Accueil · Guides de révision · CAS-005

Guide complet CAS-005 — CompTIA

CompTIA SecurityX (Advanced Security Practitioner) · Programme, plan de révision, ressources, examen blanc gratuit.

TL;DR — Le guide en 1 minute

CompTIA SecurityX (CAS-005) est la certification expert en cybersecurite avancee, successeur de CASP+. Destinee aux architectes securite, RSSI adjoints et ingenieurs senior avec 10 ans d'experience IT dont 5 en securite. Examen hybride de 90 questions (QCM + simulations) en 165 minutes, sans score chiffre (pass/fail). Couvre gouvernance, architecture securisee, ingenierie securite et collaboration. Debouches : Security Architect, Senior Security Engineer, SOC Manager. Salaires 55-95k EUR en France. Validite 3 ans, renouvelable via CEUs.

Pourquoi passer la certification CAS-005 ?

Passer CAS-005 en 2026 est strategique car CompTIA a retire CASP+ (CAS-004) en avril 2025, faisant de SecurityX la reference expert vendor-neutral du marche. La demande explose : selon l'ANSSI et l'ENISA, l'Europe manque de 350 000 experts cybersecurite en 2026, et les architectes securite figurent dans le top 3 des metiers IT les plus recherches. CAS-005 est reconnue DoD 8140 (anciennement 8570) niveau IAT III, IAM III et IASAE I/II/III, ouvrant les missions chez les OIV, OSE et acteurs de la defense. Le ROI est concret : +15 a 25% de salaire constate apres certification, acces aux postes de Security Architect (75-95k EUR) et eligibilite aux appels d'offres publics europeens NIS2. Contrairement a CISSP (gouvernance) ou OSCP (offensif), CAS-005 valide une expertise hands-on en architecture hybride cloud, zero trust, IA securisee et automatisation SOC. Sur LinkedIn France, les offres mentionnant SecurityX ou CASP+ ont progresse de 40% en 12 mois. Pour un ingenieur senior souhaitant evoluer vers l'architecture sans passer par le management pur, c'est la cert technique la plus valorisee en 2026.

Caractéristiques de l'examen

Format	QCM + simulations performance-based, max 90 questions
Duree	165 minutes
Score requis	Pass/Fail (pas de score numerique)
Prix officiel	509 EUR HT (voucher CompTIA Store)
Langues	Anglais (francais non disponible)
Validite	3 ans, renouvelable via 75 CEUs
Prerequis	Recommande : 10 ans IT dont 5 en securite, Security+ et CySA+ ou PenTest+

Programme détaillé par domaine

Domain 1 : Governance, Risk, and Compliance 20%

Objectifs: Ce domaine valide la capacite a concevoir et piloter des programmes de gouvernance securite alignes sur les objectifs metier. Le candidat doit savoir analyser l'impact des reglementations (GDPR, NIS2, DORA, HIPAA, PCI-DSS 4.0, SOX), conduire des analyses de risques quantitatives (FAIR, Monte Carlo) et qualitatives (NIST RMF, ISO 27005), et etablir des metriques GRC exploitables. Il faut maitriser la gestion du risque tiers (TPRM), les contrats SLA/DPA, et la conformite cloud (CSA CCM, SOC 2 Type II). La gouvernance des donnees, la classification, et les politiques de retention sont evaluees.
Concepts clés: Risk appetite vs risk tolerance, residual risk, control gap analysis, threat modeling (STRIDE, PASTA, LINDDUN), maturity models (CMMI, NIST CSF 2.0 publie en 2024), business impact analysis (BIA), recovery time/point objectives (RTO/RPO). Comprendre les frameworks : NIST 800-53 rev5, ISO 27001:2022 (avec les 93 controles refondus), CIS Controls v8.1, MITRE ATT&CK pour la threat intelligence strategique. Connaitre la difference entre compliance et security, l'approche risk-based vs control-based, et les obligations de notification breach sous GDPR (72h) et NIS2 (24h initial).
Services / outils: Outils GRC : Archer, ServiceNow GRC, OneTrust, Drata. Frameworks de reporting : SSAE 18, ISAE 3402. Standards crypto : FIPS 140-3, Common Criteria EAL. Reglementations sectorielles : DORA pour finance, NIS2 pour OSE/OIV, Cyber Resilience Act pour IoT.
Temps estimé: 12-15h

