Accueil · Guides de révision · CAS-004

Guide complet CAS-004 — CompTIA

CompTIA Advanced Security Practitioner (CASP+) · Programme, plan de révision, ressources, examen blanc gratuit.

TL;DR — Le guide en 1 minute

La certification CAS-004 CompTIA Advanced Security Practitioner (CASP+) s'adresse aux architectes et ingenieurs securite seniors avec 10 ans d'IT dont 5 en securite. L'examen combine 90 questions QCM et performance-based en 165 minutes, sans score chiffre (pass/fail). Prerequis recommandes : Security+, CySA+, PenTest+. Debouches : Security Architect, Technical Lead, SOC Manager, Cybersecurity Engineer. Seule certification avancee CompTIA conforme DoD 8570 niveaux IAT III, IAM II/III, IASAE I/II. Remplacee progressivement par SecurityX (CAS-005) depuis decembre 2024, mais CAS-004 reste disponible jusqu'en juin 2026.

Pourquoi passer la certification CAS-004 ?

Passer le CAS-004 en 2026 represente un investissement strategique malgre l'arrivee de SecurityX (CAS-005). Cette certification valide une expertise technique pratique rare sur le marche, contrairement aux certifications managementales comme CISSP. Le ROI est immediat : conformite DoD 8570/8140 ouvrant les contrats gouvernementaux et defense en Europe, demande croissante pour les profils hybrides architecture-securite (+34% d'offres en 2025 selon LinkedIn). La valorisation CV est significative car CASP+ est une des rares certifications expert-level neutre vendeur incluant des labs pratiques (performance-based questions). Les entreprises du CAC40 et ESN majeures (Capgemini, Sopra Steria, Thales, Atos) la reconnaissent comme equivalente CISSP pour les postes techniques. Dans un contexte NIS2 et DORA, les profils capables d'architecturer la securite cloud hybride, integrer la cryptographie post-quantique et piloter la reponse incident sont rares. Le salaire median post-certification atteint 75-95k EUR en France. Comparee a CISSP plus orientee gouvernance, CAS-004 valorise l'expertise technique reelle, atout differenciant pour eviter le plafond technique et negocier des roles d'architecte ou de RSSI technique en PME-ETI.

Caractéristiques de l'examen

Format	QCM + Performance-based (max 90 questions)
Duree	165 minutes
Score requis	Pass/Fail (pas de score chiffre)
Prix officiel	509 EUR HT (voucher 2026)
Langues	Anglais, Japonais, Thai (pas de francais)
Validite	3 ans (renouvelable via CEU)
Prerequis	10 ans IT dont 5 en securite (recommande)

Programme détaillé par domaine

Domain 1 : Security Architecture 29%

Objectifs: Ce domaine, le plus pondere, evalue la capacite a analyser les exigences de securite et a concevoir des architectures resilientes pour des environnements complexes hybrides et multi-cloud. Le candidat doit savoir integrer des solutions reseau securisees (segmentation, micro-segmentation, SDN, SD-WAN), concevoir des architectures de donnees (DLP, classification, tokenisation, masquage), et integrer des composants applicatifs (API gateway, WAF, RASP). L'analyse des modeles Zero Trust, SASE et SSE est centrale. Les questions performance-based simulent des topologies reelles ou il faut placer des controles, configurer des regles ou diagnostiquer des failles d'architecture sous contrainte temporelle.
Concepts clés: Maitriser : Zero Trust Architecture (NIST SP 800-207), SASE/SSE (Gartner), defense en profondeur, segmentation reseau (VLAN, VXLAN, microsegmentation NSX), modeles cloud (IaaS/PaaS/SaaS) et leurs frontieres de responsabilite. Comprendre les patterns d'integration : API REST securisees (OAuth 2.0, OIDC, mTLS), service mesh (Istio, Linkerd), conteneurs (Kubernetes admission controllers, Pod Security Standards), serverless (least-privilege IAM). Cryptographie applique : TLS 1.3, PFS, HSTS, certificat pinning, PKI hierarchique, certificate transparency. Architecture donnees : chiffrement at-rest (AES-256-GCM), in-transit, in-use (Intel SGX, AMD SEV, confidential computing).
Services / outils: AWS GuardDuty, Azure Sentinel, GCP Security Command Center, Cloudflare Zero Trust, Zscaler ZIA/ZPA, Palo Alto Prisma, F5 BIG-IP, Cisco ACI, VMware NSX-T, HashiCorp Vault, AWS KMS, Azure Key Vault, Istio, OPA (Open Policy Agent), Falco.
Temps estimé: 20-25h

