Oh, je sais bien. Mon argument est que même si l'IT fait bien son boulot, il y a des contextes où le ratio bénéfice/coût* d'une sécurité stricte mérite d'être évalué.
(* "coût" au sens général, pas seulement financier).

L'histoire des mots de passe qui expirent tous les 3 mois est un très bon exemple : on s'est aperçu qu'en pratique, ça ne faisait qu'encourager les gens à les noter sur des post-it qu'ils laissent traîner, raison pour laquelle ce n'est plus recommandé depuis des années (mais certains se basent encore des recommandations de sécurité qui datent d'il y a 20 ans...).

N'en déduisez pas pour autant que je me fiche de la sécurité info dans les projets sur lesquels je travaille. Ça m'est arrivé plus d'une fois d'avertir les clients de risques de sécu qu'ils n'avaient pas envisagés.