Le 802.1X est le standard pour sécuriser l'accès au réseau en entreprise. Mais entre la théorie (un schéma avec trois boîtes : supplicant, authenticator, authentication server) et la réalité (des imprimantes qui ne supportent pas EAP, un Active Directory capricieux et 200 ports à migrer sans coupure), il y a un gouffre. Ce guide couvre le chemin de bout en bout.

1. Le principe du 802.1X

Le 802.1X est un standard IEEE qui contrôle l'accès au réseau au niveau du port physique (filaire) ou de la connexion (Wi-Fi). Tant qu'un appareil ne s'est pas authentifié, le port réseau est "fermé" — aucun trafic ne passe, à l'exception des trames d'authentification.

Trois acteurs interviennent :

Rôle	Qui	Ce qu'il fait
Supplicant	Le terminal (PC, laptop, téléphone)	Présente ses identifiants (certificat, login/mdp)
Authenticator	Le switch ou la borne Wi-Fi	Relaye la demande d'authentification vers le serveur
Authentication Server	Le serveur RADIUS (ClearPass, ISE, FreeRADIUS...)	Vérifie l'identité et renvoie la décision d'accès

Le dialogue entre le supplicant et le serveur RADIUS est encapsulé dans le protocole EAP (Extensible Authentication Protocol), transporté via RADIUS entre le switch et le serveur. Le switch ne fait que relayer — il ne prend aucune décision d'authentification lui-même.

💡 802.1X ≠ NAC

Le 802.1X est un protocole d'authentification. Le NAC (Network Access Control) est une solution complète qui utilise le 802.1X comme un de ses mécanismes, et y ajoute le profilage, les politiques d'accès, la posture de sécurité, la gestion des invités, etc. On peut faire du 802.1X sans NAC (avec un serveur RADIUS basique), mais un NAC sans 802.1X perd une grande partie de sa valeur.

2. L'architecture cible

Avant de toucher au moindre switch, il faut concevoir l'architecture. Voici les composants à dimensionner :

Le serveur RADIUS

C'est le cœur du système. Chaque connexion au réseau génère une requête RADIUS. Pour un site de 500 ports, en heure de pointe (arrivée du matin, tout le monde se connecte en même temps), le serveur doit encaisser plusieurs centaines de requêtes en quelques minutes. Les options :

Aruba ClearPass — solution NAC complète, profilage avancé, interface graphique, idéal pour les environnements multi-constructeurs
Cisco ISE — équivalent dans l'écosystème Cisco
FreeRADIUS — open source, très performant, mais configuration en fichiers texte et pas de profilage natif
Microsoft NPS — intégré à Windows Server, basique mais fonctionnel pour du 802.1X simple

Pour la résilience, prévoyez au minimum 2 serveurs RADIUS (primaire + secondaire). Les switches doivent être configurés avec les deux pour basculer automatiquement si le primaire est injoignable.

L'annuaire

Le serveur RADIUS doit vérifier les identifiants contre une source d'identité. Dans la majorité des cas en entreprise, c'est Active Directory. Le serveur RADIUS interroge l'AD via LDAP ou Kerberos pour valider le login/mot de passe ou vérifier l'appartenance à un groupe. Assurez-vous que la communication RADIUS → AD est fiable et rapide (même réseau, latence < 10 ms).

L'infrastructure de certificats (PKI)

Si vous utilisez EAP-TLS (authentification par certificat — la méthode la plus sécurisée), vous avez besoin d'une PKI interne capable de délivrer des certificats machine et/ou utilisateur à chaque terminal. C'est un prérequis souvent sous-estimé. Si vous n'avez pas de PKI, PEAP (login/mot de passe) est l'alternative la plus simple.

Les switches

Tous les switches qui participent au 802.1X doivent supporter le protocole et être configurés pour interroger le serveur RADIUS. La quasi-totalité des switches professionnels actuels le supportent (Aruba, Cisco, Fortinet, Huawei, Juniper). Vérifiez aussi que le firmware est à jour — des bugs dans l'implémentation 802.1X existent sur les anciennes versions.

3. Les prérequis avant de commencer

Ne commencez pas à configurer des switches avant d'avoir validé ces points :

Checklist prérequis 802.1X

☐ Serveur RADIUS opérationnel et accessible depuis tous les switches
☐ Connectivité RADIUS → Active Directory testée et fonctionnelle
☐ Certificat serveur RADIUS installé (obligatoire pour EAP-TLS et PEAP — c'est ce certificat que les clients valident pour s'assurer qu'ils parlent au bon serveur)
☐ PKI interne en place si vous choisissez EAP-TLS
☐ VLANs définis — au minimum : VLAN corporate, VLAN visiteurs/quarantaine, VLAN IoT/imprimantes
☐ Inventaire des appareils qui ne supportent pas le 802.1X (imprimantes, IoT, téléphones IP anciens) → à traiter en MAB
☐ Supplicant testé sur un échantillon de postes (Windows natif, macOS natif, ou supplicant tiers)
☐ Documentation réseau à jour — plan de VLANs, schéma de switches, matrice de flux

