automatiquement les appareils, sans page d'accueil. Purple agit en tant que fournisseur d'identité gratuit pour OpenRoaming dans le cadre du plan Purple Connect. Pour l'authentification du personnel, la référence absolue est l'IEEE 802.1X avec EAP-TLS. Chaque appareil présente un certificat plutôt qu'un mot de passe. Pas de secrets partagés. Vous l'intégrez à Microsoft Entra ID, Okta ou Google Workspace via SCIM et SAML. Lorsqu'un membre du personnel s'en va, Purple révoque l'accès automatiquement. Pour les environnements multi-locataires - développements résidentiels, logements étudiants, immeubles collectifs - vous utilisez l'iPSK ou le PPSK. Chaque unité résidentielle reçoit une clé unique. Le trafic est isolé au niveau du VLAN pour chaque unité. Le WiFi Multi-Locataire de Purple gère cela automatiquement, prenant en charge Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme Networks et Fortinet.Parlons du déploiement. Cinq phases. Phase une : l'étude de site. Vous avez besoin d'une étude de fréquence radio - soit prédictive, en utilisant un logiciel comme Ekahau, soit active, en arpentant le site avec un analyseur de spectre. Une chambre d'hôtel typique nécessite un point d'accès pour deux à quatre chambres, selon les matériaux de construction. Phase deux : la conception du réseau. Vous définissez votre structure VLAN, les étendues DHCP, les politiques QoS et les plans de canaux. 2,4 gigahertz pour la portée et la compatibilité IoT, 5 gigahertz pour le débit, 6 gigahertz sur le matériel Wi-Fi 6E pour les environnements à haute densité. Phase trois : l'installation du matériel. Du Cat 6A pour chaque point d'accès, des commutateurs PoE plus avec des budgets de puissance adéquats. Ne sous-dimensionnez pas la couche de commutation - c'est la cause la plus fréquente de problèmes de performance que nous constatons sur le terrain. Phase quatre : l'intégration au cloud. Connectez votre matériel à la plateforme de gestion, déployez les modèles de configuration et testez. Avec Purple, il s'agit d'une superposition cloud - vous superposez le moteur d'identité, d'analyse et de politique de Purple sur votre infrastructure existante. Phase cinq : la gestion continue. Mises à jour du firmware déployées de manière centralisée. Détection des points d'accès non autorisés. Surveillance de la bande passante. Alertes automatisées lorsqu'un point d'accès se déconnecte. La plateforme de Purple offre une disponibilité de 99,999 %, soutenue par la certification ISO 27001. PARTIE 2 : Laissez-moi maintenant vous présenter deux scénarios réels. Scénario un : un hôtel de 200 chambres. Quatre étages, une suite de conférence, un restaurant et un spa. L'équipe informatique est composée de deux personnes. Ils ne peuvent pas être sur place chaque fois qu'un client se plaint du WiFi. La solution : 85 points d'accès sur du matériel HPE Aruba, gérés via la superposition cloud de Purple. Le WiFi invité sur le VLAN 10 avec un portail captif personnalisé capturant l'e-mail lors de l'enregistrement. Le WiFi du personnel sur le VLAN 20 avec une authentification 802.1X liée à l'annuaire Microsoft Entra ID de l'hôtel. L'IoT sur le VLAN 30 transportant le système de gestion technique du bâtiment et le divertissement en chambre. Le résultat : l'équipe informatique gère l'ensemble du parc à partir d'un tableau de bord unique. Les mises à jour du firmware se font pendant la nuit. Les plaintes des clients diminuent car le réseau est surveillé de manière proactive et non réactive. Scénario deux : un complexe résidentiel locatif de 300 logements. Le promoteur a besoin d'un WiFi que les résidents peuvent utiliser dès le premier jour, qui prend en charge les appareils de domotique et qui maintient le trafic de chaque appartement privé. La solution : le WiFi multi-locataire de Purple avec iPSK. Chaque logement reçoit une clé pré-partagée unique, provisionnée automatiquement lors de la création d'un bail. Les résidents connectent leurs téléphones, ordinateurs portables, téléviseurs connectés et thermostats sous la même clé. Le trafic est isolé par VLAN. Le promoteur propose le WiFi comme un service inclus dans les charges. Le réseau fonctionne sur du matériel Cisco Meraki avec Purple comme couche de gestion cloud. Laissez-moi vous donner trois règles de base avant de passer aux questions. Règle une : segmentez tout. Le trafic des invités, du personnel et de l'IoT ne doit jamais partager un VLAN. Si vous ne devez retenir qu'une chose de cette session, c'est celle-ci. Un VLAN mal configuré a causé plus d'incidents de sécurité que tout autre facteur unique dans le WiFi d'entreprise. Règle numéro deux : concevez pour les pics, pas pour la moyenne. Un centre de conférences de 500 places doit pouvoir gérer 500 connexions simultanées pendant un discours d'ouverture. Concevez la densité de vos points d'accès et votre plan de canaux pour cette charge de pointe, et non pour la moyenne du mardi après-midi. Règle numéro trois : la couche de gestion cloud n'est pas optionnelle à grande échelle. Si vous gérez plus de cinq sites, une plateforme cloud n'est pas un luxe - c'est le seul moyen de maintenir une posture de sécurité cohérente et de répondre rapidement aux incidents. Très bien, passons à une série de questions-réponses rapides. Question : ai-je besoin de WPA3 ? Réponse : oui, pour tout nouveau déploiement. Le WPA3 élimine la vulnérabilité KRACK, introduit l'authentification simultanée d'égaux (SAE) et est obligatoire pour la certification WiFi 6. Activez-le en mode de transition pour prendre en charge les anciens appareils. Question : qu'en est-il de la conformité PCI-DSS pour le commerce de détail ? Réponse : votre réseau de point de vente doit être sur un VLAN distinct, complètement isolé du WiFi invité. La clause 1.3 de la norme PCI-DSS impose une segmentation réseau entre les environnements de données des titulaires de cartes et tous les autres réseaux. Question : comment gérer le BYOD pour le personnel ? Réponse : utilisez 802.1X avec PEAP et MSCHAPv2 pour les appareils qui ne peuvent pas exécuter EAP-TLS. Ou utilisez PPSK avec des clés par appareil gérées via votre fournisseur d'identité. Purple s'intègre à Microsoft Entra ID et Okta pour automatiser cela. Question : quel est le ROI ? Réponse : trois chiffres. Le WiFi managé réduit le temps de support informatique pour les problèmes réseau de 40 % en moyenne par rapport à une infrastructure auto-gérée, selon les données clients de Purple. La collecte de données via le WiFi invité génère des données marketing de première main d'une valeur moyenne de 12 livres par profil collecté en revenus de marketing par e-mail sur 12 mois. Et une disponibilité de 99,999 % signifie moins de six minutes d'arrêt par an. Pour résumer. Le WiFi managé ne se résume pas à la connectivité. Il s'agit de gérer un réseau sécurisé dès sa conception, observable en temps réel et évolutif sans augmenter les effectifs. L'architecture est simple : trois VLAN, une gestion cloud, une authentification basée sur l'identité. L'implémentation est un processus en cinq phases, de l'étude de site à la gestion continue. Et le dossier commercial est clair - coûts opérationnels réduits, meilleure posture de sécurité et un réseau qui génère des données que vous pouvez réellement utiliser. L'équipe technique de Purple peut vous accompagner dans l'examen de l'architecture spécifique à votre site. Nous avons déployé nos solutions sur 80 000 sites, enregistré 440 millions de connexions en 2024 et collecté 29 milliards de points de données. Nous savons ce qui fonctionne. Merci pour votre temps.