Les attaques les plus sérieuses et potentiellement les plus dommageables faites contre les systèmes d'information sont presque toujours réalisées par ou via ceux (à l'insu de leur plein gré ?) qui possèdent des accès autorisés à celui-ci.

L'attitude des employés et leur sensibilisation aux problèmes de sécurité doivent constituer le cœur des programmes ou politiques de sécurité des systèmes d'information.

Toutes les études convergent vers cette nécessité. Une étude Ernst & Young réalisée auprès de 1233 entreprises dans 51 pays confirme que les dirigeants savent que les risques croissants liés aux technologies de l'information proviennent de l'insouciance, de l'ignorance ou de la malhonnêteté des employés. Les entreprises se soucient cependant davantage des menaces qui proviennent de l'externe, elles sous-estiment considérablement celles qui proviennent de l'interne.