Traduit de Anglais vers Français - www.onlinedoctranslator.

com

Association des malteurs de Grande-Bretagne

TACCP/VACCP
Un document d'orientation pour l'industrie du maltage

Version 1
Publié en octobre 2020
 TACCP/VACCP : UN DOCUMENT D'ORIENTATION POUR L'INDUSTRIE DU MALTAGE

Contenu
1. Introduction ............................................... .................................................................. ...................................... 2

1.1. Quels sont les objectifs du TACCP et du VACCP ? .................................................................. ...................................... 2

1.2. Comment le TACCP/VACCP se compare-t-il au HACCP ?............................................ .................................. 3

1.3. Considérations lors de la réalisation de votre TACCP /VACCP .......................................... .................. 3

2. Démarrage d'une étude TACCP/VACCP .......................................... .................................................................. .............. 3

3. Sélection de l'équipe.................................................. .................................................................. ...................................... 4

4. Définir la portée de l'étude TACCP/VACCP............................................... ...................................................... 5

5. Examiner les mesures TACCP/VACCP actuellement en place.................................. ...................................... 6

6. Caractérisation des menaces .............................................. .................................................................. ..................... 7

6.1. Comprendre les menaces et les vulnérabilités ............................................ ...................... 8

6.2. Comprendre l'attaquant................................................................. .................................................................. ....... 9

6.2.1. Personnels .................................................................. .................................................................. ...................... 9

6.2.2. Locaux ................................................. .................................................................. ...................... 11

6.2.3. Processus ................................................. .................................................................. ...................... 11

6.2.4. Prestations de service ................................................. .................................................................. ...................... 11

6.2.5. Logistique ................................................. .................................................................. ...................... 12

6.2.6. Cybercriminalité ............................................................ .................................................................. ...................... 12

7. Développement d’une stratégie d’atténuation.................................................. .................................................................. ..... 13

8. Horizon Scanning pour détecter les menaces nouvelles et émergentes .................................. ...................................... 13

9. Mise en œuvre ............................................................ .................................................................. ................................ 14

10. Enregistrement et documentation .................................................. .................................................................. ....... 14

11. Vérification et examen ....................................................... .................................................................. ...................... 14

12. Lectures complémentaires............................................................ .................................................................. ................................ 15

1
1. Introduction
Ce document a été rédigé, à la demande des sociétés membres du MAGB, par un groupe de travail composé d'un
certain nombre de malteries britanniques.

L'industrie du maltage considère la sécurité de ses produits comme sa principale préoccupation. À ce titre, l'industrie a collaboré

pour développer des systèmes de gestion de la sécurité alimentaire qui ont considérablement réduit le risque de problème

majeur de sécurité alimentaire. Ces systèmes s'appuient sur le protocole MAGB d'analyse des risques et de maîtrise des points

critiques (HACCP).

Cependant, les principes HACCP n’ont pas été systématiquement utilisés pour détecter ou atténuer une attaque délibérée sur

l’ensemble de la chaîne d’approvisionnement. L'analyse des menaces et les points critiques pour leur maîtrise (TACCP) et

l'évaluation des vulnérabilités et les points critiques pour leur maîtrise (VACCP) sont des méthodologies qui s'alignent sur les

principes HACCP mais qui examinent spécifiquement les menaces et les vulnérabilités posées à une entreprise. Les principes qui

sous-tendent le TACCP et le VACCP ne sont donc ni nouveaux ni significativement différents du HACCP. Cependant, la portée du

TACCP et du VACCP est différente de celle du HACCP et des orientations sont donc utiles sur la manière de mettre en œuvre les

deux systèmes.

Ce document est destiné à servir de guide pour fournir une feuille de route pour la mise en œuvre des méthodologies

d'évaluation des menaces et de contrôle des points critiques et d'évaluation des vulnérabilités et de gestion des risques des

points critiques de contrôle. Il n'est pas prévu que ce guide soit utilisé par une organisation comme protocole TACCP ou VACCP,

mais il met en évidence les processus et les étapes nécessaires pour en créer un.

1.1. Quels sont les objectifs du TACCP et du VACCP ?

Le TACCP et le VACCP utilisent la même approche de gestion des risques, mais il existe des différences subtiles
entre les deux.

