Accueil · Guides de révision · EX415

Guide complet EX415 — Red Hat

Red Hat Certified Specialist in Security: Linux · Programme, plan de révision, ressources, examen blanc gratuit.

TL;DR — Le guide en 1 minute

EX415 est la certification Red Hat Certified Specialist in Security: Linux, dediee aux administrateurs Linux confirmes voulant durcir RHEL 8/9. Examen 100% pratique de 4 heures sur machines reelles, prerequis RHCE recommande. Couvre SELinux, audit, IdM, pare-feu, chiffrement LUKS, OpenSCAP et conformite PCI-DSS. Debouches : ingenieur securite Linux, consultant DevSecOps, RSSI technique. Tarif environ 500 EUR, validite 3 ans, tres valorisee dans la banque, defense et secteur public en France.

Pourquoi passer la certification EX415 ?

Passer EX415 en 2026 est un investissement strategique dans un contexte ou les attaques sur infrastructures Linux explosent (rapport ENISA 2025 : +47% d'incidents). RHEL equipe 90% des banques europeennes et la majorite des administrations francaises soumises a la directive NIS2. Cette certification valide une expertise rare : seuls 12% des administrateurs Linux maitrisent reellement SELinux en mode enforcing, l'audit kernel et OpenSCAP. Le ROI est immediat : un ingenieur securite Linux certifie EX415 facture 650 a 850 EUR/jour en freelance, contre 450 EUR pour un admin generaliste. En CDI, la prime de certification atteint souvent 8000 a 12000 EUR brut annuel. La demande explose avec DORA (finance), NIS2 (OIV) et la souverainete numerique francaise qui priorise les distributions RPM. Sur LinkedIn France, on compte 1400 offres mentionnant explicitement SELinux et hardening RHEL contre seulement 320 profils certifies. Cette penurie cree un marche tres favorable. Contrairement aux certifications theoriques, EX415 etant 100% pratique, elle distingue immediatement le candidat sur un CV et rassure les recruteurs sur la capacite operationnelle reelle. Combinee avec RHCE, elle ouvre les postes d'architecte securite a plus de 75K EUR.

Caractéristiques de l'examen

Format	Examen pratique sur machines RHEL 9 (hands-on, pas de QCM)
Duree	240 minutes (4 heures)
Score requis	210/300 soit 70%
Prix officiel	500 EUR HT (variable selon pays)
Langues	Anglais uniquement (interface)
Validite	3 ans, renouvelable via EX415 ou cert superieure
Prerequis	RHCE (EX294) fortement recommande, experience admin Linux 2+ ans

Programme détaillé par domaine

Domain 1 : SELinux et controle d'acces obligatoire (MAC) 25%

Objectifs: Maitriser SELinux en mode enforcing sur RHEL 9 : comprendre les contextes de securite, gerer les booleens, depanner les denials via ausearch et sealert, ecrire des modules de politique personnalises avec audit2allow. Le candidat doit savoir confiner un service tiers (non couvert par la policy targeted), modifier les contextes persistants avec semanage fcontext, restaurer avec restorecon, et diagnostiquer les problemes de type enforcement. La capacite a basculer entre targeted et mls, ainsi qu'a comprendre les categories MCS pour la multi-tenance, est evaluee. Configuration de SELinux pour des applications web (Apache, Nginx), bases de donnees (MariaDB) et conteneurs.
Concepts clés: Contextes (user:role:type:level), Type Enforcement, MCS et MLS, booleens persistants (setsebool -P), policy modules (.te, .if, .fc), domaine de transition, fichiers de label, AVC denials, dontaudit rules. Comprendre la difference entre permissive et disabled, l'impact sur les performances, et le mecanisme de relabeling au boot via /.autorelabel. Maitriser semanage port pour autoriser des ports non standards, semanage login pour mapper utilisateurs Linux a SELinux users, et la gestion des transitions de domaine. Connaitre les outils sediff, sesearch et apol pour analyser la politique. Comprendre comment SELinux interagit avec systemd, namespaces et conteneurs Podman (label container_t).
Services / outils: Outils : semanage, setsebool, getsebool, restorecon, chcon, ausearch, sealert (setroubleshoot), audit2allow, audit2why, sestatus, secon. Fichiers : /etc/selinux/config, /var/log/audit/audit.log. Packages : policycoreutils, setools-console, selinux-policy-devel.
Temps estimé: 15h

