La digitalisation de la gestion des risques
L’équipe Risk Consulting vous accompagne dans votre projet de digitalisation de vos activités de gestion des risques, de contrôle interne et d’audit interne.
À l’ère du Big Data, l'explosion du volume de données impose de nouveaux challenges aux organisations. Car si le numérique est aujourd’hui essentiel dans l’activité économique des entreprises, il est aussi source de risques. Le dernier Panorama de la cybermenace (1) de l’Agence nationale de la sécurité des systèmes d’information (ANSSI) fait état d’une hausse de la menace cyber en 2022, avec, comme principales victimes, les TPE-PME et ETI, les collectivités et les établissements de santé. La protection des systèmes d’information et des données personnelles est désormais cruciale, et nous constatons d’ailleurs un renforcement des normes en la matière, notamment dans un contexte d’instabilités géopolitiques.
En parallèle, les organisations sont de plus en plus contraintes de maîtriser l’impact environnemental de leurs pratiques numériques, car le numérique représente 3 à 4% des émissions de gaz à effet de serre (GES) dans le monde (2). Un chiffre qui pourrait croître très rapidement si aucune action n’était mise en œuvre. Le suréquipement, l’usage du streaming vidéo ne sont que quelques exemples d’utilisation massive de services numériques hautement consommateurs de données, ainsi que de métaux et minerais rares, dont la production est émettrice de GES.
Au premier abord, il est difficile d’imaginer une approche qui permette de concilier l’impératif de sécurité numérique et la réduction des émissions de GES. Pourtant, ces deux enjeux sont loin d’être irréconciables et présentent même des points de convergence, en particulier lorsqu’on les aborde sous l’angle de la minimisation.
Une manière évidente d’augmenter la sécurité des systèmes d’information est d’en limiter la surface d’attaque. Depuis sa mise en place en mai 2018, le règlement général sur la protection des données (RGPD) impose aux entreprises européennes de collecter moins, mais mieux. C’est le principe de minimisation, qui prône l’efficacité de la simplicité : il s’agit de se concentrer sur le juste besoin, l’utile, le nécessaire pour en tirer le meilleur, en adoptant une approche less is more.
Différentes pratiques permettent de répondre à la fois aux enjeux de la cybersécurité et du numérique responsable, par exemple :
De toute évidence, le concept de minimisation et son approche minimaliste sont aux antipodes de nos habitudes actuelles de consommation. Pour pouvoir avancer vers une société plus sûre et plus durable, il est donc nécessaire de sensibiliser et de former les équipes de conception des outils digitaux à cette nouvelle approche.
En outre, il convient d’intégrer les pratiques de minimisation dès la phase de conception des projets IT, en tenant compte des enjeux réglementaires liés à la protection des données (RGPD), à l’amélioration de l’accessibilité numérique (RGAA) et à l’écoconception de services numériques (RGESN).
L’enjeu consiste à mettre en œuvre une approche qui soit à la fois privacy by design, security by design et green by design, tout en tenant compte du contexte et des usages. Ainsi, un simple site vitrine devra répondre en priorité aux critères d’écoconception et d’accessibilité, tandis qu’un système qui traite des données sensibles devra se conformer avant tout aux exigences de cybersécurité.
S’il devient incontournable de penser à une approche plus sobre, plus juste et plus efficace de nos usages numériques pour en minimiser l’impact environnemental, il existe de nombreuses divergences entre les raisonnements à l’œuvre en matière de cybersécurité et de responsabilité numérique. Ces deux enjeux exigent des organisations qu’elles adoptent une nouvelle approche, équilibrée, pour concilier d’une part, la protection de leurs systèmes et de leurs données, et d’autre part, la réduction de leur empreinte numérique. La clé du succès réside probablement dans une logique d’anticipation et de priorisation : il vaut mieux en effet prendre les bonnes décisions en amont, de manière à prévenir les menaces et les impacts, plutôt que de devoir « guérir » des systèmes d’information mal conçus, et consommateurs de ressources inutiles.
1 Panorama de la cybermenace 2022, Agence nationale de la sécurité des systèmes d’information (ANSSI)
2 "L'empreinte environnementale du numérique", enquête de l'Arcep (2022)
Ce site web utilise des cookies.
Certains de ces cookies sont nécessaires, tandis que d'autres nous aident à analyser notre trafic, à diffuser de la publicité et à offrir des expériences personnalisées pour vous.
Pour plus d'informations sur les cookies que nous utilisons, veuillez vous référer à notre politique de confidentialité.
Ce site web ne peut pas fonctionner correctement sans ces cookies.
Les cookies analytiques nous aident à améliorer notre site web en collectant des informations sur son utilisation.
Nous utilisons des cookies marketing pour améliorer la pertinence de nos campagnes publicitaires.