Ingénierie Réseau · Paris, Île-de-France — France & International

Des réseaux qui
performent.
Une infrastructure qui résiste.

ORNET conçoit, audite et sécurise vos infrastructures Wi‑Fi et NAC depuis Paris. De l'étude de couverture Ekahau au déploiement Cisco ISE, nous éliminons les causes racines de vos incidents réseau — pas les symptômes.

Réserver un audit découverte Expertise Wi-Fi Expertise NAC

Sites audités

Uptime réseau

Ans d'expertise

Retail Industrie Santé Tertiaire Logistique Éducation Hôtellerie

Pourquoi ORNET ?

Chaque mission est traitée comme une investigation technique. Nous cherchons la cause racine, pas le palliatif.

Expertise terrain

12+ ans de missions sur des environnements critiques : entrepôts, hôpitaux, sièges sociaux, usines.

Outillage professionnel

Ekahau AI Pro, analyseurs spectraux, sondes PCAP, licences Cisco DNA/ISE. L'outillage qui fait la différence.

Indépendance

Aucun partenariat constructeur exclusif. Nous recommandons la solution la plus adaptée, pas la plus commissionnée.

Livrables actionnables

Rapports structurés avec recommandations priorisées, pas de PDF générique. Chaque livrable a un plan d'action.

Expertise Wi-Fi

Conception, audit & optimisation
de vos réseaux sans fil

Du survey prédictif Ekahau au troubleshooting spectral, nous couvrons l'intégralité du cycle de vie Wi-Fi. Chaque intervention s'appuie sur des données radio mesurées, pas des suppositions.

Étude de couverture Ekahau

Nous utilisons Ekahau AI Pro pour modéliser la propagation radio dans vos locaux avant le déploiement. Le survey prédictif intègre les matériaux de construction (béton, verre, placo, rack métallique) et simule la couverture avec le modèle d'AP choisi. Le survey sur site (AP-on-a-stick) valide ensuite le modèle théorique en conditions réelles.

Survey prédictif

Modélisation pré-déploiement avec atténuation par matériau, simulation multi-floor, heat maps RSSI/SNR/débit

Survey actif sur site

Mesure AP-on-a-stick avec Sidekick 2, validation du roaming inter-AP, test de couverture périmétrique

Survey passif

Capture passive du spectre 2.4/5/6 GHz, détection d'interférences co-canal et radar DFS, mesure de bruit plancher

Rapport de conformité

Livrable structuré : heatmaps, tableaux AP, plan de câblage, recommandations priorisées avec estimation budgétaire

Métriques clés mesurées

-67

dBm · Seuil RSSI min.

25+

dB · SNR cible

≤ 30

ms · Latence roaming

-85

dBm · Bruit plancher max

Seuils adaptés selon l'usage : VoWi-Fi, vidéosurveillance, terminaux RF logistiques, IoT. Référence : Ekahau Best Practices.

Technologies maîtrisées

Cisco Catalyst 9800WLC

Cisco Catalyst 9100 SeriesAP Wi-Fi 6/6E

Cisco CW 9176/9178Wi-Fi 7

Cisco DNA Center / Catalyst CenterManagement

Meraki MR / Juniper MistCloud-Managed

Design & Architecture Wi-Fi

Le design ne se limite pas à « poser des AP au plafond ». Nous élaborons une architecture Wi‑Fi complète : choix du modèle de déploiement (Centralisé, FlexConnect, SDA Wireless), plan de fréquences, profils WLAN, policies par SSID et gestion du multicast.

HLD (High-Level Design)

Architecture logique, topologie réseau, VLANs, redondance WLC, intégration DNA Center

LLD (Low-Level Design)

Configuration AP par AP, plan de canaux, puissances Tx, profiles RF, data rates minimum

Plan de câblage & infrastructure

Liaisons montantes, PoE budget (802.3bt), cheminement câble, étiquetage baies

Wi-Fi 6E / Wi-Fi 7

Design multi-bande 2.4/5/6 GHz, exploitation de la bande 6 GHz pour les terminaux compatibles, MLO (Wi-Fi 7)

Troubleshooting & Analyse spectrale

Quand le « ça marche pas » ne suffit pas comme diagnostic. Nous corrélons captures radio (PCAP over-the-air), logs contrôleur, métriques SNMP et analyse spectrale pour identifier la cause racine exacte.

