Lecture : 9 minutes · Niveau : intermédiaire · Mise à jour : avril 2026
Le Wi-Fi est devenu critique pour la productivité d’une PME. Pourtant, beaucoup utilisent encore un routeur grand public dans les bureaux — couverture aléatoire, sécurité faible, aucune segmentation. Ce guide détaille comment déployer un Wi-Fi vraiment pro, sans sur-investir.
Sommaire
- Pourquoi le Wi-Fi grand public ne suffit pas
- Choisir son écosystème (UniFi, Omada, Mikrotik, Aruba)
- Dimensionnement : combien d’access points ?
- Configuration des SSID multiples
- Sécurité Wi-Fi 2026
- Captive portal pour visiteurs
- Monitoring et dépannage
- Coût total et ROI
- FAQ
1. Pourquoi le Wi-Fi grand public ne suffit pas
| Limite | Impact business |
|---|---|
| Couverture limitée à 1 AP | Zones mortes, employés frustrés |
| Pas de roaming entre AP | Téléphones bloqués sur un AP faible |
| Pas de SSID multiples avec VLAN | Visiteurs et IoT mélangés à la production |
| Sécurité limitée | Mot de passe partagé, jamais changé |
| Pas de monitoring | Impossible de savoir qui consomme la bande passante |
Pour une PME au-delà de 5-10 personnes, un Wi-Fi pro devient indispensable.
2. Choisir son écosystème
Ubiquiti UniFi
Site officiel : ui.com
- Excellent rapport qualité/prix
- Contrôleur logiciel gratuit (auto-hébergé sur PC, Cloud Key, ou Dream Machine)
- Interface moderne et claire
- Très large gamme (AP indoor, outdoor, mesh, longue portée)
- Communauté active
Modèles AP courants : U6 Lite, U6 Pro, U7 Pro selon couverture et utilisateurs.
TP-Link Omada
Site officiel : tp-link.com/omada
- Alternative directe à UniFi
- Contrôleur cloud ou local
- Tarifs souvent plus bas
- Excellente compatibilité Wi-Fi 6/6E
Mikrotik
Site officiel : mikrotik.com
- Très flexible et puissant
- Courbe d’apprentissage forte (RouterOS)
- Tarifs très compétitifs
- Pour PME avec compétence technique interne
Aruba Instant On
Site officiel : arubainstanton.com
- Solution cloud-managée simple
- Pas de contrôleur à installer
- Aruba (HPE) — qualité enterprise
- Coût licences cloud à intégrer
Recommandation par profil
| Profil PME | Recommandation |
|---|---|
| < 20 personnes, sans tech | Aruba Instant On ou TP-Link Omada cloud |
| 20-100 personnes, IT léger | UniFi (le plus polyvalent) |
| Avec compétence Linux/réseau | Mikrotik (rapport prix/performance imbattable) |
| Site distant sans IT | Aruba Instant On (full cloud) |
3. Dimensionnement : combien d’access points ?
Règle empirique
- 1 AP pour 20-30 utilisateurs simultanés en utilisation bureautique standard
- 1 AP pour 10-15 utilisateurs si visioconférence intensive
- 1 AP pour 200 m² dans des locaux ouverts
- 1 AP par étage minimum
- +1 AP outdoor si terrasse / cour utilisée
Méthode terrain
- Plan des locaux + position des bureaux
- Recensement des appareils connectés (postes, smartphones, imprimantes Wi-Fi, IoT)
- Test pré-déploiement avec WiFiman (Ubiquiti, gratuit) ou NetSpot
- Placement provisoire des AP, mesure couverture, ajustement
- Déploiement définitif
Câblage des AP
- Privilégier le PoE (Power over Ethernet) — alimente l’AP via le câble réseau
- Switches PoE ou injecteurs PoE selon le nombre d’AP
- Câble Cat 6 depuis chaque AP vers un switch central
4. Configuration des SSID multiples
Configuration recommandée pour PME
SSID 1: MaPME-Pro
→ Réseau employés
→ WPA3-Personal (ou WPA2 si appareils anciens)
→ VLAN 10
→ Mot de passe long (>16 caractères), changé annuellement
SSID 2: MaPME-Guest
→ Visiteurs
→ Captive portal avec acceptation CGU
→ VLAN 50 (isolation totale du réseau interne)
→ Bande passante limitée (ex : 2 Mbps par client)
→ Désactivation possible la nuit
SSID 3: MaPME-IoT
→ Caméras, imprimantes Wi-Fi, capteurs
→ WPA2 (souvent seul supporté)
→ VLAN 60 (isolation des serveurs critiques)
→ Pas d'accès Internet sortant pour certains IoT (config pare-feu)
SSID 4: MaPME-VoIP (optionnel)
→ Téléphones IP Wi-Fi si applicable
→ QoS prioritaire
→ VLAN 40
Astuce technique
Sur la plupart des contrôleurs UniFi/Omada, vous pouvez créer ces SSID en quelques clics, chacun mappé à un VLAN distinct. Cela demande un switch managé capable de tagger les VLAN.
