Gérôme Billois : « Dans la cybersécurité, ce ne sont pas les usages qui consomment le plus, mais le matériel. »

Aujourd’hui, la cybersécurité représente une part significative et croissante de l’IT des entreprises, avec en moyenne 6,6 % du budget IT dédié à la sécurité selon le Cyber Benchmark réalisé par Wavestone en 2024.

Gérôme Billois est associé au sein du cabinet Wavestone sur la cybersécurité et la confiance numérique. Diplômé de l’INSA de Lyon, il travaille depuis plus de vingt ans dans ce domaine. Il a rejoint Wavestone en 2004 et y a développé l’activité cybersécurité. Il intervient aujourd’hui auprès des comités de direction des plus grandes entreprises et organisations publiques afin de les aider à définir leur stratégie cybersécurité ou à gérer leurs crises cyber. Il est également administrateur du Campus Cyber, le lieu totem de la cybersécurité en France, et du CLUSIF (Club de la sécurité de l’information français), l’association de référence de la sécurité du numérique en France, réunissant tous les secteurs d’activité de l’économie.

Techniques de l’ingénieur : Quels sont les principaux constats que vous avez tirés de votre méthodologie ?

Gérôme Billois : Pour établir notre méthodologie, nous avons analysé l’ensemble des mesures de sécurité exigées par les référentiels internationaux comme le NIST Cybersecurity Framework. Nous avons identifié les exigences les plus émettrices. Après ce premier filtrage, plus de 50 mesures impactantes ont été isolées. Leurs émissions ont ensuite été évaluées, sur des périmètres réels et de tailles variées, pour identifier les premiers résultats et les pistes d’amélioration concrètes.

Et les résultats de notre étude invalident plusieurs clichés : les pratiques cyber les plus gourmandes en énergie et en ressources ne sont pas toujours les plus évidentes… Dans le numérique, ce ne sont pas les usages qui consomment le plus, mais le matériel. Nous avons réussi à identifier les solutions pour réduire les émissions de gaz à effet de serre de 5 à 10 % tout en maintenant un niveau de risque équivalent. Pour l’instant, nous ne pouvons pas dire par exemple si un antivirus classique est moins consommateur en CO₂ qu’un XDR (schématiquement, un super antivirus, NDLR), car cette mesure ne correspond qu’à quelques pourcentages de consommation du processeur sur un ordinateur. Les gains larges se situent ailleurs.

Quelles sont les principales actions permettant d’optimiser son impact environnemental sans augmenter le niveau de risque ?

La première est de repenser la redondance. La résilience est la mesure la plus carbonée, avec 36 % du total des émissions liées à la cybersécurité. L’optimisation des redondances et des sauvegardes permet de réduire ce poste et, ainsi, gagner plusieurs tonnes de CO₂ par an.

La seconde concerne les entreprises fournissant des postes de travail à leurs prestataires externes. Lorsque des prestataires interviennent dans une grande entreprise, on leur prête un ordinateur pour qu’ils n’utilisent pas le leur. Cela semble une bonne mesure en termes de sécurité informatique. Mais dans d’autres cas, sans prendre de risques démesurés on pourrait accepter que ces prestataires utilisent leur propre ordinateur.

La troisième consiste à rationaliser l’IAM (Identity and access management) c’est-à-dire la gestion des accès des salariés à des sites ou des logiciels. Les entreprises utilisent parfois plusieurs solutions qui assurent les mêmes services. Mais certaines s’appuient sur de vieilles technologies et d’autres sur des technologies d’une entreprise que l’on vient d’acquérir… Toutes ces solutions tournent en continu et cela entraîne une forte consommation. À lui seul, l’IAM représente 10 % du total des émissions.

Enfin le dernier axe d’amélioration consiste à réduire les volumes. L’optimisation des journaux techniques générés par les applications et l’infrastructure est cruciale, compte tenu de leur potentiel de réduction et la facilité de mise en œuvre.

Quelle est la position des RSSI (Responsable de la Sécurité des Systèmes d’Information) concernant cette problématique environnementale ?

Ce sont des démarches très personnelles, mais de manière générale ils sont réactifs si on leur demande quelque chose. Cette étude montre aussi que les RSSI peuvent aller au-delà et être proactifs. Ils ont la capacité de ne pas être que des suiveurs dans ce domaine GreenIT. Ils ne doivent pas se contenter d’exécuter le plan numérique responsable de leur entreprise, mais l’enrichir. Car ces professionnels gèrent les politiques de sécurité définissant comment on va renforcer son niveau de cybersécurité et donc combien de serveurs seront déployés, combien de serveurs seront dupliqués.

Mais comme nous l’avons vu précédemment, la résilience, les différents mécanismes de secours (serveurs dupliqués, serveurs de sauvegarde et PC de secours) et les périphériques utilisateurs spécifiques représentent près de 50 % des émissions de la cybersécurité. Les RSSI peuvent rationaliser ces solutions. Il faut savoir précisément quel est l’usage des logiciels et des systèmes déployés. Pour des raisons de continuité d’activité, le RSSI souhaite dupliquer des serveurs au cas où il y aurait un sinistre ou une cyberattaque. C’est légitime, mais parfois, il est préférable de mutualiser un certain nombre de choses.

Quelles sont les prochaines évolutions de votre méthodologie ?

Dans un premier temps, il s’agira de la solidifier pour qu’elle soit utilisée par beaucoup plus d’entreprises. Pour l’instant, notre méthodologie doit aussi être testée par des PME. Les responsables informatiques et de cybersécurité des PME peuvent consulter nos résultats pour savoir s’ils sont concernés par certaines problématiques trop consommatrices en CO₂. Enfin, nous envisageons de proposer une méthodologie par secteurs d’activité. La banque, l’industrie, la santé… n’ont pas tout à fait les mêmes systèmes d’information et les mêmes exigences en termes de continuité d’activité.