Accueil · Guides de révision · CCFA

Guide complet CCFA — CrowdStrike

CrowdStrike Certified Falcon Administrator · Programme, plan de révision, ressources, examen blanc gratuit.

TL;DR — Le guide en 1 minute

La certification CrowdStrike Certified Falcon Administrator (CCFA) valide les competences d'administration quotidienne de la plateforme Falcon EDR/XDR. Destinee aux administrateurs securite, analystes SOC et ingenieurs cybersecurite, elle couvre la configuration des capteurs, la gestion des politiques de prevention, l'administration des utilisateurs et le hardening. Examen QCM de 60 questions en 90 minutes, score requis 80%. Prerequis recommande : 3 a 6 mois d'experience pratique sur Falcon. Debouches : Administrateur EDR, Ingenieur SOC, Specialiste CrowdStrike chez integrateurs et grands comptes.

Pourquoi passer la certification CCFA ?

Passer la CCFA en 2026 represente un investissement strategique majeur. CrowdStrike domine le marche EDR/XDR avec plus de 29% de parts selon Gartner Magic Quadrant 2025, devancant SentinelOne et Microsoft Defender. La demande d'administrateurs Falcon explose avec l'adoption massive du Zero Trust et la conformite NIS2 imposee aux entreprises europeennes depuis octobre 2024. Une recherche LinkedIn en France revele plus de 1200 offres mentionnant CrowdStrike Falcon avec une croissance de 45% sur 12 mois. La certification CCFA valorise un CV de 8 a 15% selon les etudes salariales Hays et Robert Half 2025. Elle constitue le passeport indispensable pour integrer un SOC moderne, un MSSP, ou rejoindre les equipes securite des CAC40. Contrairement aux certifications generalistes (Security+, CySA+), CCFA prouve une expertise vendor-specific tres recherchee par les integrateurs partenaires CrowdStrike (Orange Cyberdefense, Capgemini, Sopra Steria). Elle ouvre egalement la voie vers les certifications avancees CCFR (Responder) et CCFH (Hunter), constituant un parcours de specialisation EDR complet. Le ROI est rapide : formation 4 a 6 semaines pour une augmentation salariale moyenne de 5000 a 8000 EUR brut annuel des l'obtention.

Caractéristiques de l'examen

Format QCM 60 questions
Duree 90 minutes
Score requis 80%
Prix officiel 200 USD (environ 185 EUR)
Langues Anglais uniquement
Validite 2 ans (recertification requise)
Prerequis Formation CrowdStrike University Falcon Administrator recommandee, 3-6 mois experience pratique

Programme détaillé par domaine

Domain 1 : User Management et Roles 15%

Objectifs
Ce domaine evalue la capacite a administrer les comptes utilisateurs, configurer le RBAC (Role-Based Access Control) et gerer l'authentification SSO. Le candidat doit savoir creer, modifier et supprimer des utilisateurs, attribuer les roles appropries selon le principe du moindre privilege, et configurer l'authentification multifacteur. La maitrise des roles predefinis (Falcon Administrator, Falcon Analyst, Endpoint Manager, Real Time Responder) est essentielle, ainsi que la creation de roles personnalises adaptes aux besoins organisationnels.
Concepts clés
Roles natifs Falcon (Administrator, Analyst, Investigator, Real Time Responder Active Responder), permissions granulaires par module (Hosts, Detections, Policies), workflow d'attribution. Comprehension du SSO via SAML 2.0 avec Okta, Azure AD, ADFS. Configuration MFA obligatoire pour comptes admin. API Keys et OAuth2 clients pour integrations tierces. Audit trail des actions utilisateurs via User Activity Audit. Gestion des Customer IDs (CID) en environnement multi-tenant et Flight Control pour MSSP.
Services / outils
Falcon Console, modules User Management et API Clients, integration SCIM pour provisioning automatise, Falcon Flight Control pour gestion multi-CID, journaux d'audit accessibles via Investigate et API
Temps estimé
8-10h

