Découvrez comment les routeurs MikroTik permettent aux PME de segmenter leur réseau, prioriser le trafic et renforcer leur sécurité informatique à moindre coût.
MikroTik en PME : segmentation réseau, QoS et sécurité pour votre entreprise
Dans un contexte où les PME dépendent de plus en plus de leur infrastructure réseau pour fonctionner au quotidien, la question du choix de l'équipement réseau devient stratégique. Entre les solutions grand public inadaptées et les équipements enterprise hors budget, MikroTik s'impose comme une alternative redoutablement efficace pour les petites et moyennes entreprises.
Que vous gériez un cabinet comptable, un atelier de production ou une agence de communication, votre réseau est le système nerveux de votre activité. Un réseau mal configuré, c'est des appels VoIP qui coupent, des fichiers partagés qui rament et des failles de sécurité béantes.
Dans cet article, nous allons explorer comment MikroTik peut transformer l'infrastructure réseau de votre PME grâce à trois piliers fondamentaux : la segmentation réseau, la QoS (Quality of Service) et la sécurité avancée.
Qu'est-ce que MikroTik et pourquoi les PME l'adoptent ?
Une marque née pour les réseaux professionnels
MikroTik est un fabricant letton fondé en 1996, spécialisé dans les équipements réseau et le logiciel RouterOS. Contrairement aux idées reçues, ce n'est pas une solution « bricolage » : MikroTik équipe des fournisseurs d'accès Internet, des datacenters et des milliers d'entreprises dans le monde.
Le rapport fonctionnalités/prix imbattable
C'est le principal argument de MikroTik pour les PME :
- Un routeur hEX S (RB760iGS) coûte moins de 80 € et offre des fonctionnalités comparables à des équipements Cisco ou Fortinet à plusieurs centaines d'euros
- Le CCR2004 gère du multi-gigabit pour moins de 400 €
- Les switches CRS proposent du PoE, du VLAN et de l'agrégation à des tarifs très compétitifs
- Aucune licence récurrente : RouterOS est inclus à vie avec le matériel
RouterOS : un système d'exploitation réseau complet
RouterOS est le cœur de l'écosystème MikroTik. Il intègre nativement :
- Firewall stateful avec inspection de paquets
- VPN (IPsec, L2TP, WireGuard, OpenVPN)
- QoS et gestion de bande passante
- VLAN 802.1Q
- Routage dynamique (OSPF, BGP)
- Hotspot et portail captif
- DNS, DHCP, NTP et bien plus
Tout se configure via WinBox (interface graphique), la ligne de commande ou l'API REST.
La segmentation réseau : cloisonner pour mieux protéger
Pourquoi segmenter son réseau en PME ?
La segmentation réseau consiste à diviser un réseau unique en plusieurs sous-réseaux isolés. C'est une pratique fondamentale en cybersécurité, mais encore trop peu appliquée dans les PME.
Sans segmentation, un réseau typique de PME ressemble à ceci :
- Tous les postes de travail, serveurs, imprimantes, caméras IP et smartphones sont sur le même réseau
- Un malware qui infecte un poste peut se propager latéralement à l'ensemble du réseau
- Un visiteur connecté au Wi-Fi accède potentiellement aux ressources internes
Avec segmentation, vous créez des zones étanches :
- VLAN Administration : postes de direction, comptabilité, RH
- VLAN Production : ateliers, machines connectées
- VLAN Serveurs : serveurs de fichiers, applications métier
- VLAN Invités : accès Internet uniquement, aucun accès interne
- VLAN IoT : caméras, capteurs, domotique
Configuration des VLANs sur MikroTik
Sur un routeur MikroTik, la mise en place de VLANs se fait en quelques étapes :
- Créer les interfaces VLAN sur le port trunk (généralement le port connecté au switch)
- Attribuer des adresses IP à chaque VLAN (ex : 192.168.10.0/24, 192.168.20.0/24)
- Configurer le serveur DHCP pour chaque sous-réseau
- Définir les règles de firewall pour contrôler la communication inter-VLAN
Voici un exemple simplifié de configuration :
/interface vlan
add interface=ether1 name=vlan-admin vlan-id=10
add interface=ether1 name=vlan-serveurs vlan-id=20
add interface=ether1 name=vlan-invites vlan-id=30
/ip address
add address=192.168.10.1/24 interface=vlan-admin
add address=192.168.20.1/24 interface=vlan-serveurs
add address=192.168.30.1/24 interface=vlan-invites
/ip firewall filter
add chain=forward src-address=192.168.30.0/24 dst-address=192.168.10.0/24 action=drop comment="Bloquer invités vers admin"
add chain=forward src-address=192.168.30.0/24 dst-address=192.168.20.0/24 action=drop comment="Bloquer invités vers serveurs"Bonnes pratiques de segmentation
- Isolez toujours le Wi-Fi invité du réseau interne
- Séparez les objets connectés (IoT) : caméras, thermostats et capteurs sont souvent vulnérables
- Limitez les communications inter-VLAN au strict nécessaire
- Documentez votre plan d'adressage : un tableau clair évite les erreurs
QoS : prioriser le trafic critique de votre entreprise
Le problème de la bande passante partagée
Dans une PME, tous les flux partagent la même connexion Internet et le même réseau local :
- Les appels téléphoniques VoIP
- Les visioconférences Teams ou Zoom
- Les transferts de fichiers volumineux
- La navigation web
- Les sauvegardes cloud
- Le streaming (parfois non professionnel...)
