Définitions
Dernière mise à jour le
Écoconception
L’écoconception vue par les experts de la cybersécurité et de la protection des données
« L’écoconception est une méthode qui vise à limiter les impacts environnementaux d’un produit ou d’un service numérique en questionnant les besoins et en prenant en compte l’impact environnemental dès la conception et sur tout le cycle de vie, dans une démarche d’amélioration continue, en intégrant les principes de minimisation, stabilité, efficacité et maintenabilité ».
Enjeux environnementaux et écoconception de service numérique
Enjeux environnementaux
L’analyse du cycle de vie est une méthode d’évaluation environnementale qui recense et quantifie tout au long de la vie des produits, les flux physiques de matière et d’énergie associés aux activités humaines.
Itérative, multi-étape et multicritère, et faisant l’objet d’une normalisation internationale (normes ISO 14040 et ISO 14044), cette approche a permis d’attribuer aux phases d’extraction de matières premières et de fabrication la majorité des impacts environnementaux du numérique.
Le cycle de vie :
- Extraction des matières premières
- Fabrication
- Transport
- Distribution
- Utilisation
- Fin de vie ou Valorisation
- Dans le cas de la valorisation, possible retour en 2. Fabrication
Afin de réduire ces impacts environnementaux, les bonnes pratiques sont :
- Réduire le nombre d’équipements et la taille des écrans
- Allonger la durée de vie des équipements
- Réduire l’usage de ressources numériques
- Refuser les usages inutiles
L’écoconception de service numérique
Un service numérique est constitué de l’ensemble des matériels, logiciels et infrastructures qui permettent de réaliser une action numérique : par exemple Partager un fichier avec mes collègues.
L’écoconception est une démarche d’amélioration continue visant à réduire les impacts environnementaux d’un produit ou d’un service. Elle prend en compte tout le cycle de vie et fait l’objet d’une norme, la Norme IEC 62430 (anciennement ISO/TR 14062), qui décrit les principes, exigences et recommandations associées à l’écoconception.
Les principaux objectifs de l’écoconception d’un service numérique sont :
- Réduire la consommation de ressources informatiques
- Réduire la contribution à l’obsolescence des équipements, en particulier ceux des utilisateurs.
L’écoconception de service numérique :
- N’est pas de l’optimisation ou de la recherche de performance.
- N’est pas un sujet uniquement pour les développeurs ou les développeuses.
- Ne se concentre pas sur la réduction de la consommation d’énergie des centres de données.
- Ne sert pas uniquement à réduire globalement la consommation d’électricité du numérique.
- N’est pas le retour au Minitel.
- C’est avant tout interroger les besoins et les usages.
Cybersécurité et protection des données
La cybersécurité et la protection des données vues par les experts de l’écoconception
« La cybersécurité et la protection des données est une approche globale qui vise à protéger les systèmes, les données et les personnes, maîtriser les risques, corriger les failles, à tous les niveaux et au meilleur coût, en respectant les principes de minimisation, disponibilité, fiabilité, intégrité, souveraineté et conformité aux réglementations en vigueur ».
Focus sur la cybersécurité
La cybersécurité est à la fois un état et un ensemble de domaines visant cet état :
- « état recherché pour un système d’information lui permettant de résister à la menace cyber susceptible de compromettre la disponibilité, l’intégrité ou la confidentialité des données ou des services connexes. »
La cybersécurité répond à 4 types de besoins résumés sous les sigles DICP ou DICT
Disponibilité
Intégrité
Confidentialité
Preuve ou Traçabilité - Ensemble de méthodologies, technologies, règlements, lois, métiers, … visant à protéger dans le cyberespace ce qui doit l’être (actifs essentiels), au bon niveau et au meilleur coût, (l’analyse de risques cybersécurité permet aussi de faire de l’optimisation financière).
Organisation de la cybersécurité
- Organisation, installation :
- Que faut-il protéger ? Pourquoi ?
- Des processus : facturation, R&D (Recherche et développement), fabrication, …
- Des données : clients, RH (Ressources Humaines), R&D …
- Recensement des actifs à protéger puis classification
- cartographie des données à protéger dans un processus d’amélioration continue
- Quel niveau de sécurité ? Gravité d’une atteinte aux actifs ciblés ?
- Quelle est la vraisemblance d’un scénario de risque ?
- Politique de sécurité du SI
- Que faut-il protéger ? Pourquoi ?
- Sécurité opérationnelle :
- Surveillance et déclenchement d’incidents de sécurité
- Réponse à incident : plan de continuité et de reprise d’activité
- Veille sur les vulnérabilités pour les maîtriser (le SI et les techniques d’attaque évoluent. exemple : détecter des mises à jour de sécurité à déployer, réaliser des audits de sécurité)
- Analyse de la menace (exemple : adresses IP à filtrer)
L’ANSSI propose le Référentiel général de sécurité (RGS), qui a pour objet le renforcement de la confiance des usagers dans les services électroniques mis à disposition par les autorités administratives et s’impose ainsi à elles comme un cadre contraignant tout en étant adaptable et adapté aux enjeux et besoins de tout type d’autorité administrative.
« La cybersécurité ce n’est pas seulement les services que l’on possède et qu’on utilise pour être en interface avec l’extérieur, c’est aussi le fait qu’on a des besoins de fonctionnement de la société que l’on vient réguler. L’ANSSI est là pour défendre la Nation, pas seulement les administrations mais aussi les services essentiels, d’importance vitale, donc il y a un intérêt à réguler les pratiques de cybersécurité des structures privées en fonction des enjeux, par exemple les transports, l’éducation ou la santé ».
Liens entre cybersécurité et protection des données
Il existe un lien très fort entre la cybersécurité et la protection des données. La sécurité est un axe majeur de la protection des données. En effet, la protection des données implique la formalisation d’une politique de sécurité et de confidentialité des données faisant l’objet d’un traitement, afin d’éviter leur communication à des tiers voire leur transfert hors Union Européenne ou dans un pays n’ayant pas le niveau de protection adéquat.
La mise en œuvre de la sécurité du traitement des données à caractère personnel est décrite à l’article 32 du RGPD, qui liste les mesures techniques et organisationnelles appropriées devant être prises par le responsable de traitement afin de garantir un niveau de sécurité adapté au risque :
- Pseudonymisation et chiffrement des données
- Moyens
- de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement
- permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique
- Procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement
Le DPO a pour rôle de s’assurer de la conformité de son organisation aux réglementations en vigueur en termes d’utilisation des données personnelles. Il est l’interlocuteur privilégié de la CNIL et du responsable de traitement. Sa fonction transverse l’amène aussi à travailler en étroite collaboration avec le RSSI (Responsable de la Sécurité des Systèmes d’Information), dont le rôle est de garantir la mise en œuvre de la sécurité des systèmes d’information.
Les référents des deux domaines, responsable de la sécurité des systèmes d’information et délégué à la protection des données sont des éléments indispensables à la mise en œuvre de démarches d’amélioration continue, par exemple pour prévenir les risques de violation de données.