En s'appuyant sur des normes et des standards de sécurité informatique, il est possible d'établir des politiques de sécurité. Cependant, ces normes et standards sont très descriptifs, particulièrement lorsqu'ils portent sur la prévention et la sensibilisation. Or, ces deux aspects sont des enjeux majeurs bien en amont de la mise en ouevre de la sécurité informatique "moderne". 
Pour répondre à ces enjeux, nous pouvons utiliser les programmes d'education, d'entraînement, de sensibilisation à la sécurité informatique (en anglais "SETA programs" (Security Education Training and Awareness)). Ces programmes permettent de trouver un équilibre stratégique entre le paradigme de prévention et de protection. 
Nous proposons d'étudier l'état de l'art pour identifier des recommandations sur comment concevoir des programmes SETA. Les recommandations suivront le cycle PDCA (Plan Do Check Action) pour être les plus prescriptives possibles.