Industrialfairs News

Nouvelles

Échange avec Advario à propos des meilleures cyberpratiques dans le domaine de l'it dans un monde OT complexe

INSIGHTZ
26-02-2026

Auteur: Karl D’haveloose

 

 

 

 

Si vous avez raté la conférence que Johan Van Campenhout (Advario) avait donnée à ABISS 2025, vous avez toujours la possibilité d'écouter le podcast d'Indusruptiv & Friends disponible sur Spotify en cliquant ici. Mais pourquoi le feriez-vous ? Eh bien, tout simplement parce que rares sont les entreprises qui expliquent de manière aussi concrète la manière dont il faut aborder globalement l'IT et l'OT pour assurer la cyberrésilience de toutes les opérations, de la chaîne de valeur et de la chaîne d'approvisionnement, et surtout pour veiller à ce que cette cyberrésilience soit maintenue.

 

 

À la suite du débat sur la cybersécurité OT qui s'était tenu il y a peu lors du salon Indumation 2026, j'ai personnellement jugé nécessaire d'approfondir davantage la question complexe des personnes, des processus et de la technologie, en compagnie de Wesley Verhoef, RSSI mondial chez Advario, et – le revoilà ! – Johan Van Campenhout. Un exercice de réflexion qui s'est avéré clairement très instructif...

 

Advario en quelques mots

 

 

Advario est une entreprise qui est issue d'une scission de l'ancienne société Oiltanking et qui se présente comme un spécialiste du stockage axé sur la transition énergétique (fournisseur de stockage d'énergie liquide). Le groupe développe, construit et exploite des installations de stockage et de transbordement de liquides et de gaz pour l'industrie chimique et énergétique. Ces activités concernent de plus en plus de nouveaux vecteurs énergétiques, tels que le méthanol, l’ammoniac vert et les biocarburants. Advario noue des partenariats de long terme avec des acteurs tels que Fluxys et Power2X. Des projets de stockage liés aux carburants d’aviation durables, notamment l’e-SAF, sont également en cours de développement.

 

À l'échelle mondiale, l'entreprise exploite 15 terminaux sur des sites stratégiques, allant d'Anvers Rechteroever (le plus grand, comptant 195 réservoirs) à Singapour, en passant par Oman, mais aussi les États-Unis et même la Chine. 

Malgré la complexité du secteur et l’importance des investissements requis à l’entrée, la concurrence demeure soutenue. Advario mise résolument sur la fiabilité, la sécurité et la flexibilité. L’ensemble du volet sûreté et sécurité revêt une importance primordiale pour un acteur du stockage d’énergie liquide tel qu’Advario.

 

Advario, un cyber-État souverain

Combinez les perturbations qui affectent les chaînes d'approvisionnement et les bouleversements géopolitiques, qui constituent les principaux facteurs d'incertitude, et vous obtenez le terrain d'entraînement idéal pour une approche très réfléchie de la cybersécurité OT et IT. Depuis l'invasion russe en Ukraine, par exemple, le terminal finlandais est moins actif depuis l'arrêt des approvisionnements russes, ce qui montre bien que la situation peut basculer en un rien de temps.

 

Je vais maintenant laisser la parole à mes deux interlocuteurs, qui interviennent à deux niveaux différents. Verhoef abordera d'abord la question de la cybersécurité sous un angle stratégique, tant au niveau informatique (IT) qu'opérationnel (OT), tandis que Van Campenhout se concentrera davantage sur le déploiement et la surveillance de toutes les cyberpratiques OT dans les terminaux.

 

Verhoef se penche tout d'abord sur le volet géopolitique. "Advario a des clients partout dans le monde qui, d'une part, ne sont pas nécessairement amis entre eux et, d'autre part, appliquent leurs propres réglementations en matière de cyberrésilience. Il est tout à fait évident que les exigences et les règles de la législation américaine en matière de cybersécurité visent principalement à limiter le risque chinois, et inversement, que la Chine se concentre sur le risque américain." Le RSSI estime donc qu'Advario ne doit pas simplement baser sa propre stratégie sur les règles en vigueur en Belgique, en Europe, aux États-Unis et en Asie. "Notre groupe se positionne comme un pays qui doit développer sa propre cyberstratégie responsable et fixer des exigences aussi élevées que possible, de manière à pouvoir gérer à la fois ses propres risques et ceux de ses clients", déclare d'emblée Verhoef.

