Pour les militaires, la défense en profondeur — au sujet de laquelle on lira avec profit un article du Général Bailey (Le combat dans la profondeur 1914-1941 : la naissance d’un style de guerre moderne) qui évoque à son propos une véritable « révolution dans les affaires militaires » — consiste à envisager que l’ennemi puisse franchir une ligne de défense sans pour cela qu’il devienne impossible de l’arrêter ; cette conception s’impose dès lors que les moyens de frappe à distance et de déplacement rapide, ainsi que le combat dans les trois dimensions, amènent à relativiser la notion de ligne de front et à concevoir l’affrontement armé sur un territoire étendu.
Si l’on tente de transposer cette idée à la sécurité des systèmes d’information, on voit que la multiplication des vulnérabilités, la généralisation des ordinateurs portables qui se déplacent hors du réseau de l’entreprise, la transformation des téléphones en ordinateurs complets, l’usage de logiciels novateurs (code mobile, peer to peer, sites interactifs, téléphonie et visioconférence sur IP) et d’autres innovations ont anéanti la notion de « périmètre de sécurité » de l’entreprise, et obligent le responsable SSI à considérer que la menace est partout et peut se manifester n’importe où. Il faut continuer à essayer d’empêcher les intrusions dans le SI de l’entreprise, mais le succès de la prévention ne peut plus être garanti, et il faut donc se préparer à limiter les conséquences d’une attaque réussie, qui se produira forcément un jour. Et ce d’autant plus que le SI contemporain n’est pas comme par le passé contenu par un « centre de données » monolithique hébergé dans un bunker, mais constitué de multiples éléments plus ou moins immatériels qui vivent sur des ordinateurs multiples, dispersés dans toute l’entreprise et au dehors ; et c’est cette nébuleuse qu’il faut protéger.