Aller au contenu principal
Cabinet indépendant · Expertise Wi-Fi & NAC · Paris

L'expertise Wi-Fi & NAC des
environnements critiques.

Diagnostic factuel. Plan d'action priorisé. Résultats mesurables en production.

Nous éliminons les causes racines de vos incidents réseau — pas les symptômes. De l'audit Ekahau au déploiement Cisco ISE, 150+ sites sécurisés en 12 ans.

Réserver un audit découverte Recevoir un exemple de rapport
0+

Sites audités

0%

Uptime post-optimisation

0+

Ans d'expertise

Retail Industrie Santé Tertiaire Logistique Éducation Hôtellerie
Romaric Okemba — Fondateur ORNET
12+ ans d'expertise
À propos

Romaric Okemba

Ingénieur Réseau & Consultant Indépendant

Je suis Romaric Okemba, ingénieur réseau à Paris depuis 12+ ans. J'aide les DSI et responsables infra à éliminer les causes racines des incidents réseau — pas les symptômes. 150+ sites audités. Spécialisé Cisco, Ekahau, ISE.

12+ ans d'expérience en environnements critiques

Consultant indépendant depuis 2018

Certifié CWNE, CCIE Wireless, Ekahau ECSE, Aruba ACMP

150+ sites audités (France & International)

Voir mon profil LinkedIn

Pourquoi ORNET ?

Chaque mission est traitée comme une investigation technique. Nous cherchons la cause racine, pas le palliatif.

Expertise terrain

12+ ans de missions sur des environnements critiques : entrepôts, hôpitaux, sièges sociaux, usines.

Outillage professionnel

Ekahau AI Pro, analyseurs spectraux, sondes PCAP, licences Cisco DNA/ISE. L'outillage qui fait la différence.

Indépendance

Aucun partenariat constructeur exclusif. Nous recommandons la solution la plus adaptée, pas la plus commissionnée.

Livrables actionnables

Rapports structurés avec recommandations priorisées, pas de PDF générique. Chaque livrable a un plan d'action.

Comment nous travaillons

Notre méthodologie

Chaque mission suit un process structuré, transparent et orienté résultat. Pas de boîte noire.

01

Diagnostic terrain

Analyse sur site : couverture RF, spectrale, PCAP, configuration contrôleurs. Collecte exhaustive des données.

2-5 jours
02

Analyse & root cause

Corrélation des données, identification des causes racines, benchmark vs. best practices constructeur.

Rapport technique détaillé
03

Plan d'action priorisé

Architecture cible, budget estimatif, timeline de déploiement. Recommandations classées par impact et urgence.

Budget + timeline inclus
04

Accompagnement

Pilotage du déploiement, coordination installateurs, recette technique site par site, transfert de compétences.

Jusqu'à validation complète
Discuter de votre projet
Résultats terrain

Nos Résultats

Des résultats concrets, mesurables, sur des environnements critiques. Noms et détails anonymisés par obligation de confidentialité.

Logistique

Entrepôt — 40 000 m²

Challenge

Optimisation du roaming sur parc hybride. 800 scanners Wi-Fi 5 en déconnexion sur infrastructure Wi-Fi 6.

Solution ORNET

Ajustement des profils RF et activation 802.11r FT.

Impact

✓ Latence roaming < 30ms ✓ 0 timeout

Luxe

Siège & Showroom VIP — Wi-Fi 6E

Challenge

Déploiement Wi-Fi 6E. Isolation totale des flux VIP lors des événements. Utilisation de la bande 6 GHz comme voie express dédiée.

Solution ORNET

Bande 6 GHz réservée aux terminaux de direction, coexistence transparente avec le parc Wi-Fi 5/6.

Impact

✓ Zéro interférence ✓ Latence ultra-faible en zone haute densité

Industrie & Sécurité

NAC Zero Trust — 4 500 endpoints

Challenge

Sécurisation de 4 500 endpoints (IoT legacy et automates). Architecture Cisco ISE avec segmentation dynamique TrustSec.

Solution ORNET

Profiling contextuel de chaque terminal, policies par device type, segmentation dynamique TrustSec.

Impact

✓ 100% endpoints identifiés et profilés ✓ -87% incidents sécurité
Social proof

Ce que nos clients disent

Retours anonymisés de DSI, RSSI et responsables infrastructure.

★★★★★

« Romaric a identifié la cause racine de nos déconnexions Wi-Fi en 2 jours. Aucun intégrateur n'avait vu ça. ROI immédiat. »

Responsable IT

Grand groupe Santé — Île-de-France

★★★★★

« Architecture ISE ultra professionnelle. Documentation excellente. Support réactif. Nous le recommandons vivement. »

RSSI

Grand groupe Logistique — France

★★★★★

« Audit spectral révélateur : interférences radar DFS identifiées en quelques heures. Plan d'action très concret et applicable immédiatement. »

Responsable Infrastructure

PME Retail — 15 sites

FAQ

Questions fréquentes

Les réponses aux questions que se posent nos prospects avant de nous contacter.

