Le concept de défense en profondeur est un paradigme de sécurisation, une stratégie globale.
C'est l'approche que recommandent tous les standards en cybersécurité, et ce pour une bonne raison : les autres ne marchent pas.

Nous allons appréhender ce concept au travers d'un exemple : celui d'un courriel, contenant une pièce jointe malveillante, envoyé à un employé d'une entreprise :

• Le courriel va d’abord rencontrer l’antispam de l'entreprise. Parfois, il passera à travers ;
• Le courriel arrive ensuite dans la boite de réception de l'employé. Il est maintenant confronté à la vigilance de cet utilisateur (va-t'il ouvrir la pièce jointe ou non). Parfois, il passera à travers ;
• La pièce jointe s'exécute alors sur le poste de l'utilisateur et rencontre l'antivirus. Parfois, il passera à travers (et pourra alors compromettre le poste) ;
• Le poste infecté va ensuite chercher à répandre son virus dans le réseau. Il fait alors face à l'étanchéité réseau mise en place par l'entreprise. Parfois, il passera à travers et pourra atteindre d'autres postes plus critiques ;
• Pendant que le poste infecté fait son œuvre, il doit échapper aux mécanismes de surveillance du réseau de l'entreprise. Parfois, il passera à travers ;
• Enfin, quand il a accompli son méfait (par exemple chiffrer des fichiers pour demander une rançon), il est alors confronté au système de sauvegarde de l'entreprise. Parfois, il passera à travers (par exemple en ayant effacé des sauvegardes) et l'entreprise ne pourra donc pas rétablir un fonctionnement normal

Petite parenthèse pour souligner que cet exemple démontre aussi la vacuité des discours du type "la plus grosse faille c'est le facteur humain" qui sont répétés ad nauseam. Le facteur humain est une ligne de defense parmi d'autres. Quand une cyberattaque a réussi, c'est effectivement qu'il a failli, mais au même titre que les dizaines d'autres lignes de défense techniques. Il n'y a pas de raison de lui faire porter toute la responsabilité.

Cette séquence d'événement doit vous laisser entrevoir le cœur du concept : ce serait quand même franchement pas de bol qu'il passe au travers à chaque fois !
Et oui effectivement. En multipliant les lignes de défense, on diminue exponentiellement la probabilité qu'une attaque réussisse (car il suffit qu'une seule des lignes de défense fonctionne pour bloquer l'attaque).

L'inverse de la défense en profondeur est de tenter de tout miser sur une ligne de défense unique. Par exemple acquérir un SUPER DUPER antispam qui arrête 100% des courriels malveillants. Ou encore mettre en place un système de sauvegarde super efficace qui fait qu'on peut tout rétablir en moins d'une heure.
40 ans de cybersécurité montrent que ça ne marche pas. Aucune défense n'est infranchissable en informatique ! C'est la multiplication des défenses (même imparfaites) qui garantit la sécurité.

Le concept de défense en profondeur n'est pas tant mobilisé pour décrire ce qu'il représente (qui est au final assez trivial). Il est surtout utilisé comme avertissement et rappel de ne pas tomber dans le travers consistant à mettre tous ses œufs dans le même panier et qui conduit inévitablement à la catastrophe.