Partie 1 : Tout ce que nous savions sur la cybersécurité est faux

Chapitre 1 : Cybersécurité : L'illusion de la connaissance
Tout le monde sait ce que signifie le terme « cybersécurité ».
Il est possible de mesurer le niveau de sécurité d'un système.
__Confiance et risque
__menace
Politique de sécurité
__enfin…
La priorité absolue à poursuivre est la sécurité.
La cybersécurité concerne les risques évidents.
Plus les informations sur les cybermenaces sont partagées, meilleure est la situation.
Ce qui compte pour nous compte pour tout le monde
Le produit ○○ nous assurera certainement une sécurité optimale.
Les Macs sont plus sûrs que les PC, et Linux est plus sûr que Windows.
Les logiciels libres sont plus sûrs que les logiciels propriétaires.
La technologie ○○ assurera la sécurité
Le processus ○○ garantira la sécurité
Il existe une sorte de poussière de fée magique qui peut donner un nouveau souffle aux vieilles idées.
Les mots de passe doivent être changés fréquemment.
Croyez et craignez toutes les démos de piratage
Les cyberattaques sont plus faciles que la défense.
La technologie opérationnelle (TO) n'est pas vulnérable
Briser le système est le meilleur moyen de faire mes preuves.
Si vous le pouvez, vous devriez
Plus la sécurité augmente, plus la vie privée s'affaiblit.
Pour en savoir plus

Chapitre 2 : Internet revisité sous l'angle de la sécurité
Tout le monde sait ce qu'est « Internet ».
Une adresse IP identifie un appareil de manière unique.
Internet est géré et contrôlé par une autorité centrale.
Internet est en grande partie statique
Le réseau est statique
Vous savez quels sont vos principaux atouts et où ils se trouvent.
Mon adresse e-mail est privée.
Les cryptomonnaies sont intraçables.
Tout peut être résolu grâce à la blockchain.
Internet est comme un iceberg
Le dark web est exclusivement réservé aux activités criminelles.
L'activité sur le dark web est intraçable.
Un VPN vous rend anonyme.
Un seul pare-feu suffit
Pour en savoir plus

Partie 2 | Cybersécurité et incidents de sécurité : Comprendre la psychologie humaine

Chapitre 3 : Croyances erronées et attentes excessives qui mènent à des menaces
Les humains agissent rationnellement, c'est donc la faute de l'utilisateur !
Nous savons tout ce que vous devez savoir sur la cybersécurité.
La conformité équivaut à une sécurité (parfaite).
L'authentification garantit la confidentialité
À quoi bon essayer si l'on ne peut jamais être en sécurité ?
Je suis trop petit et insignifiant pour être attaqué.
Tout le monde me poursuit
Mes données sont en sécurité car je n'utilise que des sites web de confiance.
La sécurité par ambiguïté est relativement sûre.
L'illusion de visibilité et de contrôle
La clé de la cybersécurité réside dans les cinq 9.
Tout le monde dispose d'une technologie de pointe
Peut prédire les menaces futures
Les agents de sécurité peuvent contrôler les résultats en matière de sécurité.
Tous les mauvais résultats sont la conséquence de mauvaises décisions.
Plus la sécurité est renforcée, mieux c'est.
Les meilleures pratiques sont toujours les meilleures
Puisqu'elle est en ligne, elle doit être vraie ou exacte.
Pour en savoir plus

Chapitre 4 : 20 erreurs qui mènent à de mauvais jugements en matière de sécurité
Erreur de raisonnement par association : corrélation et causalité
L'absence de preuve est la preuve de l'absence.
Le sophisme du pirate informatique idiot
Le sophisme ad hominem
Le sophisme de la généralisation hâtive
Erreur de régression
Erreur de taux de base
Erreur du joueur
Erreurs dans les signes anormaux
L'ignorance des cygnes noirs
erreurs de combinaison et de séparation
effet de biais optimiste
Effet de dotation
erreur de raisonnement sur les coûts irrécupérables
Autres erreurs
Erreur d'appel au monde extérieur
Erreur de citation de preuve douteuse
Erreur de question suggestive
__Faux choix Erreur
__À Quoque Erreur
__Erreur de redéfinition de la question
Pour en savoir plus

