Académique Documents
Professionnel Documents
Culture Documents
com
TACCP/VACCP
Un document d'orientation pour l'industrie du maltage
Version 1
Publié en octobre 2020
TACCP/VACCP : UN DOCUMENT D'ORIENTATION POUR L'INDUSTRIE DU MALTAGE
Contenu
1. Introduction ............................................... .................................................................. ...................................... 2
8. Horizon Scanning pour détecter les menaces nouvelles et émergentes .................................. ...................................... 13
1
1. Introduction
Ce document a été rédigé, à la demande des sociétés membres du MAGB, par un groupe de travail composé d'un
certain nombre de malteries britanniques.
L'industrie du maltage considère la sécurité de ses produits comme sa principale préoccupation. À ce titre, l'industrie a collaboré
pour développer des systèmes de gestion de la sécurité alimentaire qui ont considérablement réduit le risque de problème
majeur de sécurité alimentaire. Ces systèmes s'appuient sur le protocole MAGB d'analyse des risques et de maîtrise des points
critiques (HACCP).
Cependant, les principes HACCP n’ont pas été systématiquement utilisés pour détecter ou atténuer une attaque délibérée sur
l’ensemble de la chaîne d’approvisionnement. L'analyse des menaces et les points critiques pour leur maîtrise (TACCP) et
l'évaluation des vulnérabilités et les points critiques pour leur maîtrise (VACCP) sont des méthodologies qui s'alignent sur les
principes HACCP mais qui examinent spécifiquement les menaces et les vulnérabilités posées à une entreprise. Les principes qui
sous-tendent le TACCP et le VACCP ne sont donc ni nouveaux ni significativement différents du HACCP. Cependant, la portée du
TACCP et du VACCP est différente de celle du HACCP et des orientations sont donc utiles sur la manière de mettre en œuvre les
deux systèmes.
Ce document est destiné à servir de guide pour fournir une feuille de route pour la mise en œuvre des méthodologies
d'évaluation des menaces et de contrôle des points critiques et d'évaluation des vulnérabilités et de gestion des risques des
points critiques de contrôle. Il n'est pas prévu que ce guide soit utilisé par une organisation comme protocole TACCP ou VACCP,
mais il met en évidence les processus et les étapes nécessaires pour en créer un.
L'évaluation des menaces et les points critiques pour leur maîtrise (TACCP) aide les producteurs de produits alimentaires à identifier les points
faibles de leur chaîne d'approvisionnement et de leurs activités de transformation qui peuvent être ouverts à des attaques intentionnelles et
malveillantes. Le protocole TACCP se concentre sur la falsification, la falsification intentionnelle des aliments et la défense alimentaire.
L'évaluation de la vulnérabilité et les points critiques pour leur contrôle (VACCP) se concentre également sur la fraude alimentaire, mais
élargit son champ d'application pour inclure la prévention systématique de toute falsification potentielle des aliments, intentionnelle ou
non, en identifiant les points vulnérables de la chaîne d'approvisionnement. Le VACCP est particulièrement concerné par la falsification
motivée par des raisons économiques. Des exemples de risques liés à la chaîne d'approvisionnement comprennent les substitutions de
produits, les améliorations de produits non approuvées, la contrefaçon et les biens volés.
S'ils sont utilisés correctement, le TACCP et le VACCP aident une entreprise à minimiser les risques d'une telle attaque
ou à réduire les dégâts si une attaque devait se produire.
TACCP et VACCP sont utilisés par les entreprises alimentaires dans le cadre d'une approche systématique de gestion des risques
pour résoudre les problèmes d'attaques malveillantes et de falsification/fraude alimentaire qui compromettront la sécurité
alimentaire et l'intégrité des produits. TACCP/VACCP doit être utilisé dans le cadre d’un processus plus large de gestion des
risques ou comme moyen de commencer à évaluer les risques via une approche systématique. TACCP/VACCP, s'il est utilisé
2
3. Protéger la réputation d'une organisation
4. Rassurer les clients sur le fait que l'organisation gère de manière appropriée les risques dans la chaîne
5. Démontrer que des précautions raisonnables sont en place pour protéger la chaîne d'approvisionnement
Il convient de souligner que le TACCP/VACCP ne peut à lui seul empêcher une attaque contre une organisation.