Domain 2 : Audit systeme et journalisation securisee 20%

Objectifs: Deployer et configurer le sous-systeme audit du kernel Linux pour repondre aux exigences PCI-DSS, HIPAA et ANSSI. Le candidat ecrit des regles auditd persistantes pour surveiller les acces fichiers sensibles (/etc/shadow, /etc/sudoers), les appels systeme critiques (execve, setuid), et les modifications de configuration. Il doit savoir generer des rapports avec aureport, rechercher des evenements precis avec ausearch, et configurer la rotation des logs audit. Integration avec un SIEM via rsyslog en TLS, configuration du forward securise vers un serveur central, et mise en place de l'immutabilite des logs via chattr +a sont evalues.
Concepts clés: Regles audit (-w pour watch, -a pour syscall), cles d'identification, persistance via /etc/audit/rules.d/, regle immuable -e 2, buffers kernel (-b), failure mode (-f), filtres par UID/GID/PID. Comprendre la difference entre auditd, journald et rsyslog, leur complementarite. Maitriser les formats de log raw, interpreted et CSV. Configurer rsyslog avec omfwd en TCP/TLS, certificats serveur, et regles de filtrage par facility/severity. Comprendre journald persistant (/var/log/journal), forward to syslog, et la signature FSS (Forward Secure Sealing) avec journalctl --setup-keys pour garantir l'integrite cryptographique des journaux.
Services / outils: Services : auditd, rsyslog, systemd-journald. Outils : auditctl, ausearch, aureport, autrace, journalctl. Fichiers : /etc/audit/auditd.conf, /etc/audit/rules.d/audit.rules, /etc/rsyslog.conf, /etc/rsyslog.d/.
Temps estimé: 10h

Domain 3 : Identity Management (IdM/FreeIPA) et authentification centralisee 20%

Objectifs: Installer et configurer un serveur IdM (FreeIPA) avec replicas pour la haute disponibilite, enroler des clients RHEL et configurer l'authentification Kerberos. Le candidat doit gerer les utilisateurs, groupes, host-based access control (HBAC), sudo rules centralisees, et l'integration avec Active Directory via trust ou synchronisation. Configuration de la rotation des mots de passe, des politiques de complexite, et de l'authentification multi-facteur (OTP TOTP/HOTP) sont au programme. Deploiement de certificats avec l'AC integree Dogtag et gestion du cycle de vie via certmonger.
Concepts clés: Kerberos (KDC, principals, keytabs, tickets TGT/TGS), LDAP 389-DS, DNS integre BIND, AC Dogtag PKI, certmonger, SSSD coté client, HBAC, sudo rules, ID views, ID ranges, trust AD bidirectionnel, replication multi-master. Comprendre kinit, klist, kdestroy, et le mecanisme de delegation Kerberos. Maitriser la jointure d'un client avec ipa-client-install, la decouverte DNS via SRV records, et le cache SSSD. Connaitre les commandes ipa user-add, ipa hbacrule-add, ipa sudorule-add, et la gestion des otp tokens.
Services / outils: Services : ipa, sssd, krb5kdc, dirsrv, named-pkcs11, certmonger. Outils CLI : ipa, ipa-server-install, ipa-replica-install, ipa-client-install, kinit, getcert. Web UI : https://ipa.example.com.
Temps estimé: 12h

