Aller au contenu principal
Sécurité Guide pratique PME

Isoler le réseau Wi-Fi professionnel du réseau visiteurs

Votre réseau Wi-Fi professionnel est-il séparé du réseau visiteurs/invités ?

En bref — ce que vous devez retenir

Un réseau Wi-Fi unique pour les collaborateurs et les visiteurs est une porte ouverte sur votre réseau interne. Un visiteur (ou un appareil infecté d'un collaborateur) connecté au même réseau que vos serveurs peut voir et attaquer votre infrastructure.

? Nature du problème

Quand un appareil est sur votre réseau Wi-Fi, il peut — selon la configuration — communiquer avec tous les autres appareils du même réseau : serveurs de fichiers, imprimantes, NAS, postes de travail. Un malware sur un téléphone personnel ou un ordinateur d'un visiteur peut scanner et attaquer ces ressources.

La segmentation réseau isole ces risques : le réseau visiteurs n'a accès qu'à Internet, pas au réseau interne de l'entreprise.

Comment corriger — étape par étape

  1. Vérifiez si votre routeur/point d'accès supporte les VLAN ou les réseaux invités isolés (la plupart des routeurs professionnels le permettent)
  2. Créez un réseau visiteurs (SSID séparé) avec un mot de passe différent — ce réseau ne doit avoir accès qu'à Internet
  3. Activez l'isolation client sur le réseau visiteurs (empêche les appareils connectés de se voir entre eux)
  4. Assurez-vous que le réseau professionnel est sur un VLAN distinct des serveurs (si vous avez un serveur ou NAS)
  5. Changez le mot de passe Wi-Fi professionnel tous les 6 mois ou à chaque départ de collaborateur
  6. Sur le réseau professionnel, désactivez la diffusion du SSID (réseau "caché") pour une couche de discrétion supplémentaire

! Incidents réels

Cabinet de conseil — Paris, 2022

Un prestataire extérieur connecté au Wi-Fi de la salle de réunion (même réseau que le serveur de fichiers) a introduit un malware via son ordinateur personnel infecté. Le malware a cartographié le réseau et exfiltré 50 Go de documents confidentiels.

Coworking — Toulouse, 2023

"On avait un seul réseau pour tous. Un locataire a fait tourner un scanner réseau et a vu tous les appareils des autres locataires, dont les NAS et serveurs d'une PME. On a séparé les réseaux immédiatement."

Votre entreprise est-elle vraiment protégée ?

Obtenez votre score cybersécurité en 25 minutes et un plan d'action concret.

Démarrer mon diagnostic →