Chapitre 5 : 24 biais cognitifs qui exploitent les failles de sécurité
biais comportemental
biais aléatoire
biais de survie
biais de confirmation
biais de confirmation
biais post hoc
biais de disponibilité
biais de preuve sociale
biais de surconfiance
biais à risque nul
polarisation de fréquence
Autres biais
Biais de résultat
biais de décote
biais de proximité
Biais de valeur apparente
__Préjugé de l'épouse
Biais de halo
Biais de surenchère : conscience de supériorité compétitive
Biais d'ancrage
Effet d'allumage
Biais de connaissance
Biais du statu quo
biais __isme
Biais égocentrique
Pour en savoir plus

Chapitre 6 : Systèmes de récompenses et de sanctions pervertis et incitations qui menacent la sécurité
L'objectif d'une entreprise de sécurité est d'assurer la sécurité de ses clients.
Les décisions que je prends en matière de cybersécurité n'affectent que moi.
Les programmes de primes aux bogues éliminent les vulnérabilités exploitables.
L'assurance cybersécurité réduit les risques encourus par les individus.
Les amendes et les sanctions incitent moins les gens à prendre des risques.
Les attaques de représailles contribueront à prévenir la cybercriminalité.
L'innovation accroît les risques d'atteintes à la sécurité et à la vie privée.
Pour en savoir plus

Chapitre 7 : Problèmes et solutions : Le piège de la dichotomie
En cybersécurité, l'échec n'est pas une option.
Chaque problème a une solution
__Le Big Data peut résoudre tous les problèmes.
Il n'existe qu'une seule solution juste au monde.
__Face aux problèmes de cybersécurité, tout le monde doit les résoudre de la même manière.
L'expérience personnelle peut constituer un bon point de départ pour les solutions de cybersécurité.
Le nouveau système est meilleur car il détecte davantage de « choses anormales ».
Tous les processus de sécurité doivent être automatisés.
Les certifications professionnelles ne servent à rien
Un diplôme en informatique est indispensable pour une carrière en cybersécurité.
Les certifications en cybersécurité sont précieuses.
__Il y a une pénurie de personnel en cybersécurité.
Il existe un fossé entre le monde universitaire et la pratique.
Pour en savoir plus

Partie 3 | Problèmes techniques liés à la sécurité : prise en compte de la réalité et du contexte

Chapitre 8 : Métaphores et abstractions sur le cyberespace
Le cyberespace est comme le monde réel
La cybersécurité, c'est comme défendre un château.
Le vol numérique est tout comme le vol physique
Les utilisateurs sont le « maillon faible ».
La cybersécurité est comparable à la médecine ou à la biologie.
La cybersécurité, c'est comme une guerre
Cyber ​​Pearl Harbor
__Cyberarmes
__Cyberterrorisme
Les lois de la cybersécurité sont semblables aux lois du monde physique.
Conseils pour les métaphores et les abstractions
Pour en savoir plus

Chapitre 9 : Droit, systèmes et politiques dans le cyberespace
Le droit de la cybersécurité est similaire au droit du monde réel.
Les lois de ce pays ne s'appliquent pas là où je me trouve.
Cela viole mes droits garantis par le Premier Amendement !
__Ignorance de la loi
__Différentes juridictions
Le code informatique prime sur le code juridique.
La loi peut être facilement convertie en code informatique.
Les législateurs, les organismes de réglementation et les tribunaux en savent suffisamment sur cette technologie pour la réglementer.
__La loi et les tribunaux imposent des restrictions injustes aux promoteurs immobiliers.
Le système judiciaire ne réagit jamais aux cybercrimes.
Des informations peuvent être dissimulées à tout moment par le biais d'un litige.
Les poursuites judiciaires constituent la meilleure réponse à la dissimulation d'une violation de données.
Les conditions d'utilisation n'ont aucune importance
La loi est de mon côté, je n'ai donc rien à craindre.
Pour en savoir plus

