23 Février 2018
PFD© FAQ n°4 - Food Defense evolutions

 
 
 
 >PFD FAQ 4 - 200218.pdf 
 
 
 
 
 
         
   

Quelles nouveautés à l’horizon ? / What’s new to come ?

   
         
 
 

 

Cette quatrième FAQ est tout d’abord l’occasion de vous remercier de votre confiance. Vous êtes désormais plus de 880 utilisateurs du PFD© depuis son lancement en novembre 2011. 

Mais elle vise surtout à vous informer de deux évolutions récentes qui peuvent impacter votre Plan Food Defense :

  • En premier lieu la modification d’orientation méthodologique imprimée par la FDA aux Etats-Unis fin 2017 dans le cadre de la loi FSMA
  • Et de manière plus spécifique la parution d’une nouvelle version du Guide d’Hygiène Informatique de l’ANSSI (Agence Nationale [Française] de la Sécurité des Systèmes d’Information) en septembre 2017.

Ces évolutions ne remettent absolument pas en cause la pertinence de l’outil PFD© comme réponse méthodologique aux exigences des standards de certification et de la règlementation export des Etats-Unis, mais il nous semble important de les prendre en considération dès aujourd’hui afin de mieux anticiper l’avenir.

 

This fourth FAQ is first an opportunity to thank you for your trust. You are now more than 880 users of the PFD© since its launch in November 2011.

But above all it aims at informing you of two recent developments that may impact your Food Defense Plan:

  • In the first place, the modification of the methodological orientation initiated by th US FDA the end of 2017 in the context of the FSMA law
  • And, more specifically, the publication of a new version of the ANSSI's* Guidelines for a Healthy information System in September 2017.

These evolutions do absolutely not decrease the relevance of the PFD© tool as a methodological answer to the requirements of the certification standards and US export regulation, but it seems important to us to take them into consideration today in order to better anticipate the future.

*ANSSI: French National Agency for Information Systems Security

 
   
 
         
   

1. PFDv2.0 vs Food Defense Plan Builder : la fin de CARVER ? / PFDv2.0 vs. Food Defense Plan Builder: The End of CARVER?

   
         
 
 

La FDA (Food & Drug Administration) fut la première à proposer un outil méthodologique clef-en-main pour aider les entreprises agroalimentaires à construire un plan de Lutte contre la malveillance visant la chaîne alimentaire (Food Defense) ; la méthode CARVER+Shock constituait alors la méthode de référence.

Si elle s’avère très lourde à mettre en place telle qu’elle était initialement proposée, cette approche contient néanmoins quelques principes intéressants que nous avions « embarqué » dans notre PFD© en simplifiant les critères de mise en œuvre.

Par ailleurs la « Final Rule » de la loi FSMA (cf. Exarisinfo n°74) relative à la maîtrise de l’altération  intentionnelle, applicable à compter du 26 juillet 2019, ne fait plus référence à la méthode CARVER. Ainsi depuis fin 2017 toutes les références à cette méthode ont progressivement disparu des publications de la FDA qui, dans la nouvelle version de son outil « Food Defense Plan Builder », a simplifié son approche:

  • L’entreprise commence par évaluer ses « mesures de maîtrise globales » (Broad Mitigation Strategies), cohérentes avec l’étape « Diagnostic » de notre méthode
  • Puis s’intéresse plus spécifiquement aux étapes « Vulnérables » et « Accessibles » des process de fabrication (ou activités connexes telles que les énergies) en proposant des « mesures de maîtrise Spécifiques » (Focus Mitigation Strategies), les 5 autres critères de la méthode CARVER+Shock étant abandonnés.

Si l’expérience révèle que ces mesures de maîtrise spécifiques sont fortement redondantes quelle que soit l’étape étudiée, et pour la plupart couvertes par les mesures globales que l’on retrouve dans l’onglet Diagnostic du PFD©, il convient de reconnaître que l’identification plus précise des équipements « vulnérables » au sein des « zones sensibles » pourrait présenter une valeur ajoutée.

Dans l’attente d’une version ultérieure du PFD© qui intègrerait un niveau de précision additionnel dans l’onglet « Zones Sensibles » vous pouvez dès aujourd’hui anticiper cette évolution en listant les équipements les plus vulnérables dans la colonne « commentaires » de l’onglet « Zones Sensibles », pour toutes les zones effectivement identifiées comme sensibles.

 

The FDA (Food & Drug Administration) was the first to offer a methodological tool to help agrifood business companies to build a Food Defense plan; the CARVER+Shock approach was then the reference method.

 

Although it is very cumbersome to implement as it was initially proposed, this approach nevertheless contains some interesting principles that we had "embarked" in our PFD©, simplifying the criteria for implementation.

In addition, the "Final Rule" of the FSMA law (see Exarisinfo n°74) concerning the control of intentional adulteration, applicable from July 26, 2019, no longer refers to the CARVER method. Since the end of 2017, all references to this method have gradually disappeared from FDA publications, which, in the new version of its "Food Defense Plan Builder" tool, simplified its approach:

  • The company begins by evaluating its "Broad Mitigation Strategies", which are consistent with the "Diagnosis" step of our method
  • Then focuses more specifically on the "Vulnerable" and "Accessible" steps of manufacturing processes (or related activities such as energies) by proposing "Focus Mitigation Strategies", the other 5 criteria of the CARVER+Shock method being dropped.