Travaillez-vous avec ma marque réseau préférée ?
Oui. Nous sommes indépendants et travaillons avec Cisco (Catalyst, Meraki), Aruba, Juniper Mist, Ruckus, et tous les constructeurs majeurs. Notre recommandation est basée sur vos besoins, pas sur un partenariat commercial.
Combien coûte un audit Wi-Fi ?
Un audit Ekahau (prédictif + survey passif) dure 3 à 5 jours. Ordre de grandeur : PME 1 000 m² = 3 000–5 000 € · Grand site 50 000 m² = 8 000–12 000 €. Chaque devis est personnalisé selon la surface, le nombre d'étages et la complexité.
Qu'est-ce que vous livrez concrètement ?
Heatmaps RSSI/SNR/Débit par bande, tableau inventaire AP, analyse spectrale des interférences, plan d'action priorisé (Quick Wins + projets structurels), et rapport complet avec recommandations budgétaires.
Combien de temps dure un engagement ?
Audit seul : 3–5 jours (on-site si nécessaire). Audit + Architecture + Pilotage déploiement : 4–8 semaines. Nous nous adaptons à votre planning et vos contraintes.
Quelle est la différence entre votre audit et celui d'un intégrateur ?
Un intégrateur vérifie que ses AP fonctionnent. Nous, nous cherchons la cause racine : analyse spectrale, corrélation PCAP, diagnostic roaming, mesure d'airtime. Notre audit est indépendant et orienté performance, pas vente de matériel.
Quelles sont vos certifications ?
Oui. CWNE (Certified Wireless Network Expert) — certification indépendante délivrée par le CWNP, agnostique constructeur, attestant d'une maîtrise avancée de l'ensemble des technologies Wi-Fi. Également certifié Cisco CCIE Wireless (niveau expert, architecture et déploiement réseau sans fil), Ekahau ECSE (Certified Survey Engineer — conception et audit RF) et Aruba ACMP (Certified Mobility Professional — expertise multi-constructeur HPE/Aruba). Nous utilisons Ekahau AI Pro et disposons de licences Cisco ISE/DNA Center.
Vous faites du support en continu ou juste du consulting ?
Les deux. Nous intervenons en mode projet (audit, design, déploiement) et en support récurrent (troubleshooting, optimisation RF, MCO). Intervention sur site ou à distance selon le besoin.
Je suis une TPE/PME, c'est pour moi ?
Absolument. Nous travaillons avec des PME de 50 postes comme avec des groupes internationaux. L'approche reste la même : diagnostic factuel, recommandations priorisées, budget maîtrisé.
Pouvez-vous m'aider en migration Wi-Fi 6E / Wi-Fi 7 ?
Oui. Nous concevons des architectures Wi-Fi 6E et Wi-Fi 7 (802.11be) intégrant MLO, 6 GHz et les derniers AP Cisco CW9176/9178. Nous vous aidons à évaluer le ROI réel avant d'investir.
Que peut faire Cisco ISE que mes switchs ne font pas ?
Si le switch assure le L2, Cisco ISE apporte l'intelligence de segmentation dynamique (TrustSec) et le profiling contextuel indispensable au Zero Trust. Plutôt qu'un VLAN statique par port, ISE identifie en temps réel qui/quoi se connecte (identité, type de device, posture) et assigne un Security Group Tag (SGT) avec des droits d'accès adaptés. C'est cette intelligence centralisée — profiling IoT, portails guest, politiques différenciées — qui transforme votre réseau en architecture Zero Trust.
Réserver un audit découverte
Expertise Wi-Fi

Conception, audit & optimisation
de vos réseaux sans fil

Du survey prédictif Ekahau au troubleshooting spectral, nous couvrons l'intégralité du cycle de vie Wi-Fi. Chaque intervention s'appuie sur des données radio mesurées, pas des suppositions.

01

Étude de couverture Ekahau

Nous utilisons Ekahau AI Pro pour modéliser la propagation radio dans vos locaux avant le déploiement. Le survey prédictif intègre les matériaux de construction (béton, verre, placo, rack métallique) et simule la couverture avec le modèle d'AP choisi. Le survey sur site (AP-on-a-stick) valide ensuite le modèle théorique en conditions réelles.

Survey prédictif

Modélisation pré-déploiement avec atténuation par matériau, simulation multi-floor, heat maps RSSI/SNR/débit

Survey actif sur site

Mesure AP-on-a-stick avec Sidekick 2, validation du roaming inter-AP, test de couverture périmétrique

Survey passif

Capture passive du spectre 2.4/5/6 GHz, détection d'interférences co-canal et radar DFS, mesure de bruit plancher

Rapport de conformité

Livrable structuré : heatmaps, tableaux AP, plan de câblage, recommandations priorisées avec estimation budgétaire

Métriques clés mesurées

-67

dBm · Seuil RSSI min.

25+

dB · SNR cible

≤ 30

ms · Latence roaming

-85

dBm · Bruit plancher max

Seuils adaptés selon l'usage : VoWi-Fi, vidéosurveillance, terminaux RF logistiques, IoT. Référence : Ekahau Best Practices (consulté en fév. 2026).

Technologies maîtrisées

Cisco Catalyst 9800WLC
Cisco Catalyst 9100 SeriesAP Wi-Fi 6/6E
Cisco CW 9176/9178Wi-Fi 7
Cisco DNA Center / Catalyst CenterManagement
Meraki MR / Juniper MistCloud-Managed
02

Design & Architecture Wi-Fi

Le design ne se limite pas à « poser des AP au plafond ». Nous élaborons une architecture Wi‑Fi complète : choix du modèle de déploiement (Centralisé, FlexConnect, SDA Wireless), plan de fréquences, profils WLAN, policies par SSID et gestion du multicast.