Domain 2 : Security Architecture 27%

Objectifs: Domaine le plus lourd : concevoir des architectures securisees pour environnements hybrides, multicloud et on-premise. Le candidat conçoit des solutions Zero Trust (ZTA selon NIST SP 800-207), segmente les reseaux (microsegmentation, SDN, SASE), et integre la securite dans les pipelines DevSecOps. Architecture des identites federees (SAML, OIDC, SCIM), PAM, et gestion des secrets sont centrales. Il faut savoir concevoir des architectures resilientes (haute dispo, DR multi-region) et evaluer les compromis cout/securite/performance.
Concepts clés: Zero Trust pillars (identity, device, network, application, data), SASE/SSE (Zscaler, Netskope, Palo Alto Prisma), CASB, SWG, ZTNA remplaçant les VPN legacy. Architectures cloud : landing zones AWS/Azure/GCP, shared responsibility model, CSPM, CWPP, CNAPP. Cryptographie post-quantique (NIST PQC : Kyber, Dilithium standardises en 2024), homomorphic encryption, confidential computing (Intel SGX, AMD SEV). Securite des conteneurs (admission controllers, OPA Gatekeeper, Falco) et serverless. Securisation des architectures IA/ML : adversarial ML, prompt injection, data poisoning, OWASP LLM Top 10.
Services / outils: AWS : GuardDuty, Security Hub, Macie, KMS, Nitro Enclaves. Azure : Defender for Cloud, Sentinel, Purview. GCP : SCC, Chronicle. Kubernetes : Istio, Cilium, Kyverno. SIEM/SOAR : Splunk ES, Microsoft Sentinel, Cortex XSOAR.
Temps estimé: 20-25h

Domain 3 : Security Engineering 31%

Objectifs: Domaine pratique le plus volumineux (31%). Implementation technique : durcissement des systemes (CIS Benchmarks, STIG DISA), cryptographie appliquee (TLS 1.3, mTLS, certificate pinning, HSTS), PKI d'entreprise (CA hierarchique, OCSP stapling, CRL). Securite endpoint avancee (EDR/XDR, MDM/UEM), securite mobile et IoT. Automatisation via IaC securise (Terraform avec tfsec, CloudFormation Guard), SBOM (SPDX, CycloneDX) et SLSA pour supply chain.
Concepts clés: Threat hunting proactif avec hypotheses MITRE ATT&CK, detection engineering (Sigma rules, YARA), deception technology (honeypots, honeytokens). Vulnerability management orchestré : CVSS 4.0 (publie 2023), EPSS, KEV catalog CISA. Cryptographie : courbes elliptiques (Curve25519, P-384), HMAC, KDF (Argon2id, PBKDF2), gestion cle (BYOK, HYOK, envelope encryption). Securite supply chain : SLSA levels, sigstore/cosign, in-toto attestations. Hardening Linux (SELinux, AppArmor, eBPF) et Windows (AppLocker, WDAC, Credential Guard).
Services / outils: EDR : CrowdStrike Falcon, SentinelOne, Microsoft Defender XDR. Vuln mgmt : Tenable, Qualys VMDR, Wiz. PKI : HashiCorp Vault, Venafi, AWS Private CA. IaC scan : Checkov, Snyk IaC, tfsec, Terrascan.
Temps estimé: 25-30h

