La cybersécurité aussi peut contribuer au Green IT, avec méthode

La cyber oubliée du numérique responsable

Mais le périmètre du Green IT peut également s’étendre à la cybersécurité, elle aussi consommatrice de ressources et à l’origine d’émissions (carbone et autres). Sensibilisation et mesure de l’impact environnemental de la cybersécurité constituent un des axes de travail du Campus Cyber au travers de l’élaboration de la méthodologie CyberSustainability.

A l’origine de cette démarche, on retrouve le Studio des Communs. Son objectif : « faire travailler tous les membres du Campus sur des sujets, en avance de phase, pour les aider à progresser et répondre à l’objectif du Campus, qui est d’élever le niveau de cybersécurité », détaille sa cheffe de projet, Aline Morestin.

Outre le cloud ou la cryptographie post-quantique, notamment, le Studio s’est donc emparé du thème de l’impact sociétal de la cybersécurité. La cyber demeurait un des oubliés du numérique responsable. Le Campus entend y remédier au travers de la méthodologie CyberSustainability.

De cette initiative est née la plateforme en ligne Cyber4Tomorrow à destination des professionnels de la cybersécurité déjà sensibilisés à la RSE. Wavestone, impliqué sur le numérique responsable, notamment auprès d’Axa France, s’est rallié à la démarche. L’ESN disposait en effet d’une première version d’une méthodologie.

« Elle avait cependant besoin d’être testée en conditions réelles et déployée dans des organisations de toutes tailles », explique la porte-parole du Campus Cyber. Cette mise à l’épreuve était jugée essentielle pour mettre au point une méthode applicable à tout type de structure, grande comme petite, privée comme publique.

Collecte de données et calcul des émissions

Sur la base de cette V1, un groupe de travail a été constitué et un déploiement opéré auprès de sept organisations privées et de deux collectivités territoriales sur 6 mois. L’Ademe (Agence de l'environnement et de la maîtrise de l'énergie) était partie prenante, y compris au travers d’une contribution financière.

Par cette expérimentation, le Campus a mis en collaboration consultants, RSSI, équipes sécurité et RSE. La finalité : « permettre au terrain de remonter des feedbacks pertinents » dans l’optique d’enrichir la V1 de la méthodologie.

Cette phase a ainsi débouché sur l’élaboration d’une version 2, aujourd’hui disponible sur le site de Cyber4Tomorrow, en open source. Voilà pour la genèse du projet. Et la méthodologie se veut accessible à tous.

Son utilisation repose sur deux fichiers Excel, « le cœur de l’outil », le premier pour la collecte des données nécessaires, et le second pour les calculs. Aux tableurs s’ajoute un guide d’utilisation, pensé pour être pédagogique.

« L’ouverture de l’Excel avec tous ses onglets peut paraître effrayante au premier abord », justifie Aline Morestin. Le support de communication qui complète le package vise lui à présenter la démarche au sein des organisations pour créer de l’adhésion, ou pour commencer la sensibilisation.

Le poids CO2 de la cybersécurité amené à croître

La cybersécurité n’est peut-être pas le domaine le plus acculturé parmi les métiers de l’IT. « Tous les départements doivent s’emparer de la question de l’impact environnemental ». Et ce d’autant plus que la couverture cyber s'accroît face aux risques, comme sa « part carbone ».

Mais quelle est justement cette contribution aux émissions ? Elle est à cerner précisément. « Il faut être en capacité de le mesurer, pour ensuite identifier les principaux postes d’émission et ainsi enclencher un plan d’action (...) L’idée n’est pas seulement de faire une photo à un instant T. La mesure est au service des actions de réduction des émissions de la cyber ».

Pour atteindre cet objectif (« réduire l’impact carbone sans dégrader le niveau de risque »), la méthodologie CyberSustainability n’est pas partie d’une feuille blanche. Son substrat de départ, c’est le NIST et ses 700 mesures de sécurité.

