Afin de vous accompagner le plus efficacement possible, AJISSE Management propose aujourd'hui une formation de familiarisation au principe "FOOD DEFENSE" pour vous ou vos collaborateurs.

 

Pour aller plus loin, nous proposons un accompagnement personnalisé, sous forme de conseil ou de formation, pour une mise en oeuvre opérationnelle des méthodes VACCP et/ou CARVER Shock +, ou de la solution intégrée TIKHEAU©.

 

Cet accompagnement a pour but de vous donner les outils exploitables d'évaluation et de définir un plan d'actions pragmatiques (devis sur simple demande).

 

FOOD DEFENSE : Efficacité sans paranoïa!

 

Nous vous accompagnons à la prise en compte des exigences de prévention des "actes de malveillance" dans le cadre des études de risques existantes.

 

L'HACCP doit servir de base et permettre d'y associer les méthodes CARVER, VACCP ...

 

La première étape consiste en une évaluation par un diagnostic de terrain afin de définir un plan d'actions approprié.

 

Nos compétences en IFS et BRC, ainsi que nos qualifications d'auditeurs seconde partie pour la Grande Distribution sont les garants d'une intégration réussie.

 

 

À télécharger : 

 

Guide des recommandations pour la protection de la chaîne alimentaire contre les risques d’actions malveillantes, criminelles ou terroristes (Version Janvier 2014)

 

Guide méthodologique AFNOR

 

Actes de malveillance et sécurité des aliments…

Que faut-il savoir et comment l’intégrer ?

 

L’intégration dans tous les référentiels et dans les cahiers des charges clients de la lutte contre les actes malveillants pouvant affecter la sécurité des consommateurs est une réalité.

 

En juillet 2008, une note de doctrine de l’IFS présente un chapitre optionnel intitulé « Protection de la chaîne alimentaire contre les actes malveillants et inspections externes ».

La note de doctrine précise : « La protection de la chaîne alimentaire contre les actes de malveillance constitue une exigence réglementaire aux Etats-Unis pour les entreprises agro-alimentaires. C’est pourquoi l’IFS a décidé d’introduire des exigences sur ce thème dans le référentiel, sous forme de check-list optionnelle. »

 

Paru en octobre 2008 le PAS 220 intègre lui aussi un chapitre explicite intitulé « Food Defense, biovigilance and bioterrorism ».

 

Le PAS 220 contient les principes généraux :

 

- évaluation des dangers liés aux « actes de sabotage, de vandalisme ou de terrorisme »

avec un lien PAS (Public Available Standard), le PAS96:2008 « Defending food and drink »

 

Cette publication du BSI (British Standard Institute) est la base pour toute démarche :

 

1. Actes malveillants : menace réaliste ou paranoïa  ?!!

 

La menace est réelle et implique que le secteur alimentaire travaille à diminuer sa vulnérabilité ; en effet si le secteur dans son ensemble est résistant, les conséquences d’une attaque sur une entreprise isolée peuvent être destructrices !

 

Le PAS96 identifie trois types de menaces sur les aliments et boissons :

 

- la contamination malveillante par des produits toxiques, pathogènes voire létaux

- le sabotage de la chaîne alimentaire conduisant à des ruptures d’approvisionnement

- l’utilisation détournée de denrées pour une utilisation terroriste ou criminelle.

 

Il s’agit alors de déterminer les moyens d’anticiper, prévenir voire réagir face à ce type d’attaque.

 

2. Le concept de « Food Defense » et son intégration avec la méthode HACCP

 

Le PAS96 le définit ainsi (ch. 3): « La lutte contre les malveillances (Food Defense) vise à :

 

- diminuer la probabilité d’attaques malveillantes

- limiter l’impact (conséquences) de telles attaques

- protéger la réputation de l’organisme (image de marque)

- rassurer les clients, le public et la presse que les mesures appropriées sont en place pour protéger les consommateurs

- satisfaire les exigences internationales et encourager le travail des partenaires de l’entreprise.

 

Le PAS96 fait le lien avec la méthode HACCP pour évaluer les menaces selon leur probabilité d’apparition et leur gravité.

Cette évaluation des menaces est la première étape dans la lutte contre les malveillances. L’enjeu est d’analyser au plus juste la réalité de la menace dans le contexte spécifique de l’entreprise. Le PAS96 insiste sur le fait qu’il n’est pas destiné à s’appliquer systématiquement en l’état à tout type d’organisme ; la « Food Defense » est avant tout une démarche fondée sur l’analyse des risques.

 

Une nouvelle source de danger s’impose aux équipes en charge de la sécurité des denrées alimentaires : « la menace malveillante ».

 

Dans ses recommandations pour l’évaluation des menaces le PAS96 propose un questionnement bien particulier axé autour de trois composantes :

- le produit,

- les installations,

- le contexte de l’activité

censé être mené par une « équipe en charge des menaces ».

