Accueil · Guides de révision · KCSA

Guide complet KCSA — CNCF

Kubernetes and Cloud Native Security Associate · Programme, plan de révision, ressources, examen blanc gratuit.

TL;DR — Le guide en 1 minute

La certification KCSA (Kubernetes and Cloud Native Security Associate) de la CNCF s'adresse aux ingenieurs DevOps, SRE et professionnels de la securite souhaitant valider leurs connaissances en securite Kubernetes. Format QCM de 60 questions en 90 minutes, score requis 75%, prix 250 USD. Aucun prerequis officiel mais une connaissance de base de Kubernetes (niveau KCNA) est fortement recommandee. Debouches : Cloud Security Engineer, DevSecOps, Kubernetes Security Specialist avec des salaires entre 55k et 85k EUR en France.

Pourquoi passer la certification KCSA ?

Passer la KCSA en 2026 represente un investissement strategique dans un marche en pleine explosion. Avec plus de 96% des entreprises utilisant Kubernetes en production selon le rapport CNCF 2025, la securisation des clusters est devenue une priorite absolue. Les incidents de securite lies aux conteneurs ont augmente de 67% en 2025, creant une demande massive pour des profils specialises. La KCSA, lancee en novembre 2023, est la premiere certification CNCF dediee a la securite cloud native, ce qui lui confere une legitimite unique. Le ROI est rapide : une augmentation salariale moyenne de 12 a 18% est constatee apres obtention. La cert valorise votre CV en demontrant une comprehension des 4C (Cloud, Cluster, Container, Code), des supply chain attacks, et des frameworks comme NIST SSDF. Les recruteurs francais et europeens la reconnaissent de plus en plus, notamment dans les grands groupes (banques, assurances, telcos) soumis a DORA et NIS2. Elle constitue aussi un excellent tremplin vers la CKS (Certified Kubernetes Security Specialist), beaucoup plus exigeante. En 2026, avec l'essor du DevSecOps et le shift-left security, la KCSA devient un differenciateur cle pour evoluer vers des postes a responsabilite.

Caractéristiques de l'examen

Format QCM 60 questions a choix multiple
Duree 90 minutes
Score requis 75%
Prix officiel 250 USD (environ 230 EUR)
Langues Anglais (francais non disponible)
Validite 2 ans
Prerequis Aucun officiel, KCNA et bases Kubernetes recommandees

Programme détaillé par domaine

Domain 1 : Overview of Cloud Native Security 14%

Objectifs
Ce domaine pose les fondations conceptuelles de la securite cloud native. Il couvre les 4C de la securite (Cloud, Cluster, Container, Code), le modele de responsabilite partagee, et les principes de defense en profondeur. Les candidats doivent comprendre comment chaque couche s'imbrique et quels controles appliquer a chaque niveau. La notion de Zero Trust appliquee aux environnements cloud native est centrale, tout comme les frameworks de reference (NIST, CIS Benchmarks). Il s'agit egalement de saisir les specificites de la securite dans un monde ephemere et distribue, ou les workloads naissent et meurent en quelques secondes.
Concepts clés
Modele des 4C (Cloud, Cluster, Container, Code), Zero Trust Architecture, defense en profondeur, principe du moindre privilege, CIA triad (Confidentiality, Integrity, Availability), modele de responsabilite partagee CSP/client, threat modeling avec STRIDE, controles preventifs/detectifs/correctifs, automation de la securite, shift-left security, isolation des workloads, ephemerite des conteneurs, immutabilite de l'infrastructure, security by design.
Services / outils
CIS Kubernetes Benchmark, NIST SP 800-190 (Application Container Security Guide), NIST SSDF (Secure Software Development Framework), MITRE ATT&CK for Containers, OWASP Kubernetes Top 10, frameworks CNCF Security TAG.
Temps estimé
8-10h