 

"En Belgique, nous allons devoir nous conformer à la directive NIS2 le plus rapidement possible", poursuit le RSSI. "La directive NIS2 met notamment l'accent sur le risque que représente chaque cyberincident pour la société. Mais nous estimons qu'il faut également tenir compte des risques économiques, opérationnels et commerciaux qu'implique un incident. De plus, selon la directive NIS2, nous n'appartenons pas à la catégorie où les risques sont les plus élevés, c'est-à-dire celle où un incident entraînerait la paralysie totale du port. Il est néanmoins dans notre propre intérêt stratégique de vouloir placer la barre plus haut que ne le fait n'importe quelle réglementation régionale, y compris la directive NIS2. Car si nous y parvenons, nous pourrons nous conformer à n'importe quelle réglementation au niveau mondial."


Selon Verhoef, la plupart des réglementations et législations régionales ont avant tout une fonction incitative : elles constituent un levier destiné à contraindre les entreprises « qui ne sont pas en ordre » à atteindre un niveau de base, dans l’intérêt de la résilience nationale et européenne. Pour les organisations disposant d’un programme de cybersécurité mature, il s’agit plutôt d’opportunités relativement accessibles, de « quick wins ». Il souligne qu'Advario en est à un stade beaucoup plus avancé et doit se concentrer sur des normes internationales plus strictes telles que le cadre de cybersécurité du NIST, diverses certifications ISO pour le domaine IT et, pour le domaine OT, la norme IEC62443 (qui constituent d'ailleurs généralement la base des réglementations régionales telles que NIS2). Cette dernière se concentre spécifiquement sur la disponibilité et la sécurité des systèmes industriels (Industrial Automation and Control Systems ou IACS). Dans un terminal, cela signifie que les pompes, les vannes et les capteurs doivent continuer à fonctionner à tout moment, même en cas d'attaque numérique. Selon l'hémisphère et la région politique, on peut rapidement tomber sur d'autres critères, tels que la localisation des données et l'isolation.

 

À propos des personnes, des processus et des technologies

Lors du débat sur la cybersécurité OT organisé dans le cadre du salon Indumation 2026, une attention particulière a été accordée aux personnes, aux processus et aux technologies, qui constituent les trois piliers de toute stratégie de cybersécurité efficace. J'ai donc demandé à mes deux interlocuteurs de me faire part de leur avis sur chacun de ces piliers.

 

 

Lors du débat sur la cybersécurité OT organisé dans le cadre du salon Indumation 2026, une attention particulière a été accordée aux personnes, aux processus et aux technologies, qui constituent les trois piliers de toute stratégie de cybersécurité efficace. J'ai donc demandé à mes deux interlocuteurs de me faire part de leur avis sur chacun de ces piliers.

 

Verhoef s'oppose au consensus général selon lequel le facteur humain représenterait avant tout un 'risque'. Pour lui, l'être humain reste en effet l'atout le plus important dans toute stratégie de défense contre les incidents de ce type. Pour étayer sa thèse, il affirme que presque toutes les menaces techniques sont déclenchées par les méthodes opportunistes habituelles, allant des e-mails d'hameçonnage à cet autre grand classique qu'est l'utilisation de clés USB provenant de tiers. Pour Advario, l'employé est d'ailleurs aussi le meilleur moyen d'identifier toutes les tentatives d'attaques possibles, qu'elles soient virtuelles (en ligne) ou physiques (sur site). Verhoef accorde dès lors une grande importance à la formation des employés afin qu'ils atteignent le plus haut niveau de sensibilisation.

