Accueil · Guides de révision · ANS-C01

Guide complet ANS-C01 — AWS

AWS Certified Advanced Networking - Specialty · Programme, plan de révision, ressources, examen blanc gratuit.

TL;DR — Le guide en 1 minute

L'AWS Certified Advanced Networking - Specialty (ANS-C01) cible les architectes reseau, ingenieurs cloud et specialistes hybrides maitrisant deja AWS. L'examen comprend 65 questions QCM en 170 minutes, score requis 750/1000, prix 300 USD. Prerequis : 5 ans d'experience reseau dont 2 ans sur AWS. Debouches : Cloud Network Architect, Hybrid Connectivity Engineer, SDN Specialist, avec salaires entre 70k et 110k EUR en France. Certification de niveau specialiste tres valorisee sur le marche europeen 2026.

Pourquoi passer la certification ANS-C01 ?

En 2026, la complexite des architectures hybrides et multi-cloud explose : 87% des grandes entreprises europeennes operent au moins deux clouds publics, generant une demande forte pour les experts reseau cloud. ANS-C01 valide une expertise rare combinant BGP, IPsec, Transit Gateway, Direct Connect et services edge AWS. Le ROI est considerable : selon le rapport Global Knowledge 2026, les detenteurs de certifications AWS Specialty gagnent en moyenne 22% de plus que les certifies Associate. La valorisation CV est immediate car peu de candidats osent affronter cet examen technique : moins de 15 000 certifies actifs en Europe. Les entreprises FinOps, telecoms, banques et secteur public recherchent activement ces profils pour migrer leurs WAN vers SD-WAN cloud-native. La certification ouvre aussi des missions freelance entre 700 et 1100 EUR/jour. Avec la montee des architectures zero-trust, du SASE et des deploiements IPv6 obligatoires sur AWS, ANS-C01 devient un passage incontournable pour quiconque vise un poste de Principal Network Architect ou Cloud Infrastructure Lead d'ici 2027.

Caractéristiques de l'examen

Format QCM et QCM multiples, 65 questions
Duree 170 minutes
Score requis 750/1000 (environ 75%)
Prix officiel 300 USD (environ 280 EUR)
Langues Anglais, Japonais, Coreen, Chinois simplifie
Validite 3 ans
Prerequis Recommande : 5 ans en reseaux, 2 ans sur AWS

Programme détaillé par domaine

Domain 1 : Network Design 30%

Objectifs
Ce domaine evalue la capacite a concevoir des architectures reseau AWS evolutives, hautement disponibles et securisees. Le candidat doit savoir choisir entre VPC peering, Transit Gateway et Cloud WAN selon les contraintes de scalabilite, latence et cout. Il faut maitriser la segmentation multi-comptes via AWS Organizations, la conception d'architectures hub-and-spoke, et les patterns de connectivite hybride incluant Direct Connect avec MACsec. La conception IPv6 dual-stack, le adressage CIDR non chevauchant entre regions et la planification capacitaire reseau sont essentiels.
Concepts clés
Maitriser les notions de Transit Gateway route tables, Cloud WAN core network policy en JSON, segmentation reseau via Network Manager. Connaitre BGP ASN privates/publics, communities BGP, AS-path prepending pour le traffic engineering. Comprendre les patterns Centralized Egress avec NAT Gateway, Centralized Inspection via Gateway Load Balancer et Network Firewall. Maitriser PrivateLink versus VPC endpoints Gateway, la resolution DNS hybride avec Route 53 Resolver endpoints inbound/outbound. Savoir dimensionner Direct Connect (1/10/100 Gbps), LAG, SiteLink pour interconnexion globale.
Services / outils
Services : VPC, Transit Gateway, Cloud WAN, Direct Connect, Site-to-Site VPN, PrivateLink, Network Firewall, Gateway Load Balancer, Global Accelerator. Protocoles : BGP, IPsec IKEv2, MACsec, BFD.
Temps estimé
20-25h