Domain 2 : Kubernetes Cluster Component Security 22%

Objectifs
Domaine le plus important en volume, il couvre la securisation des composants natifs Kubernetes. Les candidats doivent maitriser la securisation de l'API server, etcd, kubelet, kube-proxy, controller manager et scheduler. Comprendre les communications inter-composants (mTLS, certificats), les ports exposes et les configurations sensibles est essentiel. L'accent est mis sur le hardening du control plane et des worker nodes, ainsi que sur la securisation des conteneurs runtime (containerd, CRI-O). La compromission d'un seul composant pouvant exposer tout le cluster, ce domaine est critique.
Concepts clés
API server flags (--anonymous-auth, --authorization-mode), etcd encryption at rest, kubelet authentication/authorization, securisation des certificats TLS, rotation des credentials, kube-proxy iptables/IPVS, container runtime security, runC vulnerabilities, gVisor et Kata Containers, node hardening, OS minimal (Bottlerocket, Talos), audit logging, admission controllers, webhook security.
Services / outils
etcd avec TLS, kubeadm, kubelet, containerd, CRI-O, runC, gVisor, Kata Containers, Bottlerocket OS, Falco, audit-policy.yaml.
Temps estimé
12-15h

Domain 3 : Kubernetes Security Fundamentals 22%

Objectifs
Ce domaine couvre les mecanismes de securite natifs de Kubernetes. Les candidats apprennent a configurer le RBAC, les Pod Security Standards (PSS) remplacant les anciennes PSP, les Network Policies, et la gestion des Secrets. La comprehension des Service Accounts, des token projections et des admission controllers (ValidatingAdmissionPolicy, MutatingAdmissionWebhook) est indispensable. La cryptographie applicative, la gestion des secrets externalises (Vault, External Secrets Operator) et les outils policy-as-code comme OPA Gatekeeper et Kyverno sont egalement evalues.
Concepts clés
RBAC (Roles, ClusterRoles, RoleBindings), Pod Security Standards (Privileged, Baseline, Restricted), Pod Security Admission, Network Policies (ingress/egress), Secrets management, Service Accounts, token projection, securityContext, capabilities Linux, seccomp profiles, AppArmor, SELinux, admission controllers, OPA Gatekeeper, Kyverno, isolation namespaces.
Services / outils
kubectl auth can-i, OPA Gatekeeper, Kyverno, HashiCorp Vault, External Secrets Operator, Sealed Secrets, cert-manager, Calico, Cilium pour NetworkPolicies.
Temps estimé
12-14h

Domain 4 : Kubernetes Threat Model 16%

Objectifs
Ce domaine forme les candidats a identifier et categoriser les menaces specifiques a Kubernetes. Il couvre les vecteurs d'attaque courants : compromission de pods, escalade de privileges, mouvement lateral, exfiltration de donnees. Les threat actors persistants (APT) ciblant Kubernetes, comme TeamTNT, Hildegard ou Kinsing, sont etudies. Le candidat doit savoir construire un threat model, identifier les actifs critiques, evaluer les surfaces d'attaque et prioriser les controles. La supply chain security et les attaques sur CI/CD sont un point chaud.
Concepts clés
STRIDE methodology, kill chain Kubernetes, container escape, privilege escalation, lateral movement, cryptojacking, MITRE ATT&CK Containers Matrix, persistence techniques (DaemonSets malicieux), credential theft, denial of service, supply chain attacks (typosquatting, dependency confusion), insider threats, trust boundaries.
Services / outils
MITRE ATT&CK Navigator, Microsoft Threat Matrix for Kubernetes, OWASP Threat Dragon, Trivy, Grype, Sigstore/Cosign, SLSA framework.
Temps estimé
8-10h

Domain 5 : Platform Security 16%

Objectifs
Ce domaine final couvre les outils et plateformes complementaires assurant la securite end-to-end. Il inclut la securite du supply chain (signature d'images, SBOM), l'observabilite securite (logs, metriques, traces), la detection runtime, la conformite et les outils PaC. Les candidats doivent comprendre comment integrer la securite dans les pipelines CI/CD, automatiser le scanning de vulnerabilites, et mettre en place une approche GitOps securisee avec ArgoCD ou Flux. La gestion des secrets en CI/CD et la securite des registries sont cruciales.
Concepts clés
Supply chain security, SBOM (Software Bill of Materials), image signing avec Cosign/Sigstore, SLSA levels, runtime detection, eBPF security, observability (logs/metrics/traces), CIS scanning, vulnerability management, GitOps security, registry security, admission policies, compliance automation, secrets scanning, IaC security.
Services / outils
Falco, Tetragon, Trivy, Grype, Clair, Cosign, Sigstore, Notary v2, Harbor, ArgoCD, Flux, OPA, Kyverno, Prometheus, Grafana, OpenTelemetry, Tracee.
Temps estimé
10-12h

