Publié le 19 mars 2026
Votre réseau d'entreprise accepte probablement n'importe quel appareil qui s'y connecte. Un laptop personnel, un téléphone oublié par un visiteur, une imprimante branchée par un prestataire : tout obtient une adresse IP et un accès au réseau. Le NAC (Network Access Control) est la solution qui met fin à cette situation — et en 2026, ne pas en avoir est un risque que de moins en moins d'entreprises peuvent se permettre.
Le NAC (Network Access Control) est un système qui contrôle qui et quoi se connecte à votre réseau, et ce à quoi chaque appareil a accès une fois connecté.
Sans NAC, votre réseau fonctionne comme un immeuble sans interphone : la porte est ouverte, tout le monde entre, et une fois à l'intérieur, tout le monde accède à tout. Avec un NAC, chaque appareil qui se branche sur un port réseau ou se connecte au Wi-Fi doit prouver son identité avant d'obtenir un accès — et cet accès est limité à ce dont il a besoin.
En pratique, un NAC gère trois fonctions :
On intervient régulièrement dans des entreprises qui n'ont pas de NAC. Voici ce qu'on constate systématiquement :
N'importe quel appareil accède au réseau. Un prestataire branche son laptop personnel sur une prise réseau dans une salle de réunion. Il se retrouve sur le même VLAN que les serveurs de fichiers. Personne ne le sait, personne ne l'a autorisé.
Les appareils IoT prolifèrent sans contrôle. Caméras IP, capteurs de température, écrans connectés, imprimantes — chacun est branché par quelqu'un qui "avait besoin que ça marche", sans que l'équipe IT soit informée. Ces appareils sont souvent les moins sécurisés du réseau et les plus exposés aux vulnérabilités.
La segmentation est théorique. Même avec des VLANs bien définis, sans NAC il n'y a rien qui empêche un appareil de se retrouver dans le mauvais VLAN. La segmentation repose sur la configuration statique des ports — et dès qu'on déplace une prise ou qu'on branche quelque chose d'imprévu, elle ne tient plus.
Aucune traçabilité. Quand un incident de sécurité survient, la première question est "quel appareil était connecté à ce port à cette heure-là ?". Sans NAC, personne ne peut répondre.
Le scénario le plus fréquent n'est pas une attaque sophistiquée — c'est un appareil non maîtrisé qui introduit un risque sur le réseau par négligence. Un laptop infecté branché sur le réseau de production, un appareil IoT avec des identifiants par défaut exposé sur Internet, ou un port réseau oublié dans un local technique accessible au public.
Seuls les appareils identifiés et autorisés obtiennent un accès réseau. Tout le reste est refusé ou placé dans un VLAN de quarantaine avec un accès minimal (portail captif, accès Internet uniquement, etc.).
Un PC d'entreprise se connecte → il obtient le VLAN corporate avec accès aux ressources internes. Un téléphone personnel se connecte sur le même port → il obtient le VLAN visiteurs avec accès Internet uniquement. La même prise réseau, deux accès différents selon l'identité. C'est la segmentation dynamique, et c'est ce qui rend le NAC bien plus puissant que la configuration statique des ports.
Le NAC maintient un inventaire en temps réel de tout ce qui est connecté : quel appareil, sur quel port, sur quel switch, avec quelle adresse MAC et IP, depuis quand, et avec quel profil d'accès. C'est une mine d'or pour le diagnostic réseau et pour la réponse à incident.
Certaines normes et réglementations (ISO 27001, NIS2, HDS, PCI-DSS) exigent un contrôle d'accès réseau. Le NAC est souvent la réponse la plus directe à ces exigences.
La réponse courte : toute entreprise qui a plus d'une poignée d'appareils sur son réseau et qui se soucie un minimum de sa sécurité. Mais certains contextes rendent le NAC particulièrement pertinent :
| Contexte | Pourquoi le NAC est pertinent |
|---|---|
| Multi-sites | Impossible de contrôler physiquement qui branche quoi sur chaque site distant |
| Accueil de visiteurs / prestataires | Besoin de séparer leur accès du réseau interne automatiquement |
| IoT / OT en croissance | Caméras, capteurs, automates — chaque appareil doit être identifié et segmenté |
| Conformité réglementaire | ISO 27001, NIS2, HDS, PCI-DSS exigent un contrôle d'accès |
| Environnements sensibles | Santé, finance, industrie, secteur public — les données ne peuvent pas être accessibles à n'importe qui |
| BYOD (Bring Your Own Device) | Les collaborateurs amènent leurs appareils personnels — il faut différencier les accès |
Le NAC n'est pas qu'un outil de sécurité — c'est aussi un outil d'efficacité opérationnelle. La segmentation dynamique réduit les interventions manuelles de configuration de ports. L'inventaire automatique remplace les fichiers Excel de suivi du parc. La traçabilité accélère le diagnostic en cas d'incident. Sur un réseau de taille moyenne, le gain de temps opérationnel justifie souvent l'investissement à lui seul.
