PROCEDURE Réf : PR-MQS-06

Date :
05/10/2018
Analyse des menaces par la méthode: Version: 00
TACCP Page : 1/10

SOMMAIRE
1. Registre des révisions.......................................................................................................1

2. Objet de la procédure........................................................................................................2

3. Domaine d’application......................................................................................................2

4. Références..........................................................................................................................2

5. Responsabilités..................................................................................................................2

6. Définitions et abréviations...............................................................................................2

7. Contenu de la procédure...................................................................................................2

1. Registre des révisions

00 05/10/2018 Création
Version Date Objet de la révision

Nom Fonction Date Visa

Rédacteur
Vérificateur
Approbateu
r
 PROCEDURE Réf : PR-MQS-06
Date :
05/10/2018
Analyse des menaces par la méthode: Version: 00
TACCP Page : 2/10

2. Objet de la procédure

Cette procédure a pour objet d’étudier la vulnérabilité du site.

3. Domaine d’application

Cette procédure s’applique à tous les produits .

4. Références

PAS 96-2017: Guide to protecting and defending food and drink from deliberate attack.

5. Responsabilités

Le directeur usine veille à la bonne application de cette procédure. Il est responsable de

la sécurité du site.
Le RMQ est responsable de la mise à jour et de la vérification de l’efficacité de la
procédure.
6. Définitions et abréviations
TACCP: Threats Assessment and Critical Control Points
Menace (Dictionnaire): Signe qui indique quelque chose que l’on doit craindre.
7. Contenu de la procédure
Une évaluation de la vulnérabilité documentée doit être effectuée pour toutes les
matières premières alimentaires ou groupes de matières premières pour évaluer les
risques potentiels d’adultération ou de substitution. Elle doit tenir compte :
- Des preuves historiques de substitution ou d’adultération ;
- Des facteurs économiques qui rendent l’adultération ou la substitution plus
attirante ;
- La facilité d’accéder aux matières premières par la chaîne d’approvisionnement ;
- La complexité des tests de routine permettant d’identifier les falsificateurs ;
- La nature des matières premières.
 PROCEDURE Réf : PR-MQS-06
Date :
05/10/2018
Analyse des menaces par la méthode: Version: 00
TACCP Page : 3/10

7.1. Identification des types de menace :

7.1.1. Falsification économique : La finalité de la falsification est financière,
pour gagner un revenu accru de la vente d'une denrée alimentaire d'une manière qui
trompe les clients et les consommateurs. La fourniture limitée d'un matériel clé peut
encourager un producteur à improviser pour exécuter une commande plutô t que de
déclarer une livraison rapide au client. L'objectif de la falsification n'est pas de causer la
maladie ou la mort, mais cela peut être le résultat.
7.1.2. Contamination malveillante : La finalité peut être de provoquer une
maladie localisée ou étendue ou la mort. L’agresseur ne voulait pas que la contamination
soit détectée avant qu'elle ne soit consommée, donc le contaminant devait être une
toxine efficace avec peu d'effet sur la palatabilité de la nourriture. Le cas des allergènes
montre le mal, l'impact et le coû t qui peuvent être causés à une entreprise avec peu de
risques pour l'attaquant.
7.1.3. Extorsion : Le but de l'extorsion par un individu ou un groupe est
d’obtenir de l'argent de l'organisation de la victime. Une telle activité est attrayante pour
l'esprit criminel lorsque le produit, comme les aliments pour bébés, est sensible ou
qu'une entreprise est considérée comme riche.
7.1.4. Espionnage : La principale motivation de l'espionnage est que les
concurrents recherchent un avantage commercial pour accéder à la propriété
intellectuelle. Ils peuvent s'infiltrer en utilisant des initiés pour signaler, ou peuvent
attaquer à distance à travers les systèmes de technologie de l'information.
7.1.5. Contrefaçon : La motivation pour la contrefaçon est le gain financier, en
passant frauduleusement des marchandises de qualité inférieure comme des marques
établies et réputées. La criminalité organisée et la petite délinquance peuvent entraîner
des pertes financières pour les entreprises et nuire à leur réputation. Le premier, par
exemple, peut utiliser des technologies d'impression sophistiquées pour produire des
étiquettes de produits qui ne peuvent pas être distinguées des étiquettes authentiques.
7.1.6. Cybercrime : peut conduire à des pertes réelles lorsque le site web de
l'entreprise est une plateforme de trading importante. Les criminels organisés peuvent
essayer d'imiter le contenu de la nourriture pour retarder la détection et l'investigation.
 PROCEDURE Réf : PR-MQS-06
Date :
05/10/2018
Analyse des menaces par la méthode: Version: 00
TACCP Page : 4/10

