À retenir : un WiFi invité bien architecturé sépare physiquement (VLAN) le trafic des visiteurs de votre réseau interne (caisse, dossiers clients, NAS). Chiffrement WPA3-Personal, isolation client à client, firewall block 192.168.x.x, portail captif RGPD avec logs 1 an. Coût clé en main : à partir de 19,90 € HT/mois (PassWiFi Connect) + 95 € HT mise en service one-time. Sans cette segmentation, vous exposez votre caisse à n’importe quel visiteur — risque cyber + RGPD + civil cumulé.

Pourquoi non sécurisé = risque majeur · Architecture VLAN expliquée · Checklist 12 points sécurité · FAQ DSI

1. Pourquoi un WiFi invité non sécurisé est un risque majeur

Le WiFi invité semble anodin. En réalité, c’est l’un des principaux vecteurs d’attaque pour les TPE/PME selon l’ANSSI (Agence nationale de la sécurité des systèmes d’information).

Risque #1 — Exfiltration des données du réseau corporate

Si vos visiteurs sont sur le même réseau que votre caisse, vos dossiers clients, votre NAS, un visiteur malveillant (ou simplement curieux) peut :

  • Scanner le réseau (nmap en 30 secondes sur smartphone via Termux).
  • Découvrir vos serveurs partagés (NAS, imprimantes, caméras IP).
  • Accéder aux ressources non protégées par mot de passe (90% des partages de fichiers en TPE/PME ne sont pas chiffrés).
  • Exfiltrer documents clients, factures, mots de passe non chiffrés.

L’ANSSI rapporte +340% d’incidents WiFi pro sur la période 2022-2025, dont 67% liés à un manque de segmentation.

Risque #2 — Abus de bande passante / téléchargement illégal

Si un visiteur télécharge un film en torrent depuis votre WiFi :

  • Sur un WiFi non identifié : vous (le commerce) êtes responsable civilement par défaut (jurisprudence Cour de cassation 2014).
  • Le titulaire de l’abonnement Internet (vous) reçoit la lettre HADOPI, la sanction tombe sur votre nom.
  • Sans logs identifiant l’utilisateur, vous ne pouvez pas vous décharger de la responsabilité.

C’est exactement pourquoi la conservation des logs 1 an (Article L34-1 CPCE) est une protection juridique pour vous, pas une contrainte.

Risque #3 — Pivot pour attaque interne

Un cas concret rencontré chez nos clients : un employé d’une chaîne d’hôtels concurrente s’est connecté au WiFi invité d’un de nos clients (qui était plat, pas de VLAN), a copié les dossiers clients commerciaux stockés en partage réseau, et a utilisé ces données pour démarchage agressif.

Avec un WiFi invité isolé par VLAN, cette attaque est techniquement impossible.

Coût des incidents

Étude CESIN 2025 sur 2 000 PME françaises :

  • Incident WiFi non grave (panne, abus bande passante) : 1 200 € moyenne.
  • Incident sécurité (intrusion via WiFi invité) : 8 500 € moyenne (audit + remédiation + perte exploitation).
  • Incident grave (vol données clients) : 38 000 € moyenne (incl. amende RGPD).

À comparer aux 19,90 € HT/mois + 95 € HT one-time d’un WiFi pro PassWiFi Connect qui résout ces 3 risques.

2. Le concept VLAN expliqué simplement

VLAN = Virtual Local Area Network. C’est une “réseau virtuel séparé” qui partage la même infrastructure physique (câbles, switches) mais isole logiquement le trafic.

Analogie immobilière

Imaginez un immeuble : un seul bâtiment (votre infra réseau), mais des étages séparés (les VLAN), chacun avec sa propre porte d’entrée et sa propre cage d’escalier. Les gens du 3ᵉ étage ne peuvent pas accéder au 5ᵉ sans passer par la rue.

C’est exactement ce que fait un VLAN : il met chaque groupe d’utilisateurs sur un “étage” logique distinct.