 

Selon Van Campenhout, tout l'art du service informatique consiste à être aussi ouvert que possible à toute question. "Aucune question n'est ridicule, et aucun employé ne se fait jamais pointer du doigt de manière condescendante s'il n'a pas réagi correctement à un test de phishing", explique-t-il pour illustrer son propos.

 

L'accessibilité et les processus adéquats permettant de traiter chaque question, chaque signalement ou chaque demande de renseignements sont des éléments essentiels. Lorsqu'il faut réagir très rapidement, cela ne se fait pas à l'aide d'un simple ticket, mais bien via un appel direct entre un membre du service informatique, Van Campenhout ou Verhoef.

 

Van Campenhout souligne encore une fois la pénurie de personnel dûment formé et possédant les connaissances requises dans ce domaine. La constitution et la formation d'une équipe gagnante dans les domaines de l'IT et des OT au niveau des terminaux est une nécessité, mais aussi un défi.

 

La vie au bureau et au terminal : deux mondes et deux rythmes différents

Van Campenhout souligne une fois de plus que le monde de l'informatique et celui des terminaux sont très différents. Le processus, défini de manière extrêmement rigoureuse par les équipes informatiques, est souvent totalement absent dans le monde de l'OT. On n'y accède d'ailleurs pas de manière standard, comme pour les emplois informatiques, avec les RH qui recrutent les personnes, le service informatique qui leur attribue une identité, des droits d'accès, l'accès à certaines données, etc. Dans l'OT, on accepte les personnes en fonction de besoins différents, et il n'existe pratiquement pas de véritable procédure pour attribuer des compétences, des niveaux et des droits d'accès.

 

 

Verhoef estime que l'industrie est à la traîne en matière d'automatisation et de cybersécurité. Il existe ici deux rythmes différents. "Ce qui est une évidence depuis des années dans le domaine informatique, et pour quoi il existe des procédures partout, demeure un terrain inconnu pour l'industrie connectée, qui évolue très rapidement, avec tous les problèmes de sécurité que cela implique", poursuit Van Campenhout. L'Internet des Objets, la connectivité et l'accès numérique aux données et à la surveillance vont de pair avec une vulnérabilité accrue. Une personne qui passe une commande n'envoie plus de fax, mais passe sa commande en ligne, après quoi, une fois la validation nécessaire effectuée, un processus entièrement opérationnel, allant du dosage aux opérations d'actionnement des vannes et des pompes, est lancé.

 

Pour Van Campenhout, le plus grand défi consiste à trouver ou à former des collaborateurs OT disposant de connaissances suffisantes en informatique et en cyberrésilience pour pouvoir travailler en toute sécurité dans un environnement OT. En tant qu'intervieweur très critique, j'aime bien renvoyer la balle à mes interlocuteurs, d'où ma question suivante adressée tant à Van Campenhout qu'à Verhoef : "Ne serait-il pas temps que les personnes ayant suivi une formation en informatique et travaillant dans l'industrie acquièrent des connaissances de base spécifiques sur le fonctionnement réel d'un environnement OT ?"

 

Verhoef prend un instant pour réfléchir à cette idée et avoue que, dans l'industrie aussi, les RSSI ont généralement une formation purement informatique. Il est en effet rare de voir un RSSI qui a commencé comme ingénieur ou opérateur et qui a ensuite suivi une formation en informatique. Pour un informaticien, il est difficile d'accepter l'idée qu'il est tout simplement impossible de patcher et de redémarrer une usine en pleine production. Le patching automatique, par exemple, tel qu'il est mis en œuvre dans de nombreuses entreprises, n'est possible dans une installation de production que si vous disposez d'une structure redondante partout (c'est-à-dire si vous disposez d'une pompe ou d'une vanne de secours pour chaque pompe ou vanne qui cesse de fonctionner pendant les opérations de patching). Mais les systèmes redondants ont bien sûr un coût : vous avez besoin d'au moins deux API contrôlables séparément sur votre commutateur pour pouvoir continuer à commander cette pompe. Et pendant ce temps, votre opérateur doit également pouvoir continuer à vérifier visuellement sur votre interface SCADA que le processus se déroule sans faille.