HLD (High-Level Design)

Architecture logique, topologie réseau, VLANs, redondance WLC, intégration DNA Center

LLD (Low-Level Design)

Configuration AP par AP, plan de canaux, puissances Tx, profiles RF, data rates minimum

Plan de câblage & infrastructure

Liaisons montantes, PoE budget (802.3bt), cheminement câble, étiquetage baies

Wi-Fi 6E / Wi-Fi 7

Design multi-bande 2.4/5/6 GHz, exploitation de la bande 6 GHz pour les terminaux compatibles, MLO (Wi-Fi 7)

03

Troubleshooting & Analyse spectrale

Quand le « ça marche pas » ne suffit pas comme diagnostic. Nous corrélons captures radio (PCAP over-the-air), logs contrôleur, métriques SNMP et analyse spectrale pour identifier la cause racine exacte.

Captures PCAP over-the-air

Analyse frame-by-frame des échanges 802.11 (auth, assoc, 4-way handshake, DHCP, DNS)

Analyse spectrale

Détection d'interférences non-Wi-Fi : micro-ondes, caméras analogiques, Bluetooth, radar DFS, IoT à étalement de spectre

Diagnostic roaming

Analyse des transitions 802.11r (FT) / k (Radio Resource) / v (BSS Transition), sticky clients, latence handoff

Corrélation multi-source

Croisement logs WLC + Ekahau + Wireshark + syslog pour un diagnostic complet et documenté

Problèmes courants résolus

Sticky clients / roaming lent

Terminaux qui restent accrochés à un AP lointain au lieu de basculer. Cause fréquente : seuils RSSI client mal calibrés, 802.11r/k/v non activés.

Déconnexions RF intermittentes

Micro-coupures invisibles dans les logs mais fatales pour le VoWi-Fi ou les scanners logistiques. Diagnostic par airtime et retry rate.

Débit insuffisant sous charge

Airtime congestion, CCI (Co-Channel Interference), clients legacy en data rate bas qui parasitent la cellule.

Interférences non-Wi-Fi

Brouillage par équipements industriels, caméras sans fil, capteurs Zigbee/LoRa. Identifié uniquement par analyse spectrale.

Besoin d'un audit Wi-Fi ?

Identifiez les causes racines de vos problèmes de couverture, roaming et performance.

Réserver un audit découverte

Contenu du rapport d'audit

  • Heatmaps de couverture RSSI, SNR, débit par bande
  • Tableau inventaire AP (modèle, canal, Tx power, clients, utilisation)
  • Analyse spectre interférences canal par canal
  • Matrice de conformité vs. exigences métier
  • Plan d'action priorisé (Quick Wins → projets structurels)
  • Estimation budgétaire par recommandation
04

Audit de validation post-déploiement

Vous venez de déployer ou faire déployer un réseau Wi-Fi ? L'audit de validation vérifie que la réalité terrain correspond au design initial. Nous mesurons la couverture réelle, le roaming, le temps de connexion et les performances applicatives.

Walk-test complet

Mesure terrain étage par étage avec Ekahau Sidekick, génération automatique des heatmaps

Test de roaming

Validation du handoff entre AP sur les parcours critiques (couloirs, escaliers, open-spaces)

Benchmark applicatif

Tests VoWi-Fi (MOS score), téléchargement, latence DNS, temps DHCP, streaming vidéo

05

Optimisation RF & Performance

Un réseau Wi-Fi se dégrade dans le temps : nouveaux murs, nouveaux terminaux, densification des usages. L'optimisation RF remet les compteurs à zéro en ajustant canaux, puissances, data rates et paramètres RRM.

Plan de canaux optimisé

Réattribution manuelle ou assistée pour minimiser le CCI (Co-Channel Interference)

Ajustement des puissances Tx

Calibrage fin pour éviter les cellules surdimensionnées et les sticky clients

Désactivation des data rates legacy

Désactiver les basic rates legacy (1, 2, 5.5 Mbps) libère instantanément l'airtime et force les clients vers des taux supérieurs

Band steering & client balancing

Orientation des terminaux dual-band vers la 5 GHz, équilibrage de charge inter-AP

Avant / Après optimisation

Co-Channel Interference

78%
12%

Airtime utilisation

65%
28%

Roaming latency (ms)

450ms
30ms

Impacts mesurables de l'optimisation RF

Chevauchement (CCI)
Avant (Config par défaut) 4 à 6 AP/canal
Après (Plan statique 20MHz) 1 à 2 AP/canal

Réduction drastique des interférences co-canales (CCI) en bande 2.4GHz et 5GHz en adaptant la largeur (20MHz au lieu de 40/80MHz en haute densité).

Airtime & Retry Rate

Avant

42%

Tx Retry

Après

< 8%

Tx Retry

Élimination des overheads liés aux SSIDs multiples. Désactiver les basic rates legacy (1, 2, 5.5 Mbps) libère instantanément l'airtime.

Latence Roaming
Standard (WPA2-PSK) ~150ms
Optimisé (802.11r/k/v) < 30ms

Activation de Fast Transition (11r) et Neighbor Reports (11k) pour garantir une VoWi-Fi sans coupure lors des déplacements (AGV, chariots, VoIP).

06

Accompagnement & Conseil projet

Rédaction cahier des charges

Nous rédigeons le cahier des charges technique pour vos appels d'offres Wi-Fi : exigences de couverture, volumétrie terminaux, SLA, critères de conformité.

