Aller au contenu principal
Cabinet indépendant · Expertise Wi-Fi & NAC · Paris

Wi-Fi instable ? NAC complexe ?
On règle ça.

Audit Ekahau · Cisco ISE · Plan d'action priorisé Résultats mesurables en production.

Là où les intégrateurs s'arrêtent, nous intervenons. Diagnostic factuel, remédiation ciblée, transfert de compétences. ~45 sites audités en 12 ans.

Réserver un audit découverte Nos études de cas
0

Sites audités

0%+

Incidents résolus sous 4 semaines

0+

Ans d'expertise

Ils nous font confiance

La Poste Orange Carrefour Hermès L'Oréal EDF CCI KFC Agorize Omnegy
Romaric Okemba — Fondateur ORNET
12+ ans d'expertise
À propos

Romaric Okemba

Ingénieur Réseau & Consultant Indépendant

Je suis Romaric Okemba, ingénieur réseau à Paris depuis 12+ ans. J'aide les DSI et responsables infra à éliminer les causes racines des incidents réseau — pas les symptômes. ~45 sites audités. Spécialisé Cisco, Ekahau, ISE.

12+ ans d'expérience en environnements critiques

Consultant indépendant depuis 2018

Certifié CWNE, CCIE Wireless, Ekahau ECSE, Aruba ACMP

~45 sites audités (France & International)

Voir mon profil LinkedIn

Pourquoi ORNET ?

Chaque mission est traitée comme une investigation technique. Nous cherchons la cause racine, pas le palliatif.

Expertise terrain

12+ ans de missions sur des environnements critiques : entrepôts, hôpitaux, sièges sociaux, usines.

Outillage professionnel

Ekahau AI Pro, analyseurs spectraux, sondes PCAP, licences Cisco DNA/ISE. L'outillage qui fait la différence.

Indépendance

Aucun partenariat constructeur exclusif. Nous recommandons la solution la plus adaptée, pas la plus commissionnée.

Livrables actionnables

Rapports structurés avec recommandations priorisées, pas de PDF générique. Chaque livrable a un plan d'action.

Résultats terrain

Nos Résultats

Des résultats concrets, mesurables, sur des environnements critiques. Noms et détails anonymisés par obligation de confidentialité.

Logistique

Entrepôt — 40 000 m²

Challenge

Optimisation du roaming sur parc hybride. 800 scanners Wi-Fi 5 en déconnexion sur infrastructure Wi-Fi 6.

Solution ORNET

Ajustement des profils RF et activation 802.11r FT.

Impact

✓ Roaming mesuré < 30ms (FT activé) ✓ Timeouts quasi éliminés

Luxe

Siège & Showroom VIP — Wi-Fi 6E

Challenge

Déploiement Wi-Fi 6E. Isolation totale des flux VIP lors des événements. Utilisation de la bande 6 GHz comme voie express dédiée.

Solution ORNET

Bande 6 GHz réservée aux terminaux de direction, coexistence transparente avec le parc Wi-Fi 5/6.

Impact

✓ Interférences co-canal réduites sous seuil critique ✓ Latence < 5 ms en zone VIP

Industrie & Sécurité

NAC Zero Trust — 4 500 endpoints

Challenge

Sécurisation de 4 500 endpoints (IoT legacy et automates). Architecture Cisco ISE avec segmentation dynamique TrustSec.

Solution ORNET

Profiling contextuel de chaque terminal, policies par device type, segmentation dynamique TrustSec.

Impact

✓ +95% endpoints identifiés et profilés ✓ -87% incidents sécurité
Retours clients

Ce que nos clients disent

Retours anonymisés de DSI, RSSI et responsables infrastructure.

★★★★★

« Romaric a identifié la cause racine de nos déconnexions Wi-Fi en 2 jours. Aucun intégrateur n'avait vu ça. ROI immédiat. »

Responsable IT

Secteur Tertiaire — Île-de-France

★★★★★

« Architecture ISE ultra professionnelle. Documentation excellente. Support réactif. Nous le recommandons vivement. »

RSSI

Secteur Logistique — France

★★★★★

« Audit spectral révélateur : interférences radar DFS identifiées en quelques heures. Plan d'action très concret et applicable immédiatement. »

Responsable Infrastructure

Secteur Retail — multi-sites

Questions fréquentes

Combien coûte un audit Wi-Fi ?
Un audit Ekahau (prédictif + survey passif) dure 3 à 5 jours. Ordre de grandeur : PME 1 000 m² = 3 000–5 000 € · Grand site 50 000 m² = 8 000–12 000 €. Chaque devis est personnalisé selon la surface et la complexité.
Quelle différence avec l'audit d'un intégrateur ?
Un intégrateur vérifie que ses AP fonctionnent. Nous cherchons la cause racine : analyse spectrale, corrélation PCAP, diagnostic roaming, mesure d'airtime. Notre audit est indépendant et orienté performance, pas vente de matériel.
Combien de temps dure une mission ?
Audit seul : 3–5 jours. Audit + Architecture + Pilotage déploiement : 4–8 semaines. Nous nous adaptons à votre planning et vos contraintes.
Quelles sont vos certifications ?
CWNE (Certified Wireless Network Expert), CCIE Wireless, Ekahau ECSE, Aruba ACMP. Outillage : Ekahau AI Pro, analyseurs spectraux, licences Cisco ISE/DNA Center.

Un problème Wi-Fi ou NAC non résolu ?

Réservez un appel de 30 minutes. Nous analysons votre contexte et vous indiquons si nous pouvons vous aider — sans engagement.

