Audit Wi-Fi Aruba · Audit de configuration ClearPass · Reconstruction ClearPass · Troubleshooting FortiWeb
Notre client est un établissement d'enseignement supérieur public accueillant étudiants, enseignants-chercheurs et personnels administratifs. Le réseau Wi-Fi est un service critique : il est utilisé quotidiennement pour les cours, la recherche, l'accès aux ressources pédagogiques et les usages administratifs.
L'infrastructure Wi-Fi repose sur des bornes Aruba, avec un contrôle d'accès réseau assuré par Aruba ClearPass. Une appliance Fortinet FortiWeb assure la protection des applications web exposées.
L'établissement rencontrait des difficultés croissantes : des performances Wi-Fi dégradées, une configuration ClearPass qui avait accumulé de la dette technique au fil des années, et un incident critique sur le FortiWeb qui bloquait l'ensemble des connexions après une mise à jour.
Audit de couverture Wi-Fi avec Ekahau Pro : relevés terrain, heatmaps, analyse des interférences, évaluation du SNR et de la qualité de service. Livraison d'un rapport d'audit avec préconisations d'optimisation radio.
Revue complète de la configuration des bornes Wi-Fi Aruba : paramètres radio (canaux, puissances, largeurs de bande), profils SSID, politiques de sécurité, configuration du roaming et cohérence globale de l'architecture Wi-Fi. Identification des écarts par rapport aux bonnes pratiques constructeur et préconisations de remédiation.
Audit approfondi de la configuration Aruba ClearPass : politiques d'authentification, règles de profilage, services 802.1X et MAC-auth, intégration avec l'annuaire et le Wi-Fi. Le constat a mis en évidence une accumulation de dette technique rendant l'environnement difficilement maintenable et source de dysfonctionnements. La préconisation a été de reconstruire le ClearPass intégralement.
Mise en œuvre de la préconisation issue de l'audit : déploiement d'un nouveau ClearPass from scratch avec une architecture propre, des politiques d'accès reconstruites à partir des besoins réels de l'établissement, et une documentation complète. Migration des services d'authentification vers le nouvel environnement.
Intervention suite à un incident critique : après une mise à jour du FortiWeb, l'ensemble des connexions clientes étaient bloquées — plus aucun accès aux applications web protégées. Détail ci-dessous.
L'audit de configuration ClearPass avait révélé un environnement qui s'était complexifié au fil du temps : des règles empilées les unes sur les autres, des politiques héritées d'anciennes configurations, des services désactivés mais toujours présents, et des incohérences entre les politiques d'authentification et le comportement réel du réseau.
Plutôt que de tenter de corriger l'existant — ce qui aurait été plus risqué et plus long — la décision a été prise de reconstruire le ClearPass à neuf :
C'est une question qu'on rencontre régulièrement sur ClearPass. Quand la dette technique est trop importante — règles contradictoires, services fantômes, politiques héritées de plusieurs générations de configuration — le risque de casser quelque chose en corrigeant dépasse souvent le coût de reconstruction. Un ClearPass propre, documenté et aligné sur les besoins actuels est plus fiable et plus facile à faire évoluer.
L'incident s'est présenté de manière brutale : suite à l'application d'une mise à jour sur le FortiWeb, l'appliance a cessé d'autoriser les connexions clientes. Toutes les requêtes vers les applications web protégées étaient rejetées — 100% des utilisateurs impactés, aucun accès possible.
L'équipe IT de l'établissement avait identifié que le problème était lié à la mise à jour, mais sans pouvoir déterminer précisément quel composant du patch était en cause. Notre intervention a consisté à :
L'analyse a montré qu'une montée de version majeure du FortiWeb corrigeait le problème introduit par le patch. Nous avons documenté la procédure de migration et les prérequis. Le client a toutefois choisi de reporter la montée de version pour le moment, préférant attendre une fenêtre de maintenance adaptée.
Ce cas illustre un risque souvent sous-estimé : un patch de sécurité ou un correctif mineur peut modifier le comportement d'une appliance de manière inattendue. Sur des équipements critiques comme un WAF, chaque mise à jour devrait être testée en environnement de pré-production ou, à défaut, appliquée avec un plan de rollback clairement défini.
Cette mission illustre l'intérêt d'une approche par couches quand un établissement rencontre des problèmes réseau multiples. Plutôt que de tout traiter en bloc, chaque audit a permis de poser un diagnostic clair sur un périmètre précis — Wi-Fi, bornes, ClearPass — avant de passer à l'action.
Le choix de reconstruire le ClearPass plutôt que de le corriger est un exemple de décision qui demande de l'expérience terrain : c'est contre-intuitif (on pense "corriger" avant de penser "reconstruire"), mais quand la dette technique est trop profonde, c'est souvent la solution la plus rapide, la plus fiable et la plus économique à moyen terme.
L'épisode FortiWeb rappelle enfin que la sécurité des appliances de sécurité elles-mêmes est un sujet à part entière. Un WAF qui bloque tous les accès après un patch, c'est un risque opérationnel majeur — et l'analyse de logs reste la méthode la plus fiable pour comprendre ce qui s'est réellement passé.
Un audit ne sert pas qu'à identifier des problèmes — il sert aussi à décider de la bonne stratégie de remédiation. Corriger, optimiser ou reconstruire : le bon choix dépend de l'état réel de l'environnement, pas de l'intuition.
Audit, remédiation, reconstruction — nous intervenons sur l'ensemble de votre chaîne réseau et sécurité.
Discuter de votre projet