Domain 2 : Security Operations 30%

Objectifs: Domaine operationnel couvrant la threat intelligence, l'analyse de vulnerabilites, la reponse incident et la chasse aux menaces. Le candidat doit savoir exploiter des sources CTI (MISP, OTX, ISAC sectoriels), correler des indicateurs via STIX/TAXII et appliquer MITRE ATT&CK pour mapper les TTPs adverses. La gestion des vulnerabilites couvre le scanning continu, la priorisation EPSS/CVSS, et la remediation orchestree. La reponse incident suit le NIST SP 800-61r2 avec accent sur la forensique disque/memoire/cloud. Les performance-based exigent souvent d'analyser des logs PCAP, Sysmon ou CloudTrail pour identifier compromission et chaine d'attaque.
Concepts clés: MITRE ATT&CK, D3FEND, Cyber Kill Chain, Diamond Model, threat hunting hypothesis-driven. Frameworks : NIST CSF 2.0, NIST SP 800-61, SANS PICERL. Analyse forensique : acquisition memoire (Volatility, Rekall), disque (FTK, Autopsy), timeline (Plaso/log2timeline), forensique cloud (CloudTrail, Azure Activity Logs). SOAR et automation : playbooks, IRP, runbooks. Vulnerability management : CVSS v4.0, EPSS, KEV catalog CISA, SBOM (CycloneDX, SPDX), VEX. Detection engineering : Sigma rules, YARA, Suricata, Snort. Threat intelligence : IOC, IOA, TTPs, pyramide de la douleur.
Services / outils: Splunk ES, Elastic SIEM, Microsoft Sentinel, Wazuh, Cortex XSOAR, Tines, Tenable, Qualys, Rapid7 InsightVM, CrowdStrike Falcon, SentinelOne, Carbon Black, Volatility, Wireshark, Zeek, Suricata, MISP.
Temps estimé: 20-25h

Domain 3 : Security Engineering and Cryptography 26%

Objectifs: Ce domaine valide la capacite a deployer des solutions de securite techniques et a appliquer la cryptographie au niveau ingenierie. Couvre la securite endpoint avancee (EDR/XDR, application allowlisting, UEFI Secure Boot, TPM 2.0, measured boot), la mobilite (MDM/UEM, BYOD, conteneurisation), et l'IoT/OT (Modbus, DNP3, segmentation Purdue). La cryptographie est evaluee a un niveau pratique : choix d'algorithmes selon contexte, gestion du cycle de vie des cles, et anticipation du post-quantique. Performance-based : configurer des regles de hardening, choisir un algorithme adapte ou diagnostiquer une faiblesse cryptographique.
Concepts clés: Cryptographie symetrique (AES-GCM, ChaCha20-Poly1305), asymetrique (RSA, ECDSA, Ed25519, X25519), hashing (SHA-2, SHA-3, BLAKE2), KDF (PBKDF2, Argon2id, scrypt). Post-quantique : Kyber (ML-KEM), Dilithium (ML-DSA), SPHINCS+, hybridation classique/PQC. PKI : X.509, OCSP stapling, CRL, ACME, Let's Encrypt, certificate transparency. Hardware security : HSM (FIPS 140-3), TPM, Secure Enclave, confidential computing (SGX, SEV-SNP, TDX). Endpoint : EDR telemetry, Sysmon, AMSI, application control (WDAC, AppLocker). Mobile : Android Enterprise, iOS Supervised, Knox, Intune.
Services / outils: Microsoft Intune, VMware Workspace ONE, Jamf, CrowdStrike, Microsoft Defender XDR, AWS Nitro Enclaves, Azure Confidential VMs, Thales Luna HSM, YubiKey, OpenSSL, BouncyCastle, age, signify, Sigstore Cosign.
Temps estimé: 18-22h

