Cybersécurité et numérique responsable : frein ou levier ?

Allonger la durée de vie des équipements, limiter le nombre de terminaux, mutualiser, rationaliser les usages… Sur le papier, ces leviers sont parmi les plus efficaces pour réduire l’empreinte environnementale du numérique. Sur le terrain, ils se heurtent parfois à une réponse devenue classique : ce n’est pas possible à cause de la cybersécurité.

Ce constat, nous l’avons rencontré à de nombreuses reprises, notamment dans le cadre de bilans carbone du numérique et de la construction de plans d’action de réduction. D’un côté, la cybersécurité protège les systèmes d’information et les données face à des menaces toujours plus nombreuses et sophistiquées. De l’autre, le numérique responsable vise à réduire l’impact environnemental et social du numérique, tout en renforçant la durabilité, l’accessibilité et l’éthique des usages.

Pourtant, ces deux démarches sont encore souvent perçues comme contradictoires. La question n’est pas cyber contre NR, mais plutôt : comment les faire coexister efficacement ?

Quand cybersécurité et NR semblent s’opposer : deux blocages fréquents

1) Allonger la durée de vie des équipements : un levier NR… sous conditions cybersécurité

L’allongement de la durée de vie des ordinateurs, smartphones ou serveurs est presque toujours une action prioritaire dans les plans de réduction, la fabrication représentant la principale source d’impact environnemental.

Côté cybersécurité, ce levier soulève néanmoins des inquiétudes récurrentes :

• Équipements plus anciens,
• Fin de support éditeur,
• Impossibilité de mises à jour de sécurité,
• Firmware obsolète,
• Incompatibilités avec les normes internes.

Dans certains cas, ces risques sont réels. Dans d’autres, ils deviennent un argument bloquant par défaut, sans analyse fine des marges de manœuvre possibles.

En pratique, la vraie question n’est donc pas peut-on garder un équipement plus longtemps ? mais plutôt : peut-on garantir un niveau de sécurité acceptable en prolongeant la durée de vie, et sous quelles conditions ?

2) VDI : une solution compatible… parfois écartée à tort

Autre cas fréquent : la Virtual Desktop Infrastructure (VDI).
En centralisant l’environnement de travail côté infrastructure plutôt que sur le terminal local, la VDI peut permettre :

• Limiter l’achat de matériel supplémentaire,
• Réduire la multiplication des postes (notamment pour les prestataires),
• Centraliser la donnée et les accès.

Pourtant, elle est parfois rejetée pour des raisons de complexité perçue, de coûts, de risques supposés ou simplement d’habitudes existantes.

Dans plusieurs contextes, la VDI peut pourtant être plus sécurisée qu’un VPN, en limitant la présence de données sensibles sur les terminaux et en renforçant les contrôles centralisés.

Ce qui est perçu comme un risque devient alors, dans certains cas, un levier de convergence entre sécurité et sobriété.

Des tensions réelles… mais pas insolubles

Cybersécurité et numérique responsable ne reposent pas sur les mêmes réflexes historiques :

• la cybersécurité privilégie la résilience, la redondance, le contrôle et la réduction du risque,
• le numérique responsable pousse à la sobriété, à la rationalisation et à la limitation de la surconsommation.

Cela crée des tensions structurelles :

• le NR cherche à limiter la duplication, quand la cybersécurité impose parfois des redondances (sauvegardes, PRA/PCA),
• le NR vise la prolongation des équipements, quand la cybersécurité peut imposer des renouvellements pour des raisons de support ou de conformité.

Ces divergences ne doivent toutefois pas conduire à une opposition stérile. Des leviers concrets existent déjà pour concilier les deux.

Comment dépasser les blocages : des leviers éprouvés

L’objectif n’est pas de sacrifier la sécurité au nom du numérique responsable, mais de sortir du réflexe « c’est impossible » pour entrer dans une logique d’arbitrage : risques, périmètres, alternatives, contrôles.

Voici quelques leviers souvent mobilisés :

1) Sécuriser davantage… pour prolonger intelligemment

La prolongation de la durée de vie devient souvent possible lorsqu’elle s’accompagne de politiques de gestion rigoureuses :

• gestion centralisée des terminaux (MDM / EMM),
• authentification forte,
• chiffrement des données sensibles,
• segmentation réseau,
• restriction des usages selon les profils.

On ne prolonge pas à l’aveugle, on prolonge avec un cadre.
Tous les équipements n’ayant pas le même niveau d’exposition, le NR gagne à intégrer une approche par niveaux de sensibilité.

2) VDI : un bon exemple de synergie possible

La VDI illustre bien le potentiel de convergence :

• réduction du nombre de terminaux,
• centralisation des données,
• limitation des risques côté poste local.

Sa pertinence repose toutefois sur une gouvernance adaptée :

• segmentation des environnements,
• journalisation renforcée,
• micro-segmentation,
• chiffrement des données sensibles,
• règles strictes sur les accès et les transferts.

Ici, l’enjeu est autant organisationnel que technique : un arbitrage assumé entre sécurité, sobriété, coûts et complexité.

3) Piloter avec une double exigence

Un levier particulièrement efficace consiste à sortir des pilotages en silo.
Certaines organisations intègrent désormais indicateurs cyber et environnementaux dans un même tableau de bord, afin de piloter leurs infrastructures selon une double exigence :

• résilience et continuité,
• sobriété et maîtrise des impacts.

Tant que cybersécurité et numérique responsable sont traités séparément, les arbitrages se font tardivement et souvent au détriment du NR.

La cybersécurité fait partie du développement durable

Le développement durable ne se limite pas à l’environnement. Il repose aussi sur la confiance, la stabilité des infrastructures et la protection des individus.

À ce titre, la cybersécurité contribue directement à plusieurs Objectifs de Développement Durable (ODD), notamment :

• ODD 4 (Éducation de qualité) : en protégeant les environnements numériques d’apprentissage.
• ODD 9 (Industrie, innovation et infrastructures) : en renforçant la résilience des infrastructures numériques critiques.
• ODD 11 (Villes et communautés durables) : en sécurisant les systèmes urbains connectés (mobilité, énergie, santé).
• ODD 3 (Bonne santé et bien-être) : via la protection des données de santé.
• ODD 8 (Travail décent et croissance économique) : en protégeant le fonctionnement des entreprises et du système financier.
• ODD 16 (Paix, justice et institutions efficaces) : en soutenant la confiance dans les services publics numériques et la gouvernance.

Sans systèmes numériques sûrs, il ne peut y avoir ni confiance durable, ni services numériques responsables.

Pour aller plus loin : et demain, avec l’IA ?

Enfin, ces arbitrages entre cybersécurité et numérique responsable deviennent encore plus visibles : multiplication des environnements, explosion des volumes de données et dépendance accrue aux infrastructures. Comme l’explique l’INR dans sa newsletter “L’INR décode l’IA #5 : Agents IA et cybersécurité sur toutes les lèvres”, l’IA et la cybersécurité sont désormais intimement liés : la complexité des systèmes d’IA peut accroître la surface d’attaque, et la maîtrise des données devient un enjeu central dans les deux domaines.

Dans ce contexte, intégrer la cybersécurité dès la conception devient aussi un levier de numérique responsable : limiter la complexité, mieux maîtriser les données, et éviter d’ajouter des couches inutiles après coup.

Et vous : quels sont les principaux freins que vous rencontrez entre cybersécurité et numérique responsable, et comment les arbitrez vous dans votre organisation ?

FAQ :