décembre 2021

  • Sort Blog:
  • All
  • Articles
  • Edito
  • L'oeil de l'expert
  • Le saviez-vous ?
  • Nos actus
  • Nos analyses

Cyberattaques, l’Italie renforce sa cyberdéfense

En Italie, l’heure de la cyber contre-attaque est arrivée. Suite à une augmentation de 246% l’année dernière le gouvernement Italien décide de muscler ses mesures pour protéger les intérêts nationaux de son écosystème numérique. Tour d’horizon des mesures italiennes, françaises et européennes pour faire face à la recrudescence de cyberattaques.

Italie :

2021, une année de rupture pour l’Italie

Ces dernières semaines, l’Italie a été confrontée à une recrudescence des cyberattaques, touchant aussi bien des entreprises que des institutions.

En mai, les hôpitaux de Rome et de Milan ont été attaqués. Le 3 août, tout le système informatique de la région du Latium, où se trouve Rome, a été piraté par un rançongiciel. De nombreux services ont été impactés comme celui des services délivrant le pass sanitaire, mais le plus important est celui en charge de la prise de rendez-vous pour la vaccination contre le Covid. Le 18 août 2021, c’est l’agence de santé de Toscane qui a été attaquée à son tour.

 

Le secteur de l’enseignement et de la recherche est aussi une cible privilégiée. En effet, l’entreprise israélienne de cybersécurité Check Point Software Technologies nous apprend qu’en juillet l’Italie a connu 5016 attaques hebdomadaires, derrière l’Inde mais devant Israël. L’attrait pour le secteur de l’enseignement est dû au fait qu’il est traditionnellement dépourvu de budgets en matière de cybersécurité.                                Check Point Software, a annoncé en août qu’au premier semestre 2021 le nombre de cyberattaques en Europe a augmenté de 36%. Et le nombre d’attaques au rançongiciel a augmenté de 93%.

Le secteur public n’est pas le seul visé. Ces derniers mois, plusieurs entreprises italiennes ont été victimes de hackers, notamment dans les secteurs du textile, de la mécanique de précision, de l’agroalimentaire ou encore des assurances. L’an dernier, de grandes entreprises transalpines telles que Campari, Enel ou encore Luxottica avaient été visées. Selon le dernier rapport IBM, le coût moyen d’une cyberattaque pour les entreprises italiennes a augmenté de 13,5 %, passant de 3,19 à 3,61 millions de dollars. Globalement, le coût annuel des cyberattaques s’élève à 7 milliards d’euros pour les entreprises de la Botte.

2021 : L’année du changement de politique cyber de l’Italie

De nombreuses prises de paroles dans les médias ont marquées ce changement de politique. L’une des premières est celle de Mario Draghi, lors d’un sommet spécial à Bruxelles en mai.  A cette occasion, il avait souligné la nécessité de renforcer la cybersécurité aux niveaux européen et national, en particulier face à la Russie. Sa décision est motivée par le besoin de renforcer la cybersécurité nationale et européenne, face à la résurgence d’interférence géopolitique. Il dénonçait alors l’espionnage et la manipulation du web par la Russie. Cette sortie concernant la Russie faisait suite à une attaque au rançongiciel par des russes qui a forcé la fermeture d’un des plus grands oléoduc des États-Unis.

Au niveau national, le Ministre pour l’Innovation technologique et la Transition numérique, Vittorio Colao, a déclaré en juillet que plus de 90% des serveurs de l’administration italienne ne sont pas sécurisés. Pour le directeur de l’association italienne pour les infrastructures critiques, il s’agit surtout d’un problème budgétaire, en effet l’administration italienne dispose de nombreux outils et infrastructures numériques dépassés.

A la mi-juin, le ministre Colao a déclaré la nécessité de se doter en urgence d’un «bouclier anti-hacker ». En effet, toujours selon le ministre de l’Innovation technologique, « 95 % des 11.000 serveurs de l’administration sont obsolètes, tandis que 84 % des 4,5 millions de PME-PMI ne pourraient pas faire face à une cyberattaque». C’est ainsi qu’a été annoncé le lancement d’un Pôle stratégique national pour le rendre effectif d’ici à mi-2022. L’objectif sera d’assurer l’offre de cloud de l’Administration publique ainsi que les données les plus sensibles de 180 organismes publics.