 

Le point sensible de cette étude est alors mis en avant : personne ne souhaite réellement inciter une équipe composée de personnels du site, aussi fiables soient-ils, à s’interroger sur les menaces malveillantes et leur efficacité potentielle, au risque de donner des idées destructrices !...

Il est donc essentiel que la direction de l’entreprise estime correctement ses risques !

 

3. Quels moyens concrets pour éviter et/ou gérer les actes malveillants ?

 

C’est dans le PAS96 que les recommandations de moyens les plus détaillées et les plus pertinentes sont présentées pour lutter contre les menaces ; ces recommandations couvrent les différentes origines et leurs vecteurs.

Elles traitent en priorité de la gestion du personnel, de la maîtrise des accès au site (accès des véhicules, accès du personnel, des visiteurs, sécurisation du courrier, restriction des appareils électroniques personnels), des la maîtrise des accès aux services et utilités, de la sécurisation des accès aux véhicules de transport, aux matières, aux procédés (cette dernière rubrique insiste notamment sur la sécurisation des produits). Quelques recommandations orientent les organismes vers une gestion de « la post-attaque » mais cette partie renvoie le lecteur à d’autres textes détaillant la gestion de crise.

 

Enfin une dernière partie inscrit la prise en compte des actes malveillants dans une logique de management (audit et revue des procédures). La boucle est bouclée pour garantir la cohérence d’une intégration de ce type de risque dans le champ du SMSDA (Système de Management de la Sécurité des Denrées Alimentaires).

 

Rappelons que la lecture de ce qui pourrait un jour devenir les pré-requis de la lutte contre les actes malveillants (cf chap 6 IFS v6…) doit se faire dans une approche contextuelle, à la lumière d’une évaluation des risques.

On appréciera qu’un site d’embouteillage localisé à la frontière d’un pays en guerre dans une zone de revendications politico-religieuses violentes n’aura pas la même lecture qu’une usine localisée à dans la campagne française !

 

Pourquoi mettre en œuvre une stratégie de Food Defense ?

 

L’IFSv6 aidant, la « protection de la chaîne alimentaire contre les actes malveillants » (« Food Defense ») devient une obligation !...

 

Comment aborder la « malveillance » avec sérénité….

 

1. Pourquoi et comment la Food Defense revient-elle sur le devant de la scène ?

 

Le regain d’intérêt au sein des PME européennes en prise directe avec la grande distribution n’est probablement pas déconnecté des annonces précédant la parution de l’IFS version 6. Ce dernier promet en effet (extrait de la rubrique « Nouvelles » du site de l’IFS) :

 

(…) afin d’être conforme au GFSI Guidance Document version 6, des exigences sur la protection de la chaîne alimentaire contre les actes malveillants (food defense) sont intégrées dans la nouvelle check-list d’audit. Un guide d’interprétation sera développé en parallèle, afin d’aider les entreprises à mettre en œuvre ces exigences, sur la base d’une évaluation des risques et de la législation applicable dans les pays d’exportation des produits (…)

 

Et voici ce que le GFSI demande dans son « Guidance document v 6.1 » (extraits des deux exigences relatives à la Food Defense) :

 

FSM 21 Food defence

 

The standard shall require that the organisation has a documented risk assessment procedure in place to address food defence risks and establish, implement and maintain a system to reduce or eliminate the identified risks. The system shall cover Good Agricultural Practices or Good Manufacturing Practices and shall be supported by the food safety system.

 

FSM M 21 Malicious Intervention

 

(…) The system shall cover Good Manufacturing Practices and shall be supported through the effects of packaging on food safety systems. This may include trademarked materials, site security, personnel selection, manufacturing processes and transport.

 

Le principe est pertinent, mais pas nouveau. Le seul mérite d’introduire une exigence « Food Defense » dans les référentiels d’audit « GFSI-compatibles » réside dans l’obligation faite aux entreprises qui ne l’auraient pas encore fait de se prémunir contre les actes malveillants. Mais sont-elles nombreuses ?

 

Rappelons ici, tout de même, qu’industriels et pouvoirs publics n’ont pas attendu l’IFS pour prendre en main une problématique qui dépasse le seul champ de la sécurité des aliments.

 

« Guide des recommandations pour la protection de la chaîne alimentaire contre les risques d’actions malveillantes, criminelles ou terroristes » émanant du ministère de l’agriculture, rédigé avec quatre autres ministères (Première version en mai 2007 – révisé en Janvier 2014)

« PAS 96 – Defending Food and Drink (…) » guide britannique établi par le CPNI (Centre pour la protection de infrastructures nationales) et publié par le BSI (équivalent britannique de l’Afnor) ; ce guide est revu tous les 2 ans et la version 2010 est disponible depuis mars 2010

Mais l’on pourrait également citer les nombreuses publications de l’USDA (United States Department of Agriculture Food Safety and Inspection Service), pionnier en la matière et à l’origine de la méthode CARVER-SHOCK ; sans compter les directives internes « Sûreté » des entreprises agroalimentaires, dont les plus grandes se sont équipées depuis de nombreuses années déjà (notamment dans le cadre de la notion « d’Opérateur d’Importance Vitale », introduite en 2004).