Sur cette base, deux filtrages ont été effectués pour isoler les 10 mesures les plus « lourdes en émissions carbones ». Ce calcul intègre des paramètres objectifs : utilisation d’équipements réseaux, utilisation de serveurs, et consommation réseau et bande passante. Ces critères sont en effet susceptibles d’influer fortement sur la consommation.    

Par ce filtrage, la méthodologie priorise dès l’amont les points d’attention pour les RSSI en matière de numérique responsable. Parmi les mesures de sécurité les plus émettrices figurent, par exemple, celles liées à la résilience des systèmes (36% des émissions), dont les sauvegardes.

Agir en priorité sur les équipements cyber, sans dégrader

Quid de la cryptographie ? « On imaginait que le poids serait important. Finalement, il n’est pas si conséquent », commente Aline Morestin. Le poids de la Cyber Threat Intelligence (CTI) est également nuancé.

Et qu’en est-il de l’IA, de plus en plus injectée dans les outils de cybersécurité ? Sa prise en compte est prévue plus tard. Un autre sujet est sur le métier : les fournisseurs cloud. « Nous commençons, mais doucement, à nous entretenir avec les principaux acteurs du cloud français » sur les données d’émission pour « favoriser un maximum la transparence et la communication des données ».

Mais la cybersécurité peut d’ores et déjà commencé à agir pour réduire son impact. Les enseignements du numérique responsable peuvent être mis à contribution. Ainsi, les actions prioritaires pourront porter sur les équipements, par exemple via l’allongement du cycle de vie.

Au niveau de la résilience, des mesures sont envisageables. « A-t-on besoin de l’ensemble des backups ? A quelle fréquence procède-t-on à un ménage des sauvegardes ? Est-il pertinent de fournir un PC à chaque prestataire ? La virtualisation ne serait-elle pas plus souhaitable ? Ne peut-on pas réduire la taille des logs ? »

La cheffe de projet du Campus Cyber liste plusieurs interrogations de nature à se traduire par actions et des réductions significatives de l’impact, mais toujours sans recul de la sécurité. Ce point demeure central, insiste-elle.

« Je le répète car c’est une des principales craintes des RSSI ». Les professionnels de la sécurité ont encore besoin d’être rassurés, mais aussi sensibilisés. « Ils partent souvent de loin » sur les enjeux environnementaux liés au numérique.

Objectif Secure & Sustainable by design

« Ce n’est pas un désintérêt », mais pour beaucoup ces questions relèvent des équipes RSE, avant tout. Pour impliquer plus les experts du secteur, le Campus Cyber s’efforce de lier environnement et démarche security by design, chère aux RSSI.

« Nous souhaitons développer le secure et sustainable by design », déclare Aline Morestin. L’approche trouve un écho auprès de certaines organisations, associées au projet. C’est le cas de la région Occitanie, de la métropole Rouen-Normandie, ainsi que de la RATP et de la Cnam. La méthodologie doit à présent se diffuser plus largement.

Le Studio des Communs poursuit plusieurs ambitions, à commencer par une adoption étendue auprès d’organisations en France, et à l’international. Pour la cheffe de projet, il s’agit également de créer un réflexe « sustainable & secure by design » parmi les professionnels de la cybersécurité.

« Il faut que le message rentre. La cyber peut et doit faire quelque chose sur les enjeux environnementaux », martèle-elle. Pour y parvenir, le groupe de travail compte aussi s’appuyer sur les actions de l’Ademe, dont il a enrichi les documentation sur le volet cyber.

La méthodologie aussi pourrait s’étoffer. A ce jour, celle-ci est mono-critère, et n’intègre donc pas d’autres paramètres, dont la consommation d’eau. « Nous n’avons pas l’ambition de passer tout de suite en multicritère, tout simplement parce que la donnée n’est pas accessible. Il est déjà très compliqué de collecter la donnée carbone, pourtant a priori la plus disponible ».

Priorité à la sensibilisation et à la diffusion. Certains leviers pourraient y contribuer, notamment réglementaires. « L’objectif ultime, c’est de faire entrer les critères environnementaux dans le cahier des charges des appels d'offres », comme cela se déploie avec le numérique responsable.