Wi-Fi sécurisé en entreprise — Le guide complet pour TPE et PME

Protégez votre réseau en 30 minutes avec des configurations que n'importe qui peut appliquer.

Juin 2026 · 9 min de lecture

Votre Wi-Fi d'entreprise est probablement configuré comme celui de votre salon. Même mot de passe pour tout le monde. Pas de réseau invité. Un routeur fournisseur d'accès qui n'a pas vu une mise à jour depuis 2019. Et pourtant, c'est par ce Wi-Fi que transitent vos factures, vos contrats, les données de vos clients.

En 2025, 43% des PME françaises déclaraient n'avoir aucune politique de sécurité Wi-Fi — selon le baromètre annuel du CESIN (Club des Experts de la Sécurité de l'Information et du Numérique). Chaque point d'accès non sécurisé est une porte ouverte. Voici comment la fermer.

Pourquoi votre Wi-Fi est le maillon faible

Le Wi-Fi a un problème fondamental : les ondes traversent les murs. Contrairement à un câble Ethernet, votre réseau sans fil est accessible depuis le parking, la rue, le café d'en face. Un attaquant n'a pas besoin d'entrer dans vos locaux.

Les trois menaces les plus courantes contre les TPE :

L'attaque Evil Twin — un faux point d'accès qui imite le vôtre. Vos employés s'y connectent sans le savoir et l'attaquant intercepte tout le trafic. Cette attaque prend moins de 5 minutes à mettre en place avec un Raspberry Pi à 40€.
Le sniffing de paquets — sur un réseau non chiffré (ou en WEP/WPA), n'importe qui peut capturer les données qui transitent. Emails, mots de passe, documents : tout est en clair.
Le brute force WPS — le WPS (Wi-Fi Protected Setup) activé par défaut sur la plupart des box est cassable en moins de 24 heures avec un outil gratuit comme Reaver.

⚠️ Le chiffre qui fait mal : Selon le rapport IBM Cost of a Data Breach 2025, le coût moyen d'une violation de données pour une PME est de 3,8 millions de dollars — incluant amendes RGPD, perte de clients et interruption d'activité. Et dans 27% des cas, le point d'entrée est le réseau Wi-Fi.

Les 7 configurations qui sécurisent votre Wi-Fi en 30 minutes

Voici ce que vous devez faire, dans l'ordre. Pas besoin d'être ingénieur réseau. Si vous savez vous connecter à l'interface d'administration de votre routeur (192.168.1.1 ou 192.168.0.1), vous pouvez tout appliquer.

Désactivez le WPS immédiatement. Allez dans les paramètres Wi-Fi avancés de votre routeur et coupez « WPS » ou « Wi-Fi Protected Setup ». C'est la première chose qu'un attaquant exploite. Si vous ne trouvez pas l'option, votre matériel est trop vieux — changez-le.
Activez le WPA3 (ou WPA2-Enterprise si dispo). WPA3 est obligatoire sur tous les appareils certifiés Wi-Fi depuis juillet 2020. Si votre routeur le supporte, activez-le. Sinon, restez en WPA2-AES (jamais WPA2-TKIP, qui est cassé depuis 2009).
Changez le mot de passe Wi-Fi en phrase de passe longue. Oubliez « Entreprise2024! ». Utilisez une phrase de 20+ caractères : « LeChatNoirMange3Croissants! ». La longueur est votre meilleure défense contre le brute force.
Créez un réseau invité séparé. Tous les routeurs pros et semi-pros le permettent. Le réseau invité est isolé : vos visiteurs ont Internet, mais n'accèdent PAS à vos imprimantes, NAS, serveurs. C'est la séparation la plus importante que vous puissiez faire.
Cachez le SSID du réseau entreprise (optionnel mais utile). Votre réseau principal n'a pas besoin d'être visible. Gardez le réseau invité visible, cachez le réseau interne. Ça ne bloque pas un attaquant déterminé, mais ça filtre le bruit.
Mettez à jour le firmware du routeur. Allez dans Administration > Mise à jour. Si votre routeur n'a pas reçu de mise à jour depuis plus d'un an, il est temps d'en changer. Les failles de sécurité Wi-Fi (KRACK, FragAttack) se corrigent par firmware.
Désactivez l'administration à distance (WAN). L'interface d'administration de votre routeur ne doit être accessible QUE depuis le réseau local. Si l'option « Remote Management » ou « Administration WAN » est activée, coupez-la.

