« De nombreuses compromissions et attaques sont rendues possibles car les principes de base n’ont pas été appliqués, et ce indépendamment de l’attaquant. La grande majorité de ces compromissions et attaques sont dues à des vulnérabilités connues mais non corrigées. Les attaquants n’ont pas besoin de développer ou de payer pour des failles de type "zero-day" dans les logiciels. Ils peuvent simplement utiliser les exploits disponibles publiquement pour les vulnérabilités dont les correctifs sont disponibles, en profitant du fait que les organisations ne les ont pas encore appliqués. Aujourd’hui plus que jamais, les entreprises doivent avoir une bonne compréhension de leurs systèmes et déterminer où elles sont vulnérables. Dans un premier temps, elles doivent adopter une cyber-hygiène irréprochable, en identifiant par exemple les risques critiques et en appliquant des correctifs aux systèmes présentant les vulnérabilités privilégiées par les criminels. Il est également primordial qu’elles bloquent les sites et les adresses IP malveillants, appliquent l’authentification multi-facteurs, et mettent en œuvre une formation de sensibilisation à la sécurité ainsi que du chiffrement. Ces recommandations, si appliquées, rendent le succès des criminels beaucoup plus difficile ».