Un Wi‑Fi “à risque” ne se voit pas seulement quand tout tombe. Il se manifeste par une accumulation de micro‑problèmes qui dégradent la production et masquent des failles de configuration.

Symptômes côté utilisateurs

• Déconnexions aléatoires pendant les visios, la VoIP ou le partage d’écran.
• Lenteurs uniquement à certaines heures ou dans certaines salles.
• Besoin de “désactiver/réactiver” le Wi‑Fi sur le poste pour récupérer le réseau.
• Imprimantes, terminaux métier ou objets connectés qui disparaissent puis reviennent.

Symptômes côté SI (souvent ignorés)

• Multiplication de bornes de marques différentes, sans supervision centralisée.
• Réseau invité sur le même plan d’adressage que le réseau interne, ou règles pare‑feu trop permissives.
• Un seul SSID partagé par tous (collaborateurs, prestataires, IoT), sans cloisonnement.
• Mots de passe PSK copiés-collés et jamais renouvelés, y compris après un départ.

Coûts cachés (sans chiffres “magiques”)

• Temps perdu à “dépanner” au lieu de traiter la cause (support, redémarrages, changements de canaux au hasard).
• Risque de compromission par un accès Wi‑Fi mal isolé (invités, terminaux non maîtrisés).
• Dégradation d’outils cloud et de la VoIP, vécue comme un problème applicatif alors que la cause est radio.

Dans des environnements mixtes bureaux/atelier (fréquents en Franche-Comté), ces symptômes s’amplifient avec les structures métalliques, les machines et les zones à forte densité humaine.

Un audit Wi‑Fi entreprise sérieux commence par le “terrain” : la radio. L’objectif n’est pas d’avoir du signal partout, mais une couverture utile et une capacité suffisante là où les usages l’exigent.

Couverture vs capacité

• Couverture : la borne est-elle “audible” au bon niveau dans les zones de travail ?
• Capacité : la borne peut-elle servir correctement le nombre d’utilisateurs et d’appareils simultanés ?

Un Wi‑Fi peut afficher “plein de barres” et pourtant être saturé (trop de clients, trop peu de temps d’antenne, canaux inadaptés).

Interférences et environnement

• Co‑canal (trop de bornes sur le même canal) et canaux adjacents.
• Sources non‑Wi‑Fi (certains équipements industriels, micro-ondes, systèmes vidéo sans fil).
• Contraintes bâtiment : cloisons, vitrages traités, racks, stockage.

Roaming (déplacement)

Les coupures en réunion ou en déplacement proviennent souvent d’un roaming mal maîtrisé :

• Puissance d’émission trop élevée (les clients “s’accrochent” à une borne lointaine).
• Paramètres incohérents entre bornes.
• Absence d’optimisation pour les transitions.

Densité : salles de réunion et open-spaces

Cartographier les zones “denses” (salles, formation, accueil) et vérifier :

1. Nombre de clients par radio.
2. Répartition 2,4/5 GHz selon le parc.
3. Débit réellement disponible par utilisateur.

Sur des sites multi-bâtiments, par exemple autour de Wi‑Fi Belfort, on constate souvent que la couverture a été pensée par ajouts successifs, sans recalage global de la puissance et des canaux.

La sécurité Wi‑Fi ne se résume pas à “mettre WPA2”. Elle combine chiffrement, authentification, gestion des identités, et réduction de la surface d’attaque sur l’infrastructure.

WPA2, WPA3 et choix pragmatiques

• WPA2-Personal (PSK) : simple, mais la clé partagée circule et devient difficile à contrôler.
• WPA3-Personal (SAE) : améliore la robustesse de l’authentification par mot de passe.
• WPA2/WPA3-Enterprise (802.1X) : idéal en entreprise pour lier l’accès à une identité (compte, certificat), avec révocation propre.

Le bon choix dépend du parc matériel, mais viser WPA3 entreprise (ou au minimum une trajectoire vers 802.1X) réduit fortement les risques liés aux secrets partagés.

Politique de mots de passe (si PSK)

• Clés distinctes par usage (interne vs invité vs IoT).
• Procédure de rotation et d’invalidation lors des changements d’équipe.
• Éviter les “mots de passe universels” affichés ou diffusés.

802.1X : bénéfices concrets

• Attribution dynamique de droits (par profil, groupe, type d’appareil).
• Traçabilité plus propre qu’une clé commune.
• Moins de dépendance aux “mémos” et aux exceptions.

Mesures complémentaires

• Isolation client sur le réseau invité (empêcher les invités de se voir entre eux).
• Durcissement de l’administration : interfaces de gestion non exposées, comptes nominatifs, mises à jour, sauvegarde de configuration.
• Désactiver les fonctionnalités inutiles, journaliser et surveiller.

Les recommandations de l’ANSSI et les guides NIST insistent sur cette approche en couches : sécuriser la liaison, l’accès et l’administration, pas uniquement le SSID.

La segmentation est le levier le plus rentable pour réduire l’impact d’un appareil compromis ou d’un accès invité trop permissif. Elle doit rester lisible pour éviter une usine à gaz.

Objectif : limiter les mouvements latéraux

Sans segmentation, un invité ou un objet connecté peut parfois atteindre des ressources internes par simple routage. Avec une segmentation VLAN et des règles de pare‑feu, on impose :

• Qui peut parler à qui.
• Sur quels ports.
• Vers quelles destinations.

Modèle de segmentation “PME” (simple et efficace)

1. VLAN Corporate : postes gérés, accès applicatifs internes.
2. VLAN Invités (réseau invité) : Internet uniquement, DNS filtré si nécessaire, isolation client.
3. VLAN IoT : équipements à risque (TV, objets connectés, capteurs), accès strictement nécessaire (par exemple vers un serveur de supervision).
4. VLAN VoIP : priorité et règles adaptées, limitation des flux.
5. VLAN Production (si besoin) : séparé du bureautique, règles renforcées.