Le schéma classique d'un déploiement NAC repose sur trois composants :
C'est le cerveau du système. Il reçoit les demandes d'authentification, consulte l'annuaire (Active Directory, LDAP), identifie le type d'appareil (profilage), et renvoie la décision d'accès au switch ou à la borne Wi-Fi. Les solutions les plus courantes du marché : Aruba ClearPass, Cisco ISE, FortiNAC, PacketFence (open source).
C'est le standard IEEE qui gère l'authentification au niveau du port réseau. Quand un appareil se branche, le switch ne lui donne aucun accès tant que le serveur NAC n'a pas validé son identité. L'appareil doit présenter un certificat, des identifiants, ou au minimum son adresse MAC. C'est la méthode la plus sécurisée et la plus granulaire.
Les switches et bornes Wi-Fi doivent supporter le 802.1X et être configurés pour interroger le serveur NAC à chaque connexion. La bonne nouvelle : la quasi-totalité des switches professionnels actuels (Aruba, Cisco, Fortinet, Huawei) le supportent nativement.
Le flux typique :
Le déploiement d'un NAC est un projet structurant qui touche l'ensemble du réseau. Il ne s'improvise pas, mais il n'est pas non plus aussi complexe qu'on le croit — à condition de procéder par étapes.
Avant d'activer le moindre contrôle, on déploie le NAC en mode monitor : il observe tout ce qui se connecte, identifie les appareils, construit l'inventaire et le profilage — sans bloquer personne. Cette phase dure typiquement 2 à 4 semaines et permet de comprendre ce qui est réellement sur votre réseau. C'est souvent la phase où l'on découvre des surprises : appareils oubliés, équipements non référencés, ports utilisés de manière inattendue.
Sur la base de l'inventaire, on définit les règles d'accès : quel type d'appareil obtient quel VLAN, quelles exceptions prévoir, comment traiter les appareils inconnus (quarantaine, portail captif, rejet). C'est un travail conjoint entre l'équipe IT et le prestataire NAC.
On active le contrôle d'accès zone par zone, en commençant par les zones les moins critiques. On valide que tout fonctionne, on traite les faux positifs (appareils légitimes bloqués par erreur), et on élargit progressivement. Jamais de big bang sur tout le réseau en une fois.
L'architecture NAC, les politiques d'accès, les procédures d'exploitation et le traitement des exceptions sont documentés (DAT + DET). L'équipe IT est formée pour gérer le quotidien en autonomie.
Pour un réseau de taille moyenne (100 à 500 ports), comptez 1 à 3 mois entre le début du projet et l'activation complète. La phase monitor est la plus longue — l'activation elle-même est rapide quand l'inventaire est propre et les politiques bien définies.
Piège n°1 — Activer 802.1X partout d'un coup. C'est la meilleure façon de bloquer la moitié de l'entreprise un lundi matin. L'activation progressive, zone par zone, avec une phase monitor préalable, est la seule approche raisonnable.
Piège n°2 — Oublier les exceptions. Certains appareils ne supportent pas le 802.1X : imprimantes anciennes, équipements IoT, automates industriels. Pour ceux-là, on utilise le MAC Authentication Bypass (MAB) : l'appareil est identifié par son adresse MAC et reçoit un accès adapté. Ne pas prévoir ces exceptions, c'est garantir des blocages en production.
Piège n°3 — Négliger le profilage. Le profilage (identification automatique du type d'appareil) est ce qui permet au NAC de distinguer un PC d'entreprise d'une imprimante d'un téléphone personnel. Sans profilage précis, les politiques d'accès ne peuvent pas être granulaires — et le NAC perd une grande partie de sa valeur.
Piège n°4 — Sous-dimensionner le serveur RADIUS. Chaque connexion au réseau génère une requête RADIUS vers le serveur NAC. Si le serveur est lent ou sous-dimensionné, les connexions sont ralenties — ce qui se traduit par des plaintes utilisateurs ("le Wi-Fi met 10 secondes à se connecter"). En environnement critique, un cluster de serveurs NAC est indispensable.
Piège n°5 — Déployer sans documenter. Un NAC non documenté devient rapidement une boîte noire que personne n'ose toucher. Les politiques s'empilent, les exceptions s'accumulent, et au bout de 2 ans on se retrouve avec un environnement qu'il faut reconstruire. On l'a vécu concrètement chez un de nos clients.
Audit de l'existant, choix de solution, déploiement et documentation — nous vous accompagnons de bout en bout sur votre projet NAC.
Discuter de votre projet