Plan de révision hebdomadaire

Planning recommande sur 6 a 8 semaines pour un candidat avec bases Kubernetes. Semaine 1 : Fondamentaux cloud native security. Lecture du curriculum officiel CNCF, du livre blanc CNCF Cloud Native Security Whitepaper v2, et completion du module gratuit Linux Foundation LFS183x. Faire 2-3 labs Killercoda sur les bases RBAC. Semaine 2 : Composants du cluster. Deployer un cluster avec kubeadm, etudier chaque flag sensible de l'API server et kubelet, pratiquer le CIS Benchmark avec kube-bench. Lire NIST SP 800-190 en parallele. Semaine 3 : Kubernetes Security Fundamentals. Approfondir RBAC, Pod Security Standards, NetworkPolicies. Installer Kyverno et OPA Gatekeeper, ecrire 5-10 policies. Pratiquer 3h sur Killercoda scenarios securite. Semaine 4 : Threat Model. Etudier MITRE ATT&CK Containers, lire la Microsoft Threat Matrix Kubernetes. Realiser un exercice de threat modeling sur une architecture fictive avec STRIDE. Etudier 3 incidents reels (TeamTNT, Tesla cryptojacking). Semaine 5 : Platform Security. Installer Falco et creer des regles custom, signer une image avec Cosign, generer un SBOM avec Syft, scanner avec Trivy. Configurer un pipeline GitOps securise. Semaine 6 : Premier examen blanc sur KodeKloud ou ExamPro. Identifier 3-4 domaines faibles et reviser intensement. Refaire les labs sur ces points. Semaine 7 : Deuxieme examen blanc, viser 80%+. Reviser les flashcards quotidiennement, relire le curriculum officiel. Semaine 8 : Revision finale legere, repos la veille, planifier l'examen le matin avec esprit clair.

Besoin d'un planning sur mesure ? 30 jours · 60 jours · 90 jours

Ressources recommandées

Curriculum officiel CNCF KCSA

Document de reference avec tous les objectifs detailles par domaine et poids exacts. Indispensable pour cibler la revision.

Linux Foundation LFS260 - Kubernetes Security Essentials

Cours officiel de 30h couvrant tout le programme KCSA et au-dela. Bundle avec examen disponible a tarif reduit.

Killercoda Kubernetes Security Scenarios

Plateforme de labs interactifs gratuits avec scenarios pratiques sur RBAC, NetworkPolicies, Pod Security et runtime security.

CNCF Slack #kcsa-certification

Canal communautaire officiel pour echanger avec d'autres candidats, partager ressources et obtenir aide sur points difficiles.

5 erreurs classiques à éviter

  • Erreur 1 : Confondre Pod Security Policies (PSP, deprecates depuis 1.25) et Pod Security Standards (PSS). L'examen 2026 teste uniquement PSS avec les 3 niveaux Privileged, Baseline, Restricted. Bien etudier le Pod Security Admission controller.
  • Erreur 2 : Negliger les questions sur etcd. Beaucoup de candidats oublient l'encryption at rest, les certificats TLS client/peer et l'isolation reseau d'etcd, qui representent 15% des questions sur le control plane.
  • Erreur 3 : Sous-estimer la partie threat modeling et supply chain. Les candidats techniques privilegient les configs YAML mais oublient les concepts STRIDE, SLSA et la signature d'images avec Cosign, qui sont massivement testes.
  • Erreur 4 : Confondre les outils policy-as-code. Bien differencier OPA Gatekeeper (Rego, ValidatingAdmissionPolicy) et Kyverno (YAML natif). Connaitre leurs forces respectives et cas d'usage typiques.
  • Erreur 5 : Tenter l'examen sans pratiquer en lab reel. Meme si KCSA est purement QCM, sans manipulation pratique de kubectl auth can-i, des NetworkPolicies et des securityContext, les questions scenarisees deviennent pieges.