5. Sécurité Wi-Fi 2026
WPA3 si possible
WPA3 corrige plusieurs faiblesses de WPA2 (notamment le KRACK attack). À privilégier dès que tous vos appareils le supportent.
Mode mixte WPA2/WPA3 : compatible avec les anciens appareils tout en utilisant WPA3 pour les nouveaux.
Mot de passe
- Minimum 16 caractères, idéalement 20+
- Mélange : majuscules, minuscules, chiffres, symboles
- Phrase mémorable :
Tomate-Verte-A-Dakar-En-2026! - Changé après chaque départ d’employé ayant connu le mot de passe
- Stocké dans le gestionnaire de mots de passe d’équipe (Bitwarden, Vaultwarden)
WPA2/3 Enterprise (RADIUS)
Pour les structures plus avancées : chaque utilisateur a son propre mot de passe (lié à son compte AD/LDAP). Avantages :
– Révocation instantanée d’un utilisateur sans changer le mot de passe global
– Audit fin (qui s’est connecté quand)
– Intégration avec annuaire d’entreprise
Demande un serveur RADIUS (FreeRADIUS open source par exemple).
Désactiver WPS
WPS (le bouton de connexion rapide) est une faille connue. Désactiver dans tous les SSID pro.
Désactiver l’accès admin via Wi-Fi
L’admin du contrôleur ne devrait être accessible qu’en filaire ou via VPN, jamais directement via Wi-Fi.
6. Captive portal pour visiteurs
Le captive portal est la page web qui s’affiche aux nouveaux clients Wi-Fi avant accès Internet.
Cas d’usage
- Acceptation des CGU (couvre votre responsabilité légale)
- Capture d’email marketing (avec consentement RGPD/CDP)
- Page d’accueil PME (image de marque)
- Identification visiteurs (nom, entreprise, raison de la visite)
Solutions
- UniFi : captive portal natif dans le contrôleur (gratuit)
- Omada : idem
- WiFi4EU style : solutions tierces avec analytics
Bonnes pratiques
- Page rapide à charger (visiteur impatient)
- Mobile-friendly (la majorité des visiteurs Wi-Fi guest sont sur smartphone)
- Réautorisation peu fréquente (une fois par jour suffit, pas à chaque connexion)
- Conformité CDP/RGPD : si capture d’email, mention et consentement explicite
7. Monitoring et dépannage
Métriques à suivre
- Nombre de clients connectés par AP et globalement
- Bande passante consommée par client (top consommateurs)
- Qualité du signal par client (RSSI)
- AP en panne ou déconnecté
- Tentatives d’authentification échouées (signal d’intrusion)
Alertes utiles
- AP hors-ligne > 5 minutes → email/Slack
- Pic de tentatives d’auth échouées → alerte sécurité
- Bande passante saturée régulièrement → audit pour identifier la cause
Dépannage utilisateur
Symptômes courants et causes :
| Symptôme | Cause probable |
|---|---|
| Connexion Wi-Fi mais pas Internet | DHCP saturé, ou problème routeur, ou DNS |
| Wi-Fi très lent | Interférences (autres Wi-Fi voisins), congestion AP, mauvais canal |
| Décrochage fréquent | Roaming mal configuré, AP trop éloigné, interférences |
| Impossible de se connecter | Mot de passe changé, MAC bloquée, capacité AP atteinte |
Outils diagnostic
- Speedtest : test débit de bout en bout
- inSSIDer ou WiFi Analyzer : voir les canaux occupés et la force des AP voisins
- iperf3 : test débit interne PME
- Wireshark : capture paquets pour debug avancé
8. Coût total et ROI
Investissement initial type pour PME 15-30 personnes
Vérifier les prix actuels — les ordres de grandeur varient.
