Quand on commence a explorer Kali Linux, la posture est naturellement offensive : on apprend des outils d'attaque, on simule des intrusions, on cherche des vulnerabilites. C'est stimulant, et ca correspond a l'image qu'on a du hacker. Mais cette posture seule est incomplete.
La cybersecurite defensive, c'est tout ce qu'on met en place pour resister aux attaques qu'on vient d'apprendre a monter. Firewalls, logs, gestion des permissions, validation des entrees, protection contre les injections SQL et XSS. Pour un developpeur web, c'est cette partie qui est directement applicable au quotidien.
Ce que j'ai trouve precieux dans l'apprentissage offensif, c'est qu'il donne un contexte concret aux bonnes pratiques defensives. Lire qu'il faut echapper les entrees utilisateur, c'est une regle. Voir ce qu'une injection SQL permet de faire sur une base mal protegee, c'est une motivation. Les deux approches se renforcent.
Les ressources comme l'OWASP Top 10 documentent les vulnerabilites les plus courantes des applications web. Ce qui m'a frappe en les lisant apres avoir utilise des outils offensifs, c'est que la majorite de ces vulnerabilites sont evitables avec des pratiques de developpement basiques : validation des entrees, gestion correcte des sessions, principe du moindre privilege.
La limite de cette double approche pour un etudiant, c'est ethique autant que technique. Les outils offensifs ne doivent etre utilises que sur des environnements qu'on possede ou pour lesquels on a une autorisation explicite. Ma VM Kali est isolee du reseau reel precisement pour ca. Ce n'est pas une precaution optionnelle.
Ma conviction apres ces explorations : un developpeur junior qui comprend les bases du hacking offensif ecrit du code plus sur que celui qui ne les connait pas. Pas parce qu'il devient un expert en securite, mais parce qu'il sait quelles portes il laisse ouvertes quand il code sans y penser.