La sécurité d’un réseau d’entreprise commence par un principe fondamental : contrôler qui accède à quoi. Pourtant, de nombreuses PME et ETI se contentent encore d’un simple mot de passe WiFi partagé entre tous les collaborateurs — le même depuis des mois, connu des anciens employés et parfois même des prestataires de passage. Cette approche expose l’entreprise à des risques majeurs.
Le serveur RADIUS (Remote Authentication Dial-In User Service) résout ce problème en offrant une authentification individuelle et centralisée pour chaque utilisateur et chaque équipement qui se connecte au réseau. CityPassenger intègre cette brique de sécurité dans toutes ses solutions WiFi managé via la plateforme DigiLAN.
Le protocole RADIUS : principe de fonctionnement
RADIUS est un protocole réseau de type AAA : Authentication (vérifier l’identité), Authorization (définir les droits d’accès) et Accounting (tracer les connexions). Lorsqu’un utilisateur tente de se connecter au réseau WiFi ou filaire de l’entreprise, le point d’accès ou le switch interroge le serveur RADIUS pour vérifier ses identifiants.
Le serveur RADIUS consulte sa base d’utilisateurs (locale, Active Directory, LDAP) et répond par un Accept ou un Reject. En cas d’acceptation, il peut également transmettre des attributs qui définissent le niveau d’accès : VLAN d’affectation, bande passante maximale, durée de session, filtrage réseau. Chaque connexion est enregistrée avec un horodatage précis.
Le standard le plus utilisé pour l’authentification WiFi via RADIUS est le 802.1X (aussi appelé WPA2/WPA3-Enterprise). Contrairement au mode PSK (Pre-Shared Key) où tous les utilisateurs partagent le même mot de passe, le 802.1X attribue des identifiants uniques à chaque personne ou appareil.
Pourquoi le mot de passe WiFi partagé est un risque de sécurité
Le mode WPA2-PSK (mot de passe unique) présente plusieurs failles critiques pour un réseau d’entreprise. Le mot de passe est connu de tous les utilisateurs et ne peut pas être révoqué pour un seul individu. Quand un collaborateur quitte l’entreprise, il connaît toujours le mot de passe WiFi — à moins de le changer pour tout le monde, ce qui est rarement fait.
De plus, en mode PSK, il est impossible de savoir qui est connecté individuellement. Les logs ne montrent que des adresses MAC, facilement usurpables. Aucune différenciation des droits n’est possible : le stagiaire accède au même réseau que le directeur financier.
Avec RADIUS/802.1X, chaque départ d’employé se traduit par la désactivation de son compte personnel, sans impact sur les autres utilisateurs. Chaque connexion est tracée individuellement. Et les droits d’accès sont adaptés au profil : un visiteur accède uniquement à Internet via un VLAN invité, tandis qu’un administrateur IT accède au VLAN de gestion.
Les cas d’usage du RADIUS en entreprise
Authentification WiFi 802.1X : c’est l’usage principal. Chaque collaborateur se connecte au WiFi avec ses identifiants personnels (souvent les mêmes que sa session Windows via Active Directory). Le serveur RADIUS vérifie l’identité et attribue automatiquement le VLAN correspondant au profil.
Contrôle d’accès filaire (NAC) : le RADIUS ne se limite pas au WiFi. Les switchs managés peuvent également interroger le serveur RADIUS avant d’autoriser une connexion Ethernet. Un ordinateur inconnu branché sur une prise réseau est automatiquement isolé dans un VLAN de quarantaine.
Accès VPN distant : les collaborateurs en télétravail qui se connectent via VPN peuvent être authentifiés par le même serveur RADIUS, garantissant une politique de sécurité cohérente entre l’accès local et l’accès distant.
Portail captif pour visiteurs : combiné à un portail captif, le RADIUS gère les comptes temporaires des visiteurs avec des limitations automatiques (durée, bande passante, accès restreint à Internet uniquement).
RADIUS et conformité réglementaire
Au-delà de la sécurité technique, le serveur RADIUS répond à des exigences réglementaires croissantes. Le RGPD impose de pouvoir justifier qui accède à quelles données personnelles — le journal d’authentification RADIUS fournit cette traçabilité. La directive NIS 2 (Network and Information Security), applicable depuis 2024, renforce les obligations de contrôle d’accès pour les entreprises de secteurs critiques.
Pour les établissements ouvrant un WiFi au public (commerces, hôtels, restaurants), la législation française impose la conservation des logs de connexion pendant un an. Le serveur RADIUS associé au WiFi conforme à la loi remplit nativement cette obligation.
Les normes de sécurité sectorielles (PCI-DSS pour le paiement, HDS pour les données de santé) exigent également un contrôle d’accès réseau nominatif. Le RADIUS est la réponse technique standard à ces exigences.
Le RADIUS managé par CityPassenger : simplicité et robustesse
Déployer et maintenir un serveur RADIUS en interne requiert des compétences pointues : configuration des certificats EAP, intégration Active Directory, gestion des politiques d’accès, haute disponibilité, mises à jour de sécurité. Ces compétences sont rarement disponibles dans les PME.
CityPassenger propose un service RADIUS managé intégré à la plateforme DigiLAN. Le serveur RADIUS est hébergé en haute disponibilité, synchronisé avec votre annuaire d’entreprise (Active Directory, Azure AD, Google Workspace) et supervisé 24h/24. L’ajout ou la suppression d’un utilisateur se fait en un clic.
Cette approche managée garantit un niveau de sécurité enterprise-grade sans complexité technique côté client. Le pare-feu managé CityPassenger complète cette protection en filtrant les flux réseau selon les profils d’accès définis par le RADIUS.
FAQ : serveur RADIUS en entreprise
RADIUS fonctionne-t-il avec tous les équipements WiFi ?
Oui, le protocole RADIUS est un standard ouvert supporté par tous les constructeurs de points d’accès et switchs professionnels (Cisco, Aruba, Ruckus, Ubiquiti, etc.). L’interopérabilité est garantie par les RFC 2865 et 2866.
Que se passe-t-il si le serveur RADIUS est indisponible ?
En mode managé CityPassenger, le service RADIUS est répliqué sur plusieurs serveurs géographiquement distincts. En cas d’indisponibilité exceptionnelle, les points d’accès peuvent être configurés avec un mécanisme de fallback (cache local des dernières authentifications).
RADIUS est-il compatible avec le BYOD ?
Oui, le RADIUS est idéal pour gérer le BYOD (Bring Your Own Device). Les appareils personnels peuvent être authentifiés via un portail captif ou des certificats, puis automatiquement placés dans un VLAN spécifique avec des droits d’accès restreints par rapport aux équipements de l’entreprise.
