Les impacts peuvent être choisis parmi ceux proposés ci-dessous, bien que la liste ne soit pas exhaustive et qu'il soit nécessaire de l'adapter au contexte étudié :
interruption de service :
incapacité à fournir le service ;
perte d'image de marque :
perte de crédibilité de l'informatique en interne,
perte de notoriété ;
perturbation du fonctionnement interne :
gêne pour l'organisme lui-même,
charges internes supplémentaires ;
perturbation de fonctionnement de tiers :
gêne pour les tiers avec lesquels l'organisme est en relation,
préjudices divers ;
infraction aux lois, aux règlements :
impossibilité de remplir les obligations légales ;
infraction contractuelle :
impossibilité de remplir les obligations contractuelles ;
atteinte à la sécurité du personnel, des usagers :
danger pour les personnels et / ou les usagers de l'organisme ;
atteinte à la vie privée des usagers ;
pertes financières ;
frais financiers de secours et de remise à niveau :
en personnels,
en matériels,
en études, expertises ;
perte de biens, de fonds, de valeurs ;
perte de clientèles, perte de fournisseurs ;
poursuites judiciaires et pénalités ;
perte d'un avantage concurrentiel ;
perte d'avance technologique, technique ;
perte d'efficacité, de confiance ;
perte de réputation technique ;
affaiblissement de la capacité de négociation ;
crise sociale (grèves) ;
crise gouvernementale ;
limogeage personnel ;
dommages matériels ;
Ces impacts sont proposés à titre indicatif, le groupe de travail doit proposer les plus significatifs pour l'organisme et les adapter précisément à l'organisme. Les résultats des activités précédentes, notamment ceux liés à l'étude de l'organisme, aux enjeux, et au contexte du système pourront être utilisés pour le choix de ces impacts. On retiendra la remise en cause des missions, du métier ou des valeurs de l'organisme, comme des impacts significatifs. Afin de rendre les impacts plus objectifs, il convient de fournir des exemples explicites de chacun d'eux en termes de conséquences envisageables.