{ "uuid": "083d4e0bf7d19a6dcfba78eeb6759fb5", "slug": "wifi-ap-equipment", "lang": "fr", "audience": null, "count": 6, "conseils": [ { "uuid": "dbe2d308cbf2415ea242844451154558", "category": "regulatory", "audience": [ "technician", "manager" ], "severity": "mandatory", "title": "Utiliser WPA2-Entreprise ou WPA3 sur les réseaux professionnels", "content": "Le protocole WPA2-PSK avec clé partagee est inadapte au monde professionnel : une clé compromise donne acces a tout le réseau. Le guide d'hygiene ANSSI mesure 30 impose WPA2-Entreprise (avec authentification individuelle via RADIUS) ou WPA3 pour les réseaux d'entreprise. WEP et WPS doivent etre desactives totalement." }, { "uuid": "ea296045f340435d8784f74f2d05c0e5", "category": "safety", "audience": [ "technician", "manager" ], "severity": "critical", "title": "Segmenter physiquement le Wi-Fi invite du réseau interne", "content": "Un réseau invite qui partage le LAN interne expose l'entreprise au moindre poste compromis. Le SSID invite doit etre isolé sur un VLAN dedie sans aucun acces aux ressources internes, avec sortie directe vers internet et bande passante limitée. Vérifier l'isolation client-a-client (AP isolation) pour eviter qu'un invite n'attaque un autre invite." }, { "uuid": "0dd74765bb7143af8554c6d52d4bf3db", "category": "maintenance", "audience": [ "technician" ], "severity": "mandatory", "title": "Maintenir le firmware a jour", "content": "Les CVE sur les firmwares Wi-Fi (Aruba, Cisco, Ubiquiti, Mikrotik) sont frequentes et permettent souvent une prise de contrôle a distance. Appliquer les mises a jour de sécurité sous 30 jours, et planifier une revue annuelle pour décommissionner les modèles en fin de support editeur. Un AP sans correctif est une porte d'entree." }, { "uuid": "8b446bde78a741cca84e3be6d0a1e6fe", "category": "operational", "audience": [ "technician" ], "severity": "recommended", "title": "Limiter la puissance d'emission au strict nécessaire", "content": "Une puissance d'emission excessive provoque des interférences entre cellules et permet a un attaquant de capter le signal depuis le parking ou la rue. Ajuster la puissance pour limiter la propagation aux zones a couvrir effectivement. Realiser un audit de couverture annuel avec un outil de site survey." }, { "uuid": "85720cdc07a644fe8dbd5cfe89645fce", "category": "operational", "audience": [ "end_user" ], "severity": "recommended", "title": "Ne pas connecter d'équipement personnel au Wi-Fi de l'entreprise", "content": "Le réseau Wi-Fi interne est reserve aux équipements professionnels gerés et a jour. Les telephones et tablettes personnels doivent utiliser le réseau invite, qui est isolé pour vous protéger autant que pour protéger l'entreprise. En cas de doute, demandez au service informatique avant de connecter un nouvel équipement." }, { "uuid": "eb9227ca19d747fd8f84a6e19776b2b0", "category": "regulatory", "audience": [ "manager", "auditor" ], "severity": "recommended", "title": "Conserver les journaux de connexion 12 mois minimum", "content": "L'article L34-1 du Code des postes et communications electroniques impose la conservation des données de connexion. Pour le Wi-Fi invite ouvert, conserver au minimum date, heure, identifiant utilise, adresse MAC. La durée minimale est de 12 mois. Une borne sans traces de connexion expose l'entreprise en cas de requisition judiciaire." } ] }