Confrontées à un univers cyber toujours plus menaçant, les entreprises doivent, dans le même temps, veiller à réduire l’empreinte environnementale engendrée par leurs activités et équipements numériques. La cybersécurité des entreprises peut-elle concilier efficacité et écoresponsabilité ?

Les entreprises à la croisée des enjeux de sécurité et de préservation de l’environnement

Dans un environnement cyber où les risques s’amplifient et prennent des formes inédites (notamment avec l’émergence de l’IA générative qui fait apparaître de nouvelles menaces), impossible de baisser la garde. Les entreprises l’ont bien compris : sur le front de la cybersécurité, l’accalmie n’est pas franchement d’actualité. Selon une étude du cabinet Asterès, les cyberattaques visant des entreprises ou des administrations françaises ont coûté 2 milliards d’euros en 2022. 

De son côté, France Assureurs, (la Fédération française du secteur de l’assurance) a publié, le 31 janvier 2024, sa 7e Cartographie des risques. Le constat est sans appel : les cyberattaques, le dérèglement climatique et la dégradation de l’environnement économique sont en tête du classement des principales menaces.

Dans le même temps, sur le volet écologique, la France encourage les particuliers comme les entreprises et les collectivités à participer à l’effort commun, en adoptant des comportements moins énergivores. La loi REEN (Réduire l’empreinte du numérique en France) votée le 15 novembre 2021 va dans ce sens. Il s’agit de tenter d’inverser la tendance : si rien n’est fait, le numérique sera, à l’horizon 2040, à l’origine de l’émission de 24 millions de tonnes d’équivalent carbone. Soit environ 7 % des émissions de carbone annuelles de la France, contre 2,5 % aujourd’hui.

Le Ministère de la Transition écologique et de la cohésion des territoires estime, de son côté, que le secteur du numérique représente environ 10 % de la consommation électrique française. 

Dans ce contexte, les entreprises sont confrontées à un double défi : maintenir l’efficacité élevée de leurs mesures de cybersécurité, tout en les conjuguant avec des pratiques moins énergivores et plus respectueuses de l’environnement. Notamment en réduisant les émissions de gaz à effet de serre.

La cybersécurité : un domaine à exploiter pour réduire les consommations énergétiques

La sobriété énergétique des entreprises a pour but la réduction volontaire et organisée des consommations d’énergie et des émissions de gaz à effets de serre (GES). Qu’il s’agisse de celles occasionnées par les équipements comme de celles générées par les usages et comportements humains.

Conserver, voire améliorer l’efficacité de ses mesures de cybersécurité tout en consommant moins, est-ce vraiment réalisable ? Pour Wavestone, c’est un grand oui ! Le cabinet de conseil français en management et transformation des entreprises et des organisations a dévoilé en janvier 2024 une vaste étude sur le sujet en collaboration avec le Campus Cyber. Via un groupe de travail, Cyber4Tomorrow, ils ont développé ensemble une première méthodologie pour calculer les émissions de gaz à effet de serre (GES) liées à la cybersécurité, identifier les mesures les plus émettrices et proposer des stratégies de réduction. 

Selon l’ADEME (Agence de la transition écologique), la cybersécurité serait même identifiée comme un domaine d’action clé pour réduire l’empreinte carbone des entreprises.

Le domaine de la résilience cyber est le plus problématique 

Pour leur étude nommée Cyber Sustainability, Wavestone et le Campus Cyber ont analysé l’ensemble des mesures de sécurité qu’exigent les référentiels internationaux en matière de cybersécurité. Ils se sont particulièrement concentrés sur 50 mesures pour en évaluer l’impact environnemental. Sur le podium des pratiques et équipements les moins vertueux : la résilience cyber (36 % des émissions) occupe la première place. 

La cyber-résilience vise à se défendre contre les cyberattaques potentielles (évaluation des risques, surveillance du réseau et du système d’information, tests d’intrusion) et à assurer la survie de l’entreprise à la suite d’une attaque.

Arrivent ensuite les terminaux (13 %) et la détection (11 %). 

Il y a cependant une bonne nouvelle : d’après les conclusions de l’étude Cyber Sustainability, le potentiel de réduction des émissions cyber est compris entre 5 et 10 %. 

Le potentiel de réduction des émissions cyber est compris entre 5 à 10 %.

Etude Cyber Sustainability de Wavestone & le Campus Cyber, janvier 2024

Quelles actions clés pour une cybersécurité plus sobre ?

