Accueil · Guides de révision · SCS-C02

Guide complet SCS-C02 — AWS

AWS Certified Security - Specialty · Programme, plan de révision, ressources, examen blanc gratuit.

TL;DR — Le guide en 1 minute

La certification AWS Certified Security - Specialty (SCS-C02) s'adresse aux ingenieurs securite cloud, architectes et DevSecOps disposant d'au moins 3 ans d'experience en securite IT et 2 ans sur AWS. L'examen comporte 65 questions QCM/QCMR a passer en 170 minutes pour 300 EUR. Aucun prerequis officiel, mais une bonne maitrise d'IAM, KMS, VPC et CloudTrail est indispensable. Debouches : Cloud Security Engineer, SecOps Architect, Consultant securite AWS, avec des salaires depassant 75 000 EUR en France.

Pourquoi passer la certification SCS-C02 ?

En 2026, la securite cloud reste la priorite numero un des DSI europeennes, portee par NIS2, DORA et le RGPD renforce. AWS domine toujours le marche IaaS avec plus de 32% de parts, ce qui place SCS-C02 parmi les certifications securite cloud les plus recherchees. Les offres d'emploi mentionnant cette certification ont progresse de 38% en France entre 2024 et 2026 selon LinkedIn Talent Insights. Le ROI est rapide : un ingenieur certifie SCS-C02 negocie en moyenne 12 a 18% de salaire supplementaire des la premiere annee. Au-dela de la remuneration, la certification valide une expertise transverse couvrant IAM avance, chiffrement KMS, securite reseau VPC, detection avec GuardDuty et Security Hub, et reponse aux incidents. Elle ouvre l'acces a des missions de consulting a forte valeur ajoutee (TJM moyen 750-950 EUR en France). Pour les profils evoluant vers le poste de RSSI cloud ou architecte securite, SCS-C02 constitue un differenciateur majeur face aux profils generalistes, en complement de certifications comme CISSP ou CCSP qui restent davantage theoriques.

Caractéristiques de l'examen

Format QCM et QCMR, 65 questions
Duree 170 minutes
Score requis 750/1000 (environ 75%)
Prix officiel 300 EUR HT
Langues Anglais, Francais, Japonais, Coreen, Chinois simplifie
Validite 3 ans (recertification requise)
Prerequis Recommande : 3-5 ans en securite IT, 2 ans sur AWS

Programme détaillé par domaine

Domain 1 : Threat Detection and Incident Response 14%

Objectifs
Ce domaine evalue votre capacite a concevoir et mettre en oeuvre une strategie de detection des menaces et de reponse aux incidents sur AWS. Vous devez savoir identifier des indicateurs de compromission, analyser des logs, automatiser la remediation et concevoir des playbooks d'incident response conformes au framework NIST 800-61. L'examen teste votre comprehension des workflows de triage, l'isolation d'instances compromises, la collecte forensique sur EBS et la coordination via AWS Systems Manager Incident Manager. Vous devez aussi maitriser la correlation multi-comptes via AWS Organizations et la gestion des alertes a grande echelle.
Concepts clés
Maitriser GuardDuty (findings, suppression rules, malware protection), Security Hub (standards CIS, PCI DSS, AWS Foundational), Amazon Detective pour l'investigation graphique, et Macie pour la detection de donnees sensibles. Comprendre les EventBridge rules pour automatiser les reponses, les runbooks SSM Automation, et l'integration Lambda pour la remediation. Savoir extraire des artefacts forensiques (snapshots EBS, memory dumps via SSM), isoler une instance via Security Groups restrictifs, et utiliser CloudTrail Lake pour les requetes SQL sur les logs. La notion de chain of custody et de preservation des preuves est cruciale.
Services / outils
GuardDuty, Security Hub, Amazon Detective, Macie, EventBridge, Lambda, Systems Manager (Incident Manager, Automation, Run Command), CloudTrail Lake, AWS Config, Step Functions pour orchestration.
Temps estimé
15h