Les petits criminels peuvent être tentés par une «mise à mort rapide» et être moins
préoccupés par la sécurité de la nourriture.

7.2. Évaluation critique des menaces :

7.2.1. Identifier les menaces spécifiques aux activités de l’entreprise :

La méthode TACCP permet d’évaluer la probabilité d'une attaque en tenant compte de la
motivation de l'attaquant éventuel, de la vulnérabilité du processus, de l'opportunité et
de la capacité de mener l'attaque et de la certitude de l'information sur laquelle repose
l'évaluation
Processus TACCP : L'équipe TACCP peut et doit modifier le processus TACCP pour
répondre au mieux à ses besoins et l'adapter à d'autres menaces si nécessaire pour
répondre à quatre questions sous-jacentes :
a) Qui pourrait vouloir nous attaquer ?
b) Comment pourraient-ils le faire ?
c) Où sommes-nous vulnérables ?
d) Comment pouvons-nous les arrêter ?
 PROCEDURE Réf : PR-MQS-06
Date :
05/10/2018
Analyse des menaces par la méthode: Version: 00
TACCP Page : 5/10

L'organigramme ci-dessous décrit le processus TACCP et met l'accent sur l'adultération

délibérée et la contamination.

identifier, enregistrer confidentiellement, convenir et mettre en œuvre une action

préventive proportionnée (contrô les critiques). L'équipe TACCP devrait avoir une
procédure de rapport et d'enregistrement confidentielle qui permet à la direction de
prendre des décisions, mais n'expose pas les faiblesses à ceux qui n'ont pas besoin de
savoir;
-déterminer les modalités d'examen et de révision de l'évaluation du TACCP; et
-maintenir une surveillance de routine des publications officielles et de l'industrie qui
donnent un avertissement précoce des changements qui peuvent devenir de nouvelles
menaces ou changer la priorité des menaces existantes, y compris les problèmes plus
locaux au fur et à mesure qu'ils se développent.
Evaluation :
1-Evaluation des menaces :
Le produit, les locaux, l'organisation et ses systèmes d'information peuvent faire l'objet
d'attaques de la part de groupes et d'individus, et chaque élément doit être évalué
séparément. L'équipe TACCP devrait considérer les fournisseurs soumis à un stress
financier, les employés et les anciens employés aliénés, les concurrents commerciaux,
les organisations médiatiques, les criminels et les groupes de pression locaux.
Pour les locaux :
• Les locaux sont-ils situés dans un secteur politiquement ou socialement sensible?
• Les locaux partagent-ils l'accès ou les services clés avec des voisins controversés?
• Les nouvelles recrues, en particulier le personnel intérimaire et saisonnier, sont-elles
correctement sélectionnées?
• Les services dans les locaux sont-ils protégés de manière adéquate?
• Les services externes sont-ils protégés de manière adéquate?
Les matières dangereuses, qui pourraient être utiles aux groupes hostiles, sont-elles
stockées sur le site?
 PROCEDURE Réf : PR-MQS-06
Date :
05/10/2018
Analyse des menaces par la méthode: Version: 00
TACCP Page : 6/10

• Un grand nombre de personnes (y compris le grand public) utilise-t-il l'emplacement?

