La conception générale qui prévaut en matière de sécurité est qu’un système critique doit être « bunkérisé » pour résister aux attaques. Il s’agit là d’une très mauvaise interprétation des principaux modèles de sécurité. Outre qu’il n’est jamais possible de s’assurer qu’une telle approche est réellement optimale, elle est conceptuellement fausse. En effet, elle suppose de souscrire à la croyance que la sécurité consiste à empêcher les attaques — ce qui est un non-sens — alors que son véritable rôle est d’être en mesure de les identifier au plus vite, de passer en conditions dégradées, le temps de restaurer le système et surtout de laisser la priorité au cœur de métier (monde industrie) ou la mission opérationnelle (monde militaire). Autrement dit, la sécurité doit envisager une gestion du risque ainsi qu’une réponse dans la profondeur plutôt qu’une politique du sanctuaire.

Si récemment cette vision de la réponse dans la profondeur tend à s’imposer notamment dans le monde de la défense, face à des attaques de plus en plus nombreuses, elle est encore d’une portée très limitée. On s’arrête aux murailles du sanctuaire : on érige plusieurs murs d’enceinte intérieurs en espérant que si le mur extérieur tombe, le cœur reste préservé. Il s’agit là d’une vision malheureusement encore étriquée de la sécurité. En cas de cyberguerre, elle serait fatale comme nous l’expliquons dans cet article.

Alors que dans un conflit classique, l’ennemi doit toujours finir par traiter directement une cible (phase finale du combat au sol après les raids aériens, par exemple) et faire tomber un sanctuaire, dans le domaine de la guerre informatique, cela n’est plus vrai. La cible est d’une manière ou d’une autre interconnectée avec d’autres composantes selon une cartographie et une interdépendance qu’il est souvent impossible de préciser ; si ce n’est pour l’ennemi.