Sécuriser un système d'information est une quête sans fin. La question qui se pose en général est : jusqu'où aller ? Afin de pouvoir répondre, il est nécessaire d'évaluer le système d'information : Quel est mon bien ? Quel est sa valeur ? Quels coûts seront engendrés par un acte malveillant ?

Ces coûts peuvent être directs et directement quantifiables (équipements, coûts de réinstallation d'un serveur compromis, coûts d'une action légale, ...) ou indirects, liés à des biens immatériels (coûts d'image, vol de secrets, ...).

En regard de ces différents coûts, il faudra dimensionner l'infrastruture de sécurité. Inutile, à priori, de déployer des milliers d'euros en équipements de protection si vous devez uniquement protéger votre accès internet. En revanche, quand il s'agit d'un réseau plus important et de quelques serveurs, il faut peut être envisager la chose.