L'évaluation des menaces et les points critiques pour leur maîtrise (TACCP) aide les producteurs de produits alimentaires à identifier les points

faibles de leur chaîne d'approvisionnement et de leurs activités de transformation qui peuvent être ouverts à des attaques intentionnelles et

malveillantes. Le protocole TACCP se concentre sur la falsification, la falsification intentionnelle des aliments et la défense alimentaire.

L'évaluation de la vulnérabilité et les points critiques pour leur contrôle (VACCP) se concentre également sur la fraude alimentaire, mais

élargit son champ d'application pour inclure la prévention systématique de toute falsification potentielle des aliments, intentionnelle ou

non, en identifiant les points vulnérables de la chaîne d'approvisionnement. Le VACCP est particulièrement concerné par la falsification

motivée par des raisons économiques. Des exemples de risques liés à la chaîne d'approvisionnement comprennent les substitutions de

produits, les améliorations de produits non approuvées, la contrefaçon et les biens volés.

S'ils sont utilisés correctement, le TACCP et le VACCP aident une entreprise à minimiser les risques d'une telle attaque
ou à réduire les dégâts si une attaque devait se produire.

TACCP et VACCP sont utilisés par les entreprises alimentaires dans le cadre d'une approche systématique de gestion des risques

pour résoudre les problèmes d'attaques malveillantes et de falsification/fraude alimentaire qui compromettront la sécurité

alimentaire et l'intégrité des produits. TACCP/VACCP doit être utilisé dans le cadre d’un processus plus large de gestion des

risques ou comme moyen de commencer à évaluer les risques via une approche systématique. TACCP/VACCP, s'il est utilisé

correctement, peut aider une organisation à :

1. Réduisez la probabilité d’une attaque malveillante délibérée

2. Si une attaque se produit, réduisez l'impact de cette attaque sur une entreprise

2
 3. Protéger la réputation d'une organisation
4. Rassurer les clients sur le fait que l'organisation gère de manière appropriée les risques dans la chaîne

d'approvisionnement et faire preuve de diligence raisonnable

5. Démontrer que des précautions raisonnables sont en place pour protéger la chaîne d'approvisionnement

Il convient de souligner que le TACCP/VACCP ne peut à lui seul empêcher une attaque contre une organisation.
Cependant, si elle est effectuée correctement, l'utilisation du TACCP/VACCP peut réduire la probabilité qu'une attaque se
produise ou réduire la gravité d'une attaque si elle devait se produire.

1.2. Comment le TACCP/VACCP se compare-t-il au HACCP ?

On pourrait considérer que le processus TACCP/VACCP s'appuie sur le système HACCP existant d'une entreprise, car de nombreuses

précautions prises pour protéger la sécurité alimentaire du malt sont également susceptibles de dissuader les attaques malveillantes

délibérées ou les fraudes. Les évaluations des menaces et des vulnérabilités visent à documenter, dissuader, contrôler, contenir et

atténuer les actions délibérées plutôt que les actions accidentelles ou non intentionnelles abordées par le HACCP.

TACCP/VACCP est une méthodologie de gestion des risques qui s'aligne sur HACCP mais a un objectif différent. Alors que le

HACCP se concentre sur l'impact du processus sur la sécurité alimentaire d'un produit au fur et à mesure de sa fabrication, le

TACCP/VACCP prend en compte les menaces et les vulnérabilités d'un produit tout au long de la chaîne d'approvisionnement.

L’objectif du TACCP/VACCP pourrait donc être considéré comme plus large que le HACCP.

Lorsque le HACCP traite des programmes préalables et des points de contrôle critiques, le TACCP/VACCP a des
niveaux de réponse (généralementNORMALE,ÉLEVÉetEXCEPTIONNEL), ce qui met en évidence la criticité de la
menace.

1.3. Considérations lors de la réalisation de votre TACCP/VACCP

En raison de la similitude de l'approche, les études TACCP et VACCP pourraient être menées simultanément. Cependant,
il est essentiel que pour être efficace dans la mise en œuvre d’un protocole TACCP/VACCP, il soit nécessaire d’adopter
une approche systématique du processus. Le processus TACCP/VACCP cherche à apporter des réponses à quatre
questions clés qui sont :

1. Qui pourrait vouloir attaquer votre entreprise

2. Comment pourraient-ils procéder ?

3. Où l’entreprise est-elle vulnérable ?

4. Comment l’entreprise peut-elle stopper une attaque ?

Essentiellement, le rôle de l'équipe TACCP/VACCP est de pénétrer dans l'esprit d'un attaquant
potentiel et d'identifier les faiblesses de sa propre entreprise. Après avoir identifié ces faiblesses, il est
nécessaire de déterminer comment ces faiblesses pourraient être exploitées et donc les mesures à
prendre pour garantir leur protection.