Domain 2 : Security Logging and Monitoring 18%

Objectifs
Concevoir et implementer une strategie complete de journalisation et monitoring securite. Vous devez savoir centraliser les logs multi-comptes, garantir leur integrite, dimensionner le stockage et optimiser les couts. Le domaine couvre l'analyse temps reel, la detection d'anomalies et la conformite reglementaire (PCI DSS, HIPAA, ISO 27001). Vous serez evalue sur la conception d'architectures de logging resilientes utilisant un compte log archive dedie, l'application de politiques de retention, et l'utilisation de mecanismes anti-tampering comme Object Lock S3 et CloudTrail log file validation.
Concepts clés
CloudTrail (multi-region, organization trail, data events, insights), CloudWatch Logs (subscription filters, metric filters, insights queries), VPC Flow Logs (formats personnalises, destinations S3/CloudWatch/Kinesis), DNS query logging via Route 53 Resolver. Comprendre AWS Config rules (managed et custom), conformance packs, et remediation automatique. Maitriser l'agregation via Kinesis Data Firehose vers OpenSearch ou S3, ainsi que Athena pour l'analyse ad-hoc. Connaitre les bonnes pratiques de chiffrement des logs avec KMS CMK et la separation des privileges sur le compte log archive.
Services / outils
CloudTrail, CloudWatch (Logs, Metrics, Alarms), VPC Flow Logs, AWS Config, Kinesis Data Streams/Firehose, OpenSearch Service, Athena, S3 Object Lock, AWS Audit Manager.
Temps estimé
18h

Domain 3 : Infrastructure Security 20%

Objectifs
Securiser les composants reseau et compute d'une architecture AWS. Le domaine couvre la segmentation reseau, la protection perimetrique, le hardening des workloads EC2/ECS/EKS/Lambda, et la securite des edges (CloudFront, API Gateway). Vous devez savoir concevoir des architectures multi-VPC avec Transit Gateway, appliquer le principe de defense en profondeur, et integrer des controles de securite dans les pipelines CI/CD. L'examen evalue aussi la securisation des conteneurs (ECR scanning, runtime security) et des fonctions serverless (resource policies, environment encryption).
Concepts clés
Security Groups vs NACLs (stateful vs stateless), VPC endpoints (Gateway et Interface, PrivateLink), AWS Network Firewall et stateful rules Suricata, AWS WAF (managed rules, rate-based, geo-blocking, bot control), AWS Shield Advanced contre DDoS. Maitriser les SSM Session Manager pour l'acces sans bastion, EC2 Instance Connect, et le patching via Patch Manager. Connaitre la securite EKS : IRSA, Pod Security Standards, network policies Calico, secrets externes via Secrets Store CSI Driver.
Services / outils
VPC, Transit Gateway, Network Firewall, WAF, Shield Advanced, Route 53 Resolver DNS Firewall, Systems Manager, Inspector v2, ECR, EKS, Firewall Manager.
Temps estimé
20h

Domain 4 : Identity and Access Management 16%

Objectifs
Concevoir et gerer des solutions d'authentification et d'autorisation a l'echelle de l'entreprise. Vous devez maitriser la federation d'identite, le SSO multi-comptes, la delegation cross-account, et la gestion fine des permissions selon le principe du moindre privilege. Le domaine evalue votre capacite a auditer les permissions, detourner les chemins d'escalade de privileges, et appliquer des controles preventifs via SCPs. Une comprehension approfondie de la logique d'evaluation des policies IAM (deny explicit, permission boundaries, session policies) est indispensable.
Concepts clés
IAM policies (identity-based, resource-based, permission boundaries, session policies), AWS Organizations SCPs et RCPs, IAM Identity Center (ex AWS SSO) avec attribute-based access control (ABAC), IAM Access Analyzer pour la detection de ressources exposees et la generation de policies. Federation SAML 2.0 et OIDC, integration Active Directory via AWS Managed Microsoft AD ou AD Connector. Comprendre STS (AssumeRole, AssumeRoleWithSAML, AssumeRoleWithWebIdentity), les condition keys avancees (aws:PrincipalOrgID, aws:SourceVpce, aws:ResourceTag).
Services / outils
IAM, IAM Identity Center, AWS Organizations, IAM Access Analyzer, STS, Cognito (User Pools et Identity Pools), Directory Service, Resource Access Manager (RAM).
Temps estimé
16h

Domain 5 : Data Protection 18%

Objectifs
Proteger les donnees au repos et en transit sur AWS. Vous devez concevoir des strategies de chiffrement adaptees aux exigences reglementaires, gerer le cycle de vie des cles cryptographiques, et implementer des mecanismes de classification et masquage des donnees sensibles. Le domaine couvre la gestion des secrets applicatifs, la rotation automatisee, et la securisation des bases de donnees (RDS, DynamoDB, Aurora). Vous serez teste sur les implications de souverainete (chiffrement client-side, BYOK, XKS) et la conformite RGPD pour les transferts transatlantiques.
Concepts clés
KMS (CMK AWS-managed vs customer-managed, key policies, grants, multi-region keys, external key store XKS), CloudHSM pour FIPS 140-2 niveau 3. Chiffrement S3 (SSE-S3, SSE-KMS, SSE-C, DSSE-KMS, client-side avec encryption SDK), bucket policies et Block Public Access. AWS Certificate Manager (ACM) public et prive, integration avec ALB/CloudFront. Secrets Manager (rotation Lambda, replication cross-region) vs SSM Parameter Store SecureString. Macie pour la decouverte de PII et donnees sensibles.
Services / outils
KMS, CloudHSM, ACM, ACM Private CA, Secrets Manager, SSM Parameter Store, S3 (encryption, Object Lock), Macie, RDS/Aurora encryption, DynamoDB encryption.
Temps estimé
16h

