Les membres de SecurityVibes vous ouvrent leurs tables de chevet. De la gestion du risque à l’histoire des codes secrets, de la psychologie à la manipulation, de la fiction à l’espionnage industriel, ils vous dévoilent leurs lectures favorites. Et l’on y découvre des centres d’intérêts particulièrement riches et variés. Qui a dit que les geeks n’avaient pas de lettres ?

Cette première compilation des Lectures Hautement Recommandées (LHR) de SecurityVibes tombe à point nommé en cette période de fêtes, car elle pourra vous aider par exemple à suggérer à vos proches quelques cadeaux sûrs, de ceux que l’on peut offrir à un expert en sécurité sans se tromper !

En parcourant les lectures de nos membres l’on note une nette préférence pour la gestion du risque et – plus surprenant – la psychologie : comment amener autrui à faire ce que l’on attend de lui ? Peut-être nos RSSI ont-ils bien besoin de faire valider un budget, ou encore d’encourager leurs utilisateurs à ne plus faire n’importe quoi avec leur laptop ?

Ces LHR 2010 ne constituent bien entendu pas une liste exhaustive. Il s’agit en réalité plutôt d’un instantané : il dévoile les ouvrages que nos membres lisent actuellement et apprécient suffisamment pour vous les conseiller. N’hésitez pas à enrichir cette liste de vos lectures favorites en vous rendant dans la discussion ouverte à cet effet !

Mais pour l’heure, découvrons les Lectures Hautement Recommandées de SecurityVibes !

Les généralistes

Schneier on Security, par Bruce Schneier.

Difficile de faire plus généraliste, et moins technique, que la parole du gourou Schneier ! Rien de neuf dans cet ouvrage puisqu’il n’est qu’une compilation d’éditoriaux publiés durant plusieurs années sur son site web. Et pourtant la magie opère toujours : Bruce Schneier y expose des points de vue parfois controversés, y démonte le « prêt-à-penser » sécuritaire, les fausses bonnes idées ou les vrais mensonges, et y dévoile ce faisant un esprit de synthèse que l’on lui envie et une plume bien acérée. Un régal à lire, et un ouvrage très accessible, en plus !

Histoire des codes secrets, par Simon Singh.

Un must, tout simplement ! Une plongée fascinante dans l’histoire et le chiffrement (et pas seulement l’histoire du chiffrement !). L’ouvrage de Simon Singh se lit comme un roman historique et passionnera même les plus réfractaires à la technique. Pour autant l’auteur prend soin d’expliquer de manière claire et concise le fonctionnement et les enjeux du chiffrement. Difficile d’envisager la bibliothèque d’un passionné de SSI sans cet ouvrage !

La Symphonie des nombres premiers, par Marcus du Sautoy.

Essentiels aux techniques de chiffrement modernes, les nombres premiers sont pourtant un mystère que cet ouvrage tente d’explorer. On y parle certes de codes secrets, mais pas seulement. Offert avec l’Histoire des codes secrets ci-dessus il fera un excellent pack chiffrement !

Insidious: How Trusted Employees Steal Millions and Why It’s So Hard for Banks to Stop Them, par BC Krishna et Shirley Inscoe.

Puisque les établissements bancaires n’aiment pas vraiment parler de leurs employés véreux, les auteurs de cet ouvrage le font pour eux. A travers des enquêtes et des interviews, ils dressent le portrait du voleur intérieur : ses motivations, ses techniques… Un recueil très axé sur le domaine de la banque, mais les motivations humaines sont souvent universelles.

Gestion du risque et SMSI

Gestion des risques en sécurité de l’information, par Anne Lupfer.

Sous-titré « Mise en oeuvre de la norme ISO 27005 » l’ouvrage annonce clairement la couleur : la mise en oeuvre d’une politique de gestion des risques grâce à la norme ISO 27005, à travers des scénarios d’incidents réels. A noter que l’auteur est consultante pour le cabinet HSC et qu’elle dédicace très volontiers l’ouvrage sur les nombreux événements SSI auxquels elle participe.

Management de la sécurité de l’information, par Alexandre Fernandez-Toro.

De 27005 on passe 27001 mais l’on reste chez HSC. L’auteur, lui aussi consultant au cabinet, y présente les clés de l’implémentation de la norme ISO 27001 afin de mettre en oeuvre un SMSI (Système de management de la sécurité de l’information). Depuis sa sortie l’ouvrage s’est imposé comme une référence francophone sur le sujet, et l’auteur est lui aussi souvent présent à l’occasion des événements SSI. Offert avec le précédent, c’est un pack à haute valeur formative ajoutée pour tout professionnel de la sécurité.

Risques opérationnels : de la mise en place du dispositif à son audit, par Patrick Merlier, Christian Jimenez et Dan Chelly.

Du risque toujours, mais cette fois-ci dans le domaine bancaire avec la gestion des risques opérationnels. On parlera ici des exigences de normes telles Bâle II, de faillites bancaires et de couverture des risques. Les auteurs y présentent notamment les éléments d’un dispositif de pilotage des risques opérationnels bancaires et les méthodes les plus couramment utilisées dans les établissements. A réserver aux professionnels du monde bancaire, donc !

Gestion de crise

Plan de gestion de crise, par Didier Heiderich.

La crise s’invite sans prévenir. Seule solution pour y faire face efficacement : s’y être préparé. C’est tout l’objet de cet ouvrage, qui aborde le sujet de manière séquentielle : de la mise en place du dispositif au pilotage, à la communication et jusqu’à la sortie de crise. Nous ne sommes pas vraiment dans la SSI, mais trouver cet ouvrage sur la table de chevet des membres de SecurityVibes est bien la preuve que la sécurité est un domaine très transverse dans l’entreprise !

