Cette liste de cibles potentielles peut ensuite être découpée en plusieurs approches offensives, de manière à bien identifier les failles dans un système de sécurité global. La liste des risques possibles comprend aussi bien ceux visant les membres de la famille, les risques pendant les loisirs, les conférences, à quoi il faut ajouter une analyse comportementale et un profilage psychologique et sociologique, entre autres. Quand ce travail est fini, les experts estiment qu'il est possible d'évaluer toutes les menaces possibles. Il faut s'assurer aussi de disposer du calendrier des maintenances informatiques. « Chaque année, nous remarquons que si la vigilance de systèmes très sécurisés baisse ne serait-ce que pendant quelques secondes, ceux-ci sont piratés. Peut-on vraiment croire à un simple accident ? » a déclaré Rafal Los.

L'étape suivante consiste à tester les situations listées. Les attaques peuvent se produire sur site. Il y aussi les attaques techniques et d'ingénierie sociale. Selon Shane MacDougall, « il faut identifier le risque que fait courir chaque utilisateur dans l'entreprise. » Le risque peut aussi se produire dans les conférences. « Les salariés participants peuvent se faire voler leur smartphone ou leur badge d'entrée et quelqu'un peut les utiliser pour s'introduire dans l'entreprise», a-t-il déclaré. Les experts en sécurité ont souligné que certaines des méthodes exposées dans leur discours sont « illégales et contraires à l'éthique ». Ils ne les approuvent pas, mais leur objectif est de se mettre dans la peau de pirates offensifs et imaginer comment ils pourraient agir, afin de réagir efficacement à leurs attaques.

Après la phase de tests, il est nécessaire d'analyser les résultats. Selon les deux chercheurs, l'enquête doit se faire de manière continue, et doit être répétée de temps à autre. «Le suivi est essentiel», a déclaré Shane MacDougall. Selon les chercheurs, les personnes qui ont commis des erreurs pourraient perdre leur job, même s'ils pensent que dans la plupart des cas ce serait inutile ou inefficace. « Je ne préconise jamais de se séparer d'un maillon faible », a déclaré Shane MacDougall. « Il peut aussi y avoir dans ce cas un risque de représailles et d'effet boomerang. »