Accueil · Guides de révision · 350-701

Guide complet 350-701 — Cisco

Implementing and Operating Cisco Security Core Technologies (SCOR) · Programme, plan de révision, ressources, examen blanc gratuit.

TL;DR — Le guide en 1 minute

La certification Cisco 350-701 SCOR s'adresse aux ingenieurs securite reseau experimentes visant le niveau CCNP Security ou CCIE Security. Examen de 120 minutes, environ 90-110 questions (QCM, drag-and-drop, simulations), score d'environ 825/1000 requis, prix 400 USD. Prerequis recommande : 3-5 ans d'experience en solutions securite. Debouches : Network Security Engineer, SOC Analyst, Security Architect. Couvre VPN, NGFW, cloud security, endpoint, segmentation et automation.

Pourquoi passer la certification 350-701 ?

En 2026, la cybersecurite reste la priorite numero un des DSI europeennes face a l'explosion des ransomwares, attaques sur la chaine d'approvisionnement et reglementations NIS2 et DORA. La 350-701 SCOR valide une expertise transverse sur l'ensemble du portefeuille securite Cisco (Firepower, ISE, Umbrella, Secure Endpoint, Stealthwatch), un atout majeur car Cisco detient encore plus de 35% du marche des equipements securite en entreprise. Decrocher SCOR ouvre l'acces au CCNP Security (avec un examen concentration au choix) et constitue un tremplin vers le CCIE Security. La demande pour des profils certifies CCNP Security a augmente de 22% sur LinkedIn France entre 2024 et 2026, avec des offres allant de 55 a 85 keuros bruts. Valoriser cette certification sur un CV signale aux recruteurs une maitrise concrete des architectures Zero Trust, SASE et SD-WAN securisees, trois sujets brulants en transformation digitale. Pour un consultant ou freelance, le TJM gagne 80 a 150 euros par rapport a un profil CCNA. C'est aussi une cert reconnue mondialement, transferable hors de l'Europe.

Caractéristiques de l'examen

Format	QCM, drag-and-drop, simulations (90-110 questions)
Duree	120 minutes
Score requis	Environ 825/1000 (variable)
Prix officiel	400 USD (environ 380 EUR)
Langues	Anglais, Japonais
Validite	3 ans
Prerequis	Aucun officiel, 3-5 ans d'experience securite recommandes, CCNA conseille

Programme détaillé par domaine

Domain 1 : Security Concepts 25%

Objectifs: Ce domaine couvre les fondamentaux de la securite des informations et de la cybersecurite moderne. Le candidat doit comprendre les principes CIA (Confidentialite, Integrite, Disponibilite), les architectures de defense en profondeur, la difference entre vulnerabilite, menace et exploit, ainsi que les modeles d'attaque tels que la kill chain et MITRE ATT&CK. Il faut maitriser les concepts de cryptographie (symetrique, asymetrique, PKI, hashing SHA-256, signatures numeriques), les protocoles VPN IPsec (IKEv1, IKEv2, ISAKMP) et SSL/TLS, ainsi que l'analyse de la securite des API REST. Une bonne connaissance du modele SecDevOps, du Zero Trust et de la segmentation est attendue. Ce domaine constitue la base theorique sur laquelle reposent les autres modules.
Concepts clés: Cryptographie a cle publique, certificats X.509, chaines de confiance, OCSP, hashing, HMAC, AES, RSA, ECC, Diffie-Hellman, parfait forward secrecy. Modeles VPN site-a-site et remote-access, GETVPN, DMVPN, FlexVPN, AnyConnect SSL VPN. Kill chain Lockheed, framework MITRE ATT&CK, indicateurs de compromission (IoC). Vecteurs d'attaque cloud (CASB, shadow IT), attaques DNS (tunneling, DGA), attaques web (OWASP Top 10, XSS, CSRF, SQLi). Comprehension des risques API (OAuth, JWT) et des menaces persistantes avancees (APT).
Services / outils: Outils Cisco : Talos Intelligence, Threat Grid sandbox. Protocoles : IPsec, ESP, AH, TLS 1.3, SSH. Concepts : NetFlow, sFlow, syslog, SNMPv3 pour la telemetrie securisee.
Temps estimé: 12-15h