Aide au choix constructeur

Analyse comparative Cisco vs. Aruba vs. Meraki vs. Juniper Mist vs. Ruckus. Grille d'évaluation multicritère adaptée à votre contexte et budget.

Pilotage déploiement

Suivi technique du déploiement, coordination installateurs, recette technique site par site, DAT (Dossier d'Architecture Technique).

Démonstrateur RF

Visualisation CCI — Co-Channel Interference

Simulez l'interférence entre canaux Wi-Fi. Plus il y a d'AP sur le même canal, plus le CCI augmente et dégrade la qualité du signal.

3
Pas de CCI CCI modéré CCI sévère Les courbes gaussiennes représentent la largeur spectrale de chaque canal
Situations typiques

Quand faire appel à ORNET ?

Si l'un de ces scénarios vous parle, un audit découverte peut débloquer la situation.

Déconnexions récurrentes

Roaming cassé, sticky clients, handoff lent entre AP

Lenteur Wi-Fi inexpliquée

CCI, airtime saturation, canal DFS, interférences non-Wi-Fi

Nouveau bâtiment ou extension

Design prédictif avant construction, validation du cahier des charges

Migration Wi-Fi 6E / Wi-Fi 7

Évaluation ROI, plan de migration, coexistence 5/6 GHz

Contre-expertise intégrateur

Audit indépendant pour vérifier le travail d'un prestataire

Livrables concrets

Ce que vous recevez exactement

Pas de PDF générique. Chaque livrable est actionnable.

Rapport Ekahau complet

Couverture, SNR, CCI, roaming — cartographie RF complète du site

Plan de canaux optimisé

Pour chaque AP : canal, puissance, largeur, antenna tilt

Architecture cible (HLD)

Design réseau Wi-Fi + WLC + AP avec budget estimatif

Recommandations priorisées

Classées par impact et urgence — quick wins vs. long terme

Session de restitution

Présentation des résultats + Q&A avec votre équipe IT

Note de l'Expert

L'ingénierie moderne consiste à piloter l'avenir tout en gérant l'existant. Si nous déployons aujourd'hui des infrastructures Wi-Fi 6E et Wi-Fi 7 Ready, le parc client reste majoritairement dominé par le Wi-Fi 5 et 6. Notre force : faire cohabiter ces générations pour garantir une performance sans compromis.

Réserver un audit découverte
Expertise NAC & Sécurité

Contrôle d'accès réseau,
segmentation & Zero Trust

Cisco ISE, 802.1X, TrustSec, segmentation dynamique : nous verrouillons chaque port et chaque SSID sans pénaliser l'expérience utilisateur. Le réseau devient votre première ligne de défense.

Ce que ISE change concrètement pour vous

L'impact métier avant les détails techniques.

Avant

Accès réseau anonyme — n'importe quel device se connecte sans contrôle

Avec ISE

Chaque device identifié, authentifié et autorisé avant toute connexion

Avant

Zéro traçabilité — impossible de savoir qui était connecté quand

Avec ISE

Audit trail complet : qui, quoi, quand, où — conformité RGPD/NIS2

Avant

Segmentation manuelle par VLAN — fragile, lente, impossible à scaler

Avec ISE

Micro-segmentation SGT automatique — sans ACL, sans VLAN manuels

Avant

IoT invisible sur le réseau — caméras, imprimantes, capteurs non isolés

Avec ISE

Chaque IoT profilé, classifié et isolé dans son segment dédié

01

Architecture Cisco ISE

Cisco Identity Services Engine est le cœur du NAC. Nous dimensionnons, déployons et configurons ISE de A à Z : sizing des nœuds PSN/MnT/PAN, haute disponibilité, intégration Active Directory/LDAP, et politique d'authentification adaptée à vos contraintes.

Sizing & déploiement

Dimensionnement nœuds selon volumétrie endpoints, répartition PSN géographique, clustering HA

Policy Sets structurés

Hiérarchie AuthN/AuthZ claire, conditions par device type, user group, localisation, posture

Intégrations tierces

AD/LDAP, MDM (Intune, Workspace ONE), SIEM (Splunk, QRadar), Firewall (Firepower, Palo Alto)

Migration & upgrade

Migration depuis ACS/ISE legacy, upgrade de version avec plan de rollback, tests de non-régression

Architecture ISE distribuée

PAN Primary Admin Node ADMIN MnT Monitoring Node LOGS Active Directory LDAP / Kerberos PSN 1 — Paris Policy Service Node RADIUS PSN 2 — Lyon Policy Service Node RADIUS 🔌 Switch 802.1X Catalyst 9300 📡 WLC Cisco 9800 Series 🔒 VPN Gateway ASA / FTD RADIUS (Authentication) ──── │ Sync/Replication - - - - RADIUS Auth Replication

Ref: Cisco ISE Documentation

Méthodes d'authentification

EAP-TLS (certificat machine)

Le plus sécurisé. Authentification mutuelle par certificat x.509. Nécessite une PKI. Recommandé pour les postes corporate.

PEAP-MSCHAPv2

Authentification user/password dans un tunnel TLS. Plus simple à déployer, compatible Windows natif.

MAB (MAC Auth Bypass)

Fallback pour les équipements sans supplicant 802.1X : imprimantes, caméras, IoT. Couplé au profiling ISE.

EAP-FAST / TEAP

Alternative TLS avec chaînage d'authentification. Support natif pour le certificate provisioning.

