Comment concilier cybersécurité et sobriété numérique ?

Dans le même temps, sur le volet écologique, la France encourage les particuliers comme les entreprises et les collectivités à participer à l’effort commun, en adoptant des comportements moins énergivores. La loi REEN (Réduire l’empreinte du numérique en France) votée le 15 novembre 2021 va dans ce sens. Il s’agit de tenter d’inverser la tendance : si rien n’est fait, le numérique sera, à l’horizon 2040, à l’origine de l’émission de 24 millions de tonnes d’équivalent carbone. Soit environ 7 % des émissions de carbone annuelles de la France, contre 2,5 % aujourd’hui.

Le Ministère de la Transition écologique et de la cohésion des territoires estime, de son côté, que le secteur du numérique représente environ 10 % de la consommation électrique française. 

Dans ce contexte, les entreprises sont confrontées à un double défi : maintenir l’efficacité élevée de leurs mesures de cybersécurité, tout en les conjuguant avec des pratiques moins énergivores et plus respectueuses de l’environnement. Notamment en réduisant les émissions de gaz à effet de serre.

La cybersécurité : un domaine à exploiter pour réduire les consommations énergétiques

La sobriété énergétique des entreprises a pour but la réduction volontaire et organisée des consommations d’énergie et des émissions de gaz à effets de serre (GES). Qu’il s’agisse de celles occasionnées par les équipements comme de celles générées par les usages et comportements humains.

Conserver, voire améliorer l’efficacité de ses mesures de cybersécurité tout en consommant moins, est-ce vraiment réalisable ? Pour Wavestone, c’est un grand oui ! Le cabinet de conseil français en management et transformation des entreprises et des organisations a dévoilé en janvier 2024 une vaste étude sur le sujet en collaboration avec le Campus Cyber. Via un groupe de travail, Cyber4Tomorrow, ils ont développé ensemble une première méthodologie pour calculer les émissions de gaz à effet de serre (GES) liées à la cybersécurité, identifier les mesures les plus émettrices et proposer des stratégies de réduction. 

Selon l’ADEME (Agence de la transition écologique), la cybersécurité serait même identifiée comme un domaine d’action clé pour réduire l’empreinte carbone des entreprises.

Le domaine de la résilience cyber est le plus problématique 

Pour leur étude nommée Cyber Sustainability, Wavestone et le Campus Cyber ont analysé l’ensemble des mesures de sécurité qu’exigent les référentiels internationaux en matière de cybersécurité. Ils se sont particulièrement concentrés sur 50 mesures pour en évaluer l’impact environnemental. Sur le podium des pratiques et équipements les moins vertueux : la résilience cyber (36 % des émissions) occupe la première place. 

La cyber-résilience vise à se défendre contre les cyberattaques potentielles (évaluation des risques, surveillance du réseau et du système d’information, tests d’intrusion) et à assurer la survie de l’entreprise à la suite d’une attaque.

Arrivent ensuite les terminaux (13 %) et la détection (11 %). 

Il y a cependant une bonne nouvelle : d’après les conclusions de l’étude Cyber Sustainability, le potentiel de réduction des émissions cyber est compris entre 5 et 10 %. 

Le potentiel de réduction des émissions cyber est compris entre 5 à 10 %.

Etude Cyber Sustainability de Wavestone & le Campus Cyber, janvier 2024

Quelles actions clés pour une cybersécurité plus sobre ?

Wavestone a identifié 4 actions clés à mener, qui n’abaissent pas le niveau de sécurité des entreprises. 

• Réduire les émissions liées à la résilience : 

Optimiser les redondances en les virtualisant, réduire la durée de conservation des sauvegardes et réduire le nombre des postes de travail de secours font partie des pistes pour gagner plusieurs tonnes de CO2 par an. 

• Limiter l’impact de l’Identity access management : 

Les systèmes d’authentification représentent 10 % des émissions. Il s’agirait dans ce cas de limiter la multiplicité des outils et d’opter pour des méthodes sans équipements physiques.

• Optimiser la gestion des logs : 

Selon Wavestone, agir sur la gestion des logs permet de réduire de 2,8 % les émissions de GES. 

Les logs sont des fichiers qui enregistrent en continu tous les événements du système d’exploitation, d’un site web, d’applications mobiles, des serveurs, routeurs, etc. L’analyse des données collectées par les logs s’avère donc utile en cas d’attaque, pour tenter de retracer les événements. 

Optimiser la gestion des logs, notamment en réduisant leur duplication, serait donc à envisager sérieusement.

• Agir sur les postes de travail dédiés aux prestataires externes : 

Les postes de travail destinés aux prestataires externes des entreprises sont responsables de 9 % des émissions engendrées par la cybersécurité. Pour les réduire, l’étude Cyber Sustainability conseille par exemple de les virtualiser. Mais aussi de prolonger le plus possible la durée de vie des postes physiques. 

Cependant, chaque entreprise étant unique, Wavestone conseille de suivre une feuille de route en 3 points pour mettre en évidence les actions nécessaires propres à chaque structure : identifier les mesures de sécurité les plus émettrices, chiffrer les émissions de chaque mesure de sécurité, réduire l’impact environnemental des mesures cyber.

Les atouts du cloud et autres mesures vertueuses

La Green IT s’envisage également par le prisme d’autres mesures à impact positif. L’adoption du cloud en est une. L’hébergement dans le cloud n’est évidemment pas neutre mais la suppression de serveurs sur site, très énergivores, et l’utilisation d’applications cloud natives contribuent à abaisser les consommations.

Le cloud permet aussi aux entreprises de se décharger de la gestion des systèmes. Fini les serveurs physiques dédiés aux applications de cybersécurité. Car du côté des prestataires cloud, les ressources cloud sont souvent mutualisées et optimisées pour la gestion de milliers de clients. De quoi réduire la consommation des ressources. Par exemple, Amazon Web Services (AWS), grand acteur mondial du cloud, a pour objectif d’alimenter ses activités avec 100 % d’énergies renouvelables d’ici 2025. Lorsque l’on sait que les data centers représentent 16 % de l’impact environnemental du numérique, il n’est pas inutile de s’intéresser aux pratiques de ses fournisseurs ! 

D’autres leviers seraient en train de gagner du terrain. Les développeurs de solutions de cybersécurité adoptent par exemple de plus en plus des codes dits « plus propres ». Objectif : réduire le poids du code sans rogner sur la sécurité.