Création de l’ANSSI à l’Italienne

La création d’une agence gouvernementale spécialisée en cybersécurité devenait critique. Ainsi, le 10 juin 2021, le Conseil des ministres Italien a annoncé la création de l’Agence nationale de cybersécurité (ACN) pour lutter contre la multiplication des attaques informatiques et être en mesure de faire face à des cyberattaques étrangères, notamment russe. Cette agence aura différentes missions comme : la protection des intérêts nationaux et la résilience des services et fonctions essentielles de l’État face aux menaces cyber, l’accroissement de la sécurité des systèmes d’information et de communication , et le développement de compétences industrielles, technologiques et scientifiques dans le domaine de la cybersécurité. Avant la création de cette agence, en Italie de nombreux services de cybersécurité coexistaient et étaient placés sous différentes autorités, soit du président du Conseil, soit du Premier ministre. Fusionner ces services va permettre d’accroître l’efficacité de la réponse cyber italienne.

Aujourd’hui, sous l’autorité du Premier ministre, l’ACN dispose pour le moment de 300 employés. Au cours de la période 2021-2027, elle disposera d’un budget de 529 millions d’euros et vise l’embauche de 1 000 professionnels de la cybersécurité sur la période.

France :

Que s’est-il passé en France ces derniers mois, y-a-t-il une différence ?

La France aussi est touchée par de nombreuses cyberattaques.                                                                            France Visa                                                                                                                                                                       L’une des dernières est celle du 10 août, concernant la plateforme France-visa, dédiée aux étrangers demandant un visa pour la France. Ainsi les données personnelles (emails, noms, prénoms, numéro de passeport, date de naissance, nationalité) de 8700 personnes, ont pu être dérobées. Le site reçoit plus de 1,5 million de demandes de visas en moyenne par mois, selon la Cnil. L’attaque informatique a pu être « rapidement maîtrisée », assure le ministère, qui explique avoir pris des mesures conjointement avec le ministère de l’Europe et des Affaires étrangères « pour sécuriser la plateforme » et éviter que « des événements de ce type se reproduisent ».

APHP

 

La dernière fuite de cybersécurité majeure a été révélée le 15 septembre 2021. On a alors appris que l’Assistance Publique-Hôpitaux de Paris (AP-HP) a été victime d’une cyberattaque de grande ampleur à l’été 2020. Les données personnelles d’environ 1,4 million de personnes, qui ont effectué un test de dépistage du Covid-19 en Île-de-France ont été retrouvées sur un serveur en Nouvelle-Zélande, sans savoir si et combien de personnes ont pu y avoir accès. Les données volées sont sensibles et précieuses pour les hackers, ces derniers ayant obtenus l’identité, le numéro de sécurité sociale et les coordonnées des personnes testées, ainsi que l’identité et les coordonnées des professionnels de santé les prenant en charge, les caractéristiques et le résultat du test réalisé. L’institution reconnaît que « le vol pourrait être lié à une récente faille de sécurité de l’outil numérique » qu’elle utilise pour le partage de fichiers, selon les premières investigations. Finalement, un étudiant français de 22 ans a reconnu être l’auteur du vol massif de données après son interpellation dans le Var par la police.  Anti-passe sanitaire, il déclare avoir agi pour « mettre un coup de pied dans le système ».

Plus récemment, en août, le centre hospitalier de Arles a été victime d’un rançongiciel. Les professionnels de santé ont perdu l’accès aux antécédents des patients et le logiciel des ressources humaines, utilisé notamment pour la paie. En février 2021, le secrétaire d’Etat chargé du numérique, Cédric O a déclaré qu’une cyberattaque contre des hôpitaux a lieu chaque semaine depuis janvier.

Les plans du gouvernement français pour renforcer la cybersécurité

En 2017, le gouvernement d’Édouard Philippe a lancé le programme Action Publique 2022. Ce programme vise à repenser le modèle de l’action publique au regard de la révolution numérique qui redéfinit les contours de la société française. A ce titre, il décide de lancer le site cybermalveillance.gouv en 2017, le but étant d’aider les petites entreprises victimes d’actes de cyber malveillance car l’ANSSI s’occupe principalement des grandes entreprises, des institutions et des établissements de santé. Restreint à son lancement au Nord de la France, le site est déployé au niveau national. Le site permet, outre l’accès rapide à des informations simples pour particuliers et entreprises, la mise en relation des visiteurs-victimes avec un spécialiste en cybersécurité de la région où l’on se trouve. L’un des espoirs du gouvernement est de participer au développement d’un tissu industriel français et européen de confiance.