Grâce à cette approche logique, l’entreprise aura l’assurance que tous les éléments pertinents ont été pris en
compte.

2. Démarrage d'une étude TACCP/VACCP

TACCP/VACCP nécessite une approche logique et systématique. Par conséquent, une séquence d’étude ou un
diagramme d’itinéraire TACCP/VACCP peut fournir un cadre approprié pour l’évaluation.

3
Le diagramme d'itinéraire met en évidence les domaines clés qui doivent être pris en compte et garantit que les éléments du

processus ne sont pas oubliés. Le schéma du parcours est illustré ci-dessous :

Figure 1 : Diagramme d’itinéraire TACCP/VACCP.

Le reste de ce guide illustrera le protocole TACCP/VACCP en parcourant, étape par étape, ce

schéma de route.

3. Sélection de l'équipe
Il faut comprendre que l’équipe TACCP/VACCP aura un ensemble d’objectifs plus large qu’une équipe HACCP
typique. Pour obtenir les meilleurs résultats, il est essentiel de créer une équipe multidisciplinaire TACCP/VACCP
composée des membres de l'équipe de direction du site. Si l'on considère que le TACCP et le VACCP, entre les
deux protocoles, couvrent toute la chaîne d'approvisionnement depuis l'achat des matières premières jusqu'au
stockage et à la distribution du produit final, ainsi que les services associés tels que l'électricité, l'eau et le
personnel, il est clair que le TACCP/VACCP L’équipe doit inclure un large éventail de disciplines. Voici des
exemples de types de personnel représentés dans une équipe TACCP/VACCP :

• Production et opérations

4
 • Qualité/technique
• Sécurité des sites

• Achat
• Ressources humaines

• Logistique/distribution
• Entreposage
• Ingénierie
• Informatique

Il est important pour que le processus TACCP/VACCP soit un succès que l'équipe dispose des ressources appropriées et
soit en mesure de démontrer l'engagement de la haute direction envers le processus. Il est également important que la
composition, la formation, l'expérience et la sensibilisation de l'équipe TACCP/VACCP soient maintenues.

4. Définir la portée de l'étude TACCP/VACCP

La portée de l’étude doit être clairement définie dès le départ. Cela donne à l'équipe TACCP/VACCP une vision claire des

problèmes ou des processus qui doivent être considérés comme entrant dans le champ d'application.

Lorsque l’on considère la portée de l’étude TACCP/VACCP, il convient de décider :

• Si l'étude couvre un produit ou un processus particulier.

• S'il considère un site unique ou adopte une approche multi-sites.

• S’il s’intéresse à une région ou couvre l’ensemble de l’organisation.

• Que l'étude soit à court terme, traitant d'un problème ou d'une question immédiate, ou à plus long terme
couvrant des objectifs plus stratégiques.

• Les types de menaces ou de dangers à prendre en compte.

En décidant de ces critères critiques au début de l'étude TACCP/VACCP, il est plus facile de définir l'étendue et la
portée de l'étude TACCP/VACCP.

Un exemple de portée pour l’industrie du maltage pourrait être :

Le danger et le risque de falsification et/ou de contamination lors de la production industrielle du malt d'orge depuis la prise et
le stockage de l'orge jusqu'à la fourniture, sous forme de malt, aux brasseries, distilleries et industries alimentaires ainsi que les
coproduits de maltage produits par celles-ci. opérations et fournis comme matières premières pour l’alimentation animale.

Une fois que l'équipe TACCP/VACCP a convenu de la portée de l'étude, un flux de processus est défini
et documenté. Le flux de processus, similaire à un flux de processus HACCP, détaille le processus et
toutes les étapes du processus considéré.

Un exemple de flux de processus est détaillé ci-dessous (Figure 2).

5
Figure 2 : Exemple de flux de processus de maltage pour TACCP/VACCP.

Il convient de noter que bien que le flux de processus partage certaines similitudes avec le flux de processus HACCP, il
englobe l'ensemble de la chaîne d'approvisionnement plutôt que simplement le site du fabricant.

