Selon le cahier de charges : "L’exposition d’une vulnérabilité critique sur internet par une solution logicielle ou matérielle ne signifie pas automatiquement que cette vulnérabilité est exploitable. Des contremesures externes au composant concerné ont pu être mises en œuvre pour réduire le risque de compromission. Pour vérifier la mise en œuvre de ces mesures et réévaluer si besoin la cotation de la vulnérabilité, il est fortement recommandé de prendre contact avec le RSSI ou le référent sécurité de l’établissement." ​

Si des mesures sont mises en œuvre pour atténuer ces vulnérabilités, la cotation de celles-ci peut être réévaluée. Pour cela, un dialogue doit avoir lieu entre le RSSI et l’auditeur (c’est-à-dire l’industriel retenu par le candidat pour effectuer les audits d’exposition internet) afin d'évaluer le niveau de criticité résiduel. Toute décision justifiant la baisse de niveau de criticité doit être justifiée et étayée (justificatif à l’appui) par le RSSI et mentionnée dans le rapport d'audit.​ ​

Si le dialogue n'aboutit pas à une solution, l'auditeur doit être recadré en rappelant le contexte de dialogue promu dans le cahier des charges.