La certification AWS Certified Solutions Architect Associate (code SAA-C03) conserve en 2026 son statut de certification cloud la plus demandee au monde. Selon les donnees de Global Knowledge et de Foote Partners, plus de 850 000 professionnels la detiennent, et elle figure systematiquement dans le top 3 des certifications IT les mieux remunerees, avec des salaires medians qui depassent 95 000 euros bruts annuels en France et 145 000 dollars aux Etats-Unis. Cette popularite n'est pas un hasard : AWS represente toujours environ 32 % du marche du cloud public, devant Microsoft Azure (24 %) et Google Cloud Platform (12 %).
La version SAA-C03, lancee en aout 2022, reste la version officielle en vigueur en 2026. Amazon a confirme qu'aucune nouvelle iteration majeure n'est prevue avant fin 2026 ou debut 2027. Le programme actuel integre desormais des notions essentielles comme AWS Wavelength, Local Zones, Outposts, Graviton3, Aurora Serverless v2, S3 Express One Zone et les nouveautes de gouvernance (Control Tower, Organizations Service Control Policies). Si vous avez prepare l'ancienne SAA-C02, sachez que pres de 35 % du contenu a ete renouvele.
Au-dela du salaire, cette certification est souvent un prerequis officieux pour acceder a des roles de Cloud Architect senior, Lead DevOps, Plateforme Engineer ou meme CTO de scale-up. Elle est egalement la porte d'entree vers les certifications AWS de niveau Professional (SAP-C02, DOP-C02) et Specialty. Pour visualiser le parcours complet, consultez notre page vendor Amazon Web Services.
L'examen SAA-C03 est encadre par des regles precises publiees par AWS Training and Certification. Voici les caracteristiques officielles a connaitre par coeur avant l'inscription :
| Parametre | Valeur officielle SAA-C03 |
|---|---|
| Code de l'examen | SAA-C03 |
| Duree | 130 minutes (140 minutes pour l'anglais non-natif) |
| Nombre de questions | 65 questions au total (50 notees + 15 non notees) |
| Format | QCM a choix unique et a choix multiples |
| Score requis | 720 / 1000 (echelle non lineaire) |
| Prix | 150 USD (environ 145 EUR HT) |
| Langues disponibles | Francais, anglais, allemand, japonais, coreen, espagnol |
| Validite | 3 ans |
| Centre d'examen | Pearson VUE ou en ligne (PSI proctored) |
Le score n'est pas un simple pourcentage : AWS utilise un systeme de scaled scoring. Concretement, chaque question peut avoir un poids different selon sa difficulte, ce qui signifie qu'obtenir 36/50 questions correctes ne garantit pas forcement un score de 720. La bonne nouvelle, c'est que les 15 questions non notees (dites unscored) sont melangees aux autres et servent a AWS pour calibrer les futurs examens : il est impossible de les distinguer, donc traitez chaque question comme si elle comptait.
Pour vous inscrire, creez un compte sur AWS Certification Account, puis programmez votre passage via Pearson VUE. Vous pouvez consulter la fiche complete de cette certification sur la page dediee SAA-C03 et acceder a un examen blanc gratuit via l'examen blanc SAA-C03.
Avec 30 % du poids total, ce domaine est le plus important de l'examen. AWS a renforce sa preponderance suite a la multiplication des incidents de securite cloud (mauvaises configurations S3, fuites de credentials, attaques par chaine d'approvisionnement). Maitriser ces concepts vous garantit non seulement de reussir l'examen mais aussi de batir des plateformes resilientes en production.
L'examen va tester en profondeur votre comprehension de IAM (Identity and Access Management). Vous devez differencier :
Le concept d'AssumeRole via STS (Security Token Service) revient frequemment. Memorisez le scenario classique : une application sur EC2 doit acceder a un bucket S3 dans un autre compte. La solution recommandee est d'attacher un instance profile contenant un role IAM, qui va lui-meme assumer un role cross-account possedant la permission s3:GetObject sur le bucket cible.