5 questions types corrigées

Q1. Quelle Pod Security Standard interdit l'execution de conteneurs en tant que root et impose runAsNonRoot ?
Réponse : C
Le niveau Restricted est le plus strict des trois Pod Security Standards. Il impose runAsNonRoot=true, interdit les capabilities Linux sauf NET_BIND_SERVICE, exige seccompProfile RuntimeDefault ou Localhost, et bloque les volumes hostPath. Baseline empeche les configurations dangereuses connues mais autorise root. Privileged n'applique aucune restriction. Restricted suit les bonnes pratiques de hardening pour workloads sensibles et est recommande pour la majorite des applications en production.
Q2. Quel outil CNCF permet de signer cryptographiquement des images de conteneurs pour garantir l'integrite de la supply chain ?
Réponse : B
Cosign, projet du Sigstore ecosystem (CNCF), permet de signer et verifier des images OCI avec des cles cryptographiques ou via keyless signing (OIDC). Il s'integre aux registries standards et aux pipelines CI/CD. Trivy est un scanner de vulnerabilites, Falco fait de la detection runtime via eBPF, et Kyverno est un policy engine. Cosign est central dans une strategie SLSA pour atteindre les niveaux 2 et 3 de la supply chain security.
Q3. Dans le modele des 4C de la securite cloud native, quel ordre represente correctement les couches du plus externe au plus interne ?
Réponse : B
Le modele des 4C definit quatre couches concentriques de securite, de la plus externe a la plus interne : Cloud (infrastructure du provider), Cluster (composants Kubernetes), Container (runtime et images), et Code (application). Chaque couche depend de la securite des couches superieures : un cluster mal securise compromet les containers, peu importe la qualite du code. Cette approche en defense en profondeur est la fondation conceptuelle de toute la securite Kubernetes et un concept frequemment teste.

Voir plus de questions gratuites →

Carrière & salaire après KCSA

La KCSA ouvre des postes de Cloud Security Engineer, DevSecOps Engineer, Platform Security Specialist et Kubernetes Security Consultant. En France en 2026, les salaires constates : junior (1-3 ans) 45-55k EUR, confirme (3-6 ans) 55-75k EUR, senior 75-95k EUR, lead/architect 95-130k EUR. En region parisienne et a Geneve, ajouter 10-15%. Les freelances facturent 600-900 EUR/jour. Le marche europeen (Allemagne, Pays-Bas, UK) offre des packages superieurs de 20-30%. Evolutions naturelles : passer la CKS (Certified Kubernetes Security Specialist) pour valider les competences pratiques, puis la CKA et CKAD pour completer le triptyque. Les certs complementaires recommandees : CompTIA Security+, AWS Security Specialty, HashiCorp Vault Associate, ou CISSP pour evoluer vers des postes de management securite cloud.

Détail des salaires KCSA en 2026 →

FAQ — KCSA

Combien de temps faut-il pour preparer KCSA ?

Comptez 60 a 100 heures de preparation reparties sur 6 a 8 semaines pour un candidat ayant des bases Kubernetes. Sans experience prealable, prevoir 120-150h sur 3 mois en passant d'abord la KCNA.

Cette certification est-elle reconnue en France ?

Oui, la KCSA gagne rapidement en notoriete depuis son lancement en novembre 2023. Les grands comptes (banques, telcos, ESN comme Capgemini, Sopra, Accenture) la valorisent activement, notamment dans le contexte DORA et NIS2.

Quel est le taux de reussite a KCSA ?

Le taux de reussite estime se situe autour de 65-70% au premier essai. Les candidats ayant suivi le cours LFS260 et pratique des labs depassent 85% de reussite.

Quel est le salaire apres KCSA ?

En France en 2026, un profil DevSecOps junior avec KCSA debute entre 45 et 55k EUR. Avec 3-5 ans d'experience, le salaire atteint 65-80k EUR. Les seniors et architects depassent souvent 95k EUR.

Faut-il une experience prealable ?

Aucun prerequis officiel, mais une connaissance de Kubernetes equivalente a la KCNA est fortement recommandee. Sans bases pratiques (deployer pods, comprendre RBAC), l'examen sera tres difficile.

KCSA ou cert concurrente : laquelle choisir ?

KCSA est ideale pour valider les concepts theoriques de securite cloud native. Pour du hands-on pratique, la CKS est superieure mais beaucoup plus exigeante (2 ans d'experience requis). KCSA est le tremplin naturel vers CKS.

Combien coute l'examen KCSA ?

L'examen coute 250 USD (environ 230 EUR) en 2026. Des bundles avec le cours LFS260 sont proposes a 595 USD. Linux Foundation offre regulierement des promotions Black Friday (-30 a -40%).

Combien de fois peut-on repasser KCSA ?

L'achat de l'examen inclut une tentative gratuite de retry si echec a la premiere. Ensuite, il faut racheter l'examen au tarif plein. Il n'y a pas de limite au nombre de tentatives possibles.

Prêt à passer à la pratique ?

Lancez votre examen blanc gratuit ou faites le test d'orientation pour valider votre choix.

Démarrer l'examen blanc KCSA → Test d'orientation