 

Tous ces guides, s’ils divergent parfois sur la forme et dans l’esprit, convergent néanmoins sur l’essentiel :

 

Les avant-propos rappellent invariablement que ces guides ne sont pas conçus pour s’appliquer en l’état à tout organisme de la chaîne alimentaire : ils sont destinés à fournir ce que l’on pourrait nommer des « Pré-requis de sûreté » ainsi que des clefs méthodologiques pour établir une stratégie de protection adaptée à chaque entreprise selon sa taille, sa place dans la chaîne alimentaire, sa situation géopolitique…

 

Les « pré-requis » proposés sont cohérents d’un texte à l’autre, que l’on soit en France, en Grande-Bretagne ou aux Etats-Unis, les outils méthodologiques également, qu’ils se nomment CARVER, VACCP ou TACCP…

Par ailleurs un fait notable est à souligner : si l’actualité fournit régulièrement des cas de contamination accidentelle des produits alimentaires, les guides traitant de « Food Defense » s’appuient sur de très rares cas de contamination malveillante avérée.

 

2. Food Defense et Food Safety, une question de point de vue ?

 

Ce qui rend la Food Defense difficilement auditable dans le cadre d’un audit SDA (Sécurité des Denrées Alimentaires) tient à la différence fondamentale du point de vue de départ :

 

Le système de management SDA part du principe que les acteurs sont de bonne foi et s’intéresse aux modes de dysfonctionnement aléatoires, accidentels ou du fait de la négligence, qui auraient un impact sur les produits

 

Le système de Food Defense part du principe qu’un ou des individus animés d’intentions néfastes pourraient chercher à nuire (au sens large) par l’entremise des produits alimentaires fabriqués, manipulés ou commercialisés par l’entreprise.

 

 

Lorsqu’il s’agit de Sûreté les premières questions que se pose l’entreprise sont donc, dans l’ordre :

 

Qui voudrait nuire, et pourquoi ? Les deux questions peuvent aller de paire ici ; veut-on nuire à l’entreprise, à la marque, aux actionnaires… ? Ou aux salariés ? aux clients ? aux pouvoirs publics ? La caractérisation des profils de « malveillants » sera probablement très différente dans les deux cas, pour des motivations très différentes, et les moyens d’anticipation également.

 

Comment le malveillant pourrait-il nuire ? Selon ses motivations il pourrait utiliser des leviers différents : sabotage, vol, dégradation, pollution environnementale… ou pollution des produits alimentaires ? Avec des conséquences variables dans tous les cas : par exemple une pollution initialement environnementale, motivée par des revendications locales, politiques, pourrait avoir des conséquences inattendues sur les produits alimentaires ou sur la sécurité du personnel…

C’est seulement à ce stade qu’apparaît la notion de « Food Defense » : lorsque les produits alimentaires commercialisés par l’entreprise sont le vecteur de la malveillance, directement ou indirectement…

 

Il semble donc évident que la Sûreté ne se limite pas à la Food Defense mais constitue un axe bien particulier du Système de management de l’entreprise.

L’approche se doit d’être globale et pilotée par une personne dont l’expertise initiale ne porte pas nécessairement sur les produits et leurs contaminants accidentels, mais sur la compréhension globale de l’écosystème de l’entreprise, dans son environnement social, géopolitique et stratégique.

Pour ce pilote la Food Defense ne constitue qu’une composante de la Sûreté, à l’interface avec le Système de Management de la Sécurité des Aliments.

 

Les pré-requis sur lesquels la Food Defense s’appuie, qu’il s’agisse d’anticipation (recrutement prudent, management participatif, conception des flux de produits…) ou de protection (sécurisation des accès, des données, des produits, du transport…), ne sont pas valables que pour cette seule Food Defense mais bien pour la sûreté au sens large, de l’entreprise et de son écosystème.

 

Alors que la méthode CARVER-SHOCK aidera à qualifier la menace constituée par le recours de malveillants au vecteur « Food », les méthodes d’analyse de risques classiques [renommées pour l’occasion VACCP (Vulnerability/Vulnérabilité…) ou TACCP (Threat/Menace…)] basées sur un ensemble de pré-requis existants, permettront d’ajuster les mesures de maîtrise pertinentes…

 

 

En résumé

Il semble primordial, à l’heure où un certain nombre de PME s’interroge sur la place qu’il convient de donner à cette notion de « Food Defense », d’insister sur le fait qu’il s’agit là d’une problématique d’entreprise qui dépasse largement le champ de la Qualité et de la Sécurité des Denrées Alimentaires.

Aborder le Système de Management dans sa globalité par la Sûreté revient à le compléter et donc le renforcer par l’introduction d’un nouveau regard, focalisé sur la « malveillance ».