Chapitre 10 : Utilisez-vous correctement les outils de sécurité ?
Plus on a d'outils, mieux c'est
Chaque nouvelle menace exige de nouveaux outils
La configuration par défaut est toujours sûre
Un seul outil peut mettre fin à tous les maux.
L'intention se devine à l'outil lui-même.
Les outils de sécurité sont intrinsèquement sûrs et fiables.
Si rien n'est détecté, alors tout va bien.
Le fait que le scanner n'ait rien détecté signifie que nous sommes en sécurité.
Pas d'alarme signifie sécurité
__Aucun rapport de vulnérabilité signifie aucune vulnérabilité
Pour en savoir plus

Chapitre 11 Vulnérabilités logicielles et attaques d'ingénierie sociale
Nous savons tout ce qu'il y a à savoir sur les vulnérabilités
Les vulnérabilités sont rares
Les attaquants deviennent de plus en plus compétents.
Les vulnérabilités zero-day sont les plus importantes
__Zero Day est le plus effrayant
__Zero Day signifie persévérance
Toutes les attaques reposent sur des vulnérabilités.
Les outils d'exploitation de failles et les preuves de concept sont néfastes.
Les vulnérabilités n'apparaissent que dans les codes complexes.
Le pionnier doit sacrifier sa sécurité.
Les patchs sont toujours parfaits et applicables
Les mesures défensives peuvent se transformer en failles de sécurité au fil du temps.
Toutes les vulnérabilités peuvent être corrigées.
Les systèmes d'évaluation de la vulnérabilité sont simples et bien connus.
Si vous le pouvez, vous devriez [Vulnérabilité]
Le nom de cette vulnérabilité reflète son importance.
Pour en savoir plus

Chapitre 12 : L’évolution de la menace des logiciels malveillants et des rançongiciels
Sandbox vous offre tout ce dont vous avez besoin
La rétro-ingénierie peut vous révéler tout ce que vous devez savoir.
Les logiciels malveillants ne sont pas limités à une zone géographique précise.
Je peux toujours découvrir qui a créé le logiciel malveillant et m'a attaqué.
Les logiciels malveillants sont toujours complexes et difficiles à comprendre.
La protection gratuite contre les logiciels malveillants suffit.
Les logiciels malveillants ne vous infecteront que par le biais de sites web suspects.
Si vous le pouvez, vous devriez [Malware Edition]
Les ransomwares constituent un type de logiciel malveillant totalement nouveau.
Les logiciels signés sont toujours fiables.
Le nom du logiciel malveillant reflète son importance.
Pour en savoir plus

Chapitre 13 : Analyse forensique numérique et réponse aux incidents : des solutions infaillibles
Le cinéma et la télévision reflètent la réalité du monde numérique.
Les cyberincidents sont détectés immédiatement après leur survenue.
Les cyberattaques sont des incidents individuels et isolés.
Tous les incidents cybernétiques sont tout aussi graves.
Les techniques standard de réponse aux incidents suffisent à elles seules pour répondre aux ransomwares.
L'équipe d'intervention en cas d'incident actionne simplement quelques interrupteurs et tout se résout comme par magie.
L'identité de l'attaquant peut toujours être déterminée.
L'identité de l'attaquant doit être déterminée.
La plupart des attaques et des violations de données proviennent de l'extérieur de l'organisation.
La logique de défense du cheval de Troie est révolue.
Les données des points de terminaison suffisent à elles seules pour la détection des incidents.
Le rétablissement après un accident est un processus simple et linéaire.
Pour en savoir plus

Partie 4 | La sécurité sans données est-elle vraiment sûre ?

Chapitre 14 : Mensonges, sacrés mensonges et statistiques
Si vous avez de la chance, vous pourrez peut-être éviter une cyberattaque.
Les chiffres à eux seuls expliquent tout.
La probabilité est une certitude.
Les statistiques sont la loi
__Le contexte est nécessaire
Prédiction par inférence statistique
__Corrélation implique causalité
Les erreurs de classification ne sont pas importantes
Les données ne sont pas importantes en statistiques.
L'IA et l'apprentissage automatique peuvent à eux seuls résoudre tous les problèmes de cybersécurité.
Pour en savoir plus

