Risques

Sûreté alimentaire, sûreté numérique : se prémunir des malveillances

L’ensemble des opérateurs de la chaîne alimentaire peut avoir intérêt à se protéger des malveillances qui sont des menaces potentielles pour les produits ou l’entreprise. La food defense ne suffit pas. Explications.

Publié le 22 juin 2018 - Par Sylvie Carriat

La malveillance dans les entreprises agroalimentaires peut prendre une forme spécifique puisque l’aliment peut être vecteur d’une contamination. À petite ou grande échelle, la santé des consommateurs ou la réputation de l’entreprise sont en jeu. La malveillance peut aussi viser à détourner les consommateurs des produits d’une industrie agroalimentaire (IAA). Les entreprises agroalimentaires sont sensibles aux questions de maltraitance animale ou de composition des produits.

La food defense, discipline importée des États-Unis, veille à mettre l’outil de production à l’abri de toute malveillance interne ou externe. Les entreprises certifiées IFS, BRC et FSSC 22000 (sécurité des denrées), selon les nouvelles versions de ces référentiels, comprennent un volet food defense. Elles ont des obligations de moyens : dispositifs de sûreté, de contrôle et de formation. Des moyens bien maîtrisés généralement.

Évolution aux États-Unis

Cependant, les entreprises qui exportent aux États-Unis ou qui ont des sites en Amérique du Nord pourraient faire évoluer leur plan food defense (PFD) à l’initiative de la Food and drug administration (FDA). Le cabinet d’expertise Exaris (dont l’outil PFD est adopté par 500 IAA) constate que l’administration américaine simplifie son approche. Elle ne fait plus référence à sa première méthode, Carver + Shock, « très lourde à mettre en place », selon le cabinet. C’est le cas dans les dernières publications de la FDA et dans une nouvelle loi relative à la maîtrise de l’altération intentionnelle applicable à compter du 26 juillet 2019.

Dans sa nouvelle version « food defense plan builder », elle demande à l’entreprise de commencer à évaluer ses « mesures de maîtrise globales » puis de s’intéresser spécialement aux étapes « vulnérables » et « accessibles » des processus de fabrication, abandonnant d’autres critères. Selon Exaris, « l’identification plus précise des équipements “vulnérables” au sein des “zones sensibles” pourrait présenter une valeur ajoutée ».

Selon le contexte dans la nouvelle norme Iso 22000

Alors que les certifications IFS, BRC et FSSC 22000 imposent un dispositif food defense, la nouvelle version Iso 22000 venant de sortir ne l’intègre qu’éventuellement ; elle le fait reposer sur l’analyse de risques pertinente. L’Afnor, représentant français des normes internationales Iso, souligne que la nouvelle Iso 22000 amène les dirigeants de l’entreprise à évaluer les risques au regard du contexte dans lequel celle-ci travaille et de ses rouages. Le contexte est une notion large qui rassemble le profil des consommateurs, la clientèle, la concurrence, l’environnement géographique, les fournisseurs, etc. Les rouages font référence à l’organisation interne. Le contexte comme les rouages déterminent s’il y a lieu de protéger l’outil de malveillances, et de mettre en place les mécanismes de protection importants. Et le moindre changement du contexte ou du fonctionnement peut amener à reconsidérer la sûreté.

Centres de données et prestataires informatiques

La malveillance informatique, ou numérique au sens large, n’est pas spécifique de la chaîne alimentaire, mais c’est un souci croissant. De plus en plus, les marques nationales surveillent ou font surveiller leur réputation sur les réseaux sociaux, au moins pour couper court à des rumeurs nocives. Le piratage informatique, quant à lui, n’est généralement pas ciblé, mais c’est un danger croissant. Il agit à la faveur des failles trouvées dans les systèmes et permet à des délinquants de promouvoir des produits ou des idées, de recruter ou encore de réclamer des rançons. Une clé USB, un « clic » malheureux sur un lien sont des facteurs d’introduction d’un virus ou d’une application.

Les prestataires informatiques se doivent de protéger leurs clients de malveillances dont ils pourraient être les vecteurs. Vif, spécialiste de l’agroalimentaire, procède ainsi. Bruno Denis, responsable de la R & D à Vif, souligne que les services en mode hébergé, sur le cloud, n’entraînent pas de risque particulier, au contraire. « Un data center (centre de données, ndlr) digne de ce nom est plus sûr qu’un système informatique », affirme-t-il.

Les hébergeurs ont des certifications de sûreté, Iso 27001 ou 27002. Le prestataire fait aussi en sorte que ses applications et chacune de ses composantes soient étanches, par des tests de vulnérabilité (des sociétés spécialisées simulent l’action de hackeurs). La sûreté informatique repose aussi sur les mises à jour (des systèmes d’exploitation des serveurs, des systèmes de gestion des bases de données, de l’application), « mais en s’assurant que les correctifs sont bien testés et n’entraîneront pas de pertes de performance », souligne Bruno Denis, responsable des infrastructures.

article .content { display: none; } article .paywall .noscript { text-align: center; padding: 100px 10px 100px 10px; box-shadow: 0px 4px 4px rgba(0, 0, 0, 0.15); background: radial-gradient(circle at 50% 75%, rgba(240, 255, 255, 0.30) 0%, transparent 60%), radial-gradient(circle at 75% 15%, rgba(100, 149, 203, 0.60) 0%, transparent 60%), radial-gradient(circle at 10% 55%, rgba(44, 117, 255, 0.50) 0%, transparent 40%); max-width: 800px; margin: 10px; }