Cependant, si elle est effectuée correctement, l'utilisation du TACCP/VACCP peut réduire la probabilité qu'une attaque se
produise ou réduire la gravité d'une attaque si elle devait se produire.
précautions prises pour protéger la sécurité alimentaire du malt sont également susceptibles de dissuader les attaques malveillantes
délibérées ou les fraudes. Les évaluations des menaces et des vulnérabilités visent à documenter, dissuader, contrôler, contenir et
atténuer les actions délibérées plutôt que les actions accidentelles ou non intentionnelles abordées par le HACCP.
TACCP/VACCP est une méthodologie de gestion des risques qui s'aligne sur HACCP mais a un objectif différent. Alors que le
HACCP se concentre sur l'impact du processus sur la sécurité alimentaire d'un produit au fur et à mesure de sa fabrication, le
TACCP/VACCP prend en compte les menaces et les vulnérabilités d'un produit tout au long de la chaîne d'approvisionnement.
L’objectif du TACCP/VACCP pourrait donc être considéré comme plus large que le HACCP.
Lorsque le HACCP traite des programmes préalables et des points de contrôle critiques, le TACCP/VACCP a des
niveaux de réponse (généralementNORMALE,ÉLEVÉetEXCEPTIONNEL), ce qui met en évidence la criticité de la
menace.
Essentiellement, le rôle de l'équipe TACCP/VACCP est de pénétrer dans l'esprit d'un attaquant
potentiel et d'identifier les faiblesses de sa propre entreprise. Après avoir identifié ces faiblesses, il est
nécessaire de déterminer comment ces faiblesses pourraient être exploitées et donc les mesures à
prendre pour garantir leur protection.
Grâce à cette approche logique, l’entreprise aura l’assurance que tous les éléments pertinents ont été pris en
compte.
3
Le diagramme d'itinéraire met en évidence les domaines clés qui doivent être pris en compte et garantit que les éléments du
3. Sélection de l'équipe
Il faut comprendre que l’équipe TACCP/VACCP aura un ensemble d’objectifs plus large qu’une équipe HACCP
typique. Pour obtenir les meilleurs résultats, il est essentiel de créer une équipe multidisciplinaire TACCP/VACCP
composée des membres de l'équipe de direction du site. Si l'on considère que le TACCP et le VACCP, entre les
deux protocoles, couvrent toute la chaîne d'approvisionnement depuis l'achat des matières premières jusqu'au
stockage et à la distribution du produit final, ainsi que les services associés tels que l'électricité, l'eau et le
personnel, il est clair que le TACCP/VACCP L’équipe doit inclure un large éventail de disciplines. Voici des
exemples de types de personnel représentés dans une équipe TACCP/VACCP :
• Production et opérations
4
• Qualité/technique
• Sécurité des sites
• Achat
• Ressources humaines
• Logistique/distribution
• Entreposage
• Ingénierie
• Informatique
Il est important pour que le processus TACCP/VACCP soit un succès que l'équipe dispose des ressources appropriées et
soit en mesure de démontrer l'engagement de la haute direction envers le processus. Il est également important que la
composition, la formation, l'expérience et la sensibilisation de l'équipe TACCP/VACCP soient maintenues.
problèmes ou des processus qui doivent être considérés comme entrant dans le champ d'application.
• Que l'étude soit à court terme, traitant d'un problème ou d'une question immédiate, ou à plus long terme
couvrant des objectifs plus stratégiques.
En décidant de ces critères critiques au début de l'étude TACCP/VACCP, il est plus facile de définir l'étendue et la
portée de l'étude TACCP/VACCP.
Le danger et le risque de falsification et/ou de contamination lors de la production industrielle du malt d'orge depuis la prise et
le stockage de l'orge jusqu'à la fourniture, sous forme de malt, aux brasseries, distilleries et industries alimentaires ainsi que les
coproduits de maltage produits par celles-ci. opérations et fournis comme matières premières pour l’alimentation animale.
Une fois que l'équipe TACCP/VACCP a convenu de la portée de l'étude, un flux de processus est défini
et documenté. Le flux de processus, similaire à un flux de processus HACCP, détaille le processus et
toutes les étapes du processus considéré.
5
Figure 2 : Exemple de flux de processus de maltage pour TACCP/VACCP.
