Hôtel parisien : réseau Omada, VPN, sauvegardes temps réel, vidéosurveillance 17 caméras et domotique Zigbee

Sinfonee a été missionné pour concevoir et déployer l'ensemble de l'infrastructure numérique d'un hôtel indépendant situé à Paris. L'objectif : offrir à la direction un pilotage complet des équipements depuis une interface unique, garantir la conformité légale en matière de journalisation des connexions WiFi, assurer la continuité et la sécurité des données par des VPN et des sauvegardes automatisées en temps réel, protéger les personnes et les biens par la vidéosurveillance, et réduire la consommation énergétique grâce à une domotique fine chambre par chambre.

La mission couvrait quatre volets distincts mais interconnectés : infrastructure réseau, VPN et sauvegardes, vidéosurveillance et domotique.

Architecture réseau et segmentation par VLANs

L'ensemble du réseau de l'hôtel a été structuré autour du contrôleur TP-Link Omada, déployé sur site. Ce contrôleur centralise la gestion de l'intégralité des équipements actifs : switchs administrables, bornes Wi-Fi et routeur de bordure.

Pour isoler les flux et limiter les risques en cas d'intrusion ou de comportement anormal d'un équipement, nous avons défini plusieurs VLANs distincts :

• VLAN Administration — postes de la direction, logiciel de gestion hôtelière (PMS)
• VLAN WiFi clients — accès internet des voyageurs, isolé du réseau interne
• VLAN Personnel — terminaux mobiles et postes du staff
• VLAN Domotique / IoT — passerelles Zigbee, capteurs, actionneurs
• VLAN Vidéosurveillance — caméras IP et NVR, sans accès internet direct
• VLAN Stockage — NAS dédié aux logs et aux sauvegardes

Des règles de pare-feu inter-VLANs ont été configurées directement dans Omada pour garantir que le réseau clients ne puisse en aucun cas communiquer avec les VLANs internes, et que les caméras ne disposent d'aucune sortie vers internet.

Couverture WiFi et itinérance

Des bornes Wi-Fi Omada EAP ont été positionnées dans chaque couloir et dans les espaces communs (hall, restaurant, salle de réunion) afin d'assurer une couverture homogène sans zone morte. Le mécanisme de roaming transparent (802.11r) permet aux appareils des clients de basculer d'une borne à l'autre sans interruption de connexion lors de leurs déplacements dans l'hôtel.

Portail captif et conformité légale (LCEN)

En France, tout opérateur offrant un accès Wi-Fi au public — dont les hôtels — est soumis à la loi pour la Confiance dans l'Économie Numérique (LCEN) et aux décrets qui l'accompagnent. L'article L34-1 du Code des postes et des communications électroniques impose la conservation des données de connexion pendant un an.

Nous avons mis en place un portail captif intégré à Omada, avec identification des clients par numéro de chambre ou par un code à usage unique fourni à la réception. Chaque connexion génère un enregistrement horodaté comprenant :

• Identifiant de session et numéro de chambre
• Adresse MAC de l'appareil
• Adresse IP attribuée (avec la plage DHCP correspondante)
• Horodatage de début et fin de session
• Volume de données échangées

Ces journaux sont exportés automatiquement et chiffrés vers un NAS dédié sur le VLAN Stockage, inaccessible depuis le réseau clients. Une politique de rétention automatique assure la suppression des logs après 12 mois, conformément aux exigences légales et au RGPD.

Déploiement des caméras

17 caméras IP ont été déployées dans l'ensemble de l'établissement, couvrant les zones suivantes :

• Hall d'entrée et réception (vision grand angle)
• Couloirs de chaque étage
• Accès aux issues de secours et sorties de service
• Parking et abords extérieurs
• Restaurant et salle de petit-déjeuner
• Local technique et local bagages

Les caméras sont raccordées par câblage RJ45 Cat 6 et alimentées en PoE (Power over Ethernet) via les switchs Omada, éliminant tout câblage d'alimentation séparé. Elles sont placées sur le VLAN Vidéosurveillance dédié, sans aucune sortie vers internet.

NVR et enregistrement automatique

L'ensemble des flux vidéo est centralisé sur un NVR (Network Video Recorder) de haute capacité, configuré pour l'enregistrement continu en qualité Full HD. Les paramètres suivants ont été définis :

• Enregistrement 24h/24 avec détection de mouvement pour les zones à faible trafic nocturne
• Rétention de 30 jours glissants (au-delà, les séquences les plus anciennes sont automatiquement écrasées)
• Accès sécurisé à l'interface de visualisation via VPN pour la direction
• Alertes par e-mail en cas de perte de signal d'une caméra

L'installation est conforme aux recommandations de la CNIL en matière de vidéosurveillance dans les établissements recevant du public : signalétique affichée, durée de conservation limitée, et accès restreint aux enregistrements.