Domain 4 : Governance, Risk, and Compliance 15%

Objectifs: Domaine plus theorique mais critique pour le passage. Evalue la capacite a aligner la strategie securite avec les exigences business, reglementaires et contractuelles. En contexte europeen 2026, maitriser RGPD, NIS2, DORA, AI Act, Cyber Resilience Act est determinant. Le candidat doit savoir mener une analyse de risque (ISO 27005, FAIR, NIST SP 800-30), gerer le risque tiers (TPRM, SOC 2 Type II, ISO 27001), et piloter la conformite (audit, controles SOX, PCI-DSS 4.0). Les performance-based sont rares ici mais des etudes de cas longues testent le jugement strategique.
Concepts clés: Frameworks : ISO 27001:2022, ISO 27005, NIST CSF 2.0, NIST RMF (SP 800-37), COBIT 2019, COSO ERM. Risque quantitatif : FAIR, ALE/SLE, Monte Carlo, value-at-risk. Conformite : RGPD (DPIA, DPO, transferts hors UE), NIS2 (entites essentielles/importantes), DORA (resilience operationnelle), PCI-DSS 4.0, HIPAA, SOX, FedRAMP. Contrats : MSA, SLA, OLA, DPA, BAA, NDA. Privacy engineering : PETs, differential privacy, k-anonymity, pseudonymisation. Supply chain : SBOM, attestations SLSA, signature artefacts (Sigstore).
Services / outils: ServiceNow GRC, Archer, OneTrust, Drata, Vanta, Secureframe, BitSight, SecurityScorecard, Prevalent, RiskRecon, AuditBoard.
Temps estimé: 10-12h

Domain 5 : Integration of Enterprise Security Inclus transversal

Objectifs: Ce 5e axe transversal (integre dans les 4 domaines officiels mais traite separement dans les supports CompTIA) evalue la capacite a faire collaborer les composants : integration M&A, fusion d'annuaires, federation d'identites, et orchestration cross-domain. Le candidat doit savoir piloter la securite lors de fusions-acquisitions (due diligence technique, isolation reseau temporaire, harmonisation IAM), integrer des solutions heterogenes via API et SCIM, et gerer la federation entre clouds. Performance-based : configurer SAML, OIDC, SCIM ou diagnostiquer une federation defaillante.
Concepts clés: Federation identites : SAML 2.0, OIDC, OAuth 2.1, SCIM 2.0, JWT, PASETO. IAM avance : PAM (CyberArk, Delinea), JIT access, PIM, attribute-based access control (ABAC), policy-as-code (Rego/OPA). Integration : iPaaS, ESB, API management (Apigee, Kong, AWS API Gateway). M&A securite : data room, isolation, ADFS trusts, cross-forest, cross-tenant Entra ID. CASB et SSE : Netskope, Microsoft Defender for Cloud Apps. DevSecOps : shift-left, SAST, DAST, IAST, SCA, secrets scanning.
Services / outils: Okta, Microsoft Entra ID, Ping Identity, ForgeRock, Auth0, CyberArk, Delinea, BeyondTrust, Netskope, Microsoft Defender for Cloud Apps, Apigee, Kong, GitHub Advanced Security, Snyk, Checkmarx.
Temps estimé: 12-15h

Plan de révision hebdomadaire

Planning recommande sur 12 semaines pour profil senior, 15h/semaine. Semaine 1-2 : Lecture integrale des objectifs officiels CompTIA CAS-004 (exam objectives PDF v6.0) et auto-evaluation gap analysis par domaine. Acquerir le livre officiel CompTIA CASP+ Study Guide (Sybex, Chapple) et CASP+ Practice Tests. Semaine 3-4 : Domain 1 Architecture. Lecture chapitres dedies, deploiement lab AWS/Azure avec Zero Trust (Cloudflare ou Zscaler trial), configuration mTLS sur Istio, exercice de design architecture multi-cloud sur papier. Semaine 5-6 : Domain 2 Operations. Lab SOC complet : Splunk Free ou Elastic, ingestion logs Sysmon, ecriture de regles Sigma, exercice MITRE ATT&CK Navigator, analyse forensique avec Volatility sur dumps publics (Magnet Forensics CTF). Semaine 7-8 : Domain 3 Engineering Crypto. Implementation TLS 1.3 avec OpenSSL, generation cles ECDSA et Ed25519, test PQC avec liboqs, lab HSM virtuel SoftHSM, hardening Linux CIS Benchmark. Semaine 9 : Domain 4 GRC. Cartographie controles NIST CSF vers ISO 27001, redaction DPIA fictive RGPD, etude DORA pour secteur financier. Semaine 10 : Domain 5 Integration. Lab Keycloak federation SAML/OIDC, integration SCIM Okta vers Slack, exercice M&A scenario. Semaine 11 : Examens blancs intensifs. Minimum 3 examens blancs complets (CompTIA CertMaster Practice, Jason Dion Udemy, Sybex). Score cible 85%+ avant l'examen. Identifier domaines faibles et reviser cibles. Semaine 12 : Revision finale, fiches synthese, performance-based questions sur CertMaster Labs, repos cerebral 48h avant examen. Reserver examen Pearson VUE ou online proctored.