Domain 2 : Sensor Deployment et Maintenance 25%

Objectifs
Domaine central evaluant le deploiement, la maintenance et le depannage des capteurs Falcon sur Windows, macOS et Linux. Le candidat doit maitriser les methodes d'installation (manuelle, GPO, SCCM, Intune, JAMF, Ansible), comprendre les Sensor Update Policies pour controler les versions deployees, et savoir diagnostiquer les problemes de connectivite ou d'enregistrement. La gestion du cycle de vie des hotes (Hidden Hosts, Stale Sensors) est primordiale.
Concepts clés
Architecture du capteur (CSAgent.sys sur Windows, Falcon.app sur macOS, falcon-sensor sur Linux), Customer ID Checksum (CCID), parametres d'installation (CID, ProvNoWait, ProxyName). Sensor Update Policies avec canaux N, N-1, N-2 et builds Auto-Update. Reduced Functionality Mode (RFM) declenche par incompatibilite kernel. Falcon Sensor Tags pour grouper les hotes. Detection des Sensor Health issues, troubleshooting via CSWinDiag, sfc.exe verbose=1, csagentd logs.
Services / outils
Capteurs Windows/Mac/Linux, Sensor Downloads, Host Management, Sensor Update Policies, Host Retention Policy, Discover module pour shadow IT
Temps estimé
15-20h

Domain 3 : Prevention Policies et Configuration 30%

Objectifs
Domaine le plus pondere couvrant la creation, modification et application des Prevention Policies. Le candidat doit comprendre chaque toggle de prevention (Machine Learning, Behavior-Based, Exploit Mitigation), savoir balancer securite et performance, gerer les exclusions IOA/IOC/ML, et configurer les Custom IOA Rules. La hierarchie des politiques via Host Groups et precedence est critique.
Concepts clés
Niveaux de prevention ML (Cautious, Moderate, Aggressive, Extra Aggressive) pour Sensor et Cloud Anti-Malware. Bouclier comportemental (Suspicious Processes, Script-Based Execution Monitoring, Interpreter-Only). Mitigations exploits (Force ASLR, Heap Spray Preallocation, NoExec for Stacks). Exclusions de trois types : Sensor Visibility Exclusions, ML Exclusions, IOA Exclusions avec syntaxe glob. Custom IOA Rule Groups avec disposition Monitor/Detect/Block. Quarantine et Containment policies. USB Device Control et Firewall Management policies.
Services / outils
Prevention Policies, Custom IOA, Sensor Visibility Exclusions, Machine Learning Exclusions, Host Groups statiques et dynamiques avec assignment rules
Temps estimé
20-25h

Domain 4 : Host Management et Containment 15%

Objectifs
Evaluation de la gestion operationnelle du parc : isolation reseau d'un hote compromis, desinstallation a distance, gestion du tag de groupe, suppression de capteurs obsoletes. Le candidat doit savoir utiliser Network Containment pour isoler une machine tout en preservant la connectivite avec le cloud Falcon, comprendre les implications sur les flux reseau autorises.
Concepts clés
Network Containment via console ou API, exceptions IP autorisees pendant containment, Lift Containment workflow. Real Time Response (RTR) commandes de base (ls, cat, ps, netstat, runscript). Sensor Tags grouping (Falcon Grouping Tags vs Sensor Grouping Tags). Host Retention Policy pour purge automatique. Uninstall Protection avec maintenance token. Bulk actions via API et CSV import.
Services / outils
Host Management module, Real Time Response, Network Containment, Maintenance Tokens, API Hosts endpoints
Temps estimé
10-12h

Domain 5 : Monitoring, Reporting et Integrations 15%

Objectifs
Domaine couvrant la supervision de la plateforme, les rapports executifs et les integrations avec SIEM/SOAR. Le candidat doit savoir configurer les notifications, exploiter les dashboards executifs, utiliser Falcon Discover et Spotlight pour la visibilite, et integrer avec Splunk, QRadar, Sentinel via le SIEM Connector ou les API.
Concepts clés
Falcon Dashboards (Executive Summary, Detection Activity, Sensor Health). Scheduled Reports en PDF/CSV. Notification Workflows avec triggers et conditions. SIEM Connector pour exporter detections vers SIEM on-premise. Event Streams API et Falcon Data Replicator (FDR) pour ingestion cloud. Integration avec Spotlight pour vulnerabilites, Discover pour inventaire, Identity Protection. Webhooks Slack/Teams.
Services / outils
Dashboards, Scheduled Reports, Notification Workflows, SIEM Connector, FDR, API Event Streams, modules Discover et Spotlight
Temps estimé
10-12h