Réserver un audit découverte

Voir un exemple de rapport d'audit (template)

Expertise Wi-Fi

Conception, audit & optimisation
de vos réseaux sans fil

Du survey prédictif Ekahau au troubleshooting spectral, nous couvrons l'intégralité du cycle de vie Wi-Fi. Chaque intervention s'appuie sur des données radio mesurées, pas des suppositions.

01

Étude de couverture Ekahau

Nous utilisons Ekahau AI Pro pour modéliser la propagation radio dans vos locaux avant le déploiement. Le survey prédictif intègre les matériaux de construction (béton, verre, placo, rack métallique) et simule la couverture avec le modèle d'AP choisi. Le survey sur site (AP-on-a-stick) valide ensuite le modèle théorique en conditions réelles.

Survey prédictif

Modélisation pré-déploiement avec atténuation par matériau, simulation multi-floor, heat maps RSSI/SNR/débit

Survey actif sur site

Mesure AP-on-a-stick avec Sidekick 2, validation du roaming inter-AP, test de couverture périmétrique

Survey passif

Capture passive du spectre 2.4/5/6 GHz, détection d'interférences co-canal et radar DFS, mesure de bruit plancher

Rapport de conformité

Livrable structuré : heatmaps, tableaux AP, plan de câblage, recommandations priorisées avec estimation budgétaire

Métriques clés mesurées

-67

dBm · Seuil RSSI min.

25+

dB · SNR cible

≤ 30

ms · Latence roaming

-85

dBm · Bruit plancher max

Seuils adaptés selon l'usage : VoWi-Fi, vidéosurveillance, terminaux RF logistiques, IoT. Référence : Ekahau Best Practices (documentation officielle).

Technologies maîtrisées

Cisco Catalyst 9800WLC
Cisco Catalyst 9100 SeriesAP Wi-Fi 6/6E
Cisco CW 9176/9178Wi-Fi 7
Cisco DNA Center / Catalyst CenterManagement
Meraki MR / Juniper MistCloud-Managed
02

Design & Architecture Wi-Fi

Le design ne se limite pas à « poser des AP au plafond ». Nous élaborons une architecture Wi‑Fi complète : choix du modèle de déploiement (Centralisé, FlexConnect, SDA Wireless), plan de fréquences, profils WLAN, policies par SSID et gestion du multicast.

HLD (High-Level Design)

Architecture logique, topologie réseau, VLANs, redondance WLC, intégration DNA Center

LLD (Low-Level Design)

Configuration AP par AP, plan de canaux, puissances Tx, profiles RF, data rates minimum

Plan de câblage & infrastructure

Liaisons montantes, PoE budget (802.3bt), cheminement câble, étiquetage baies

Wi-Fi 6E / Wi-Fi 7

Design multi-bande 2.4/5/6 GHz, exploitation de la bande 6 GHz pour les terminaux compatibles, MLO (Wi-Fi 7)

03

Troubleshooting & Analyse spectrale

Quand le « ça marche pas » ne suffit pas comme diagnostic. Nous corrélons captures radio (PCAP over-the-air), logs contrôleur, métriques SNMP et analyse spectrale pour identifier la cause racine exacte.

Captures PCAP over-the-air

Analyse frame-by-frame des échanges 802.11 (auth, assoc, 4-way handshake, DHCP, DNS)

Analyse spectrale

Détection d'interférences non-Wi-Fi : micro-ondes, caméras analogiques, Bluetooth, radar DFS, IoT à étalement de spectre

Diagnostic roaming

Analyse des transitions 802.11r (FT) / k (Radio Resource) / v (BSS Transition), sticky clients, latence handoff

Corrélation multi-source

Croisement logs WLC + Ekahau + Wireshark + syslog pour un diagnostic complet et documenté

Problèmes courants résolus

Sticky clients / roaming lent

Terminaux qui restent accrochés à un AP lointain au lieu de basculer. Cause fréquente : seuils RSSI client mal calibrés, 802.11r/k/v non activés.

Déconnexions RF intermittentes

Micro-coupures invisibles dans les logs mais fatales pour le VoWi-Fi ou les scanners logistiques. Diagnostic par airtime et retry rate.

Débit insuffisant sous charge

Airtime congestion, CCI (Co-Channel Interference), clients legacy en data rate bas qui parasitent la cellule.

Interférences non-Wi-Fi

Brouillage par équipements industriels, caméras sans fil, capteurs Zigbee/LoRa. Identifié uniquement par analyse spectrale.

Besoin d'un audit Wi-Fi ?

Identifiez les causes racines de vos problèmes de couverture, roaming et performance.

Réserver un audit découverte

Contenu du rapport d'audit

  • Heatmaps de couverture RSSI, SNR, débit par bande
  • Tableau inventaire AP (modèle, canal, Tx power, clients, utilisation)
  • Analyse spectre interférences canal par canal
  • Matrice de conformité vs. exigences métier
  • Plan d'action priorisé (Quick Wins → projets structurels)
  • Estimation budgétaire par recommandation
04

Audit de validation post-déploiement

Vous venez de déployer ou faire déployer un réseau Wi-Fi ? L'audit de validation vérifie que la réalité terrain correspond au design initial. Nous mesurons la couverture réelle, le roaming, le temps de connexion et les performances applicatives.