• Les employés ont-ils des raisons de se sentir mécontents ou de montrer des signes
d'insatisfaction?
• Les mécanismes d'audit interne sont-ils indépendants?
• Les rô les clés ont-ils été occupés par le personnel pendant de nombreuses années avec
peu de supervision?
Pour l’organisation :
• Avons-nous une célébrité ou un haut dirigeant ou un propriétaire?
• Avons-nous la réputation d'avoir des liens importants, des clients, des fournisseurs,
etc. avec des régions instables du monde?
• Nos marques sont-elles considérées comme controversées par certains?
• L'organisation est-elle impliquée dans un commerce controversé?
• Des concurrents commerciaux ont-ils été accusés d'espionnage ou de sabotage?

7.2.2. Identifier les vulnérabilités :

Falsification économique  : Une caractéristique typique est la substitution d'un élément à
faible coû t à la place d'un composant / ingrédient relativement coû teux. L'équipe TACCP
doit être attentive à la disponibilité de telles alternatives. Par ex. biologique, non GM,
cultivé localement, en liberté ou avec des appellations d'origine protégées. L'attaquant
est susceptible d'avoir facilement accès à des équivalents de moindre valeur, qui sont
presque indiscernables.
Contamination malveillante  : Les questions que l'équipe TACCP pourrait posé à la fois à
ses propres opérations et à celles de ses fournisseurs sont les suivantes:
•Les audits de sécurité alimentaire sont-ils rigoureux et à jour?
•Les procédures de sécurité du personnel sont-elles utilisées?
•L'accès au produit est-il restreint à ceux qui ont un besoin commercial?
•Les conteneurs de stockage ont-ils des scellés inviolables?
Attaque informatique  : les questions que l'équipe TACCP peut poser comprennent:
•Les collègues sont-ils susceptibles de connaître et de signaler les communications
électroniques suspectes (par exemple, les courriels, les SMS)?
 PROCEDURE Réf : PR-MQS-06
Date :
05/10/2018
Analyse des menaces par la méthode: Version: 00
TACCP Page : 7/10

•Le matériel hautement sensible est-il conservé sur des systèmes informatiques
distincts et autonomes?
•Y a-t-il des liens Wi-Fi locaux non cryptés ou accessibles par des utilisateurs externes?
•Les processus Internet sont-ils sécurisés?
•Les procédures de sauvegarde de données sont-elles efficaces?

7.2.3. Évaluation du risque :

Les organisations doivent comprendre les menaces auxquelles elles sont confrontées,
mais doivent se concentrer sur celles qui sont prioritaires. Pour chaque menace
identifiée, l'équipe TACCP considère et donne une note pour la probabilité de chaque
menace et son impact
Probabilité de menace Score Impact
Très grande chance 5 Catastrophique
Chance importante 4 Majeur
Une chance 3 Signifiant
Pourrait arriver 2 Certain
Peu probable 1 Mineur

5 Menace A
4 Menace C
3 Menace B
Impact 2 Menace E
1 Menace D
1 2 3 4 5
Probabilité
Risque très élevé Menace A
Risque élevé Menace B
Risque modéré Menace C
Risque faible Menace D
Risque négligeable Menace E

7.2.4. Contrôle critique :

a) Contrôle des accès  : des mesures physiques peuvent limiter l'accès à certaines
personnes. Certaines approches de la réduction des risques que l'équipe TACCP peut
juger proportionnées et pertinentes à leurs activités sont énumérées au tableau ci
dessous.
 PROCEDURE Réf : PR-MQS-06
Date :
05/10/2018
Analyse des menaces par la méthode: Version: 00
TACCP Page : 8/10