Avec le plan de relance le gouvernement a décidé de délivrer un plan de dotation envers le milieu de la cybersécurité. Ce dernier est composé de plusieurs volets : recherche et développement, renforcement de la filière, soutien à la demande.                                                                                                                                             En matière de R&D, 500 millions d’euros seront consacrés à financer une offre technologique de pointe dans le secteur de la sécurité. L’objectif pour l’Élysée est de favoriser le développement d’une filière cybersécurité française et de viser un chiffre d’affaires global de la filière à 25 milliards d’euros en 2025 et doubler le nombre d’emplois de la filière.  Sur le renforcement de la filière, 148 millions d’euros vont servir à financer le projet de campus cyber. Sur le soutien à la demande, 136 millions d’euros seront alloués à l’ANSSI au travers du plan de relance. Avec l’augmentation de son budget, l’Agence va aider les collectivités à auditer leur sécurité informatique et opérer une mise à niveau de ce dernier.

Dans son rapport 2021, l’ANSSI nous éclaire sur les évolutions des cyberattaques en France. Ainsi, par rapport à 2019, il y a eu deux fois plus d’attaques en 2020, tandis que l’utilisation des rançongiciels a été multipliée par quatre. Un quart des entreprises font le mauvais choix de payer la rançon de 130 000 euros en moyenne. Les principales cibles sont les collectivités territoriales, les établissements de santé et les entreprises industrielles.

Réaction de l’ANSSI et de Guillaume Poupard à l’occasion du FIC 2021

 

Lors du Forum International de la Cybersécurité (FIC) 2021, Guillaume Poupard, le directeur de l’ANSSI a abordé le rôle de l’ANSSI et de la France dans la présidence du Conseil de l’Union européenne en 2022. Il a annoncé l’espoir de bâtir un vrai cloud souverain, le but étant d’échapper aux règles extraterritoriales des pays tiers, notamment les États-Unis et le Cloud Act. Pour G. Poupard, les services tels que les soins de santé et les services financiers devraient seulement être soumis au droit européen. Dans cet esprit, il a déclaré travailler avec Olivier Véran pour rapatrier le Heath Data Hub (HDH) sur des plateformes françaises ou européennes, suite à l’annulation du Privacy Shield en juillet 2020.

En effet, en vertu d’une loi américaine connue sous le nom de CLOUD Act, les entreprises américaines sont tenues de fournir des données étrangères aux autorités américaines si elles le leur demandent. La volonté de M. Poupard est d’exclure les services américains et chinois de cloud dans les secteurs critiques en Europe.

La vision de M. Poupard sur la cybersécurité du cloud européen « sera un véritable test, un véritable objectif pour la volonté politique de parvenir à une autonomie stratégique dans le domaine numérique ».

Plan de relance pour la cybersécurité

La volonté d’une “autonomie stratégique” européenne passe par le fait de devenir moins dépendants des services en nuage américains. L’’idée que l’Europe doit garder le contrôle de la politique technologique est dûe à la crainte de l’espionnage et de la surveillance des États-Unis.

En matière de cybersécurité, l’Italie a pour habitude de suivre les directives et recommandations de l’UE et de l’Otan pour sa cybersécurité. De plus, dans le cadre du plan de relance européen, avec son Plan National de Rétablissement et de Résilience, l’Italie compte investir largement dans sa cybersécurité. Ainsi, sur une enveloppe de 261 milliards d’euros, la numérisation, l’innovation et la sécurité de l’administration publique se verront allouées 11,15 Mds d’euros. L’achat de matériel et de logiciels plus récents et plus performants contribuera à contrecarrer les plans des cyber attaquants.

Pour la France, l’année 2022 sera cruciale à l’échelon européen. En effet, elle sera à la présidence de l’Union européenne et compte agir pour améliorer la coordination européenne en matière de cybersécurité, notamment en organisant une conférence sur la défense en début d’année, puis en travaillant sur une évolution de la directive Network Information System (NIS). La France veut aller plus loin sur ce paquet cyber qui assure un niveau de sécurité commun pour les réseaux et les systèmes d’information de l’Union européenne.

