04 58 00 35 31
Infrastructure réseau

Réseau informatique d'entreprise : guide pour TPE et PME

Concevoir un réseau pro qui tient dans la durée n'est pas une question de matériel cher. C'est une question d'architecture cohérente, de bons choix techniques au bon moment, et de sécurité pensée dès le départ. Voici comment on aborde le sujet chez ITD.

En 30 secondes

L'essentiel.

  • Différence pro / grand public : un réseau d'entreprise demande performance, fiabilité et sécurité — pas du matériel grand public bricolé.
  • 3 types : LAN (réseau local), WAN (multi-sites), WLAN (Wi-Fi pro). Une bonne infrastructure combine câblé et sans-fil intelligemment.
  • 4 piliers de sécurité : segmentation par VLANs, pare-feu nouvelle génération, supervision continue, mises à jour planifiées.
  • Notre stack : MikroTik, pfSense/OPNsense, Ubiquiti UniFi et Aruba selon contexte. Supervision Zabbix.

Un réseau d'entreprise mal conçu, c'est des lenteurs au quotidien, des coupures aux pires moments, et surtout une porte ouverte aux cyberattaques. Un réseau bien conçu, c'est une infrastructure qu'on oublie parce qu'elle fait son travail. Cet article reprend les fondamentaux pour comprendre ce qui distingue un vrai réseau professionnel, comment on le déploie, comment on le sécurise, et quand il faut envisager une refonte.

01 — Définition

Ce qui distingue un réseau professionnel d'un réseau domestique

On voit régulièrement des TPE équipées d'un routeur grand public à 80 euros qui essaie de tenir 15 postes, 2 imprimantes réseau et une dizaine de smartphones connectés en Wi-Fi. Ça marche un temps, puis ça craque — généralement au pire moment, et toujours sur le service le plus critique.

Un réseau d'entreprise doit répondre à trois exigences que le matériel grand public ne couvre pas :

  • Performance soutenue. Pas seulement un pic à un moment donné, mais une qualité constante quand tous les postes sont actifs en même temps. Visios, sauvegardes cloud, téléphonie IP, transferts de fichiers — tout doit cohabiter sans dégradation perceptible.
  • Fiabilité. Disponibilité élevée, capacité à fonctionner 8 à 12 heures par jour pendant des années sans broncher, comportement prévisible en cas d'incident (basculement automatique vers un secours 4G par exemple).
  • Sécurité. Pare-feu sérieux, segmentation des flux, journalisation des événements, mises à jour de sécurité régulières. Aucun routeur grand public ne fournit ça.
Pourquoi le grand public ne convient pas.

Les routeurs et bornes Wi-Fi grand public sont conçus pour 4-5 appareils dans un logement, avec quelques heures d'usage par jour. En entreprise, on demande à ce matériel de tenir une charge 10× supérieure pendant des durées 5× plus longues. Le matériel ne tient pas, et surtout il ne reçoit pas de correctifs de sécurité au-delà de 2-3 ans. C'est un risque, pas une économie.

02 — Architectures

Les trois types d'architectures réseau

Selon votre situation géographique et vos usages, on déploie l'une ou l'autre — ou plus souvent une combinaison des trois.

LAN — réseau local

Le réseau d'un site unique : tous les postes, serveurs, imprimantes et équipements interconnectés via switchs et câblage. C'est l'architecture la plus courante pour une TPE/PME en mono-site jusqu'à 100 postes. Débits Gigabit ou 10 Gbit selon dimensionnement, latence inférieure à 1 ms, gestion locale simple.

WAN — réseau étendu

Interconnexion de plusieurs sites distants (siège + agences, sites de production séparés). Selon les besoins, on utilise des liaisons opérateur dédiées (fibre), des VPN site-à-site, du SD-WAN. Pour la majorité des TPE/PME multi-sites, un VPN MikroTik site-à-site bien configuré couvre 90 % des besoins à un coût raisonnable.

WLAN — Wi-Fi professionnel

Le réseau sans-fil intégré au LAN. Contrairement au Wi-Fi domestique, le WLAN pro gère le roaming entre bornes (pas de coupure quand on se déplace), la QoS (priorité au flux voix sur les téléchargements), plusieurs SSID séparés (bureau / visiteurs / IoT), et un contrôleur centralisé. Wi-Fi 6 est aujourd'hui le standard pour les déploiements neufs.

Architecture hybride câble + Wi-Fi recommandée.

Le câble reste imbattable pour les postes fixes, les serveurs et la téléphonie IP (stabilité, latence). Le Wi-Fi est indispensable pour les smartphones, tablettes et la mobilité interne. Tout-Wi-Fi est rarement une bonne idée — sauf petits bureaux où le câblage existant est impossible à refaire.