Domain 2 : Network Implementation 26%

Objectifs
Implementer les solutions reseau concues : automatisation du deploiement via IaC, configuration des connexions hybrides operationnelles, et integration avec les datacenters on-premises. Le candidat doit savoir mettre en oeuvre des deploiements multi-regions, automatiser via CloudFormation ou Terraform, et configurer les sessions BGP avec haute disponibilite. La gestion du cycle de vie des certificats, le deploiement de regles de routage avancees et l'integration avec des appliances tierces (Cisco, Palo Alto, Fortinet) sont evaluees.
Concepts clés
Configuration BGP multi-session sur Direct Connect avec failover automatique, MD5 authentication. Mise en oeuvre de Transit Gateway Connect avec GRE et BGP pour SD-WAN. Automatisation via CloudFormation StackSets multi-comptes. Deploiement de Route 53 Resolver DNS Firewall, gestion des conditional forwarding rules. Configuration de VPC Lattice pour service-to-service networking. Implementation de Network Load Balancer avec preservation IP source, cross-zone load balancing. Gestion des Elastic IPs, Bring Your Own IP (BYOIP) avec ROA RPKI.
Services / outils
CloudFormation, AWS CDK, Terraform, Route 53, ACM, CloudHSM, Transit Gateway Connect, VPC Lattice, AWS Network Manager, Systems Manager.
Temps estimé
15-20h

Domain 3 : Network Management and Operation 20%

Objectifs
Exploiter et maintenir les infrastructures reseau en production. Le candidat doit savoir mettre en place le monitoring proactif, l'analyse de logs reseau, l'automatisation des operations courantes et la gestion des changements. La capacite a diagnostiquer les pannes en temps reel, optimiser les performances et gerer la capacite est evaluee. La conformite operationnelle, la documentation et le respect des SLA AWS Direct Connect (99.9% ou 99.99%) sont egalement testes.
Concepts clés
Analyse des VPC Flow Logs en format Parquet vers S3, requetes Athena pour detection d'anomalies. Utilisation de CloudWatch Network Monitor, Internet Monitor pour mesurer la qualite vers les utilisateurs finaux. Configuration de Reachability Analyzer et Network Access Analyzer pour audits de chemins. Gestion des CloudTrail logs reseau, integration avec Security Lake. Automatisation via EventBridge des reponses aux evenements Direct Connect (down, BGP flaps). Comprendre les metriques BGP : route count, session state, BFD timers.
Services / outils
CloudWatch, VPC Flow Logs, Reachability Analyzer, Network Access Analyzer, Transit Gateway Network Manager, Internet Monitor, CloudTrail.
Temps estimé
12-15h

Domain 4 : Network Security, Compliance, and Governance 14%

Objectifs
Securiser les architectures reseau AWS face aux menaces modernes. Le candidat doit concevoir des architectures zero-trust, mettre en oeuvre la micro-segmentation, gerer les controles d'acces reseau granulaires et assurer la conformite reglementaire (PCI-DSS, HIPAA, RGPD). La capacite a deployer une defense en profondeur combinant Security Groups, NACLs, WAF, Shield Advanced et Network Firewall est evaluee.
Concepts clés
Maitrise des Security Groups stateful versus NACLs stateless. Configuration de AWS Network Firewall avec regles Suricata IPS/IDS, domain filtering. Deploiement de WAF avec regles managed, bot control, rate-based rules. Protection DDoS avec Shield Advanced, integration Route 53 et CloudFront. Chiffrement en transit : TLS 1.3, IPsec IKEv2 avec PFS, MACsec sur Direct Connect 10/100 Gbps. Logging centralise via Security Hub. Architecture inspection VPC avec Gateway Load Balancer et appliances tierces.
Services / outils
AWS Network Firewall, WAF, Shield Advanced, GuardDuty, Security Hub, Firewall Manager, Macie, KMS.
Temps estimé
10-12h

Domain 5 : Network Performance and Optimization 10%

Objectifs
Optimiser les performances reseau et le cout des architectures AWS. Le candidat doit savoir reduire la latence, augmenter le debit, optimiser les couts de Data Transfer et choisir les options Direct Connect ou VPN les plus rentables. L'usage strategique des services edge (CloudFront, Global Accelerator) pour ameliorer l'experience utilisateur globale est evalue, ainsi que le tuning des instances reseau-optimisees.
Concepts clés
Choix entre Enhanced Networking ENA et EFA pour HPC. Comprendre Jumbo Frames (9001 MTU) intra-VPC versus 1500 MTU inter-VPC. Placement Groups Cluster pour low latency. Tuning TCP : window scaling, congestion control. Optimisation cout : centraliser le NAT, utiliser VPC endpoints au lieu de NAT pour S3/DynamoDB, choisir Direct Connect au-dela d'un certain volume mensuel. Global Accelerator versus CloudFront selon protocoles. Edge locations et Regional Edge Caches.
Services / outils
Global Accelerator, CloudFront, ENA, EFA, Placement Groups, VPC endpoints Gateway/Interface, Direct Connect, Wavelength, Local Zones.
Temps estimé
8-10h