Captures PCAP over-the-air

Analyse frame-by-frame des échanges 802.11 (auth, assoc, 4-way handshake, DHCP, DNS)

Analyse spectrale

Détection d'interférences non-Wi-Fi : micro-ondes, caméras analogiques, Bluetooth, radar DFS, IoT à étalement de spectre

Diagnostic roaming

Analyse des transitions 802.11r (FT) / k (Radio Resource) / v (BSS Transition), sticky clients, latence handoff

Corrélation multi-source

Croisement logs WLC + Ekahau + Wireshark + syslog pour un diagnostic complet et documenté

Problèmes courants résolus

Sticky clients / roaming lent

Terminaux qui restent accrochés à un AP lointain au lieu de basculer. Cause fréquente : seuils RSSI client mal calibrés, 802.11r/k/v non activés.

Déconnexions RF intermittentes

Micro-coupures invisibles dans les logs mais fatales pour le VoWi-Fi ou les scanners logistiques. Diagnostic par airtime et retry rate.

Débit insuffisant sous charge

Airtime congestion, CCI (Co-Channel Interference), clients legacy en data rate bas qui parasitent la cellule.

Interférences non-Wi-Fi

Brouillage par équipements industriels, caméras sans fil, capteurs Zigbee/LoRa. Identifié uniquement par analyse spectrale.

Contenu du rapport d'audit

Heatmaps de couverture RSSI, SNR, débit par bande
Tableau inventaire AP (modèle, canal, Tx power, clients, utilisation)
Analyse spectre interférences canal par canal
Matrice de conformité vs. exigences métier
Plan d'action priorisé (Quick Wins → projets structurels)
Estimation budgétaire par recommandation

Audit de validation post-déploiement

Vous venez de déployer ou faire déployer un réseau Wi-Fi ? L'audit de validation vérifie que la réalité terrain correspond au design initial. Nous mesurons la couverture réelle, le roaming, le temps de connexion et les performances applicatives.

Walk-test complet

Mesure terrain étage par étage avec Ekahau Sidekick, génération automatique des heatmaps

Test de roaming

Validation du handoff entre AP sur les parcours critiques (couloirs, escaliers, open-spaces)

Benchmark applicatif

Tests VoWi-Fi (MOS score), téléchargement, latence DNS, temps DHCP, streaming vidéo

Optimisation RF & Performance

Un réseau Wi-Fi se dégrade dans le temps : nouveaux murs, nouveaux terminaux, densification des usages. L'optimisation RF remet les compteurs à zéro en ajustant canaux, puissances, data rates et paramètres RRM.

Plan de canaux optimisé

Réattribution manuelle ou assistée pour minimiser le CCI (Co-Channel Interference)

Ajustement des puissances Tx

Calibrage fin pour éviter les cellules surdimensionnées et les sticky clients

Désactivation des data rates legacy

Suppression des 1/2/5.5/11 Mbps pour libérer de l'airtime et forcer les clients vers des taux supérieurs

Band steering & client balancing

Orientation des terminaux dual-band vers la 5 GHz, équilibrage de charge inter-AP

Avant / Après optimisation

Co-Channel Interference

78%

12%

Airtime utilisation

65%

28%

Roaming latency (ms)

450ms

30ms

Accompagnement & Conseil projet

Rédaction cahier des charges

Nous rédigeons le cahier des charges technique pour vos appels d'offres Wi-Fi : exigences de couverture, volumétrie terminaux, SLA, critères de conformité.

Aide au choix constructeur

Analyse comparative Cisco vs. Aruba vs. Meraki vs. Juniper Mist vs. Ruckus. Grille d'évaluation multicritère adaptée à votre contexte et budget.

Pilotage déploiement

Suivi technique du déploiement, coordination installateurs, recette technique site par site, DAT (Dossier d'Architecture Technique).

Discuter de votre projet Wi-Fi

Expertise NAC & Sécurité

Contrôle d'accès réseau,
segmentation & Zero Trust

Cisco ISE, 802.1X, TrustSec, segmentation dynamique : nous verrouillons chaque port et chaque SSID sans pénaliser l'expérience utilisateur. Le réseau devient votre première ligne de défense.