Walk-test complet

Mesure terrain étage par étage avec Ekahau Sidekick, génération automatique des heatmaps

Test de roaming

Validation du handoff entre AP sur les parcours critiques (couloirs, escaliers, open-spaces)

Benchmark applicatif

Tests VoWi-Fi (MOS score), téléchargement, latence DNS, temps DHCP, streaming vidéo

05

Optimisation RF & Performance

Un réseau Wi-Fi se dégrade dans le temps : nouveaux murs, nouveaux terminaux, densification des usages. L'optimisation RF remet les compteurs à zéro en ajustant canaux, puissances, data rates et paramètres RRM.

Plan de canaux optimisé

Réattribution manuelle ou assistée pour minimiser le CCI (Co-Channel Interference)

Ajustement des puissances Tx

Calibrage fin pour éviter les cellules surdimensionnées et les sticky clients

Désactivation des data rates legacy

Désactiver les basic rates legacy (1, 2, 5.5 Mbps) réduit significativement l'airtime consommé et force les clients vers des taux supérieurs

Band steering & client balancing

Orientation des terminaux dual-band vers la 5 GHz, équilibrage de charge inter-AP

Avant / Après optimisation

Co-Channel Interference

78%
12%

Airtime utilisation

65%
28%

Roaming latency (ms)

450ms
30ms

Impacts mesurables de l'optimisation RF

Chevauchement (CCI)
Avant (Config par défaut) 4 à 6 AP/canal
Après (Plan statique 20MHz) 1 à 2 AP/canal

Réduction drastique des interférences co-canales (CCI) en bande 2.4GHz et 5GHz en adaptant la largeur (20MHz au lieu de 40/80MHz en haute densité).

Airtime & Retry Rate

Avant

42%

Tx Retry

Après

< 8%

Tx Retry

Élimination des overheads liés aux SSIDs multiples. Désactiver les basic rates legacy (1, 2, 5.5 Mbps) réduit significativement l'airtime consommé.

Latence Roaming
Standard (WPA2-PSK) ~150ms
Optimisé (802.11r/k/v) < 30ms

Activation de Fast Transition (11r) et Neighbor Reports (11k) pour garantir une VoWi-Fi sans coupure lors des déplacements (AGV, chariots, VoIP).

06

Accompagnement & Conseil projet

Rédaction cahier des charges

Nous rédigeons le cahier des charges technique pour vos appels d'offres Wi-Fi : exigences de couverture, volumétrie terminaux, SLA, critères de conformité.

Aide au choix constructeur

Analyse comparative Cisco vs. Aruba vs. Meraki vs. Juniper Mist vs. Ruckus. Grille d'évaluation multicritère adaptée à votre contexte et budget.

Pilotage déploiement

Suivi technique du déploiement, coordination installateurs, recette technique site par site, DAT (Dossier d'Architecture Technique).

Démonstrateur RF

Visualisation CCI — Co-Channel Interference

Simulez l'interférence entre canaux Wi-Fi. Plus il y a d'AP sur le même canal, plus le CCI augmente et dégrade la qualité du signal.

3
Pas de CCI CCI modéré CCI sévère Les courbes gaussiennes représentent la largeur spectrale de chaque canal
Situations typiques

Quand faire appel à ORNET ?

Si l'un de ces scénarios vous parle, un audit découverte peut débloquer la situation.

Déconnexions récurrentes

Roaming cassé, sticky clients, handoff lent entre AP

Lenteur Wi-Fi inexpliquée

CCI, airtime saturation, canal DFS, interférences non-Wi-Fi

Nouveau bâtiment ou extension

Design prédictif avant construction, validation du cahier des charges

Migration Wi-Fi 6E / Wi-Fi 7

Évaluation ROI, plan de migration, coexistence 5/6 GHz

Contre-expertise intégrateur

Audit indépendant pour vérifier le travail d'un prestataire

Livrables concrets

Ce que vous recevez exactement

Pas de PDF générique. Chaque livrable est actionnable.

Rapport Ekahau complet

Couverture, SNR, CCI, roaming — cartographie RF complète du site

Plan de canaux optimisé

Pour chaque AP : canal, puissance, largeur, antenna tilt

Architecture cible (HLD)

Design réseau Wi-Fi + WLC + AP avec budget estimatif

Recommandations priorisées

Classées par impact et urgence — quick wins vs. long terme

Session de restitution

Présentation des résultats + Q&A avec votre équipe IT

Note de l'Expert

L'ingénierie moderne consiste à piloter l'avenir tout en gérant l'existant. Si nous déployons aujourd'hui des infrastructures Wi-Fi 6E et Wi-Fi 7 Ready, le parc client reste majoritairement dominé par le Wi-Fi 5 et 6. Notre force : faire cohabiter ces générations pour garantir une performance sans compromis.

Réserver un audit découverte
Expertise NAC & Sécurité

Contrôle d'accès réseau,
segmentation & Zero Trust

Cisco ISE, 802.1X, TrustSec, segmentation dynamique : nous verrouillons chaque port et chaque SSID sans pénaliser l'expérience utilisateur. Le réseau devient votre première ligne de défense.

Ce que ISE change concrètement pour vous

L'impact métier avant les détails techniques.

