Cyber Shelf

// Comparaison

Building Secure and Reliable Systems vs Sécurité informatique : lequel lire ?

Deux livres de cybersécurité sur Security Architecture, comparés honnêtement : à qui s'adresse chacun, ce que chacun fait de mieux, et lequel lire en premier.

Avancé
5/52020
Building Secure and Reliable Systems

Best Practices for Designing, Implementing, and Maintaining Systems

Heather Adkins, Betsy Beyer, Paul Blankinship, Piotr Lewandowski, Ana Oprea, Adam Stubblefield

Les équipes Sécurité et SRE de Google posent par écrit ce qu'il faut vraiment pour construire des systèmes à la fois sûrs et fiables : modélisation des menaces, design reviews, culture du rollback, gestion de crise.

Avancé
4/52013
Sécurité informatique

Principes et méthodes à l'usage des DSI, RSSI et administrateurs

Laurent Bloch, Christophe Wolfhugel

Un traitement orienté principes de la sécurité de l'information pour DSI, RSSI et administrateurs — architecture, cryptographie, défense réseau et politique de sécurité — par deux praticiens français chevronnés.

À lire si

Ingénieurs staff et plus, SRE et leads sécurité qui doivent défendre fiabilité et sécurité dans la même réunion. Le livre traite la sûreté de fonctionnement et la sécurité comme une seule discipline d'ingénierie — c'est le bon modèle, et presque personne d'autre ne le publie.
Administrateurs systèmes, architectes et RSSI qui veulent le raisonnement derrière les décisions de sécurité : pourquoi telle architecture, tel protocole ou telle politique tient ou échoue. Solide sur la vue ingénierie systèmes-et-réseaux.

À éviter si

Lecteurs qui veulent un tutoriel d'outils ou des checklists agnostiques. Les études de cas ont la forme Google et les patterns supposent que vous avez la discipline (postmortems, code review, paved roads) pour les exécuter. Si votre organisation ne peut pas arrêter un déploiement, la moitié du livre paraîtra aspirationnelle.
Débutants cherchant une entrée en douceur, ou lecteurs courant après l'outillage récent — le livre est orienté principes et précède une grande partie de l'ère cloud-native.

Points clés

  • Fiabilité et sécurité partagent un substrat commun : concevoir pour des modes de défaillance imprévisibles, et entretenir cette capacité par l'usage.
  • La récupération, pas la prévention, est la compétence centrale des organisations de sécurité matures ; les chapitres rollback, response et recovery sont le cœur du livre.
  • L'essentiel des gains de sécurité vient d'infrastructure ennuyeuse (paved roads, libs sûres par défaut, code review, sandboxing) plutôt que de magie de détection.
  • Un rare livre français qui explique le pourquoi de l'architecture de sécurité plutôt que de cataloguer des outils.
  • Destiné précisément à ceux qui exploitent l'infrastructure — admins, architectes, RSSI — pas aux red teamers.
  • Les principes vieillissent lentement, mais vérifiez les détails réseau et crypto au regard des pratiques cloud et identité actuelles.

Comment ils se comparent

Nous notons Building Secure and Reliable Systems plus haut (5/5 contre 4/5 pour Sécurité informatique). Pour la plupart des lecteurs, Building Secure and Reliable Systems est le choix principal et Sécurité informatique un complément utile.

Les deux livres ciblent un public de niveau avancé : le choix se fait sur la thématique, pas la difficulté.

Building Secure and Reliable Systems et Sécurité informatique couvrent tous les deux Security Architecture, Defensive : les lire dans l'ordre renforce les mêmes notions sous des angles différents.

Continuer la lecture

Building Secure and Reliable Systems

Alternatives à Building Secure and Reliable SystemsQue lire après Building Secure and Reliable Systems

Sécurité informatique

Alternatives à Sécurité informatiqueQue lire après Sécurité informatique

Thématiques liées

Security ArchitectureDefensive