Domain 2 : Network Security 20%

Objectifs: Ce domaine traite de la securisation des infrastructures reseau Cisco. Le candidat doit savoir deployer et administrer les pare-feu Cisco ASA et Firepower Threat Defense (FTD), configurer des politiques NGFW, des IPS Snort et des inspections SSL/TLS. Il faut comprendre les techniques de durcissement des equipements (control plane policing, MPP, CoPP), la securite de la couche 2 (DHCP snooping, ARP inspection, port-security, BPDU guard), ainsi que la segmentation via VRF et VLAN prives. La detection d'intrusion, la gestion NAT, le routage securise (OSPF authentification, BGP TTL security) et la haute disponibilite des firewalls sont aussi evalues. Le module integre les principes de visibilite NetFlow et Stealthwatch.
Concepts clés: ASA vs FTD, FMC (Firepower Management Center), politiques d'acces, regles preprocessor Snort 3, decryption SSL, URL filtering, application visibility control (AVC). Securite L2 : DAI, IPSG, storm control, root guard. Securite du plan de controle : CoPP, MPP, CPP. Cisco TrustSec, SGT (Security Group Tags), SXP. Haute dispo : failover actif/standby, clustering. Telemetrie : NetFlow v9, IPFIX, Stealthwatch flow collector.
Services / outils: Cisco Secure Firewall (ex-Firepower), FMC, FDM, ASA, Snort 3, Stealthwatch (Secure Network Analytics), Encrypted Traffic Analytics (ETA), Cisco TrustSec, MACsec.
Temps estimé: 15-18h

Domain 3 : Securing the Cloud 15%

Objectifs: Ce domaine adresse les enjeux specifiques de la securite cloud (IaaS, PaaS, SaaS) et la responsabilite partagee. Le candidat doit comprendre les principes de protection des workloads sur AWS, Azure et GCP, les solutions CASB, les passerelles SWG, ainsi que les architectures SASE. La protection des emails (Secure Email Gateway) et de la navigation web (Secure Web Appliance, Umbrella) est centrale. Il faut connaitre les API de provisioning cloud, la securite des conteneurs (Tetration, Secure Workload), et l'orchestration via outils DevSecOps. La detection des menaces cloud, l'integration avec SIEM et les politiques DLP completent ce module.
Concepts clés: Modele de responsabilite partagee, CSPM, CWPP, CASB (4 piliers : visibilite, conformite, protection donnees, threat protection). Cisco Umbrella DNS security, secure web gateway, RBI. Cisco Secure Email Gateway : anti-spam, anti-phishing, DKIM, SPF, DMARC. Cisco Secure Workload (ex-Tetration) pour la microsegmentation. AppDynamics pour l'observabilite. Securisation des conteneurs Docker, Kubernetes, Istio.
Services / outils: Cisco Umbrella, Cisco Secure Email, Cisco Secure Web Appliance (WSA), Cloudlock CASB, Secure Workload, Duo MFA, AnyConnect avec Umbrella roaming.
Temps estimé: 10-12h

Domain 4 : Content Security 10%

Objectifs: Ce domaine se concentre sur la protection des flux de contenu, principalement email et web. Le candidat doit configurer Cisco Secure Email Gateway (anciennement ESA) pour filtrer le spam, le phishing, les malwares et appliquer des politiques DLP. Cote web, il faut maitriser le Secure Web Appliance (SWA, ex-WSA) avec ses fonctions de proxy explicite ou transparent, l'authentification utilisateur (LDAP, Kerberos, NTLM), le filtrage URL par categorie Talos, et l'inspection HTTPS. L'integration avec Cisco Umbrella pour la protection DNS au niveau resolveur recursive est essentielle, notamment dans des contextes hybrides ou nomades.
Concepts clés: Listener public et prive, table HAT, RAT, sender reputation Talos, content filters, outbreak filters. Pour SWA : WCCP, PAC files, proxy chaining, identification policies, access policies, decryption policies. DLP : empreintes, dictionnaires, expressions regulieres. DNS security : recursive DNS, RPZ, Investigate API.
Services / outils: Cisco Secure Email Gateway, Cisco Secure Web Appliance, Cisco Umbrella (DNS, SIG), AMP for Email, Talos reputation feeds, Cognitive Threat Analytics.
Temps estimé: 8-10h