Schéma technique simplifié

                 Internet
                    │
              [Box opérateur]
                    │
            [Switch / Firewall L3]
            ╱      ╱      ╲      ╲
        VLAN 10  VLAN 20  VLAN 30  VLAN 40
        (Corp)  (Caisse) (Invités) (IoT)
        │       │        │         │
        Postes  TPE       Visiteurs Caméras
        bureau  paiement  WiFi      Imprimantes

Chaque VLAN a ses propres règles de routage : VLAN 30 (visiteurs) ne peut pas accéder aux ressources des VLAN 10/20/40. Les firewalls “drop” tout paquet qui essaie de traverser.

Tag 802.1Q

Techniquement, chaque paquet WiFi reçoit un tag 802.1Q (4 octets) qui indique son VLAN d’appartenance. Le switch L2 ou L3 filtre selon ce tag, sans inspection profonde nécessaire. C’est rapide et fiable.

Switch L2 vs L3

  • Switch L2 : filtre uniquement au niveau Ethernet (MAC address). Suffit pour TPE/PME jusqu’à 50 utilisateurs.
  • Switch L3 : ajoute le routage IP et les ACL fines. Recommandé > 50 utilisateurs ou contraintes sécurité élevées.

PassWiFi propose les 2 niveaux selon vos besoins : - TPE/PME standard : 2-3 VLAN suffisent (corporate + invité + IoT optionnel). - Entreprise > 50 personnes : 4-6 VLAN (corp + caisse + invité + IoT + DMZ + admin).

3. Configuration recommandée pour TPE/PME

Pour une TPE/PME jusqu’à 30 employés + accueil visiteurs, la configuration optimale est :

Setup matériel

  • 1 box PassWiFi principale (incluse dans abonnement).
  • 2 SSID configurés automatiquement :
    • SSID [Entreprise]-Pro (privé, WPA3-Personal, VLAN corporate)
    • SSID [Entreprise]-Visiteurs (public, portail captif RGPD, VLAN invité)
  • Filtrage DNS activé (blocage contenus illicites par défaut).
  • Cap par utilisateur visiteur : 50 Mbps + 1 GB/jour (configurable).

Coûts

  • PassWiFi Connect : 19,90 € HT/mois (couvre VLAN + portail captif + logs 1 an).
  • Si vous voulez aussi l’isolation IoT (caméras, imprimantes, capteurs) : Solo (12,90 € HT/mois) + Connect (19,90 € HT/mois) = 32,80 € HT/mois total.
  • Mise en service : 95 € HT one-time (contribution achat borne).

Aucune intervention DSI requise

Box pré-configurée livrée J+2 ouvré. Vous branchez 1 câble Ethernet, 1 prise. Auto-config en 15 min. Les 2 SSID apparaissent automatiquement.

4. Configuration recommandée pour grosse entreprise (50+ salariés)

Pour une PME 50-200 employés ou ETI 200-500, l’architecture se complexifie.

Architecture recommandée

  • 4-6 VLAN :
    • VLAN 10 : corporate (postes bureau, accès AD)
    • VLAN 20 : caisse / TPE / SI métier (cloisonné fort)
    • VLAN 30 : invités (portail captif PassWiFi)
    • VLAN 40 : IoT (caméras, imprimantes, capteurs IoT)
    • VLAN 50 : DMZ (serveurs publics, web, mail externe)
    • VLAN 60 : admin / management (accès SSH/RDP infra)
  • Switch L3 managé (Cisco Catalyst, Aruba CX, Juniper EX) pour routage inter-VLAN avec ACL.
  • 802.1X authentification sur le SSID corporate (RADIUS, certificats device, validation Active Directory).
  • Contrôleur WiFi centralisé (option PassWiFi Enterprise +29 € HT/mois) pour gérer 5+ bornes mesh avec roaming homogène.
  • WIPS (Wireless Intrusion Prevention) : détection rogue AP, déauth attacks, evil twin.

Intégration ERP / SIRH

PassWiFi Manage propose des intégrations API :

  • Active Directory : utilisateurs corporate authentifiés via leur compte AD (SSO).
  • SIRH (Lucca, Eurécia, BambooHR) : provisioning auto des nouveaux salariés sur le VLAN corporate.
  • Lecteur badge : ouverture WiFi visiteur restreinte aux personnes ayant scanné un badge à l’accueil (anti-squat).