Domain 4 : Security Operations 22%

Objectifs: Operations SOC modernes : detection, response, threat intelligence et forensics. Le candidat doit concevoir un SOC tier-less ou tiered, integrer CTI strategique/operationnel/tactique, et orchestrer la reponse incident (NIST SP 800-61 rev3 publie 2024). Forensics cloud (acquisition VM snapshots, logs CloudTrail/Activity), memoire (Volatility 3), et reseau (Zeek, Suricata) sont evalues.
Concepts clés: Detection as Code, MITRE D3FEND, pyramid of pain, diamond model of intrusion analysis, kill chain Lockheed Martin. Threat intel platforms : MISP, OpenCTI, integration STIX/TAXII 2.1. Incident response : tabletop exercises, purple teaming, BAS (Breach Attack Simulation : AttackIQ, SafeBreach, Cymulate). Chain of custody, ordre de volatilite, write blockers. Analyse malware : sandboxing (Cuckoo, Joe Sandbox, ANY.RUN), reversing (Ghidra, IDA). Metriques SOC : MTTD, MTTR, dwell time, false positive rate.
Services / outils: SIEM : Splunk, Elastic Security, Sentinel, Chronicle. SOAR : Tines, Torq, Splunk SOAR. CTI : Recorded Future, Mandiant Advantage, Anomali. Forensics : Velociraptor, KAPE, Autopsy, Magnet AXIOM.
Temps estimé: 15-18h

Domain 5 : Collaboration and Communication 10% (integre transversalement)

Objectifs: Bien que pondere differemment dans la version 2026, ce domaine evalue la capacite a communiquer techniquement avec les parties prenantes : board, DPO, juridique, metiers. Reporting executif (dashboards KRI/KPI), business case securite (ROI, ALE/SLE), et negociation budgetaire. Collaboration cross-fonctionnelle avec DevOps (DevSecOps culture), audit interne, et fournisseurs cloud.
Concepts clés: Frameworks de communication risque : heat maps, risk registers, FAIR quantification monetaire. Storytelling securite pour non-techniques. Gestion de crise et communication breach (porte-parole, holding statements, coordination CNIL/ANSSI). Tabletop exercises multi-departements. Vendor management : RFP securite, due diligence, SIG questionnaires (Shared Assessments). Culture securite : security champions, awareness training cible (phishing simulations avec Knowbe4, Hoxhunt).
Services / outils: Plateformes awareness : KnowBe4, Proofpoint Security Awareness, Hoxhunt. Reporting : Power BI securite, Tableau, Grafana pour metriques SOC. Collaboration : Jira Security, ServiceNow SecOps.
Temps estimé: 8-10h

Plan de révision hebdomadaire

Planning recommande sur 12 semaines (3 mois), 10-15h/semaine. Semaine 1-2 : Lecture du Exam Objectives officiel CompTIA CAS-005 (telechargement gratuit) et du livre Sybex 'CompTIA SecurityX Study Guide' (parution Q1 2025). Cartographier ses lacunes via un assessment initial. Semaine 3-4 : Domain 1 GRC. Lire NIST CSF 2.0, ISO 27001:2022, etudier NIS2 et DORA. Realiser un risk assessment FAIR sur un cas fictif. Semaine 5-7 : Domain 2 Architecture (le plus dense). Deployer un lab Zero Trust avec Cloudflare Access ou Tailscale, pratiquer landing zones AWS Control Tower, etudier OWASP LLM Top 10. Faire 2 labs CNAPP (Wiz academy gratuit, Prisma Cloud). Semaine 8-9 : Domain 3 Engineering. Labs HashiCorp Vault, mTLS avec cert-manager, hardening CIS sur Ubuntu/Windows Server. Pratiquer Terraform + Checkov, signer images container avec cosign. Semaine 10 : Domain 4 SecOps. Deployer Wazuh ou Elastic Security en homelab, ecrire 10 regles Sigma, simuler attaques avec Atomic Red Team et detecter. Volatility 3 sur memory dumps publics. Semaine 11 : Examens blancs CertMaster Practice (CompTIA officiel) et Jason Dion sur Udemy. Cibler 80% minimum. Refaire les questions ratees. Semaine 12 : Revision finale, flashcards Anki sur acronymes, relecture des PBQ (Performance-Based Questions). Reserver l'examen via Pearson VUE 3 semaines a l'avance. Dormir 8h la veille, arriver 30 min en avance avec deux pieces d'identite.

Besoin d'un planning sur mesure ? 30 jours · 60 jours · 90 jours

Ressources recommandées

CompTIA SecurityX Exam Objectives officiels

Document PDF gratuit listant tous les objectifs CAS-005. Point de depart obligatoire pour cartographier la preparation.

