Vulnérabilités potentielles :

- authentification des utilisateurs
- variables de session sans garantie de confidentialité des informations sensibles
- permissions, privilèges et contrôle d’accès
- dépassement de tampon créant une potentielle injection de code en mémoire
- Cross-Site Request Forgery (CSRF) : requêtes effectuées par un utilisateur à la place d'un autre
- Cross-Site Scripting (XSS) : information erronée envoyée par un utilisateur
- algorithme de chiffrement non sécuritaire ou mauvaise utilisation
- chemins d’accès permettant d’accéder à des fichiers en dehors de toute autorisation
- injection de code arbitraire sur le système à partir de données d’utilisateurs ou de téléchargements 
- mauvaise configuration d’un système
- exposition d’informations système ou de données
- défaut de conception
- problème d’implantation ou de configuration

Origine des failles de sécurité :

- systèmes trop verbeux
- mots de passe faibles
- permissions et droits
- confiance interdomaine
- bases de données avec mot de passe par défaut
- serveurs DNS trop verbeux
- partages de fichiers confidentiels
- protocoles mal configurés ou non chiffrés
- serveurs de développement ou abandonnés
- vulnérabilités connues mais non corrigées

Gravité et volumétrie du risque :

1. fuite de données totale, conséquente ou minime
2. exploitation & diffusion potentielle de la faille
3. nature des données : clientèle, fournisseurs, salariés, comptabilité
4. origine du problème : prestataire, client ou interne
5. nombre d'implantations physiques
6. nombre de salariés/postes de travail