Domain 4 : Chiffrement, USBGuard et durcissement 20%

Objectifs: Chiffrer les volumes au repos avec LUKS2, automatiser le deverrouillage au boot via NBDE (Network-Bound Disk Encryption) avec Tang et Clevis pour des serveurs sans intervention manuelle. Configurer USBGuard pour controler les peripheriques USB selon une politique whitelist. Durcir le systeme via les profils sysctl, masquer les services inutiles, configurer fapolicyd pour le whitelisting d'executables, et appliquer les profils ANSSI ou DISA-STIG. Le candidat doit gerer la rotation des cles LUKS, ajouter/supprimer des keyslots, et utiliser cryptsetup pour le chiffrement de partitions root.
Concepts clés: LUKS2 vs LUKS1, keyslots, header backup, cle maitre, Tang (serveur d'autorite reseau), Clevis (client de binding), pin tang/tpm2/sss, regles USBGuard (allow, block, reject), hash de descripteur USB, fapolicyd (allow/deny rules, trust database). Sysctl hardening (kernel.randomize_va_space, kernel.dmesg_restrict, net.ipv4.conf.all.rp_filter). Profil ANSSI-BP-028, integration OpenSCAP. Comprendre le boot chiffre avec dracut et la phase initramfs.
Services / outils: Outils : cryptsetup, clevis luks bind/unlock, tang, usbguard, fapolicyd-cli, sysctl. Fichiers : /etc/crypttab, /etc/usbguard/rules.conf, /etc/fapolicyd/, /etc/sysctl.d/.
Temps estimé: 10h

Domain 5 : OpenSCAP et conformite automatisee 15%

Objectifs: Utiliser OpenSCAP pour evaluer la conformite d'un systeme RHEL aux standards PCI-DSS, ANSSI-BP-028, DISA-STIG, CIS et HIPAA. Le candidat doit savoir scanner un systeme avec oscap, generer un rapport HTML lisible, appliquer les remediations automatiques via bash ou Ansible, et personnaliser les profils SCAP avec SCAP Workbench. Integration dans une chaine CI/CD pour scanner les images de conteneurs (oscap-podman) et automatisation des scans recurrents via cron. Generation de rapports de conformite exploitables par les auditeurs.
Concepts clés: Standards SCAP : XCCDF (profils), OVAL (verifications), CPE (plateformes), datastream DS. Profils scap-security-guide pre-installes. Remediation : generation de scripts bash, playbooks Ansible, kickstart pour deploiement durci des l'installation. Tailoring (personnalisation) via SCAP Workbench GUI. Comprendre la difference entre evaluation (scan) et remediation (fix). Scoring CVSS et rapports d'ecart. Audit recurrent et tracabilite pour conformite reglementaire (RGPD, NIS2, LPM).
Services / outils: Outils : oscap, oscap-ssh, oscap-podman, scap-workbench (GUI). Packages : openscap-scanner, scap-security-guide. Datastreams : /usr/share/xml/scap/ssg/content/ssg-rhel9-ds.xml.
Temps estimé: 8h

Plan de révision hebdomadaire

Semaine 1 - Fondations SELinux : lire le guide officiel Red Hat 'Using SELinux' (RHEL 9), installer une VM RHEL 9 ou Rocky Linux 9, pratiquer 2h/jour les contextes, booleens et depannage avec setroubleshoot. Realiser 15 scenarios de denial intentionnels et resolution. Semaine 2 - Audit et journalisation : configurer auditd avec 20 regles couvrant les fichiers sensibles, deployer rsyslog TLS entre deux VM, mettre en place journald avec FSS. Generer des rapports aureport et analyser des incidents simules. Semaine 3 - Identity Management : deployer un serveur IdM complet avec replica, enroler 3 clients, configurer HBAC, sudo rules et OTP. Tester la haute disponibilite en arretant le master. Pratiquer la jonction et la sortie de domaine. Semaine 4 - Chiffrement et durcissement : creer plusieurs volumes LUKS2, deployer un serveur Tang, configurer Clevis sur 2 clients, mettre USBGuard en production, durcir un systeme avec fapolicyd et sysctl. Semaine 5 - OpenSCAP et conformite : scanner systematiquement les VM avec profils PCI-DSS et ANSSI, appliquer les remediations Ansible, customiser un profil via Workbench, integrer le scan dans un script. Semaine 6 - Revision finale : refaire entierement les labs Red Hat RH415, chronometrer chaque exercice (objectif : 30% de temps en moins que la cible), passer 2 examens blancs complets de 4h en conditions reelles. La veille : sommeil, pas de revision intensive, verification du materiel et de l'identite.

