Alors pour répondre à tes questions, l'entreprise n'a pas de Wi-Fi (du moins pas encore), il n'y a pas de smartphones, tablettes, il est interdit d'utiliser un matériel personnel (ordinateur portable ou clé USB).
Le problème de fail2ban, c'est qu'il lit les fichiers de log, et découvre l'intrusion par plusieurs échecs d'authentification. Ce que je veux réellement, c'est par exemple si un intrus prend son portable et se connecte à un switch ou à une prise murale, il faut, dès que le port s'active, vérifier qu'il fait bien parti de l'entreprise, et s'il ne l'est pas, il faut bloquer le port du switch. Alors peut-être avec l'authentification par Certificat (EAP-TLS) avec Radius, mais il est vrai que j'ai du mal à comprendre le principe des IDS: entre NIDS, HIDS, etc, est-ce qu'il est possible d'intéragir avec le réseau depuis les IDS ?