AWS Key Management Service (KMS) et CloudHSM sont incontournables. Voici les distinctions a connaitre :
| Critere | AWS KMS | AWS CloudHSM |
|---|---|---|
| Modele | Service manage multi-tenant | HSM dedies single-tenant |
| Conformite | FIPS 140-2 Level 2 (Level 3 sur certains HSM) | FIPS 140-2 Level 3 |
| Cout | 1 USD / cle / mois + 0.03 USD / 10 000 requetes | ~1.45 USD / heure par HSM |
| Cas d'usage | Chiffrement standard SSE-KMS, secrets, signatures | Conformite reglementaire stricte, gestion de cles racine |
Pour S3, retenez les modes SSE-S3 (cle geree par AWS), SSE-KMS (cle CMK geree par vous via KMS, audit possible via CloudTrail) et SSE-C (cle fournie par le client). En 2023, AWS a active SSE-S3 par defaut sur tous les nouveaux buckets : un detail souvent demande dans l'examen.
VPC, subnets, route tables, NAT Gateway, Security Groups, NACLs : ces concepts sont au coeur de la securite reseau AWS. Memorisez la difference fondamentale : les Security Groups sont stateful (le trafic retour est automatiquement autorise) et fonctionnent en allow-only, alors que les NACLs sont stateless et permettent les regles de deny. Une question typique vous demandera de bloquer une plage IP malveillante : la reponse est NACL et non Security Group.
Maitrisez aussi AWS WAF (regles web applicatives), AWS Shield Standard et Advanced (protection DDoS), AWS Network Firewall (firewall stateful manage au niveau du VPC) et GuardDuty (detection de menaces basee sur ML). Pour le scenario typique : proteger une application web exposee contre les attaques OWASP, la combinaison gagnante est CloudFront + WAF + Shield Advanced + Application Load Balancer.
Ce domaine evalue votre capacite a concevoir des systemes qui resistent aux pannes (haute disponibilite) et a la perte de donnees (durabilite). Les services cles sont EC2 Auto Scaling, ELB, Route 53, Multi-AZ, Multi-Region, RDS, DynamoDB, S3 et les solutions de backup et disaster recovery.
La haute disponibilite (HA) signifie qu'un service reste accessible meme en cas de defaillance partielle. La tolerance aux pannes (FT) va plus loin : aucune interruption visible. AWS distingue trois niveaux de granularite :
L'examen aime les questions sur Auto Scaling Groups. Vous devez differencier les politiques : Target Tracking (maintenir une metrique a une valeur cible, par exemple CPU a 50 %), Step Scaling (ajout d'instances par paliers), Simple Scaling (legacy, deconseille) et Scheduled Scaling (planifie). Notez les attributs cles : minimum size, desired capacity, maximum size, et health check grace period.
S3 offre 99,999999999 % de durabilite (11 neufs) en standard. Les classes de stockage suivantes seront testees :
| Classe | Acces | Cout (par GB/mois) | Cas d'usage |
|---|---|---|---|
| S3 Standard | Frequent, <ms | 0,023 USD | Donnees actives |
| S3 Standard-IA | Peu frequent | 0,0125 USD | Backups, donnees mensuelles |
| S3 One Zone-IA | Peu frequent, 1 AZ | 0,01 USD | Donnees recreables |
| S3 Intelligent-Tiering | Variable, automatique | 0,023 USD + frais monitoring | Patterns inconnus |
| S3 Glacier Instant Retrieval | ms, archives consultees rarement | 0,004 USD | Archives medicales |
| S3 Glacier Flexible Retrieval | 1 min a 12 h | 0,0036 USD | Archives long terme |
| S3 Glacier Deep Archive | 12 h | 0,00099 USD | Conformite 7-10 ans |
| S3 Express One Zone | Sub-ms, 1 AZ | 0,16 USD | Workloads HPC, ML |
Pour la replication, retenez les modes CRR (Cross-Region Replication) et SRR (Same-Region Replication). Les conditions imperatives : versioning active sur source et destination, IAM role correctement configure, et chiffrement compatible.
RDS Multi-AZ utilise une replication synchrone vers une instance standby dans une AZ differente : RPO = 0, RTO de 60 a 120 secondes. RDS Read Replicas utilisent une replication asynchrone et sont destinees a la scalabilite en lecture, pas a la HA. Aurora Multi-Master, Aurora Global Database, et DynamoDB Global Tables permettent une replication multi-region active-active. Pour des questions typiques, retenez : si on demande un failover transparent en cas de panne d'AZ avec RPO=0, c'est Multi-AZ. Si on demande de scaler les lectures, c'est Read Replicas. Si on demande une replication multi-region, c'est Global Tables ou Aurora Global.