02

Déploiement 802.1X & Segmentation

802.1X est le standard IEEE pour le contrôle d'accès port par port. Couplé à TrustSec (SGT), chaque terminal authentifié et profilé est assigné dynamiquement au segment réseau approprié — sans VLAN statique ni ACL manuelles.

Déploiement progressif

Mode Monitor → Low-Impact → Closed Mode. Zéro disruption pendant le rollout.

SGT / TrustSec

Micro-segmentation par tag de groupe de sécurité, politiques SGACL définies dans ISE, propagation inline ou SXP

Change of Authorization (CoA)

Réauthentification dynamique en cas de changement de posture ou d'incident sécurité détecté

03 — Flow d'authentification

Séquence 802.1X

Du EAPOL-Start jusqu'à l'attribution dynamique du VLAN et du SGT, voici le flow complet d'une authentification 802.1X réussie.

Supplicant Client 802.1X Authenticator Switch / WLC ISE (PSN) Auth Server AD LDAP EAPOL-Start EAP-Request Identity EAP-Response Identity RADIUS Access-Request LDAP Bind + Group Lookup User Groups + Attrs Policy Eval Access-Accept + dACL + SGT EAP-Success ✅ Port autorisé — VLAN dynamique + SGT assigné
04 — Policy Sets

Exemple de Policy Set ISE

Chaque terminal est évalué selon des conditions précises. Voici un exemple réaliste de règles d'authorization.

Condition Profil d'autorisation VLAN SGT Statut
AD:Group=Domain-Computers + EAP-TLS Corp-Full-Access VLAN 10 Corp_Users (3)
AD:Group=BYOD + PEAP-MSCHAPv2 BYOD-Limited VLAN 20 BYOD (7)
MAB + Profil=Printer IoT-Restricted VLAN 30 IoT (10)
Guest Portal + Self-Reg Guest-Internet-Only VLAN 99 Guest (5)
Posture=NonCompliant Quarantine VLAN 666 Quarantine (255)
05 — Segmentation TrustSec

Matrice SGT — Micro-segmentation

TrustSec assigne un Security Group Tag (SGT) à chaque terminal. La matrice SGACL définit qui peut communiquer avec qui — sans ACL ni VLAN manuelles.

Source ↓ / Dest → Corp (3) BYOD (7) IoT (10) Guest (5) Servers (2) DC (1)
Corp (3)
BYOD (7)
IoT (10)
Guest (5)
✓ Permit ◐ Partiel (ports limités) ✗ Deny

Portails invités (Guest)

Portails captifs personnalisés avec workflow d'approbation sponsor, auto-enregistrement, ou authentification SMS/email. Intégration Wi‑Fi et filaire.

  • Hotspot, Sponsor, Self-Registration
  • Personnalisation logo & charte graphique
  • Conformité RGPD & conditions d'utilisation

Onboarding BYOD

Provisioning automatique de certificats sur les terminaux personnels (iOS, Android, Windows, macOS) via le portail My Devices ISE ou MDM.

  • SCEP / EST certificate provisioning
  • NSP (Native Supplicant Provisioning)
  • Intégration MDM (Intune, Jamf)

Sécurisation IoT / Shadow IT

30 % des endpoints sur un réseau d'entreprise sont non-gérés. Nous identifions, profilons et isolons l'IoT sauvage sans bloquer le métier.

  • Profiling ISE (DHCP, HTTP, NMAP)
  • Politique dACL & SGT dédiées IoT
  • Visibilité via pxGrid + Stealthwatch
Situations typiques

Quand faire appel à ORNET ?

Si l'un de ces scénarios correspond à votre contexte, un accompagnement expert sécurisera votre projet.

Projet de segmentation réseau

Besoin d'isoler l'IoT, les guests et les métiers sans multiplier les VLANs

Refonte ou migration NAC

Remplacement de Cisco ACS, ClearPass ou Forescout vers Cisco ISE

Déploiement 802.1X

Sécurisation des ports filaires et Wi-Fi avec EAP-TLS / certificats

Micro-segmentation TrustSec

Déploiement et design de matrice SGT (Security Group Tags)

Audit de maturité réseau

Étude de faisabilité avant de lancer un projet NAC complexe (Zero Trust)

Livrables concrets

Ce que vous recevez exactement

Un socle documentaire rigoureux pour garantir le succès et la standardisation de votre projet NAC.

Document d'Architecture HLD/LLD

Architecture, sizing ISE, policy sets, profiling IoT, matrice TrustSec

Templates de configuration

Configurations switchs (Radius, 802.1X, MAB, TrustSec) prêtes à déployer

Cahier de recette (VAB/VSR)

Scénarios de tests documentés pour valider les accès de bout-en-bout

Stratégie de déploiement par phases

Monitor Mode → Low Impact Mode → Closed Mode (Zéro disruption)

Transfert de compétences

Formation des équipes RUN au management quotidien de la plateforme

Réserver un audit découverte
Blog technique

Veille & Retours terrain

Analyses techniques, guides de résolution et retours d'expérience issus de nos missions. Pas de contenu SEO creux — uniquement du concret.

1 Avatar Romaric Okemba Romaric Okemba · Wi-Fi 12 min · Fév. 2025

Wi-Fi 7 (802.11be) : faut-il migrer maintenant ?

