Cyber Shelf

// Comparaison

Security Chaos Engineering vs Security Engineering : lequel lire ?

Deux livres de cybersécurité sur Defensive, comparés honnêtement : à qui s'adresse chacun, ce que chacun fait de mieux, et lequel lire en premier.

Avancé
5/52023
Security Chaos Engineering

Sustaining Resilience in Software and Systems

Kelly Shortridge, Aaron Rinehart

Kelly Shortridge et Aaron Rinehart traitent la sécurité comme une propriété de systèmes adaptatifs complexes : au lieu de prévenir la défaillance, on la simule en continu et on conçoit l'organisation pour apprendre de chaque résultat.

Avancé
5/52020
Security Engineering

A Guide to Building Dependable Distributed Systems

Ross Anderson

Le manuel de référence de Ross Anderson sur la conception de systèmes sûrs : protocoles, contrôle d'accès, canaux auxiliaires, économie de la sécurité, politique publique.

À lire si

Architectes sécurité, SRE et ingénieurs plateforme prêts à abandonner le cadre prévention-d'abord. Particulièrement fort pour les organisations qui pratiquent déjà le chaos engineering pour la fiabilité et veulent étendre la discipline à la sécurité ; le livre est le pont.
Quiconque conçoit, audite ou gouverne des systèmes dont les défaillances ont des conséquences réelles : banque, santé, vote, télécoms, défense. Le livre de sécurité le plus important jamais écrit, et le rare manuel qui s'améliore à chaque édition.

À éviter si

Praticiens en environnements fortement régulés où les fautes intentionnelles en production ne sont pas légales, ou organisations plus petites sans la maturité opérationnelle pour mener des game days en sécurité. Mauvais premier livre de sécurité aussi : il suppose que vous savez ce que sont threat models, blast radius et boucles de rétroaction.
Lecteurs cherchant un guide d'outils ou un primer rapide pour une certification. Anderson travaille au niveau systèmes et politique ; pour apprendre Burp, ce n'est pas ici. Les 1 200 pages récompensent la lecture patiente, pas le survol.

Points clés

  • Sécurité et fiabilité partagent le même problème d'ingénierie racine : maintenir des systèmes complexes dans des bornes tolérables quand la surface de défaillance est non bornée.
  • Decision trees et analyse effort-vs-impact sont des artefacts opérationnalisables, pas du contenu de blog ; le livre apprend à vraiment s'en servir.
  • L'expérimentation continue est plus honnête que les exercices sur table : la production dit ce qui est vrai, les runbooks disent ce que quelqu'un aurait souhaité.
  • La plupart des défaillances en production sont économiques et organisationnelles, pas cryptographiques : les incitations façonnent les résultats bien plus que les primitives.
  • Les modèles de menace d'un domaine (banque, télécoms, militaire) se généralisent à un autre quand on sait quoi regarder, et Anderson est le meilleur du domaine pour vous le montrer.
  • Canaux auxiliaires, supply chain et politique publique sont des préoccupations d'ingénierie de premier rang, pas des notes de bas de page.

Comment ils se comparent

Security Chaos Engineering et Security Engineering sont tous deux notés 5/5 dans notre catalogue. Choisissez selon vos préférences thématiques et de style, plutôt que sur la note.

Les deux livres ciblent un public de niveau avancé : le choix se fait sur la thématique, pas la difficulté.

Security Chaos Engineering et Security Engineering couvrent tous les deux Defensive, Security Architecture : les lire dans l'ordre renforce les mêmes notions sous des angles différents.

Continuer la lecture

Security Chaos Engineering

Alternatives à Security Chaos EngineeringQue lire après Security Chaos Engineering

Security Engineering

Alternatives à Security EngineeringQue lire après Security Engineering

Thématiques liées

DefensiveSecurity Architecture