Réseau wifi invité au bureau : simple, mais la plupart des PME s'y prennent mal

Un réseau invité se configure en dix minutes, mais nous voyons encore et encore les mêmes erreurs dans les bureaux. Qu'est-ce qui doit — ou ne doit pas — passer par votre wifi invité, et pourquoi est-ce important ?

Presque tous les bureaux disposent d'un wifi invité. Et pourtant, à chaque visite, nous constatons la même chose : le mot de passe est griffonné sur un Post-it jaune à la réception, le visiteur est connecté sur le même réseau que le PC de comptabilité, et personne ne sait plus qui a configuré ce routeur. Il est temps d'y remédier, de façon claire, pratique et sans jargon réseau.

Pourquoi vous ne voulez pas que vos invités soient sur votre réseau principal

Ça paraît accueillant de mettre le technicien, le stagiaire ou le représentant d'un fournisseur « sur le wifi ». Mais dès qu'un appareil est connecté à votre réseau principal, il peut — en théorie, et parfois en pratique — accéder à des ressources que vous ne souhaitez pas partager :

• L'imprimante réseau (et donc voir ou détourner des documents en cours d'impression).
• Le NAS ou le serveur de fichiers où sont stockés vos documents.
• Les autres ordinateurs du bureau, y compris leurs éventuelles vulnérabilités.
• Le routeur lui-même — s'il fonctionne encore avec les mots de passe par défaut.

Et l'inverse est tout aussi vrai : un ordinateur portable infecté appartenant à un visiteur peut causer des dégâts sur votre réseau principal. Un réseau invité n'est pas un luxe ; c'est simplement une question d'hygiène informatique.

Ce qu'un bon réseau invité doit faire, au minimum

Inutile d'être administrateur réseau pour mettre en place les bases. Voici les quatre caractéristiques essentielles :

1. Isolé de votre réseau principal. Les invités ne voient pas les appareils des autres et n'ont pas accès à votre imprimante, votre NAS ou vos PC. Dans les paramètres du routeur, cette option s'appelle souvent « client isolation » ou « AP isolation ».
2. Mot de passe distinct, séparé du réseau principal. Ce mot de passe peut circuler librement ; celui de votre réseau principal, non.
3. Limitation de bande passante. Évitez qu'un seul visiteur avec un téléchargement volumineux ne paralyse votre réunion en visioconférence.
4. Renouvellement régulier du mot de passe. Par exemple, chaque trimestre. Les anciens visiteurs, ex-employés et agents d'entretien n'ont pas besoin d'un accès permanent.

Les cinq erreurs que nous rencontrons le plus souvent

1. Un « réseau invité » qui n'en est pas vraiment un

Certains routeurs proposent un second nom de réseau (SSID) qui aboutit en réalité au même réseau interne. L'apparence est celle d'une séparation, mais ce n'en est pas une. Testez-le : connectez un téléphone au réseau invité et essayez d'accéder à l'imprimante ou à un dossier partagé. Si c'est possible, la séparation n'est pas réelle.

2. Le mot de passe du réseau principal affiché à l'accueil

Un grand classique. Tous ceux qui ont mis les pieds dans vos locaux le connaissent, et en pratique, il n'a souvent pas changé depuis des années. Remplacez ce pense-bête par le mot de passe du réseau invité, et changez celui du réseau principal une bonne fois pour toutes.

3. Identifiants par défaut sur le routeur

« admin / admin » ou le mot de passe imprimé sous l'appareil. Un attaquant connecté à votre réseau invité qui parvient à accéder à l'interface du routeur y est entré en quelques secondes. Définissez un identifiant de connexion unique pour le routeur et enregistrez-le dans votre gestionnaire de mots de passe — pas sur un Post-it.

4. Un firmware datant de 2021

Les routeurs reçoivent des mises à jour de sécurité, mais beaucoup de routeurs de PME ne se mettent pas à jour automatiquement. Connectez-vous une fois par trimestre pour vérifier si des mises à jour sont disponibles. Ou activez les mises à jour automatiques si cette option existe.

5. Les appareils IoT sur le réseau principal

La machine à café connectée, le capteur de présence, le smart-tv de la salle de réunion : ce sont tous des appareils dont vous ne maîtrisez pas le logiciel. Ils n'ont rien à faire à côté de vos fichiers de travail. Placez-les sur le réseau invité ou, si votre routeur le permet, sur un réseau IoT dédié.

Réglé en dix minutes

Pour la plupart des routeurs de bureau (Ubiquiti, TP-Link, Fritz!Box, Zyxel, ASUS, modems KPN/Ziggo), la procédure est à peu près la suivante :

1. Connectez-vous à votre routeur via l'adresse web indiquée sur l'appareil.
2. Dans les paramètres wifi, recherchez « Réseau invité » ou « Guest network ».
3. Activez-le et donnez-lui un nom reconnaissable (par ex. « VotreSociété-Invités »).
4. Choisissez un mot de passe robuste mais facile à partager (trois mots + un chiffre, c'est très bien).
5. Cochez : pas d'accès au réseau local et client isolation.
6. Configurez éventuellement une limite de bande passante.
7. Testez que depuis le wifi invité vous n'avez pas accès à l'imprimante ou aux dossiers partagés.

Et les ordinateurs portables professionnels eux-mêmes ?

Un réseau invité gère le trafic au bureau, mais ne dit rien de ce qui se passe sur les ordinateurs portables eux-mêmes. Pour les PME, les vraies bases restent : disques durs chiffrés, mises à jour activées, un gestionnaire de mots de passe et la 2FA sur tout ce qui compte. C'est aussi ce dont traitent notre assistance à la mise en place de la 2FA et nos audits de sécurité.

Tester rapidement votre connexion

Vous venez de reconfigurer votre réseau ? Vérifiez que le réseau invité n'est pas devenu anormalement lent, ou que votre réseau principal ne tourne pas plus vite maintenant que les appareils IoT en ont été retirés. Notre test de débit le fait en quelques secondes, et avec la recherche d'adresse IP, vous vérifiez immédiatement si votre wifi invité utilise bien une adresse IP sortante ou un sous-réseau différent de votre réseau principal — un contrôle pratique pour confirmer que la séparation est bien effective.

Vous n'arrivez pas à vous en sortir seul, ou souhaitez un œil extérieur ? N'hésitez pas à nous appeler ou nous écrire. C'est généralement l'affaire d'une demi-heure, après quoi vous n'avez plus à y penser.