Multi-Link Operation, 320 MHz, 4096-QAM : les promesses sont séduisantes. Mais entre la maturité du silicium client et les gains réels en entreprise, le ROI reste à démontrer. Analyse complète.

Qu'est-ce que Wi-Fi 7 ?

Wi-Fi 7 (IEEE 802.11be) est la prochaine évolution majeure du Wi-Fi. Il introduit le Multi-Link Operation (MLO) — la capacité d'agréger simultanément plusieurs bandes (2.4 + 5 + 6 GHz) —, des canaux de 320 MHz en 6 GHz, et la modulation 4096-QAM. Théoriquement, les débits dépassent les 46 Gbit/s (PHY rate).

✅ Avantages
  • MLO : résilience et agrégation multi-bande, réduction drastique de la latence
  • 320 MHz : débits 2x supérieurs au Wi-Fi 6E en bande 6 GHz
  • 4096-QAM : +20% d'efficacité spectrale à portée courte
  • Preamble puncturing : exploitation des canaux fragmentés sans attendre la libération du spectre complet
  • • Prépare l'infrastructure pour les 5-7 prochaines années
❌ Inconvénients
  • Maturité client : très peu de terminaux Wi-Fi 7 en entreprise (2025)
  • Coût : AP Wi-Fi 7 = 2x le prix d'un AP Wi-Fi 6E équivalent
  • MLO limité : la plupart des chipsets client ne supportent que 2 liens simultanés
  • 6 GHz : réglementation EIRP encore restrictive en Europe (LPI/VLP)
  • • ROI difficilement justifiable avant 2027 pour la plupart des entreprises

Notre recommandation

Sauf cas d'usage AR/VR, vidéo 8K ou latence critique, nous recommandons Wi-Fi 6E aujourd'hui. Si vous achetez de nouveaux AP en 2025, privilégiez des modèles Wi-Fi 7 pour « future-proofing », mais ne justifiez pas un refresh uniquement pour le 802.11be.

Sources :
• IEEE 802.11be Draft 5.0 — ieee802.org
• Wi-Fi Alliance Wi-Fi 7 Overview — wi-fi.org
• Cisco Wi-Fi 7 White Paper — cisco.com

Points clés à retenir :

  • En entreprise, l'exploitation des 320 MHz en 6 GHz nécessite une gestion fine de la fragmentation spectrale et des contraintes de puissance (LPI/VLP) en Europe.
  • MLO est la véritable révolution pour la latence et la fiabilité.
  • Wi-Fi 6E reste la recommandation standard en 2025 pour la majorité des cas d'usage.

Vous planifiez un refresh Wi-Fi ?

Évitons les surinvestissements inutiles. Parlons de votre architecture cible.

Audit découverte 30 min

Une question sur le Wi-Fi 7 ?

Posez votre question technique. Nous répondons sous 24-48h et publions anonymement les échanges les plus pertinents.

2 Avatar Romaric Okemba Romaric Okemba · NAC 15 min · Jan. 2025

Cisco ISE : les 5 erreurs fatales en production

Policy sets mal hiérarchisés, profiling désactivé, certificats expirés silencieusement. Cinq erreurs que nous corrigeons systématiquement et qui causent 80 % des incidents NAC.

1. Policy Sets en « catch-all » sans hiérarchie

Un seul policy set avec des dizaines de règles → ordre d'évaluation imprévisible. Solution : structurer en policy sets distincts par cas d'usage (Corporate, Guest, BYOD, IoT) avec conditions d'entrée claires.

2. Profiling désactivé ou non calibré

ISE profiling est activé par défaut mais ses sondes (DHCP, HTTP, NMAP) sont souvent limitées. Résultat : 40 % des endpoints classés « Unknown ». Solution : activer les sondes DHCP span + HTTP, calibrer les profils custom pour vos équipements.

3. Certificats expirés sans alerting

Le certificat EAP du PSN expire → tous les clients PEAP/EAP-TLS sont rejetés. Pas d'alerte native. Solution : monitoring externe (PRTG, Nagios) sur l'expiration des certificats ISE + renouvellement planifié.

4. Pas de mode Monitor avant Closed Mode

Passer directement en mode fermé = coupure réseau garantie pour les devices non conformes. Solution : déploiement progressif Monitor → Low-Impact → Closed avec période d'observation de 2-4 semaines par phase.

5. Pas de plan de rollback documenté

En cas de problème, revenir en arrière sans documentation = chaos. Solution : snapshots VM, export config, procédure de fallback testée AVANT le go-live.

Sources :
• Cisco ISE Admin Guide 3.3 — cisco.com
• « ISE Deployment Best Practices » — Cisco Live BRKSEC-3697
• Cisco ISE Profiling Design Guide — community.cisco.com

Points clés à retenir :

  • Le Profiling passif est indispensable avant toute Enforcement.
  • Surchargez l'Active Directory avec WMI détruira vos performances ISE.
  • Le design de vos Policy Sets dicte la maintenabilité à long terme de votre NAC.

Vous rencontrez des instabilités NAC ?

Échangeons sur votre configuration lors d'un audit de conformité rapide.

Audit découverte 30 min

Une question sur ISE ou vos logs ?

Posez votre question technique. Nous répondons sous 24-48h et publions anonymement les échanges les plus pertinents.

3 Avatar Romaric Okemba Romaric Okemba · Wi-Fi 10 min · Déc. 2024

Coupures RF en logistique : méthodologie de diagnostic

Scanners Zebra qui décrochent, latence MQTT au changement d'AP. Retour d'expérience sur un entrepôt 40 000 m² avec diagnostic roaming et validation drive-test.