Il convient de noter que bien que le flux de processus partage certaines similitudes avec le flux de processus HACCP, il
englobe l'ensemble de la chaîne d'approvisionnement plutôt que simplement le site du fabricant.
Une fois que l'organisation a identifié les mesures actuelles, il est important que celles-ci soient évaluées comme étant
efficaces et que cette évaluation soit documentée et revue périodiquement. Par exemple, la plupart des malteries auront
mis en place des procédures pour l'approbation des fournisseurs, les spécifications des matières premières, les
contrôles d'admission, l'analyse et la vérification, la traçabilité et la sécurité du site. Cependant, ceux-ci devront être
examinés pour déterminer s'ils sont adaptés à leur objectif, à la lumière des menaces identifiées au cours du processus
TACCP/VACCP.
Dans le cadre de la procédure d’examen, il est utile de rassembler toutes les leçons tirées des incidents de
contamination ou de falsification antérieurs vécus par l’organisation. Réfléchissez aux procédures qui ont
été mises en œuvre en réponse à l'incident et si celles-ci se sont révélées efficaces dans l'ensemble de
l'entreprise.
6
6. Caractérisation des menaces
Après avoir défini la portée de l'étude et élaboré un flux de processus, il est possible pour l'équipe TACCP/
VACCP de définir les menaces pertinentes pour l'entreprise.
En définissant les menaces, l'équipe TACCP/VACCP doit prendre en compte les principaux types de menaces pour l'entreprise et
l'origine de ces menaces. Contrairement au HACCP, l’ensemble de la chaîne d’approvisionnement doit être pris en compte. Par
conséquent, l’équipe TACCP/VACCP doit prendre en compte les éléments du personnel, des locaux, des processus, des services,
Les menaces qui ont été caractérisées peuvent être systématiquement évaluées en fonction de leur impact et de leur probabilité en
symptômes/hospitalisation
récupération
Les menaces peuvent ensuite être évaluées par rapport à des critères de probabilité et de gravité de leur survenance. À l'aide
d'une matrice de risques, les menaces peuvent ensuite être mises en évidence comme suit :NORMALE,ÉLEVÉou EXCEPTIONNEL
7
Une entreprise peut choisir de mettre en œuvre sa propre matrice de notation des risques, mais il est recommandé d'utiliser une matrice
5 x 5. Un exemple de matrice de notation des risques est présenté ci-dessous dans le tableau 1.
Impact 3
1 2 3 4 5
Probabilité
Tableau 1 : Matrice de notation des risques 5 x 5 pour évaluer l'importance d'une menace particulière pour l'entreprise.
• Contamination malveillante avec des matériaux pouvant présenter une menace pour les clients ou les consommateurs.
La fraude alimentaire peut également être prise en compte dans le processus de caractérisation des menaces, notamment en ce qui concerne la
Il existe 7 sources principales de fraude alimentaire qui doivent être prises en compte à la fois pour les ingrédients et les
produits finis dans le cadre de l'étude TACCP/VACCP :
2. Contrefaçon
3. Dilution (Réduction des produits de qualité supérieure par dilution avec des matériaux de qualité inférieure)
4. Substitution (Déclarer que le malt est fabriqué à partir d'une variété différente de celle spécifiée)
5. Dissimulation
6. Étiquetage erroné (dates de péremption, pays d'origine ou type ou variété de malt incorrects)
8
Certaines des sept principales sources de fraude alimentaire seront plus pertinentes que d’autres pour l’industrie du maltage. Par
exemple, la production sur le marché gris pourrait être considérée comme présentant un risque très faible en raison du coût de
Après avoir identifié les menaces et quantifié l'importance des menaces pour l'entreprise, il faut évaluer qui
est susceptible d'attaquer l'entreprise et où l'attaque pourrait être introduite en comprenant l'impact du
personnel, des locaux, des processus, des services, de la logistique et la cybercriminalité.
Par conséquent, dans le cadre du processus TACCP/VACCP, l’équipe TACCP/VACCP doit prendre en compte les menaces que
représentent les personnes pour l’entreprise et les motivations qui motivent leurs actions.
Dans le cadre de ce processus, l’équipe doit prendre en compte le type d’attaquant et sa position au sein de la chaîne
d’approvisionnement.