CompTIA CertMaster Learn + Practice CAS-005

Cours officiel interactif avec videos, labs et examens blancs adaptatifs. Environ 499 EUR, inclus dans certains bundles.

Jason Dion CASP+/SecurityX Practice Exams (Udemy)

Examens blancs reputes les plus proches du vrai examen. Environ 15 EUR en promotion, references par la communaute r/CompTIA.

Subreddit r/CompTIA et Discord TechExams

Retours d'experience CAS-005 frais, study groups, conseils sur les PBQ. Forum gratuit avec moderateurs experimentes.

5 erreurs classiques à éviter

Erreur 1 : Sous-estimer les Performance-Based Questions (PBQ). Elles representent les premieres questions et peuvent paniquer. Solution : entrainez-vous specifiquement sur CertMaster Practice et flaguer-les pour y revenir si besoin de temps.
Erreur 2 : Reviser comme pour CASP+ (CAS-004). SecurityX integre desormais l'IA/ML securite, le cloud-native et le post-quantique. Solution : utiliser uniquement des ressources publiees apres decembre 2024 et eviter les anciens livres CASP+.
Erreur 3 : Negliger l'experience pratique. CAS-005 teste l'application, pas la memorisation. Solution : monter un homelab avec AWS Free Tier + Azure credits, deployer Wazuh, jouer Atomic Red Team, signer des images cosign.
Erreur 4 : Confondre compliance et securite dans les reponses. Le bon choix vendor-neutral privilegie le risque business, pas la conformite litterale. Solution : toujours se demander 'quel est l'impact metier ?' avant de repondre.
Erreur 5 : Mal gerer le temps (165 min pour 90 questions = 1m50/question). Solution : faire 3 examens blancs chronometres complets et appliquer la regle des 2 minutes maximum par question QCM, flagger et revenir.

5 questions types corrigées

Q1. Un architecte conçoit une architecture Zero Trust pour une application SaaS multi-tenant hebergee sur Kubernetes. Quelle combinaison repond le mieux aux principes NIST SP 800-207 ?

Réponse : B

Zero Trust selon NIST SP 800-207 exige une identite forte pour chaque workload (pas seulement utilisateurs), une authentification et un chiffrement de bout en bout, une politique dynamique, et une journalisation complete. SPIFFE/SPIRE fournit l'identite cryptographique aux workloads, Istio implemente mTLS automatique, OPA Gatekeeper applique des politiques admission, et la journalisation supporte l'analyse continue. Les options A et D restent dans un modele perimetrique. C protege en periphérie mais ne traite pas la latéralisation interne.

Q2. Suite a la publication des standards NIST PQC (FIPS 203/204/205) en aout 2024, quelle strategie de migration cryptographique est recommandee pour une PKI d'entreprise ?

Réponse : C

La recommandation NIST et ANSSI pour 2026 est l'approche hybride : combiner un algorithme classique (RSA ou ECC) avec un algorithme post-quantique (ML-KEM ex-Kyber pour echange de cles, ML-DSA ex-Dilithium pour signatures). Cela protege contre 'harvest now, decrypt later' tout en maintenant la compatibilite. Un inventaire cryptographique (cryptographic bill of materials) est prerequis obligatoire pour identifier tous les usages. Le remplacement brutal (A) casse l'interop, attendre (B) expose au risque quantique, partiel (D) laisse des trous.

Q3. Une entreprise subit une compromission de sa chaine d'approvisionnement logicielle via une dependance npm malveillante. Quelle combinaison de controles aurait detecte/prevenu cet incident en amont ?

Réponse : B

La defense supply chain moderne s'appuie sur SLSA (Supply-chain Levels for Software Artifacts) developpe par Google et adopte par OpenSSF. SBOM CycloneDX/SPDX donne la visibilite sur toutes les dependances, le scan SCA (Snyk, Dependabot) detecte les CVE et packages malveillants en continu, la signature cosign verifie l'integrite et l'origine, SLSA niveau 3+ garantit un build reproductible et atteste. Les autres options traitent le runtime (A, C) ou sont ponctuelles (D), trop tard ou trop espacees pour stopper un package compromis injecte dans le pipeline.

