Informaclique
cd ../blog

blog · article · lecture

Comment sécuriser le Wi-Fi de votre entreprise

author Cédron
Comment sécuriser le Wi-Fi de votre entreprise
informaclique — article.mdutf-8
meta — lecture~5 min
$ wc -w article.md → estim. 5 min de lecture

Comment sécuriser le Wi-Fi de votre entreprise

Le Wi-Fi est devenu indispensable dans toute entreprise : connexion des postes de travail, tablettes terrain, smartphones, objets connectés. Mais un réseau Wi-Fi mal sécurisé est une porte ouverte pour les cybercriminels. Dans le BTP, où les réseaux se déploient parfois sur des chantiers temporaires, la vigilance est d'autant plus nécessaire.

Les risques d'un Wi-Fi mal sécurisé

L'interception de données

Sur un réseau Wi-Fi non chiffré ou mal protégé, un attaquant peut intercepter :

  • Les identifiants de connexion (e-mails, ERP, banque en ligne)
  • Les documents échangés (plans, devis, contrats)
  • Les communications internes (messagerie, visioconférence)

L'intrusion dans le réseau

Un attaquant qui accède à votre Wi-Fi peut :

  • Scanner l'ensemble de votre réseau interne
  • Accéder aux serveurs, NAS et imprimantes
  • Déployer un rançongiciel (ransomware)
  • Utiliser votre connexion pour des activités illégales (vous en êtes juridiquement responsable)

Le déni de service

Un attaquant peut saturer votre réseau Wi-Fi et rendre votre connexion inutilisable, paralysant l'activité de vos équipes.

Les fondamentaux de la sécurité Wi-Fi

Utilisez le chiffrement WPA3

Le protocole WPA3 est le standard de sécurité Wi-Fi actuel. Il remplace le WPA2, lui-même successeur du WEP (totalement obsolète et craquable en quelques minutes).

  • Vérifiez que vos bornes Wi-Fi supportent le WPA3 : les équipements de moins de 3-4 ans le supportent généralement
  • Activez le mode WPA3-Enterprise si possible : il attribue un identifiant unique à chaque utilisateur, contrairement au mode Personal où tout le monde partage le même mot de passe
  • En transition : utilisez le mode WPA3/WPA2 mixte si certains appareils anciens ne supportent pas le WPA3

Changez les configurations par défaut

C'est basique mais trop souvent négligé :

  • Mot de passe administrateur : changez le mot de passe d'accès à l'interface de gestion de chaque borne
  • SSID : renommez le réseau pour ne pas révéler la marque de votre équipement (évitez « NETGEAR_5G » ou « Livebox-A1B2 »)
  • Firmware : mettez à jour le logiciel interne de vos bornes Wi-Fi régulièrement

Segmentez vos réseaux

La segmentation est une mesure essentielle :

  • Réseau interne : pour vos postes de travail et serveurs, avec un mot de passe fort réservé aux collaborateurs
  • Réseau invités : pour les visiteurs, sous-traitants et clients, isolé du réseau interne
  • Réseau IoT : pour les objets connectés (caméras, capteurs, imprimantes), isolé des données sensibles

Sur un chantier BTP, cette segmentation est cruciale : le réseau du conducteur de travaux (accès ERP, données chantier) ne doit pas être le même que celui utilisé par les sous-traitants.

Les mesures avancées

L'authentification 802.1X

Le protocole 802.1X permet une authentification individuelle de chaque utilisateur ou appareil :

  • Chaque collaborateur se connecte avec ses propres identifiants (souvent les mêmes que sa session Windows)
  • Les accès sont journalisés : vous savez qui s'est connecté, quand et depuis quel appareil
  • Un départ de collaborateur = désactivation immédiate de son accès Wi-Fi

La détection d'intrusion Wi-Fi (WIDS/WIPS)

Les systèmes de détection et de prévention d'intrusion Wi-Fi surveillent les ondes :

  • Détection de points d'accès non autorisés (rogue AP)
  • Alerte en cas de tentative d'attaque (deauthentication, evil twin)
  • Cartographie automatique des appareils connectés

Le filtrage MAC et le portail captif

  • Filtrage MAC : seuls les appareils dont l'adresse physique est enregistrée peuvent se connecter. Attention, cette mesure seule est insuffisante car les adresses MAC peuvent être usurpées
  • Portail captif : pour le réseau invités, un portail web demande une authentification avant d'accorder l'accès. Il peut aussi afficher une charte d'utilisation que le visiteur doit accepter

Sécuriser le Wi-Fi sur chantier

Les chantiers du BTP posent des défis spécifiques :

  • Environnement ouvert : le signal Wi-Fi dépasse souvent les limites du chantier
  • Rotation du personnel : intérimaires, sous-traitants, visiteurs se succèdent
  • Équipement rustique : les conditions de chantier (poussière, vibrations, températures) nécessitent du matériel adapté

Recommandations :

  • Utilisez des bornes Wi-Fi durcies (IP65 minimum) pour résister aux conditions de chantier
  • Créez un réseau dédié par chantier, indépendant du réseau du siège
  • Renouvelez les mots de passe à chaque changement significatif d'équipe
  • Utilisez un VPN pour les connexions vers le système d'information central

Checklist de sécurité Wi-Fi

  • Chiffrement WPA3 activé (ou WPA2 AES minimum)
  • Mots de passe administrateur changés sur toutes les bornes
  • SSID renommé (pas de nom par défaut)
  • Firmware à jour sur tous les équipements
  • Réseau invités séparé du réseau interne
  • Réseau IoT isolé
  • Journalisation des connexions activée
  • Politique de mots de passe forte appliquée
  • Audit de sécurité Wi-Fi réalisé dans les 12 derniers mois

Conclusion

La sécurité Wi-Fi n'est pas un luxe mais une nécessité, surtout quand votre réseau transporte des données sensibles (financières, contractuelles, personnelles). Que ce soit au siège ou sur chantier, chaque point d'accès doit être configuré avec rigueur. Demandez un audit de sécurité Wi-Fi pour identifier les vulnérabilités de votre réseau et mettre en place les protections adaptées.

informaclique — ctastdout

Besoin d'un accompagnement sur ce sujet ?

Audit gratuit, conseil personnalisé et solutions sur-mesure pour votre entreprise.

En discuter

contact

Un projet en tête ?

Informaclique, développement informatique à Lyon. Applications sur-mesure, sites web et solutions digitales en Auvergne-Rhône-Alpes.

Discuter du projet