03 — Composants

Les briques essentielles et notre stack matérielle

Un réseau professionnel repose sur cinq composants principaux. Voici nos choix techniques chez ITD pour chacun, avec les critères de sélection.

Câblage structuré

Fondation invisible mais critique. Nous recommandons systématiquement du Cat6a minimum (compatible 10 Gbit, prêt pour 10 à 15 ans). Le câblage converge vers une baie de brassage où s'installent les switchs. C'est l'investissement initial le plus important — et le plus pénible à refaire après coup, donc on ne sous-dimensionne pas.

Pare-feu

Cœur de la sécurité réseau. Selon le contexte et le budget, nous déployons :

  • pfSense ou OPNsense : open source, robuste, idéal pour les TPE/PME qui veulent un pare-feu pro sans coût de licence. Règles fines, VPN intégré, reporting clair.
  • MikroTik RouterOS : pour les besoins multi-sites ou les configurations réseau avancées. Excellent rapport performances/prix. Voir notre tutoriel OpenVPN MikroTik qui détaille une partie de la configuration.
  • Fortigate : quand le client a déjà du Fortinet ou souhaite une solution commerciale avec licence et support fabricant. On gère, on configure, on patche.

Switchs

Répartition de la connectivité dans le bâtiment. Pour les TPE/PME, nous déployons principalement Ubiquiti UniFi (excellent rapport qualité/prix, console centralisée) ou Aruba (Aruba Instant On pour les petites structures, gamme CX pour les besoins plus exigeants). Toujours des switchs managés — même sur des petits réseaux, la différence de prix avec un switch non managé est minime et la flexibilité énorme.

Wi-Fi professionnel

Bornes Ubiquiti UniFi ou Aruba Instant On selon le projet. Toutes deux offrent un management centralisé, une couverture homogène, du roaming fluide et un Wi-Fi visiteurs isolé. Le dimensionnement (nombre de bornes, positionnement) se fait après étude radio quand l'environnement est complexe.

Supervision

Souvent oublié, pourtant indispensable. Nous supervisons les équipements clients via Zabbix avec une page de statut publique sur live.itdinfo.fr. Détection des anomalies, alertes en temps réel, historique des performances. Sans supervision, on ne détecte une panne que quand un utilisateur appelle — souvent trop tard.

Sauvegarde de la configuration

Tous les équipements réseau doivent avoir leur configuration sauvegardée régulièrement, idéalement automatiquement. En cas de défaillance ou de remplacement, on restaure en quelques minutes au lieu de tout reconstruire. Notre RMM Acronis gère cette partie en parallèle des sauvegardes serveurs/postes.

04 — Conception

Les cinq étapes d'un déploiement réseau

Que ce soit pour une création complète ou une refonte, on suit toujours la même méthodologie en cinq étapes.

  1. 1

    Audit et conception

    Inventaire de l'existant, identification des besoins réels (nombre de postes, applications critiques, contraintes du bâtiment, projection 3-5 ans). Élaboration du schéma réseau cible : topologie physique, plan d'adressage IP, segmentation, points de criticité. Cette phase évite 90 % des problèmes ultérieurs.

  2. 2

    Choix de l'architecture

    Architecture en étoile pour la majorité des cas (tous les postes convergent vers un switch central, plus un éventuel switch de distribution selon la taille). Pour les infrastructures critiques, on prévoit la redondance des points sensibles : double pare-feu, double connexion Internet, secours 4G automatique.

  3. 3

    Câblage structuré

    Tirage des câbles selon le schéma, raccordement aux prises murales RJ45, repérage et étiquetage. Convergence vers la baie de brassage. Nous prévoyons systématiquement 20 % de prises supplémentaires par rapport au besoin immédiat — ajouter des prises plus tard coûte plus cher que d'en mettre quelques-unes d'avance.

  4. 4

    Configuration des équipements

    Switchs configurés avec VLANs pour segmenter les flux (postes, serveurs, téléphonie, invités). Pare-feu paramétré avec règles de sécurité adaptées au profil. Wi-Fi déployé avec contrôleur centralisé. Si téléphonie IP, switchs supportant PoE pour alimenter les téléphones via le câble réseau.

  5. 5

    Tests et mise en production

    Test de chaque prise avec un testeur de câblage, mesure des débits réels, validation du basculement vers le secours 4G si prévu, test des VLANs. Documentation complète remise au client : plan réseau, adressage IP, identifiants admin. Mise en production progressive pour limiter les risques.

Une infrastructure bien dimensionnée tient 10 à 15 ans.