Plan de révision hebdomadaire

Planning recommande sur 10 semaines a raison de 10h hebdomadaires. Semaine 1-2 : revisions fondamentaux reseau (BGP, OSPF, IPsec, TLS, DNS) et lecture du AWS Certified Advanced Networking Specialty Exam Guide officiel. Etudier la documentation VPC, Transit Gateway et Direct Connect. Semaine 3 : Domain 1 Network Design. Lire les whitepapers 'Hybrid Connectivity', 'Building a Scalable and Secure Multi-VPC AWS Network Infrastructure'. Realiser des labs sur Transit Gateway et Cloud WAN. Semaine 4 : Domain 2 Network Implementation. Pratiquer CloudFormation et Terraform pour deployer un hub TGW avec inspection centralisee. Configurer un VPN Site-to-Site avec BGP. Semaine 5 : Domain 3 Operations. Mettre en place Reachability Analyzer, VPC Flow Logs vers Athena, dashboards CloudWatch. Tester Network Access Analyzer sur architecture multi-comptes. Semaine 6 : Domain 4 Securite. Deployer Network Firewall avec regles Suricata, WAF avec bot control, Shield Advanced. Etudier les patterns zero-trust AWS. Semaine 7 : Domain 5 Performance. Comparer Global Accelerator versus CloudFront, tester ENA/EFA, optimiser couts Data Transfer. Semaine 8 : premier examen blanc complet (Tutorials Dojo ou Whizlabs), analyser erreurs, revoir domaines faibles. Semaine 9 : second examen blanc, focus sur questions scenario complexes multi-domaines. Revoir tous les whitepapers reseau AWS. Semaine 10 : revision finale, flashcards BGP/IPsec, derniers labs hands-on, repos avant examen. Reserver l'examen Pearson VUE ou online proctored 2-3 semaines a l'avance.

Besoin d'un planning sur mesure ? 30 jours · 60 jours · 90 jours

Ressources recommandées

Documentation officielle AWS ANS-C01

Guide officiel de l'examen, exemples de questions et plan detaille des domaines.

AWS Skill Builder - Exam Prep Enhanced Course

Cours officiel AWS avec labs integres, examens blancs et videos par les architectes AWS.

Adrian Cantrill ANS-C01 Course

Cours reference dans la communaute AWS, tres detaille sur BGP, Direct Connect et Transit Gateway.

Tutorials Dojo Practice Exams

Examens blancs ANS-C01 reputes proches du vrai examen, avec explications detaillees.

AWS re:Post Networking Community

Forum officiel AWS pour poser des questions techniques et echanger avec la communaute.

5 erreurs classiques à éviter

  • Erreur 1 : Confondre Transit Gateway et VPC Peering. Le TGW supporte le transitive routing alors que le peering est strictement bilateral. Memoriser les limites : 5000 VPC par TGW, 125 peering par VPC.
  • Erreur 2 : Negliger BGP. L'examen contient de nombreuses questions sur AS-path, communities, MED, local preference et BFD. Sans maitrise BGP solide, echec quasi certain.
  • Erreur 3 : Mal comprendre la difference entre Security Groups (stateful) et NACLs (stateless). Les NACLs necessitent des regles explicites pour le trafic retour, source de bugs en production.
  • Erreur 4 : Sous-estimer les couts Data Transfer. Choisir VPN au lieu de Direct Connect pour de gros volumes coute cher. Connaitre les seuils de rentabilite et le break-even mensuel.
  • Erreur 5 : Oublier que Direct Connect n'est PAS chiffre nativement. Pour la conformite, il faut ajouter MACsec (10/100 Gbps uniquement) ou un VPN par-dessus le Direct Connect.