5. Examiner les mesures TACCP/VACCP actuellement en place

Il est fort probable qu'une organisation ait déjà mis en place un certain nombre d'étapes ou de procédures pouvant être
incluses dans le cadre de l'étude TACCP/VACCP. Cependant, il existe un certain nombre de conditions préalables
essentielles à la mise en place par une organisation pour qu'une étude TACCP/VACCP soit réussie, notamment la
traçabilité et l'assurance qualité des fournisseurs. Si l'organisation dispose d'une norme de qualité reconnue, par
exemple ISO 9001, ou si elle a mis en œuvre le système HACCP, ces conditions préalables doivent déjà être en place.

Une fois que l'organisation a identifié les mesures actuelles, il est important que celles-ci soient évaluées comme étant
efficaces et que cette évaluation soit documentée et revue périodiquement. Par exemple, la plupart des malteries auront
mis en place des procédures pour l'approbation des fournisseurs, les spécifications des matières premières, les
contrôles d'admission, l'analyse et la vérification, la traçabilité et la sécurité du site. Cependant, ceux-ci devront être
examinés pour déterminer s'ils sont adaptés à leur objectif, à la lumière des menaces identifiées au cours du processus
TACCP/VACCP.

Dans le cadre de la procédure d’examen, il est utile de rassembler toutes les leçons tirées des incidents de
contamination ou de falsification antérieurs vécus par l’organisation. Réfléchissez aux procédures qui ont
été mises en œuvre en réponse à l'incident et si celles-ci se sont révélées efficaces dans l'ensemble de
l'entreprise.

6
6. Caractérisation des menaces
Après avoir défini la portée de l'étude et élaboré un flux de processus, il est possible pour l'équipe TACCP/
VACCP de définir les menaces pertinentes pour l'entreprise.

En définissant les menaces, l'équipe TACCP/VACCP doit prendre en compte les principaux types de menaces pour l'entreprise et

l'origine de ces menaces. Contrairement au HACCP, l’ensemble de la chaîne d’approvisionnement doit être pris en compte. Par

conséquent, l’équipe TACCP/VACCP doit prendre en compte les éléments du personnel, des locaux, des processus, des services,

de la logistique et de la cybercriminalité dans le cadre du processus de caractérisation des menaces.

Les menaces qui ont été caractérisées peuvent être systématiquement évaluées en fonction de leur impact et de leur probabilité en

utilisant les tableaux ci-dessous à titre indicatif.

Critères d'évaluation d'impact

Impact Sécurité/Défense alimentaire Économique/Fraude

5 – Catastrophique La mort Fermeture du site

4 – Élevé Grave Dommages à la marque

symptômes/hospitalisation

3 – Modéré Symptômes généralement légers, Non-réglementaire

mais quelques cas d'hospitalisation conformité/rappel/retrait

2 – Mineur Symptômes légers pendant quelques jours Activité médiatique

1 - Faible Symptômes légers, rapide Aucun impact

récupération

Critères d'évaluation de la vraisemblance

Probabilité Histoire de l'industrie

5 – Très fréquent L'incident s'est produit au cours des 6 derniers mois

4 – Fréquent Le dernier incident a été enregistré il y a entre 6 et 12 mois

3 – Fréquence modérée Le dernier incident a été enregistré il y a entre 1 et 2 ans

2 – Basse fréquence Le dernier incident a été enregistré il y a entre 2 et 3 ans

1 - Peu fréquent Le dernier incident a été enregistré il y a plus de 3 ans

Les menaces peuvent ensuite être évaluées par rapport à des critères de probabilité et de gravité de leur survenance. À l'aide

d'une matrice de risques, les menaces peuvent ensuite être mises en évidence comme suit :NORMALE,ÉLEVÉou EXCEPTIONNEL

7
Une entreprise peut choisir de mettre en œuvre sa propre matrice de notation des risques, mais il est recommandé d'utiliser une matrice

5 x 5. Un exemple de matrice de notation des risques est présenté ci-dessous dans le tableau 1.

Matrice de notation des risques

Impact 3

1 2 3 4 5

Probabilité

1-4 Normal (faible risque)

5 - 12 Augmenté (risque modéré)

15 - 25 Exceptionnel (risque élevé)

Tableau 1 : Matrice de notation des risques 5 x 5 pour évaluer l'importance d'une menace particulière pour l'entreprise.

6.1. Comprendre les menaces et les vulnérabilités

Les trois types de menace/vulnérabilité peuvent être considérés comme :

• Contamination malveillante avec des matériaux pouvant présenter une menace pour les clients ou les consommateurs.