Domain 5 : Endpoint Protection, Detection, Secure Access and Visibility 30%

Objectifs: Ce domaine fusionne deux axes : la protection des endpoints (EDR) et le controle d'acces reseau (NAC). Le candidat doit deployer Cisco Secure Endpoint (ex-AMP) avec ses moteurs antimalware, ses politiques d'exclusion, le retrospective security et l'integration ThreatGrid. Cisco ISE est central : architectures de deploiement (PAN, PSN, MnT), profiling, posture assessment, 802.1X filaire et sans fil, MAB, web authentication, BYOD avec onboarding, certificats internes. La visibilite globale via SecureX (XDR), Stealthwatch et la correlation multi-sources est demandee. La MFA via Duo Security et l'integration Zero Trust completent le scope.
Concepts clés: EDR vs EPP, indicateurs comportementaux, sandboxing Threat Grid, file trajectory, device trajectory. ISE : nodes PAN/PSN/MnT, RADIUS, TACACS+, change of authorization (CoA), profiling DHCP/HTTP/RADIUS, posture compliant/non-compliant, dACL, downloadable ACL, SGT assignment. pxGrid pour l'integration. Duo : push notification, U2F, FIDO2, application self-service.
Services / outils: Cisco Secure Endpoint, Cisco ISE, Cisco SecureX, Duo Security, Cisco AnyConnect (Secure Client), Threat Response, pxGrid, Stealthwatch.
Temps estimé: 18-22h

Plan de révision hebdomadaire

Semaine 1-2 : Fondations theoriques. Lire le blueprint officiel 350-701 v1.1 sur learningnetwork.cisco.com et le livre 'CCNP Security SCOR Official Cert Guide' (chapitres 1-6). Couvrir cryptographie, VPN, modeles de menaces. Faire 2-3 labs IPsec sur Cisco Modeling Labs (CML) ou EVE-NG. Semaine 3-4 : Network Security. Approfondir ASA et FTD via les guides de configuration officiels. Monter une lab Firepower Management Center, configurer politiques NGFW, IPS Snort, decryption SSL. Etudier securite L2 et TrustSec. Realiser 30 questions de pratique par jour. Semaine 5 : Cloud et Content Security. Tester Cisco Umbrella en demo (compte gratuit 14 jours), explorer Secure Email Gateway dans la VM d'evaluation. Lire les white papers Cisco SASE et CASB. Semaine 6-7 : Endpoint et Secure Access. C'est le plus gros chunk (30%). Deployer ISE 3.x en lab, configurer 802.1X, profiling, posture. Faire au moins 5 scenarios BYOD complets. Tester Secure Endpoint et SecureX en trial. Semaine 8 : Revision active. Faire 3 examens blancs Boson ExSim (le plus proche de la difficulte reelle). Reviser les erreurs, refaire les labs sur les zones faibles. Lire l'Exam Topics official une derniere fois. J-3 : derniere passe sur les commandes CLI ASA/FTD et ISE. J-1 : repos, hydratation, sommeil. Jour J : arriver 30 minutes en avance, lire chaque question deux fois, marquer les questions douteuses.

Besoin d'un planning sur mesure ? 30 jours · 60 jours · 90 jours

Ressources recommandées

Cisco Learning Network - Exam Topics 350-701

Blueprint officiel de l'examen avec liste exhaustive des objectifs et ressources gratuites.

CCNP Security SCOR Official Cert Guide (Cisco Press)

Livre de reference par Omar Santos, 1500+ pages avec questions et lab guide.

Cisco Modeling Labs (CML) / dCloud

Environnements de labs gratuits pour pratiquer ASA, FTD, ISE et Umbrella.

Cisco Learning Network Community

Forums actifs, study groups et webinaires gratuits avec des Cisco Champions.

5 erreurs classiques à éviter

Erreur 1 : Negliger les labs pratiques sur ISE et FTD. Le 30% du domaine endpoint exige une maitrise concrete de la CLI et de l'interface FMC. Solution : minimum 40h de lab.
Erreur 2 : Confondre les produits renommes (ESA devient Secure Email, AMP devient Secure Endpoint, Tetration devient Secure Workload). Apprendre l'ancien ET le nouveau nom car les questions melangent les deux.
Erreur 3 : Sous-estimer la cryptographie. Beaucoup de candidats reseau zappent IPsec phase 1/phase 2 details (transform sets, PFS, DH groups). Reviser tous les algorithmes et leur usage.
Erreur 4 : Ignorer les API et l'automation. L'examen contient des questions sur REST API, JSON, Ansible, pxGrid. Pratiquer Postman avec FMC API et ISE API.
Erreur 5 : Memoriser sans comprendre les architectures. Les questions scenario testent la conception (ou placer un proxy, quand utiliser SXP vs inline tagging). Dessiner des architectures aide enormement.

5 questions types corrigées

Q1. Quelle solution Cisco permet de classifier le trafic en fonction de l'identite de l'utilisateur ou du peripherique et de propager ces tags a travers le reseau ?

Réponse : B

Cisco TrustSec utilise des Security Group Tags (SGT) attribues a la source (souvent par ISE apres authentification 802.1X). Ces tags sont propages via inline tagging dans l'en-tete Cisco Meta Data ou via le protocole SXP entre equipements non capables. Les SGACL appliquent ensuite des politiques aux destinations. Umbrella fait du filtrage DNS, AnyConnect Posture verifie la conformite endpoint et Stealthwatch analyse les flux NetFlow pour la detection comportementale.