Chapitre 15 : Images, visualisation des données et illusions
Les visualisations et les tableaux de bord sont intrinsèquement universellement utiles.
Les données de cybersécurité sont faciles à visualiser.
__La visualisation des informations de géolocalisation sur Internet est utile.
La visualisation de l'adresse IP et du port est claire et facile à comprendre.
Pour en savoir plus

Chapitre 16 : Il y a encore de l'espoir
Pour un monde moins influencé par les superstitions
La documentation est importante
Modèles et recommandations communs dans les proverbes populaires
__Schémas communs dans les proverbes
Recommandations générales
Évitons un autre piège à l'avenir.
Pour conclure

Annexe A Résumé des termes et concepts clés
Annexe B : Glossaire des termes et acronymes de sécurité

La cybersécurité est invisible et pleine de risques et de défis inattendus.

Quelles que soient nos bonnes intentions, les croyances populaires, les fausses idées sur le monde et les préjugés humains inhérents nous conduisent à commettre toutes sortes d'erreurs évitables.
De ce fait, la mise en œuvre, l'investigation et la recherche en matière de sécurité se retrouvent souvent dans une situation délicate.
Surtout pour les novices en cybersécurité, de nombreuses pratiques erronées peuvent sembler plausibles, ce qui entraîne des violations et des défaillances de sécurité répétées malgré des idées fausses et des perceptions erronées.

Dans cet ouvrage, trois pionniers de l'industrie de la sécurité analysent les idées fausses et les mythes qui gangrènent la cybersécurité — du terrain jusqu'aux plus hautes sphères de l'entreprise — et offrent des conseils pratiques et d'experts sur la manière de sécuriser le cyberespace grâce à de solides connaissances en matière de sécurité.

Que vous soyez novice en cybersécurité ou professionnel chevronné, ce livre vous apportera les connaissances et le soutien nécessaires pour déceler les risques cachés, éviter les erreurs évitables et dissiper les idées reçues.
Cela contribuera également à lutter contre les biais cognitifs profondément ancrés chez l'être humain qui entravent les activités de prévention, d'enquête et de recherche en cybersécurité.
En outre, ce livre présente des études de cas concrètes tirées d'incidents de cybersécurité réels, des techniques spécifiques pour vous aider à identifier et à surmonter les vulnérabilités de sécurité, ainsi que des contre-mesures pratiques pour concevoir des produits et des entreprises plus sûrs.

| Ce que ce livre aborde |

ㆍ Plus de 175 mythes et idées fausses en matière de cybersécurité dans lesquels les utilisateurs, les dirigeants d'entreprise et les professionnels de la sécurité peuvent facilement tomber, ainsi que des conseils pratiques pour les éviter.
Les avantages et les inconvénients des métaphores et des abstractions, les malentendus concernant les outils de sécurité et les pièges des hypothèses erronées.
• Comment améliorer l’efficacité de la prise de décision en matière de cybersécurité du point de vue des utilisateurs, des développeurs, des chercheurs et des dirigeants.
Pourquoi les statistiques et les chiffres, bien que parfois instructifs, peuvent aussi être trompeurs.
• La capacité d’identifier les idées fausses et les perceptions erronées liées à la sécurité, les stratégies pour éviter les pièges futurs et les techniques pour atténuer les menaces à la sécurité.

| Public cible de ce livre |

Non seulement les experts en sécurité de l'information, mais aussi les non-experts intéressés par la sécurité, tels que les développeurs, les concepteurs, les analystes, les décideurs, les cadres et les étudiants.

-- Les débutants pourront comprendre les concepts précédents dans leur contexte et éviter les erreurs à l'avance.

-- Pour les praticiens expérimentés, il offrira de nouvelles perspectives sur les techniques et approches applicables, et les mettra en garde contre le piège d'un affaiblissement involontaire de la cybersécurité.

— La cybersécurité étant un sujet qui concerne tous ceux qui dépendent de la technologie, ce livre est utile même pour ceux qui ne travaillent pas dans le domaine de la cybersécurité.
Les décideurs et les dirigeants qui assument ou gèrent les risques d'entreprise ont besoin d'une compréhension approfondie de la cybersécurité.


| Structure de ce livre |

L'ouvrage est divisé en quatre parties : connaissances générales en matière de sécurité, psychologie humaine, questions technologiques et questions relatives aux données, et aborde plus de 175 mythes, préjugés et idées fausses.
Chaque chapitre est organisé par thème, regroupant les proverbes aux thématiques similaires et les reliant de manière organique.
Vous pouvez lire chaque chapitre séparément ou les lire tous ensemble.
Les titres des sections de chaque chapitre représentent des proverbes ou des sujets spécifiques.