If experience shows that these specific control measures are highly redundant whatever the step studied, and for the most part covered by the global measures found in the Diagnosis sheet of the PFD©, we shall acknowledge that more precise identification of "vulnerable" equipment within "sensitive areas" could have added value.

While waiting for a later version of the PFD© that would include an additional level of precision in the "Sensitive Zones" sheet, you can already anticipate this evolution by listing the most vulnerable equipment in the "comments" column of the "Sensitive Zones" sheet, for all zones actually rated as sensitive.

 
   
 
         
   

2. Sûreté des Systèmes d’information : nouvelle version du Guide de l’ANSII / Security of Information Systems: new version of the ANSII Guide

   
         
 
 

En parallèle de cette évolution méthodologique une réalité s’impose toujours plus dangereusement aux professionnels : la nécessité de sécuriser au maximum les systèmes d’information.

La v2.0 du PFD© fait référence aux 40 recommandations de la version 1.0 de 2013 du Guide d’Hygiène Informatique de l’ANSSI (Agence Nationale [Française] de la Sécurité des Systèmes d’Information) sans toutefois les détailler. Or d’une part une nouvelle version de ce guide a été publiée fin 2017, contenant désormais 42 recommandations, d’autre part les épisodes récents de hacking d’entreprises impliquent de reconsidérer la part faite au chapitre Sûreté Informatique dans notre PFD© (vous pouvez télécharger le guide en version FR ou EN sur notre page web dédiée, dans la liste des téléchargements).

Les intrusions dans les systèmes d’information auxquelles plusieurs entreprises ont été confrontées fin 2017 ne sont pas traduites par des impacts sanitaires, mais elles auraient pu. Et les conséquences sur la performance de l’entreprise et la motivation des équipes ont dans certains cas été dramatiques (immobilisation d’usines pendant plus d’une semaine, perte massive de données, emails intégralement effacés…), bien que peu de publicité en ait été faite.

La version 2017 du Guide de l’ANSSI contient désormais 42 règles qui intègrent davantage la mobilité (connexions via des appareils mobiles multiples, connexions à distance…) en cherchant à mieux la maîtriser plutôt qu’à l’interdire.

Nous n’excluons pas, à terme, de donner davantage de poids à notre chapitre « Sûreté Informatique », en cohérence avec les 42 recommandations du Guide ANSSI v2 ; dans l’attente nous vous invitons fortement à vérifier auprès de vos experts en Systèmes d’Information qu’ils ont bien  étudié ce guide, quitte à leur transmettre le cas échéant !

 

In parallel with this methodological evolution a reality reveals more dangerous for professionals day after day: the need to secure the information systems as much as possible.

The PFD © v2.0 refers to the 40 recommendations of the version 1.0 of 2013 of the Guidelines for a Healthy information System published by ANSSI (French National Agency for Information Systems Security) without however detailing them. But on one hand a new version of this guide was published at the end of 2017, which now contains 42 recommendations, on the other hand, recent episodes of companies hacking imply reconsidering the importance of Information systems Security in our PFD© (you can download the guidelines in English version on our dedicated web page, in the downloads list).

The intrusions into the information systems that several companies faced in late 2017 did not cause any food safety related issues, but they could have. And the consequences on the performance of the company and the teams motivation have in some cases been dramatic (immobilization of factories for more than a week, massive loss of data, emails completely erased...), although little publicity has been made.

The 2017 version of the ANSSI Guide now contains 42 rules that integrate more mobility (connections via multiple mobile devices, remote connections ...) by seeking to better control rather than prohibit it.

We do not exclude to give more weight to our chapter "Information Systems Security" in the near future, in consistency with the 42 recommendations of the ANSSI v2 Guide; in the meantime, we strongly invite you to check with your Information Systems experts that they have thoroughly studied this guide (or any equivalent)!

 
   
 
         
   

Conclusion

   
         
 
 

L’anticipation et la maîtrise des risques est un combat de tous les jours. Si la prévention de la malveillance demeure une préoccupation majeure, elle n’est toutefois pas la vocation première des entreprises agroalimentaires. La maîtrise des risques induits passe par des mesures de sûreté ajustées aux menaces et au contexte de l’entreprise, établies sur la base d’outils méthodologiques qui doivent être bien sûr efficaces mais rester aussi simples que possible. Les évolutions que nous venons de souligner sont de nature à faire évoluer notre PFD©, mais sans précipitation...

 

Anticipation and risk control is an everyday struggle. If prevention of malevolent acts remains a major concern, it is not the primary purpose of agrifood businesses. Controlling the risks involves security measures tailored to the threats and the context of the company, established on the basis of methodological tools that must of course be effective but remain as simple as possible. The evolutions that we have just highlighted are likely to change our PFD©, but with no hurry ...

 
   
 
Exaris

Siège social
20, boulevard Pierre Raunet
94370 Sucy-en-Brie

Tél. +3 (0)9 51 19 32 12
Fax +33 (0)9 56 19 32 12
Nous contacter