SE-P01·Intermédiaire·12 min

Securite Wi-Fi en entreprise

Configurer et securiser les reseaux Wi-Fi professionnels : WPA3, 802.1X, isolation des reseaux invites et bonnes pratiques.

👤 IT Admin · CISO
Objectifs d'apprentissage
  • Comprendre les differences entre WEP, WPA2 et WPA3 et leurs niveaux de securite
  • Configurer correctement un reseau Wi-Fi professionnel avec 802.1X
  • Isoler le Wi-Fi invite du reseau interne et prevenir les attaques Wi-Fi classiques

WEP, WPA2, WPA3 : evolution de la securite Wi-Fi

WEP (1997) est completement casse depuis 2001 et ne doit jamais etre utilise. WPA2-Personal avec mot de passe fort reste acceptable pour les PME simples. WPA2-Enterprise avec 802.1X authentifie chaque appareil individuellement via RADIUS, eliminant les risques lies au partage d'un mot de passe Wi-Fi unique. WPA3 apporte la protection contre les attaques par dictionnaire hors ligne et le forward secrecy. En 2025, viser WPA3 ou au minimum WPA2-Enterprise pour les reseaux professionnels.

🔔 À retenir : WPA2-Personal avec un mot de passe Wi-Fi partage entre tous les employes est un risque : un employe qui quitte l'organisation connait toujours le mot de passe. WPA2-Enterprise resout ce probleme avec des credentials individuels.

Attaques Wi-Fi classiques et comment s'en proteger

Les attaques Wi-Fi courantes : Evil Twin (faux point d'acces qui imite le vrai pour intercepter le trafic), attaque par desauthentification (forcer les clients a se reconnecter pour capturer le handshake), wardriving (cartographier les reseaux Wi-Fi mal securises). Protections : utiliser 802.1X, activer la detection de faux points d'acces sur les controleurs Wi-Fi, forcer le VPN sur tous les Wi-Fi non controles (teletravail, deplacement).

⚠ Attention : Un attaquant dans un cafe avec un portablestandard peut creer un Evil Twin de votre SSID professionnel. Les employes en teletravail qui se connectent a votre VPN depuis un reseau non securise sont particulierement vulnerables.

Configuration du Wi-Fi invite : isolation obligatoire

Le Wi-Fi invite doit etre completement isole du reseau interne par VLAN et pare-feu. Il ne doit avoir acces qu'a Internet. Ajouter des portails captifs pour les visiteurs, limiter la bande passante pour eviter l'abus, et utiliser un mot de passe different du Wi-Fi professionnel, rotationne regulierement. Certains equipements permettent aussi de masquer le SSID professionnel aux equipements non geres (client isolation).

Checklist pratique

Votre progression est sauvegardée localement dans votre navigateur.

Points clés à retenir

  • WPA2-Enterprise avec 802.1X = credentials individuels, pas de mot de passe partage
  • Evil Twin : un attaquant peut imiter votre SSID — le VPN obligatoire protege contre cette attaque
  • Wi-Fi invite toujours isole : VLAN + pare-feu, acces Internet uniquement
  • WPA3 est le standard actuel : planifier la migration si vos equipements le supportent