Avant

Accès réseau anonyme — n'importe quel device se connecte sans contrôle

Avec ISE

Chaque device identifié, authentifié et autorisé avant toute connexion

Avant

Zéro traçabilité — impossible de savoir qui était connecté quand

Avec ISE

Audit trail complet : qui, quoi, quand, où — conformité RGPD/NIS2

Avant

Segmentation manuelle par VLAN — fragile, lente, impossible à scaler

Avec ISE

Micro-segmentation SGT automatique — sans ACL, sans VLAN manuels

Avant

IoT invisible sur le réseau — caméras, imprimantes, capteurs non isolés

Avec ISE

Chaque IoT profilé, classifié et isolé dans son segment dédié

01

Architecture Cisco ISE

Cisco Identity Services Engine est le cœur du NAC. Nous dimensionnons, déployons et configurons ISE de A à Z : sizing des nœuds PSN/MnT/PAN, haute disponibilité, intégration Active Directory/LDAP, et politique d'authentification adaptée à vos contraintes.

Sizing & déploiement

Dimensionnement nœuds selon volumétrie endpoints, répartition PSN géographique, clustering HA

Policy Sets structurés

Hiérarchie AuthN/AuthZ claire, conditions par device type, user group, localisation, posture

Intégrations tierces

AD/LDAP, MDM (Intune, Workspace ONE), SIEM (Splunk, QRadar), Firewall (Firepower, Palo Alto)

Migration & upgrade

Migration depuis ACS/ISE legacy, upgrade de version avec plan de rollback, tests de non-régression

Architecture ISE distribuée

PAN Primary Admin Node ADMIN MnT Monitoring Node LOGS Active Directory LDAP / Kerberos PSN 1 — Paris Policy Service Node RADIUS PSN 2 — Lyon Policy Service Node RADIUS 🔌 Switch 802.1X Catalyst 9300 📡 WLC Cisco 9800 Series 🔒 VPN Gateway ASA / FTD RADIUS (Authentication) ──── │ Sync/Replication - - - - RADIUS Auth Replication

Ref: Cisco ISE Documentation

Méthodes d'authentification

EAP-TLS (certificat machine)

Le plus sécurisé. Authentification mutuelle par certificat x.509. Nécessite une PKI. Recommandé pour les postes corporate.

PEAP-MSCHAPv2

Authentification user/password dans un tunnel TLS. Plus simple à déployer, compatible Windows natif.

MAB (MAC Auth Bypass)

Fallback pour les équipements sans supplicant 802.1X : imprimantes, caméras, IoT. Couplé au profiling ISE.

EAP-FAST / TEAP

Alternative TLS avec chaînage d'authentification. Support natif pour le certificate provisioning.

02

Déploiement 802.1X & Segmentation

802.1X est le standard IEEE pour le contrôle d'accès port par port. Couplé à TrustSec (SGT), chaque terminal authentifié et profilé est assigné dynamiquement au segment réseau approprié — sans VLAN statique ni ACL manuelles.

Déploiement progressif

Mode Monitor → Low-Impact → Closed Mode. Impact maîtrisé pendant le rollout.

SGT / TrustSec

Micro-segmentation par tag de groupe de sécurité, politiques SGACL définies dans ISE, propagation inline ou SXP

Change of Authorization (CoA)

Réauthentification dynamique en cas de changement de posture ou d'incident sécurité détecté

03 — Flow d'authentification

Séquence 802.1X

Du EAPOL-Start jusqu'à l'attribution dynamique du VLAN et du SGT, voici le flow complet d'une authentification 802.1X réussie.

Supplicant Client 802.1X Authenticator Switch / WLC ISE (PSN) Auth Server AD LDAP EAPOL-Start EAP-Request Identity EAP-Response Identity RADIUS Access-Request LDAP Bind + Group Lookup User Groups + Attrs Policy Eval Access-Accept + dACL + SGT EAP-Success ✅ Port autorisé — VLAN dynamique + SGT assigné
04 — Policy Sets

Exemple de Policy Set ISE

Chaque terminal est évalué selon des conditions précises. Voici un exemple réaliste de règles d'authorization.

Condition Profil d'autorisation VLAN SGT Statut
AD:Group=Domain-Computers + EAP-TLS Corp-Full-Access VLAN 10 Corp_Users (3)
AD:Group=BYOD + PEAP-MSCHAPv2 BYOD-Limited VLAN 20 BYOD (7)
MAB + Profil=Printer IoT-Restricted VLAN 30 IoT (10)
Guest Portal + Self-Reg Guest-Internet-Only VLAN 99 Guest (5)
Posture=NonCompliant Quarantine VLAN 666 Quarantine (255)
05 — Segmentation TrustSec

Matrice SGT — Micro-segmentation

TrustSec assigne un Security Group Tag (SGT) à chaque terminal. La matrice SGACL définit qui peut communiquer avec qui — sans ACL ni VLAN manuelles.

Source ↓ / Dest → Corp (3) BYOD (7) IoT (10) Guest (5) Servers (2) DC (1)
Corp (3)
BYOD (7)
IoT (10)
Guest (5)
✓ Permit ◐ Partiel (ports limités) ✗ Deny

Portails invités (Guest)

Portails captifs personnalisés avec workflow d'approbation sponsor, auto-enregistrement, ou authentification SMS/email. Intégration Wi‑Fi et filaire.

  • Hotspot, Sponsor, Self-Registration
  • Personnalisation logo & charte graphique
  • Conformité RGPD & conditions d'utilisation

Onboarding BYOD

Provisioning automatique de certificats sur les terminaux personnels (iOS, Android, Windows, macOS) via le portail My Devices ISE ou MDM.

  • SCEP / EST certificate provisioning
  • NSP (Native Supplicant Provisioning)
  • Intégration MDM (Intune, Jamf)

Sécurisation IoT / Shadow IT

30 % des endpoints sur un réseau d'entreprise sont non-gérés. Nous identifions, profilons et isolons l'IoT sauvage sans bloquer le métier.

