Résumé des synergies entre écoconception, cybersécurité et protection des données
Dernière mise à jour le
La maîtrise des impacts et vulnérabilités du numérique
Les impacts environnementaux du numérique se concentrent en grande partie dans la phase de fabrication des équipements. L’objectif est donc de les faire durer le plus longtemps possible. Un des leviers pour lutter contre l’obsolescence matérielle, souvent induite par le logiciel, est l’écoconception de service numérique, démarche qui a donné lieu à la publication du RGESN, le référentiel d’écoconception de service numérique.
Mais les enjeux environnementaux se heurtent parfois à des injonctions contradictoires liées à la cybersécurité et à la protection des données. Pourtant des liens existent entre ces différents sujets et ils ont été mis en lumière lors d’un atelier avec la participation d’experts organisé par la MiNumEco avec des membres de différentes entités (Dinum, Ministère de la Transition écologique, ANSSI, CNIL, Université de Rennes, Campus Cyber, Institut du Numérique Responsable, Banque de France, etc.).
Définitions
L’écoconception
« L’écoconception est une méthode qui vise à limiter les impacts environnementaux d’un produit ou d’un service numérique en questionnant les besoins et en prenant en compte l’impact environnemental dès la conception et sur tout le cycle de vie, dans une démarche d’amélioration continue, en intégrant les principes de minimisation, stabilité, efficacité et maintenabilité ».
La cybersécurité et la protection des données
« La cybersécurité et la protection des données est une approche globale qui vise à protéger les systèmes, les données et les personnes, maîtriser les risques, corriger les failles, à tous les niveaux et au meilleur coût, en respectant les principes de minimisation, disponibilité, fiabilité, intégrité, souveraineté et conformité aux réglementations en vigueur ».
Points communs et synergies
Des points communs et synergies ont émergé lors de l’atelier. En voici la liste résumée.
- « By design » : securité, protection des données et écoconception très en amont, intégrés à la conception.
- Minimisation : moindre-privilège, moindre-donnée, moindre-fonctionnalité ou fonctionnalités essentielles.
- Souveraineté numérique : souveraineté des systèmes et des données
- Conformité aux référentiels et réglementations : RGS pour la sécurité, RGPD pour la protection des données, RGESN pour l’écoconception
- Maîtrise du système d’information : maîtrise du parc, rationalisation, cartographie, maîtrise de la sous-traitance, maintenance longue, stratégie de décommissionnement
- Approche « Cycle de vie » : appliquer les bonnes pratiques à chaque phase d’un projet (conception, usage, fin d’usage)
- Démarche en amélioration continue
- Formation des personnes : montée en compétences individuelle et collective, internalisation des compétences.
- Autres pratiques synergétiques : analyse des risques, supervision, pas ou peu de dépôt de cookie, durée de conservation des données, site web statique ou sans exposition de base de données, code sur mesure ou logiciel libre
Divergences entre enjeux environnementaux et de cybersécurité et protection des données
Quelques divergences existent également lorsque les enjeux de sécurité et de protection des données demandent à consommer plus de ressources numériques : défense en profondeur, déploiement de logiciels liés à la cybersécurité, chiffrement, haute disponibilité, cloisonnement et redondance, contrôle des entrées utilisateur.
Conclusion
Opposer les nécessités de cybersécurité et protection des données et les enjeux environnementaux n’a pas vraiment de sens, tant les bonnes pratiques d’écoconception vont dans la même direction. L’amélioration de l’empreinte environnementale d’un service numérique et la réduction de l’obsolescence des matériels sont potentiellement aussi favorables à une meilleure sécurité des données et des systèmes. Toutefois, des mesures de protection plus profondes peuvent augmenter la consommation de ressources informatiques et énergétiques d’un service numérique. Il peut être envisagé selon les experts, de réunir les différents enjeux dans un référentiel commun ou encore de réguler les métiers du numérique.