{"id":858,"date":"2011-05-31T16:03:48","date_gmt":"2011-05-31T15:03:48","guid":{"rendered":"http:\/\/www.alpesjug.fr\/?p=858"},"modified":"2011-05-31T16:09:23","modified_gmt":"2011-05-31T15:09:23","slug":"beautiful-security-leading-security-experts-explain-how-they-think-andy-oram-john-viega","status":"publish","type":"post","link":"https:\/\/www.alpesjug.fr\/?p=858","title":{"rendered":"Beautiful Security: Leading Security Experts Explain How They Think (Andy Oram, John Viega)"},"content":{"rendered":"<p><a href=\"http:\/\/oreilly.com\/catalog\/9780596527488\">Beautiful Security: Leading Security Experts Explain How They Think (Andy Oram, John Viega)<\/a><\/p>\n<p>La s\u00e9curit\u00e9 est un sujet toujours amusant et tr\u00e8s imaginatif. Ce livre ne fait pas exception. Il aborde diff\u00e9rents aspects, selon diff\u00e9rents points de vue. En effet, il s&rsquo;agit d&rsquo;un ouvrage collectif.<\/p>\n<p>Comme collectif il pr\u00e9sente des avantages:<\/p>\n<ul>\n<li>on aborde le sujet selon diff\u00e9rents angles<\/li>\n<li>M\u00eame si un ou deux auteurs sont ennuyeux, ca ne gache pas tout<\/li>\n<li>C&rsquo;est comme lire plusieurs livres<\/li>\n<\/ul>\n<p>D&rsquo;un autre cot\u00e9:<\/p>\n<ul>\n<li>On passe par plusieurs introductions et conclusions qui apportent peu<\/li>\n<li>Il y a peu de continuit\u00e9, ni de message global. C&rsquo;est plus une collection d&rsquo;essais arrang\u00e9s et format\u00e9s pour ressembler \u00e0 une histoire unique.<\/li>\n<\/ul>\n<p>Certains essais sont vraiment int\u00e9ressant:<\/p>\n<ul>\n<li>\u00ab\u00a0Psychological security trap\u00a0\u00bb: Certainement quelque chose \u00e0 connaitre. Comment les d\u00e9veloppeurs peuvent \u00eatre amen\u00e9 \u00e0 penser que la s\u00e9curit\u00e9 n&rsquo;est pas une exigence. C&rsquo;est aussi quelque part le cas dans \u00ab\u00a0security by design\u00a0\u00bb et \u00ab\u00a0Forcing firms to focus\u00a0\u00bb mais avec un focus sur le management de projet et les m\u00e9todes.<\/li>\n<li>\u00ab\u00a0Security Metrics\u00a0\u00bb est aussi un aspect parfois mis de cot\u00e9. Il r\u00e9appara\u00eet encore dans d&rsquo;autres essais, mais principalement pour mettre en garde contre le mauvais usage des m\u00e9triques ainsi que l&rsquo;usage de mauvaises m\u00e9triques.<\/li>\n<li>\u00ab\u00a0The evolution of PGP\u00a0\u00bb: un vrai roman. Je ne pensais pas qu&rsquo;ils avaient \u00e9t\u00e9 si loin avec la PKI. Ils ont pens\u00e9 \u00e0 tout, la solution semble r\u00e9ellement aboutie. Mais comme pour le Web S\u00e9mantique, j&rsquo;ai le sentiment qu&rsquo;il manque une large adoption pour \u00eatre utile.<\/li>\n<li>\u00ab\u00a0Oh no, here comes the Lawyer\u00a0\u00bb voil\u00e0 un chapitre qui aurait pu \u00eatre plus d\u00e9velopp\u00e9. L&rsquo;aspect contractuel et l\u00e9gal est le domaine o\u00f9 je sens le plus de lacunes.<\/li>\n<li>\u00ab\u00a0Incident detection\u00a0\u00bb: L\u00e0 il met le doigt o\u00f9 \u00e7a fait mal. L&rsquo;incapacit\u00e9 des techniques actuelles (Firewall, antivirus &#8230;) \u00e0 faire front. C&rsquo;est connu depuis longtemps, mais les choses ne bougent pas beaucoup. Esp\u00e9rons que la demande \u00e9volue et fasse bouger les choses.<\/li>\n<li>\u00ab\u00a0Doing real work without real data\u00a0\u00bb: bonne id\u00e9e. Ca vaut le coup d\u2019impl\u00e9menter si ca convient \u00e0 votre use case. J&rsquo;aime bien les r\u00e9f\u00e9rences compl\u00e8tes qui permettent de peser le pour et le contre.