Cyber Shelf

// Comparaison

Building Secure and Reliable Systems vs Security Engineering : lequel lire ?

Deux livres de cybersécurité sur Security Architecture, comparés honnêtement : à qui s'adresse chacun, ce que chacun fait de mieux, et lequel lire en premier.

Avancé
5/52020
Building Secure and Reliable Systems

Best Practices for Designing, Implementing, and Maintaining Systems

Heather Adkins, Betsy Beyer, Paul Blankinship, Piotr Lewandowski, Ana Oprea, Adam Stubblefield

Les équipes Sécurité et SRE de Google posent par écrit ce qu'il faut vraiment pour construire des systèmes à la fois sûrs et fiables : modélisation des menaces, design reviews, culture du rollback, gestion de crise.

Avancé
5/52020
Security Engineering

A Guide to Building Dependable Distributed Systems

Ross Anderson

Le manuel de référence de Ross Anderson sur la conception de systèmes sûrs : protocoles, contrôle d'accès, canaux auxiliaires, économie de la sécurité, politique publique.

À lire si

Ingénieurs staff et plus, SRE et leads sécurité qui doivent défendre fiabilité et sécurité dans la même réunion. Le livre traite la sûreté de fonctionnement et la sécurité comme une seule discipline d'ingénierie — c'est le bon modèle, et presque personne d'autre ne le publie.
Quiconque conçoit, audite ou gouverne des systèmes dont les défaillances ont des conséquences réelles : banque, santé, vote, télécoms, défense. Le livre de sécurité le plus important jamais écrit, et le rare manuel qui s'améliore à chaque édition.

À éviter si

Lecteurs qui veulent un tutoriel d'outils ou des checklists agnostiques. Les études de cas ont la forme Google et les patterns supposent que vous avez la discipline (postmortems, code review, paved roads) pour les exécuter. Si votre organisation ne peut pas arrêter un déploiement, la moitié du livre paraîtra aspirationnelle.
Lecteurs cherchant un guide d'outils ou un primer rapide pour une certification. Anderson travaille au niveau systèmes et politique ; pour apprendre Burp, ce n'est pas ici. Les 1 200 pages récompensent la lecture patiente, pas le survol.

Points clés

  • Fiabilité et sécurité partagent un substrat commun : concevoir pour des modes de défaillance imprévisibles, et entretenir cette capacité par l'usage.
  • La récupération, pas la prévention, est la compétence centrale des organisations de sécurité matures ; les chapitres rollback, response et recovery sont le cœur du livre.
  • L'essentiel des gains de sécurité vient d'infrastructure ennuyeuse (paved roads, libs sûres par défaut, code review, sandboxing) plutôt que de magie de détection.
  • La plupart des défaillances en production sont économiques et organisationnelles, pas cryptographiques : les incitations façonnent les résultats bien plus que les primitives.
  • Les modèles de menace d'un domaine (banque, télécoms, militaire) se généralisent à un autre quand on sait quoi regarder, et Anderson est le meilleur du domaine pour vous le montrer.
  • Canaux auxiliaires, supply chain et politique publique sont des préoccupations d'ingénierie de premier rang, pas des notes de bas de page.

Comment ils se comparent

Building Secure and Reliable Systems et Security Engineering sont tous deux notés 5/5 dans notre catalogue. Choisissez selon vos préférences thématiques et de style, plutôt que sur la note.

Les deux livres ciblent un public de niveau avancé : le choix se fait sur la thématique, pas la difficulté.

Building Secure and Reliable Systems et Security Engineering couvrent tous les deux Security Architecture, Defensive : les lire dans l'ordre renforce les mêmes notions sous des angles différents.

Continuer la lecture

Building Secure and Reliable Systems

Alternatives à Building Secure and Reliable SystemsQue lire après Building Secure and Reliable Systems

Security Engineering

Alternatives à Security EngineeringQue lire après Security Engineering

Thématiques liées

Security ArchitectureDefensive