Chaque section explique un mythe ou une idée fausse, fournit des exemples concrets et explique comment l'éviter.
Nous abordons des sujets techniques tels que les vulnérabilités, les logiciels malveillants et l'analyse forensique, ainsi que la manière dont notre réflexion et notre prise de décision, y compris les erreurs logiques et de communication, ont un impact sur la cybersécurité.

L’annexe A contient de brèves descriptions des concepts et termes clés utilisés dans le texte.
Si vous n'êtes pas familier avec des termes comme pare-feu ou vulnérabilité log4j, veuillez vous référer à l'annexe pour une brève explication.
Les domaines de la cybersécurité et de l'informatique en général regorgent d'acronymes.
L’annexe B répertorie les abréviations ; si vous rencontrez une abréviation inconnue, veuillez la rechercher pour en connaître la signification.

[Remarques liminaires]

Quand Eugene Spaford m'a demandé d'écrire la préface de ce livre, j'ai demandé à en voir au moins une partie au préalable.
J'ai d'abord jeté un coup d'œil à la table des matières et j'ai été captivé par le style d'écriture intelligent des auteurs, qui nous a présenté les idées fausses et les mythes sur la sécurité qui nous égarent souvent.
J'ai également envisagé de changer le titre du livre en « Mythes et idées reçues sur la cybersécurité ».
La section « Introduction » de ce livre est écrite avec une clarté et une honnêteté remarquables, et son style à la fois modeste et accessible aide les lecteurs à accepter la possibilité d'avoir été induits en erreur par des mythes et des malentendus.

En résumé, c'est un livre très important.
Dans bien des cas, la cybersécurité concerne les décisions et les choix relatifs aux logiciels que nous utilisons, aux pratiques que nous suivons et aux convictions en matière de sécurité auxquelles nous sommes attachés.
Les auteurs renforcent l'utilité du livre en expliquant clairement certaines idées fausses que les gens se font de la cybersécurité.
À mesure que les auteurs déconstruisent chaque mythe relatif à la cybersécurité, les lecteurs éprouvent un sentiment de supériorité, en pensant : « C’est ridicule que des gens croient à des idées aussi absurdes ! »
C'est comme si je ne pouvais jamais être dupé par de telles croyances, et c'est pourquoi chaque événement est plus mémorable.


Le style de ce livre est CS
Cela me rappelle la célèbre œuvre de Lewis, Les Lettres de Screwtape (Hongseongsa, 2020).
Dans ce roman, Screwtape, un tentateur démoniaque chevronné, enseigne à son jeune disciple, Wormwood, comment détourner les humains du bien et rationaliser leurs actions.
La sécurité des réseaux est un enjeu très important.
Le cyberespace, concept plus large qui inclut Internet et tous les objets programmables, est vulnérable non seulement aux actes intentionnels et malveillants, mais aussi aux erreurs commises par divers acteurs, tels que les programmeurs et les opérateurs de réseau.

J'ai toujours pensé que la responsabilité et l'appropriation étaient essentielles pour sécuriser l'environnement cybernétique en ligne.
Nous devons être capables d'identifier les acteurs malveillants et de les tenir responsables.
Cela nécessite une coopération internationale et la capacité de lever le voile de l'anonymat.
À l'instar d'Internet, le cyberespace franchit les frontières nationales dans son fonctionnement quotidien.
La subjectivité est essentielle.
Les acteurs du cyberespace doivent être dotés d'outils leur permettant de se protéger, notamment de structures juridiques et d'accords leur permettant de poursuivre ceux qui se livrent à des activités nuisibles ou criminelles.