• Sabotage de la chaîne d’approvisionnement entraînant des problèmes d’approvisionnement et de nourriture.

• L'utilisation abusive de produits alimentaires à des fins terroristes ou criminelles.

La fraude alimentaire peut également être prise en compte dans le processus de caractérisation des menaces, notamment en ce qui concerne la

fourniture et l'utilisation de variétés d'orge spécifiques, par exemple Maris Otter.

Il existe 7 sources principales de fraude alimentaire qui doivent être prises en compte à la fois pour les ingrédients et les
produits finis dans le cadre de l'étude TACCP/VACCP :

1. Améliorations non approuvées (par exemple utilisation d'additifs non autorisés)

2. Contrefaçon
3. Dilution (Réduction des produits de qualité supérieure par dilution avec des matériaux de qualité inférieure)

4. Substitution (Déclarer que le malt est fabriqué à partir d'une variété différente de celle spécifiée)

5. Dissimulation
6. Étiquetage erroné (dates de péremption, pays d'origine ou type ou variété de malt incorrects)

7. Production/vol/détournement sur le marché gris

8
Certaines des sept principales sources de fraude alimentaire seront plus pertinentes que d’autres pour l’industrie du maltage. Par

exemple, la production sur le marché gris pourrait être considérée comme présentant un risque très faible en raison du coût de

production élevé qui constitue un facteur décourageant important.

Après avoir identifié les menaces et quantifié l'importance des menaces pour l'entreprise, il faut évaluer qui
est susceptible d'attaquer l'entreprise et où l'attaque pourrait être introduite en comprenant l'impact du
personnel, des locaux, des processus, des services, de la logistique et la cybercriminalité.

6.2. Comprendre l'attaquant

6.2.1. Personnel
Une attaque contre une entreprise est menée par un ou plusieurs individus motivés à causer des dommages à cette entreprise.

Par conséquent, dans le cadre du processus TACCP/VACCP, l’équipe TACCP/VACCP doit prendre en compte les menaces que

représentent les personnes pour l’entreprise et les motivations qui motivent leurs actions.

Dans le cadre de ce processus, l’équipe doit prendre en compte le type d’attaquant et sa position au sein de la chaîne

d’approvisionnement.

Il existe généralement quatre classes d’attaquants potentiels à prendre en compte.

Les classes d'individus sont :

• Les étrangers–Les personnes qui n'ont aucun contact actuel avec l'entreprise.
• Personnel de la chaîne d'approvisionnement–Pas de contact direct avec l'entreprise mais accès à la chaîne

d'approvisionnement plus large avec laquelle l'entreprise interagit.

• Fournisseurs/entrepreneurs–Le statut de confiance aura donc un contact direct et un accès ouvert aux domaines de

l’entreprise.

• Insiders–Contact direct permanent avec l'entreprise en tant que membre du personnel permanent/
temporaire/agence.

Il est courant de procéder à une évaluation des risques sur ces quatre groupes pour comprendre la menace qu'ils représentent

pour l'entreprise et les mesures d'atténuation nécessaires pour réduire le risque d'attaque.

Groupe Opportunité directe Moyens Mesures d'atténuation

Les étrangers Faible
(par exemple, les membres de Ils n'ont pas d'accès
publique) direct à la production
installation ou fourniture
chaîne.
Pas d'accès direct à la chaîne Accès au site contrôlé.
d'approvisionnement ou
Mesures de cybersécurité
site de malterie mais
efficaces.
peut y accéder en
exploiter les faibles
Contrôle des matières premières
procédures de sécurité.
matériaux ou finis
produit dans la chaîne

d'approvisionnement.

Chaîne d'approvisionnement Moyen Accès au brut Des procédures en place pour

Personnel matériaux ou finis garantir que les fournisseurs

et l'offre plus large

9
 (par exemple les transporteurs, l'orge Ils ont légitime marchandises dans la chaîne la chaîne est adéquate
les commerçants, accès à la chaîne d’approvisionnement. mesures de contrôle dans

commerçants, hors site d’approvisionnement et aux lieu.

stockage) matières premières ou finies
Validation de la sécurité
marchandises.

procédures par des audits.