Wavestone a identifié 4 actions clés à mener, qui n’abaissent pas le niveau de sécurité des entreprises. 

  • Réduire les émissions liées à la résilience : 

Optimiser les redondances en les virtualisant, réduire la durée de conservation des sauvegardes et réduire le nombre des postes de travail de secours font partie des pistes pour gagner plusieurs tonnes de CO2 par an. 

  • Limiter l’impact de l’Identity access management : 

Les systèmes d’authentification représentent 10 % des émissions. Il s’agirait dans ce cas de limiter la multiplicité des outils et d’opter pour des méthodes sans équipements physiques.

  • Optimiser la gestion des logs : 

Selon Wavestone, agir sur la gestion des logs permet de réduire de 2,8 % les émissions de GES. 

Les logs sont des fichiers qui enregistrent en continu tous les événements du système d’exploitation, d’un site web, d’applications mobiles, des serveurs, routeurs, etc. L’analyse des données collectées par les logs s’avère donc utile en cas d’attaque, pour tenter de retracer les événements. 

Optimiser la gestion des logs, notamment en réduisant leur duplication, serait donc à envisager sérieusement.

  • Agir sur les postes de travail dédiés aux prestataires externes : 

Les postes de travail destinés aux prestataires externes des entreprises sont responsables de 9 % des émissions engendrées par la cybersécurité. Pour les réduire, l’étude Cyber Sustainability conseille par exemple de les virtualiser. Mais aussi de prolonger le plus possible la durée de vie des postes physiques. 

Cependant, chaque entreprise étant unique, Wavestone conseille de suivre une feuille de route en 3 points pour mettre en évidence les actions nécessaires propres à chaque structure : identifier les mesures de sécurité les plus émettrices, chiffrer les émissions de chaque mesure de sécurité, réduire l’impact environnemental des mesures cyber.

Les atouts du cloud et autres mesures vertueuses

La Green IT s’envisage également par le prisme d’autres mesures à impact positif. L’adoption du cloud en est une. L’hébergement dans le cloud n’est évidemment pas neutre mais la suppression de serveurs sur site, très énergivores, et l’utilisation d’applications cloud natives contribuent à abaisser les consommations.

Le cloud permet aussi aux entreprises de se décharger de la gestion des systèmes. Fini les serveurs physiques dédiés aux applications de cybersécurité. Car du côté des prestataires cloud, les ressources cloud sont souvent mutualisées et optimisées pour la gestion de milliers de clients. De quoi réduire la consommation des ressources. Par exemple, Amazon Web Services (AWS), grand acteur mondial du cloud, a pour objectif d’alimenter ses activités avec 100 % d’énergies renouvelables d’ici 2025. Lorsque l’on sait que les data centers représentent 16 % de l’impact environnemental du numérique, il n’est pas inutile de s’intéresser aux pratiques de ses fournisseurs ! 

D’autres leviers seraient en train de gagner du terrain. Les développeurs de solutions de cybersécurité adoptent par exemple de plus en plus des codes dits « plus propres ». Objectif : réduire le poids du code sans rogner sur la sécurité. 

Lire aussi

En quoi consiste un audit de cybersécurité ?

Technologie & Systèmes
11 juin 2024

À l’heure où les cyberattaques se perfectionnent et gagnent en fréquence, la sécurisation des systèmes informatiques s’impose comme une priorité absolue pour toutes les entreprises. Chaque vulnérabilité représente une menace, et une seule faille peut ouvrir la porte à des conséquences désastreuses. C’est dans ce contexte qu’interviennent les audits de…

Vidéosurveillance intelligente : quel avenir pour la surveillance vidéo assistée par intelligence artificielle ?

Technologie & Systèmes
30 janvier 2024

Alors que le recours à la vidéosurveillance intelligente dans l’espace public soulève des interrogations quant au respect des libertés fondamentales des individus, les autorités viennent d’indiquer qu’elle ne serait utilisée que de façon restreinte lors des JO de Paris 2024. Elles n’y ont finalement pas eu recours lors de la…

La cybersécurité des infrastructures critiques, un enjeu d’importance nationale

Technologie & Systèmes
23 janvier 2024

Télécommunication, santé, services financiers, énergie, agriculture… La France compte 300 entreprises et organismes publics et privés considérés comme des infrastructures critiques. Les autorités françaises parlent d’Opérateurs d’importance vitale (OIV), parce qu’ils sont jugés essentiels au bon fonctionnement de l’Etat et de son économie. Pourquoi leur protection cyber est-elle essentielle ? Comment…