Besoin d'un planning sur mesure ? 30 jours · 60 jours · 90 jours

Ressources recommandées

CompTIA CASP+ Exam Objectives CAS-004

PDF officiel des objectifs d'examen, reference absolue a maitriser ligne par ligne avant tout autre support.

CompTIA CASP+ Study Guide Sybex (Chapple, Seidl)

Manuel officiel de reference 1000+ pages couvrant integralement CAS-004, avec exercices fin de chapitre et acces tests en ligne.

Jason Dion CASP+ Practice Exams (Udemy)

6 examens blancs notoirement plus difficiles que l'examen reel, ideal pour calibration. Comptez 25 EUR en promotion.

CompTIA CertMaster Labs CAS-004

Labs officiels performance-based identiques au format examen, indispensable pour les questions pratiques.

Subreddit r/CompTIA et Discord TechExams

Communaute active, retours d'examen recents, conseils strategiques et groupes d'etude francophones.

5 erreurs classiques à éviter

Erreur 1 : Negliger les performance-based questions au profit du QCM. Ces questions valent beaucoup plus de points unitairement. Solution : pratiquer 20h minimum sur CertMaster Labs et reproduire les scenarios en lab personnel.
Erreur 2 : Confondre CAS-004 avec CISSP et reviser la gouvernance au detriment de la technique. CASP+ est techniquement profond, attendez-vous a des questions sur commandes openssl, regles Suricata ou code Terraform.
Erreur 3 : Sous-estimer la cryptographie post-quantique et le confidential computing. Sujets recents fortement representes dans les versions 2025-2026 de l'examen. Lisez NIST FIPS 203, 204, 205.
Erreur 4 : Memoriser sans contexte. CAS-004 teste le jugement architectural, pas le par-coeur. Chaque question demande choix le meilleur parmi options plausibles. Entrainez-vous a justifier chaque reponse.
Erreur 5 : Reporter l'examen en attendant SecurityX CAS-005. CAS-004 reste valable jusqu'a juin 2026 puis 3 ans. Le contenu se recoupe a 80%, autant capitaliser maintenant si vous etes pret.

5 questions types corrigées

Q1. Un architecte deploie une application conteneurisee multi-cloud necessitant une authentification service-to-service forte sans secrets partages. Quelle solution recommander en priorite ?

Réponse : B

SPIFFE/SPIRE fournit des identites cryptographiques workload (SVID) attestees par la plateforme, eliminant les secrets partages. Le mTLS garantit l'authentification mutuelle. Cette approche est native cloud, scalable et conforme Zero Trust. Vault avec API keys reste valable mais introduit un secret a gerer. JWT symetrique est faible car la cle compromise expose tout. Basic Auth meme sur TLS reste un anti-pattern pour service-to-service car les credentials transitent en clair dans le header.

Q2. Lors d'une reponse incident, vous detectez une persistance via une tache planifiee Windows utilisant powershell.exe -enc. Quel framework MITRE ATT&CK technique correspond le mieux ?

Réponse : A

La combinaison tache planifiee plus PowerShell encode correspond exactement a deux techniques MITRE : T1053.005 (Scheduled Task/Job: Scheduled Task) pour la persistance et T1059.001 (Command and Scripting Interpreter: PowerShell) pour l'execution. Le flag -enc indique souvent une obfuscation (T1027). Maitriser ce mapping est crucial car CAS-004 teste l'application concrete de ATT&CK pour qualifier les TTPs et alimenter le threat intelligence cycle.