Psychosécu

Petit traité de manipulation à l’usage des honnêtes gens, par Robert-Vincent Joule et Jean-Léon Beauvois.

Quand on vous dit que le RSSI doit aussi être un politique ! Voici un ouvrage destiné à mieux comprendre les mécanismes de la manipulation. Afin de ne plus être (trop) manipulé, peut-être. Mais aussi afin d’encourager ses petits camarades à faire ce qu’on leur suggère. Probablement rien de malveillant venant de tout bon RSSI qui se respecte, mais avouez qu’il y a tout de même des comportements que vous aimeriez bien voir disparaître chez vos utilisateurs (noter ses mots de passe sur un post-it, par exemple ?). Ou certains budgets que vous aimeriez bien voir débloqués ? Ou encore certains DSI que vous aimeriez voir plus coopératifs ? Bref, un soupçon de finesse dans les rapports humains ne nuira probablement à personne…

La soumission librement consentie : Comment amener les gens à faire librement ce qu’ils doivent faire ? par Robert-Vincent Joule et Jean-Léon Beauvois.

Par le même duo d’auteurs que l’ouvrage précédent, et sur le même sujet. Même cause, même punition. Les managers en souffrance vont adorer.

Machiavel – Leçons de réalisme pour devenir un fin stratège, par Tim Phillips.

Véritable manuel de survie dans l’entreprise, l’ouvrage s’adresse avant tout aux dirigeants et cadres supérieurs. L’auteur s’appuie sur les enseignements prodigués par Machiavel dans son Prince et montre en quoi ils sont toujours d’actualité dans le monde de l’entreprise moderne. Que l’on aime ou que l’on déteste l’idée, il faut reconnaître que l’approche a le mérite d’être originale. C’est le cadeau idéal pour le geek trop gentil promu RSSI et propulsé par accident dans les sphères politiques de l’entreprise.

Managing the Human Factor in Information Security: How to Win Over Staff and Influence Business Managers, par David Lacey.

Toujours un ouvrage légèrement manipulateur, mais celui-ci directement lié à la SSI. L’auteur y présente les approches et les techniques que le RSSI peut employer afin de faire accepter la politique de sécurité par ses utilisateurs, ou motiver les métiers a prendre en compte la sécurité dans leurs développements.

Pratique

Professional Penetration Testing: Creating and Operating a Formal Hacking Lab, par Thomas Wilhelm.

Un manuel pour devenir pentester professionnel, rien de moins ! C’est en tout cas l’ambition affichée du livre de Thomas Wilhem. De la mise en place de son petit laboratoire de tests d’intrusion à la rédaction des rapports, en passant par la prestation d’intrusion elle-même, l’éthique, la gestion de projet ou les métriques sécurité, l’ouvrage se veut complet. Il est d’ailleurs accompagné d’un DVD qui présente quelques manipulations en images.

OWASP Testing Guide v3, par l’OWASP.

Certes le guide date de 2008 et la version 4 est attendue sous peu. Certes il ne couvre que les applications web. Mais le guide de l’OWASP est une référence du genre et il est gratuit, alors pourquoi bouder notre plaisir ? Près de 350 pages d’injections en tout genre, de fuzzing, mais aussi de méthodologie, ainsi que la présentation du framework de tests de l’OWASP font de ce guide une somme à mettre entre toutes les mains : celles des pentesters, bien entendu, mais aussi celles des développeurs web afin qu’ils fassent preuve d’un minimum d’hygiène sécuritaire dans leurs développements !

The IDA Pro Book: The Unofficial Guide to the World’s Most Popular Disassembler, par Chris Eagle.

Attention, c’est du lourd ! Non seulement parce qu’il s’agit d’une bible de 640 pages, mais surtout parce que l’ouvrage de Chris Eagle est considéré comme la seule référence adoubée par l’auteur du désassembleur IDA Pro. Méfiance cependant : les passionnés du reverse engineering ne sont pas si nombreux que ça, et cet ouvrage sera strictement inutile aux autres. Alors ne vous trompez pas de cible si vous devez l’offrir en cadeau ! Mais pour qui parle couramment l’assembleur dans le texte et doit disséquer des codes malveillants, IDA Pro est l’arme ultime. Et ce guide indispensable, donc.

Intelligence Economique

Petit Traité d’Attaques Subversives Contre les Entreprises : théorie et pratique de la contre-ingérence économique, par Emmanuel Lehmann et Franck Decloquement.

Plongée réaliste dans le monde de l’espionnage industriel et de la guerre secrète que se livrent les entreprises. Débauches déloyales, matériel d’écoute, dénigrement, vol de secret industriels… Les auteurs y présentent les techniques, les outils et les pratiques courantes. Ils offrent en outre des règles de protection contre ces manoeuvres.

Fiction

Daemon, et sa suite, Freedom, de Daniel Suarez, sont les seules oeuvres de fiction trouvées sur la table de chevet de nos membres. Mais à en juger par les critiques dithyrambiques que l’on peut en lire, quelles oeuvres ! Une histoire de programmeur de jeu vidéo décédé, de développeurs qui disparaissent et de fin du monde, tout simplement. « Si vous aimez l’Intelligence Artificielle le chiffrement, les réseaux, le jeu vidéo et les technologies Internet, alors vous adorerez Daemon / Freedom« , commente un lecteur sur Amazon.com. Voici un portrait plutôt fidèle de bon nombre de membres de SecurityVibes, en fait !