Accès Pertinents
Stationnement de véhicule à l'extérieur
du périmètre
Clô ture périmétrique visible et complète
Système d'alarme périmétrique
enregistrement des vulnérabilités
périmétriques

Accès aux personnes Pertinents

Contrô le des accès
Séparation des vêtements personnels des
vêtements de travail
 Registre de gestion des clés :
Visiteurs Pertinents
sur rendez-vous uniquement
Preuve d'identité requise
Accompagné lors de la visite
Identification des visiteurs
enregistrement des zones sensibles
 Registre des visiteurs
Pertinents
Tests de pénétration
Surveillance régulière

b) Détection de sabotage: Une grande partie du stockage des matières premières, du

stockage des produits, de la plupart des véhicules de distribution et de tous les aliments
emballés peuvent être inviolables. Si un attaquant obtient l'accès, les preuves de fraude
donnent une chance que l'attaque puisse être détectée à temps pour éviter l'impact.

 Preuve d'altération :

Détection de la falsification Pertinent

Identification des locaux de stockage
Identification des emballages et leur
intégrité
Identification des produits chimiques
Contrô le étroit des stocks de matériaux
 PROCEDURE Réf : PR-MQS-06
Date :
05/10/2018
Analyse des menaces par la méthode: Version: 00
TACCP Page : 9/10

clés

 Sécurité des personnels :

Vérifications pré-emploi Pertinent

Preuve d’identité
Preuve de qualifications
Des rô les plus sensibles identifiés avec un
recrutement approprié
Vérification des entrepreneurs

Personnels de l’entreprise Pertinent

Le personnel dans des rô les critiques
motivés et surveillés
Individus capables de travailler seuls
Arrangements de dénonciation
Culture de sécurité favorable
Personnel temporaire supervisé

7.3. Réponse à un incident :

7.3.1. Gestion d'une crise de la protection alimentaire :

Les procédures de protection et de défense des aliments visent à réduire le risque
d'attaque, mais ne peuvent l'éliminer. Les protocoles d'intervention d'urgence et de
continuité des activités sont donc essentiels.
La protection des aliments peut s'inscrire dans le système de gestion de crise d'une
entreprise et devrait partager ses objectifs généraux:
• minimiser les dommages physiques et financiers pour les consommateurs, les clients,
les employés et les autres;
• obtenir le soutien du public pour l'organisation;
• minimiser le coû t - financier, réputationnel et personnel - de l'incident;
• empêcher la réapparition; et
• identifier les contrevenants.
Lorsque la contamination est implicite, peut induire le retrait et le rappel du produit
peuvent être attendus.
 PROCEDURE Réf : PR-MQS-06
Date :
05/10/2018
Analyse des menaces par la méthode: Version: 00
TACCP Page : 10/10

Dans les cas impliquant une action pénale, les policiers des unités de crimes graves
devraient être impliqués dans les plus brefs délais afin d'éviter toute perte de preuves.

7.3.2. Gestion d'une cyber-attaque:

La rapidité de réponse peut grandement influencer les dégâ ts causés par une cyber-
attaque, de sorte que le maintien de la conscience des collègues peut être crucial. La
complexité et la variété des attaques peuvent être si grandes que la sélection d'un
entrepreneur spécialisé (en avance sur l'incident) peut bénéficier à de nombreuses
organisations.

7.3.3. Plan d'urgence pour la récupération après une attaque:

Les principes de gestion de la continuité des opérations donnent une bonne résilience
pour réagir et se remettre d'une attaque.

7.3.4. Examen des arrangements de protection des aliments :

Tout changement susceptible d'affecter l'évaluation du TACCP, comme les manquements
et les violations présumées de la sécurité ou de l'authenticité, doit être immédiatement
signalé au responsable de l'équipe TACCP qui décide si un examen complet est
nécessaire.
L'équipe TACCP devrait revoir la procédure du food défense au moins une fois par an et
en fonction des changements apportés aux conditions dans les locaux.