Qu'est-ce que 802.1X ? Authentification réseau

Chargement...

15 avril 2026·1 min de lecture·160 mots

802.1X est le standard IEEE d'authentification réseau port-based. Permet de vérifier l'identité d'un device avant de lui donner accès au réseau. Brique essentielle du NAC (Network Access Control) et de l'authentification WiFi entreprise WPA2/WPA3-Enterprise.

Fonctionnement

Supplicant (client) : PC, smartphone, IoT
Authenticator (switch/AP) : relais EAP
Authentication Server : RADIUS (FreeRADIUS, Cisco ISE, Aruba ClearPass, Microsoft NPS)
Port fermé jusqu'à authentification réussie
VLAN assignment dynamique selon identité

Méthodes EAP

EAP-TLS : certificats X.509 mutuels (le plus sécurisé)
PEAP-MSCHAPv2 : credentials AD (le plus courant)
EAP-FAST : Cisco, alternative à PEAP
EAP-TTLS : utilisé sur eduroam
EAP-PWD : sans certificat (rare)

Use cases

WiFi WPA2/WPA3-Enterprise
Access switches : authenticate PC avant VLAN assignment
Segmentation dynamique (Cisco TrustSec SGT)
BYOD enrollment
IoT onboarding avec certificates

MAB (MAC Authentication Bypass)

Fallback pour devices sans 802.1X supplicant (imprimantes, caméras) : authentification par MAC address dans la base RADIUS.

Commander chez OPTINOC

Déploiement 802.1X + NAC Cisco ISE, Aruba ClearPass, FortiNAC, FreeRADIUS. Devis sous 48h.

Questions fréquentes

802.1X est-il obligatoire ?

Pas légalement, mais devenu standard de facto pour la sécurité réseau enterprise. Le NIS2 (Europe), HDS (santé), ANSSI recommandent fortement l'authentification 802.1X. Sans 802.1X, n'importe qui branché à une prise RJ45 peut accéder au réseau.

Quel EAP choisir ?

EAP-TLS (certificats clients/serveur) : le plus sécurisé, recommandé pour devices managés. PEAP-MSCHAPv2 : compromis sécurité/déploiement, pratique pour BYOD avec credentials AD. EAP-TTLS : alternative à PEAP, peu utilisé. Éviter EAP-MD5 (obsolète).