Depuis 2014 — France & Luxembourg
FR · EN · ES
+33 3 5567 4207
Cybersécurité 12 mai 2026 · ⏱ 7 min de lecture

Sécurité Wi-Fi en entreprise : erreurs courantes et bonnes pratiques

Le Wi-Fi est souvent la porte d'entrée la moins surveillée du réseau d'entreprise. Mot de passe partagé avec tout le monde, accès invités sur le même réseau que les serveurs, point d'accès jamais mis à jour : les failles sont nombreuses et souvent ignorées. Tour d'horizon des bonnes pratiques pour sécuriser votre Wi-Fi professionnel.

Les 5 erreurs Wi-Fi les plus courantes en entreprise

1) Utiliser le même SSID et mot de passe pour les employés et les visiteurs. 2) Ne jamais changer le mot de passe Wi-Fi, même quand un employé part. 3) Utiliser WPA2-Personal (PSK) au lieu de WPA2/WPA3-Enterprise avec authentification par utilisateur. 4) Connecter des équipements IoT (imprimantes, caméras, automates) sur le réseau principal. 5) Installer des points d'accès grand public non adaptés aux environnements professionnels, sans gestion centralisée.

WPA3 et authentification 802.1X : le standard professionnel

WPA3 est la dernière génération de chiffrement Wi-Fi, obligatoire sur les nouveaux équipements certifiés Wi-Fi 6. En entreprise, il doit être couplé à l'authentification 802.1X (EAP-TLS ou PEAP) qui donne à chaque utilisateur ses propres identifiants Wi-Fi. Ainsi, si un employé quitte l'entreprise, on désactive son compte sans toucher au mot de passe commun. Cette approche est bien plus sûre que le PSK partagé.

La segmentation réseau : isoler pour protéger

La segmentation consiste à créer plusieurs réseaux Wi-Fi logiquement séparés (VLAN) pour différentes catégories d'appareils. Minimum recommandé pour une PME : VLAN 10 pour les postes de travail internes, VLAN 20 pour les invités (accès Internet uniquement, pas aux ressources internes), VLAN 30 pour les équipements IoT et les imprimantes. Un pare-feu contrôle les flux entre ces VLANs. Cette segmentation limite considérablement les dégâts en cas de compromission d'un appareil.

Portail captif et accès invités sécurisés

Le portail captif est une page d'authentification qui s'affiche quand un visiteur se connecte au Wi-Fi. Il peut exiger un code temporaire, une acceptation des CGU, ou une authentification via SMS. Il permet aussi de limiter le débit alloué aux invités et de tracer les connexions (obligation légale en France selon la loi pour la confiance dans l'économie numérique). Des solutions comme Cisco Meraki, Ubiquiti UniFi ou Fortinet FortiAP proposent ces fonctionnalités nativement.

Gestion centralisée et détection des points d'accès parasites

En entreprise, tous les points d'accès doivent être gérés depuis une console centralisée (cloud ou on-premise). Cela permet de déployer des politiques uniformes, de surveiller les connexions en temps réel et de détecter les points d'accès non autorisés (rogue AP) qui pourraient être installés par un acteur malveillant pour intercepter le trafic. HEConcept déploie et gère des infrastructures Wi-Fi professionnelles Cisco, Fortinet et Ubiquiti pour les PME et les collectivités.

Questions fréquentes

Dois-je changer mon mot de passe Wi-Fi quand un employé part ?

Si vous utilisez un PSK (mot de passe partagé), oui. C'est une des raisons pour lesquelles l'authentification 802.1X est recommandée : vous désactivez simplement le compte de l'employé sans impacter les autres utilisateurs.

Le Wi-Fi 6 est-il plus sécurisé que le Wi-Fi 5 ?

Le Wi-Fi 6 (802.11ax) est plus performant et inclut WPA3, mais la sécurité dépend surtout de la configuration. Un Wi-Fi 5 bien configuré avec 802.1X est plus sûr qu'un Wi-Fi 6 avec un mot de passe partagé faible.

Comment savoir si un point d'accès parasite est présent sur mon réseau ?

Un système de détection des rogue AP (intégré aux contrôleurs Wi-Fi professionnels) surveille en permanence le spectre radio et alerte si un point d'accès non autorisé diffuse sur votre réseau.

Un projet télécom ou IT ?

Nos experts HEConcept répondent sous 24h à toutes vos questions.

Nous contacter → 📞 03 55 67 42 07