Plan de révision hebdomadaire

Planning recommande sur 6 semaines pour une preparation solide. Semaine 1 : Inscription a CrowdStrike University, completion du cours CST 132 Falcon Administrator Fundamentals (8h video). Lecture de la documentation officielle Falcon Console Help section User Management et Sensor Deployment. Creer un compte trial 15 jours pour pratiquer. Semaine 2 : Focus deploiement capteurs sur trois OS (Windows VM, Ubuntu, macOS). Realiser installations manuelles, tester les parametres CID, ProvNoWait. Configurer une Sensor Update Policy avec canaux N et N-1. Documenter chaque etape. Semaine 3 : Immersion dans Prevention Policies. Creer 3 politiques distinctes (serveurs, workstations, kiosques), tester chaque toggle ML et behavioral. Generer detections via Atomic Red Team pour valider. Travailler les exclusions et Custom IOA Rules avec syntaxe glob. Semaine 4 : Host Management approfondi. Pratiquer Network Containment, Real Time Response avec runscript et put commandes. Configurer Host Groups dynamiques avec assignment rules complexes. Manipuler les Sensor Tags via API. Semaine 5 : Monitoring et integrations. Construire dashboards personnalises, configurer notification workflows, deployer un SIEM Connector vers Splunk gratuit. Explorer FDR. Premier examen blanc complet (objectif 70%). Semaine 6 : Revision intensive des points faibles identifies. Deux examens blancs supplementaires (Whizlabs, MeasureUp). Relecture des release notes Falcon 7.x. Repassage des labs problematiques. Reservation de l'examen via Pearson VUE 48h avant. La veille : repos, relecture fiches synthese sur roles et policies.

Besoin d'un planning sur mesure ? 30 jours · 60 jours · 90 jours

Ressources recommandées

Documentation officielle CrowdStrike

Falcon Console Help, guides administrateur, release notes. Accessible avec compte client ou trial.

CrowdStrike University

Cours officiel CST 132 Falcon Administrator. Formation video 8h avec labs guides, indispensable pour la certification.

Labs pratiques Falcon Trial

Trial gratuit 15 jours donnant acces a une console complete pour pratiquer toutes les configurations.

Communaute CrowdStrike Reddit et Discord

Subreddit actif avec retours d'examen, conseils administrateurs et discussions techniques quotidiennes.

5 erreurs classiques à éviter

  • Erreur 1 : Negliger la pratique hands-on et reviser uniquement la theorie. L'examen comporte des questions scenario tres concretes. Solution : passer minimum 30h sur une console trial.
  • Erreur 2 : Confondre les trois types d'exclusions (Sensor Visibility, ML, IOA). Chacune a un usage precis et une syntaxe differente. Memoriser un tableau comparatif et tester chaque type.
  • Erreur 3 : Sous-estimer les Sensor Update Policies et les canaux N, N-1, N-2. Plusieurs questions portent sur la strategie de mise a jour. Pratiquer la creation et l'assignation via Host Groups.
  • Erreur 4 : Ignorer le Reduced Functionality Mode (RFM). Comprendre les causes (kernel non supporte) et la procedure de remediation. C'est un piege frequent en QCM.
  • Erreur 5 : Oublier la precedence des politiques quand un hote appartient a plusieurs Host Groups. La politique avec la priorite numerique la plus basse l'emporte. Tester avec hierarchies complexes.

5 questions types corrigées

Q1. Un administrateur souhaite exclure un processus legitime detecte a tort par le Machine Learning sur 50 serveurs. Quel type d'exclusion doit-il configurer ?
Réponse : B
La Machine Learning Exclusion est specifiquement concue pour empecher le moteur ML (Sensor-Based et Cloud-Based Anti-Malware) de generer des detections sur un chemin de fichier specifie. La Sensor Visibility Exclusion empeche la collecte d'evenements (perte de visibilite). L'IOA Exclusion concerne les indicators of attack comportementaux. Le Custom IOA Rule sert a creer des detections personnalisees, pas a les supprimer. La syntaxe glob avec wildcards est supportee pour cibler precisement les binaires concernes.
Q2. Quelle commande Real Time Response permet d'executer un script PowerShell hebergé dans le cloud Falcon sur un endpoint Windows ?
Réponse : C
La commande runscript avec le parametre -CloudFile execute un script prealablement uploade dans la Response Scripts and Files library de Falcon. Cette approche garantit l'integrite du script et son audit. L'option -HostPath execute un script deja present sur l'hote, et -Raw permet d'envoyer du code inline. La commande put sert a deposer un fichier sur l'hote sans l'executer. Cette competence est essentielle pour les workflows d'investigation et de remediation a distance.
Q3. Un hote affiche le statut Reduced Functionality Mode (RFM). Quelle est la cause la plus probable ?
Réponse : B
Le Reduced Functionality Mode survient principalement sur Linux et macOS quand la version du noyau (kernel) installee n'est pas encore supportee par la version du capteur Falcon deployee. Le capteur reste connecte au cloud et continue de remonter certains evenements, mais les fonctions de prevention avancees sont desactivees. La remediation consiste a mettre a jour le capteur vers une version compatible ou attendre une release supportant le kernel. CrowdStrike publie une matrice de compatibilite kernel mise a jour regulierement dans la documentation.

