Cybersécurité et RSE : une approche encore expérimentale 

 

À l’occasion du GreenTech Forum 2024, le sujet de l’impact environnemental des dispositifs de cybersécurité a été évoqué en table ronde. Synthèse des principaux échanges. 

 

Rendre son système d’information plus résistant aux cyberattaques a-t-il des impacts environnementaux ? Telle est l’épineuse question qui commence à émerger au sein de nombreuses DSI. Et force est de constater que nous n’en sommes qu’aux prémices de cette réflexion, les quelques initiatives lancées çà et là étant pour le moment très expérimentales. Parmi ces initiatives figure celle du « Studio des Communs » lancé par le Campus Cyber parisien. Le but de ce studio est de faciliter la production de « communs » par des experts du secteur, c’est-à-dire de ressources accessibles à tous. « Notre objectif est que la connaissance en cybersécurité se répande à tout l’écosystème français et qu’elle profite notamment aux PME et TPE qui ont beaucoup à gagner à acquérir ce savoir-là. Nous parlons dans ces communs de cloud, de cryptographie post-quantique, mais aussi de la rencontre entre la RSE et la cybersécurité, deux mondes encore très éloignés. D’ailleurs, c’est du constat de cet éloignement qu’est née l’initiative Cyber4Tomorrow », déclare Aline Morestin, Project Manager au sein du Studio des Communs (Campus Cyber). Au sein du catalogue d’actions proposé par Cyber4Tomorrow se trouve une rubrique appelée « CyberSustainability ». Cette dernière a pour objectif de promouvoir des pratiques de cybersécurité respectueuses de l’environnement et durables. À ce titre, une méthodologie d’évaluation de l’empreinte carbone de la cybersécurité a été co-conçue par le cabinet Wavestone et le Campus Cyber. Elle vise à calculer les émissions de gaz à effet de serre liées à la cybersécurité, à identifier les mesures les plus émettrices et à proposer des stratégies de réduction. Cette démarche a été récemment rejointe par l’ADEME qui a elle aussi identifié la cybersécurité comme un domaine d’action clé.

 

Evacuer les clichés pour une analyse exhaustive et universelle

 

Les premiers résultats des travaux menés par Wavestone et le Campus Cyber invalident plusieurs clichés : les pratiques cyber les plus gourmandes en énergie et en ressources ne sont pas toujours les plus évidentes. « Certains éléments (CTI et chiffrement) ont été moins impactants que prévu. En revanche, deux thèmes clés (la résilience et les postes de travail des prestataires) représentent 50% de l’impact de la sécurité », note Marine Chabran Rodrigues, Sustainability senior consultant chez Wavestone. 

 

 Répartition des émissions en fonction des thématiques du NIST ©Wavestone / Campus Cyber 

 

Pour garantir une analyse exhaustive et universelle, l’étude s’appuie en effet sur les standards internationaux, notamment le NIST (National Institute of Standards and Technology). Parmi 700 recommandations tirées du NIST, 50 mesures de sécurité les plus carbonées ont été sélectionnées, en fonction du « score d’émission » de chacune. 

Trois questions ont permis de calculer le score d’émission pour chaque mesure de sécurité, en tenant compte de la ventilation de l’empreinte carbone du numérique établie par l’étude Ademe/Arcep sur l’impact environnemental du numérique.  

  • Cette mesure nécessite-t-elle l’utilisation d’un nombre important de terminaux ?
  • Cette mesure nécessite-t-elle l’utilisation d’un nombre important de serveurs ?
  • Cette mesure nécessite-t-elle l’utilisation d’un nombre important d’équipements réseau et de bande passante ?

 Si une mesure de sécurité répond positivement à l’un de ces trois critères, elle peut être considérée comme étant à analyser. 

Après avoir identifié les mesures de sécurité les plus émettrices, il faut alors estimer leurs émissions réelles de gaz à effet de serre. Cette estimation s’appuie sur la norme ISO 14069 et se concentre sur les émissions générées par la fabrication et l’utilisation des terminaux utilisateurs, des serveurs et des équipements des datacenters, l’utilisation des datacenters, les services Cloud, ainsi que les déplacements aériens et ferroviaires de l’équipe cybersécurité. 

 

Entre 5 et 10% de réduction des émissions 

 

Parmi les actions qu’il est possible de mettre en place pour réduire les émissions (avec un niveau de risque constant), Wavestone met en avant plusieurs hypothèses issues de deux simulations portant sur son propre système d’information et celui d’un client bancaire international.  « Le potentiel de réduction est de 5 à 10% des émissions. Pour bien comprendre ce résultat, il faut avoir en tête que nous avons été très conservateurs lors de ces premiers tests : nous avons réduit le minimum de ce qui pouvait être réduit. Ces mesures peuvent vraiment évoluer en fonction de la réalité de l’entreprise qui applique la méthodologie et il est possible d’être beaucoup plus déterminé sur certains points. La V2 de la méthodologie, que nous sommes en train de tester sur davantage d’entreprises et d’organisations, nous apportera beaucoup d’éléments nouveaux et de réponses », analyse Marine Chabran Rodrigues.

 

Proposition d’actions et exemple de résultats pour réduire les émissions (avec un niveau de risque constant) ©Wavestone / Campus Cyber 

 

« Par rapport à ce type de plan d’action, nous rappelons aussi très régulièrement qu’il est nécessaire de revenir aux besoins, à ce qui est absolument nécessaire. Faut-il mettre en place de multiples sauvegardes, que stocke-t-on, pour combien de temps ? C’est notamment vrai pour les logs, dans la rubrique résilience… », conclut Marine Chabran Rodrigues.