1. Pourquoi sécuriser le WiFi de l'entreprise ?
Le réseau WiFi de l'entreprise donne accès aux mêmes ressources que le réseau filaire : serveurs de fichiers, logiciels métier, imprimantes, accès Internet. Tout appareil connecté au WiFi est à l'intérieur du réseau.
Sans contrôle d'accès, n'importe quel appareil à portée du signal peut se connecter : téléphone personnel potentiellement infecté, ordinateur d'un visiteur, appareil malveillant stationné sur le parking. Un simple mot de passe WiFi partagé ne suffit pas — il circule, ne se change pas facilement, et ne permet pas de savoir qui est connecté.
Ce que le filtrage par adresse MAC apporte
Le filtrage MAC est un mécanisme courant en entreprise. Il agit comme une liste blanche : seuls les appareils dont l'adresse MAC a été explicitement autorisée peuvent se connecter. Tout appareil inconnu est refusé, même s'il connaît le mot de passe WiFi.
C'est une couche de sécurité supplémentaire, simple mais contraignante : chaque nouvel appareil doit être déclaré manuellement avant de pouvoir se connecter.
2. Adresse MAC : de quoi parle-t-on ?
Ce sont deux noms pour la même chose. L'adresse MAC (Media Access Control) est un identifiant unique attribué à chaque carte réseau (WiFi, Ethernet, Bluetooth). Elle se présente sous la forme de 6 groupes de 2 caractères séparés par des deux-points ou des tirets.
Format d'une adresse MAC
Une adresse MAC valide ressemble à ceci :
34:F6:8D:95:C0:8F ou 34-F6-8D-95-C0-8F
Elle est composée de caractères hexadécimaux (chiffres 0-9 et lettres A-F). Chaque appareil possède une adresse MAC unique — c'est l'équivalent d'une plaque d'immatriculation pour un véhicule.
Un même appareil possède plusieurs adresses MAC (une par interface réseau). Pour le filtrage WiFi, c'est l'adresse MAC de la carte WiFi (souvent appelée « Adresse Wi-Fi » dans les paramètres) qui doit être communiquée. L'adresse Bluetooth ou Ethernet ne fonctionnera pas.
3. Comment trouver l'adresse MAC WiFi d'un appareil
Selon le type d'appareil, la procédure diffère. Voici les guides rapides :
📱 iPhone / iPad
- Ouvrir Réglages
- Aller dans Général → Informations
- Chercher « Adresse Wi-Fi »
- C'est l'adresse MAC à communiquer
📱 Android
- Ouvrir Paramètres
- Aller dans À propos du téléphone → État
- Chercher « Adresse MAC Wi-Fi »
- C'est l'adresse MAC à communiquer
💻 Windows
- Ouvrir une invite de commandes
- Taper ipconfig /all
- Chercher la section « Carte réseau sans fil Wi-Fi »
- Relever l'« Adresse physique »
💻 macOS
- Ouvrir Préférences Système
- Cliquer sur Réseau → Wi-Fi → Avancé
- L'adresse MAC s'affiche en bas sous « Adresse Wi-Fi »
Les appareils récents génèrent par défaut une adresse MAC aléatoire différente pour chaque réseau WiFi. Cette adresse change et rend le filtrage MAC inopérant. Il faut impérativement désactiver cette option pour le réseau de l'entreprise, ou relever l'adresse MAC réelle (matérielle) de l'appareil.
Désactiver l'adresse MAC privée
🔒 iPhone / iPad
- Réglages → Wi-Fi
- Appuyer sur le (i) à côté du réseau de l'entreprise
- Désactiver « Adresse Wi-Fi privée »
- L'appareil se reconnectera avec son adresse MAC réelle
🔒 Android
- Paramètres → Wi-Fi
- Appuyer longuement sur le réseau de l'entreprise → Modifier
- Dans Confidentialité, choisir « Utiliser le MAC de l'appareil »
4. Procédure pour autoriser un nouvel appareil
Avec le filtrage MAC, chaque demande d'ajout nécessite une intervention manuelle sur l'infrastructure réseau. Pour garantir un traitement rapide et éviter les allers-retours, voici la procédure recommandée :
Anticiper en amont
Dès qu'un nouvel appareil est prévu (achat d'un iPad, PC portable, téléphone de service…), relevez son adresse MAC WiFi avant même de le déployer. N'attendez pas le jour où l'utilisateur est devant l'appareil sans connexion.
Envoyer une demande complète
Un e-mail avec toutes les informations nécessaires permet de traiter la demande sans délai. Voir le modèle ci-dessous.
Délai de traitement
Compter un délai de traitement de 24 à 48h ouvrées. Les demandes urgentes au pied levé ne sont pas toujours traitables immédiatement.
Confirmation
Votre prestataire confirme l'activation par retour de mail. L'utilisateur peut alors se connecter au réseau WiFi.
Comparaison d'une demande incomplète vs. complète
Objet : WiFi
Bonjour,
L'adresse WIFI du nouvel iPad est 34:F6:8D:95:C0:8F
Peux-tu faire le nécessaire ?