Le contexte

Entrepôt logistique de 40 000 m², 120 AP Cisco, 350+ terminaux Zebra MC3300. Symptômes : déconnexions aléatoires des scanners, latence MQTT > 2 s, perte de sessions applicatives lors des déplacements inter-allées.

✅ Ce qui a fonctionné
  • • Drive-test Ekahau avec Sidekick sur parcours opérateurs
  • • Activation 802.11r/k/v sur le WLC Catalyst 9800
  • • Réduction des data rates minimum à 12 Mbps
  • • Ajustement Tx power pour réduire la taille des cellules
  • • Latence roaming passée de 800 ms à 25 ms
❌ Ce qui ne fonctionnait pas
  • • RRM automatique : canal switching intempestif en heure de pointe
  • • Band steering agressif : incompatible avec les Zebra 2.4 GHz only
  • • Cellules surdimensionnées : overlap > 50 % → sticky clients
  • • Data rates legacy (1/2/5.5 Mbps) : consommaient 60 % de l'airtime

Sources :
• Cisco Catalyst 9800 RF Best Practices — cisco.com
• Zebra WLAN Planning Guide — zebra.com
• Ekahau Best Practices for Warehouses — ekahau.com (consulté fév. 2026)

Points clés à retenir :

  • En logistique, les antennes directionnelles sont obligatoires dans les racks.
  • Le roaming est contrôlé par le client, pas l'AP. Optimisez vos cellules RF (Max -65 dBm).
  • Désactiver les basic rates legacy (1, 2, 5.5 Mbps) libère instantanément l'airtime.

Clients instables en entrepôt ?

Un audit sur site avec Ekahau identifie la cause racine en 48h.

Audit découverte 30 min

Un défi d'entrepôt logistique ?

Posez votre question technique (hauteur de rack, type d'antenne, etc.). Nous répondons sous 24-48h et publions anonymement les conseils clés.

4 Avatar Romaric Okemba Romaric Okemba · Wi-Fi 8 min · Nov. 2024

Airtime Overhead & VoIP d'entreprise

Quand le MOS chute sans congestion apparente, l'airtime overhead est le coupable invisible. Méthode de mesure PCAP over-the-air et stratégies de réduction.

Comprendre l'airtime

Le Wi-Fi est un medium partagé (half-duplex). Chaque frame transmise — management, control ou data — consomme de l'« airtime ». Quand l'utilisation dépasse 50-60 %, les retries augmentent, la latence explose, et les applications temps réel (VoIP, vidéo) se dégradent.

✅ Stratégies efficaces
  • • Désactiver les data rates < 12 Mbps (2.4 GHz) / < 24 Mbps (5 GHz)
  • • Réduire le beacon interval si possible (100 ms → 200 ms par SSID non critique)
  • • Limiter le nombre de SSID à 3-4 max par radio
  • • Activer DTPC et multicast-to-unicast conversion
  • • QoS WMM : marquer le trafic voix en AC_VO
❌ Fausses solutions
  • • Augmenter la puissance Tx (= plus d'interférences, pas moins de congestion)
  • • Ajouter des AP sans plan RF (= plus de CCI)
  • • Activer tous les SSID sur tous les AP
  • • Ignorer les clients legacy qui consomment l'airtime

Sources :
• CWNA Study Guide, Chapter 14 : WLAN Troubleshooting — CWNP
• « Understanding Airtime Fairness » — Revolution Wi-Fi — revolutionwifi.net
• Cisco Wireless Best Practices — cisco.com

Points clés à retenir :

  • Le Wi-Fi est un média partagé (Half-Duplex), l'airtime est votre ressource la plus précieuse.
  • Un seul SSID en trop = des dizaines de beacons générés par seconde par AP.
  • La présence de Co-Channel Interference (CCI) détruit mathématiquement vos performances.

Réseau lent sans explication ?

Visualisons votre spectre et vos congestions RF.

Audit découverte 30 min

Une question sur l'Airtime Overhead ?

Besoin d'aide pour calculer l'overhead de vos SSIDs ? Nous vous répondons sous 24-48h.

5 Avatar Romaric Okemba Romaric Okemba · NAC 10 min · Oct. 2024

Shadow IT & IoT : sécuriser sans bloquer

Caméras IP, capteurs Zigbee, écrans connectés : l'IoT sauvage représente 30 % des endpoints. Comment identifier, profiler et isoler sans impact opérationnel.

L'enjeu

Selon Forescout, 30 % des endpoints connectés à un réseau d'entreprise sont non-gérés et inconnus de l'IT. Ces devices (imprimantes, caméras, capteurs, smart TVs) ne supportent ni 802.1X ni agent de sécurité. Ils représentent un vecteur d'attaque latéral majeur.