Sans QoS, c'est la loi du premier arrivé, premier servi. Résultat : un gros transfert de fichier peut dégrader la qualité d'un appel client important.
Comment fonctionne la QoS sur MikroTik ?
MikroTik propose plusieurs mécanismes de QoS, du plus simple au plus avancé :
Simple Queue : la méthode rapide
Les Simple Queues permettent de limiter ou garantir la bande passante par adresse IP ou sous-réseau :
/queue simple
add name=voip target=192.168.10.0/24 max-limit=10M/10M priority=1/1
add name=invites target=192.168.30.0/24 max-limit=5M/5M priority=8/8Dans cet exemple, le trafic VoIP est prioritaire (priority=1) tandis que les invités sont limités à 5 Mbps avec la priorité la plus basse.
Queue Tree : le contrôle granulaire
Pour un contrôle plus fin, les Queue Trees combinées au Mangle (marquage de paquets) permettent de classifier le trafic par protocole, port ou type d'application :
- Priorité haute : VoIP (SIP/RTP), visioconférence
- Priorité moyenne : applications métier, ERP, CRM
- Priorité normale : navigation web, emails
- Priorité basse : mises à jour système, sauvegardes, streaming
Burst : la flexibilité intelligente
MikroTik propose une fonctionnalité de burst qui permet de dépasser temporairement la limite de bande passante. Idéal pour le chargement de pages web (pic court de trafic) tout en maintenant une limite globale.
Cas pratique : un cabinet d'avocats
Prenons l'exemple d'un cabinet d'avocats de 15 personnes avec une connexion fibre 100 Mbps :
| Flux | Bande passante garantie | Priorité |
|---|---|---|
| VoIP (standard téléphonique IP) | 20 Mbps | Haute |
| Applications métier (logiciel de gestion) | 30 Mbps | Moyenne |
| Navigation web / emails | 30 Mbps | Normale |
| Sauvegardes cloud (nuit) | 20 Mbps | Basse |
Avec cette configuration, même si les sauvegardes tournent en journée, les appels clients restent cristallins.
Sécurité avancée : le firewall MikroTik comme rempart
Un firewall professionnel intégré
Le firewall de RouterOS est un firewall stateful complet, comparable aux solutions dédiées. Il s'articule autour de trois chaînes principales :
- Input : trafic destiné au routeur lui-même
- Forward : trafic traversant le routeur (entre réseaux)
- Output : trafic émis par le routeur
Les règles de base indispensables
Toute configuration MikroTik en PME devrait inclure ces règles fondamentales :
- Accepter les connexions établies et liées : fluidité du trafic légitime
- Dropper les connexions invalides : éliminer les paquets malformés
- Limiter l'accès à l'interface d'administration : uniquement depuis le VLAN admin
- Bloquer le trafic entrant non sollicité depuis Internet
- Activer le NAT masquerade pour la sortie Internet
/ip firewall filter
add chain=input connection-state=established,related action=accept
add chain=input connection-state=invalid action=drop
add chain=input in-interface=ether1-wan action=drop comment="Bloquer tout accès WAN non sollicité"
add chain=forward connection-state=established,related action=accept
add chain=forward connection-state=invalid action=dropProtection contre les attaques courantes
MikroTik permet de se prémunir contre de nombreuses attaques réseau :
Protection anti-brute force :
/ip firewall filter
add chain=input protocol=tcp dst-port=22 src-address-list=ssh_blacklist action=drop
add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage3 action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout=10d
add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage2 action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=1m
add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage1 action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m
add chain=input protocol=tcp dst-port=22 connection-state=new action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=1mBlocage de ports dangereux :
Il est recommandé de bloquer les ports fréquemment exploités (Telnet 23, SMB 445, RDP 3389) en entrée depuis Internet.