L'un des outils de défense les plus puissants est la pensée critique.
Le contenu de ce livre est entièrement consacré à l'apprentissage d'une réflexion plus critique sur les dangers du cyberespace.
Ce type de réflexion exige beaucoup d'efforts et ne peut être réalisé gratuitement.
Les agresseurs malveillants exploitent nos faiblesses humaines.
Malheureusement, cette faiblesse inclut notre nature humaine qui nous pousse à vouloir aider ceux qui sont dans le besoin.
Ces émotions sociales positives, notamment la bienveillance, sont exploitées à des fins frauduleuses.
Ce livre nous apprend à repérer ces stratagèmes.
Elle nous dote également de pratiques plus sécurisées comme l'authentification à deux facteurs, l'authentification multifactorielle, le chiffrement, les sauvegardes et la redondance.
Dans le cyberespace complexe du XXIe siècle, les problèmes peuvent survenir de diverses manières.
Pour faire face à ces risques, une action concertée est nécessaire aux niveaux individuel, corporatif et gouvernemental.
Comme toujours, être informé à l'avance vous aide à vous préparer.


Lisons ce livre, rions à cœur joie et mettons en pratique ce que nous apprenons.
Vous ne le regretterez pas.
- Vint Cerf / Pionnier Internet

[Note de l'auteur]

Ce livre vise à dissiper les mythes, mais cela ne signifie pas qu'ils disparaîtront complètement du monde.
Cela s'explique par le fait que les humains ont tendance à créer des mythes pour expliquer leurs expériences.
En particulier, parce que nous avons évolué pour traiter l'information rapidement, nous avons tendance à essayer de générer nos propres réponses lorsque des explications immédiates ne sont pas possibles.


À l'avenir, les croyances erronées risquent de devenir plus courantes et plus difficiles à corriger.
Plus les gens ont accès à l'information, plus ils sont exposés à la désinformation.
Nous avons assisté à la prolifération de mythes extravagants et parfois destructeurs, tels que les théories du complot concernant les nuages ​​laissés par les avions, les logiciels antivirus et l'infiltration extraterrestre des gouvernements.
Il devient de plus en plus difficile de déterminer ce qui est vrai et digne de confiance.
C’est pourquoi, que ce soit en cybersécurité ou dans tout autre domaine, nous avons tous besoin de pouvoir identifier et corriger rapidement les idées fausses dès leur apparition.

Nos trois auteurs travaillent dans le milieu universitaire, l'industrie et le gouvernement, et tous ont mené des recherches et écrit sur la cybersécurité et l'informatique.
La science peut corriger, vérifier et dissiper les mythes liés à la cybersécurité en utilisant des méthodes standardisées et en fournissant des preuves validées.
L'ingénierie peut utiliser la science pour créer des produits plus robustes et plus fiables.
Les auteurs se targuent de près de 100 ans d'expérience cumulée, couvrant la conception et la recherche en cybersécurité, la réponse aux incidents et l'analyse forensique.
Ceux d'entre nous qui travaillent dans les sciences et l'ingénierie ont vu de nombreuses personnes commettre des erreurs évitables à cause de mythes et d'idées fausses sur la cybersécurité.
L'un des objectifs de ce livre est d'éduquer les étudiants et les professionnels.
Nous pensons que ce livre est le premier à organiser systématiquement ces informations.

[Note du traducteur]

Aujourd'hui, la cybersécurité est une question de survie pour les entreprises.
Nous vivons à une époque où un simple incident de piratage peut détruire la confiance des clients et ébranler les fondements mêmes de l'existence d'une entreprise.
La sécurité est à la fois un problème ancestral et un défi persistant, ce qui rend ce livre d'autant plus opportun et pertinent pour faire face aux réalités d'aujourd'hui.


Ce livre contient des idées percutantes qui inciteront non seulement les professionnels de la sécurité, mais aussi les dirigeants et même le grand public à repenser la « nature et les idées fausses concernant la cybersécurité ».
Lorsque j'ai découvert le livre original, « Mythes et idées fausses sur la cybersécurité : éviter les pièges de la gestion de la sécurité », j'ai été profondément séduit par la perspective à la fois novatrice et réaliste des auteurs.


