Cybersécurité VS green IT : la minimisation, clé d’un numérique à la fois plus sûr et plus durable ?

Sécurité des systèmes, empreinte carbone : deux enjeux à réconcilier

À l’ère du Big Data, l'explosion du volume de données impose de nouveaux challenges aux organisations.  Car si le numérique est aujourd’hui essentiel dans l’activité économique des entreprises, il est aussi source de risques. Le dernier Panorama de la cybermenace (1) de l’Agence nationale de la sécurité des systèmes d’information (ANSSI) fait état d’une hausse de la menace cyber en 2022, avec, comme principales victimes, les TPE-PME et ETI, les collectivités et les établissements de santé. La protection des systèmes d’information et des données personnelles est désormais cruciale, et nous constatons d’ailleurs un renforcement des normes en la matière, notamment dans un contexte d’instabilités géopolitiques.

En parallèle, les organisations sont de plus en plus contraintes de maîtriser l’impact environnemental de leurs pratiques numériques, car le numérique représente 3 à 4% des émissions de gaz à effet de serre (GES) dans le monde (2). Un chiffre qui pourrait croître très rapidement si aucune action n’était mise en œuvre. Le suréquipement, l’usage du streaming vidéo ne sont que quelques exemples d’utilisation massive de services numériques hautement consommateurs de données, ainsi que de métaux et minerais rares, dont la production est émettrice de GES.

Au premier abord, il est difficile d’imaginer une approche qui permette de concilier l’impératif de sécurité numérique et la réduction des émissions de GES. Pourtant, ces deux enjeux sont loin d’être irréconciables et présentent même des points de convergence, en particulier lorsqu’on les aborde sous l’angle de la minimisation.

L’approche less is more : limiter au strict nécessaire

Une manière évidente d’augmenter la sécurité des systèmes d’information est d’en limiter la surface d’attaque. Depuis sa mise en place en mai 2018, le règlement général sur la protection des données (RGPD) impose aux entreprises européennes de collecter moins, mais mieux. C’est le principe de minimisation, qui prône l’efficacité de la simplicité : il s’agit de se concentrer sur le juste besoin, l’utile, le nécessaire pour en tirer le meilleur, en adoptant une approche less is more.

Différentes pratiques permettent de répondre à la fois aux enjeux de la cybersécurité et du numérique responsable, par exemple :

• Limiter les droits d’accès ou le nombre de logiciels installés sur les postes de travail, pour réduire les surfaces d’attaque, les failles de vulnérabilité, mais aussi l’obsolescence matérielle prématurée due aux logiciels installés ;
• Supprimer la donnée via des processus automatiques dès lors qu'elle devient obsolète : la durée de vie de la donnée ne doit pas dépasser le cadre de son utilisation ;
• Ajuster les fonctionnalités et les flux aux « justes besoins » et aux droits des collaborateurs pour réduire l’accès et l’utilisation excessive des données ;
• Décommissionner ce qui est non-utilisé, ceci afin de mieux maîtriser son environnement, de gagner en espace de stockage, en limitant notamment la charge du patch management et de la maintenance logicielle ;
• Maîtriser son parc informatique, par exemple, en tenant à jour un inventaire pour identifier les équipements non utilisés ou sous utilisés, de manière à pouvoir les rationaliser, les mettre à jour et prolonger leur durée d’utilisation, etc.

Des pratiques à intégrer dès la phase de conception

De toute évidence, le concept de minimisation et son approche minimaliste sont aux antipodes de nos habitudes actuelles de consommation. Pour pouvoir avancer vers une société plus sûre et plus durable, il est donc nécessaire de sensibiliser et de former les équipes de conception des outils digitaux à cette  nouvelle approche.

En outre, il convient d’intégrer les pratiques de minimisation dès la phase de conception des projets IT, en tenant compte des enjeux réglementaires liés à la protection des données (RGPD), à l’amélioration de l’accessibilité numérique (RGAA) et à l’écoconception de services numériques (RGESN).

L’enjeu consiste à mettre en œuvre une approche qui soit à la fois privacy by design, security by design et green by design, tout en tenant compte du contexte et des usages. Ainsi, un simple site vitrine devra répondre en priorité aux critères d’écoconception et d’accessibilité, tandis qu’un système qui traite des données sensibles devra se conformer avant tout aux exigences de cybersécurité.

S’il devient incontournable de penser à une approche plus sobre, plus juste et plus efficace de nos usages numériques pour en minimiser l’impact environnemental, il existe de nombreuses divergences entre les raisonnements à l’œuvre en matière de cybersécurité et de responsabilité numérique. Ces deux enjeux exigent des organisations qu’elles adoptent une nouvelle approche, équilibrée, pour concilier d’une part, la protection de leurs systèmes et de leurs données, et d’autre part, la réduction de leur empreinte numérique. La clé du succès réside probablement dans une logique d’anticipation et de priorisation :  il vaut mieux en effet prendre les bonnes décisions en amont, de manière à prévenir les menaces et les impacts, plutôt que de devoir « guérir » des systèmes d’information mal conçus, et consommateurs de ressources inutiles.

¹ Panorama de la cybermenace 2022, Agence nationale de la sécurité des systèmes d’information (ANSSI) 

²  "L'empreinte environnementale du numérique", enquête de l'Arcep (2022)