Une des premières choses que l'on apprend lorsque l'on s'intéresse à la sécurité informatique, c'est qu'environ 80% des attaques proviennent de l'intérieur, principalement de la part d'employés renvoyés ou mécontents, de consultants externes, ou bien de pirates informatiques qui se sont introduits sur le réseau d'une façon ou d'une autre (connexion Internet non-sécurisée, modems, social engineering, embauché par la victime sous de faux prétextes). Depuis l'explosion démographique d'Internet, ce chiffre n'est plus tout à fait exact, mais selon les dernières études, il y a toujours entre 60% et 80% des intrusions déclarées qui ont lieu sur le réseau interne. Cependant, la plupart des compagnies de sécurité informatique mettront la plus grande partie de leurs efforts pour sécuriser la périphérie de ce réseau tout en laissant le réseau interne tel quel, soit par manque de prise de conscience du problème, par manque de compétence, ou plus souvent par manque de ressources financières de la part du client pour mettre en place des mesures affectant chacun des postes de l'entreprise.
J'ai moi-même pu constater à quelques reprises, dans le cadre de mes fonctions, qu'une fois que la périphérie du réseau a été traversée, le reste du réseau n'est plus qu'un gros fruit mûr qu'on a qu'à cueillir. C'est pourquoi il est impératif de définir des mesures qui amélioreront la sécurité globale des installations informatiques, tout en gardant le coût de mise en place le plus bas possible. Ceci est rendu possible par l'optimisation de la configuration des outils déjà disponibles sur place, soit par l'automatisation des procédures afin de minimiser les interactions humaines directes sur les machines à sécuriser par les personnes chargées du mandat.
2. Définition de l'approche multi-niveau