  • Profiling ISE (DHCP, HTTP, NMAP)
  • Politique dACL & SGT dédiées IoT
  • Visibilité via pxGrid + Stealthwatch
Situations typiques

Quand faire appel à ORNET ?

Si l'un de ces scénarios correspond à votre contexte, un accompagnement expert sécurisera votre projet.

Projet de segmentation réseau

Besoin d'isoler l'IoT, les guests et les métiers sans multiplier les VLANs

Refonte ou migration NAC

Remplacement de Cisco ACS, ClearPass ou Forescout vers Cisco ISE

Déploiement 802.1X

Sécurisation des ports filaires et Wi-Fi avec EAP-TLS / certificats

Micro-segmentation TrustSec

Déploiement et design de matrice SGT (Security Group Tags)

Audit de maturité réseau

Étude de faisabilité avant de lancer un projet NAC complexe (Zero Trust)

Livrables concrets

Ce que vous recevez exactement

Un socle documentaire rigoureux pour garantir le succès et la standardisation de votre projet NAC.

Document d'Architecture HLD/LLD

Architecture, sizing ISE, policy sets, profiling IoT, matrice TrustSec

Templates de configuration

Configurations switchs (Radius, 802.1X, MAB, TrustSec) prêtes à déployer

Cahier de recette (VAB/VSR)

Scénarios de tests documentés pour valider les accès de bout-en-bout

Stratégie de déploiement par phases

Monitor Mode → Low Impact Mode → Closed Mode (impact maîtrisé)

Transfert de compétences

Formation des équipes RUN au management quotidien de la plateforme

Réserver un audit découverte
Blog technique

Veille & Retours terrain

Analyses techniques, guides de résolution et retours d'expérience issus de nos missions. Pas de contenu SEO creux — uniquement du concret.

1 Avatar Romaric Okemba Romaric Okemba · Wi-Fi 12 min · Fév. 2025

Wi-Fi 7 (802.11be) : faut-il migrer maintenant ?

Multi-Link Operation, 320 MHz, 4096-QAM : les promesses sont séduisantes. Mais entre la maturité du silicium client et les gains réels en entreprise, le ROI reste à démontrer. Analyse complète.

Qu'est-ce que Wi-Fi 7 ?

Wi-Fi 7 (IEEE 802.11be) est la prochaine évolution majeure du Wi-Fi. Il introduit le Multi-Link Operation (MLO) — la capacité d'agréger simultanément plusieurs bandes (2.4 + 5 + 6 GHz) —, des canaux de 320 MHz en 6 GHz, et la modulation 4096-QAM. Théoriquement, les débits dépassent les 46 Gbit/s (PHY rate).

✅ Avantages
  • MLO : résilience et agrégation multi-bande, réduction drastique de la latence
  • 320 MHz : débits 2x supérieurs au Wi-Fi 6E en bande 6 GHz (très peu de terminaux compatibles à ce jour)
  • 4096-QAM : +20% d'efficacité spectrale à portée courte
  • Preamble puncturing : exploitation des canaux fragmentés sans attendre la libération du spectre complet
  • • Prépare l'infrastructure pour les 5-7 prochaines années
❌ Inconvénients
  • Maturité client : quasi aucun terminal entreprise ne supporte le 320 MHz à ce jour — le parc reste massivement Wi-Fi 5/6
  • Coût : AP Wi-Fi 7 = 2x le prix d'un AP Wi-Fi 6E équivalent
  • MLO limité : la plupart des chipsets client ne supportent que 2 liens simultanés
  • 6 GHz : réglementation EIRP encore restrictive en Europe (LPI/VLP)
  • • ROI difficilement justifiable avant 2027 pour la plupart des entreprises

Notre recommandation

Sauf cas d'usage AR/VR, vidéo 8K ou latence critique, nous recommandons Wi-Fi 6E aujourd'hui. Si vous achetez de nouveaux AP en 2025, privilégiez des modèles Wi-Fi 7 pour « future-proofing », mais ne justifiez pas un refresh uniquement pour le 802.11be. Tant que le parc client ne suit pas, les gains resteront théoriques.

Sources :
• IEEE 802.11be Draft 5.0 — ieee802.org
• Wi-Fi Alliance Wi-Fi 7 Overview — wi-fi.org
• Cisco Wi-Fi 7 White Paper — cisco.com

Points clés à retenir :

  • En entreprise, l'exploitation des 320 MHz en 6 GHz nécessite une gestion fine de la fragmentation spectrale et des contraintes de puissance (LPI/VLP) en Europe. À ce jour, quasiment aucun terminal professionnel ne supporte cette largeur de canal.
  • MLO est la véritable révolution pour la latence et la fiabilité.
  • Wi-Fi 6E reste la recommandation standard en 2025 pour la majorité des cas d'usage.

Vous planifiez un refresh Wi-Fi ?

Évitons les surinvestissements inutiles. Parlons de votre architecture cible.

Audit découverte 30 min

Une question sur le Wi-Fi 7 ?

Posez votre question technique. Nous répondons sous 24-48h et publions anonymement les échanges les plus pertinents.

2 Avatar Romaric Okemba Romaric Okemba · NAC 15 min · Jan. 2025

Cisco ISE : les 5 erreurs fatales en production

Policy sets mal hiérarchisés, profiling désactivé, certificats expirés silencieusement. Cinq erreurs que nous corrigeons systématiquement et qui causent 80 % des incidents NAC.