La volonté de protéger le cyberespace français est aussi dans l’agenda de la présidente de la Commission européenne. Lors de son discours sur l’état de l’Union, elle a déclaré le numérique comme un enjeu décisif du marché unique. A ce titre, 20% du plan de relance européen concerne le numérique, dans le but d’investir dans la souveraineté technologique européenne. Il s’agit d’une énième tentative de l’Union européenne pour faire émerger des concurrents aux GAFAM américains et aux BATHX chinois. Pour le moment, le seul levier d’influence de l’Europe est l’action législative, avec l’application extraterritoriale du RGPD depuis 2018. En ce sens, les débats en cours autour du Digital Services Act (DSA) et du Digital Markets Act (DMA) ont pour but d’étendre la régulation des plateformes comme les GAFAM.

 

La main courante : un outil essentiel au bon fonctionnement de la cellule de crise ?

La main courante est un document essentiel qui permet d’enregistrer toutes les informations de la cellule de crise. La main-courante peut être sous format papier ou numérique. Si, elle est numérique, il faudrait, dans la mesure du possible, que la cellule de crise l’ait en permanence sous les yeux. Ce document est rédigé par l’historien, garant de la bonne prise des informations.

On y trouve les informations entrantes (à vérifier, en cours de vérification, vérifiées). Il est essentiel d’effectuer une vérification systématique des informations entrantes en cellule de crise afin de pouvoir prendre les meilleures décisions face à l’événement.

La main courante enregistre aussi les décisions prises et les actions en cours et effectuées.

Une pièce à conviction

 Ce document est une pièce à conviction en cas de procès. Elle permet de justifier les décisions prises compte tenu des informations à disposition de la cellule de crise. C’est pourquoi elle doit toujours être vérifiée par le responsable juridique de la cellule de crise.

Un outil d’information central

 La main courante est également essentielle à la bonne transmission de l’information entre les membres de la cellule de crise et lors des changements d’équipe. Parce qu’elle est consultable par l’ensemble des membres de la cellule de crise, elle permet d’éviter l’asymétrie d’information entre plusieurs membres et ainsi de gagner un temps précieux dans le cadre d’une crise. Faire preuve de rigueur dans la mise à jour régulière de la main-courante est un gage de réussite dans le déroulé de la gestion de crise.

Une aide aux points fixes

 La main courante est également essentielle à la préparation des points fixes.

Les points fixes doivent avoir lieu de manière régulière. Ils sont animés par le coordinateur de la cellule de crise. L’objectif est de faire un point de la situation en 5 minutes. Le point sert à :

  • Informer les membres de la cellule sur le statut et l’impact de l’incident ;
  • Aligner les informations ;
  • Réévaluer l’impact de l’incident en fonction des informations ;
  • Passer en revue les objectifs ;
  • Vérifier que les actions sont en cours de réalisation ;
  • Ajouter et assigner de nouvelles tâches
  • Réfléchir sur les nouveaux enjeux ;
  • Faire un point sur l’état d’esprit et la fatigue des membres de la cellule.

 Notre outils adapté à votre organisation : HOLIS

Les cellules de crises peuvent être hybride en raison de la présence des collaborateurs sur plusieurs sites, des obligations de télétravail etc. Ainsi, afin de pallier ces contraintes, le cabinet utilise l’application HOLIS. Cette plateforme est une main-courante numérique, accessible par tous, partout. Les membres de la cellule de crise doivent y noter les informations entrantes, les décisions prises et les tâches à réaliser. Les membres sont instantanément notifiés par SMS ou par courriel, ce qui permet une grande réactivité des équipes, surtout en cas de sur-crise.

Comment les entreprises doivent penser la responsabilité géopolitique ? Notre entretien avec Nathalie Belhoste

 

Qui êtes vous Nathalie Belhoste?

J’enseigne la géopolitique à Grenoble École de Management depuis 7 ans. J’ai une double formation en science politique, avec une thèse en sciences politiques à l’Institut d’études politiques de Paris ainsi qu’une formation à l’EM Lyon. Je travaille depuis plusieurs années sur la Responsabilité Géopolitique des Entreprises, notamment sur les entreprises en zone de conflits.

Quel constat vous a motivé à travailler sur la responsabilité des entreprises ?

C’est la conjonction de ma double formation et l’arrivée de la question géopolitique dans les écoles de commerce qui fait que je me suis posée des questions.

