La certification AWS Certified Security – Specialty (SCS-C02) est la référence pour les professionnels qui conçoivent, implémentent et gèrent des architectures de sécurité sur Amazon Web Services. Destinée aux ingénieurs sécurité, aux architectes cloud et aux responsables de la protection des données, cette certification valide une expertise approfondie des mécanismes de défense AWS. En 2026, alors que les menaces se multiplient et que la réglementation se durcit, obtenir la SCS-C02 constitue un atout stratégique majeur pour votre carrière.
Ce guide vous accompagne étape par étape dans la compréhension du programme, la maîtrise des services de sécurité AWS et la mise en place d'un plan de révision efficace. Si vous débutez sur AWS, nous vous recommandons de commencer par la certification AWS Cloud Practitioner CLF-C02 avant de viser cette spécialité.
La SCS-C02 est une certification de niveau Specialty, le plus haut niveau de spécialisation chez AWS. Elle remplace la version SCS-C01 et intègre les dernières évolutions des services de sécurité d'Amazon Web Services. L'examen évalue votre capacité à protéger des charges de travail complexes dans le cloud, à détecter les menaces en temps réel et à répondre aux incidents de sécurité avec méthodologie.
Ce domaine évalue votre capacité à identifier des comportements anormaux, à analyser les journaux de sécurité et à orchestrer une réponse aux incidents efficace. Vous devez maîtriser les flux d'investigation : collecte de preuves, isolation de ressources compromises, analyse forensique et remédiation. Les services clés incluent Amazon GuardDuty pour la détection de menaces, AWS CloudTrail pour l'audit des appels API et Amazon Detective pour l'investigation approfondie.
La surveillance continue est un pilier de la sécurité cloud. Ce domaine couvre la conception de solutions de journalisation centralisées, l'analyse des logs en temps réel et la mise en place d'alertes automatisées. Vous devez savoir configurer AWS CloudTrail pour enregistrer chaque action dans votre compte, exploiter Amazon CloudWatch pour les métriques et alarmes, et utiliser AWS Config pour surveiller la conformité de vos ressources en continu.
Ce domaine porte sur la protection du réseau et des ressources de calcul. Il inclut la configuration avancée d'Amazon VPC (sous-réseaux, groupes de sécurité, ACL réseau, endpoints VPC), la protection contre les attaques DDoS avec AWS Shield et AWS Shield Advanced, ainsi que la sécurisation des applications web avec AWS WAF. Vous devez également maîtriser la protection des instances EC2, des conteneurs ECS/EKS et des fonctions Lambda.
IAM est le cœur de la sécurité AWS. Ce domaine évalue votre compréhension des politiques IAM avancées (conditions, limites de permissions, politiques basées sur les ressources), de la fédération d'identités avec AWS IAM Identity Center (anciennement AWS SSO), d'AWS Organizations et des Service Control Policies (SCP). Vous devez savoir implémenter le principe du moindre privilège à grande échelle dans des environnements multi-comptes.
La protection des données couvre le chiffrement au repos et en transit, la gestion des clés de chiffrement avec AWS KMS et AWS CloudHSM, la classification des données sensibles avec Amazon Macie, et les stratégies de sauvegarde sécurisées. Vous devez comprendre les différences entre les clés gérées par AWS, les clés gérées par le client et les clés importées, ainsi que les politiques de rotation automatique des clés.
Ce domaine aborde la gouvernance à l'échelle de l'organisation : mise en place d'AWS Security Hub pour une vue centralisée de la posture de sécurité, utilisation d'AWS Audit Manager pour la conformité réglementaire, et déploiement de standards de sécurité comme CIS AWS Foundations Benchmark. Vous devez savoir automatiser la conformité et produire des rapports pour les auditeurs.
IAM est le fondement de toute architecture sécurisée sur AWS. Pour la SCS-C02, vous devez aller au-delà des bases. Maîtrisez les politiques basées sur l'identité et les politiques basées sur les ressources, comprenez l'évaluation des politiques (explicit deny, allow, implicit deny), et sachez utiliser les conditions IAM pour restreindre l'accès par IP, par MFA ou par tag. Les rôles IAM cross-account et la fédération SAML/OIDC font également partie du programme.
KMS est le service central de gestion des clés de chiffrement. Vous devez comprendre les types de clés (symétriques, asymétriques), les politiques de clés, les grants, l'enveloppe de chiffrement (envelope encryption) et l'intégration de KMS avec les autres services AWS (S3, EBS, RDS, Lambda). La rotation automatique des clés et la gestion du matériel cryptographique importé sont des sujets fréquemment testés.
CloudTrail enregistre chaque appel API effectué dans votre compte AWS. Pour l'examen, vous devez savoir configurer des trails multi-régions et multi-comptes, activer les journaux de données (data events) pour S3 et Lambda, protéger l'intégrité des logs avec la validation de fichiers digest, et analyser les événements avec Amazon Athena. CloudTrail est la colonne vertébrale de l'audit et de l'investigation sur AWS.