Architecture Cisco ISE

Cisco Identity Services Engine est le cœur du NAC. Nous dimensionnons, déployons et configurons ISE de A à Z : sizing des nœuds PSN/MnT/PAN, haute disponibilité, intégration Active Directory/LDAP, et politique d'authentification adaptée à vos contraintes.

Sizing & déploiement

Dimensionnement nœuds selon volumétrie endpoints, répartition PSN géographique, clustering HA

Policy Sets structurés

Hiérarchie AuthN/AuthZ claire, conditions par device type, user group, localisation, posture

Intégrations tierces

AD/LDAP, MDM (Intune, Workspace ONE), SIEM (Splunk, QRadar), Firewall (Firepower, Palo Alto)

Migration & upgrade

Migration depuis ACS/ISE legacy, upgrade de version avec plan de rollback, tests de non-régression

Composants ISE

PAN (Policy Admin Node)Admin

MnT (Monitoring Node)Logs

PSN (Policy Service Node)RADIUS

pxGridContexte

Ref: Cisco ISE Documentation

Méthodes d'authentification

EAP-TLS (certificat machine)

Le plus sécurisé. Authentification mutuelle par certificat x.509. Nécessite une PKI. Recommandé pour les postes corporate.

PEAP-MSCHAPv2

Authentification user/password dans un tunnel TLS. Plus simple à déployer, compatible Windows natif.

MAB (MAC Auth Bypass)

Fallback pour les équipements sans supplicant 802.1X : imprimantes, caméras, IoT. Couplé au profiling ISE.

EAP-FAST / TEAP

Alternative TLS avec chaînage d'authentification. Support natif pour le certificate provisioning.

Déploiement 802.1X & Segmentation

802.1X est le standard IEEE pour le contrôle d'accès port par port. Couplé à TrustSec (SGT), chaque terminal authentifié et profilé est assigné dynamiquement au segment réseau approprié — sans VLAN statique ni ACL manuelles.

Déploiement progressif

Mode Monitor → Low-Impact → Closed Mode. Zéro disruption pendant le rollout.

SGT / TrustSec

Micro-segmentation par tag de groupe de sécurité, politiques SGACL définies dans ISE, propagation inline ou SXP

Change of Authorization (CoA)

Réauthentification dynamique en cas de changement de posture ou d'incident sécurité détecté

Portails invités (Guest)

Portails captifs personnalisés avec workflow d'approbation sponsor, auto-enregistrement, ou authentification SMS/email. Intégration Wi‑Fi et filaire.

Hotspot, Sponsor, Self-Registration
Personnalisation logo & charte graphique
Conformité RGPD & conditions d'utilisation

Onboarding BYOD

Provisioning automatique de certificats sur les terminaux personnels (iOS, Android, Windows, macOS) via le portail My Devices ISE ou MDM.

SCEP / EST certificate provisioning
NSP (Native Supplicant Provisioning)
Intégration MDM (Intune, Jamf)

Sécurisation IoT / Shadow IT

30 % des endpoints sur un réseau d'entreprise sont non-gérés. Nous identifions, profilons et isolons l'IoT sauvage sans bloquer le métier.

Profiling ISE (DHCP, HTTP, NMAP)
Politique dACL & SGT dédiées IoT
Visibilité via pxGrid + Stealthwatch

Sécuriser votre réseau

Blog technique

Veille & Retours terrain

Analyses techniques, guides de résolution et retours d'expérience issus de nos missions. Pas de contenu SEO creux — uniquement du concret.

Wi-Fi 12 min · Fév. 2025

Wi-Fi 7 (802.11be) : faut-il migrer maintenant ?

Multi-Link Operation, 320 MHz, 4096-QAM : les promesses sont séduisantes. Mais entre la maturité du silicium client et les gains réels en entreprise, le ROI reste à démontrer. Analyse complète.

Qu'est-ce que Wi-Fi 7 ?