Ce domaine couvre le choix de la bonne instance EC2, le caching, le decoupage en microservices, le contenu statique, le streaming et l'analytique. C'est ici que les services serverless prennent toute leur importance.
EC2 propose plus de 600 types d'instances en 2026, regroupes en familles : General Purpose (M, T), Compute Optimized (C), Memory Optimized (R, X), Storage Optimized (I, D), Accelerated Computing (P, G, F, Trn). Les instances Graviton3 (architecture ARM) offrent jusqu'a 40 % de meilleure performance prix par rapport aux instances x86 equivalentes : un point devenu central dans l'examen.
Comprenez aussi les options de placement : Cluster (faible latence, meme rack), Spread (resilience, hardware different), Partition (separation logique, jusqu'a 7 partitions par AZ). Une question typique : "vous deployez une application HPC necessitant une latence reseau minimale entre noeuds" = Placement Group de type Cluster.
DynamoDB est tres present dans l'examen. Concepts cles : Read Capacity Units (RCU), Write Capacity Units (WCU), modes On-Demand vs Provisioned, DAX (cache en memoire compatible DynamoDB, microsecond latency), Global Secondary Indexes (GSI) vs Local Secondary Indexes (LSI), Streams, et TTL. Pour la performance extreme, ElastiCache (Redis ou Memcached) est la solution privilegiee de cache applicatif.
CloudFront utilise plus de 600 edge locations dans 100+ villes. Les TTL controlent la frequence de revalidation. Origin Access Identity (OAI) ou la nouvelle Origin Access Control (OAC) protegent les buckets S3 en backend. Lambda@Edge et CloudFront Functions permettent une logique a la peripherie. Global Accelerator quant a lui utilise les anycast IP du backbone AWS pour reduire la latence des connexions TCP/UDP non-HTTP.
Le pilier "Cost Optimization" du Well-Architected Framework. Maitrisez les options d'achat EC2, le tagging, les outils de monitoring de cout et les architectures serverless qui par nature reduisent les couts grace au modele pay-per-use.
| Option | Engagement | Economie maximale | Cas d'usage |
|---|---|---|---|
| On-Demand | Aucun | 0 % | Pics imprevisibles, dev/test |
| Reserved Instances Standard 1 an | 1 an | 40 % | Charges stables connues |
| Reserved Instances Standard 3 ans | 3 ans | 72 % | Production tres stable |
| Convertible RI | 1 ou 3 ans | 54 % | Charges qui evoluent (changement de famille) |
| Savings Plans Compute | 1 ou 3 ans | 66 % | Engagement en USD/heure tous services compute |
| Savings Plans EC2 Instance | 1 ou 3 ans | 72 % | Famille EC2 specifique dans une region |
| Spot Instances | Aucun | 90 % | Charges interruptibles (CI/CD, batch, ML) |
| Dedicated Hosts | 1 ou 3 ans | Variable | Conformite licensing BYOL |
AWS Cost Explorer visualise les couts sur 12 mois et propose des recommandations. AWS Budgets envoie des alertes lorsqu'un seuil est franchi. AWS Cost Anomaly Detection utilise du ML pour detecter les depenses inhabituelles. AWS Compute Optimizer recommande des changements d'instance pour optimiser performance et cout. AWS Trusted Advisor evalue les bonnes pratiques en cinq categories dont l'optimisation des couts.
Lambda facture a la milliseconde (minimum 1 ms) et au GB-seconde de memoire allouee. API Gateway facture par million d'appels. DynamoDB On-Demand facture a la requete reelle. EventBridge, SQS, SNS, Step Functions completent l'arsenal serverless. Pour des charges intermittentes, le cout d'une architecture serverless peut etre divise par 10 par rapport a une architecture EC2 toujours allumee. Pour une charge constante 24/7, EC2 reste souvent moins cher.
Voici un plan de preparation eprouve, calibre pour un professionnel travaillant 1 a 2 heures par jour en semaine et 4 heures le week-end (volume total : 90 a 120 heures).