 

Pour être plus précis, l'OT se concentre sur la disponibilité, tandis que l'IT se concentre sur la confidentialité. On peut dire qu'il s'agit de deux principes très différents dans un environnement industriel automatisé de plus en plus complexe.

 

Du pragmatisme à une documentation rigoureuse

Dans le volet 'Processus', le terme 'documentation' est revenu à plusieurs reprises au cours de l'entretien. "Avec une politique de cybersécurité OT stricte, le pragmatisme associé à une bonne collaboration humaine disparaît", sourit Verhoef. "Et c'est là qu'interviennent les tests, la documentation, le respect des procédures, etc." Dans le monde du pétrole, du gaz et de la chimie, de nombreux plans et procédures de sécurité existent déjà. Tout l'art consiste donc à intégrer à la perfection les plans d'intervention en cas d'incident de cybersécurité dans ces procédures existantes. Il faut à tout prix éviter que les services IT et OT mettent soudainement en œuvre des plans d'action différents en cas d'incident de sécurité (fuite, incendie, explosion, intrusion, etc.), car cela provoquerait une situation complètement chaotique.

 

 

Van Campenhout conseille d'éviter que les équipes OT se mettent à vouloir réinventer la roue. De leur côté, les équipes IT appliquent des procédures strictes, p. ex. pour l'attribution des mots de passe ou la gestion des niveaux d'accès et de décision. Les équipes OT doivent donc simplement apprendre à s'aligner sur ces procédures. Au niveau de la cybersécurité, il existe déjà une grande expertise pour chaque secteur, qui peut servir de base à votre propre entreprise. Tout l'art consiste à faire en sorte que les services OT s'alignent sur des procédures, des normes et des actions déjà bien validées.

 

L'efficacité de votre plan d'intervention en cas d'incident ne peut être vérifiée qu'en effectuant régulièrement des tests sur site. Dans le cas d'Advario, qui est une entreprise SEVESO, il peut s'agir d'un exercice individuel obligatoire, ou d'un exercice imposé par l'autorité portuaire elle-même, qui élabore plusieurs scénarios (incendie, explosion, cyberincident, accident, etc.).

 

Une Rolls-Royce, ou finalement plutôt une Volvo (au-delà du marketing)

Chaque entreprise a ses propres budgets, ses propres collaborateurs et ses propres risques spécifiques. Avec le budget qui vous est alloué, vous devez avant tout être en mesure de répondre aux priorités de votre type d'entreprise. En tant que RSSI, vous devez adopter une attitude très critique vis-à-vis du paysage concurrentiel des fournisseurs. Tout l'art consiste à garder les pieds sur terre, à ne pas se laisser influencer par le marketing et à définir les exigences qui sont soit essentielles, soit superflues pour votre budget et votre secteur. Entourez-vous d'une équipe de partenaires triés sur le volet et qui comprennent votre budget, votre profil de risque et les fonctionnalités dont vous avez besoin. C'est avec ces personnes que vous pourrez ensuite aller de l'avant.

 

Dans de nombreux cas, votre département ne débloquera pas immédiatement les budgets les plus généreux, jusqu'à ce qu'un incident se produise, et là, soudainement, les fonds seront débloqués. Avec le recul, c'est bien sûr fort regrettable. Mais d'un autre côté, comme l'explique Verhoef, l'objectif actuel n'est pas vraiment de consacrer immédiatement des budgets à l'IA agentique sur les systèmes OT.

 

Verhoef et Van Campenhout sont des consultants externes qui, entre autres, doivent également regrouper de manière optimale leur expertise multidisciplinaire en équipe pour Advario.

