Cyber Shelf

// Comparaison

Sécurité informatique vs Security Engineering : lequel lire ?

Deux livres de cybersécurité sur Defensive, comparés honnêtement : à qui s'adresse chacun, ce que chacun fait de mieux, et lequel lire en premier.

Avancé
4/52013
Sécurité informatique

Principes et méthodes à l'usage des DSI, RSSI et administrateurs

Laurent Bloch, Christophe Wolfhugel

Un traitement orienté principes de la sécurité de l'information pour DSI, RSSI et administrateurs — architecture, cryptographie, défense réseau et politique de sécurité — par deux praticiens français chevronnés.

Avancé
5/52020
Security Engineering

A Guide to Building Dependable Distributed Systems

Ross Anderson

Le manuel de référence de Ross Anderson sur la conception de systèmes sûrs : protocoles, contrôle d'accès, canaux auxiliaires, économie de la sécurité, politique publique.

À lire si

Administrateurs systèmes, architectes et RSSI qui veulent le raisonnement derrière les décisions de sécurité : pourquoi telle architecture, tel protocole ou telle politique tient ou échoue. Solide sur la vue ingénierie systèmes-et-réseaux.
Quiconque conçoit, audite ou gouverne des systèmes dont les défaillances ont des conséquences réelles : banque, santé, vote, télécoms, défense. Le livre de sécurité le plus important jamais écrit, et le rare manuel qui s'améliore à chaque édition.

À éviter si

Débutants cherchant une entrée en douceur, ou lecteurs courant après l'outillage récent — le livre est orienté principes et précède une grande partie de l'ère cloud-native.
Lecteurs cherchant un guide d'outils ou un primer rapide pour une certification. Anderson travaille au niveau systèmes et politique ; pour apprendre Burp, ce n'est pas ici. Les 1 200 pages récompensent la lecture patiente, pas le survol.

Points clés

  • Un rare livre français qui explique le pourquoi de l'architecture de sécurité plutôt que de cataloguer des outils.
  • Destiné précisément à ceux qui exploitent l'infrastructure — admins, architectes, RSSI — pas aux red teamers.
  • Les principes vieillissent lentement, mais vérifiez les détails réseau et crypto au regard des pratiques cloud et identité actuelles.
  • La plupart des défaillances en production sont économiques et organisationnelles, pas cryptographiques : les incitations façonnent les résultats bien plus que les primitives.
  • Les modèles de menace d'un domaine (banque, télécoms, militaire) se généralisent à un autre quand on sait quoi regarder, et Anderson est le meilleur du domaine pour vous le montrer.
  • Canaux auxiliaires, supply chain et politique publique sont des préoccupations d'ingénierie de premier rang, pas des notes de bas de page.

Comment ils se comparent

Nous notons Security Engineering plus haut (5/5 contre 4/5 pour Sécurité informatique). Pour la plupart des lecteurs, Security Engineering est le choix principal et Sécurité informatique un complément utile.

Les deux livres ciblent un public de niveau avancé : le choix se fait sur la thématique, pas la difficulté.

Sécurité informatique et Security Engineering couvrent tous les deux Defensive, Security Architecture : les lire dans l'ordre renforce les mêmes notions sous des angles différents.

Continuer la lecture

Sécurité informatique

Alternatives à Sécurité informatiqueQue lire après Sécurité informatique

Security Engineering

Alternatives à Security EngineeringQue lire après Security Engineering

Thématiques liées

DefensiveSecurity Architecture