1. Policy Sets en « catch-all » sans hiérarchie

Un seul policy set avec des dizaines de règles → ordre d'évaluation imprévisible. Solution : structurer en policy sets distincts par cas d'usage (Corporate, Guest, BYOD, IoT) avec conditions d'entrée claires.

2. Profiling désactivé ou non calibré

ISE profiling est activé par défaut mais ses sondes (DHCP, HTTP, NMAP) sont souvent limitées. Résultat : 40 % des endpoints classés « Unknown ». Solution : activer les sondes DHCP span + HTTP, calibrer les profils custom pour vos équipements.

3. Certificats expirés sans alerting

Le certificat EAP du PSN expire → tous les clients PEAP/EAP-TLS sont rejetés. Pas d'alerte native. Solution : monitoring externe (PRTG, Nagios) sur l'expiration des certificats ISE + renouvellement planifié.

4. Pas de mode Monitor avant Closed Mode

Passer directement en mode fermé = coupure réseau garantie pour les devices non conformes. Solution : déploiement progressif Monitor → Low-Impact → Closed avec période d'observation de 2-4 semaines par phase.

5. Pas de plan de rollback documenté

En cas de problème, revenir en arrière sans documentation = chaos. Solution : snapshots VM, export config, procédure de fallback testée AVANT le go-live.

Sources :
• Cisco ISE Admin Guide 3.3 — cisco.com
• « ISE Deployment Best Practices » — Cisco Live BRKSEC-3697
• Cisco ISE Profiling Design Guide — community.cisco.com

Points clés à retenir :

  • Le Profiling passif est indispensable avant toute Enforcement.
  • Surchargez l'Active Directory avec WMI détruira vos performances ISE.
  • Le design de vos Policy Sets dicte la maintenabilité à long terme de votre NAC.

Vous rencontrez des instabilités NAC ?

Échangeons sur votre configuration lors d'un audit de conformité rapide.

Audit découverte 30 min

Une question sur ISE ou vos logs ?

Posez votre question technique. Nous répondons sous 24-48h et publions anonymement les échanges les plus pertinents.

3 Avatar Romaric Okemba Romaric Okemba · Wi-Fi 10 min · Déc. 2024

Coupures RF en logistique : méthodologie de diagnostic

Scanners Zebra qui décrochent, latence MQTT au changement d'AP. Retour d'expérience sur un entrepôt 40 000 m² avec diagnostic roaming et validation drive-test.

Le contexte

Entrepôt logistique de 40 000 m², 120 AP Cisco, 350+ terminaux Zebra MC3300. Symptômes : déconnexions aléatoires des scanners, latence MQTT > 2 s, perte de sessions applicatives lors des déplacements inter-allées.

✅ Ce qui a fonctionné
  • • Drive-test Ekahau avec Sidekick sur parcours opérateurs
  • • Activation 802.11r/k/v sur le WLC Catalyst 9800
  • • Réduction des data rates minimum à 12 Mbps
  • • Ajustement Tx power pour réduire la taille des cellules
  • • Latence roaming passée de 800 ms à 25 ms
❌ Ce qui ne fonctionnait pas
  • • RRM automatique : canal switching intempestif en heure de pointe
  • • Band steering agressif : incompatible avec les Zebra 2.4 GHz only
  • • Cellules surdimensionnées : overlap > 50 % → sticky clients
  • • Data rates legacy (1/2/5.5 Mbps) : consommaient 60 % de l'airtime

Sources :
• Cisco Catalyst 9800 RF Best Practices — cisco.com
• Zebra WLAN Planning Guide — zebra.com
• Ekahau Best Practices for Warehouses — ekahau.com (consulté fév. 2026)

Points clés à retenir :

  • En logistique, les antennes directionnelles sont obligatoires dans les racks.
  • Le roaming est contrôlé par le client, pas l'AP. Optimisez vos cellules RF (Max -65 dBm).
  • Désactiver les basic rates legacy (1, 2, 5.5 Mbps) réduit significativement l'airtime consommé.

Clients instables en entrepôt ?

Un audit sur site avec Ekahau identifie la cause racine en 48h.

Audit découverte 30 min

Un défi d'entrepôt logistique ?

Posez votre question technique (hauteur de rack, type d'antenne, etc.). Nous répondons sous 24-48h et publions anonymement les conseils clés.

4 Avatar Romaric Okemba Romaric Okemba · Wi-Fi 8 min · Nov. 2024

Airtime Overhead & VoIP d'entreprise

Quand le MOS chute sans congestion apparente, l'airtime overhead est le coupable invisible. Méthode de mesure PCAP over-the-air et stratégies de réduction.

Comprendre l'airtime

Le Wi-Fi est un medium partagé (half-duplex). Chaque frame transmise — management, control ou data — consomme de l'« airtime ». Quand l'utilisation dépasse 50-60 %, les retries augmentent, la latence explose, et les applications temps réel (VoIP, vidéo) se dégradent.