 

Van Campenhout soutient que les intégrateurs sont indispensables dans la plupart des entreprises, mais il nuance immédiatement son propos en précisant qu'en principe, chaque entreprise doit disposer d'une personne possédant les connaissances internes nécessaires pour décider du rôle que devra jouer cet intégrateur. La plupart des intégrateurs ont une bonne maîtrise de la programmation des API, mais pas de la cybersécurité. Aujourd'hui, on voit donc apparaître de nombreuses petites entreprises qui proposent de combler cette lacune, réalisent des analyses d'écarts à des tarifs conséquents, mais ne sont pas vraiment en mesure de mener à bien le déploiement. Verhoef abonde dans ce sens et ajoute que l'intégrateur idéal pour Advario est celui qui possède les compétences nécessaires pour concrétiser les idées développées par Advario. L'entreprise a déjà mis en place les meilleures pratiques et architectures, mais ce qui fait défaut, ce sont les personnes chargées d'installer le câblage, les commutateurs, les systèmes de contrôle d'accès et de vidéosurveillance et autres sur le terrain. En d'autres termes, il y a suffisamment de théoriciens, mais pas assez de professionnels de terrain.

 

Wesley Verhoef : tout est une question de stratégie et de prévention, exactement comme sur un terrain de rugby

Wesley Verhoef est un leader senior en cybersécurité et conseiller, doté d’une vaste expérience en stratégie, gestion des risques et pilotage de la mise en œuvre opérationnelle de la sécurité au sein d’environnements complexes et internationaux. 

 

Pour des organisations telles que Capgemini et Accenture, il a dirigé à l’échelle mondiale des programmes de sécurité dans le secteur pétrolier et gazier, incluant des transformations en matière de détection et de réponse, de gouvernance, ainsi que de sécurité cloud et OT. Il a également occupé plusieurs postes de direction, conseillant des équipes multidisciplinaires et traduisant les risques cyber en décisions claires et pertinentes pour l’entreprise.

 

Aujourd’hui, Wesley dirige sa propre société de conseil en cybersécurité, lui permettant de conjuguer sa passion pour le métier avec l’indépendance nécessaire pour maintenir un équilibre sain entre épanouissement professionnel, temps consacré à sa famille et à ses amis, et sa passion sportive pour le rugby. Il pratique ce sport avec plaisir plusieurs fois par semaine et participe systématiquement à un match intense chaque dimanche.

 

Johan Van Campenhout : éliminer avec pragmatisme toutes les dissonances, tout en laissant la musique créer l’harmonie

Johan Van Campenhout : un gestionnaire de projet doté d’une solide expertise technique en E&I, automatisation, infrastructures OT et cybersécurité. Il a commencé sa carrière en tant qu’ingénieur en automatisation, est ensuite devenu ingénieur E&I, avant d’évoluer vers la gestion de projets.

 

En parallèle de son rôle officiel, il occupe aujourd’hui une fonction plus globale, élaborant des plans pluriannuels dans les domaines de l’électricité, de l’automatisation, des infrastructures OT et de la cybersécurité. Il combine profondeur technique et planification stratégique, traduisant des besoins complexes en feuilles de route concrètes et prospectives, qu’il met en œuvre avec des experts internes et externes.

 

La musique constitue sa plus grande passion et représente un exutoire créatif important en complément de ses activités professionnelles.

beschrijving beschrijving beschrijving beschrijving beschrijving beschrijving beschrijving

Actualités connexes

INSIGHTZ
En Belgique, l'ingénierie de pointe et la fabrication hybride de nouvelle génération deviennent réalité
19-03-2026

Lire plus
INSIGHTZ
Connecting every welding dot – le soudage 4.0 façon Valk Welding
29-01-2026

Lire plus
INSIGHTZ
LA FIN DES SALONS CONSACRÉS AUX TECHNOLOGIES INDUSTRIELLES ? – Hann(g)over Europe
18-12-2025

Lire plus
INSIGHTZ
Safran Blades – un centre d’excellence digital porté par un ADN d’innovation
27-11-2025

Lire plus

Ce site web utilise des cookies pour vous offrir une meilleure expérience lorsque vous visitez ce site. En savoir plus sur les cookies