La sécurité doit être considérée comme faisant partie intégrante de chaque élément du système. Chaque service, chaque brique logicielle, chaque choix configuration ont un impact sur la sécurité globale du système. C'est donc un elément constituant de toutes les parties. Il faut le traiter ainsi, et non comme une couche supplémentaire du système. La sécurité, c'est apache bien configuré sur un système bien configuré avec un firewall implémenté correctement. Ce n'est pas apache + firewall.

Exprimé autrement, la sécurité n'est pas un logiciel, ce n'est pas la dernière appliance à la mode achetée à grands frais^[3]. C'est un ensemble de bonnes pratiques que l'on applique à l'ensemble des élements du système. Vu ainsi, lorsque la sécurité sera appréhendée comme étant partie de chaque élément, le système sera beaucoup plus robuste, plus résilient et l'impact d'une attaque réussie sera moins important. C'est le fondement de la sécurité par/en couches, qui ne cherche pas à supprimer complètement la menace (c'est impossible), mais à ralentir la progression de l'attaquant et réduire les conséquences de son attaque (concept de «  défense en profondeur »).