4. Choisir sa méthode EAP

EAP est le protocole qui transporte l'authentification. Il existe des dizaines de méthodes EAP, mais en entreprise, trois dominent :

Méthode	Authentification	Sécurité	Complexité	Cas d'usage
EAP-TLS	Certificat client + serveur	★★★★★	Élevée (PKI requise)	Postes d'entreprise gérés
PEAP (MSCHAPv2)	Login/mot de passe AD	★★★★☆	Modérée	Environnements sans PKI
EAP-TTLS	Login/mot de passe (tunnel TLS)	★★★★☆	Modérée	Environnements mixtes (Linux, Android)

Notre recommandation

Si vous avez une PKI (ou pouvez en déployer une) → EAP-TLS. C'est la méthode la plus sécurisée : pas de mot de passe qui transite, authentification mutuelle client/serveur, résistante au phishing Wi-Fi (evil twin). C'est le gold standard.

Si vous n'avez pas de PKI → PEAP avec MSCHAPv2. Le client s'authentifie avec son login/mot de passe Active Directory dans un tunnel TLS. C'est moins sécurisé qu'EAP-TLS (le mot de passe peut théoriquement être capturé si le client ne valide pas le certificat serveur), mais c'est beaucoup plus simple à déployer.

Environnement mixte (Windows + Linux + Android) → EAP-TTLS est souvent le plus compatible côté supplicant, surtout pour les terminaux Linux et Android qui gèrent mal PEAP/MSCHAPv2 nativement.

💡 On peut combiner

Le serveur RADIUS peut proposer plusieurs méthodes EAP simultanément. Les postes gérés utilisent EAP-TLS (via GPO qui pousse le certificat), les terminaux BYOD utilisent PEAP, et les appareils IoT passent en MAB. C'est la configuration la plus courante en environnement réel.

5. Définir les politiques d'accès

L'authentification ne suffit pas — il faut aussi décider ce à quoi chaque appareil a accès une fois authentifié. C'est le rôle des politiques d'accès, définies sur le serveur RADIUS et appliquées par le switch.

Le principe : authentification → profil → VLAN

Le serveur RADIUS reçoit la demande d'authentification, identifie qui se connecte (utilisateur, groupe AD, type d'appareil), et renvoie au switch un attribut RADIUS qui détermine le VLAN à attribuer, l'ACL à appliquer, ou le rôle réseau à assigner.

Exemple de matrice de politiques typique :

Qui/Quoi	Méthode	VLAN attribué	Accès
PC d'entreprise (domaine AD)	EAP-TLS ou PEAP	VLAN Corporate (10)	Accès complet réseau interne
Téléphone personnel (BYOD)	PEAP (identifiants perso)	VLAN Visiteurs (50)	Internet uniquement
Imprimante réseau	MAB	VLAN Imprimantes (30)	Serveur d'impression uniquement
Caméra IP / IoT	MAB	VLAN IoT (40)	Serveur de gestion uniquement
Appareil inconnu	Échec auth	VLAN Quarantaine (99)	Portail captif ou aucun accès

Cette matrice doit être définie avant le déploiement et validée avec les équipes métier. C'est elle qui détermine le comportement du réseau une fois le 802.1X activé.

6. Gérer les exceptions (MAB)

C'est le point qui fait échouer la plupart des déploiements 802.1X quand il est mal anticipé. Beaucoup d'appareils sur votre réseau ne supportent pas le 802.1X :

Imprimantes (la majorité n'a pas de supplicant EAP)
Téléphones IP (les anciens modèles)
Caméras de surveillance
Capteurs IoT, automates industriels
Écrans d'affichage dynamique
Terminaux de paiement

Pour ces appareils, on utilise le MAC Authentication Bypass (MAB) : le switch envoie l'adresse MAC de l'appareil au serveur RADIUS comme identifiant. Le serveur vérifie si cette MAC est connue et autorisée, et renvoie le VLAN approprié.

Le flux MAB

L'appareil se branche sur le port
Le switch tente le 802.1X → pas de réponse (timeout, typiquement 30 secondes)
Le switch bascule en MAB → envoie la MAC au serveur RADIUS
Le serveur vérifie la MAC dans sa base → autorise ou refuse
Le switch attribue le VLAN correspondant

⚠️ MAB n'est pas sécurisé

L'adresse MAC peut être usurpée (MAC spoofing). Un attaquant qui connaît la MAC d'une imprimante autorisée peut s'en servir pour accéder au réseau. C'est pourquoi les appareils MAB doivent être placés dans des VLANs restreints avec un accès limité aux seules ressources dont ils ont besoin. Ne mettez jamais un appareil MAB dans le VLAN corporate.

Maintenir la base MAB

La base d'adresses MAC autorisées doit être maintenue à jour. Chaque fois qu'un appareil est ajouté, remplacé ou retiré, sa MAC doit être mise à jour dans le serveur RADIUS. Sur un NAC comme ClearPass, le profilage automatique aide : il identifie le type d'appareil par ses caractéristiques réseau (DHCP fingerprint, OUI du fabricant) et peut appliquer automatiquement la bonne politique.