Merci
Objet : Ajout WiFi — iPad Pro Comptabilité
Bonjour,
Merci d'autoriser l'appareil suivant sur notre réseau WiFi :
Appareil : iPad Pro 12,9" (2024)
Utilisateur : Marie Dupont — Comptabilité
Adresse MAC Wi-Fi : 34:F6:8D:95:C0:8F
Adresse privée : Désactivée ✓
Merci
1. Type et modèle de l'appareil — 2. Nom de l'utilisateur et service — 3. Adresse MAC Wi-Fi (pas Bluetooth, pas Ethernet) — 4. Confirmation que l'adresse MAC privée est désactivée.
5. Pourquoi ces contraintes existent
Le filtrage MAC peut sembler contraignant au quotidien. Voici les risques concrets qu'il permet de limiter :
🔒 Intrusion réseau
Un appareil non autorisé connecté au WiFi peut scanner le réseau interne, accéder aux partages de fichiers, intercepter des communications ou exploiter des vulnérabilités.
🦠 Propagation de malware
Un appareil personnel infecté (téléphone, PC portable) connecté au réseau d'entreprise peut propager un virus ou un ransomware à l'ensemble des postes et serveurs.
📄 Fuite de données
Un accès non contrôlé permet potentiellement de copier des données sensibles : fichiers clients, données comptables, contrats, sans laisser de trace identifiable.
⚖️ Responsabilité légale
En cas d'usage illicite de la connexion Internet de l'entreprise (téléchargements illégaux, etc.), l'entreprise est responsable si elle ne peut pas identifier l'auteur.
Les réglementations européennes imposent aux entreprises de maîtriser l'accès à leur système d'information. Un WiFi ouvert ou mal contrôlé peut constituer un manquement aux obligations de sécurité des données.
6. Les limites du filtrage MAC
Le filtrage par adresse MAC est une mesure de sécurité basique mais utile. Il présente cependant des limites importantes :
Contraintes opérationnelles
Chaque appareil doit être déclaré manuellement. Un nouvel iPad, un téléphone de remplacement ou le PC portable d'un nouveau collaborateur ne peut pas se connecter immédiatement. Il y a un délai incompressible entre la demande et l'activation.
Aucune autonomie côté client. Impossible d'autoriser un appareil soi-même : chaque ajout nécessite une intervention technique sur l'infrastructure.
Pas de réseau invité possible. Un visiteur, un prestataire ou un auditeur ne peut pas accéder au WiFi sans passer par la procédure complète. Il n'y a pas de solution temporaire ou en libre-service.
Limites techniques
Les adresses MAC privées des appareils récents compliquent le filtrage (voir section 3). Si un utilisateur réactive cette option sans le savoir, son appareil sera bloqué.
Le spoofing MAC est possible : une personne techniquement compétente peut falsifier son adresse MAC pour usurper l'identité d'un appareil autorisé. Le filtrage MAC n'est donc pas une protection absolue, mais un frein supplémentaire.
Pas de traçabilité fine : le filtrage MAC ne permet pas de savoir qui utilise un appareil, quand il s'est connecté, ni ce qu'il a fait sur le réseau.
7. La solution : le portail captif avec réseau invité
Le portail captif avec réseau invité séparé est la réponse professionnelle aux limites du filtrage MAC. Il combine sécurité renforcée, autonomie totale et conformité réglementaire dans une solution clé en main déployée par GiGaRuN.
Comment ça fonctionne
Les avantages concrets pour votre entreprise
Zéro délai
Plus d'attente de 24-48h. Les collaborateurs se connectent immédiatement, sans intervention technique.
Accueil visiteurs
Offrez un accès WiFi temporaire à vos visiteurs, prestataires et auditeurs en toute sécurité.
Séparation réseau
Réseau interne et réseau invités isolés. Les visiteurs n'accèdent jamais à vos données.
Autonomie totale
Gérez les accès vous-même depuis un tableau de bord simple. Plus besoin de solliciter votre prestataire.
Comparaison des deux approches
| Critère | Filtrage MAC | Portail captif |
|---|---|---|
| Ajout d'un nouvel appareil | Manuel — 24/48h | Immédiat — autonome |
| Accueil de visiteurs | Impossible sans intervention | Code temporaire ou parrainage |
| Séparation réseau interne / invités | Non | Oui — réseau isolé |
| Identification de l'utilisateur | Par appareil uniquement | Par personne (nom, login) |
| Traçabilité / journalisation | Minimale | Complète et horodatée |
| Autonomie de gestion | Aucune | Tableau de bord en libre-service |
| Résistance au spoofing | Faible | Authentification forte |
| Gestion des adresses MAC privées | Problématique | Sans impact |
| Conformité RGPD / NIS2 | Partielle | Renforcée |
Plus de sollicitations de dernière minute pour chaque nouvel iPad ou téléphone. Les collaborateurs se connectent de manière autonome, les visiteurs reçoivent un accès temporaire maîtrisé, et vous conservez une visibilité totale sur qui utilise votre réseau — le tout sans intervention technique au quotidien.
Sécurisez votre WiFi avec un portail captif
GiGaRuN déploie des solutions de portail captif adaptées à votre infrastructure : audit de votre réseau existant, dimensionnement, installation, configuration du réseau invité et formation de vos équipes. Demandez un devis personnalisé sans engagement.
Demander un devis gratuit →