10 conseils pour sécuriser votre routeur wifi d’entreprise

Dans un précédent article nous avons déjà évoqué le sujet du routeur wifi. Nous vous présentions d’ailleurs les principales caractéristiques techniques sur lesquelles vous appuyer pour en choisir un adapté à votre activité. Aujourd’hui nous nous intéressons à la protection de cette connexion wifi et vous donnons 10 conseils pour sécuriser votre routeur wifi d’entreprise.

Pourquoi le réseau wifi de votre entreprise doit être sécurisé ?

1. Un réseau wifi est moins sûr qu’un réseau Ethernet

C’est un fait, simplement dû au mode de fonctionnement du Wifi.

Pour rappel, un routeur wifi permet à différents périphériques (pc, imprimantes, téléphones, etc…) de communiquer entre eux grâce aux ondes radios. Les données qui transitent via ces ondes peuvent donc être interceptées. Évidemment le risque est plus élevé si le réseau n’est pas du tout protégé. Comme, par exemple, les points d’accès wifi publics présents dans les gares, centres commerciaux, restaurants, etc… Mais même en ajoutant une couche de sécurité grâce aux protocoles d’authentification WPA 2/3 le risque 0 n’existe pas. Puisque ces derniers sont faillibles, principalement à cause d’erreurs humaines ou de mots de passe trop simplistes.

Alors qu’avec une connexion filaire (Ethernet) les données envoyées ne sont accessibles qu’aux périphériques physiquement connectés à ce réseau. Le risque de perte de données ou de piratage est donc quasi éliminé.

2. Pour protéger vos données

En partant du constat précédent, vous devez impérativement protéger vos données. Car les cybercriminels disposent de nombreux moyens pour les intercepter sur un réseau wifi non sécurisé : sniffing, attaque de type « man in the middle », faux point d’accès ou « Evil Twin » etc…

Cela signifie que, par le biais de ces méthodes, ils peuvent avoir accès à :

  • vos identifiants et mots de passe
  • l’ensemble des cookies acceptés et conservés sur votre navigateur, qui permettent par exemple de se connecter en un clic à certains services
  • vos adresses mails (les vôtres ou celles de vos contacts)
  • vos conversations via des systèmes de messagerie instantanée pas toujours chiffrés
  • l’ensemble des pages web que vous avez consulté

Ce qui peut causer à votre société de sérieux ennuis financiers et juridiques (RGPD)

illustration ennui juridiques après le vol des données d'une entreprise via son routeur wifi non sécurisé

3. Pour protéger votre activité

Comme nous venons de le voir, le vol de données transitant sur un réseau wifi non protégé peut vous coûter cher. Mais sachez également qu’une connexion wifi vulnérable peut être utilisée pour :

  • profiter d’une connexion gratuite et voler votre bande passante : ce qui représente un risque de surcharge pour votre réseau et peut entraîner des ralentissements au niveau de votre débit internet. Voire carrément un plantage de votre infrastructure qui aura dépassé ses limites en terme de bande passante autorisée
  • propager des logiciels malveillants sur votre réseau : comme par exemple des vers informatiques, des ransomwares, ou encore des trojans qui pourront servir de base pour transformer vos machines en botnets et lancer des attaques ciblées
  • réaliser des actions illégales : comme tenir des discours haineux, consulter des contenus répréhensibles sur le web, acheter ou vendre du matériel illicite ainsi que des données ou documents volés, etc…
    Et même si vous n’êtes pas au courant de ces actions, en tant que propriétaire du réseau vous êtes pénalement responsable. C’est donc sur vous et votre structure que retomberont les conséquences de ces agissements

Comment sécuriser votre routeur wifi d’entreprise ?

1. Modifiez la configuration par défaut du routeur

Par défaut, votre routeur wifi dispose déjà d’un nom d’utilisateur et d’un mot de passe. Le problème c’est que ces informations sont facilement trouvables puisque souvent contenues dans des bases de données publiques publiées par les fabricants eux-mêmes. Dans un premier temps, il convient donc de modifier ces éléments pour sécuriser l’accès à l’interface administrateur de votre routeur.

D’autre part, le nom par défaut de votre réseau (ou SSID pour « Service Set Identifier ») contient souvent le nom du modèle du routeur ainsi que celui du fabricant. Il est donc relativement facile pour un hacker de se renseigner sur les failles de sécurité de l’appareil avant de mener une attaque. Ainsi il vaut mieux changer le nom de votre réseau pour une couche de sécurité supplémentaire.

2. Activez un protocole de chiffrement et de sécurisation des données

Comme il est indispensable de protéger au maximum les données partagées sur votre réseau wifi, vous devez activer à minima le protocole de chiffrement WPA2 sur votre routeur. Si ce dernier est plutôt récent (sorti après 2018) il dispose probablement du protocole WPA3, ce qui est encore mieux ! Car, il y a quelques années, une faille de sécurité du WPA2 a été rendue publique et donc exploitable pour de nombreux hackers. C’est pourquoi l’organisme en charge des protocoles wifi (Wifi Alliance) s’est empressé de développer le WPA3 pour consolider la sécurité des réseaux wifi.