GuardDuty est le service de détection de menaces intelligent d'AWS. Il analyse en continu les journaux VPC Flow Logs, CloudTrail et DNS pour identifier les comportements malveillants : accès non autorisés, communications avec des serveurs de commande et contrôle, minage de cryptomonnaie, exfiltration de données. Vous devez savoir interpréter les différents types de findings et automatiser la réponse avec Amazon EventBridge et AWS Lambda.
Security Hub agrège les résultats de sécurité de GuardDuty, Inspector, Macie, Firewall Manager et d'outils tiers dans un tableau de bord centralisé. Il évalue votre posture de sécurité selon des standards prédéfinis (CIS, PCI DSS, AWS Foundational Security Best Practices). Pour l'examen, vous devez comprendre comment configurer Security Hub dans un environnement multi-comptes et automatiser la remédiation des non-conformités.
AWS WAF (Web Application Firewall) protège vos applications web contre les exploits courants : injection SQL, cross-site scripting (XSS), bots malveillants. Vous devez savoir créer des règles personnalisées, utiliser les règles gérées par AWS et configurer des rate-based rules. AWS Shield Standard protège gratuitement contre les attaques DDoS de base, tandis que Shield Advanced offre une protection étendue avec support dédié et remboursement des coûts liés aux attaques.
La réponse aux incidents est un sujet central de la SCS-C02. AWS suit un cadre structuré inspiré du NIST :
En pratique, AWS recommande de préparer des comptes dédiés à l'investigation forensique, séparés des comptes de production. Cette isolation garantit que l'analyse des preuves ne compromet pas l'environnement opérationnel. Les professionnels de la cybersécurité trouveront des discussions approfondies sur ces méthodologies sur des communautés spécialisées comme Forum Microsoft, qui couvre également les enjeux de sécurité multi-cloud.
Commencez par le cours officiel "Security Engineering on AWS" disponible sur AWS Skill Builder. Révisez les fondamentaux d'IAM, du modèle de responsabilité partagée et de la sécurité réseau VPC. Si vous n'avez pas encore de certification AWS, envisagez d'abord la certification Solutions Architect Associate SAA-C03 pour consolider vos bases.
Plongez dans GuardDuty, CloudTrail, Security Hub, AWS Config et Amazon Detective. Configurez ces services dans un environnement de test via le Free Tier AWS. Pratiquez la création de trails multi-régions, l'activation de GuardDuty et l'interprétation des findings. Exploitez les règles AWS Config pour surveiller la conformité de vos ressources.
Concentrez-vous sur KMS, CloudHSM, Macie, WAF et Shield. Pratiquez le chiffrement côté serveur et côté client avec KMS, créez des politiques de clés personnalisées et configurez la rotation automatique. Déployez AWS WAF devant un Application Load Balancer et testez les règles de filtrage. Pour optimiser vos environnements de test Windows, Windows Booster peut vous aider à maintenir des machines performantes pour vos labs.
Réalisez au minimum trois examens blancs complets en conditions réelles. Analysez chaque question ratée et identifiez vos lacunes. Révisez les domaines faibles en priorité. Les questions de la SCS-C02 sont souvent des scénarios complexes avec plusieurs services impliqués — entraînez-vous à identifier le service ou la combinaison de services la plus appropriée pour chaque situation.
L'examen SCS-C02 privilégie les questions basées sur des scénarios réels. Voici les types de situations que vous rencontrerez fréquemment :
Pour chaque scénario, l'examen attend que vous choisissiez la solution la plus sécurisée, la plus efficace opérationnellement et la plus conforme aux bonnes pratiques AWS. Pour les professionnels souhaitant compléter leur expertise sécurité avec des compétences DevOps, consultez notre guide sur la certification AWS DevOps Professional.
La SCS-C02 se positionne dans un écosystème riche de certifications en cybersécurité. Voici comment elle se compare :
Pour les consultants en sécurité cloud travaillant sur des projets d'envergure, combiner la SCS-C02 avec une certification complémentaire comme le CISSP offre un profil particulièrement recherché. Les cabinets de conseil spécialisés comme Ayinedjimi Consultants recherchent activement ces profils multi-certifiés pour leurs missions de transformation cloud sécurisée.
Les titulaires de la certification AWS Security Specialty sont parmi les professionnels IT les mieux rémunérés du marché. En France, un ingénieur sécurité cloud AWS certifié SCS-C02 peut prétendre à un salaire annuel brut compris entre 55 000 € et 85 000 €, selon l'expérience et la localisation. Les postes de consultant senior sécurité cloud dépassent souvent les 100 000 € en incluant les primes et le variable.
Les rôles typiques incluent : ingénieur sécurité cloud, architecte sécurité AWS, consultant cybersécurité cloud, responsable sécurité des systèmes d'information (RSSI) cloud et auditeur sécurité AWS. La demande pour ces profils ne cesse de croître à mesure que les entreprises accélèrent leur migration vers le cloud.
Testez vos connaissances en sécurité AWS avec nos examens blancs et identifiez vos points faibles avant le jour J.
Voir les examens disponibles →