De manière générale, il n'est pas possible d'exclure simplement des sites "vitrines" ou qui n’auraient "aucun lien avec le SI" du périmètre, car les situations sont très diverses. Chaque vulnérabilité doit être analysée, et si le risque résiduel est faible, cela doit être mentionné dans le rapport d'audit. ​

La notion de site "sans lien avec le SI" est discutable. Par exemple, un site institutionnel sans lien technique avec le SI hospitalier, mais qui publie des ressources statiques, peut présenter des risques. S'il renvoie vers des plateformes externes de paiement ou un portail patient, sa compromission pourrait permettre des détournements de paiements ou la récupération de credentials. Ces risques ne doivent pas être ignorés et doivent être inclus dans le périmètre, bien qu'ils puissent être mitigés lors de l'audit.​

Concernant les hébergeurs, ils proposent tous, et notamment OVH, des offres qui vont de l’hébergement grand public (qui expose souvent du FTP effectivement) à de l’hébergement professionnel dédié, et pour certains avec des options HDS, avec toute une gamme intermédiaire. Évidemment les coûts sont croissants, et doivent être en rapport avec la finalité du site.