L'erreur classique est de sous-dimensionner pour gagner quelques centaines d'euros à l'installation, puis de refaire le câblage 4 ans plus tard. Cat6a, baie de brassage avec emplacements libres, switchs avec marge de ports — ces choix d'anticipation coûtent peu à l'installation et évitent une refonte coûteuse à moyen terme.

05 — Sécurité

Les quatre piliers de la sécurité réseau

Un réseau d'entreprise est une cible. Ransomwares, phishing, intrusions par compte volé : les menaces évoluent en permanence. La sécurité réseau repose sur quatre piliers complémentaires.

  1. 01

    Segmentation par VLANs

    Ne jamais mettre tous les équipements sur un même réseau plat. Un VLAN pour les postes, un pour les serveurs, un pour la téléphonie IP, un pour les invités Wi-Fi. Un poste compromis ne peut pas contaminer les serveurs grâce à cette segmentation. Configuration simple sur des switchs managés.

  2. 02

    Pare-feu nouvelle génération

    Le pare-feu basique qui bloque ou autorise des ports ne suffit plus. Un NGFW (Next Generation Firewall) inspecte le contenu des paquets, bloque les menaces connues, filtre les applications dangereuses. pfSense, OPNsense ou Fortigate selon le projet — toujours avec règles documentées et révisées régulièrement.

  3. 03

    Supervision continue

    Surveillance 24/7 via Zabbix : bande passante, état des équipements, tentatives de connexion suspectes, anomalies sur les flux. Les alertes remontent en temps réel, ce qui permet d'intervenir avant que l'utilisateur ne s'aperçoive du problème. C'est ce qui distingue un réseau supervisé d'un réseau "qui marche encore aujourd'hui".

  4. 04

    Mises à jour et patches

    Les failles de sécurité sont découvertes régulièrement sur tous les équipements réseau. Un pare-feu jamais mis à jour devient une porte ouverte. Nous planifions des fenêtres de maintenance mensuelles pour appliquer les correctifs de sécurité sur l'ensemble du parc — sans interrompre l'activité.

06 — Télétravail

Télétravail et accès distant sécurisé

Le télétravail impose de repenser l'accès au réseau d'entreprise. Vos collaborateurs doivent pouvoir se connecter depuis leur domicile, un déplacement ou un site client avec le même niveau de sécurité qu'au bureau.

VPN d'entreprise

Le VPN crée un tunnel chiffré entre le poste distant et votre réseau. Toutes les données transitent de manière sécurisée. Selon le contexte, nous déployons :

  • OpenVPN sur MikroTik : compatible avec tous les systèmes (Windows, macOS, Linux, mobile), robuste, éprouvé. Voir notre tutoriel complet OpenVPN MikroTik.
  • WireGuard : plus moderne, plus rapide, idéal pour les utilisateurs en environnement maîtrisé.
  • IPsec : pour les liaisons site-à-site permanentes ou les besoins entreprise plus exigeants.

Authentification multi-facteurs

Un mot de passe seul ne suffit plus. L'authentification multi-facteurs (MFA) ajoute une couche : code généré par application authenticator, validation par SMS, ou idéalement clé physique de type YubiKey. Un mot de passe volé devient inutilisable sans le second facteur.

Accès granulaire par rôle

Tous les collaborateurs n'ont pas besoin d'accéder à tout. La comptabilité accède au serveur de facturation, les commerciaux au CRM, l'atelier à ses applications métier. Principe du moindre privilège : chacun voit uniquement ce dont il a besoin pour travailler. En cas de compromission d'un compte, les dégâts sont limités.

07 — Signaux d'alerte

Quand revoir son réseau d'entreprise

Plusieurs symptômes indiquent que votre infrastructure réseau a besoin d'attention. Certains sont évidents, d'autres plus subtils mais tout aussi révélateurs.

  • Lenteurs récurrentes en fin de journée. Souvent un signe de saturation : bande passante insuffisante, switchs sous-dimensionnés, ou flux non priorisés (sauvegardes qui s'exécutent pendant que tout le monde travaille).
  • Coupures de connexion fréquentes. Équipement défaillant, surchauffe, ou simplement matériel en fin de vie qui ne tient plus la charge.
  • Plus de ports disponibles sur les switchs. Impossible d'ajouter un nouveau poste sans débrancher autre chose. Signe d'un réseau qui a grandi sans plan d'évolution.
  • Wi-Fi instable. Déconnexions, débits qui s'effondrent, zones non couvertes. Souvent des bornes grand public mal positionnées, ou une saturation des canaux radio.
  • Téléphonie IP de mauvaise qualité. Échos, coupures de voix, retards. Généralement un problème de QoS non configurée ou de bande passante insuffisante.
  • Aucune sauvegarde des configurations. Le jour où un équipement tombe, on découvre qu'on ne sait plus comment il était configuré. Refaire à l'aveugle prend des heures voire des jours.
  • Pas de supervision. Personne ne sait si un équipement est en alarme tant qu'un utilisateur ne s'en plaint pas. Mode pompier permanent.