Dans tous les cas vous ne devez jamais utiliser le protocole pour WEP pour « sécuriser » vos données. Celui est désormais obsolète car bien trop facile à cracker.

3. Appliquez les mises à jour

Nous insistons régulièrement sur l’importance des mises à jour en matière de cybersécurité. En effet, elles ont pour but de corriger des failles de sécurité sur de nombreux appareils, dont les routeurs wifi. Cependant, elles ne sont pas forcément automatisées. Il faut donc vérifier soi-même leur disponibilité depuis l’interface d’administration du routeur.

Ne les négligez pas, autrement vous vous exposez à des cyberattaques visant les brèches sécuritaires de votre matériel.

4. Adaptez la portée du signal wifi

Si vous avez un routeur wifi puissant, il est possible que votre réseau wifi s’étende au delà des murs de votre structure. Si vous n’avez pas forcément besoin de couvrir le parking (par exemple) de votre entreprise, nous recommandons de baisser la puissance de transmission du signal de votre routeur. Ainsi vous limitez les risques qu’une personne située à l’extérieur de votre entreprise puisse capter votre réseau.

illustration réduire la portée du routeur wifi pour éviter que quelqu'un d'extérieur à l'entreprise puisse s'y connecter

5. Planifiez des restrictions horaires

Une astuce très simple à mettre en place qui permet de réduire facilement les risques de piratages : désactiver automatiquement votre réseau sur des périodes durant lesquelles personne ne l’utilise. Comme par exemple la nuit ou lors des périodes de congés. Le réseau n’étant plus disponible pour personne, aucun cybercriminel ne pourra donc y accéder.

6. Désactivez le WPS

Le WPS (WiFi Protected Setup) est une fonctionnalité présente sur certains routeurs. Elle permet de connecter facilement de nouveaux périphériques au réseau wifi. En appuyant sur un bouton physique du routeur (souvent nommé « WPS » ), il est possible pendant quelques secondes de connecter un nouvel appareil sans avoir besoin du mot de passe réseau.

Si cette fonctionnalité s’avère très pratique, le signal peut cependant être relativement simple à intercepter pour un pirate aguerri. De plus, en 2017 des failles de sécurité permettant de cracker le mot de passe Wi-Fi grâce au WPS avaient été découvertes sur les box d’Orange et SFR.

Afin de limiter les risques il est donc préférable de vérifier que le WPS est éteint par défaut.

7. Désactivez l’option de gestion à distance de votre routeur

Si votre fournisseur d’accès à internet propose ce genre d’option, ne l’utilisez pas et surtout désactivez la !

Préférez plutôt l’Ethernet pour connecter votre ordinateur physiquement au routeur et ainsi accéder à son interface d’administration. De cette manière si quelqu’un réussi à obtenir les identifiants permettant de se connecter à cette interface, il ne pourra absolument rien faire s’il n’est pas branché directement au routeur.

8. Utilisez le filtrage MAC

Le filtrage MAC (Media Access Control) consiste à sélectionner un à un les équipements que l’on souhaite autoriser à se connecter au réseau wifi. Car il faut savoir que chaque périphérique équipé d’une interface réseau (ordinateur, smartphone, tablette, imprimante, objet connecté, etc…) possède une adresse MAC. Cette adresse est généralement composée de 12 caractères et sert d’identifiant unique pour le matériel concerné.

Certains routeurs disposent donc d’une fonctionnalité permettant de filtrer ces adresses et de définir les équipements autorisés à se connecter au réseau sans fil. Ceux qui ne figurent pas dans la liste des adresses MAC autorisées ne peuvent donc pas accéder au réseau.

illustration filtrage MAC protège le routeur wifi de votre entreprise contre les attaques

9. Activez le pare-feu

Les routeurs actuels ont souvent un pare-feu intégré capable de protéger l’ensemble de votre réseau contre les attaques provenant de l’extérieur. S’il n’est pas déjà activé par défaut, nous préconisons de le faire pour ajouter une couche de protection supplémentaire à votre routeur wifi.

10. Surveillez votre réseau wifi

Enfin, le meilleur moyen de sécuriser les données de votre entreprise reste de garder un œil sur votre routeur wifi. Même si vous avez confiance dans toutes les mesures de protection présentées dans les points précédents, cela n’exclue pas de contrôler manuellement le trafic réseau. Cela vous permettra de repérer un potentiel comportement ou appareil suspect qui aurait pu franchir tous vos garde-fous afin de l’isoler rapidement.

Pour conclure, on peut dire que sécuriser convenablement le routeur wifi de son entreprise demande un certain investissement en temps ainsi qu’en moyens humains. Car pour réaliser ces procédures correctement il est absolument indispensable d’avoir des compétences techniques en matière de sécurité, architecture et protocoles réseaux. Au risque de créer de grosses brèches dans votre système de sécurité voire des dysfonctionnements au niveau des accès internet de votre structure.

Chez Axis Solutions, notre métier consiste justement à veiller à la sécurité de vos données :

  • depuis l’audit de sécurité
  • en passant par la mise en place de solutions adaptées à l’architecture de votre système informatique
  • jusqu’au monitoring du réseau de votre entreprise

Nos équipes sont à vos côtés pour protéger votre activité !

Vous pourriez lire aussi :

Menu