Fournisseurs/entrepreneurs Moyen Avec un statut de confiance Procédures de vérification

ils auront un accès direct aux et entrepreneur complet

(par exemple, sécurité, Ils ont légitime
informations brutes induction avant
entrepreneurs en nettoyage, accès direct au site
matériaux et finis accéder au site de
entretien de malterie.
marchandises sur le site de malterie.
personnel)
malterie.
Utilisation des permis de travail

et

contrôle/restrictions
placés là où ils peuvent
être autorisés à travailler.
Examen régulier
de leur poursuite
aptitude à travailler sur
site.

Insiders Haut Avec un statut de confiance Pré-emploi

ils auront un accès direct aux vérification. Introduction sur
(par exemple les employés, Direct et étendu
informations brutes site avant le début.
personnel temporaire, accès au site de
matériaux et finis Implémentation de
personnel de l'agence) malterie.
marchandises sur le site de zones restreintes de
malterie. travail, c'est-à-dire l'accès

uniquement à certaines zones

de l'usine. Régulier

performance/progrès
Commentaires.

Après avoir répertorié les attaquants potentiels et identifié les mesures d'atténuation pour contrôler les risques, il est
important d'identifier les motifs potentiels d'une attaque. Celles-ci peuvent être regroupées en 8 motivations claires qui
sont :

1. Criminel/Extorsion
2. Fraude alimentaire – par exemple un avantage financier obtenu en falsifiant ou en substituant une matière première.

3. Concurrence commerciale
4. Employés mécontents
5. Idéologique – par exemple une entreprise opérant dans une zone de conflit ou dans un pays critiqué pour
ses violations des droits de l'homme.
6. Maladie mentale

dix
 7. Pression locale – par exemple, problèmes avec les voisins.

8. Pression sectorielle – par exemple, groupes de pression en faveur du bien-être animal ou de l'environnement.

6.2.2. Locaux
Dans le cadre de la procédure TACCP/VACCP, les menaces et vulnérabilités associées aux locaux doivent
être prises en compte. Pour un site de malterie, cela comprendrait tout, depuis le pont-bascule et la prise
d'orge jusqu'à l'expédition du produit fini. S'il existe un stockage par un tiers de matières premières ou de
produits finis, cela devra également être inclus dans l'évaluation.

Certains domaines à considérer sont :

Sécurité du site – Comment la sécurité du site est-elle gérée ? Est-ce via un entrepreneur externe ou l'équipe de
direction du site. Si la sécurité du site est assurée par un prestataire externe, un membre de l'équipe de sécurité
doit être impliqué dans le TACCP/VACCP et sa mise en œuvre.

Périmètre du site – Comment le périmètre du site est-il contrôlé pour empêcher tout accès non autorisé. Pour les
sites sans clôture ni mur d’enceinte, il faut tenir compte de la manière dont les zones sensibles du site sont
protégées. Pour les sites dotés d’une clôture ou d’un mur d’enceinte, il est nécessaire de vérifier régulièrement
son aptitude à l’usage.

Accès au site pour les véhicules et les piétons – Comment est-il contrôlé ? Quels sont les points d'entrée et de sortie du
site ? Sont-ils contrôlés ? Quel est le processus de gestion des véhicules des visiteurs, des transporteurs et des
entrepreneurs sur site ?

Contrôle des visiteurs – Les méthodes de contrôle et de filtrage des visiteurs du site doivent être revues. Il
convient de réfléchir à la manière dont l'accès aux zones sensibles est contrôlé lorsque les visiteurs sont sur
place.

Accès aux installations de production – Comment l'accès au personnel et aux visiteurs est-il contrôlé. Les zones de
production ont-elles un accès restreint ou sont-elles librement accessibles ? S’il y a des zones dont l’accès est restreint,
comment cela est-il géré ?

6.2.3. Processus
Dans la plupart des cas, le plan HACCP aura identifié les problèmes de processus pouvant avoir un impact sur les
matières premières, le malt et les produits à base de malt. Une grande partie de ces éléments peuvent ensuite être
examinés dans le cadre du processus TACCP/VACCP. En particulier s'il existe un accès à des équipements sensibles au
processus, qui y a accès et comment est-il contrôlé. Il faut donc réfléchir à la manière dont cela est géré dans le cadre du
processus TACCP/VACCP.

De nombreuses malteries stockent sur place des quantités importantes de matières premières et de produits finis. Par conséquent, les

procédures visant à garantir que les matières premières et les produits finis ne sont pas susceptibles d'être attaqués par des personnes

malveillantes doivent être revues.