5 questions types corrigées

Q1. Une entreprise utilise Direct Connect 10 Gbps avec une Private VIF vers un VPC. Elle souhaite chiffrer le trafic pour conformite PCI-DSS. Quelle solution minimise la latence ?
Réponse : A
MACsec chiffre au niveau Layer 2 directement sur le lien Direct Connect, avec un overhead minimal et une latence quasi nulle. Il est disponible sur les connexions dediees 10 et 100 Gbps. L'option B fonctionne mais ajoute de l'overhead IPsec et de la latence. L'option C ne couvre pas tous les protocoles. L'option D perd les benefices de Direct Connect. MACsec utilise AES-256-GCM et est conforme PCI-DSS pour le chiffrement en transit.
Q2. Un architecte doit connecter 200 VPC dans 4 regions AWS avec routage transitif et segmentation. Quelle solution est la plus adaptee ?
Réponse : C
AWS Cloud WAN est concu pour les architectures multi-regions a grande echelle avec segmentation native via la core network policy en JSON. Il gere automatiquement le routage transitif inter-regions sans TGW Peering manuel. L'option A est impraticable a 200 VPC (19900 peerings). L'option B fonctionne mais necessite la gestion manuelle des TGW Peerings et des route tables, plus complexe. L'option D ne fournit pas de routage IP general mais de l'expose service-by-service.
Q3. Une session BGP entre un routeur on-premise et Direct Connect flap toutes les 30 secondes. Quelle est la cause la plus probable ?
Réponse : B
Des flaps reguliers a intervalle court (30s) sont typiques d'une configuration BFD avec des timers trop agressifs (par exemple 300ms x 3 multiplier) sur des liens instables. AWS recommande des timers BFD raisonnables (1000ms x 3). L'option A causerait des pertes de paquets mais pas necessairement des flaps reguliers. L'option C empecherait la session de s'etablir entierement. L'option D causerait un echec d'etablissement, pas des flaps. Verifier toujours les logs BGP et les timers BFD en priorite.

Voir plus de questions gratuites →

Carrière & salaire après ANS-C01

En 2026, les detenteurs ANS-C01 en France beneficient de salaires entre 70k et 95k EUR brut annuel en CDI pour un Cloud Network Engineer, et 90k-130k EUR pour un Principal Network Architect. En freelance, les TJM atteignent 750-1100 EUR selon expertise. Les secteurs porteurs : banque (BNP, Societe Generale), telecom (Orange, SFR), defense (Thales, Atos), e-commerce et FinOps. Les debouches couvrent : Cloud Network Architect, Hybrid Connectivity Lead, SDN/SASE Engineer, Network Security Architect. Certifications complementaires recommandees : AWS Security Specialty, AWS Solutions Architect Professional, Cisco CCIE Cloud, ou HashiCorp Terraform Associate. L'evolution naturelle mene vers des roles Principal Engineer ou CTO Infrastructure d'ici 3-5 ans.

Détail des salaires ANS-C01 en 2026 →

FAQ — ANS-C01

Combien de temps faut-il pour preparer ANS-C01 ?

Entre 100 et 150 heures sur 8-12 semaines pour un ingenieur reseau experimente. Comptez 200h+ si vous decouvrez AWS ou BGP. Un planning de 10h hebdomadaires sur 10 semaines est optimal.

Cette certification est-elle reconnue en France ?

Oui, ANS-C01 est l'une des certifications cloud les plus valorisees en France. Reconnue par tous les grands cabinets (Capgemini, Accenture, Sopra Steria) et les editeurs cloud. Elle ouvre des missions chez les grands comptes CAC 40.

Quel est le taux de reussite a ANS-C01 ?

Estime autour de 55-65% au premier essai selon les communautes (chiffres non officiels AWS). C'est l'une des Specialty les plus exigeantes techniquement avec la Security Specialty.

Quel est le salaire apres ANS-C01 ?

Entre 70k et 95k EUR brut/an en CDI pour un profil 5 ans d'experience, jusqu'a 130k EUR pour Principal Architect. En freelance : TJM de 750 a 1100 EUR selon Paris/regions.

Faut-il une experience prealable ?

AWS recommande 5 ans d'experience reseau dont 2 ans sur AWS. Sans bases BGP/IPsec solides, l'examen est tres difficile. Avoir passe au moins le SAA-C03 ou SAP-C02 avant est conseille.

ANS-C01 ou cert concurrente : laquelle choisir ?

Si vous travaillez sur AWS, ANS-C01 est incontournable. Pour Azure, choisir AZ-700 Network Engineer. Pour multi-cloud, viser CCIE Cloud ou completer avec Google Professional Cloud Network Engineer.

Combien coute l'examen ANS-C01 ?

300 USD soit environ 280 EUR en 2026. Des vouchers a -50% sont parfois disponibles via les evenements AWS re:Invent ou AWS Summit. Bilan : reservez tot pour beneficier des promotions.

Combien de fois peut-on repasser ANS-C01 ?

Pas de limite stricte, mais 14 jours d'attente obligatoires entre deux tentatives. Chaque tentative est payante (300 USD). La certification reste valide 3 ans avant recertification.

Prêt à passer à la pratique ?

Lancez votre examen blanc gratuit ou faites le test d'orientation pour valider votre choix.

Démarrer l'examen blanc ANS-C01 → Test d'orientation