✅ Stratégies efficaces
  • • Désactiver les data rates < 12 Mbps (2.4 GHz) / < 24 Mbps (5 GHz)
  • • Réduire le beacon interval si possible (100 ms → 200 ms par SSID non critique)
  • • Limiter le nombre de SSID à 3-4 max par radio
  • • Activer DTPC et multicast-to-unicast conversion
  • • QoS WMM : marquer le trafic voix en AC_VO
❌ Fausses solutions
  • • Augmenter la puissance Tx (= plus d'interférences, pas moins de congestion)
  • • Ajouter des AP sans plan RF (= plus de CCI)
  • • Activer tous les SSID sur tous les AP
  • • Ignorer les clients legacy qui consomment l'airtime

Sources :
• CWNA Study Guide, Chapter 14 : WLAN Troubleshooting — CWNP
• « Understanding Airtime Fairness » — Revolution Wi-Fi — revolutionwifi.net
• Cisco Wireless Best Practices — cisco.com

Points clés à retenir :

  • Le Wi-Fi est un média partagé (Half-Duplex), l'airtime est votre ressource la plus précieuse.
  • Un seul SSID en trop = des dizaines de beacons générés par seconde par AP.
  • La présence de Co-Channel Interference (CCI) détruit mathématiquement vos performances.

Réseau lent sans explication ?

Visualisons votre spectre et vos congestions RF.

Audit découverte 30 min

Une question sur l'Airtime Overhead ?

Besoin d'aide pour calculer l'overhead de vos SSIDs ? Nous vous répondons sous 24-48h.

5 Avatar Romaric Okemba Romaric Okemba · NAC 10 min · Oct. 2024

Shadow IT & IoT : sécuriser sans bloquer

Caméras IP, capteurs Zigbee, écrans connectés : l'IoT sauvage représente 30 % des endpoints. Comment identifier, profiler et isoler sans impact opérationnel.

L'enjeu

Selon Forescout, 30 % des endpoints connectés à un réseau d'entreprise sont non-gérés et inconnus de l'IT. Ces devices (imprimantes, caméras, capteurs, smart TVs) ne supportent ni 802.1X ni agent de sécurité. Ils représentent un vecteur d'attaque latéral majeur.

✅ Approche recommandée
  • Phase 1 : Inventaire et profiling exhaustif via ISE (DHCP fingerprint, HTTP User-Agent, OUI MAC)
  • Phase 2 : Classification par criticité (critique, standard, shadow)
  • Phase 3 : Segmentation par SGT/dACL — VLAN IoT dédié avec ACL restrictives
  • Phase 4 : Monitoring continu via pxGrid → Stealthwatch/XDR
❌ Erreurs à éviter
  • • Ignorer l'IoT (« ce sont juste des imprimantes »)
  • • Bloquer tous les endpoints inconnus d'un coup (= arrêt de production)
  • • Se fier uniquement à l'adresse MAC (spoofable)
  • • Ne pas monitorer après segmentation

Sources :
• Forescout « Enterprise of Things Security Report » 2024 — forescout.com
• Cisco ISE Profiling Design Guide — community.cisco.com
• NIST SP 800-183 — Networks of Things — nist.gov

Points clés à retenir :

  • Le MAB (MAC Authentication Bypass) n'est pas sécurisé, les adresses MAC se spoofent.
  • Le Profiling dynamique via DHCP/mDNS/HTTP est la seule voie viable pour l'IoT.
  • L'isolation TrustSec (SGT) est bien plus souple à gérer que d'infinies Access-Lists (ACL).

Besoin de sécuriser votre parc IoT ?

Discutons de la mise en place d'un profiling ISE sur votre réseau.

Audit découverte 30 min

Une question de sécurité Shadow IT ?

Posez votre question. Nous vous aidons à clarifier une alerte MAB/Profiler ou un comportement curieux de MAB/Radius sous 24h.

Newsletter

Restez à la pointe de l'infrastructure

Recevez nos dernières analyses techniques, retours terrain et astuces Wi-Fi / NAC directement dans votre boîte mail.

Nous ne spammons jamais. Désinscription possible à tout moment.

Résultats terrain

Études de cas

Des résultats concrets, mesurables, sur des environnements critiques. Noms et détails anonymisés par obligation de confidentialité.

Logistique

Migration Wi-Fi — Entrepôt 40 000 m²

Optimisation du roaming sur parc hybride. 800 scanners Wi-Fi 5 en déconnexion sur infrastructure Wi-Fi 6. Ajustement des profils RF et activation 802.11r FT.

6 semaines Contexte : scanners Wi-Fi 5 vs infra Wi-Fi 6
Uptime parc hétérogène 82% → 99%+
Roaming (802.11r FT) 850ms → ≤ 30ms
Timeout scanners Quasi éliminés
Technologies : Ekahau Cisco 9130 9800 WLC
Luxe

Wi-Fi 6E — Siège & Showroom VIP

Déploiement Wi-Fi 6E. Isolation totale des flux VIP lors des événements. Utilisation de la bande 6 GHz comme voie express dédiée.

2 mois Contexte : isolation VIP, interférences co-canal à éliminer
Latence flux VIP (6 GHz) < 5 ms
Interférences co-canal showroom Sous seuil critique
Coexistence Wi-Fi 5/6/6E Transparente
Technologies : Wi-Fi 6E Ekahau C9136
Industrie & Sécurité

NAC Zero Trust — 4 500+ endpoints

Sécurisation de 4 500 endpoints (IoT legacy et automates). Architecture Cisco ISE avec segmentation dynamique TrustSec.

4 mois Contexte : conformité NIS2, 0% visibilité endpoints
Endpoints identifiés et profilés 0% → +95%
Réduction incidents sécurité -87%
Segmentation dynamique TrustSec SGT
Technologies : ISE 3.x TrustSec 802.1X

Note de l'Expert

L'ingénierie moderne consiste à piloter l'avenir tout en gérant l'existant. Si nous déployons aujourd'hui des infrastructures Wi-Fi 6E et Wi-Fi 7 Ready, le parc client reste majoritairement dominé par le Wi-Fi 5 et 6. Notre force : faire cohabiter ces générations pour garantir une performance sans compromis.