• Les étrangers–Les personnes qui n'ont aucun contact actuel avec l'entreprise.
• Personnel de la chaîne d'approvisionnement–Pas de contact direct avec l'entreprise mais accès à la chaîne
• Fournisseurs/entrepreneurs–Le statut de confiance aura donc un contact direct et un accès ouvert aux domaines de
l’entreprise.
• Insiders–Contact direct permanent avec l'entreprise en tant que membre du personnel permanent/
temporaire/agence.
Il est courant de procéder à une évaluation des risques sur ces quatre groupes pour comprendre la menace qu'ils représentent
pour l'entreprise et les mesures d'atténuation nécessaires pour réduire le risque d'attaque.
Les étrangers Faible Pas d'accès direct à la chaîne Accès au site contrôlé.
d'approvisionnement ou
(par exemple, les membres de Ils n'ont pas d'accès Mesures de cybersécurité
site de malterie mais
publique) direct à la production efficaces.
peut y accéder en
installation ou fourniture
exploiter les faibles
Contrôle des matières premières
chaîne.
procédures de sécurité.
matériaux ou finis
produit dans la chaîne
d'approvisionnement.
9
(par exemple les transporteurs, l'orge Ils ont légitime marchandises dans la chaîne la chaîne est adéquate
les commerçants, accès à la chaîne d’approvisionnement. mesures de contrôle dans
et
contrôle/restrictions
placés là où ils peuvent
être autorisés à travailler.
Examen régulier
de leur poursuite
aptitude à travailler sur
site.
de l'usine. Régulier
performance/progrès
Commentaires.
Après avoir répertorié les attaquants potentiels et identifié les mesures d'atténuation pour contrôler les risques, il est
important d'identifier les motifs potentiels d'une attaque. Celles-ci peuvent être regroupées en 8 motivations claires qui
sont :
1. Criminel/Extorsion
2. Fraude alimentaire – par exemple un avantage financier obtenu en falsifiant ou en substituant une matière première.
3. Concurrence commerciale
4. Employés mécontents
5. Idéologique – par exemple une entreprise opérant dans une zone de conflit ou dans un pays critiqué pour
ses violations des droits de l'homme.
6. Maladie mentale
dix
7. Pression locale – par exemple, problèmes avec les voisins.
8. Pression sectorielle – par exemple, groupes de pression en faveur du bien-être animal ou de l'environnement.
6.2.2. Locaux
Dans le cadre de la procédure TACCP/VACCP, les menaces et vulnérabilités associées aux locaux doivent
être prises en compte. Pour un site de malterie, cela comprendrait tout, depuis le pont-bascule et la prise
d'orge jusqu'à l'expédition du produit fini. S'il existe un stockage par un tiers de matières premières ou de
produits finis, cela devra également être inclus dans l'évaluation.
Sécurité du site – Comment la sécurité du site est-elle gérée ? Est-ce via un entrepreneur externe ou l'équipe de
direction du site. Si la sécurité du site est assurée par un prestataire externe, un membre de l'équipe de sécurité
doit être impliqué dans le TACCP/VACCP et sa mise en œuvre.
Périmètre du site – Comment le périmètre du site est-il contrôlé pour empêcher tout accès non autorisé. Pour les
sites sans clôture ni mur d’enceinte, il faut tenir compte de la manière dont les zones sensibles du site sont
protégées. Pour les sites dotés d’une clôture ou d’un mur d’enceinte, il est nécessaire de vérifier régulièrement
son aptitude à l’usage.
Accès au site pour les véhicules et les piétons – Comment est-il contrôlé ? Quels sont les points d'entrée et de sortie du
site ? Sont-ils contrôlés ? Quel est le processus de gestion des véhicules des visiteurs, des transporteurs et des
entrepreneurs sur site ?
Contrôle des visiteurs – Les méthodes de contrôle et de filtrage des visiteurs du site doivent être revues. Il
convient de réfléchir à la manière dont l'accès aux zones sensibles est contrôlé lorsque les visiteurs sont sur
place.
Accès aux installations de production – Comment l'accès au personnel et aux visiteurs est-il contrôlé. Les zones de
production ont-elles un accès restreint ou sont-elles librement accessibles ? S’il y a des zones dont l’accès est restreint,
comment cela est-il géré ?
