« La consommation énergétique mondiale de l’Internet représente plus de 11% de la consommation électrique mondiale (si l’on devait comparer cette consommation à un pays, celle-ci correspondrait à un peu moins de la consommation d’un pays de 1.36 milliard d’habitants comme l’Inde). C’est beaucoup, et différentes études montrent que c’est plus d’un quart de l’électricité mondiale qui pourrait être consommée par l’Internet d’ici 2025. » ¹
L’élection de Joe Biden en novembre dernier signe le retour des États-Unis dans les accords de Paris de la COP 21.
Ces accords de Paris, que certains estimeront insuffisants, portent une volonté profonde de changement de paradigme dans la prise en compte de nos habitudes de consommation dans la lutte contre le changement climatique.
1. Parmi ces secteurs où notre consommation doit être repensée, le numérique figure en première place.
Les efforts effectués dans les Data center (amélioration des systèmes de refroidissement, amélioration des consommations des composants etc…) et les PUE (Power Usage Effectiveness) ont également largement contribué à une meilleure efficience dans la consommation électrique.
Le volume total de données stockées dans des systèmes d’informations représentera en 2025 plus de 175 zettaoctets (soit 175 milliards de To…) . Lorsque l’on sait qu’un mail d’1 Mo consomme autant qu’une ampoule de 60 watts pendant 25 minutes, soit l’équivalent de 20 grammes de CO2 , cette quantité de données aurait généré pour son inscription l’équivalent de la consommation de cette ampoule sur une durée de 8323 siècles… ²
Paradoxalement, le secteur du numérique déploie des efforts colossaux en termes d’efficience dans la consommation de ses outils. Si nous consommons davantage de data, c’est parce que les technologies ont permis de substantiellement amortir la portée énergétique induite. En effet, à elle seule, la 5G consomme a minima 10x moins d’énergie que la 4G pour la même quantité de données consommée.
D’un point de vue réglementaire, un premier cadre a été tracé par la loi dite « économie circulaire ». Depuis le 1er janvier 2021, la commande publique doit prendre en compte la consommation énergétique des produits numériques dans le cadre des commandes publiques.
Le 23 février 2021, le Gouvernement a présenté sa « feuille de route numérique et environnement » dans laquelle il propose de bâtir la stratégie en 3 axes :
- Le développement de la connaissance de l’empreinte environnementale numérique ;
- Le soutien à un numérique responsable et plus sobre ;
- Faire du numérique un levier de croissance écologique ;
2. Le numérique est un formidable levier pour la transition écologique et la lutte contre le changement climatique³
Fort de ce constat, nous avons tous un rôle à jouer dans cette prise en compte des facteurs environnementaux dans le développement de nos métiers. Il ne peut y avoir une dualité entre le développement d’une activité et la nécessaire prise en compte de l’environnement.
Dans le domaine de la cybersécurité, cette prise en compte est une chance de repenser le rapport que nous avons avec la donnée :
- Cartographier la manière dont nous stockons la donnée permet une meilleure cartographie de celle-ci, et est souvent l’occasion d’une prise de conscience sur les éventuelles failles de sécurité présentent dans les systèmes d’informations ;
- Cartographier cette donnée est aussi une chance de pouvoir repenser la gouvernance de la donnée au sein de l’organisation;
- Enfin, cartographier cette donnée est souvent l’occasion d’une mise en conformité afin d’évacuer les risques pesant d’un point de vue juridique.
La combinaison de ces trois éléments doit permettre à l’organisation, non seulement de s’engager vers une sécurisation de ses actifs, mais aussi de contribuer à un numérique plus vert…
3. Vers un principe de minimisation des données et des risques ?
La question de ce siècle sera donc de savoir comment nous stockons, pourquoi nous stockons, et comment et/ou quand nous devons arrêter de stocker, (Ndr : même si les deux premiers points commencent à être traités, le troisième reste encore très intégré au sein de l’éco-système économique Français voir Européen)
Le premier reflex lorsqu’est évoqué la question de la sécurisation des données est celui du chiffrement. Si celui-ci peut-être efficace, il est aussi très souvent énergivore. Nous devons avoir recours au chiffrement, mais à un chiffrement responsable de données pertinentes.
Sommes-nous réellement obligés de chiffrer ? Il est nécessaire d’évaluer les risques d’un non chiffrement pour être en capacité d’avoir « un chiffrement responsable ? »
Trois raisons principales peuvent nécessiter le stockage de donnée :
1 – l’archivage pour des raisons légal et de forensics
2 – la sauvegarde pour des raisons opérationnelles
3 – le data mining pour des objectifs stratégiques
En dehors de ces 3 cas, le chiffrement puis le stockage de ces données doivent être repensés. Plus globalement, c’est une réflexion sur le principe de minimisation des données qui pourrait être appliquée.
A titre d’exemple, en matière de RGPD, ce principe de minimisation prévoit que les données à caractère personnel doivent être « adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées »⁴.
Ce principe de minimisation doit être repensé à l’échelle des comportements individuels, mais aussi “by design” par les organisations dans une logique de responsabilisation. L’accompagnement vers la sécurisation de ces données est dès lors une chance.
4. Les effets de la réglementation sur les entreprises
Si un cadre réglementaire existe déjà concernant la durée de conservation de certaines données (par exemple, un employeur ne peut conserver les données personnelles des salariés que sur une durée de 5 ans après la date de fin du contrat), il a paradoxalement pu encourager l’usage massif du chiffrement au détriment de la suppression des données.
En outre, les acteurs doivent faire face à un mille feuille administratif concernant les obligations de conservation des données.
A titre illustratif, le délai de conservation en cas de transmission dématérialisée du bulletin de salaire a été porté à 50 ans… Ce mille feuille administratif allant jusqu’à créer des délais différents pour un même type de données. Puisque le code du travail dispose que l’employeur doit conserver les documents au sein de l’entreprise pour une durée de 5 ans.
Ce cadre réglementaire peu cohérent conduira au choix de conversion a maxima, entraînant son lot de risques sur les données, et une consommation de données parfois inutiles (si le salarié dispose de son bulletin de paie en version papier, l’obligation de conservation pour une durée de 50 ans n’existe plus…).
Il ne s’agit pas ici de contester la nécessité d’une réglementation, mais d’une nécessité de mieux accompagner les organisations dans le pilotage opérationnel de conformité prenant en compte cette dimension de « sustainability » (externalisation, application de bonnes pratiques, sécurisation et minimisation…)
Il n’y a donc pas de dualité entre cybersécurité et prise en compte de l’environnement, mais bel et bien une pleine synergie à bâtir.
Un numérique plus sûr sera aussi un numérique plus vert et plus vertueux.
Vous souhaitez en savoir plus ? Découvrez notre expertise Cyber Trust !
¹ Le rapport de Greenpeace : https://www.greenpeace.fr/la-pollution-numerique/
² Etude IDC, 2018
³ Rapport final de la Convention Citoyenne pour le Climat, p. 153.
⁴ Cnil.fr