Évaluation de la sécurité au niveau de la conception et de l’architecture système, analysant la segmentation réseau, les limites de confiance, les flux d’authentification et d’autorisation, la gestion des sessions, la séparation des privilèges, la résilience aux pannes et les attaques de type architectural. Précède ou accompagne le test d’intrusion applicatif en identifiant les faiblesses structurelles qui peuvent compromettre l’ensemble de l’écosystème, même si les composants individuels sont sécurisés.