Sécuriser le WiFi de votre bureau : ce que la plupart des PME oublient

Pourquoi le WiFi de bureau est souvent le maillon faible

Dans beaucoup de PME, le réseau WiFi du bureau a été configuré une fois lors de l'installation de la box, et n'a plus jamais été retouché. Un seul réseau pour tout le monde : les postes de travail, les smartphones des employés, les visiteurs, l'imprimante, parfois le système d'alarme. Le mot de passe est affiché à l'accueil ou communiqué librement aux clients de passage.

Le problème : un appareil connecté à votre WiFi voit potentiellement tous les autres appareils sur le même réseau. Un téléphone personnel infecté, un ordinateur d'un visiteur mal intentionné, ou simplement un voisin dans un immeuble de bureaux qui a capté votre mot de passe — tous ont un accès direct à votre infrastructure interne.

La segmentation réseau : la base qui change tout

La solution n'est pas d'avoir un meilleur mot de passe. C'est de créer des réseaux séparés pour des usages séparés. La plupart des routeurs professionnels (et même certains routeurs grand public récents) permettent de créer plusieurs SSIDs — plusieurs noms de réseau WiFi — avec une isolation entre eux.

La configuration minimale recommandée :

• Réseau principal (entreprise) : pour les postes de travail et les appareils gérés. Mot de passe fort, WPA3 si possible, pas partagé en dehors de l'équipe IT.
• Réseau invité : pour les visiteurs, clients, livreurs. Internet uniquement, aucun accès au réseau interne, séparé physiquement des autres appareils. Mot de passe simple à communiquer, changeable régulièrement.
• Réseau IoT (si applicable) : pour les appareils connectés (imprimantes réseau, télévisions, thermostats, caméras). Ces appareils ont souvent des firmwares rarement mis à jour et constituent des cibles faciles.

Les erreurs fréquentes

WPS activé : le bouton WPS permet de connecter un appareil sans saisir le mot de passe. C'est pratique, mais il expose une vulnérabilité connue. Désactivez-le dans les paramètres du routeur.

Nom du réseau (SSID) qui identifie l'entreprise : "Cabinet-Dupont-WiFi" annonce à un attaquant dans le parking exactement à quelle organisation il a affaire. Un SSID neutre ne change pas la sécurité réelle, mais réduit le ciblage opportuniste.

Mot de passe jamais changé depuis l'installation : si un ex-employé, un prestataire ou un visiteur connaît le mot de passe du réseau principal, il peut se connecter depuis le parking ou depuis un bâtiment adjacent. Changez-le au moins une fois par an, et systématiquement après le départ d'un prestataire IT.

Pas de journal d'accès : en cas d'incident, savoir quels appareils étaient connectés et à quel moment est précieux. Les routeurs professionnels conservent ces logs, les box grand public rarement.

Le matériel qui fait la différence

Un routeur grand public à 50 € ne permet pas la segmentation correcte des réseaux. Pour une PME, investir dans du matériel comme Ubiquiti UniFi, Cisco Meraki (en cloud), ou Fortinet FortiAP est la bonne décision. Ces équipements permettent une gestion centralisée, des logs complets, et une segmentation réseau propre — pour un coût raisonnable à l'échelle d'une PME.

Si votre réseau WiFi actuel ne permet pas la segmentation, c'est le bon moment pour en parler à votre prestataire IT. C'est une intervention de quelques heures, pas un projet de plusieurs mois.

En coworking ou espace partagé

Si vos employés travaillent dans un espace de coworking ou un bureau partagé, le réseau WiFi du lieu est partagé avec d'autres entreprises que vous ne connaissez pas. Dans ce contexte, traitez ce réseau comme un réseau public : tout accès aux ressources internes doit passer par un VPN, et aucune donnée sensible ne doit transiter en clair. Le filtrage DNS au niveau du poste reste actif, mais la protection réseau n'est plus sous votre contrôle.