L'ANSSI recommande aux commanditaires d'audits et aux prestataires d'audit de recourir et demander des audits composés des activités d'audit suivantes:
audit applicatif: audit de code source, audit de configuration (serveur d'application, serveur HTTP, base de données, etc.);
audit d'un centre serveur: audit d'architecture (liaison entre les différentes zones et entités, filtrage, etc.), audit de configuration (équipements réseau et de sécurité, serveurs d'infrastructure), audit organisationnel et physique;
audit d'un réseau bureautique: audit d'architecture, audit de configuration (postes bureautique, équipements réseau, serveurs bureautique, serveurs AD, etc.), audit organisationnel et physique;
audit d'une plate-forme de téléphonie: audit d'architecture, audit de configuration (équipements réseau et de sécurité, IPBX, téléphones, etc.);
audit d'une plate-forme de virtualisation: audit d'architecture, audit de configuration (équipements réseau et de sécurité, systèmes de virtualisation, etc.);
Chacun des types d'audit décrits ci-dessus peut inclure l'activité de tests d'intrusion.