Listes d'adresses dynamiques :
RouterOS permet de créer des listes d'adresses IP automatiquement alimentées : IPs bloquées après tentatives échouées, pays à bloquer via des listes GeoIP, etc.
VPN intégré : le télétravail sécurisé
MikroTik supporte nativement WireGuard (depuis RouterOS 7), le protocole VPN le plus performant du moment :
- Configuration simple côté routeur et côté client
- Chiffrement moderne (ChaCha20, Curve25519)
- Performances excellentes même sur du matériel modeste
- Compatible Windows, macOS, Linux, iOS et Android
C'est la solution idéale pour permettre à vos collaborateurs de travailler à distance en toute sécurité, sans investir dans un boîtier VPN dédié.
Mise en production : les étapes pour déployer MikroTik dans votre PME
Étape 1 : l'audit du réseau existant
Avant tout déploiement, il faut cartographier l'existant :
- Nombre de postes, serveurs et périphériques
- Types de flux (VoIP, applications métier, web)
- Connexion Internet (débit, opérateur)
- Points d'accès Wi-Fi
- Besoins en télétravail
Étape 2 : le dimensionnement matériel
Le choix du routeur dépend de vos besoins :
| Modèle | Cas d'usage | Budget |
|---|---|---|
| hEX S (RB760iGS) | PME < 20 postes, < 500 Mbps | ~70 € |
| RB5009 | PME 20-50 postes, multi-gigabit | ~200 € |
| CCR2004 | PME 50+ postes, haute performance | ~400 € |
Ajoutez un switch manageable CRS si vous avez besoin de PoE pour vos points d'accès Wi-Fi ou téléphones IP.
Étape 3 : la configuration initiale
- Mettre à jour RouterOS vers la dernière version stable
- Changer le mot de passe par défaut (critique !)
- Désactiver les services inutiles (Telnet, FTP, API non sécurisée)
- Configurer le firewall de base
- Mettre en place les VLANs
- Configurer la QoS
- Activer les sauvegardes automatiques de la configuration
Étape 4 : la supervision
MikroTik s'intègre avec les outils de supervision classiques :
- SNMP pour Checkmk, Zabbix ou PRTG
- The Dude : outil de supervision gratuit de MikroTik
- Syslog pour centraliser les journaux
- Netflow/IPFIX pour l'analyse du trafic
Les erreurs à éviter
1. Laisser la configuration par défaut
La configuration par défaut de MikroTik est fonctionnelle mais pas optimisée pour la sécurité. Prenez le temps de la personnaliser.
2. Négliger les mises à jour
RouterOS reçoit des mises à jour régulières incluant des correctifs de sécurité. Planifiez des fenêtres de maintenance pour les appliquer.
3. Ne pas sauvegarder la configuration
Un export régulier de la configuration (/export file=backup) est indispensable. Stockez-le hors du routeur.
4. Sous-dimensionner le matériel
Un routeur surchargé devient un goulot d'étranglement. Prévoyez une marge de 30% par rapport à vos besoins actuels.
5. Configurer sans documenter
Chaque règle de firewall, chaque VLAN doit être documenté avec des commentaires. Votre successeur (ou vous dans 6 mois) vous remerciera.
VaultAura : votre partenaire MikroTik à Lyon
Chez VaultAura, nous déployons et administrons des infrastructures réseau MikroTik pour les PME de la région lyonnaise. Notre expertise couvre :
- L'audit de votre réseau existant et la recommandation de la solution adaptée
- Le déploiement clé en main : configuration, segmentation, QoS et sécurité
- La supervision continue de vos équipements réseau
- Le support réactif en cas d'incident
- La formation de vos équipes aux bases de RouterOS
Vous souhaitez moderniser votre infrastructure réseau sans exploser votre budget ? Contactez VaultAura pour un audit gratuit de votre réseau et découvrez comment MikroTik peut répondre à vos besoins.
En résumé, MikroTik offre aux PME un niveau de fonctionnalités réseau habituellement réservé aux grandes entreprises, à une fraction du coût. La segmentation par VLANs, la QoS intelligente et le firewall avancé sont trois piliers qui transforment un réseau fragile en infrastructure robuste et sécurisée. L'investissement matériel est minime comparé aux gains en performance, sécurité et tranquillité d'esprit.