✅ Approche recommandée
  • Phase 1 : Inventaire et profiling exhaustif via ISE (DHCP fingerprint, HTTP User-Agent, OUI MAC)
  • Phase 2 : Classification par criticité (critique, standard, shadow)
  • Phase 3 : Segmentation par SGT/dACL — VLAN IoT dédié avec ACL restrictives
  • Phase 4 : Monitoring continu via pxGrid → Stealthwatch/XDR
❌ Erreurs à éviter
  • • Ignorer l'IoT (« ce sont juste des imprimantes »)
  • • Bloquer tous les endpoints inconnus d'un coup (= arrêt de production)
  • • Se fier uniquement à l'adresse MAC (spoofable)
  • • Ne pas monitorer après segmentation

Sources :
• Forescout « Enterprise of Things Security Report » 2024 — forescout.com
• Cisco ISE Profiling Design Guide — community.cisco.com
• NIST SP 800-183 — Networks of Things — nist.gov

Points clés à retenir :

  • Le MAB (MAC Authentication Bypass) n'est pas sécurisé, les adresses MAC se spoofent.
  • Le Profiling dynamique via DHCP/mDNS/HTTP est la seule voie viable pour l'IoT.
  • L'isolation TrustSec (SGT) est bien plus souple à gérer que d'infinies Access-Lists (ACL).

Besoin de sécuriser votre parc IoT ?

Discutons de la mise en place d'un profiling ISE sur votre réseau.

Audit découverte 30 min

Une question de sécurité Shadow IT ?

Posez votre question. Nous vous aidons à clarifier une alerte MAB/Profiler ou un comportement curieux de MAB/Radius sous 24h.

Newsletter

Restez à la pointe de l'infrastructure

Recevez nos dernières analyses techniques, retours terrain et astuces Wi-Fi / NAC directement dans votre boîte mail.

Nous ne spammons jamais. Désinscription possible à tout moment.

Résultats terrain

Études de cas

Des résultats concrets, mesurables, sur des environnements critiques. Noms et détails anonymisés par obligation de confidentialité.

Logistique

Migration Wi-Fi — Entrepôt 40 000 m²

Optimisation du roaming sur parc hybride. 800 scanners Wi-Fi 5 en déconnexion sur infrastructure Wi-Fi 6. Ajustement des profils RF et activation 802.11r FT.

6 semaines Contexte : scanners Wi-Fi 5 vs infra Wi-Fi 6
Uptime parc hétérogène 82% → 99.9%
Roaming (802.11r FT) 850ms → ≤ 30ms
Timeout scanners 0
Technologies : Ekahau Cisco 9130 9800 WLC
Luxe

Wi-Fi 6E — Siège & Showroom VIP

Déploiement Wi-Fi 6E. Isolation totale des flux VIP lors des événements. Utilisation de la bande 6 GHz comme voie express dédiée.

2 mois Contexte : isolation VIP, zéro interférence exigée
Latence flux VIP (6 GHz) < 5 ms
Interférences zone showroom 0
Coexistence Wi-Fi 5/6/6E 100% transparent
Technologies : Wi-Fi 6E Ekahau C9136
Industrie & Sécurité

NAC Zero Trust — 4 500+ endpoints

Sécurisation de 4 500 endpoints (IoT legacy et automates). Architecture Cisco ISE avec segmentation dynamique TrustSec.

4 mois Contexte : conformité NIS2, 0% visibilité endpoints
Endpoints identifiés et profilés 0% → 100%
Réduction incidents sécurité -87%
Segmentation dynamique TrustSec SGT
Technologies : ISE 3.x TrustSec 802.1X

Note de l'Expert

L'ingénierie moderne consiste à piloter l'avenir tout en gérant l'existant. Si nous déployons aujourd'hui des infrastructures Wi-Fi 6E et Wi-Fi 7 Ready, le parc client reste majoritairement dominé par le Wi-Fi 5 et 6. Notre force : faire cohabiter ces générations pour garantir une performance sans compromis.

Réserver un Audit Découverte
Contact

Discutons de votre projet

Audit Wi-Fi, déploiement NAC, troubleshooting urgence — décrivez votre besoin et nous vous répondons sous 24h.

Durée audit

3–5 jours

On-site ou à distance selon complexité

Budget indicatif

3 000 – 12 000 €

Selon surface et nombre de sites

Réponse

Sous 24h

Échange découverte gratuit de 30 min

Livrables

Rapport complet

Heatmaps, inventaire AP, plan d'action

Romaric Okemba

Romaric Okemba

Fondateur ORNET

Ingénieur Réseau & Consultant

Voir le profil LinkedIn
Avatar Romaric Okemba

Besoin d'un conseil rapide ?

30 min — gratuit

Coordonnées

ORNET

120 Boulevard Vincent Auriol
75013 Paris, France

contact@or-net.com
or-net.com

Informations légales

SIREN : 837 708 981

Forme : SARL

Activité : Conseil en systèmes et logiciels informatiques

Création : 19/02/2018

Engineering Lab

Outils terrain

8 calculateurs et générateurs réseau — RF, FSPL, Subnet, dACL, PoE, DHCP Opt.43, MAC, Reason Codes — directement dans le navigateur.

Pôle Wi-Fi / RF

Calculateur RF — dBm / mW / EIRP

EIRP

-- dBm

EIRP

-- mW

FSPL — Perte en espace libre

Perte FSPL

-- dB

Reason & Status Codes 802.11

Fréquents :

Pôle Réseau / NAC

Générateur dACL — Cisco ISE

PoE Budget Calculator

Consommation

-- W

Restant

-- W

Utilisation

-- %

Calculateur IPv4 / CIDR

Réseau

--

Broadcast

--

1ère IP

--

Dernière IP

--

Masque

--

Wildcard

--

Hôtes

--

Classe

--

DHCP Option 43 — Cisco WLC

Hex Value

Commande IOS

MAC Address Formatter

Cisco IOS

Linux

Windows