Plutôt que de dresser une liste aride des dernières technologies et outils de sécurité, ce livre déconstruit les idées fausses, les pièges et les angles morts stratégiques dans lesquels les organisations tombent facilement.
Et cela nous rappelle que la sécurité dépasse le simple cadre de l'informatique et est étroitement liée à la culture d'entreprise, à la stratégie de gestion et à la perception des individus.
Je suis professeur à l'Université arabe Naif des sciences de la sécurité (NAUSS) à Riyad, en Arabie saoudite, où je collabore avec des entreprises et des institutions sur divers projets de recherche et d'enseignement en cybersécurité.
Ce que j'ai compris au cours de ce processus, c'est que si la technologie est un facteur important pour déterminer le succès ou l'échec de la sécurité, le « jugement humain et la conscience organisationnelle » sont plus importants que tout le reste.
En traduisant ce livre, je me suis rendu compte que les différents problèmes que j'avais rencontrés sur le terrain étaient intimement liés aux intuitions des auteurs.


J’espère sincèrement que ce livre permettra aux responsables de la sécurité des entreprises, aux gestionnaires informatiques et à tous les lecteurs intéressés par la cybersécurité de corriger les idées fausses et les préjugés en matière de sécurité et d’acquérir une nouvelle compréhension de la nature des défaillances de sécurité.
J’espère sincèrement que le message de ce livre — selon lequel la sécurité n’est pas une dépense inutile mais un investissement essentiel pour assurer l’avenir — trouvera un écho profond auprès de nombreux lecteurs.

- Kim Kyung-gon

La cybersécurité est un domaine en constante évolution, pourtant beaucoup de gens continuent de considérer comme acquis des pratiques obsolètes ou des « conseils de sécurité » non éprouvés.
Ce livre déconstruit une à une ces idées reçues très répandues et nous fait prendre conscience du nombre considérable d'idées fausses que nous avons en matière de sécurité.
Comme j'avais profondément partagé les préoccupations exprimées dans le livre avant même de commencer à le traduire, je me suis surprise à approuver à plusieurs reprises et à acquérir de nombreuses connaissances au cours de ma traduction.

De plus, lors de la traduction de ce livre, je me suis rendu compte une fois de plus que les méthodes de sécurité que les utilisateurs considéraient généralement comme correctes dans le domaine de la cybersécurité étaient en réalité transmises comme des pratiques sans vérification adéquate.
J'avoue aussi avoir, en dernier recours, frappé mon ordinateur lorsqu'il ne fonctionnait pas et que je ne parvenais pas à en trouver la cause ; grâce à cette expérience, j'ai pu beaucoup mieux le comprendre et en tirer de précieux enseignements lors de la traduction du livre.

C'est une lecture agréable, notamment grâce aux adorables illustrations d'animaux et à l'humour de l'auteur qui rendent le livre captivant. Je pense qu'il est indispensable à tous, du grand public intéressé par la sécurité aux experts du secteur, en passant par les décideurs politiques et les chefs d'entreprise.
- Jang Eun-kyung

J'ai vécu une expérience intéressante en traduisant ce livre.
J'ai été témoin de ce phénomène étrange : les problèmes abordés dans ce livre se produisent dans la vie réelle.

Ce livre relate des histoires fascinantes sur les organisations de piratage informatique nord-coréennes et le piratage de cryptomonnaies. Par ailleurs, en février, ByBit, plateforme d'échange de cryptomonnaies de renommée mondiale basée à Dubaï, aux Émirats arabes unis, a été victime d'un piratage informatique attribué à une organisation nord-coréenne, entraînant des pertes dépassant les 2 000 milliards de wons.
Deux mille milliards de wons ? Ça me fait penser que la Corée du Nord pourrait bien avoir une organisation de pirates informatiques professionnels.
Ce livre souligne également que la croyance populaire selon laquelle « si vous utilisez un site ou un service digne de confiance exploité par une grande entreprise, vous êtes à l’abri du piratage (chapitre 1) » pourrait être une « illusion », mais il y a quelques mois, un incident malheureux s’est produit au cours duquel des informations personnelles de clients ont fuité à grande échelle chez la première entreprise de télécommunications de Corée.
Et concernant les rançongiciels, sujet largement traité dans ce livre, une importante librairie en ligne nationale a subi une attaque de rançongiciel qui a paralysé ses services pendant plusieurs jours.
Comme j'utilise souvent ce site, cet incident a été un véritable choc pour moi.
Peu de temps après, un autre incident de type ransomware s'est produit sur le site d'une importante compagnie d'assurance-caution nationale.
Bien que l'Institut de sécurité financière ait réussi à décrypter les données chiffrées en exploitant une faille du logiciel malveillant et à mener à bien l'enquête, c'était étrange d'entendre à nouveau des passages du livre sur lequel je travaillais présentés comme des informations de dernière minute.