Wi-Fi 7 (IEEE 802.11be) est la prochaine évolution majeure du Wi-Fi. Il introduit le Multi-Link Operation (MLO) — la capacité d'agréger simultanément plusieurs bandes (2.4 + 5 + 6 GHz) —, des canaux de 320 MHz en 6 GHz, et la modulation 4096-QAM. Théoriquement, les débits dépassent les 46 Gbit/s (PHY rate).

✅ Avantages

• MLO : résilience et agrégation multi-bande, réduction drastique de la latence
• 320 MHz : débits 2x supérieurs au Wi-Fi 6E en bande 6 GHz
• 4096-QAM : +20% d'efficacité spectrale à portée courte
• Preamble puncturing : utilisation des canaux partiellement occupés par radar DFS
• Prépare l'infrastructure pour les 5-7 prochaines années

❌ Inconvénients

• Maturité client : très peu de terminaux Wi-Fi 7 en entreprise (2025)
• Coût : AP Wi-Fi 7 = 2x le prix d'un AP Wi-Fi 6E équivalent
• MLO limité : la plupart des chipsets client ne supportent que 2 liens simultanés
• 6 GHz : réglementation EIRP encore restrictive en Europe (LPI/VLP)
• ROI difficilement justifiable avant 2027 pour la plupart des entreprises

Notre recommandation

Sauf cas d'usage AR/VR, vidéo 8K ou latence critique, nous recommandons Wi-Fi 6E aujourd'hui. Si vous achetez de nouveaux AP en 2025, privilégiez des modèles Wi-Fi 7 pour « future-proofing », mais ne justifiez pas un refresh uniquement pour le 802.11be.

Sources :
• IEEE 802.11be Draft 5.0 — ieee802.org
• Wi-Fi Alliance Wi-Fi 7 Overview — wi-fi.org
• Cisco Wi-Fi 7 White Paper — cisco.com

NAC 15 min · Jan. 2025

Cisco ISE : les 5 erreurs fatales en production

Policy sets mal hiérarchisés, profiling désactivé, certificats expirés silencieusement. Cinq erreurs que nous corrigeons systématiquement et qui causent 80 % des incidents NAC.

1. Policy Sets en « catch-all » sans hiérarchie

Un seul policy set avec des dizaines de règles → ordre d'évaluation imprévisible. Solution : structurer en policy sets distincts par cas d'usage (Corporate, Guest, BYOD, IoT) avec conditions d'entrée claires.

2. Profiling désactivé ou non calibré

ISE profiling est activé par défaut mais ses sondes (DHCP, HTTP, NMAP) sont souvent limitées. Résultat : 40 % des endpoints classés « Unknown ». Solution : activer les sondes DHCP span + HTTP, calibrer les profils custom pour vos équipements.

3. Certificats expirés sans alerting

Le certificat EAP du PSN expire → tous les clients PEAP/EAP-TLS sont rejetés. Pas d'alerte native. Solution : monitoring externe (PRTG, Nagios) sur l'expiration des certificats ISE + renouvellement planifié.

4. Pas de mode Monitor avant Closed Mode

Passer directement en mode fermé = coupure réseau garantie pour les devices non conformes. Solution : déploiement progressif Monitor → Low-Impact → Closed avec période d'observation de 2-4 semaines par phase.

5. Pas de plan de rollback documenté

En cas de problème, revenir en arrière sans documentation = chaos. Solution : snapshots VM, export config, procédure de fallback testée AVANT le go-live.

Sources :
• Cisco ISE Admin Guide 3.3 — cisco.com
• « ISE Deployment Best Practices » — Cisco Live BRKSEC-3697
• Cisco ISE Profiling Design Guide — community.cisco.com

Wi-Fi 10 min · Déc. 2024

Coupures RF en logistique : méthodologie de diagnostic

Scanners Zebra qui décrochent, latence MQTT au changement d'AP. Retour d'expérience sur un entrepôt 40 000 m² avec diagnostic roaming et validation drive-test.

Le contexte

Entrepôt logistique de 40 000 m², 120 AP Cisco, 350+ terminaux Zebra MC3300. Symptômes : déconnexions aléatoires des scanners, latence MQTT > 2 s, perte de sessions applicatives lors des déplacements inter-allées.

