Les mesures de cybersécurité sont mises en œuvre pour protéger les ressources, qui sont définies comme « choses importantes ou de valeur, comme des personnes, des biens, des informations, des systèmes et des équipements » (Maras, 2014b, p. 21). Il s’agit par exemple des salariés d'une organisation, de l’équipement informatique, des logiciels et des données (ITU, 2008). Les ressources sont exposées (c’est-à-dire vulnérables) à plusieurs formes de préjudice. Plus précisément, elles présentent des vulnérabilités internes (ou intrinsèques) et externes (ou extrinsèques). En ce qui concerne, par exemple, les technologies de l'information et de la communication (TIC), on peut trouver des vulnérabilités intrinsèques dans l’architecture des systèmes, les configurations de sécurité, le matériel et les logiciels, entre autres (ENISA, 2017). Le bug logiciel en est un parfait exemple. En 2018, un bug dans le portefeuille de cryptomonnaie de Monero a été divulgué, permettant à certaines personnes d'exploiter cette vulnérabilité pour doubler, de manière illicite, le montant de leurs transferts de cryptomonnaie (Barth, 2018) (pour plus d'informations sur les cryptomonnaies, voir le Module 2 consacré aux différents types de cyberinfractions). En revanche, on ne trouve pas de vulnérabilités extrinsèques dans les ressources comme les TIC. On peut citer comme exemple les personnes qui utilisent les TIC. Par leurs actions, ces personnes peuvent rendre leur équipement vulnérable à une infection par des logiciels malveillants ; c’est le cas, par exemple, lorsqu’elles ouvrent des pièces jointes à des courriels provenant d'expéditeurs inconnus. Leurs propriétés intrinsèques et extrinsèques rendent les ressources vulnérables aux menaces ;c’est-à-dire à tout ce qui est susceptible d’entraîner un effet indésirable ou préjudice. Ces menaces peuvent causer des dommages de manière volontaire ou involontaire. Ainsi, les éléments matériels d’un dispositif numérique sont susceptibles de tomber en panne ou d’être délibérément endommagés parce qu'une personne exploite les vulnérabilités de son micrologiciel (« firmware » en anglais) (ENISA, 2017).