Le changement climatique est-il un sujet de sécurité de l’information ?
Le changement climatique dans la Norme ISO 27001
Le 22 février dernier, l’ISO (International Standard Organization) a publié, conjointement avec l’IAF (International Accreditation Forum), un communiqué sur la prise en compte des changements climatiques dans leurs standards de systèmes de management.
Cette publication a été suivie, dès le lendemain, par la mise à jour d’un certain nombre de normes, dont l’ISO 27001, dédiée à la sécurité de l’information, qui se voit désormais complétée de deux mentions concernant les changements climatiques :
• L’article 4.1, concernant la compréhension du contexte de l’organisation, et exigeant la prise en compte de facteurs internes et externes dans l’élaboration de la sécurité de l’entreprise, se termine maintenant par « L’organisme doit déterminer si des enjeux découlent des changements climatiques. »
• L’article 4.2, exigeant la prise en compte des attentes des parties intéressées par le système de management, mentionne désormais que « Les parties intéressées concernées peuvent avoir des exigences relatives aux changements climatiques. »
La volonté de l’organisme international d’intégrer les problématiques environnementales dans leurs normes semble être une adaptation aux enjeux du moment, et il est essentiel d’y répondre, mais doit-on s’arrêter là ?
Il y a deux façons d’aborder le sujet.
Réagir aux changements
Tout d’abord la façon réactive. Nous sommes face à des changements climatiques d’importance, incertains, qui risquent de bouleverser nos habitudes, notre mode de vie et nos contraintes dans les années à venir. L’idée principale de ces articles est d’essayer d’y faire face, d’anticiper, d’inclure ces changements dans les menaces probables, au cours de nos exercices d’analyse de risque. Les risques sont en effet multiples, en particulier sur l’aspect physique :
• Augmentation du risque d’incendie ou de panne de l’équipement de fourniture d’électricité, due à l’augmentation de la température
• Augmentation des risques de catastrophes naturelles (feu également, mais aussi inondations, intempéries d’échelle importante)
• Entrave à la mobilité des personnes en raison de perturbations climatiques, de l’augmentation du coût des énergies.
Les besoins modernes qui ont de plus en plus recours à la « digitalisation », induisent par ailleurs une augmentation croissante des besoins en énergie, en ressources naturelles, alimentant ces risques au lieu de les réduire.
Chez Memority, une architecture 100% Cloud (que ce soit pour la plateforme Memority offerte aux clients ou pour notre système d’information interne), multi-région, permet d’adresser une partie de ces problèmes. D’une part, en assurant une haute disponibilité active/passive sur plusieurs régions européennes, permettant ainsi de réduire les risques induits par le changement climatique. D’autre part, en s’appuyant sur la compétence et la qualification des opérateurs de datacenters quant à l’optimisation de la gestion de l’énergie et la prise en compte des événements climatiques.
Enfin, l’article 4.2 nous demande de prendre en compte les exigences de nos clients face à ces changements climatiques. Comme elles l’ont toujours été, les équipes de Memority sont à l’écoute de leurs clients pour l’ensemble de leurs besoins de résilience.
Les entreprises sauront adresser les recommandations de la norme de cette façon-là, mais n’est-ce pas l’occasion d’aller plus loin ?
Prévenir le changement
La seconde façon d’aborder ce sujet est la façon préventive. C’est l’enjeu de notre temps et des générations à venir : comment changer de posture et ne plus se contenter de réactions tardives et insuffisantes face aux changements climatiques ? Comment s’assurer de maîtriser l’impact climatique de notre activité ? Comment assurer la survie, tout simplement ? Malheureusement, je ne peux pas prétendre répondre à ces questions, mais je veux y travailler du mieux possible.
Une plateforme raisonnable et raisonnée
Ayant été RSSI dans une très grande entreprise, et consultant dans d’autres, j’ai pu voir à quel point la gestion des identités et des accès peut être coûteuse, non seulement en temps mais également en ressources matérielles, et donc en énergie.
Chez Memority, nous mutualisons et nous offrons à notre tour nos compétences et qualifications pour aider nos clients. L’infrastructure 100% Cloud et l’architecture logicielle organisée en micro-services permettent une mutualisation optimisée des ressources et évitent le surdimensionnement matériel, tout en maintenant agilité et flexibilité en cas de montée en charge. L’architecture multi-tenant au niveau applicatif de Memority permet d’accueillir l’ensemble de nos clients sur la même infrastructure physique, cette dernière étant dimensionnée en fonction de la charge engendrée par l’ensemble des clients. Cette architecture permet également de réduire les actes informatiques et donc la consommation de ressources. Ainsi, une montée de version est opérée sur la plateforme pour tous les clients simultanément, contrairement aux architectures mono-tenant où les serveurs sont dédiés et nécessitent une montée de version pour chaque client.
Récemment, nous avons rencontré un prospect qui maintenait à lui seul l’équivalent de la moitié de la totalité des serveurs de Memority. L’accueillir au sein de notre plateforme n’impliquerait le déploiement d’aucun nouveau serveur / service sur Memority, et aurait le bénéfice de supprimer l’intégralité des serveurs qu’il utilise.
Dans un contexte climatique fragile, notre offre est cohérente, intégrée et efficiente. Nous ne déployons même pas d’appliance dans les locaux de nos clients !
Éviter le gaspillage, optimiser les ressources, c’est déjà une première étape.
Les principes de sécurité, de simplification et de maîtrise de son environnement sont tout à fait alignés avec les principes de frugalité énergétique.
Un positionnement européen et français
Par ailleurs, assumer des choix de souveraineté Européenne, et même Française, dans le choix de nos partenariats et de nos fournisseurs, est non seulement un enjeu de protection des données mais également d’engagement en faveur du climat. À l’instar de la logique des circuits courts alimentaires, faire appel à un acteur local implique une infrastructure de communication moins longue, moins de serveurs intermédiaires, moins de ressources et moins d’exposition au risque.
Nous avons, de plus, la chance d’opérer dans un pays où la production d’énergie électrique est particulièrement décarbonée.
Lorsque nous parlons de diminution de surface d’attaque en matière de sécurité, nous parlons également d’une diminution des ressources consommées. Là aussi, la sécurité et la préoccupation climatique œuvrent dans le même sens.
Des capacités d’influence
Enfin, l’ajout de ces deux phrases à la norme ISO 27001 nous donne un levier pour agir auprès de nos fournisseurs certifiés ISO 27001, afin qu’eux aussi prennent davantage en compte l’aspect climatique.
En conclusion
À chacun d’essayer d’œuvrer bénéfiquement, avec ses propres moyens. Chez Memority, nous avons à cœur de faire rimer sécurité et optimisation des ressources face aux enjeux climatiques sur notre périmètre, et d’en faire bénéficier nos clients.
Nous pouvons désormais aussi nous réjouir que l’ISO et l’IAF aient effectué ce premier pas dans le bon sens, avec un impact positif direct sur notre métier !
-> Pour en savoir plus sur la plateforme Memority : cliquez ici
