Vous souvenez-vous de la première fois où vous avez installé le WI-Fi dans votre TPE-PME ? Et où avez-vous consigné, le mot de passe ? Probablement griffonné sur un Post-it à l'accueil, et personne ne sait combien d'appareils s'y connectent en ce moment. À l'exception des hackers.
Dans la 2e édition de son baromètre national de la maturité cyber des TPE-PME, Cybermalveillance.gouv indique que 16 % des entreprises interrogées déclarent un incident dans les douze derniers mois. 58 % pensent disposer d'un bon niveau de protection. Comme nous vous le disions précédemment, près de 6 TPE-PME sur 10 reconnaissent pourtant ne pas savoir évaluer les conséquences d'une cyberattaque. En parallèle, le dispositif national a assisté plus de 500 000 victimes en 2025, avec une hausse de 73 % des demandes provenant d'entreprises, principalement des TPE-PME.
Et parce que vous n'avez plus aucun souvenir d'où se trouve votre installation Wi-Fi, encore mois de qui le supervise, vous pensez que « ça marche, donc c'est sécurisé ». Vous avez tort, et cela fait les bonnes affaires des attaquants. Car vos mauvaises habitudes et celles de vos collaborateurs ont fait de votre Wi-Fi le sésame des attaquants pour accéder à l'ensemble de vos données.
Offre partenaire
Votre petite entreprise a de grandes ambitions. Protégez-là contre les pirates. Et développez sereinement votre activité !
Offre partenaire
Vos anciens salariés ont encore le mot de passe Wi-Fi de votre entreprise
Tout le monde au sein de votre TPE, connaît ou peut avoir accès à la clé Wi-Fi, écrite quelque part sur un Post-it, un e-mail ou un coin de paperboard. Peut-être même n'a-t-elle jamais été changée depuis l'installation de votre box
Pourtant, toutes celles et ceux qui ont, de près ou de loin collaboré avec vos services peuvent encore se connecter à votre Wi-Fi, et même depuis le parking. La CNIL a révisé en 2022 sa recommandation sur les mots de passe et estime que le renouvellement périodique forcé n'est plus pertinent pour les comptes utilisateur classiques. Mais pas dans le cas d'une clé Wi-Fi partagée entre dix ou trente personnes, avec à chaque rotation d'effectif un nouveau détenteur potentiel hors de toute traçabilité, faute notamment d'un véritable gestionnaire de mots de passe d'équipe.
C'est ce que préconise l'Agence du Numérique en Santé. Elle conseille une « passphrase » d'au moins 20 caractères, changée dès l'installation puis régulièrement. Le guide cible le secteur santé mais ses règles techniques sont valables pour toute organisation, y compris votre TPE ou PME. Une clé courte, par exemple un mot du dictionnaire suivi d'une année, casse en quelques minutes sur un GPU grand public. Par ailleurs, la portée de votre Wi-Fi va régulièrement jusque dans la rue ou jusqu'au café d'en bas, donc un attaquant motivé n'a même pas besoin de franchir votre porte. Free a d'ailleurs expliqué les trois modes WPA3 disponibles sur ses Freebox, avec un mode strict pour les parcs d'appareils récents et un mode compatibilité pour les équipements plus anciens.
Vous devez renouveler la clé Wi-Fi à chaque départ d'un salarié sensible ou d'un prestataire qui en avait l'usage. Ensuite, basculez votre borne en WPA3-Personal quand votre matériel le permet, ou WPA2-AES à défaut, mais jamais WEP ni WPA-TKIP. Le WPA3, certifié par la Wi-Fi Alliance dès 2018, n'est plus vulnérable aux attaques par dictionnaire grâce au protocole SAE. Le portail gouvernemental info.gouv.fr rappelle aussi cette consigne dans ses conseils pratiques aux usagers. Vous devez aussi changer le mot de passe administrateur de votre box, encore réglé sur « admin/0000 » par défaut dans beaucoup de locaux d'entreprise.
Aucune séparation entre vos postes internes et le Wi-Fi des visiteurs
Votre PME est sans doute connectée à un seul et même réseau Wi-Fi pour vos postes de travail, vos imprimantes, vos caméras de surveillance, les smartphones personnels de vos salariés et le client venu présenter son devis.
Sans segmentation, un appareil compromis sert ensuite de point de départ à l'attaquant pour atteindre tous les autres. Une des règles de base est de ne pas connecter d'équipements personnels au réseau de l'entité, de cloisonner strictement votre réseau interne du Wi-Fi des visiteurs. Une box opérateur grand public ne gère pas de VLAN sérieux, seulement un réseau invité parfois logiquement lié au reste de l'infrastructure, alors qu'un vrai routeur Wi-Fi professionnel gère plusieurs SSID isolés et la séparation par VLAN.
Vous vous dites probablement que votre installation n'est pas dans ce dernier cas. C'est sûrement la raison pour laquelle Cybermalveillance.gouv.fr a enregistré autant de demandes d'assistance en 2025.
Dans un autre registre, le shadow Wi-Fi est un ennemi siencieux dont vous ne soupçonnez même pas l'existence, ni vos DSI, et encore moins vos salariés, qui l'activent malgré eux, lorsque la qualité du Wi-Fi de l'entreprise est mauvaise. Il va aller brancher son propre routeur, sans mot de passe, pour avoir un meilleur signal. Ce point d'accès non déclaré court-circuite votre pare-feu. Un attaquant à proximité de vos locaux peut également cloner le SSID légitime de votre entreprise avec un signal plus puissant. C'est l'attaque « evil twin », 'le fameux jumeau maléfique numérique) qui appartient à la famille des techniques homme-du-milieu (man-in-the-middle) sur Wi-Fi, très banale dans les espaces de coworking ou les hôtels où vos commerciaux se connectent en déplacement, ce qui rend un VPN d'entreprise pour le télétravail indispensable dès qu'un salarié sort du bureau.
Une box jamais mise à jour avec le WPS encore activé
Depuis l'installation de votre box ou votre borne Wi-Fi, vous êtes-vous assuré de sa mise à jour de firmware ? Si vous cherchez dans vos souvenir, c'est mauvais signe. La page d'accueil du CERT-FR publie pourtant chaque semaine des alertes sur des failles affectant les équipements réseau, y compris les routeurs grand public. Une box laissée en l'état conserve donc des vulnérabilités pour lesquelles un correctif existe, mais n'a jamais été appliqué.
Pourtant, vous n'avez pas besoin de révolutionner votre système pour protéger votre Wi-Fi. En une demi-journée et cinq étapes, c'est plié.
La première consiste à modifier le mot de passe administrateur de votre box. La deuxième vous demande d'activer WPA3 ou WPA2-AES à défaut. La troisième désactive le WPS depuis l'interface de votre box. La quatrième vous fait créer un SSID invité totalement isolé du réseau interne, avec un mot de passe distinct et renouvelé. La dernière consiste à mettre à jour le firmware de votre box ou de vos bornes professionnelles, puis à planifier une revue trimestrielle des appareils connectés.
Vous pouvez également avoir comme bible le Référentiel Cyber France (ReCyF) qui liste les mesures recommandées pour atteindre les objectifs de sécurité fixés par NIS 2. Sur chaque poste, faites installer un antivirus professionnel à jour, puisqu'un Wi-Fi sécurisé ne protège pas d'un fichier malveillant ouvert dans une pièce jointe.
