Beautiful Security: Leading Security Experts Explain How They Think (Andy Oram, John Viega)

Beautiful Security: Leading Security Experts Explain How They Think (Andy Oram, John Viega)

La sécurité est un sujet toujours amusant et très imaginatif. Ce livre ne fait pas exception. Il aborde différents aspects, selon différents points de vue. En effet, il s’agit d’un ouvrage collectif.

Comme collectif il présente des avantages:

  • on aborde le sujet selon différents angles
  • Même si un ou deux auteurs sont ennuyeux, ca ne gache pas tout
  • C’est comme lire plusieurs livres

D’un autre coté:

  • On passe par plusieurs introductions et conclusions qui apportent peu
  • Il y a peu de continuité, ni de message global. C’est plus une collection d’essais arrangés et formatés pour ressembler à une histoire unique.

Certains essais sont vraiment intéressant:

  • « Psychological security trap »: Certainement quelque chose à connaitre. Comment les développeurs peuvent être amené à penser que la sécurité n’est pas une exigence. C’est aussi quelque part le cas dans « security by design » et « Forcing firms to focus » mais avec un focus sur le management de projet et les métodes.
  • « Security Metrics » est aussi un aspect parfois mis de coté. Il réapparaît encore dans d’autres essais, mais principalement pour mettre en garde contre le mauvais usage des métriques ainsi que l’usage de mauvaises métriques.
  • « The evolution of PGP »: un vrai roman. Je ne pensais pas qu’ils avaient été si loin avec la PKI. Ils ont pensé à tout, la solution semble réellement aboutie. Mais comme pour le Web Sémantique, j’ai le sentiment qu’il manque une large adoption pour être utile.
  • « Oh no, here comes the Lawyer » voilà un chapitre qui aurait pu être plus développé. L’aspect contractuel et légal est le domaine où je sens le plus de lacunes.
  • « Incident detection »: Là il met le doigt où ça fait mal. L’incapacité des techniques actuelles (Firewall, antivirus …) à faire front. C’est connu depuis longtemps, mais les choses ne bougent pas beaucoup. Espérons que la demande évolue et fasse bouger les choses.
  • « Doing real work without real data »: bonne idée. Ca vaut le coup d’implémenter si ca convient à votre use case. J’aime bien les références complètes qui permettent de peser le pour et le contre.
  • « Casting spells » encore une solution « sur étagère ». Ils utilisent une combinaison de Virtualisation, signature et IA pour sécuriser le poste client. Si ca convient au besoin, pourquoi pas.
  • « Log handling » certainement une partie essentielle du puzzle.
  • … les autres essais exposent des failles de sécurité, des projets comme Honey Client, les problèmes de Wireless …

Le livre est destiné à un large publique. Il ne requière pas de connaissance en programmation ou cryptographie ou protocoles réseau. Mais ca aide quand même à la compréhension. Pour autant l’expert en retirera quelque chose car on a souvent tendance à se spécialiser et là le spectre couvert est assez large.

J’ai aussi particulièrement aimé l’introduction ! L’idée est que trop souvent la sécurité est abordée uniquement du point de vue des failles. On s’intéresse à la sécurité comme à une course de F1 qu’on regarde en espérant voir un beau crash. Ici la promesse était de mettre le focus sur un beau design, montrer que c’est aussi beau qu’un crash de voiture. Bon … après lecture il apparaît que ce n’est pas évident. Peut être aurait-il fallu faire un livre sur le design de protocole ou des architectures d’application. Sujets plus difficiles à apprécier. Enfin, l’intention était louable.

Pour conclure, je dirais que ce livre ressemble à la sécurité informatique: elle ne présente pas une histoire cohérente. Et si vous avez à écrire votre propre histoire de sécurité, vous serez mieux armé avec cette collection de 16 essais qu’avec une unique perspective, fusse-t-elle cohérente.

Et n’oubliez pas: ce livre est disponible à la bibliothèque du JUG !