Coût ETI (100 salariés exemple)

  • PassWiFi Enterprise : 49,90 € HT/mois + 95 € HT mise en service.
  • Switch L3 (achat one-time) : 1 200-2 500 € selon marque.
  • Audit annuel sécurité externe : 800-1 500 €/an recommandé.
  • Total annuel : ~1 500-2 800 € HT (vs 38 000 € moyenne d’un incident grave).

5. Conformité RGPD du WiFi invité (Article L34-1)

Le WiFi invité doit respecter simultanément :

Article L34-1 CPCE

  • Conservation logs 1 an minimum (qui, quand, IP, durée).
  • Identification utilisateur (email + opt-in via portail captif).
  • Blocage contenus illicites (filtrage DNS Pharos + ANSSI).
  • Coopération autorités sur réquisition judiciaire.

Sanction : 75 000 € amende pénale.

RGPD européen

  • Consentement éclairé sur l’email.
  • Durée conservation explicite.
  • Droits accès / rectification / effacement.
  • Hébergement UE.

Sanction : 4% CA mondial.

→ Pour les 12 obligations détaillées : Importance RGPD WiFi public 2026 : 12/12 obligations + sanctions CNIL.

PassWiFi Connect / Social automatise les 12 points + nomme CD CONNECT comme DPO mutualisé en option (+15 €/mois).

6. Checklist 12 points sécurité

Voici la checklist exhaustive à valider pour un WiFi invité 100% sécurisé. Cochez ce que vous avez en place :

# Contrôle sécurité TPE/PME ETI
1 VLAN isolé entre corp et invités
2 Chiffrement WPA3-Personal sur SSID corporate
3 Chiffrement WPA3-Personal sur SSID invité (ou WPA2 fallback)
4 Portail captif RGPD avec opt-in clair
5 Logs 1 an minimum sur tous les SSID
6 Isolation client à client (pas de visibilité entre 2 visiteurs)
7 Filtrage DNS contenus illicites (Pharos + ANSSI)
8 Cap bande passante par utilisateur invité
9 Plages horaires (extinction nuit possible)
10 802.1X authentification sur corporate (certificats)
11 WIPS (détection rogue AP, evil twin)
12 Audit pénétration annuel externe ✅ recommandé

Score TPE/PME : 9/9 points couverts par PassWiFi Connect (19,90 €). Score ETI : 12/12 points couverts par PassWiFi Enterprise (49,90 €).

7. Cas d’usage par taille d’entreprise

TPE 1-10 salariés (artisan, profession libérale, commerce)

Setup : PassWiFi Solo (privé seul) OU Connect (privé + invité).

Solution Tarif HT/mois One-time Cas d’usage
Solo seul 12,90 € 95 € Pas de visiteurs sur place (bureau profession libérale)
Connect seul 19,90 € 95 € Visiteurs occasionnels (artisan recevant clients)
Solo + Connect 32,80 € 190 € Bureau + accueil clientèle régulière

PME 10-50 salariés (commerce, services, agence)

Setup : Solo (corporate) + Connect (visiteurs) sur 1 ou 2 box.

  • Box principale : 1 box PassWiFi (couvre 100-200 m² standard).
  • Borne mesh additionnelle si > 200 m² : +12 € HT/mois la borne.
  • Total typique : 32,80 € à 56,80 € HT/mois selon surface.

ETI 50-200 salariés (entreprise multi-services, distribution)

Setup : PassWiFi Enterprise avec 4-6 VLAN.

  • 1 box principale + 3-5 bornes mesh = 49,90 € HT/mois.
  • Switch L3 managé (CAPEX 1 500-2 500 €).
  • Intégration AD/SIRH : option +19 €/mois.
  • 802.1X + RADIUS : option +25 €/mois.
  • Total typique : 95-130 € HT/mois.