L'examen mentionne au moins une trentaine de services differents. Voici la liste exhaustive des services qui apparaissent statistiquement le plus souvent dans les questions, classes par categorie. Pour chaque service, vous devez connaitre l'utilite principale, les cas d'usage typiques, les limites et les integrations natives.
Une entreprise stocke des images medicales dans un bucket S3. Elles doivent etre accessibles uniquement par une application serverless deployee sur AWS Lambda. Quelle solution garantit le plus haut niveau de securite avec le moins de gestion ?
Reponse : 2. Le role IAM est la methode preconisee pour les permissions de service. Le VPC Endpoint S3 evite de transiter par Internet, renforcant securite et reduisant les couts de transfert. La reponse 1 est dangereuse, la 3 expose les donnees, la 4 viole toutes les bonnes pratiques de securite.
Une plateforme e-commerce mondiale doit garantir un RPO inferieur a 1 seconde et un RTO inferieur a 5 minutes en cas de panne complete d'une region AWS. Quelle architecture de base de donnees recommandez-vous ?
Reponse : 2. Seules les Global Tables offrent une replication multi-region quasi instantanee (latence typique < 1 seconde) et un basculement transparent au niveau application. Les autres options ont un RPO ou RTO trop eleve.
Une societe de rendu 3D execute des batchs de calcul d'environ 4 heures, plusieurs fois par semaine, sans contrainte de delai stricte. Quelle option d'instance EC2 minimise le cout ?
Reponse : 3. Les charges interruptibles avec tolerance aux delais sont le cas d'usage parfait pour les Spot Instances, jusqu'a 90 % de remise. Le Spot Fleet permet de diversifier les pools pour reduire le risque d'interruption.
La preparation technique est cruciale, mais la gestion psychologique et logistique du jour de l'examen fait souvent la difference. Voici une checklist pratique :
Une fois la SAA-C03 obtenue, votre profil change radicalement sur le marche du travail. Voici les donnees salariales actualisees 2026 issues des etudes de Hays, Robert Half et Page Personnel France :
| Role | Salaire France (junior 1-3 ans) | Salaire France (senior 5-10 ans) | Salaire Suisse |
|---|---|---|---|
| Cloud Engineer | 45 000 - 58 000 EUR | 72 000 - 95 000 EUR | 110 000 - 145 000 CHF |
| Solutions Architect | 52 000 - 68 000 EUR | 85 000 - 120 000 EUR | 125 000 - 160 000 CHF |
| DevOps Engineer | 48 000 - 62 000 EUR | 78 000 - 110 000 EUR | 120 000 - 155 000 CHF |
| Cloud Architect Lead | - | 110 000 - 160 000 EUR | 160 000 - 220 000 CHF |
La progression naturelle apres SAA-C03 inclut plusieurs voies. Si vous visez l'expertise architecture, passez a la AWS Solutions Architect Professional. Si vous etes oriente operations, dirigez-vous vers la SysOps Administrator puis la DevOps Engineer Professional. Si vous etes developpeur, l'AWS Developer Associate complete parfaitement votre profil.
Les certifications Specialty restent tres valorisees : Security Specialty, Database Specialty, Advanced Networking et Machine Learning. Comptez environ 4 a 6 mois entre chaque certification pour bien capitaliser les connaissances.
Combien d'heures de revision faut-il pour reussir la SAA-C03 ? En moyenne 100 a 130 heures pour un debutant cloud, 60 a 80 heures pour quelqu'un ayant deja une experience AWS de 6 mois ou plus.
Faut-il passer par l'AWS Cloud Practitioner avant ? Non, ce n'est pas obligatoire. La CLF-C02 est un bonus si vous etes totalement debutant en cloud, mais beaucoup de candidats vont directement vers la SAA-C03 sans repasser par la fondation.
L'examen est-il disponible en francais ? Oui, en francais, mais la qualite des traductions est parfois imparfaite. Vous pouvez basculer en anglais a tout moment pendant l'examen via un bouton dedie. La majorite des candidats francais font l'examen en anglais.
Combien de temps pour recevoir le score officiel ? Le score provisoire (pass/fail) est affiche en fin d'examen. Le score detaille avec les pourcentages par domaine arrive dans votre AWS Certification Account sous 5 jours ouvres.
Que faire en cas d'echec ? Vous pouvez reprogrammer un nouvel examen apres 14 jours minimum. AWS limite les passages a 3 par an. La plupart des candidats reussissent a la 2e tentative apres analyse des domaines faibles.
