TAPA ou la sécurité des transports de marchandises…vous connaissez ?

Cybersécurité et confiance numérique

Publié le

Si les tapas évoquent pour la plupart d’entre nous ces amuse-bouche que l’on consomme en Espagne avec un long drink, la TAPA, Transported Asset Protection Association , nous parle probablement beaucoup moins…alors, suivez le guide !

Le contexte : une menace persistante et croissante

Dans le courant des années 90, un certain nombre de producteurs de biens de consommation électroniques (Compaq, Intel, Sun Microsystèmes…) ont commencé à s’inquiéter du volume des pertes financières associées au vol de leurs marchandises. À cette époque, l’industrie électronique américaine chiffrait ses pertes pour vol à environ 3 millions de dollars US par an (chiffre estimé à 60 milliards de dollar US aujourd’hui, tous biens manufacturés confondus). Sous l’impulsion de trois responsables de la sécurité industrielle de ces sociétés, l’association TAPA s’est réunie pour la première fois en juin 1997, avec pour objectif de développer des normes et recommandations pour renforcer la sécurité et diminuer les vols.

Que vole-t-on aujourd’hui ? Des produits manufacturés, des produits électroniques de grande consommation, des produits alimentaires et boissons, des métaux, du textile, prêt à porter…Ces produits sont « prélevés » tout au long de la chaîne logistique. L’évolution de la menace est maintenant telle que l’enjeu n’est plus d’éviter le vol, mais de mettre en place des dispositifs afin de minimiser les impacts sur la supply chain et ses acteurs. TAPA fournit ainsi des éléments pour développer une protection active de la chaîne logistique.

TAPA, qu’est-ce que c’est ?

TAPA est un réseau de professionnels composé de membres appartenant à 3 cercles distincts. Le premier cercle regroupe les professionnels qui assurent tout au long de la supply chain des rôles de fabrication, transport, stockage, assurance. Le deuxième cercle comprend des professionnels qui offrent des services de sécurité à ceux du premier cercle. Le dernier cercle regroupe les acteurs du secteur public, les auditeurs sécurité, ainsi que les enseignants et étudiants spécialisés sur le crime organisé / droit / logistique.

Une animation est par ailleurs assurée sur une base régionale (Amérique, Europe / Afrique / Moyen Orient, Asie / Pacifique), au travers de rencontres, les « TAPA « T » meetings ».

TAPA est également un ensemble de normes. La première norme établie par la TAPA est la C-TPAT (2001), qui regroupe un ensemble de recommandations pour améliorer la sécurité des frontières des États-Unis. En 2005 la norme TSR (Trucking Security Requirements) a été diffusée. Elle vise à établir des critères d’évaluation de la sécurité des transports. Cette même année, la norme FSR (Freight Supplier security Requirement) a été élaborée : elle fixe des exigences de sécurité sur l’ensemble de la supply chain. En 2011, la norme FSR a évolué pour se focaliser sur les exigences sécurité des entrepôts : Facility Security Requirement.

Depuis 2011, deux nouvelles normes ont été déployées : l’une (TACSS) pour l’aérien, l’autre pour les Parcs de stationnement (IRU/ transpark).

TAPA est enfin une base de données. Dénommée « IIS » pour « Incident Information Service », cette base répertorie par région les incidents. Elle permet d’identifier les tendances et « zones à risque ». Elle formalise un profil du risque encouru pour chacun de ses membres. Elle constitue également un vecteur d’échange d’informations entre acteurs de la supply chain et agents de protection.

Quels apports du TAPA pour les entreprises ?

Les normes et recommandations TAPA permettent à tout professionnel de se faire rapidement une idée de la maturité sécurité de son organisation. Nous recommandons en particulier la norme FSR 2011 « Freight supplier minimum security requirement » à tout responsable industriel (logistique, fabrication, sécurité), car cette norme permet d’effectuer un balayage large de tous les dispositifs – défenses au sens de J. Reason – qu’il convient de mettre en place.

Nombre de sociétés se focalisent en effet sur les dispositifs techniques et « oublient » qu’au-delà de ces systèmes il convient de mettre en place une organisation et des moyens de traitement de l’information.

En dernier lieu, le volet humain n’est pas oublié. En effet, une organisation industrielle qui ne s’appuie pas sur des hommes sensibilisés, entraînés et formés pour répondre aux menaces quotidiennes, est une organisation vulnérable et faiblement résiliente. Au-delà du caractère « terrain » de ces normes, celles-ci s’inscrivent parfaitement dans toute démarche ISO 28000.