Réserver un Audit Découverte
Contact

Discutons de votre projet

Audit Wi-Fi, déploiement NAC, troubleshooting urgence — décrivez votre besoin et nous vous répondons sous 24h.

Durée audit

3–5 jours

On-site ou à distance selon complexité

Budget indicatif

3 000 – 12 000 €

Selon surface et nombre de sites

Réponse

Sous 24h

Échange découverte gratuit de 30 min

Livrables

Rapport complet

Heatmaps, inventaire AP, plan d'action

Romaric Okemba

Romaric Okemba

Fondateur ORNET

Ingénieur Réseau & Consultant

Voir le profil LinkedIn
Avatar Romaric Okemba

Besoin d'un conseil rapide ?

30 min — gratuit

Coordonnées

ORNET

120 Boulevard Vincent Auriol
75013 Paris, France

contact@or-net.com
or-net.com

Informations légales

SIREN : 837 708 981

Forme : SARL

Activité : Conseil en systèmes et logiciels informatiques

Création : 19/02/2018

Engineering Lab

Outils terrain

18 outils d'ingénierie Wi-Fi et réseau, conçus pour le terrain. Calculs RF, troubleshooting NAC, génération de configs — directement dans le navigateur.

Pôle Wi-Fi / RF

Calculateur RF — dBm / mW / EIRP

Conversion instantanée dBm ⇄ mW, calcul EIRP avec gain antenne et perte câble. Alerte réglementaire ETSI intégrée.

EIRP

-- dBm

EIRP

-- mW

FSPL — Perte en espace libre

Calcul de l'atténuation en propagation libre (Free Space Path Loss) selon la distance et la fréquence.

Perte FSPL

-- dB

Reason & Status Codes 802.11

Dictionnaire interactif des codes de déconnexion Wi-Fi — diagnostic terrain en un clic.

Fréquents :

Channel Planner / DFS Checker

Carte des canaux par sous-bande UNII — DFS, LPI/VLP, AFC — selon ETSI, FCC et MKK.

Standard DFS LPI/VLP SP/AFC Interdit

Link Budget Calculator

Bilan de liaison complet : TX → obstacles → FSPL → signal reçu. Verdict instantané selon le seuil applicatif.

Cloison placo (3 dB)
Vitre (2 dB)
Mur brique (6 dB)
Mur béton (15 dB)
Porte métal (13 dB)
Plancher/dalle (18 dB)

Signal reçu

-- dBm

Marge

-- dB

Verdict

--

−90−80−75−70−67−65−30

Airtime / Capacity Estimator

Estimation de la charge airtime par AP selon le nombre de clients, le débit et le standard Wi-Fi.

Airtime utilisé

-- %

Débit AP max

-- Mbps

APs nécessaires

--

SNR Calculator

Rapport signal/bruit — l'indicateur #1 de qualité de la liaison radio.

SNR

-- dB

Qualité

--

010202540+
< 10 dB — Inutilisable
10-15 dB — Très faible
15-25 dB — Acceptable
25-40 dB — Bon
> 40 dB — Excellent (voix, vidéo HD)

Throughput Estimator (MCS)

Table MCS complète avec débit PHY par spatial stream, largeur canal et guard interval.

MCS Modulation Coding Débit (Mbps) SNR min

Débit PHY max théorique

-- Mbps

Pôle Réseau / NAC

Générateur dACL — Cisco ISE

Génération de Downloadable ACLs pour profils d'autorisation ISE — presets inclus.

PoE Budget Calculator

Dimensionnement du budget Power over Ethernet : APs, caméras, marge et alertes de dépassement.

Consommation

-- W

Restant

-- W

Utilisation

-- %

Calculateur IPv4 / CIDR

Calcul réseau, broadcast, masque, wildcard, hôtes — avec Split/Join interactif de sous-réseaux.

Réseau

--

Broadcast

--

1ère IP

--

Dernière IP

--

Masque

--

Wildcard

--

Hôtes

--

Classe

--

DHCP Option 43 — Cisco WLC

Encodage hex de l'option 43 pour la découverte automatique des contrôleurs WLC.

Hex Value

Commande IOS

MAC Address Formatter

Conversion MAC vers les formats Cisco IOS, Linux et Windows en temps réel.

Cisco IOS

Linux

Windows

VLAN Trunking Validator

Vérification du trunk 802.1Q — VLAN natif, tagged/untagged, allowed list. Essentiel pour le debug NAC.

VLANs dans le trunk

--

VLAN natif

1

Vérification

--

Syslog / SNMP Decoder

Décodage des messages syslog Cisco — severity, facility, mnémonique. Collez un message brut ou sélectionnez un niveau.

▸Table des niveaux syslog (RFC 5424)
Niveau Mot-clé Description SNMP Trap

ACL Builder / Tester

Constructeur d'ACL étendue Cisco — simulez le matching d'un paquet et générez la config IOS prête à coller.

QoS Policy Builder

Mapping DSCP ↔ CoS ↔ WMM ↔ UP et génération de policy-map Cisco IOS-XE. Indispensable voix/vidéo/IoT.

▸Table de référence DSCP complète
PHB DSCP Décimal CoS WMM Usage

802.1X / EAP Troubleshooter

Diagnostic interactif des erreurs d'authentification 802.1X — arbre de décision basé sur les symptômes terrain.