La certification expire-t-elle vraiment apres 3 ans ? Oui, et il faut soit la repasser, soit passer la SAP-C02 (Solutions Architect Professional) qui revalide automatiquement la SAA. AWS envoie un rappel 6 mois avant l'expiration.
Existe-t-il des reductions sur le prix de l'examen ? Oui : un voucher de 50 % vous est offert apres avoir passe une certification AWS dans le cadre du benefice "Recertification". Egalement, AWS re/Start, AWS Educate et certains evenements (re:Invent, Summits) distribuent des vouchers gratuits.
Sur le sujet du reseau, l'examen approfondit largement les questions d'hybridation entre on-premise et cloud. AWS Direct Connect propose des liens dedies physiques de 1 Gbps a 100 Gbps avec des latences inferieures a 5 ms vers la region la plus proche. Direct Connect Gateway permet de connecter un Direct Connect a plusieurs VPCs dans plusieurs regions sans repayer les frais d'establishment. Pour des budgets plus modestes, Site-to-Site VPN (deux tunnels IPsec actifs) ou Client VPN (acces utilisateur via OpenVPN) restent des alternatives valides. Le scenario hybride moderne combine Direct Connect comme lien primaire et Site-to-Site VPN comme failover, configure via Transit Gateway pour centraliser le routage.
VPC PrivateLink merite une attention particuliere : il expose un service prive d'un VPC vers d'autres VPCs ou comptes via des Endpoints d'interface (ENI dans le subnet du consommateur). Ce mecanisme est tres demande dans les architectures SaaS multi-tenants. Notez que les VPC Endpoints de type Gateway sont reserves a S3 et DynamoDB et n'engendrent aucun cout supplementaire, alors que les Endpoints d'interface (Interface Endpoints) facturent environ 0,01 USD par heure et par AZ.
Les questions ECS et EKS gagnent en importance. Vous devez differencier les deux modes ECS : EC2 launch type (vous gerez les hosts) et Fargate (serverless containers, AWS gere le compute). EKS apporte Kubernetes manage avec un control plane facture 0,10 USD par heure et par cluster. Fargate fonctionne aussi sous EKS, simplifiant l'operation mais augmentant le cout par tache. Pour des batchs courts ou un trafic variable, Fargate est economique ; pour des charges constantes, EC2 reste moins cher d'environ 30 %.
Concernant le stockage des images, ECR (Elastic Container Registry) est le registre prive AWS, integre avec IAM, KMS et la replication multi-region. ECR Public depuis 2020 permet de heberger des images publiques (alternative a Docker Hub). Vous trouverez plus de detail sur l'orchestration containers dans notre guide CKA et notre comparatif Kubernetes detaille.
Lambda a evolue significativement : depuis 2022, il supporte des fonctions jusqu'a 10 GB de RAM, 6 vCPUs, et une duree maximale de 15 minutes. Le timeout par defaut est de 3 secondes (souvent une source d'erreur). Les Lambda Layers permettent de partager des bibliotheques entre fonctions. Lambda SnapStart (initialement pour Java) reduit les cold starts de 90 %. Provisioned Concurrency garantit des fonctions toujours pretes a repondre, sans cold start, mais a un cout fixe.
Pour la securite, isolez les fonctions critiques dans un VPC (cela ajoute un cold start mais permet l'acces aux ressources privees). Stockez les secrets dans Secrets Manager ou Parameter Store, jamais en variable d'environnement en clair. La rotation automatique des secrets est integree pour RDS, DocumentDB, Redshift et les credentials API custom.
Une startup veut diffuser des videos en direct a 500 000 spectateurs simultanes dans 20 pays. L'architecture cible : ingestion via MediaLive (transcodage en temps reel), stockage des chunks HLS sur S3, distribution via CloudFront avec 600+ edge locations, mesure de l'engagement via Kinesis Data Streams puis Kinesis Data Analytics, stockage analytique dans Redshift, dashboards QuickSight. Securisation par signed cookies CloudFront et WAF avec rate limiting. Cout mensuel estime : 12 000 USD pour 1 PB de bande passante.