Besoin d'un planning sur mesure ? 30 jours · 60 jours · 90 jours

Ressources recommandées

Documentation officielle Red Hat Security Guide

Reference absolue : Security Hardening, Using SELinux, Configuring Identity Management. A lire integralement avant l'examen.

Red Hat Training RH415

Cours officiel preparant a EX415, environ 3200 EUR. Inclut labs cloud et examen. Alternative : Red Hat Learning Subscription (RHLS) Standard a 5500 EUR/an avec acces illimite.

Labs pratiques Killercoda et ROLE

Environnements RHEL gratuits pour pratiquer SELinux, IdM et OpenSCAP. Complete avec Red Hat Developer Subscription (gratuite) pour des VM RHEL 9 personnelles.

Communaute Reddit r/redhat et forum Red Hat Learning

Echanges entre candidats, retours d'experience EX415, conseils de timing. Voir aussi le Discord 'Linux Sysadmin' et la mailing-list freeipa-users.

5 erreurs classiques à éviter

Erreur 1 : Mettre SELinux en permissive pour 'gagner du temps' pendant l'examen. C'est une elimination directe : la consigne exige enforcing persistant. Toujours verifier sestatus avant de soumettre et tester un reboot.
Erreur 2 : Oublier la persistance des regles audit en utilisant uniquement auditctl. Les regles disparaissent au reboot. Toujours ecrire dans /etc/audit/rules.d/*.rules et tester avec augenrules --load puis reboot.
Erreur 3 : Ne pas sauvegarder le header LUKS avant de manipuler les keyslots. Une mauvaise manipulation rend les donnees irrecuperables. Toujours faire cryptsetup luksHeaderBackup avant toute modification.
Erreur 4 : Configurer IdM sans verifier la resolution DNS bidirectionnelle (PTR records). L'installation echoue silencieusement ou les clients ne peuvent pas s'enroler. Toujours valider avec dig avant ipa-server-install.
Erreur 5 : Sous-estimer le temps OpenSCAP en lancant un scan complet en fin d'examen. Un scan PCI-DSS peut prendre 15-20 minutes. Lancer les scans en arriere-plan tot et travailler en parallele sur d'autres taches.

5 questions types corrigées

Q1. Vous devez autoriser Apache (httpd) a ecouter sur le port TCP 8443 non standard sur RHEL 9 avec SELinux en enforcing. Quelle commande applique correctement le changement de maniere persistante ?

Réponse : B

La commande semanage port permet d'ajouter un port au type SELinux approprie de maniere persistante. Le type http_port_t est celui que httpd est autorise a binder. setsebool concerne les booleens, pas les ports. chcon modifie des contextes de fichiers (non persistant sans semanage fcontext). firewall-cmd ouvre le pare-feu mais ne resout pas le blocage SELinux qui empecherait httpd de binder le port. Sans cette commande semanage, httpd echouerait avec un AVC denial visible dans /var/log/audit/audit.log.

Q2. Vous configurez NBDE pour deverrouiller automatiquement un volume LUKS2 au boot via un serveur Tang. Quelle commande lie le volume au serveur Tang ?

Réponse : B

Clevis est le framework client de NBDE qui se lie a LUKS via la commande clevis luks bind. La syntaxe utilise un pin (tang, tpm2 ou sss) et une configuration JSON contenant l'URL du serveur Tang. Cette commande ajoute un keyslot LUKS contenant la cle chiffree par Tang. Au boot, le service clevis-luks-askpass interroge automatiquement Tang pour deverrouiller. cryptsetup ne supporte pas directement Tang. tang-bind n'existe pas. L'option D ne suffit pas car le binding doit etre etabli au prealable. Verifier avec clevis luks list.

Q3. Dans IdM, vous souhaitez creer une regle HBAC permettant au groupe admins d'acceder en SSH a tous les hotes du groupe servers. Quelle sequence de commandes est correcte ?