En ayant fait ma thèse sur les relations franco-indiennes, j’ai vécu en Inde quelques années. J’y ai compris le manque de connaissance du pays par les entreprises qui y ont envoyé des expatriés. Les mauvaises interprétations du territoire pouvaient conduire à de mauvaises prises de décisions.

Je l’ai formalisé à partir du moment où l’on m’a demandé d’enseigner la géopolitique en école de commerce, un sujet qui pouvait paraître un peu étrange dans une école de commerce. Enseigner la théorie de la géopolitique n’est pas immédiatement pertinent pour ces profils. Je me suis donc demandé de quelle manière l’objet géopolitique est pris en question par les entreprises et me suis rendu compte qu’il était plutôt mal intégré. Il est majoritairement abordé au travers du risque politique lié à des questions d’assurance pour les entreprises. Comment assurer la sécurité des employés, payer une rançon et tous les problèmes liés à un tiers dans le pays. Il existe également une distance entre les connaissances des étudiants de ces phénomènes et la manière dont ils peuvent les intégrer dans la prise de décision.

Par exemple, comment on peut intégrer les tensions sino-américaines dans le business model à travers les chaînes logistiques, etc.

L’ensemble de ce cheminement m’a poussé à travailler sur ces questions. Rapidement est arrivée l’affaire Lafarge que j’ai découvert dans Le Monde, en 2016. Cette affaire est l’illustration des problèmes causés par un manque de considération de ces questions dans l’entreprise. À travers ce cas, je me suis rendu compte qu’on trouve souvent dans la presse ces problèmes décrits comme des conséquences de risques politiques. Je me suis dit que s’il y avait des études soutenues de ce qu’il se passe, cet événement aurait pu être évité.

Pouvez-vous nous expliquer ce qu’est la responsabilité géopolitique ?

C’est la capacité pour les dirigeants d’entreprise à intégrer les questions de géopolitique dans leur raisonnement et à ne pas considérer qu’un événement dans le monde n’a pas d’influence sur les activités de l’entreprise. Il est impossible de prévenir les évènements mais on peut analyser les grandes tendances, les signaux forts dans un territoire.

Il faut se poser les bonnes questions et avoir un regard géopolitique, multidisciplinaire, dans le sens où la question économique n’est pas la seule donnée, même si le but d’une implantation sur un territoire est de développer ses activités. Cependant, si on reste sur un territoire en le considérant simplement comme un marché, on passe alors à côté de nombreuses considérations.

Il faut commencer par abandonner son approche purement mercantile sur un nouveau marché, et commencer à se dire « avant d’être sur un marché, je suis sur un territoire ». Est-ce que les actions de mon entreprise, les décisions stratégiques que je prends, peuvent avoir un impact sur ce territoire ? Est-ce que je vais à l’encontre des grandes tendances ? Parmi les acteurs de ce territoire, est-ce que je gêne des personnes ? Et cela même si les parties prenantes n’ont pas d’influence sur mon entreprise.

Certaines entreprises peuvent confondre cela avec le lobbying.  Parler avec des États, connaître les gens, faire que les législations soient favorables, ce sont des stratégies hors marché. Cependant, le lobbying, si trop spécialisé, ne fonctionnera que dans certains cas.

Par exemple, dans le cadre de l’affaire Lafarge, faire des affaires en Syrie passe inévitablement par avoir des relations avec la famille al-Assad ou le parti Baas. Cependant, il y avait d’autres acteurs sur le territoire et lors d’une crise, négliger une des parties peut se révéler dévastateur. Lors d’un changement de gouvernement, négliger un autre gouvernement est une erreur.

La responsabilité géopolitique c’est avoir la capacité d’intégrer le raisonnement géopolitique vis-à-vis des décisions stratégiques de l’entreprise. C’est un état d’esprit, une compétence qui se développe, cela s’apprend.

Pourquoi la responsabilité géopolitique doit-être pris en compte par les entreprises pour anticiper les crises ?

Le premier sens de la responsabilité renvoie à la capacité de comprendre lorsqu’une crise éclate, qu’il y a des phénomènes annonciateurs, il faut donc les analyser. Afin de faire face à ses responsabilités, l’entreprise doit inventorier ses expertises. Elle doit savoir comment ses expertises lui permettront de faire face aux crises politiques. La responsabilité est de se tenir informé et d’avoir les bons informateurs.