Multi-sites (chaîne, franchise)

Setup : PassWiFi Enterprise + console multi-sites + Passpoint (Hotspot 2.0) pour roaming entre sites.

FAQ DSI / Sécurité

1. Le WiFi invité PassWiFi protège-t-il vraiment mon réseau caisse ?

Oui, isolation VLAN au niveau switch L2 + firewall règles strict 0.0.0.0/0 → block 192.168.0.0/16 (réseau privé). Aucun paquet ne peut traverser du VLAN invité au VLAN caisse. Test de pénétration externe possible sur demande (audit annuel inclus en Enterprise).

2. Mes équipements existants (Cisco, Aruba, Juniper) sont-ils compatibles ?

Oui via 802.1Q tagging standard. Configuration assistée par notre équipe support (1h de visio incluse à la mise en service). Compatible 100% des switches managés modernes (depuis 2010).

3. Combien de devices simultanés sur le SSID invité ?

100-300 selon offre PassWiFi (Connect : 100, Enterprise : 300+). Isolation client-to-client par défaut activée — un visiteur ne voit aucun autre visiteur. Capacité augmentable avec bornes mesh additionnelles.

4. WPA3 ou WPA2 pour le SSID invité ?

WPA3-Personal recommandé (chiffrement individualisé par session, pas de mot de passe partagé). Fallback WPA2 supporté pour vieux devices (smartphones < 2018). Configuration mixte automatique : WPA3 si device compatible, WPA2 sinon. Côté visiteur : transparent.

5. Que se passe-t-il si un visiteur télécharge illégalement ?

Logs 1 an conservés, identification utilisateur via portail captif → en cas de réquisition HADOPI ou judiciaire, c’est l’utilisateur qui est responsable, pas vous. Vous êtes couvert légalement dès que vous avez le portail captif RGPD activé. Sans logs : c’est vous le responsable par défaut (jurisprudence Cour de cassation 2014).

6. Puis-je voir qui est connecté à mon WiFi en temps réel ?

Oui, tableau de bord PassWiFi Manage : liste des connexions actives, durée, volume consommé, IP, device. Possibilité de kicker un utilisateur en 1 clic si besoin (ex: visiteur abusif).

7. Mes employés peuvent-ils utiliser le WiFi visiteur quand ils déjeunent ?

Pas recommandé — leur prévoir un VLAN corporate dédié pour traçabilité différenciée. Si l’employée passe par le WiFi visiteur, elle apparaît dans la base RGPD comme un visiteur — confusion juridique en cas d’incident.

8. Comment réagir en cas d’incident sécurité confirmé ?

PassWiFi support dispose d’une procédure incident response sous 4h ouvrées : 1. Containment (kick utilisateurs suspects, basculement réseau). 2. Forensics (extraction logs, analyse comportements). 3. Notification CNIL si nécessaire (sous 72h, RGPD Art. 33). 4. Remédiation (mise à jour règles firewall, audit complet).

9. Mon assurance pro RC couvre-t-elle un incident WiFi ?

Variable. La plupart des contrats RC pro excluent les incidents cyber (clause “événement informatique”). Une assurance cyber dédiée est recommandée à partir d’une PME 10+ salariés (~600-1 500 €/an, AXA, Hiscox, Allianz). PassWiFi peut fournir un certificat de conformité technique pour réduire la prime.

10. Le WiFi invité ralentit-il mon Internet pro ?

Non si configuré correctement avec QoS (Quality of Service) : le trafic corporate (caisse, visioconf) est prioritaire absolu. Le trafic visiteur utilise la bande passante restante. Cap par utilisateur visiteur (50 Mbps standard) évite qu’un seul visiteur en 4K Netflix sature votre Internet.

Articles connexes

À propos de l’auteur — Cedric Pradel dirige CD CONNECT, éditeur français de PassWiFi depuis 2007. CD CONNECT a déployé des architectures WiFi sécurisées chez plus de 1 500 entreprises B2B en France, du cabinet médical 3 personnes à l’ETI 350 salariés multi-sites. CD CONNECT est certifié HDS (Hébergeur de Données de Santé) depuis 2023 pour les usages médicaux.