VPN site à site — liaison sécurisée avec le siège

Un tunnel VPN site à site chiffré a été établi entre l'hôtel et le site distant de la direction (bureau central du propriétaire). Ce tunnel, basé sur WireGuard pour ses performances et sa robustesse, assure :

• Un lien privé et chiffré de bout en bout entre les deux sites, imperméable aux écoutes sur internet
• L'acheminement des flux de sauvegarde dans un tunnel isolé, sans consommer la bande passante internet de l'hôtel
• L'accès depuis le siège aux interfaces d'administration du contrôleur Omada, du NVR et des tableaux de bord domotiques, comme si les équipements étaient en réseau local
• Un mécanisme de reconnexion automatique en cas de coupure réseau transitoire, sans intervention manuelle

La configuration du routeur Omada inclut une règle de basculement automatique (failover) : si la liaison principale tombe, le VPN se rétablit automatiquement via la connexion de secours, garantissant la continuité des sauvegardes et de la supervision à distance.

Sauvegardes automatisées en temps réel

Un plan de sauvegarde automatisé couvre l'ensemble des données critiques de l'établissement. Les sauvegardes transitent exclusivement par le tunnel VPN site à site, sans jamais transiter en clair sur internet.

Vidéosurveillance — réplication NVR vers NAS distant

Les enregistrements du NVR sont répliqués en continu vers un NAS situé au siège via le tunnel VPN :

• Synchronisation incrémentale en temps réel : seuls les nouveaux segments vidéo sont transférés, minimisant la bande passante utilisée
• En cas de destruction ou de vol du NVR sur site, les enregistrements des dernières heures restent disponibles sur le NAS distant
• Rétention étendue à 60 jours sur le site distant (vs 30 jours sur le NVR local), pour les besoins d'enquêtes ou de litiges
• Vérification automatique quotidienne de l'intégrité des fichiers répliqués, avec alerte e-mail en cas d'anomalie

Données de travail — PMS, comptabilité, logs

Les données applicatives de l'hôtel bénéficient d'un plan de sauvegarde 3-2-1 (3 copies, sur 2 supports différents, dont 1 hors site) :

• Base de données du PMS (logiciel hôtelier) : dump SQL automatique toutes les heures, chiffré et transféré vers le NAS local puis vers le NAS distant
• Documents comptables et administratifs : synchronisation en temps réel des dossiers partagés vers le NAS local (VLAN Stockage) et réplication nocturne vers le site distant
• Journaux de connexions WiFi (obligation LCEN) : archivage chiffré automatique sur le NAS local avec réplication quotidienne hors site
• Configuration des équipements réseau : sauvegarde automatique hebdomadaire des configurations Omada, permettant une restauration complète en moins de 30 minutes en cas de panne matérielle

Toutes les sauvegardes sont chiffrées à la source (AES-256) avant transmission. Des tests de restauration sont réalisés trimestriellement pour valider l'intégrité et l'exploitabilité des données sauvegardées.

VPN pour postes nomades

La direction et les responsables techniques de l'hôtel sont fréquemment en déplacement. Un accès sécurisé à l'infrastructure de l'hôtel depuis n'importe quel réseau internet était indispensable.

Nous avons déployé une solution de VPN nomade basée sur WireGuard, disponible sur ordinateurs (Windows, macOS, Linux) et smartphones (Android, iOS). Chaque utilisateur dispose d'un profil individuel avec :

• Authentification par certificat — aucun mot de passe transmis sur le réseau, résistant aux attaques par force brute
• Split tunneling configuré — seul le trafic à destination de l'hôtel passe par le VPN ; la navigation internet personnelle reste directe, sans impact sur les performances
• Accès depuis le VPN nomade aux mêmes ressources que depuis le réseau interne : tableau de bord domotique, interface Omada, flux caméras en direct, NAS, interface du PMS
• Révocation instantanée d'un accès en cas de perte ou de vol d'un appareil, sans reconfiguration des autres utilisateurs
• Journalisation des connexions VPN (heure, identité, durée) pour audit de sécurité interne

L'ensemble — VPN site à site, sauvegardes automatisées et VPN nomades — forme un écosystème de continuité d'activité qui protège l'hôtel contre les pannes matérielles, les sinistres et les incidents de sécurité, tout en donnant à la direction une visibilité complète à distance.

Architecture Zigbee

Le choix du protocole Zigbee s'est imposé pour la domotique en raison de sa faible consommation électrique, de son architecture maillée (chaque équipement peut relayer le signal des autres) et de sa robustesse dans un bâtiment multi-étages aux murs épais.

