Pendant des années, la cybersécurité s’est construite autour d’une idée relativement simple : plus une organisation investit dans ses dispositifs de protection, moins elle sera exposée aux incidents. Cette logique a profondément structuré les stratégies, les budgets et les démarches d’audit, en orientant les efforts vers le renforcement des contrôles techniques, la réduction des vulnérabilités, l’amélioration des capacités de détection et toujours construire une muraille plus haute.

Avec l'entrée en vigueur des nouvelles règles de la SEC (Securities and Exchange Commission, l'organisme fédéral américain de réglementation et de contrôle des marchés financiers) en matière de cybersécurité, les entreprises publiques sont de plus en plus contraintes de mettre en œuvre une approche globale de l'évaluation des risques, d'atténuation des pertes et notification des incidents.