6.2.4. Prestations de service

Les malteries consomment des quantités considérables de gaz, d’eau et d’électricité. Une attaque malveillante
délibérée contre l’un de ces services pourrait avoir de graves conséquences sur l’entreprise. En tant que tel, il est
prudent pour l'équipe TACCP/VACCP de comprendre les menaces potentielles d'une attaque malveillante sur

11
leurs services. Par exemple, si un site de maltage utilise des forages sur place pour l'eau de traitement, l'équipe TACCP/
VACCP doit réfléchir à la manière dont les forages sont protégés contre une attaque malveillante.

D'autres domaines à prendre en compte, en termes de services, sont les systèmes de drainage et de nettoyage ainsi que les entrées d'air

dans des zones telles que les cuves de germination.

6.2.5. Logistique
La logistique est une considération clé pour l'équipe TACCP/VAACP, car dans de nombreux cas, les malteries dépendent du

transport par des tiers. Il s’agit également d’un domaine de la chaîne d’approvisionnement sur lequel la malterie exerce un

niveau de contrôle réduit. L'équipe TACCP/VACCP devra considérer le type d'emballage et de transport utilisé pour ses matières

premières et ses produits finis. Par exemple, le malt transporté en sacs de 25 kg sur palette, dans des camions en vrac ou dans

des conteneurs d'exportation doit être considéré individuellement. Par exemple, un conteneur d'exportation doté de scellés

inviolables pourrait être considéré comme présentant un risque moindre qu'un camion de vrac qui n'est sécurisé que par une

bâche résistante aux intempéries.

6.2.6. Cybercriminalité

L'impact de la cybercriminalité est souvent négligé par une entreprise et, dans certains cas, n'est pas pris en compte dans ses

procédures de gestion des risques. Cependant, la cybercriminalité constitue un problème croissant et il y a eu des incidents où la

cybercriminalité a été utilisée contre des entreprises alimentaires. Par exemple, en juin 2017, une cyberattaque a interrompu la

production d’une usine alimentaire en Tasmanie après que ses systèmes informatiques ont été infectés par un logiciel de

rançon. Les systèmes informatiques de l'usine ont été arrêtés et une rançon a été demandée pour leur restauration. Il est donc

essentiel qu'un membre de l'équipe informatique fasse partie du processus TACCP/VACCP. Voici des exemples de menaces à

prendre en compte en matière de cybercriminalité :

• L'efficacité des systèmes de sécurité et des pare-feu

• Utilisation d'appareils personnels par le personnel sur le lieu de travail

• Sécurité et intégrité des mots de passe du système

• Veiller à ce que l'externalisation du support TIC soit sécurisée et non vulnérable aux attaques.

• Introduction de politiques et de procédures pour sensibiliser aux risques liés à l’infection par des logiciels malveillants

12
7. Développement d’une stratégie d’atténuation
L'équipe TACCP/VACCP, après avoir identifié les menaces qui pèsent sur l'entreprise, devra développer et évaluer des
stratégies d'atténuation pour toutes les menaces et vulnérabilités importantes. Par conséquent, les menaces à forte
probabilité et à fort impact devraient faire l’objet de stratégies d’atténuation élaborées et mises en œuvre.

Les stratégies d'atténuation qui ont été développées doivent être rassemblées et documentées dans un registre
central TACCP/VACCP.

Des contrôles doivent être mis en œuvre sur les matières premières, les emballages, les produits finis, les processus, les locaux, les

réseaux de distribution et les systèmes commerciaux afin de réduire et d'éliminer les menaces.

Les décisions clés nécessitant des changements dans l'entreprise doivent être acceptées et approuvées par
la haute direction.

Après la mise en œuvre, les stratégies d'atténuation doivent être revues pour évaluer si elles ont été efficaces. Si
cela est efficace, l'évaluation du risque pour cette menace peut être abaissée dans l'évaluation des risques
TACCP/VACCP.

8. Horizon Scanning pour détecter les menaces nouvelles et émergentes

Pour que TACCP/VACCP réussisse, il doit y avoir un processus continu d'examen des menaces et des
vulnérabilités, pour comprendre comment elles peuvent changer et s'il existe de nouvelles menaces ou
vulnérabilités pour l'entreprise.

