D’abord, le renforcement des mesures cyber dans les entreprises donnent l’illusion aux salariés qu’ils sont bien protégés, à l’instar d’un propriétaire qui installe une porte blindée et des caméras de surveillance dans son foyer et se sent intouchable. Mais si un cambrioleur emploie les moyens nécessaires pour cibler précisément son habitation, à l’image d’une attaque de spearphishing, ou si le propriétaire est négligent en laissant sa porte blindée ouverte, le cambriolage aura lieu. En cybersécurité, c’est pareil : lorsque la sécurité n’est pas intégrée de façon pro-active à tous les niveaux d’une organisation et n’est pas maintenue, elle ne garantit pas une protection élevée face à des cyberattaques de plus en plus sophistiquées.

De plus, la sécurité informatique n’est souvent pas implémentée de façon transparente et va alors peser sur l’utilisateur par le biais de lourdes règles de sécurité qu’il ne fera que contourner. Résultat : des failles de sécurité apparaissent malgré une sécurité jugée robuste.
Enfin, une absence de culture de la cybersécurité peut engendrer un manque de vigilance de la part des utilisateurs. La cybersécurité repose avant tout sur le facteur humain. Chacun doit se sentir pleinement acteur de la protection de ses données et de celles de son entreprise, et non simple spectateur. ».