Lors de plus de 500 missions en France et à l'étranger, dans plus de 50 pays, tant en conseil qu'en audit, j'ai fait un constat de trois réalités. Primo, tout le monde utilise quasiment les mêmes systèmes informatiques. Deuzio, ces systèmes sont tous connectés à un seul grand réseau: Internet. Ces deux réalités en ont généré une troisième : les attaques sont aussi homogènes que les « cibles ». En effet, les attaquants se focalisent sur les systèmes les plus répandus, visibles depuis Internet. Il m'est alors venu l'idée d'imaginer un système de sécurité basé sur l'analyse des attaques et la connaissance des attaquants d'une part et, l'étude des vulnérabilités des systèmes, cibles de ces attaques, pour obtenir une architecture défensive universelle.Cette approche n'est pas opposée à la norme ISO27001: elle la complète et montre aussi les priorités et les incontournables, vis-à-vis des fondamentaux de la sécurité.