Les audits de risque se multiplient dans les entreprises françaises mais également à l’étranger, en particulier en Belgique, au Luxembourg et en Suisse. L’analyse de la situation montre également que les offreurs de service qui s’installent sur ce marché ont plusieurs réticences : d’une part le marché est fugitif ce qui ne manquera pas de poser des problèmes de reclassement, d’autre part, les consultants seront obligés de tenir un discours biaisé, en étant juge et partie. Enfin, ce créneau n’est pas sans risque car les entreprises ne manqueront pas de demander des engagements de résultas et pourraient être tentées de demander des compensations en cas d’échec, même partiel…L’offre est donc très faible. En fait, seul le secteur associatif permet de donner un maximum de garantie de succès, à la fois en terme d’indépendance, de liberté d’intervention notamment dans les médias, et de crédibilité. Vincent Balouet, membre du Clusif (Club de la Sécurité Informatique français) créé la première commission an 2000 en France dont l’objet et de débroussailler le terrain et de clarifier la question du management de projet, compte tenu du faible délai restant, de la probable carence de ressource et des effets de l’échéance fixe.
Dans les entreprises, l’attentisme est de mise, les directions informatiques, si elles sont conscientes du problème ne souhaitent pas affronter les directions générales en présentant des budgets importants tant que l’offre est immature (quasiment aucun constructeur ne propose de correctif). Cette attente se révèlera par la suite une erreur stratégique car, faute d’avoir été alertés, les programmeurs continueront de produire des systèmes incompatibles jusqu’en 1997, systèmes qu’il faudra corriger en urgence….