Pour l'utilisateur au quotidien.
Le réseau Wi-Fi interne est reserve aux équipements professionnels gerés et a jour. Les telephones et tablettes personnels doivent utiliser le réseau invite, qui est isolé pour vous protéger autant que pour protéger l'entreprise. En cas de doute, demandez au service informatique avant de connecter un nouvel équipement.
Pour le technicien qui intervient.
Un réseau invite qui partage le LAN interne expose l'entreprise au moindre poste compromis. Le SSID invite doit etre isolé sur un VLAN dedie sans aucun acces aux ressources internes, avec sortie directe vers internet et bande passante limitée. Vérifier l'isolation client-a-client (AP isolation) pour eviter qu'un invite n'attaque un autre invite.
Le protocole WPA2-PSK avec clé partagee est inadapte au monde professionnel : une clé compromise donne acces a tout le réseau. Le guide d'hygiene ANSSI mesure 30 impose WPA2-Entreprise (avec authentification individuelle via RADIUS) ou WPA3 pour les réseaux d'entreprise. WEP et WPS doivent etre desactives totalement.
Les CVE sur les firmwares Wi-Fi (Aruba, Cisco, Ubiquiti, Mikrotik) sont frequentes et permettent souvent une prise de contrôle a distance. Appliquer les mises a jour de sécurité sous 30 jours, et planifier une revue annuelle pour décommissionner les modèles en fin de support editeur. Un AP sans correctif est une porte d'entree.
Une puissance d'emission excessive provoque des interférences entre cellules et permet a un attaquant de capter le signal depuis le parking ou la rue. Ajuster la puissance pour limiter la propagation aux zones a couvrir effectivement. Realiser un audit de couverture annuel avec un outil de site survey.
Pour le responsable / gestionnaire.
Un réseau invite qui partage le LAN interne expose l'entreprise au moindre poste compromis. Le SSID invite doit etre isolé sur un VLAN dedie sans aucun acces aux ressources internes, avec sortie directe vers internet et bande passante limitée. Vérifier l'isolation client-a-client (AP isolation) pour eviter qu'un invite n'attaque un autre invite.
Le protocole WPA2-PSK avec clé partagee est inadapte au monde professionnel : une clé compromise donne acces a tout le réseau. Le guide d'hygiene ANSSI mesure 30 impose WPA2-Entreprise (avec authentification individuelle via RADIUS) ou WPA3 pour les réseaux d'entreprise. WEP et WPS doivent etre desactives totalement.
L'article L34-1 du Code des postes et communications electroniques impose la conservation des données de connexion. Pour le Wi-Fi invite ouvert, conserver au minimum date, heure, identifiant utilise, adresse MAC. La durée minimale est de 12 mois. Une borne sans traces de connexion expose l'entreprise en cas de requisition judiciaire.
Pour l'auditeur et le contrôle de conformité.
L'article L34-1 du Code des postes et communications electroniques impose la conservation des données de connexion. Pour le Wi-Fi invite ouvert, conserver au minimum date, heure, identifiant utilise, adresse MAC. La durée minimale est de 12 mois. Une borne sans traces de connexion expose l'entreprise en cas de requisition judiciaire.