La Food Standards Agency souligne que pour déterminer avec succès les menaces émergentes, une
entreprise doit disposer de quatre éléments en place :

1. Un cadre en place
2. Une stratégie de renseignement qui permet de définir quand et où rechercher les risques émergents
3. Sources de données fiables

4. Intervention humaine qualifiée pour comprendre si les menaces émergentes représentent un risque réel pour

l'entreprise

Pour la plupart des entreprises, s’il existe un plan HACCP, un cadre d’analyse prospective devrait déjà être
en place. Le cadre devrait donc être ajusté pour inclure le TACCP et le VACCP. Cependant, si un cadre n'est
pas déjà en place, une entreprise peut introduire un cadre qui identifie qui est responsable de la collecte
des menaces émergentes et la fréquence à laquelle ils entreprennent cette activité. Le cadre identifie
ensuite le moment où l'équipe TACCP/VACCP est informée des menaces émergentes et le processus par
lequel elle évalue si ces menaces présentent un risque important pour l'entreprise.

Il existe de nombreuses sources d’informations permettant d’effectuer une analyse prospective à la disposition d’une malterie. Certains

d'entre eux peuvent être considérés comme spécifiques à l'industrie, comme le MAGB, Euromalt et Campden BRi. Cependant, les

organismes gouvernementaux tels que l'Agence des normes alimentaires ou l'Autorité européenne de sécurité des aliments sont des

domaines plus généraux de renseignement sur les menaces émergentes.

13
9. Mise en œuvre
L'équipe TACCP/VACCP doit considérer l'impact de la mise en œuvre d'un protocole TACCP/VACCP sur l'entreprise. Après
avoir caractérisé les menaces et les stratégies d’atténuation, ces stratégies doivent être documentées et répercutées
dans l’ensemble de l’entreprise. Par exemple, s'il existe des stratégies d'atténuation qui nécessitent un changement de
processus de déchargement du malt, celles-ci doivent être documentées dans les systèmes qualité existants de
l'entreprise. Le changement de processus doit ensuite être communiqué à tout le personnel opérationnel et aux sous-
traitants susceptibles d'être impactés par les changements de processus.

Le processus de mise en œuvre offre également l'occasion de tester et de remettre en question les stratégies d'atténuation

TACCP/VACCP pour garantir qu'elles fonctionnent comme prévu dans le monde réel.

10. Enregistrement et documentation

Le protocole TACCP/VACCP doit être enregistré de manière appropriée en tenant compte de :

• Les procédures sensibles pour l’entreprise qui pourraient devoir être modifiées.

• Dossiers des réunions d'examen du TACCP/VACCP et de toutes les décisions pouvant découler de ces
réunions.
• Des diagrammes de flux de processus complets qui devront être documentés et maintenus.

• Des journaux d'incidents doivent être tenus pour les occasions où une menace a été proférée contre l'entreprise.

• Exercices de formation menés par l'entreprise pour tester l'efficacité du plan TACCP/VACCP.

Il est clair que la documentation TACCP/VACCP ferait partie du système de gestion de la qualité
existant des malteries.

11. Vérification et examen

Le plan TACCP/VACCP doit être considéré comme un document dynamique et évolutif, car les menaces
posées à une entreprise évolueront avec le temps. Il est donc essentiel qu'un processus soit mené par
lequel l'équipe TACCP/VACCP examine systématiquement le plan TACCP/VACCP. Le processus devrait
inclure un examen de ce qui est actuellement en place en termes de menaces caractérisées et de stratégies
d'atténuation utilisées.

Tous les incidents survenus depuis le dernier examen doivent être examinés minutieusement pour déterminer si les
stratégies d'atténuation employées étaient suffisantes pour réduire ou supprimer l'impact de la menace.

Dans le cadre du processus d'examen, il convient de tenir compte de l'activité d'analyse prospective qui a été introduite.
Ceci est fait pour mettre en évidence si de nouvelles menaces ont été identifiées qui pourraient présenter un risque pour
l'entreprise.

Des audits réguliers doivent être menés pour valider que les stratégies d’atténuation des menaces ont été pleinement mises en

œuvre.

14
12. Lectures complémentaires

Les documents suivants sont recommandés pour une lecture supplémentaire lors de la mise en œuvre d'un
protocole TACCP/VACCP.

Campden BRI TACCP/VACCP : Évaluations des menaces et de la vulnérabilité – Fraude alimentaire et défense alimentaire. Un

guide pratique (deuxième édition)

Spécification publiquement disponible (PAS) 96 : 2017 Guide pour protéger et défendre les aliments et les boissons
contre les attaques délibérées. Publié par BSI Standards Limited 2017. ISBN 978 0 580 98099 2

15