Q3. Une banque doit anticiper la migration cryptographique post-quantique pour ses signatures de transactions a haute valeur. Quelle strategie initiale recommander en 2026 ?

Réponse : C

La strategie reconnue NIST/ANSSI/BSI en 2026 est l'hybridation : combiner un algorithme classique eprouve (ECDSA) avec un algorithme PQC standardise (ML-DSA/Dilithium, FIPS 204) pour beneficier des deux securites. Un inventaire crypto-agility prealable est indispensable pour identifier les usages cryptographiques. Migrer integralement vers SPHINCS+ est premature et couteux en taille de signature. Attendre expose au harvest-now-decrypt-later. RSA renforce ne resout pas la menace quantique car Shor casse RSA quelle que soit la taille.

Voir plus de questions gratuites →

Carrière & salaire après CAS-004

En France et UE 2026, un Security Architect certifie CASP+ percoit 70-95k EUR a Paris, 60-80k EUR en region, jusqu'a 110k EUR en freelance (TJM 700-900 EUR). Les profils Cloud Security Architect montent a 100-130k EUR. CASP+ ouvre les postes : Security Architect, Lead Security Engineer, SOC Manager, Senior Penetration Tester, Cybersecurity Engineer. Evolution naturelle : RSSI technique, Principal Security Architect, CISO PME. Certifications complementaires recommandees pour maximiser le ROI : CISSP (gouvernance), AWS Security Specialty ou Azure SC-100 (cloud), GIAC GCIH/GCFA (operations), ISO 27001 Lead Implementer (conformite). En contexte NIS2/DORA, la demande explose pour profils hybrides architecture-conformite-operations.

Détail des salaires CAS-004 en 2026 →

FAQ — CAS-004

Combien de temps faut-il pour preparer CAS-004 ?

Pour un profil senior avec 5+ ans en securite, comptez 150-200h soit 10-12 semaines a 15h/semaine. Un profil intermediaire necessitera 250-300h. La cle est la pratique en lab, pas seulement la lecture.

Cette certification est-elle reconnue en France ?

Oui, largement reconnue par les ESN (Capgemini, Sopra, Atos, Thales), grands comptes CAC40 et secteur defense. Equivalente CISSP pour les postes techniques. Reconnue ANSSI dans certains contextes et conforme DoD 8570 pour les contrats OTAN/defense.

Quel est le taux de reussite a CAS-004 ?

CompTIA ne publie pas de taux officiel. Les communautes rapportent environ 60-70% de reussite au premier essai pour candidats bien prepares. Les performance-based questions sont l'obstacle principal.

Quel est le salaire apres CAS-004 ?

En France 2026 : 65-85k EUR pour Security Engineer experimente, 80-110k EUR pour Security Architect, jusqu'a 130k EUR pour profils Cloud Security Architect senior. Freelance : TJM 600-900 EUR selon expertise.

Faut-il une experience prealable ?

Officiellement recommande : 10 ans IT dont 5 en securite. Pas de prerequis bloquant. Sans experience, l'examen est tres difficile car teste le jugement architectural reel, pas la theorie.

CAS-004 ou cert concurrente : laquelle choisir ?

Versus CISSP : CASP+ plus technique, CISSP plus management. Versus SecurityX (CAS-005) : si pret en 2026, passez CAS-004 plus mature, sinon orientez-vous SecurityX. Versus GIAC : CASP+ moins chere (509 EUR vs 2500+ EUR) et plus generaliste.

Combien coute l'examen CAS-004 ?

509 EUR HT le voucher unique en 2026. Bundles disponibles : voucher + retake 660 EUR, voucher + CertMaster Learn 1100 EUR. Reductions etudiants et militaires disponibles via CompTIA.

Combien de fois peut-on repasser CAS-004 ?

Echec 1 : nouvelle tentative immediate possible. Echec 2 : attente de 14 jours obligatoire. Echec 3+ : attente 14 jours entre chaque. Aucune limite totale de tentatives, mais chaque essai necessite un nouveau voucher paye.

Prêt à passer à la pratique ?

Lancez votre examen blanc gratuit ou faites le test d'orientation pour valider votre choix.

Démarrer l'examen blanc CAS-004 → Test d'orientation