Réponse : A

La creation d'une regle HBAC dans IdM necessite quatre etapes distinctes : creer la regle vide avec hbacrule-add, ajouter les utilisateurs ou groupes autorises avec hbacrule-add-user, ajouter les hotes cibles avec hbacrule-add-host, et specifier les services autorises (sshd, login, etc.) avec hbacrule-add-service. HBAC ne permet pas de syntaxe condensee. sudorule concerne les droits sudo, pas l'acces. hostgroup-add-member ne gere pas les permissions. La regle par defaut allow_all doit etre desactivee pour que HBAC prenne effet.

Voir plus de questions gratuites →

Carrière & salaire après EX415

En France en 2026, un ingenieur securite Linux certifie EX415 percoit entre 55K et 75K EUR brut annuel en debut de carriere, et 75K a 95K EUR avec 5 ans d'experience. A Paris et en banque/assurance, les salaires depassent regulierement 100K EUR pour les profils seniors. En freelance, le TJM oscille entre 650 et 900 EUR. Les debouches : ingenieur DevSecOps, consultant hardening, architecte securite cloud (OpenShift), RSSI technique, expert reponse a incident Linux. Secteurs porteurs : OIV (defense, energie), banque (DORA), administrations (ANSSI), telecoms. Certifications complementaires recommandees : RHCA (Red Hat Certified Architect), EX447 (Ansible avance), CKS (Kubernetes Security), CISSP pour la dimension managériale, OSCP pour le pentest. EX415 ouvre aussi les portes des postes chez Red Hat consulting.

Détail des salaires EX415 en 2026 →

FAQ — EX415

Combien de temps faut-il pour preparer EX415 ?

Comptez 6 a 8 semaines a raison de 10 a 15h par semaine si vous avez deja le RHCE. Sans experience SELinux et IdM prealable, prevoyez 3 mois. La pratique en lab est non negociable : 70% du temps doit etre consacre aux manipulations.

Cette certification est-elle reconnue en France ?

Oui, tres fortement. Red Hat est le standard de facto dans la banque francaise (BNP, SocGen, Credit Agricole), les administrations et les OIV. La certification est explicitement demandee dans les appels d'offres publics et les missions de conseil chez Capgemini, Atos, Sopra Steria.

Quel est le taux de reussite a EX415 ?

Red Hat ne publie pas de chiffres officiels, mais les retours communautaires estiment le taux a 55-65%, soit l'un des plus difficiles du catalogue Red Hat. L'echec est souvent du au manque de pratique chronometrée plutot qu'aux connaissances theoriques.

Quel est le salaire apres EX415 ?

Entre 55K et 75K EUR brut annuel pour un profil junior/intermediaire, 75-95K EUR pour un senior, et plus de 100K EUR a Paris en finance. En freelance, TJM de 650 a 900 EUR. La prime de certification varie de 5000 a 12000 EUR brut/an selon les employeurs.

Faut-il une experience prealable ?

Le RHCE (EX294) est fortement recommande mais pas obligatoire. Une experience pratique de 2 ans minimum en administration Linux est indispensable. Sans cela, l'examen est quasi impossible vu sa nature 100% pratique et le timing serre.

EX415 ou cert concurrente : laquelle choisir ?

Face a LPIC-3 Security (303), EX415 est plus pratique et mieux reconnue dans l'ecosysteme entreprise. Face a CompTIA Linux+ avec specialisation, EX415 a plus de valeur. Pour la securite cloud, completer avec CKS (Kubernetes) ou AWS Security Specialty selon votre stack.

Combien coute l'examen EX415 ?

Environ 500 EUR HT en passage individuel via Red Hat. Inclus dans le Red Hat Learning Subscription Standard (5500 EUR/an) qui couvre tous les examens et formations. Tarifs preferentiels via partenaires de formation.

Combien de fois peut-on repasser EX415 ?

Red Hat autorise un nombre illimite de tentatives, mais chaque passage est facturant. Une periode d'attente de 14 jours est imposee entre deux tentatives. Le pack Individual Exam inclut souvent une reprise gratuite ('exam retake') selon les promotions.

Prêt à passer à la pratique ?

Lancez votre examen blanc gratuit ou faites le test d'orientation pour valider votre choix.

Démarrer l'examen blanc EX415 → Test d'orientation