Voir plus de questions gratuites →

Carrière & salaire après CAS-005

En France en 2026, un titulaire CAS-005 vise les postes de Security Architect (75-95k EUR), Senior Security Engineer (60-80k EUR), SOC Manager (65-85k EUR) ou Cloud Security Architect (80-110k EUR a Paris/region). En Suisse et au Luxembourg, ajouter 30-40%. Les secteurs les plus remunerateurs : banque/finance (DORA-driven), defense, energie (OIV NIS2), cloud providers et ESN specialisees (Wavestone, Capgemini Cybersecurity, Orange Cyberdefense). Evolution naturelle vers RSSI adjoint puis RSSI (100-150k EUR) en 3-5 ans. Certifications complementaires recommandees : CISSP pour la gouvernance, AWS/Azure Security Specialty pour l'expertise cloud, GIAC GDSA ou GCSA pour la profondeur technique, et OSCP pour credibilite offensive. CAS-005 etant reconnue DoD 8140, elle ouvre les missions OTAN et UE en habilitation Confidentiel Defense.

Détail des salaires CAS-005 en 2026 →

FAQ — CAS-005

Combien de temps faut-il pour preparer CAS-005 ?

Entre 2 et 4 mois a 10-15h/semaine pour un professionnel avec 5+ ans d'experience securite. Comptez 6 mois si vous venez de CySA+ sans experience architecture. Les candidats issus du terrain reussissent souvent en 8-10 semaines focalisees.

Cette certification est-elle reconnue en France ?

Oui, CompTIA SecurityX est largement reconnue par les ESN, OIV/OSE, et grands comptes français. Elle est listee dans les referentiels DoD 8140 (ex-8570) niveaux IAT III et IASAE, et valorisee dans les appels d'offres publics europeens et missions NIS2/DORA.

Quel est le taux de reussite a CAS-005 ?

CompTIA ne publie pas de taux officiel, mais les retours communautaires (Reddit r/CompTIA, TechExams) estiment 55-65% au premier essai en 2026. C'est l'une des certifications expert vendor-neutral les plus exigeantes, comparable a CISSP en difficulte technique.

Quel est le salaire apres CAS-005 ?

En France 2026 : 60-95k EUR selon poste et region. Paris/Lyon : 70-110k pour Security Architect. Province : 55-80k. A l'international (Suisse, UK, Allemagne, Pays-Bas) : 90-140k EUR equivalent. Augmentation moyenne post-certification : +15 a 25%.

Faut-il une experience prealable ?

Officiellement aucun prerequis bloquant, mais CompTIA recommande fortement 10 ans IT dont 5 minimum en securite, plus Security+ et CySA+ ou PenTest+. Sans cette experience, l'examen pratique (PBQ) est tres difficile a passer.

CAS-005 ou cert concurrente : laquelle choisir ?

Vs CISSP : CAS-005 est plus technique/hands-on, CISSP plus gouvernance/management. Vs GIAC GDSA : CAS-005 moins chere (509 vs 2499 EUR) et plus generaliste. Choisissez CAS-005 pour des roles architecte/ingenieur senior, CISSP pour RSSI.

Combien coute l'examen CAS-005 ?

509 EUR HT pour un voucher unique sur le CompTIA Store en 2026. Reductions : academic voucher (-10%), bundle CertMaster + voucher + retake (~899 EUR). Possibilite de financement CPF via organismes agrees, OPCO pour salaries, ou Pole Emploi.

Combien de fois peut-on repasser CAS-005 ?

Premier echec : retentative immediate possible. A partir du 3e essai : delai de 14 jours obligatoire entre chaque tentative. Aucune limite totale de tentatives mais chaque essai coute 509 EUR (sauf bundle retake). Conserver les rapports de score pour cibler les domaines a retravailler.

Prêt à passer à la pratique ?

Lancez votre examen blanc gratuit ou faites le test d'orientation pour valider votre choix.

Démarrer l'examen blanc CAS-005 → Test d'orientation