<\/li>\n<li>\u00ab\u00a0Casting spells\u00a0\u00bb encore une solution \u00ab\u00a0sur \u00e9tag\u00e8re\u00a0\u00bb. Ils utilisent une combinaison de Virtualisation, signature et IA pour s\u00e9curiser le poste client. Si ca convient au besoin, pourquoi pas.<\/li>\n<li>\u00ab\u00a0Log handling\u00a0\u00bb certainement une partie essentielle du puzzle.<\/li>\n<li> &#8230; les autres essais exposent des failles de s\u00e9curit\u00e9, des projets comme Honey Client, les probl\u00e8mes de Wireless &#8230;<\/li>\n<\/ul>\n<p>Le livre est destin\u00e9 \u00e0 un large publique. Il ne requi\u00e8re pas de connaissance en programmation ou cryptographie ou protocoles r\u00e9seau. Mais ca aide quand m\u00eame \u00e0 la compr\u00e9hension. Pour autant l&rsquo;expert en retirera quelque chose car on a souvent tendance \u00e0 se sp\u00e9cialiser et l\u00e0 le spectre couvert est assez large.<\/p>\n<p>J&rsquo;ai aussi particuli\u00e8rement aim\u00e9 l&rsquo;introduction ! L&rsquo;id\u00e9e est que trop souvent la s\u00e9curit\u00e9 est abord\u00e9e uniquement du point de vue des failles. On s&rsquo;int\u00e9resse \u00e0 la s\u00e9curit\u00e9 comme \u00e0 une course de F1 qu&rsquo;on regarde en esp\u00e9rant voir un beau crash. Ici la promesse \u00e9tait de mettre le focus sur un beau design, montrer que c&rsquo;est aussi beau qu&rsquo;un crash de voiture.  Bon &#8230; apr\u00e8s lecture il appara\u00eet que ce n&rsquo;est pas \u00e9vident.  Peut \u00eatre aurait-il fallu faire un livre sur le design de protocole ou des architectures d&rsquo;application. Sujets plus difficiles \u00e0 appr\u00e9cier. Enfin, l&rsquo;intention \u00e9tait louable.<\/p>\n<p>Pour conclure, je dirais que ce livre ressemble \u00e0 la s\u00e9curit\u00e9 informatique: elle ne pr\u00e9sente pas une histoire coh\u00e9rente. Et si vous avez \u00e0 \u00e9crire votre propre histoire de s\u00e9curit\u00e9, vous serez mieux arm\u00e9 avec cette collection de 16 essais qu&rsquo;avec une unique perspective, fusse-t-elle coh\u00e9rente.<\/p>\n<p>Et n\u2019oubliez pas: ce livre est disponible \u00e0 la <a href=\"http:\/\/www.alpesjug.fr\/?p=419\">biblioth\u00e8que du JUG<\/a> !<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Beautiful Security: Leading Security Experts Explain How They Think (Andy Oram, John Viega) La s\u00e9curit\u00e9 est un sujet toujours amusant et tr\u00e8s imaginatif. Ce livre ne fait pas exception. Il aborde diff\u00e9rents aspects, selon&#46;&#46;&#46;<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[19],"tags":[],"class_list":["post-858","post","type-post","status-publish","format-standard","hentry","category-livre"],"_links":{"self":[{"href":"https:\/\/www.alpesjug.fr\/index.php?rest_route=\/wp\/v2\/posts\/858","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.alpesjug.fr\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.alpesjug.fr\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.alpesjug.fr\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.alpesjug.fr\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=858"}],"version-history":[{"count":7,"href":"https:\/\/www.alpesjug.fr\/index.php?rest_route=\/wp\/v2\/posts\/858\/revisions"}],"predecessor-version":[{"id":864,"href":"https:\/\/www.alpesjug.fr\/index.php?rest_route=\/wp\/v2\/posts\/858\/revisions\/864"}],"wp:attachment":[{"href":"https:\/\/www.alpesjug.fr\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=858"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.alpesjug.fr\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=858"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.alpesjug.fr\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=858"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}