Voir plus de questions gratuites →

Carrière & salaire après CCFA

En France en 2026, un administrateur Falcon certifie CCFA percoit entre 48 000 et 62 000 EUR brut annuel en debut de carriere, montant jusqu'a 75 000 EUR avec 3 ans d'experience selon les baremes Hays et Michael Page. Les profils seniors en MSSP (Orange Cyberdefense, Atos, Capgemini) atteignent 85 000 a 95 000 EUR. A Paris et en Suisse romande, ajouter 10 a 15%. Les debouches concernent les SOC niveau 2 et 3, les equipes Blue Team des CAC40, les integrateurs partenaires CrowdStrike et les ESN specialisees cyber. Evolution naturelle : CCFR (Falcon Responder) pour basculer vers l'investigation, puis CCFH (Hunter) pour le threat hunting avance. Certifications complementaires recommandees : Splunk Core Certified Power User pour SIEM, et SC-200 Microsoft Security Operations Analyst.

Détail des salaires CCFA en 2026 →

FAQ — CCFA

Combien de temps faut-il pour preparer CCFA ?

Entre 4 et 8 semaines selon votre experience prealable. Comptez 80 a 120 heures de preparation avec un mix theorie et pratique hands-on sur une console trial. Les profils ayant deja administre un EDR (SentinelOne, Defender) peuvent reduire a 3 semaines.

Cette certification est-elle reconnue en France ?

Oui, tres largement. CrowdStrike etant leader EDR avec une forte penetration sur le marche francais (banques, defense, industrie), la CCFA est citee explicitement dans plus de 1200 offres LinkedIn France. Tous les MSSP majeurs (Orange Cyberdefense, Thales, Capgemini) la valorisent.

Quel est le taux de reussite a CCFA ?

CrowdStrike ne publie pas officiellement de taux. Les retours communautaires sur Reddit indiquent environ 70 a 75% de reussite au premier passage pour les candidats ayant suivi le cours officiel CST 132 et pratique sur une console reelle pendant minimum 30 heures.

Quel est le salaire apres CCFA ?

En France 2026 : 48 000 a 62 000 EUR brut pour un junior, 65 000 a 75 000 EUR a 3 ans d'experience, jusqu'a 95 000 EUR en senior MSSP. A Paris, prime de 10 a 15%. Le ROI sur le cout de la certification (185 EUR) est atteint en moins d'un mois.

Faut-il une experience prealable ?

Aucun prerequis officiel mais CrowdStrike recommande fortement 3 a 6 mois d'experience pratique sur la plateforme Falcon ou avoir suivi le cours CST 132. Sans pratique reelle sur la console, l'examen est tres difficile car oriente scenarios concrets.

CCFA ou cert concurrente : laquelle choisir ?

CCFA si votre employeur utilise CrowdStrike (cas le plus frequent en grands comptes). Si environnement Microsoft, privilegier SC-200. Pour SentinelOne, viser SentinelOne Certified SOC Analyst. CCFA reste la plus valorisee sur le marche EDR enterprise actuellement.

Combien coute l'examen CCFA ?

200 USD soit environ 185 EUR au taux 2026, paye directement a Pearson VUE lors de la reservation. Le cours CrowdStrike University CST 132 est inclus gratuitement pour les clients CrowdStrike, sinon facture environ 500 USD aux partenaires non-clients.

Combien de fois peut-on repasser CCFA ?

En cas d'echec, un delai de 14 jours est impose avant un nouveau passage. Au troisieme echec, le delai passe a 30 jours. Aucune limite totale de tentatives mais chaque passage coute 200 USD. Recommandation : utiliser des examens blancs Whizlabs avant de retenter.

Prêt à passer à la pratique ?

Lancez votre examen blanc gratuit ou faites le test d'orientation pour valider votre choix.

Démarrer l'examen blanc CCFA → Test d'orientation