✅ Ce qui a fonctionné

• Drive-test Ekahau avec Sidekick sur parcours opérateurs
• Activation 802.11r/k/v sur le WLC Catalyst 9800
• Réduction des data rates minimum à 12 Mbps
• Ajustement Tx power pour réduire la taille des cellules
• Latence roaming passée de 800 ms à 25 ms

❌ Ce qui ne fonctionnait pas

• RRM automatique : canal switching intempestif en heure de pointe
• Band steering agressif : incompatible avec les Zebra 2.4 GHz only
• Cellules surdimensionnées : overlap > 50 % → sticky clients
• Data rates legacy (1/2/5.5 Mbps) : consommaient 60 % de l'airtime

Sources :
• Cisco Catalyst 9800 RF Best Practices — cisco.com
• Zebra WLAN Planning Guide — zebra.com
• Ekahau Best Practices for Warehouses — ekahau.com

Wi-Fi 8 min · Nov. 2024

Airtime Overhead & VoIP d'entreprise

Quand le MOS chute sans congestion apparente, l'airtime overhead est le coupable invisible. Méthode de mesure PCAP over-the-air et stratégies de réduction.

Comprendre l'airtime

Le Wi-Fi est un medium partagé (half-duplex). Chaque frame transmise — management, control ou data — consomme de l'« airtime ». Quand l'utilisation dépasse 50-60 %, les retries augmentent, la latence explose, et les applications temps réel (VoIP, vidéo) se dégradent.

✅ Stratégies efficaces

• Désactiver les data rates < 12 Mbps (2.4 GHz) / < 24 Mbps (5 GHz)
• Réduire le beacon interval si possible (100 ms → 200 ms par SSID non critique)
• Limiter le nombre de SSID à 3-4 max par radio
• Activer DTPC et multicast-to-unicast conversion
• QoS WMM : marquer le trafic voix en AC_VO

❌ Fausses solutions

• Augmenter la puissance Tx (= plus d'interférences, pas moins de congestion)
• Ajouter des AP sans plan RF (= plus de CCI)
• Activer tous les SSID sur tous les AP
• Ignorer les clients legacy qui consomment l'airtime

Sources :
• CWNA Study Guide, Chapter 14 : WLAN Troubleshooting — CWNP
• « Understanding Airtime Fairness » — Revolution Wi-Fi — revolutionwifi.net
• Cisco Wireless Best Practices — cisco.com

NAC 10 min · Oct. 2024

Shadow IT & IoT : sécuriser sans bloquer

Caméras IP, capteurs Zigbee, écrans connectés : l'IoT sauvage représente 30 % des endpoints. Comment identifier, profiler et isoler sans impact opérationnel.

L'enjeu

Selon Forescout, 30 % des endpoints connectés à un réseau d'entreprise sont non-gérés et inconnus de l'IT. Ces devices (imprimantes, caméras, capteurs, smart TVs) ne supportent ni 802.1X ni agent de sécurité. Ils représentent un vecteur d'attaque latéral majeur.

✅ Approche recommandée

• Phase 1 : Inventaire et profiling exhaustif via ISE (DHCP fingerprint, HTTP User-Agent, OUI MAC)
• Phase 2 : Classification par criticité (critique, standard, shadow)
• Phase 3 : Segmentation par SGT/dACL — VLAN IoT dédié avec ACL restrictives
• Phase 4 : Monitoring continu via pxGrid → Stealthwatch/XDR

❌ Erreurs à éviter

• Ignorer l'IoT (« ce sont juste des imprimantes »)
• Bloquer tous les endpoints inconnus d'un coup (= arrêt de production)
• Se fier uniquement à l'adresse MAC (spoofable)
• Ne pas monitorer après segmentation

Sources :
• Forescout « Enterprise of Things Security Report » 2024 — forescout.com
• Cisco ISE Profiling Design Guide — community.cisco.com
• NIST SP 800-183 — Networks of Things — nist.gov

Contact

Discutons de votre projet

Audit Wi-Fi, déploiement NAC, troubleshooting urgence — décrivez votre besoin et nous vous répondons sous 24h.

Nom

Société

Téléphone

Sujet

Message

Fondateur ORNET

ORNET

Ingénierie Réseau & Cybersécurité

Voir le profil LinkedIn

Coordonnées