Le comble de cette étrangeté fut lorsque les événements décrits dans le livre se produisirent sur mon PC.
Lorsque j'ai tenté d'accéder à la plateforme d'échange de cryptomonnaies que j'utilisais depuis un certain temps, un message d'avertissement est apparu dans mon navigateur web.
Comme il s'agissait d'un message d'avertissement qui était déjà apparu occasionnellement, j'aurais pu l'ignorer et me connecter immédiatement.
Mais après avoir été témoin de ces incidents majeurs les uns après les autres pendant que je traduisais des ouvrages sur la sécurité, je me suis demandé si ma vigilance accrue en matière de sécurité ne me freinait pas. Il s'est avéré qu'un logiciel malveillant s'était installé à mon insu sur mon PC, interceptant tout son trafic internet et le redirigeant vers un serveur proxy.
Ce logiciel malveillant n'a été détecté ni traité par aucun antivirus, et le plus surprenant était que, malgré de nombreuses tentatives de suppression des processus et fichiers suspects par tous les moyens possibles, le logiciel malveillant réapparaissait comme un fantôme quelques minutes plus tard et réinitialisait la connexion au serveur proxy.
C'était effrayant.
J'ai finalement dû formater tout mon ordinateur et réinstaller Windows, et je n'ai pas pu utiliser mon PC correctement pendant quelques jours.

Ce qui s'est passé sur mon PC était une combinaison de toutes les techniques détaillées dans ce livre : relais proxy (chapitre 7), logiciels malveillants sophistiqués qui échappent à la détection (chapitre 12) et techniques de phishing sophistiquées (chapitre 10).
De plus, l'avertissement du livre (chapitre 3) selon lequel la croyance des individus qu'ils sont « petits et insignifiants et ne seront pas attaqués » est une illusion se déroulait sous mes yeux.
Après y avoir bien réfléchi, j'ai commencé à penser que cette série d'événements n'était pas une simple coïncidence.
Au départ, cela semblait une étrange coïncidence, mais n'est-ce pas la preuve que de telles cyberattaques deviennent plus fréquentes et se sont infiltrées dans notre vie quotidienne ?
Comme le souligne cet ouvrage, les attaquants utilisant l'IA deviendront de plus en plus intelligents et menaçants.

Après cette expérience, j'ai réalisé une fois de plus que la sécurité n'est pas un problème si éloigné de notre quotidien qu'on puisse la « laisser aux seuls experts ».
Dans un monde où tout est numérique et connecté à Internet, mes précieuses données et informations personnelles risquent d'être volées à tout moment, et personne ne les protège.
Je crois que nous sommes entrés dans une ère où chacun doit être sensibilisé à la sécurité, au même titre que nous devons nous préoccuper de notre santé et de nos finances.

On peut dire que ce livre propose une sorte d'« approche humaniste » de la sécurité.
Puisqu'il n'aborde pas les aspects techniques et pratiques, ce livre peut être utile à quiconque souhaite appréhender la sécurité comme un atout culturel moderne, et il servira également de guide aux professionnels en activité pour corriger leur vision inerte de la sécurité.

Ce livre regorge des réflexions approfondies des auteurs sur le domaine de la sécurité, mais comme ils ne sont pas des écrivains professionnels, de nombreuses phrases sont difficiles à comprendre, ce qui rend la traduction complexe.
Je suis toutefois fier d'annoncer que le résultat est un livre que les lecteurs trouveront beaucoup plus captivant et plus facile à comprendre, tout en conservant la perspicacité des auteurs.


J'espère que ce livre servira de point de départ aux lecteurs pour éviter les menaces à la sécurité qui pourraient survenir à l'avenir.
- Park Ki-seong