Sécuriser le Wi-Fi de votre entreprise : guide complet

Le Wi-Fi est devenu indispensable dans les environnements professionnels : mobilité des collaborateurs, objets connectés, terminaux invités. Mais un réseau sans fil mal configuré est une porte ouverte pour les attaquants. Selon le rapport Wi-Fi Alliance 2025, 43 % des PME utilisent encore des protocoles Wi-Fi obsolètes (WPA2-PSK avec mot de passe partagé), exposant leur réseau à des interceptions et des intrusions. Ce guide détaille les mesures à déployer pour sécuriser durablement votre infrastructure Wi-Fi.

Les risques d'un Wi-Fi d'entreprise mal sécurisé

Interception du trafic et attaques Man-in-the-Middle

Sur un réseau Wi-Fi utilisant WPA2-PSK avec un mot de passe partagé, tout collaborateur connaissant la clé peut potentiellement intercepter le trafic des autres utilisateurs via des attaques de type KRACK ou par capture de la poignée de main (4-way handshake). Un attaquant positionné à proximité peut déchiffrer les communications en moins de 10 minutes avec des outils librement disponibles comme Aircrack-ng. La sécurité du réseau Wi-Fi en entreprise passe par un chiffrement robuste et une segmentation adaptée. La sécurité réseau commence par la protection du Wi-Fi, premier point d'entrée pour de nombreuses attaques.

Rogue AP et Evil Twin

Un rogue access point (point d'accès pirate) est un équipement non autorisé connecté à votre réseau filaire. Il peut être installé par un collaborateur mal intentionné ou un visiteur. L'attaque Evil Twin consiste à créer un faux réseau Wi-Fi portant le même nom (SSID) que le réseau légitime : les utilisateurs s'y connectent sans méfiance et leurs identifiants sont capturés. Selon Gartner, 25 % des incidents de sécurité Wi-Fi impliquent un rogue AP.

WPA3 : le nouveau standard de sécurité

WPA3, ratifié en 2018 et désormais largement supporté, corrige les faiblesses de WPA2 :

• SAE (Simultaneous Authentication of Equals) : remplace le PSK par un échange de clés résistant aux attaques par dictionnaire, même si le mot de passe est faible.
• Forward secrecy : chaque session utilise une clé unique ; la compromission d'une session ne compromet pas les sessions passées.
• Chiffrement individualisé : sur WPA3-Personal, chaque appareil négocie sa propre clé, empêchant l'interception entre utilisateurs du même réseau.
• Protected Management Frames (PMF) obligatoire : protège contre les attaques de déauthentification.

Migration vers WPA3 : aspects pratiques

La migration nécessite des bornes Wi-Fi compatibles WPA3 et des terminaux supportant le protocole. La plupart des bornes professionnelles commercialisées depuis 2020 supportent WPA3. Pour les terminaux anciens, le mode transition WPA2/WPA3 permet une coexistence temporaire. Planifiez le renouvellement des équipements incompatibles sur 12 à 18 mois.

Segmentation réseau et authentification RADIUS

Pourquoi segmenter votre Wi-Fi

La segmentation réseau isole les différents usages sur des VLAN distincts : réseau interne (collaborateurs), réseau invités, réseau IoT. Un visiteur connecté au Wi-Fi invité ne doit jamais pouvoir accéder aux serveurs internes ni aux imprimantes réseau. Cette séparation s'appuie sur la logique Zero Trust : chaque segment est traité comme potentiellement hostile.

Authentification 802.1X avec RADIUS

L'authentification 802.1X avec un serveur RADIUS élimine le problème du mot de passe partagé. Chaque utilisateur s'authentifie avec ses identifiants personnels (ou un certificat). Si un collaborateur quitte l'entreprise, son accès est révoqué immédiatement sans avoir à changer le mot de passe Wi-Fi de tous les autres. FreeRADIUS (open source) ou Microsoft NPS (Network Policy Server) sont les solutions les plus répandues pour les PME.