6.2.3. Processus
Dans la plupart des cas, le plan HACCP aura identifié les problèmes de processus pouvant avoir un impact sur les
matières premières, le malt et les produits à base de malt. Une grande partie de ces éléments peuvent ensuite être
examinés dans le cadre du processus TACCP/VACCP. En particulier s'il existe un accès à des équipements sensibles au
processus, qui y a accès et comment est-il contrôlé. Il faut donc réfléchir à la manière dont cela est géré dans le cadre du
processus TACCP/VACCP.
De nombreuses malteries stockent sur place des quantités importantes de matières premières et de produits finis. Par conséquent, les
procédures visant à garantir que les matières premières et les produits finis ne sont pas susceptibles d'être attaqués par des personnes
Les malteries consomment des quantités considérables de gaz, d’eau et d’électricité. Une attaque malveillante
délibérée contre l’un de ces services pourrait avoir de graves conséquences sur l’entreprise. En tant que tel, il est
prudent pour l'équipe TACCP/VACCP de comprendre les menaces potentielles d'une attaque malveillante sur
11
leurs services. Par exemple, si un site de maltage utilise des forages sur place pour l'eau de traitement, l'équipe TACCP/
VACCP doit réfléchir à la manière dont les forages sont protégés contre une attaque malveillante.
D'autres domaines à prendre en compte, en termes de services, sont les systèmes de drainage et de nettoyage ainsi que les entrées d'air
6.2.5. Logistique
La logistique est une considération clé pour l'équipe TACCP/VAACP, car dans de nombreux cas, les malteries dépendent du
transport par des tiers. Il s’agit également d’un domaine de la chaîne d’approvisionnement sur lequel la malterie exerce un
niveau de contrôle réduit. L'équipe TACCP/VACCP devra considérer le type d'emballage et de transport utilisé pour ses matières
premières et ses produits finis. Par exemple, le malt transporté en sacs de 25 kg sur palette, dans des camions en vrac ou dans
des conteneurs d'exportation doit être considéré individuellement. Par exemple, un conteneur d'exportation doté de scellés
inviolables pourrait être considéré comme présentant un risque moindre qu'un camion de vrac qui n'est sécurisé que par une
6.2.6. Cybercriminalité
L'impact de la cybercriminalité est souvent négligé par une entreprise et, dans certains cas, n'est pas pris en compte dans ses
procédures de gestion des risques. Cependant, la cybercriminalité constitue un problème croissant et il y a eu des incidents où la
cybercriminalité a été utilisée contre des entreprises alimentaires. Par exemple, en juin 2017, une cyberattaque a interrompu la
production d’une usine alimentaire en Tasmanie après que ses systèmes informatiques ont été infectés par un logiciel de
rançon. Les systèmes informatiques de l'usine ont été arrêtés et une rançon a été demandée pour leur restauration. Il est donc
essentiel qu'un membre de l'équipe informatique fasse partie du processus TACCP/VACCP. Voici des exemples de menaces à
• Veiller à ce que l'externalisation du support TIC soit sécurisée et non vulnérable aux attaques.
• Introduction de politiques et de procédures pour sensibiliser aux risques liés à l’infection par des logiciels malveillants
12
7. Développement d’une stratégie d’atténuation
L'équipe TACCP/VACCP, après avoir identifié les menaces qui pèsent sur l'entreprise, devra développer et évaluer des
stratégies d'atténuation pour toutes les menaces et vulnérabilités importantes. Par conséquent, les menaces à forte
probabilité et à fort impact devraient faire l’objet de stratégies d’atténuation élaborées et mises en œuvre.
Les stratégies d'atténuation qui ont été développées doivent être rassemblées et documentées dans un registre
central TACCP/VACCP.
Des contrôles doivent être mis en œuvre sur les matières premières, les emballages, les produits finis, les processus, les locaux, les
réseaux de distribution et les systèmes commerciaux afin de réduire et d'éliminer les menaces.
Les décisions clés nécessitant des changements dans l'entreprise doivent être acceptées et approuvées par
la haute direction.
Après la mise en œuvre, les stratégies d'atténuation doivent être revues pour évaluer si elles ont été efficaces. Si
cela est efficace, l'évaluation du risque pour cette menace peut être abaissée dans l'évaluation des risques
TACCP/VACCP.