Une banque migre une application Java/Oracle deployee sur des serveurs physiques. Strategie en 3 phases : (1) lift-and-shift via Application Migration Service vers EC2 r6i avec EBS io2 ; (2) replatform de la base vers RDS Custom for Oracle (compatible licences BYOL) ; (3) refactoring graduel vers ECS Fargate et Aurora PostgreSQL via Babelfish. Le tout securise par AWS Network Firewall, Macie pour la detection PII, et Config Rules pour la conformite PCI-DSS et DORA.
Un fabricant collecte des donnees de 200 000 capteurs distribues. Architecture : AWS IoT Core comme broker MQTT, IoT Rules pour router les messages vers Kinesis Firehose, stockage brut sur S3, transformation par AWS Glue, stockage chaud dans Timestream pour les requetes time-series, alertes via SNS et Lambda. Pour la maintenance predictive, SageMaker entraine des modeles, deployes en edge via IoT Greengrass sur les sites industriels.
De nombreux candidats hesitent entre la SAA-C03, l'AZ-104 Azure Administrator et le Google Associate Cloud Engineer. Voici quelques reperes pour choisir :
| Critere | AWS SAA-C03 | Azure AZ-104 | GCP ACE |
|---|---|---|---|
| Niveau cible | Architecte/concepteur | Administrateur | Operations |
| Difficulte | Elevee | Moyenne | Moyenne |
| Marche du travail FR | Tres demande | Tres demande | Moins demande |
| Salaire moyen apres | 72 000 EUR | 65 000 EUR | 68 000 EUR |
| Validite | 3 ans | 1 an (renouvellement gratuit) | 2 ans |
| Prix | 150 USD | 165 USD | 125 USD |
Si votre entreprise est deja sur AWS, ne reflechissez pas : SAA-C03. Si elle est multi-cloud ou Microsoft-centric, ajoutez la certification correspondante apres. Beaucoup de cloud architects modernes detiennent les deux certifications majeures pour rester competitifs.
La certification AWS SAA-C03 demeure en 2026 l'investissement formation cloud le plus rentable du marche IT. Avec 100 a 130 heures de preparation rigoureuse, un compte AWS de pratique, des examens blancs realistes et la lecture des whitepapers AWS, vous mettez toutes les chances de votre cote pour une reussite au premier essai et une progression salariale immediate de 15 a 30 %. La cle du succes : alterner theorie, pratique sur la console, analyse de cas reels et evaluation reguliere via examens blancs.
Notre conseil final : ne visez pas seulement la reussite a l'examen, mais surtout la maitrise concrete des services. Les recruteurs distinguent vite les candidats qui ont survole les questions et ceux qui ont reellement architecture des systemes. Documentez vos projets sur GitHub, parlez de vos deploiements en entretien, partagez vos retours d'experience sur LinkedIn : c'est cette combinaison certification + portfolio qui transformera votre carriere. Au-dela de la certification, la formation continue reste essentielle dans un cloud en evolution permanente. Suivez le blog de Werner Vogels (CTO d'Amazon), inscrivez-vous a la newsletter AWS What's New, participez aux AWS Community Days en France (Paris, Lyon, Lille) ou assistez a re:Invent (Las Vegas, novembre) pour rester a la pointe.
Les architectures cloud bien concues ne sont pas seulement performantes et securisees : elles sont aussi durables. AWS s'engage a alimenter ses operations a 100 % en energies renouvelables d'ici 2025 et la SAA-C03 integre desormais des questions sur le pilier durabilite : choix de regions a faible empreinte carbone (Stockholm, Montreal, Dublin), instances Graviton plus efficientes, archivage froid au lieu de stockage chaud, optimisation du sizing. Cette dimension responsable devient un argument cle dans les RFP et les choix d'architecture B2B en Europe.
Pour cloturer ce guide, voici un glossaire condense des acronymes que vous croiserez dans 80 % des questions de l'examen et que vous devez maitriser sans hesitation. Ce vocabulaire constitue le langage commun des architectes cloud et est indispensable pour la lecture rapide des scenarios.
Cette base vocabulaire combinee aux 12 sections precedentes constitue un socle complet pour aborder l'examen avec confiance. Bonne preparation et bonne reussite a votre passage SAA-C03 !
Certifexpress propose des examens blancs gratuits pour valider vos connaissances avant le jour J.
Voir les examens disponibles →