7. Le plan de migration

On ne bascule jamais un réseau entier en 802.1X en une fois. La migration se fait en 4 phases :

Phase 1 — Mode monitor (2 à 4 semaines)

Le 802.1X est activé sur les switches mais en mode ouvert (open mode / monitor mode). Tous les appareils se connectent normalement, mais le switch enregistre ce qui se passe : qui s'authentifie avec succès, qui échoue, qui utilise MAB. Ça permet de :

Construire l'inventaire réel de ce qui est connecté
Identifier les appareils qui ne supportent pas le 802.1X
Détecter les postes dont le supplicant est mal configuré
Valider que le serveur RADIUS encaisse la charge

Phase 2 — Activation zone par zone

On commence par une zone à faible risque — typiquement une salle de réunion ou un étage de bureaux non critique. Le 802.1X passe en mode fermé : seuls les appareils authentifiés obtiennent un accès. Les appareils qui échouent tombent en VLAN quarantaine.

On surveille les incidents pendant quelques jours, on corrige les faux positifs (appareil légitime non reconnu), puis on élargit à la zone suivante.

Phase 3 — Généralisation

Zone après zone, tout le réseau passe en mode fermé. Les exceptions MAB sont toutes documentées et dans la base. Les politiques sont validées. Le serveur RADIUS est stable.

Phase 4 — Documentation et transfert

L'architecture 802.1X est documentée (DAT + DET) : architecture RADIUS, politiques d'accès, procédures d'ajout d'exception MAB, procédures de troubleshooting. L'équipe IT est formée pour gérer le quotidien : ajouter un appareil MAB, diagnostiquer un refus d'authentification, surveiller les logs.

💡 Durée typique

Pour un réseau de 200 à 500 ports, la migration complète prend généralement 1 à 3 mois. La phase monitor est la plus longue — c'est normal et c'est elle qui évite les incidents. L'activation elle-même est rapide quand l'inventaire est propre.

8. Validation et suivi

Tester l'authentification

Avant chaque activation de zone, validez les scénarios suivants :

PC du domaine → s'authentifie en EAP-TLS/PEAP → obtient le VLAN corporate
Appareil MAB connu (imprimante) → identifié par MAC → obtient le bon VLAN
Appareil inconnu → tombe en quarantaine ou est refusé
Serveur RADIUS primaire down → le switch bascule sur le secondaire sans coupure
Changement de port → un PC qui se branche sur un autre port s'authentifie correctement

Surveiller en continu

Après activation, surveillez quotidiennement pendant les 2 premières semaines :

Les échecs d'authentification dans les logs RADIUS — chaque échec est soit un appareil mal configuré, soit une tentative non autorisée
Le temps de réponse RADIUS — s'il augmente, le serveur est en surcharge
Les tickets utilisateurs — "je n'arrive plus à me connecter" = probable faux positif à traiter

9. Les pièges courants

Piège n°1 — Activer partout d'un coup. On l'a dit, mais ça mérite d'être répété. Un lundi matin, 500 postes qui tentent de s'authentifier simultanément sur un serveur RADIUS non testé en charge = paralysie du réseau.

Piège n°2 — Oublier le timeout 802.1X avant MAB. Par défaut, le switch attend 30 secondes de silence 802.1X avant de tenter le MAB. Pour une imprimante qui met 2 minutes à booter, ça peut fonctionner. Mais pour un téléphone IP qui doit être opérationnel en 10 secondes, c'est trop long. Ajustez le timeout par type de port.

Piège n°3 — Ne pas valider le certificat serveur côté client. Si les postes ne vérifient pas le certificat du serveur RADIUS, un attaquant peut monter un faux serveur RADIUS (evil twin) et capturer les identifiants. Configurez la validation du certificat via GPO ou profil MDM.

Piège n°4 — Sous-estimer le nombre d'appareils MAB. On pense à 10 imprimantes, on en découvre 50 en phase monitor, plus 30 caméras, 20 téléphones IP et 15 appareils "mystère" dont personne ne connaît l'existence. La phase monitor est là pour ça.

Piège n°5 — Ne pas prévoir le VLAN de repli. Que se passe-t-il si le serveur RADIUS est injoignable ? Deux options : le port reste fermé (plus sécurisé, mais risque de blocage), ou le port bascule sur un VLAN de repli (moins sécurisé, mais garantit un accès minimal). La bonne réponse dépend de votre contexte — mais ne pas avoir de réponse, c'est le pire scénario.

Piège n°6 — Oublier de documenter. Un déploiement 802.1X non documenté devient ingérable dès que la personne qui l'a configuré quitte l'entreprise. Les politiques RADIUS, les groupes AD utilisés, la base MAB, les procédures d'exception — tout doit être dans un DAT et un DET.

Le mot de la fin

Le 802.1X n'est pas un projet qu'on fait "un week-end". C'est un projet structurant qui touche chaque port de votre réseau. Mais une fois déployé proprement, c'est le mécanisme le plus efficace pour savoir qui est connecté, contrôler ce à quoi chaque appareil accède, et réduire drastiquement votre surface d'attaque. Le jeu en vaut largement la chandelle.

802.1X en entreprise : guide de déploiement pas à pas