Quel matériel choisir pour une TPE ?

Votre box opérateur (Orange, Free, Bouygues) fait le job pour 3 personnes. Au-delà, elle devient le goulot d'étranglement — en performance ET en sécurité.

Matériel	Prix	Pour qui	Sécurité
Box opérateur	Inclus	1-3 personnes, budget zéro	Basique — pas de VLAN, pas de WPA3, WPS activé par défaut
Ubiquiti UniFi Express	149€	3-10 personnes, 1 site	WPA3, VLAN, réseau invité, pare-feu intégré, IDS/IPS
TP-Link Omada EAP650	109€	5-20 personnes, 1-2 bornes	WPA3, VLAN, portail captif, gestion centralisée
Netgear Insight WAX620	189€	10-30 personnes, bureaux	WPA3-Enterprise, 8 SSID, VLAN tagging, RADIUS

🏆 Notre recommandation pour 90% des TPE : L'Ubiquiti UniFi Express à 149€. Il remplace votre box en mode bridge, apporte WPA3, VLAN, réseau invité automatique, et un tableau de bord de sécurité que vous pouvez consulter depuis votre téléphone. Configuration en 15 minutes via l'app mobile. Pour une TPE de 5 à 15 employés, c'est le meilleur rapport qualité-prix en 2026.

Au-delà du Wi-Fi : l'approche par couches

Sécuriser le Wi-Fi c'est bien. Mais la sécurité réseau, c'est un oignon — il faut plusieurs couches. Voici ce que nous recommandons en complément d'un Wi-Fi correctement configuré :

Un pare-feu correctement configuré — même le pare-feu intégré de votre routeur, s'il est activé et que les règles par défaut sont restrictives. Voir notre comparatif pare-feu TPE.
Un VPN pour les accès distants — ne laissez jamais vos employés se connecter aux ressources internes via un Wi-Fi public sans VPN. Guide VPN télétravail ici.
L'authentification à deux facteurs (2FA) — si quelqu'un parvient à entrer sur votre réseau, le 2FA l'empêche d'accéder à vos comptes critiques. Guide 2FA complet.
Une politique de sécurité d'une page — documentez qui a accès à quoi, et comment. Si vous ne l'avez pas encore lue, notre guide de protection des données clients est un bon point de départ.

Ce qu'il faut retenir

La sécurité Wi-Fi d'une TPE se résume à 5 actions que vous pouvez faire cet après-midi :

Désactivez le WPS sur votre routeur
Passez en WPA3 ou WPA2-AES avec une phrase de passe longue
Créez un réseau invité isolé pour les visiteurs
Mettez à jour le firmware
Si votre box a plus de 3 ans, remplacez-la par un UniFi Express à 149€

Ce n'est pas de la science-fiction. C'est 30 minutes de configuration qui éliminent 90% des vecteurs d'attaque Wi-Fi. Et si vous pensez que « personne ne va s'intéresser à une petite boîte comme la vôtre » — relisez le chiffre plus haut. 43% des PME sont ciblées, et les attaquants ne font pas de différence entre une TPE de 5 personnes et une PME de 200. Pour eux, c'est la même opportunité.

🛡️ Protégez votre réseau aujourd'hui

La première action est gratuite et prend 2 minutes : connectez-vous à votre routeur et désactivez le WPS. Faites-le maintenant.

📖 Étape suivante : sécurisez vos accès nomades avec un VPN

← Retour à l'accueil CyberBoss

🚀 Recommandé : Systeme.io — la plateforme tout-en-un pour votre business. 60% de réduction permanente.

🔗 Essayer Systeme.io gratuitement →

📋 Besoin d'une solution de cybersécurité ?

Décrivez votre besoin — un expert vous recontacte sous 24h avec une recommandation personnalisée et gratuite.

Gratuit · Sans engagement · Réponse sous 24h