- 3-5 AP UniFi : montant unitaire à confirmer chez revendeur
- 1 switch PoE managé 8-16 ports
- 1 Cloud Key ou ordinateur léger pour héberger le contrôleur
- Câblage Cat 6 + main d’œuvre installation
- Total : généralement 1 000 à 3 000 € amortissables 5 ans
Coût récurrent
- Aucun coût de licence sur UniFi / Omada (contrôleur gratuit)
- Maintenance : 1-2 h/mois pour mises à jour et monitoring
- Remplacement matériel : compter 5-7 ans de durée de vie
ROI
Économies vs setup grand public :
– Productivité équipe (couverture / stabilité) : difficile à chiffrer mais réel
– Sécurité réduite (segmentation, isolation visiteurs)
– Pas de SAV répété sur boîtiers grand public qui plantent
Pour une PME établie, l’investissement se rentabilise typiquement en 1-2 ans.
9. FAQ
Wi-Fi 6 ou Wi-Fi 6E : nécessaire en 2026 ?
Wi-Fi 6 est devenu le standard, recommandé pour tout nouveau déploiement. Wi-Fi 6E (bande 6 GHz) est utile dans les environnements très denses mais demande des appareils clients compatibles. Pour une PME standard : Wi-Fi 6 suffit largement.
Le Wi-Fi maillé (mesh) est-il pro ?
Le mesh est une architecture où des AP communiquent entre eux sans tous être câblés. Acceptable pour des cas limités (extension dans une zone sans câble) mais toujours préférer le câblage pour les AP principaux : performance et fiabilité supérieures.
Mes employés se plaignent du Wi-Fi en visio. Que vérifier ?
Causes fréquentes : (1) trop d’utilisateurs sur un seul AP (ajouter AP) ; (2) interférences d’autres Wi-Fi voisins (changer canal) ; (3) bande passante internet saturée (upgrade contrat) ; (4) QoS pas configurée (donner priorité au trafic visio).
Quelle puissance Wi-Fi maximale autoriser ?
La législation locale fixe les limites (typiquement 100 mW à 2.4 GHz, 200 mW à 5 GHz dans la plupart des pays). Les AP pro respectent ces normes. Pour une PME, réduire la puissance quand on a beaucoup d’AP proches améliore en fait la qualité (évite l’auto-interférence).
Mon Wi-Fi guest est-il vraiment isolé ?
À vérifier : (1) Wi-Fi guest sur VLAN distinct ; (2) règles pare-feu interdisant ce VLAN d’accéder aux autres VLAN ; (3) isolation client-to-client activée (les clients guest ne se voient pas entre eux). Tester avec deux smartphones connectés au guest : impossible de les voir mutuellement.
Que faire si tous mes employés télétravaillent et que personne n’utilise le bureau ?
Garder le Wi-Fi pro réduit en taille (1-2 AP), désactiver les SSID inutilisés, prioriser le VPN pour accès distant aux ressources internes (voir → VPN PME avec WireGuard).
Articles liés (cluster Réseaux et infrastructure)
- 👉 Réseaux et infrastructure pour PME africaine : guide pratique 2026 — l’article pilier
- 👉 VPN PME avec WireGuard : installation et configuration
- 👉 Monitoring réseau PME avec Grafana et Prometheus
Article mis à jour le 25 avril 2026. Pour signaler une erreur, écrivez-nous.