L'authentification RADIUS se combine idéalement avec une stratégie MFA avancée pour renforcer la sécurité des accès.

Surveillance et détection des menaces Wi-Fi

1. WIDS/WIPS (Wireless Intrusion Detection/Prevention System) : détecte les rogue AP, les Evil Twin et les tentatives de déauthentification.
2. Analyse spectrale : identifie les interférences et les sources de brouillage intentionnel.
3. Journalisation centralisée : chaque connexion, déconnexion et événement de sécurité doit être consigné et analysé.

Checklist essentielle pour un Wi-Fi d'entreprise sécurisé

Sécuriser le réseau Wi-Fi de votre entreprise ne se limite pas à choisir un mot de passe complexe. Voici les mesures concrètes à déployer pour atteindre un niveau de protection professionnel.

• Utilisez WPA3-Enterprise avec authentification 802.1X et un serveur RADIUS. Chaque collaborateur se connecte avec ses identifiants personnels, éliminant le partage de clé pré-partagée.
• Segmentez les SSID : un réseau interne pour les postes gérés, un réseau invité isolé, et un SSID dédié à l'IoT. Chaque segment doit avoir ses propres règles de pare-feu.
• Désactivez le WPS et masquez le SSID interne. Bien que le masquage ne soit pas une protection absolue, il réduit la surface d'exposition aux scans automatisés.
• Déployez un WIDS/WIPS (système de détection/prévention d'intrusion sans fil) pour repérer les points d'accès pirates et les tentatives de deauthentication.
• Planifiez des audits radio trimestriels pour vérifier la couverture, détecter les fuites de signal hors de vos locaux et optimiser le placement des bornes.

N'oubliez pas de mettre à jour le firmware de vos bornes d'accès chaque mois. Les vulnérabilités Wi-Fi sont fréquentes et les correctifs souvent critiques. Un Wi-Fi d'entreprise bien configuré est un atout de productivité, mal sécurisé il devient une porte d'entrée majeure.

ACME conçoit et déploie des infrastructures Wi-Fi professionnelles sécurisées : audit de couverture, segmentation VLAN, authentification RADIUS, surveillance WIDS et migration WPA3. Nos architectures Wi-Fi protègent plus de 200 sites d'entreprise en France avec un SLA de disponibilité de 99,9 %.

FAQ

Faut-il cacher le SSID de mon réseau Wi-Fi professionnel ?

Non. Masquer le SSID offre une fausse impression de sécurité : les outils d'analyse Wi-Fi détectent facilement les réseaux cachés. Pire, les appareils configurés pour se connecter à un SSID caché diffusent en permanence des requêtes de recherche (probe requests), ce qui peut révéler leur historique de connexion. Investissez plutôt dans WPA3, la segmentation et l'authentification RADIUS — des mesures réellement efficaces.

Combien de bornes Wi-Fi faut-il pour couvrir mes locaux ?

Le nombre de bornes dépend de la superficie, de la densité d'utilisateurs et de la nature des cloisons. En règle générale, comptez une borne Wi-Fi 6 (802.11ax) pour 150 m² en open space ou pour 80 m² dans un bâtiment cloisonné. Un audit de couverture (site survey) est indispensable pour dimensionner correctement l'infrastructure et éviter les zones blanches ou les interférences entre bornes.

Le Wi-Fi 6E ou Wi-Fi 7 apporte-t-il des avantages en sécurité ?

Wi-Fi 6E (6 GHz) et Wi-Fi 7 imposent WPA3 comme standard obligatoire et n'acceptent pas les connexions WPA2. Cette contrainte élimine mécaniquement les vulnérabilités liées aux protocoles obsolètes. Par ailleurs, la bande 6 GHz est moins encombrée, ce qui réduit les risques d'interférences et améliore les performances. Si vous planifiez un renouvellement d'infrastructure, le Wi-Fi 6E est un choix pertinent pour combiner performance et sécurité.