Cybersecurite TPE
WiFi en TPE : securiser les acces employes et invites
Le WiFi d une TPE donne souvent acces a plus de choses qu on ne l imagine : imprimantes, NAS, postes, outils internes, objets connectes, parfois meme administration de la box. S il est configure comme un WiFi domestique partage avec tout le monde, il devient un point faible. La bonne approche est simple : separer les usages, proteger l administration, choisir un chiffrement moderne, changer les mots de passe par defaut et documenter qui a acces.
Le WiFi d une TPE donne souvent acces a plus de choses qu on ne l imagine : imprimantes, NAS, postes, outils internes, objets connectes, parfois meme administration de la box. S il est configure comme un WiFi domestique partage avec tout le monde, il devient un point faible. La bonne approche est simple : separer les usages, proteger l administration, choisir un chiffrement moderne, changer les mots de passe par defaut et documenter qui a acces.
1. Separe le reseau interne et le reseau invite
Un client, un livreur, un prestataire ou un candidat n a pas besoin d etre sur le meme reseau que tes ordinateurs. Active un reseau invite separe, avec acces Internet uniquement si ton equipement le permet. C est une des mesures les plus simples pour reduire le risque. Le reseau interne doit etre reserve aux postes de l equipe et aux appareils professionnels. Le reseau invite doit avoir un mot de passe different, change regulierement, et ne pas donner acces aux ressources internes.
- SSID interne non public si pertinent.
- SSID invite separe.
- Mot de passe invite distinct.
- Isolation client activee quand disponible.
2. Change les parametres par defaut
Beaucoup de problemes commencent par une box ou une borne gardee avec son identifiant administrateur par defaut. Change le mot de passe d administration, stocke-le dans le gestionnaire de mots de passe, et limite les personnes qui le connaissent. Desactive l administration a distance si elle n est pas necessaire. Mets a jour le firmware de la box ou de la borne. Renomme les reseaux avec des noms sobres qui n exposent pas trop d information sur ton entreprise ou ton materiel.
3. Utilise un chiffrement moderne
WPA2 reste courant, WPA3 est preferable si tous les appareils le supportent. Evite les modes anciens ou mixtes qui maintiennent une compatibilite trop large avec du materiel obsolete. Un mot de passe WiFi doit etre long, unique et non reutilise ailleurs. Si ton materiel est tres ancien et ne propose pas de configuration correcte, le vrai correctif peut etre de le remplacer. Une borne professionnelle d entree de gamme coute souvent moins cher que le temps perdu a gerer un incident.
4. Controle les appareils connectes
Une fois par mois, regarde la liste des appareils connectes. Tu dois pouvoir reconnaitre les postes, telephones professionnels, imprimantes et objets connectes. Les appareils inconnus ne doivent pas rester sans question. Pour les objets connectes, evite de les mettre sur le reseau interne si ce n est pas necessaire. Camera, enceinte, TV, badgeuse ou imprimante peuvent etre isoles selon ton materiel.
- Liste des appareils autorises.
- Nom clair pour chaque appareil.
- Suppression des appareils inconnus.
- Reseau separe pour objets connectes si possible.
5. Ecris une regle simple pour l equipe
La regle peut tenir en cinq lignes : ne pas partager le mot de passe interne, donner le reseau invite aux visiteurs, signaler un appareil inconnu, ne pas brancher de borne personnelle, demander validation avant tout changement reseau. Ce document evite les arrangements improvises. Dans une TPE, le risque vient rarement d une architecture complexe. Il vient souvent d un mot de passe affiche, d une box non mise a jour ou d un prestataire connecte au mauvais reseau.
Controle de fin de mois
A la fin du mois, reprends le sujet en dix minutes. Verifie ce qui a ete applique, ce qui reste bloque, qui est responsable et quelle decision doit etre prise. Une mesure cyber non suivie finit souvent par disparaitre dans le quotidien. Le controle mensuel sert a garder une trace simple : fait, a faire, bloque, inutile.
Note aussi les exceptions. Si une personne ne peut pas appliquer une regle, documente pourquoi et fixe une date de correction. Une exception temporaire peut etre acceptable. Une exception oubliee devient une faiblesse durable.
Exemple concret
Un cabinet de services recoit regulierement des clients en rendez-vous. Avant correction, tout le monde utilise le meme WiFi : equipe, visiteurs, imprimante, ordinateur de direction et objets connectes. La premiere action consiste a activer un reseau invite isole, avec un mot de passe distinct. La deuxieme consiste a changer le mot de passe administrateur de la box et a le stocker dans le gestionnaire de mots de passe.
Ensuite, l equipe renomme les appareils connus : PC-Amel, Mac-Direction, Imprimante-Accueil. Lors de la revue mensuelle, les appareils inconnus ressortent plus facilement. Cette discipline simple evite de laisser un telephone personnel ou un ancien appareil connecte sans controle.
Erreurs a eviter
Ne mets pas le mot de passe WiFi interne sur une affiche visible. Ne donne pas le reseau interne aux visiteurs parce que c est plus rapide. Ne laisse pas l administration de la box avec un mot de passe par defaut ou partage par email.
Evite aussi d oublier les objets connectes. Une camera, une TV ou une imprimante peut rester en ligne pendant des annees sans mise a jour. Si ton materiel le permet, isole ces appareils ou limite leurs acces. Le WiFi n est pas seulement une commodite ; c est une partie du systeme d information.
Plan 30 minutes
Pendant dix minutes, connecte-toi a l interface de la box ou de la borne. Pendant dix minutes, verifie reseau invite, chiffrement et mot de passe administrateur. Pendant dix minutes, liste les appareils connectes et renomme ceux que tu reconnais. Si tu ne comprends pas un parametre, note-le et demande a ton prestataire, plutot que d improviser sur un reseau en production.
Indicateurs a suivre
Note la date du dernier changement du mot de passe invite, le nombre d appareils inconnus vus pendant la revue, la date de derniere mise a jour de la box ou de la borne, et les exceptions acceptees. Si le reseau invite n est jamais change ou si des appareils inconnus restent connectes, la procedure doit etre reprise. Le WiFi doit rester simple, mais pas invisible.
Ajoute une regle pour les evenements exceptionnels : atelier client, formation, reunion avec plusieurs visiteurs. Dans ces moments, utilise uniquement le reseau invite et change le mot de passe apres l evenement si beaucoup de personnes externes l ont recu. Ce petit geste evite qu un acces temporaire devienne permanent.
FAQ
Faut-il cacher le nom du WiFi ?
Ce n est pas la mesure principale. Un bon chiffrement, un mot de passe fort et un reseau invite separe comptent davantage.
A quelle frequence changer le mot de passe invite ?
Change-le apres un evenement avec beaucoup de visiteurs ou quand un prestataire n a plus besoin d acces. Une revue mensuelle suffit souvent.
La box operateur suffit-elle ?
Elle peut suffire pour une tres petite structure, mais verifie reseau invite, mises a jour, chiffrement et administration.
CTA Devisignes
Pour mettre ces controles en place sans repartir de zero, utilise la checklist cyber TPE. Elle sert a suivre les comptes, les sauvegardes, les mises a jour et les actions prioritaires sans transformer la securite en projet interminable.
Sources
- https://cyber.gouv.fr/publications/guide-dhygiene-informatique
- https://www.cybermalveillance.gouv.fr/tous-nos-contenus/bonnes-pratiques/securite-des-reseaux-wifi
Documentation operationnelle. Ne constitue pas un audit cyber ni un conseil personnalise. Verifie les sources officielles ANSSI/Cybermalveillance/CNIL selon ton contexte.