Chez Computis, nous auditons chaque semaine des infrastructures réseau de PME romandes, de communes et d'institutions publiques. Et depuis trois ans, le même angle mort revient sans exception : le réseau WiFi invités.

Pas parce qu'il n'existe pas — il existe, dans la plupart des structures que nous visitons. Mais parce qu'il est mal configuré. Isolé en apparence. Connecté en réalité.

Le problème : un réseau "séparé" qui ne l'est pas vraiment

Créer un SSID "Invités" ne suffit pas à isoler le trafic. C'est l'erreur la plus fréquente que nous rencontrons.

Un réseau WiFi invités mal configuré, c'est un réseau qui porte un nom différent —mais qui transite par le même équipement, partage la même table de routage, et peut accéder aux mêmes segments réseau que vos postes de travail, vos serveurs, vos imprimantes et votre NAS.

La séparation visuelle — deux noms de réseau différents sur l'écran de votre téléphone — ne crée pas de séparation technique. Elle crée une fausse impression de sécurité. Ce qui est infiniment plus dangereux que l'absence de réseau invités.

Ce qu'on observe dans les PME et communes romandes

Dans une PME de services de 28 collaborateurs, nous avons identifié lors d'un test de pénétration simulé qu'un appareil connecté au réseau WiFi invités pouvait atteindre le serveur de fichiers interne en moins de 4 minutes. Le réseau "Invités" était actif depuis deux ans. Personne ne l'avait testé depuis sa mise en place.

Dans une commune vaudoise, le réseau WiFi mis à disposition du public dans la salle d'attente de l'administration partageait le même segment réseau que les postes de travail des employés. Un visiteur patient et bien équipé aurait pu capturer du trafic administratif sensible sans bouger de son siège.

Ces situations ne sont pas des cas extrêmes. Elles sont représentatives de ce que nous observons dans la majorité des structures sans équipe IT dédiée.

Les trois angles morts à corriger en priorité

• Un SSID séparé sans VLAN dédié.
  Le nom de réseau est différent — la séparation technique, elle, n'existe pas. Sans VLAN dédié avec règles de filtrage inter-segment, votre réseau invités est une extension de votre réseau interne avec un autre nom.

• Aucun contrôle de bande passante ni de durée.
  Un réseau invités sans limitation expose votre connexion principale à une saturation volontaire ou accidentelle. Et une session ouverte sans limite de durée est une invitation à une reconnaissance réseau prolongée.

• Pas de portal captif ou d'authentification minimale.
  L'absence d'identification — même basique — rend toute traçabilité impossible en cas d'incident. En Suisse, la question de la responsabilité du propriétaire du réseau pour les usages qui en émanent est un sujet juridique non trivial.

L'approche Computis : isoler vraiment, pas en apparence

Un réseau WiFi invités correctement configuré n'est pas un projet complexe. C'est un projet qui demande une expertise réseau précise et une compréhension des flux de données de votre organisation.

Chez Computis, nous déployons systématiquement une architecture en trois couches pour les PME et communes que nous accompagnons :

Un “VLAN invités dédié” avec règles de filtrage strictes — aucun accès possible aux segments internes, accès Internet uniquement, isolation complète des flux entre visiteurs.

Un “portal captif” adapté à votre contexte — identification simple pour les visiteurs, traçabilité des connexions, limitation de durée et de bande passante.

Un “audit de la configuration existante” avant tout déploiement — parce que modifier un réseau WiFi sans comprendre l'architecture en place peut créer autant de problèmes qu'il en résout.

Ce que ça donne concrètement pour votre organisation :

Ce qu’il faut retenir

Un réseau WiFi invités mal configuré n’est pas une erreur bénigne. C’est une porte entrouverte sur votre infrastructure — avec un paillasson “Bienvenue” devant. La bonne nouvelle : c’est l’une des vulnérabilités les plus simples à corriger, dès lors qu’on sait exactement ce qu’on cherche. C’est précisément ce que nous faisons.

FAQ

Nous avons déjà un réseau WiFi invités séparé — sommes-nous protégés ?

Pas nécessairement. La séparation en nom de réseau ne garantit pas la séparation technique. Sans audit de la configuration VLAN et des règles de filtrage, vous ne pouvez pas savoir ce que votre réseau invités peut réellement atteindre. C'est exactement ce que nous vérifions lors de l'audit préliminaire.

Un portal captif, ça ne ralentit pas trop l'expérience de nos visiteurs ?

Un portal captif moderne prend 15 secondes à traverser. Il peut afficher vos conditions d'utilisation, recueillir un email, ou simplement demander un clic de validation. La friction est minimale. La traçabilité et la responsabilité juridique qu'il vous apporte, elles, sont substantielles.

La nLPD nous oblige-t-elle à sécuriser notre réseau WiFi invités ?

La nLPD exige des mesures techniques appropriées pour protéger les données personnelles traitées par votre organisation. Si votre réseau invités permet — même indirectement — l'accès à des données personnelles, l'absence de séparation
technique constitue une mesure inadéquate au sens de la loi.

Nous n'avons pas d'équipe IT interne — Computis peut-il gérer tout cela à notre place ?

Oui. C'est précisément notre modèle pour les PME et communes sans ressource IT dédiée. Chez Computis, cybersécurité, cloud et réseau sont trois domaines de spécialisation d'une même équipe — vous avez un interlocuteur qui assure le déploiement, la configuration, la formation et le suivi. Vous gardez le contrôle, sans la charge opérationnelle.

Comment fonctionne l'audit préliminaire Computis ?

L'audit préliminaire est une prestation payante qui produit un rapport documenté : analyse de votre configuration WiFi existante, test de segmentation VLAN, évaluation des règles de filtrage, recommandations priorisées. Son coût est intégralement déduit de la prestation si vous choisissez de travailler avec nous par la suite.

Abonnez-vous — chaque mardi, un éclairage concret sur l'IT et la cybersécurité pour les PME et institutions suisses.