L’ensemble de ce qui est exposé par le GHT doit être audité et à la cible. Le GHT a pour autant le choix de réaliser des audits uniques sur tout son périmètre ou plusieurs audits pour couvrir ce périmètre (au niveau de chaque EJ, par exemple).

Il est indispensable que tout le périmètre soit couvert indépendamment du nombre d'audits pour y arriver. Concernant le score attendu attestant l'absence de vulnérabilité critique, il peut également être global ou réparti sur plusieurs audits, tant que tout le périmètre est couvert.