Rubs
Sécurité

Sécuriser son réseau WiFi professionnel : les erreurs à ne pas faire

20 avril 20264 min de lecture

Un WiFi mal configuré est une porte d'entrée ouverte sur votre réseau. Les erreurs les plus fréquentes et comment les corriger, sans compétences techniques avancées.

Sécuriser son réseau WiFi professionnel : les erreurs à ne pas faire

Le WiFi de bureau est souvent configuré une fois, au moment de l'installation, et jamais retouché. Mot de passe collé sous la box, même réseau pour les employés et les visiteurs, pas de segmentation — autant d'invitations pour un attaquant patient.

Les erreurs les plus fréquentes

Mot de passe faible ou partagé à tout le monde

"WiFiEntreprise2019" collé sur un post-it à l'accueil. Un employé qui part et qui garde le mot de passe. Un livreur qui le demande et qui revient le lendemain avec un ordinateur. Ce scénario arrive tous les jours.

Un seul réseau pour tout le monde

Employés, clients, prestataires, imprimantes, caméras de surveillance — tout sur le même réseau. Si un appareil est compromis, l'attaquant accède potentiellement à tout.

Le routeur avec ses paramètres d'usine

Interface d'administration accessible en admin/admin. Firmware jamais mis à jour. Ports ouverts inutilement. Un routeur non configuré est une passoire.

Le WPS activé

Le WPS (WiFi Protected Setup) est une fonction de connexion simplifiée par bouton ou code PIN. Elle est connue pour être vulnérable à des attaques par force brute. Désactivez-la.

Pas de monitoring

Si quelqu'un se connecte à votre réseau WiFi à 3h du matin depuis le parking, vous ne le saurez jamais — sauf si vous avez mis en place une surveillance.

Les bonnes pratiques à mettre en place

Segmentez vos réseaux

Créez au minimum trois réseaux distincts :

Réseau employés : accès complet aux ressources internes. Réservé aux appareils de l'entreprise, avec authentification par identifiants nominatifs plutôt que par mot de passe partagé.

Réseau invités : accès internet uniquement, isolé du reste. Portail captif avec acceptation des CGU. Bande passante limitée. C'est ce réseau que vous donnez aux visiteurs, clients, livreurs.

Réseau IoT : pour les imprimantes, caméras, systèmes domotiques, objets connectés. Ces appareils sont souvent les moins bien sécurisés et ne doivent pas être sur le même segment que vos postes de travail.

Choisissez WPA3 (ou au minimum WPA2-AES)

WPA3 est le standard actuel. Si votre équipement ne le supporte pas, WPA2 avec chiffrement AES est acceptable. Évitez WPA et WEP — ces protocoles sont cassés.

Utilisez des mots de passe robustes et tournants

Pour le réseau invités : changez le mot de passe régulièrement (hebdomadaire ou mensuel selon votre flux de visiteurs). Pour le réseau employés : préférez l'authentification par certificat ou via un annuaire (RADIUS) plutôt qu'un mot de passe partagé.

Mettez à jour le firmware de vos équipements

Les fabricants publient régulièrement des mises à jour de sécurité pour leurs équipements réseau. Planifiez une vérification trimestrielle. La plupart des équipements modernes (Ubiquiti, Cisco Meraki, Aruba) peuvent le faire automatiquement.

Désactivez les fonctions inutiles

  • WPS : désactivez-le
  • UPnP : désactivez-le sauf besoin spécifique
  • Administration à distance : désactivez-la si vous n'en avez pas besoin
  • Diffusion du SSID : masquer le nom du réseau n'est pas une sécurité en soi, mais ça réduit les tentatives opportunistes

Mettez en place un système de détection

Un bon contrôleur WiFi (Unifi Controller, Cisco Meraki, Aruba Central) vous permet de voir en temps réel qui est connecté, depuis quel appareil, depuis combien de temps. Il peut alerter en cas de connexion suspecte ou d'appareil inconnu.

L'investissement matériel : ça coûte quoi ?

Pour une petite entreprise (10-50 personnes) :

  • Solution grand public améliorée (routeur Asus ou Netgear avec firmware OpenWRT) : 150-300 €. Bien configuré, ça couvre les bases.
  • Solution semi-professionnelle (Unifi de Ubiquiti) : 500-1500 € pour le matériel, offre des fonctions de gestion avancées à un prix raisonnable.
  • Solution enterprise (Cisco Meraki, Aruba, Ruckus) : à partir de 2000 €, avec abonnement annuel. Gestion centralisée, garanties, support constructeur.

Le matériel seul ne suffit pas. La configuration initiale et la maintenance régulière font la différence. Un bon équipement mal configuré est moins sécurisé qu'un équipement modeste bien géré.

Par où commencer ?

Si vous ne savez pas par où commencer, commencez par l'audit :

  1. Listez tous vos équipements réseau (routeurs, switches, bornes WiFi)
  2. Vérifiez les mots de passe par défaut → changez-les
  3. Vérifiez les firmwares → mettez à jour
  4. Identifiez qui a accès à quoi → segmentez si ce n'est pas fait
  5. Testez la connexion depuis l'extérieur du bâtiment → vérifiez ce qui est visible

Un audit réseau réalisé par un prestataire externe permet de mettre en lumière les vulnérabilités que l'habitude vous a rendu invisible. C'est souvent la meilleure façon d'avoir une image réaliste de votre exposition.

Questions fréquentes

On répond avant que vous posiez la question

Si la réponse n'est pas là, un premier échange de 30 min suffira.