La plupart des programmes de sensibilisation à la sécurité fournissent aujourd'hui aux employés les informations dont ils ont besoin sur le traitement des données, les règles du GDPR et les menaces courantes, telles que le phishing.

Cette approche présente néanmoins une faiblesse majeure : les programmes ne tiennent pas compte du comportement humain. Ils suivent généralement une approche unique, les employés suivant une formation générique annuelle sur ordinateur avec des animations et un court quiz.

Bien que cela fournisse les informations nécessaires, la nature précipitée de la formation et le manque de pertinence personnelle résulte souvent en que les employés oublient les informations en seulement 4 à 6 mois. Cela peut être expliqué par la théorie de Daniel Kahneman sur la cognition humaine. Selon la théorie, chaque individu possède un processus de pensée rapide, automatique et intuitif, appelé Système 1. Les gens ont également un processus de pensée lent, délibéré et analytique, appelé Système 2.

Les programmes traditionnels de sensibilisation à la sécurité ciblent principalement le Système 2, car les informations doivent être traitées de manière rationnelle. Toutefois, sans motivation suffisante, sans répétition et sans signification personnelle, l'information entre généralement dans une oreille et sort par l'autre.