Alors que la cybersécurité représente en moyenne 5,7 % des budgets IT, son empreinte carbone peut s’élever jusqu’à… 17 %. Wavestone prône la cyber sustainability. Explications.  

Cyber sustainability, on y arrivera… Jusqu’alors relativement peu analysés par les équipes sécurité, il devient indispensable d’intégrer les enjeux climatiques à leur activité, soutient Gérôme Billois, Partner, Wavestone. Dans le cadre de l’initiative #Cyber4Tomorrow du Campus Cyber, le cabinet de conseil a initié une démarche pour doter la cybersécurité de moyens pour agir en faveur d’un développement durable.

Réduire l’impact carbone… sans toutefois augmenter les risques ou remettre en cause la conformité. Les CISO comme les CIO sont prudents. Pour Wavestone, il s’agit d’aborder la question autrement, via la couverture des risques. « Nous avons décidé de nous concentrer initialement sur la mesure de l’impact #co2 des mesures de cybersécurité. C’est la meilleure façon de donner aux CISO les moyens d’agir. Ils ont un rôle à jouer au-delà du #GreenIT. En effet, ils contrôlent la manière dont la cybersécurité est mise en œuvre dans leur structure. »

La cyber sustainability à travers 50 mesures impactantes isolées

Une méthodologie a été élaborée. Elle permet de mesurer l’impact #carbone de la cybersécurité. Pas moins de 700 mesures de sécurité basées sur le #NIST #CSF ont été analysées pour identifier celles qui émettent le plus. Après ce premier filtrage, plus de 50 mesures impactantes ont été isolées. Leurs émissions ont ensuite été évaluées, sur des périmètres réels et de tailles variées. Objectif : identifier les premiers résultats et les pistes d’amélioration concrètes. A la clé, 10 % de réduction possible si l’on construit différemment sa sécurité, assure Gérôme Billois.

Les résultats de l’étude invalident plusieurs clichés. Les pratiques cyber les plus gourmandes en énergie et en ressources ne sont pas toujours les plus évidentes… Et Wavestone de mentionner le chiffrement, qui ne représente qu’environ 1% des émissions totales. Si les algorithmes de chiffrement sont très souvent optimisés, avec un impact positif sur l’efficacité énergétique, néanmoins, par effet rebond, l’empilement des couches de chiffrement peut avoir un impact important sur la consommation globale des systèmes d’information et nécessitera certainement des études approfondies.

En tête des émissions, la résilience et les différents mécanismes de secours (serveurs dupliqués, serveurs de sauvegarde et PC de secours), suivie par les périphériques utilisateurs spécifiques (comme ceux exigés pour les prestataires et les administrateurs en plus de leurs périphériques du quotidien), représentent près de 50% des émissions de la cybersécurité.

Mobiliser l’ensemble de l’écosystème

Les mesures sont toutes concrètes et ont un effet direct. Ainsi, ne plus donner des ordinateurs aux prestataires qui en disposent déjà et utiliser la virtualisation. Ou, encore ,optimiser les solutions de résilience pour diminuer l’usage de matériel. Sans oublier d’intégrer dans les analyses de risques le critère #Sustainability au moment de choisir les mesures de sécurité pour le futur !

« Évidemment, le CISO peut agir au sein de sa structure. Mais notre initiative vise à mobiliser l’ensemble de l’écosystème pour maximiser son effet. Que ce soit au niveau des régulateurs, des organismes de normalisation, des fournisseurs ou de l’écosystème de recherche, tout le monde a un rôle à jouer ! »

L’idée n’est pas de se contenter d’exécuter le plan numérique responsable de son entreprise, mais l’enrichir. Pour cela, conseille Wavestone, il convient d’initier des actions ciblées sur leur périmètre, en particulier en modifiant la mise en œuvre des exigences de sécurité, permettant de réduire davantage encore les émissions… Les CISO peuvent également influencer l’écosystème cyber, en dehors de leur organisation, pour tendre vers plus de sobriété. Ces enjeux doivent être pris en compte par toutes les parties prenantes, y compris les fournisseurs ou les régulateurs.

Soyez force de proposition

En résumé, le projet tourne autour de quatre actions clés. Un, la résilience : repenser la redondance. Deux, l’IAM ; uniformiser les solutions utilisées. Trois : les logs, en réduisent les volumes et en mutualisant les systèmes. Et quatre, les postes de prestations externes : optimiser la stratégie.

Pour Wavestone, le CISO peut jouer un rôle clé dans les initiatives de durabilité. Son positionnement lui permet d’impulser des changements significatifs en faveur d’une cybersécurité moins émettrice, en complément des initiatives de Green IT, conclut Gérôme Billois. « Soyez force de proposition ! Sensibilisez vos équipes à l’importance de la cybersécurité durable. Adoptez une politique d’achat responsable pour vos fournisseurs de solutions et équipements de sécurité, et exploitez pleinement les logiciels cyber. »