Pour que TACCP/VACCP réussisse, il doit y avoir un processus continu d'examen des menaces et des
vulnérabilités, pour comprendre comment elles peuvent changer et s'il existe de nouvelles menaces ou
vulnérabilités pour l'entreprise.
La Food Standards Agency souligne que pour déterminer avec succès les menaces émergentes, une
entreprise doit disposer de quatre éléments en place :
1. Un cadre en place
2. Une stratégie de renseignement qui permet de définir quand et où rechercher les risques émergents
3. Sources de données fiables
4. Intervention humaine qualifiée pour comprendre si les menaces émergentes représentent un risque réel pour
l'entreprise
Pour la plupart des entreprises, s’il existe un plan HACCP, un cadre d’analyse prospective devrait déjà être
en place. Le cadre devrait donc être ajusté pour inclure le TACCP et le VACCP. Cependant, si un cadre n'est
pas déjà en place, une entreprise peut introduire un cadre qui identifie qui est responsable de la collecte
des menaces émergentes et la fréquence à laquelle ils entreprennent cette activité. Le cadre identifie
ensuite le moment où l'équipe TACCP/VACCP est informée des menaces émergentes et le processus par
lequel elle évalue si ces menaces présentent un risque important pour l'entreprise.
Il existe de nombreuses sources d’informations permettant d’effectuer une analyse prospective à la disposition d’une malterie. Certains
d'entre eux peuvent être considérés comme spécifiques à l'industrie, comme le MAGB, Euromalt et Campden BRi. Cependant, les
organismes gouvernementaux tels que l'Agence des normes alimentaires ou l'Autorité européenne de sécurité des aliments sont des
13
9. Mise en œuvre
L'équipe TACCP/VACCP doit considérer l'impact de la mise en œuvre d'un protocole TACCP/VACCP sur l'entreprise. Après
avoir caractérisé les menaces et les stratégies d’atténuation, ces stratégies doivent être documentées et répercutées
dans l’ensemble de l’entreprise. Par exemple, s'il existe des stratégies d'atténuation qui nécessitent un changement de
processus de déchargement du malt, celles-ci doivent être documentées dans les systèmes qualité existants de
l'entreprise. Le changement de processus doit ensuite être communiqué à tout le personnel opérationnel et aux sous-
traitants susceptibles d'être impactés par les changements de processus.
Le processus de mise en œuvre offre également l'occasion de tester et de remettre en question les stratégies d'atténuation
TACCP/VACCP pour garantir qu'elles fonctionnent comme prévu dans le monde réel.
• Les procédures sensibles pour l’entreprise qui pourraient devoir être modifiées.
• Dossiers des réunions d'examen du TACCP/VACCP et de toutes les décisions pouvant découler de ces
réunions.
• Des diagrammes de flux de processus complets qui devront être documentés et maintenus.
• Des journaux d'incidents doivent être tenus pour les occasions où une menace a été proférée contre l'entreprise.
• Exercices de formation menés par l'entreprise pour tester l'efficacité du plan TACCP/VACCP.
Il est clair que la documentation TACCP/VACCP ferait partie du système de gestion de la qualité
existant des malteries.
Tous les incidents survenus depuis le dernier examen doivent être examinés minutieusement pour déterminer si les
stratégies d'atténuation employées étaient suffisantes pour réduire ou supprimer l'impact de la menace.
Dans le cadre du processus d'examen, il convient de tenir compte de l'activité d'analyse prospective qui a été introduite.
Ceci est fait pour mettre en évidence si de nouvelles menaces ont été identifiées qui pourraient présenter un risque pour
l'entreprise.
Des audits réguliers doivent être menés pour valider que les stratégies d’atténuation des menaces ont été pleinement mises en
œuvre.
14
12. Lectures complémentaires
Les documents suivants sont recommandés pour une lecture supplémentaire lors de la mise en œuvre d'un
protocole TACCP/VACCP.
Campden BRI TACCP/VACCP : Évaluations des menaces et de la vulnérabilité – Fraude alimentaire et défense alimentaire. Un
Spécification publiquement disponible (PAS) 96 : 2017 Guide pour protéger et défendre les aliments et les boissons
contre les attaques délibérées. Publié par BSI Standards Limited 2017. ISBN 978 0 580 98099 2
15