La deuxième responsabilité c’est de se dire : est-ce que par mes décisions, je bouleverse les équilibres dans un territoire ? Et qui peuvent créer des crises ? C’est en lien avec la RSE. La responsabilité n’est pas simplement d’œuvrer pour le bien-être de ses salariés, il y a aussi l’univers parallèle, les salariés et le reste de l’écosystème qui travaille avec l’entreprise.

Par exemple, une entreprise voulant s’implanter en Pologne proche de la frontière ukrainienne qui décide d’embaucher des ukrainiens parce qu’ils perçoivent des salaires plus faibles doit prendre en compte d’autres facteurs. Faire venir des ukrainiens sur un territoire où historiquement il y a déjà des tensions entre communautés est risqué. On ajoute une nouvelle tension. Ce genre de questions dépend de la responsabilité géopolitique. Cela ne veut pas dire qu’il ne faut pas le faire, mais se dire que si on prend cette décision, il va falloir prendre des précautions comme une aide à l’intégration pour ces individus pour réduire les tensions.

Un autre exemple, Air France a proposé un plan de reforestation de Madagascar. Cependant, cette initiative rend indisponible les terres exploitées par la population locale (activités culturelles, cultuelles, agricoles etc.). Ce type de projet peut mener à de vives contestations locales contre un projet qui auraient pu être évitées par une meilleure connaissance des parties prenantes.

Avant d’adopter un regard géopolitique, il faut savoir que les actions menées avec les meilleures intentions peuvent avoir des conséquences négatives.

En quelques mots, que conseillez-vous aux entreprises afin de se prémunir face aux crises dans les environnements géopolitiques complexes ?

Il faut accepter de considérer que l’environnement est complexe. Il faut considérer l’intérêt de se former à une compétence géopolitique, ou former des gens pour qu’ils soient référents. À l’image d’un CTO ou d’un COO, les entreprises devraient se doter d’un Chief Geopolitical Officer (CGO). Il faut s’assurer d’intégrer cette compétence au sein de postes importants dans l’entreprise, que ce soit au niveau opérationnel, mais aussi au niveau du top management.

L’affaire Lafarge de 2016, n’a pas fait plonger Lafarge, mais la Fusion avec Holcim a donné un avantage au Suisse en impactant négativement l’image de marque de Lafarge.

De nombreux groupes ont été mis en difficulté sur des territoires où il existe des conflits. La question de rester sur le territoire et jusqu’à quel point se pose. Il faut que les entreprises intègrent l’importance de comprendre les territoires d’implantations, ce qui demande du temps, et qui peut entrer en contradiction avec le temps du business. Il n’y a pas de fatalité, et il faut se former à ce mode de raisonnement. J’alerte les entreprises en disant : « Ne négligez pas la question géopolitique comme vous ne négligez pas les questions marketings, financières, logistiques ». Cela doit être une catégorie d’analyse comme une autre.

La tendance est-elle à une responsabilisation géopolitique des entreprises ?

Dans l’opinion publique, il y a maintenant une plus grande couverture médiatique, un travail d’investigation plus poussé de la part des ONG, qui documentent les exactions. Ces investigations sont souvent menées par des juristes et se basent donc sur le plan du droit pour prendre en compte les violations des droit humains.

Lorsqu’on est une grande entreprise, il faut s’attendre à être sous le regard des ONG. Les investigations des ONG sont maintenant plus systématiques et organisées que par le passé. Elles concernent désormais l’ensemble des territoires y compris certains où il y avait peu de visibilité par le passé.

Cet intérêt des associations envers les entreprises, couplé à une médiatisation plus large, et le rôle de chambre d’écho des réseaux sociaux fait qu’il est de plus en difficile de passer à travers les mailles du filet.

La question décisive est de savoir ce que la justice va dire de ces affaires. Pendant de nombreuses années, la France n’a pas été bien armée juridiquement pour attaquer les questions de corruption. Les lois Sapin II, en réaction aux évènements du Rana Plazza et le fait de se mettre en conformité avec des pays comme les États-Unis, qui ont des lois plus restrictives, mènent à des sanctions plus importantes.

Faut-il s’attendre à plus de cas à l’avenir ? De facto, oui. En France, le cas de Lafarge va donner une dynamique, la façon dont la justice française va prendre en compte ce cas sera à mon sens déterminant pour la suite. Cela doit pousser les entreprises à s’interroger sur la question de la responsabilité et de l’analyse géopolitique.