Un coordinateur Zigbee central, connecté sur le VLAN Domotique, pilote l'ensemble des équipements. Des routeurs Zigbee intermédiaires ont été positionnés à chaque étage pour étendre la portée du réseau maillé et garantir une couverture totale du bâtiment.

Ouverture automatique des fenêtres

Des actionneurs motorisés Zigbee ont été installés sur les fenêtres de chaque chambre. Ils permettent :

• L'ouverture et la fermeture à distance depuis le tableau de bord de la direction
• Une ouverture automatique programmable selon des plages horaires (aération matinale entre les départs et les nouvelles arrivées)
• La fermeture automatique en cas de détection de pluie (capteur météo extérieur)
• L'interdiction d'activation du chauffage lorsqu'une fenêtre est détectée ouverte, pour éviter les dépenses énergétiques inutiles

Température et hygrométrie par chambre

Chaque chambre est équipée d'un capteur combiné température / hygrométrie Zigbee. Les relevés sont effectués toutes les 5 minutes et remontés en temps réel vers le système de supervision. Ces données permettent :

• De détecter une chambre anormalement froide ou humide (signe d'un problème d'étanchéité ou d'une fenêtre oubliée ouverte)
• D'anticiper les besoins de chauffage ou de ventilation avant l'arrivée d'un client
• D'historiser les données pour identifier les chambres les plus énergivores
• De générer des alertes automatiques si un seuil critique est dépassé (taux d'humidité > 70 %, température < 16 °C)

Robinets thermostatiques connectés

Des têtes thermostatiques Zigbee ont remplacé les robinets manuels existants sur l'ensemble des radiateurs de l'hôtel. Ce dispositif permet un pilotage précis du chauffage chambre par chambre :

• Mode occupation : température de confort (20 °C) lorsque la chambre est louée et le client présent
• Mode veille : température réduite (16 °C) lors des périodes d'inoccupation, entre deux séjours
• Mode hors-gel : maintien à 8 °C pour les chambres non louées en période hivernale
• Synchronisation PMS : les modes sont basculés automatiquement en fonction des données d'arrivée et de départ issues du logiciel hôtelier
• Retour sur investissement estimé en moins de 18 mois grâce aux économies d'énergie réalisées

Sinfonee a développé des tableaux de bord sur mesure accessibles depuis n'importe quel navigateur, permettant à la direction et au personnel technique de superviser en temps réel l'ensemble des équipements de l'hôtel.

Vue plan de l'hôtel

Un plan interactif de l'établissement affiche en temps réel, chambre par chambre :

• La température et le taux d'humidité actuels
• L'état des fenêtres (ouvertes / fermées)
• La consigne de chauffage active et la température du radiateur
• Le statut d'occupation (libre / occupée / en nettoyage)
• Les alertes actives (fenêtre ouverte + chauffage allumé, humidité excessive, etc.)

Vue énergie et consommation

Un second tableau agrège les données de consommation pour permettre à la direction d'identifier les postes de dépense et d'optimiser les plannings :

• Historique de température par chambre sur 30, 90 ou 365 jours
• Comparaison de consommation entre étages et entre chambres
• Export des données au format CSV pour intégration comptable

Vue réseau et connexions

Un tableau dédié à l'infrastructure réseau synthétise :

• Le nombre de clients connectés par VLAN en temps réel
• L'état de chaque borne WiFi et la qualité du signal
• Les alertes de surveillance (caméra hors ligne, borne déconnectée)
• Un accès sécurisé aux journaux de connexions pour réponse aux réquisitions judiciaires

• Conformité légale assurée : journalisation des connexions WiFi conforme à la LCEN, stockage chiffré sur NAS isolé, rétention automatique sur 12 mois
• Continuité d'activité garantie : VPN site à site avec failover automatique, plan de sauvegarde 3-2-1, réplication temps réel vers site distant, restauration complète possible en moins de 30 minutes
• Données vidéo protégées hors site : réplication incrémentale du NVR vers NAS distant, rétention étendue à 60 jours hors site, intégrité vérifiée automatiquement chaque jour
• Mobilité sécurisée : VPN nomade WireGuard pour la direction et les techniciens, authentification par certificat, révocation instantanée en cas de perte d'appareil
• Sécurité renforcée : 17 caméras couvrant 100 % des zones communes, NVR en enregistrement continu, réseau vidéosurveillance isolé sans sortie internet
• Économies d'énergie : réduction estimée à 25–30 % de la consommation de chauffage grâce au pilotage automatique des têtes thermostatiques Zigbee
• Qualité de service WiFi : couverture homogène avec roaming 802.11r, portail captif ergonomique, zéro réclamation client depuis le déploiement
• Supervision unifiée : un seul tableau de bord pour piloter réseau, VPN, sauvegardes, domotique et vidéosurveillance, accessible depuis smartphone ou ordinateur via VPN nomade