Q2. Quel composant de Cisco ISE est responsable de la collecte et de la correlation des logs ainsi que du reporting ?

Réponse : C

Le noeud MnT centralise les logs RADIUS, TACACS+, syslog et les rapports d'audit dans ISE. Le PAN gere la configuration globale et la replication, le PSN traite les requetes d'authentification et de policy en temps reel, et pxGrid permet le partage d'informations contextuelles avec des solutions tierces (SIEM, EDR). Dans un deploiement distribue, on peut dedier deux noeuds MnT en mode actif/standby pour la haute disponibilite et la performance des reportings.

Q3. Quel protocole VPN Cisco utilise NHRP pour construire dynamiquement des tunnels spoke-to-spoke ?

Réponse : C

DMVPN (Dynamic Multipoint VPN) utilise mGRE pour les interfaces multipoint et NHRP (Next Hop Resolution Protocol) pour resoudre dynamiquement les adresses physiques des spokes. Cela permet aux spokes de creer des tunnels directs entre eux apres consultation du hub, optimisant la latence. GETVPN n'a pas de tunnels (chiffrement group key, ideal pour MPLS prive). FlexVPN est base sur IKEv2 et propose une architecture unifiee. SSL VPN concerne l'acces distant utilisateur via AnyConnect.

Voir plus de questions gratuites →

Carrière & salaire après 350-701

En France et en Europe en 2026, un Network Security Engineer certifie SCOR percoit entre 55 et 70 keuros bruts annuels en debut de parcours, montant a 75-90 keuros avec 5 ans d'experience. Les Security Architects certifies CCNP/CCIE depassent 100 keuros, notamment dans la finance, la defense et le conseil. Les freelances facturent entre 600 et 900 euros par jour selon l'expertise sur ISE ou Firepower. La 350-701 ouvre l'acces direct aux postes de SOC L2/L3, ingenieur SASE, consultant Zero Trust. Certifications complementaires recommandees : CCNP Security concentration (SISE, SNCF, SESA, SWSA, SAUI), Cisco CyberOps Professional pour le SOC, AWS Security Specialty pour le cloud, ou CISSP pour evoluer vers le management.

Détail des salaires 350-701 en 2026 →

FAQ — 350-701

Combien de temps faut-il pour preparer 350-701 ?

Comptez 8 a 12 semaines a raison de 10-15h hebdomadaires pour un profil ayant deja un CCNA et de l'experience securite. Sans experience, prevoyez 4 a 6 mois.

Cette certification est-elle reconnue en France ?

Oui, tres largement. Cisco reste leader sur le marche francais des equipements securite. La 350-701 est citee dans la majorite des offres CCNP Security et missions de conseil ESN (Orange, Capgemini, Sopra, Devoteam).

Quel est le taux de reussite a 350-701 ?

Cisco ne publie pas les taux officiels, mais les estimations communautaires situent le taux de reussite au premier essai entre 45 et 55%. La difficulte vient de l'etendue du scope (5 domaines tres differents).

Quel est le salaire apres 350-701 ?

En France, un ingenieur securite SCOR debute autour de 50-60 keuros, monte a 70-85 keuros avec experience. En Suisse ou au Luxembourg, comptez +30 a 40%. Freelance : 600-900 EUR/jour.

Faut-il une experience prealable ?

Aucun prerequis officiel, mais Cisco recommande 3 a 5 ans d'experience en solutions securite. Avoir un CCNA et avoir manipule un ASA, un FTD ou ISE est tres fortement conseille.

350-701 ou cert concurrente : laquelle choisir ?

Comparee au CompTIA Security+ (plus generaliste, junior) ou au Fortinet NSE4 (centre Fortigate), la SCOR est plus profonde et orientee architecture multi-produits Cisco. CISSP est plus management/gouvernance.

Combien coute l'examen 350-701 ?

400 USD officiels en 2026, soit environ 380 euros HT. Possibilite de vouchers Cisco Learning Credits via employeur ou de promos -20% lors des Cisco Live.

Combien de fois peut-on repasser 350-701 ?

En cas d'echec, delai de 5 jours avant retry. Pas de limite de tentatives, mais chaque essai est facture plein tarif. Apres 4 echecs, delai de 6 mois impose par Cisco.

Prêt à passer à la pratique ?

Lancez votre examen blanc gratuit ou faites le test d'orientation pour valider votre choix.

Démarrer l'examen blanc 350-701 → Test d'orientation