Règles pare-feu : le point qui fait la différence

• Partir du principe “deny by default” entre VLAN.
• Autoriser explicitement les flux nécessaires (impression, serveurs, DNS, NTP, SIP/RTP pour VoIP, etc.).
• Surveiller les exceptions (c’est souvent là que naissent les failles invisibles).

Cas typiques à auditer

• SSID invité ponté sur le LAN interne.
• IoT sur le même réseau que les postes.
• VoIP impactée par un Wi‑Fi non priorisé.

Sur un site avec des prestataires réguliers (par exemple autour de Wi‑Fi Montbéliard), un réseau invité correctement isolé évite de transformer chaque intervention externe en risque réseau.

Le NAC (Network Access Control) promet de contrôler qui entre sur le réseau, avec quel niveau de conformité. En pratique, il peut être très utile… ou disproportionné selon la taille et la maturité SI.

À quoi sert un NAC, concrètement ?

• Identifier les terminaux (poste géré, BYOD, invité, IoT) et appliquer une politique.
• Refuser ou limiter les appareils non conformes (certificat absent, OS obsolète, posture de sécurité minimale non respectée).
• Mettre en quarantaine et guider la remédiation.

Signaux qui indiquent que le NAC est pertinent

• Beaucoup de terminaux non maîtrisés (BYOD, prestataires, intérim).
• Besoin d’une traçabilité et d’une segmentation dynamique (affectation VLAN selon profil).
• Exigences de conformité (secteur régulé, audit client, politique interne stricte).

Quand c’est “trop” (ou prématuré)

• Réseau Wi‑Fi instable : ajouter du NAC avant d’avoir réglé la radio et la segmentation augmente la complexité.
• Équipe IT réduite sans temps d’exploitation : un NAC demande du maintien en condition.
• Parc hétérogène sans inventaire : on passe son temps à gérer les exceptions.

Alternative pragmatique

Avant un NAC complet, une trajectoire réaliste peut être :

• 802.1X pour les postes gérés (certificats), PSK séparés pour IoT.
• VLAN et pare‑feu stricts.
• Portail captif invité, avec journaux.
• Supervision des bornes et alertes.

En Alsace comme ailleurs, la meilleure approche est souvent progressive : sécuriser et stabiliser d’abord, puis ajouter du contrôle d’accès avancé quand le besoin opérationnel est clair.

Ce plan vise un équilibre : résultats rapides pour les utilisateurs, et travaux de fond pour éviter le retour des incidents.

Semaine 1 : photographie fiable de l’existant

• Inventorier : bornes, versions, modes de gestion, SSID, VLAN, plan d’adressage.
• Vérifier l’administration : accès, comptes, sauvegardes, mises à jour.
• Collecter les symptômes : zones, horaires, types d’appareils, applications impactées.

Semaine 2 : quick wins performance

• Harmoniser canaux et puissances (éviter les réglages “au maximum”).
• Réduire les SSID inutiles (chaque SSID ajoute de la charge).
• Mettre en place une supervision et des journaux exploitables.

Semaine 3 : quick wins sécurité

• Séparer strictement le réseau invité (VLAN dédié + règles pare‑feu).
• Activer l’isolation client sur l’invité.
• Mettre en place une rotation de secrets si PSK, et limiter leur diffusion.

Semaine 4 : chantiers structurants (décision “réparer vs refondre”)

• Si le Wi‑Fi est multi-marques non piloté : envisager une gestion centralisée.
• Si la couverture/capacité est insuffisante : plan de couverture et repositionnement.
• Si la sécurité repose sur PSK : trajectoire vers 802.1X, puis NAC si nécessaire.

Livrables attendus

• Plan de couverture et zones à risque.
• Schéma de segmentation (VLAN) + matrice de flux.
• Liste priorisée des actions, avec dépendances.

L’objectif : stabiliser les usages critiques (réunions, SaaS, VoIP) tout en réduisant les chemins d’attaque les plus probables.

Cette checklist sert de support pour une visite sur site et une restitution claire. Elle aide à ne pas confondre “ça marche” avec “c’est robuste et sécurisé”.

Radio et performance

• Vérifier la couverture dans les zones de travail, salles de réunion et zones de stockage.
• Contrôler la cohérence des canaux et puissances entre bornes.
• Identifier les zones d’interférences et les périodes de saturation.
• Tester le roaming en mouvement (appel VoIP/visio) et repérer les ruptures.

Architecture et exploitation

• Liste des bornes, contrôleurs, firmwares, mode cloud/on-prem.
• Existence d’une supervision (alertes, historique, capacité) et qui la consulte.
• Sauvegardes de configuration et procédure de retour arrière.

Sécurité

• Mode de sécurité par SSID (WPA2/WPA3, Personal vs Enterprise).
• Présence d’un 802.1X (RADIUS), gestion des certificats, révocation.
• Séparation des SSID par usages (corporate, invité, IoT) et isolation client.
• Durcissement de l’administration (comptes nominatifs, MFA si disponible, accès restreints).

Segmentation et pare-feu

• VLAN par usage et plan d’adressage documenté.
• Matrice de flux : règles inter-VLAN minimales et justifiées.
• Vérifier que l’invité n’a accès qu’à Internet.

Décision

• Réparer si l’architecture est saine et la gestion homogène.
• Refondre si empilement, absence de pilotage, sécurité non maîtrisable, ou capacité structurellement insuffisante.

Utilisée systématiquement, cette checklist transforme un “dépannage Wi‑Fi” en démarche d’amélioration continue.