Si vous reconnaissez deux ou trois de ces signes, un audit s'impose. Pas forcément pour tout refaire — souvent quelques ajustements ciblés suffisent.

08 — Investissement

Combien ça coûte

Le coût d'un réseau d'entreprise dépend de nombreux paramètres : nombre de postes, complexité du bâtiment, niveau de redondance souhaité, présence ou non d'un câblage existant exploitable, niveau de sécurité requis, choix matériels. Plutôt qu'afficher des fourchettes trompeuses qui ne correspondront pas à votre situation, nous établissons un devis détaillé après audit.

La bonne question à se poser

Pour évaluer la pertinence d'un investissement réseau, il faut surtout regarder le coût de l'inaction. Combien coûte une heure de réseau indisponible ou dégradé pour votre activité ? Sur cette base, un réseau professionnel se rentabilise généralement en quelques mois — et tient ensuite 10 à 15 ans avec une maintenance maîtrisée.

Notre approche : audit du besoin réel et de l'existant, proposition adaptée à votre criticité, devis transparent ligne par ligne. Pas de surdimensionnement inutile, pas de sous-dimensionnement à risque. Le bon dimensionnement pour votre situation.

09 — Questions fréquentes

FAQ

Switch managé ou non managé : quelle différence ?

Un switch non managé est un simple répartiteur de ports, sans configuration possible. Un switch managé offre les fonctions essentielles en entreprise : VLANs pour la segmentation, QoS pour prioriser la voix sur les données, PoE pour alimenter téléphones et bornes Wi-Fi, surveillance du trafic. La différence de prix est minime, mais la flexibilité est sans commune mesure. Pour un réseau pro de plus de 10 postes, on déploie systématiquement du managé.

Combien de temps dure un équipement réseau ?

Le câblage structuré Cat6a tient 15 à 20 ans. Les switchs et pare-feu professionnels durent 7 à 10 ans avant obsolescence technologique (souvent par évolution des normes plutôt que par défaillance matérielle). Les bornes Wi-Fi évoluent plus vite : 5 à 7 ans avec les nouvelles normes (Wi-Fi 6, 6E, 7). On prévoit un renouvellement progressif tous les 5 ans pour rester à jour sans refonte complète.

Fibre ou ADSL pour mon entreprise ?

La fibre est incontournable pour une entreprise. L'ADSL (2 à 15 Mbit/s) ne permet plus de travailler correctement : visioconférences saccadées, cloud lent, téléchargements interminables. Une FTTH Pro à 200 Mbit/s ou 1 Gbit/s coûte le même prix qu'un ADSL pro avec des performances 20 à 100 fois supérieures. Pour le détail des choix entre FTTH et fibre dédiée FTTO, voir notre guide complet.

Peut-on upgrader un réseau progressivement ?

Absolument, à condition de partir sur une architecture extensible dès le départ : câblage Cat6a (prêt 10 Gbit), baie de brassage avec emplacements libres, switchs stackables. Ajout de switchs en cascade, nouvelles bornes Wi-Fi, upgrade du pare-feu, passage du cœur de réseau à 10 Gbit — tout peut se faire par étapes. Vous investissez au rythme de votre croissance plutôt qu'en bloc.

Le Wi-Fi peut-il remplacer complètement le câble ?

Pour la bureautique légère, oui. Mais pour les postes fixes, serveurs, imprimantes réseau et téléphonie IP, le câble reste recommandé. Le Wi-Fi, même professionnel, subit des interférences et des variations de performances selon l'environnement. Un réseau hybride câble + Wi-Fi offre le meilleur compromis : stabilité pour les postes critiques, flexibilité pour la mobilité.

Quelle bande passante prévoir par poste ?

En interne, le LAN doit fournir au minimum du Gigabit symétrique par poste (10 Gbit pour les serveurs et le cœur de réseau). Pour l'accès Internet, la règle empirique est de 5 à 10 Mbit/s par utilisateur actif pour des usages classiques (cloud, mail, visios), à doubler si vous avez de la VoIP intensive ou des transferts réguliers de fichiers lourds. Une PME de 20 personnes est généralement à l'aise avec 200 à 500 Mbit/s symétriques.

Prochaine étape

Un projet réseau ou une refonte à envisager ?

Premier échange de 15 minutes pour comprendre votre situation et voir si on peut vous être utile. Sans engagement, sans présentation commerciale interminable.