SCRYPTOURA
Demander mon diagnostic
Accueil · Articles · Wi-Fi entreprise checklist
Bonne pratique · 5 min de lecture

Wi-Fi d'entreprise : la checklist sécurité PME

Le Wi-Fi est l'un des points d'entrée les plus mal sécurisés en PME. La box du fournisseur est plug-and-play, donc on ne touche plus rien. Et pourtant, 8 points de contrôle suffisent à transformer un Wi-Fi vulnérable en barrière efficace. Voici la checklist à valider en 30 minutes avec votre prestataire.

1. Chiffrement WPA3 (ou WPA2 à minima)

WEP et WPA1 sont obsolètes depuis 15 ans. WPA3 (depuis 2018) protège contre les attaques par dictionnaire qui craquaient WPA2. Vérifiez le mode de chiffrement dans l'interface admin de votre point d'accès. Si « WEP » ou « WPA1 » apparaît, c'est l'urgence absolue.

2. Réseau invité totalement isolé

Le Wi-Fi invité (clients, fournisseurs, livreurs) doit être strictement séparé du LAN d'entreprise. Aucun accès aux serveurs, aucun accès aux postes, aucun accès aux imprimantes internes. Techniquement, c'est un VLAN distinct avec sa propre passerelle Internet.

Erreur classique en PME : un Wi-Fi invité qui sort sur la même IP publique que le bureau, sans filtrage entre les deux. Un visiteur malveillant scanne le LAN en 30 secondes.

3. SSID neutre, pas le nom de l'entreprise

Le nom du Wi-Fi (SSID) ne doit pas révéler votre identité. « Cabinet-Dupont-Notaires » est une invitation pour un attaquant qui passe devant vos locaux. Préférez un nom neutre comme « SCR-Pro-01 ».

4. Mot de passe complexe, jamais affiché

Au minimum 16 caractères, généré aléatoirement, jamais affiché en grand sur un panneau dans la salle d'attente. Pour le Wi-Fi invité, utilisez un QR code imprimé sur une fiche que les visiteurs scannent — ça change la donne.

5. 802.1X / RADIUS pour les postes corporate

Pour le LAN d'entreprise, idéal : chaque poste s'authentifie individuellement avec un certificat ou un identifiant via 802.1X. Plus aucun mot de passe Wi-Fi unique partagé entre tous les utilisateurs. Si un collaborateur part, on révoque son certificat — pas besoin de changer le mot de passe pour 30 personnes.

6. Désactiver WPS

Le bouton WPS (Wi-Fi Protected Setup) est resté dans toutes les box pour la simplicité, mais il a des failles connues qui permettent de forcer la connexion en quelques heures. Désactivez-le dans l'interface admin de votre routeur.

7. Mises à jour firmware

Les points d'accès Wi-Fi reçoivent des correctifs de sécurité critiques plusieurs fois par an. La majorité des PME ne les appliquent jamais. À vérifier tous les 3 mois — voir notre article Importance des mises à jour.

8. Surveillance des connexions

Activez le journal des connexions Wi-Fi. Une connexion à 3h du matin un dimanche d'un appareil inconnu est un signal. Vous ne le verrez pas si vous ne regardez pas.

À retenir

WPA3, invité isolé, SSID neutre, mot de passe long, WPS désactivé, firmware à jour, journalisation active. Sept points en 30 minutes avec votre prestataire. Pour les PME 20+ salariés, ajouter 802.1X est l'évolution naturelle.

Ce que Scryptoura fait pour vous

Notre offre Réseau Informatique couvre l'audit Wi-Fi complet et le déploiement WPA3/802.1X. Le Diagnostic Découverte teste systématiquement la séparation invité/LAN et la robustesse du chiffrement.

Votre Wi-Fi invité est-il vraiment isolé ?

Le Diagnostic Découverte teste cette isolation en moins de 15 minutes lors de la visite sur site.

Demander mon diagnostic Voir l'offre Réseau