Plan de révision hebdomadaire

Planifier 10 a 12 semaines de preparation a raison de 8 a 10 heures hebdomadaires. Semaine 1 : lire le guide officiel SCS-C02 Exam Guide et cartographier vos lacunes avec un quiz d'auto-evaluation. Etudier l'AWS Well-Architected Framework, pilier Security. Semaine 2-3 : Domain 4 (IAM). Lire la documentation IAM en profondeur, pratiquer 15 labs sur IAM Identity Center, SCPs, federation SAML. Reproduire des scenarios cross-account avec AssumeRole. Semaine 4-5 : Domain 5 (Data Protection). Creer des CMK multi-region, tester l'envelope encryption, configurer S3 avec SSE-KMS et Object Lock, mettre en place la rotation Secrets Manager. Semaine 6-7 : Domain 3 (Infrastructure). Construire une architecture multi-VPC avec Transit Gateway, deployer Network Firewall et WAF avec regles managed, faire un lab EKS securise avec IRSA. Semaine 8 : Domain 2 (Logging). Centraliser CloudTrail multi-comptes vers un compte log archive, configurer Config aggregator, ecrire des requetes Athena et CloudWatch Logs Insights. Semaine 9 : Domain 1 (Detection). Simuler une compromission, declencher GuardDuty, automatiser la remediation via EventBridge et Lambda, investiguer avec Detective. Semaine 10 : 3 examens blancs (Tutorials Dojo, Whizlabs, AWS Skill Builder Official Practice Exam). Analyser chaque erreur, relire les whitepapers Security Best Practices et Encrypting Data at Rest. Semaine 11 : revisions ciblees sur faiblesses, flashcards Anki pour les services et limites. Semaine 12 : repos cognitif, derniere lecture des FAQ AWS, passage de l'examen en debut de semaine en mode Pearson VUE online proctored ou centre.

Besoin d'un planning sur mesure ? 30 jours · 60 jours · 90 jours

Ressources recommandées

AWS SCS-C02 Exam Guide officiel

Guide officiel detaillant les 5 domaines, le format et les ressources recommandees par AWS.

AWS Skill Builder - Exam Prep Enhanced Course

Cours officiel gratuit avec labs pratiques et examen blanc officiel a 20 EUR.

Tutorials Dojo - SCS-C02 Practice Exams

Reference pour les examens blancs realistes avec explications detaillees, environ 15 EUR.

AWS Security Blog et r/AWSCertifications

Blog officiel pour les nouveautes services et communaute Reddit active pour retours d'examen.

5 erreurs classiques à éviter

  • Erreur 1 : Negliger la logique d'evaluation des policies IAM. Beaucoup pensent qu'un Allow surpasse un Deny ; en realite, un Deny explicite gagne toujours. Pratiquer avec IAM Policy Simulator et schematiser l'ordre d'evaluation (SCP, resource policy, identity policy, permission boundary, session policy).
  • Erreur 2 : Confondre SSE-KMS et SSE-C ou oublier les implications de cout des appels KMS sur S3. Activer S3 Bucket Keys reduit drastiquement la facture KMS. Connaitre aussi la difference entre key policy et grants.
  • Erreur 3 : Sous-estimer le reseau. Mal differencier Security Groups (stateful) et NACLs (stateless), ignorer les Gateway Endpoints (S3/DynamoDB gratuits) vs Interface Endpoints (PrivateLink, payants). Pratiquer des labs reels de segmentation.
  • Erreur 4 : Reviser uniquement la theorie sans labs hands-on. L'examen pose des scenarios concrets ; sans pratique, identifier la bonne combinaison de services est impossible. Investir minimum 40 heures en labs AWS reels.
  • Erreur 5 : Ignorer les nouveautes recentes comme RCPs, Declarative Policies, GuardDuty Extended Threat Detection ou Security Hub CSPM unifie. SCS-C02 integre les services GA jusqu'a 6 mois avant l'examen.

5 questions types corrigées

Q1. Une entreprise souhaite garantir que les buckets S3 d'une organisation AWS ne puissent jamais etre rendus publics, meme par un administrateur compte. Quelle solution est la plus efficace ?
Réponse : B
Seule la combinaison SCP plus RCP (Resource Control Policy, introduite fin 2024) garantit un controle preventif au niveau organisation, empechant tout principal, meme root, de modifier la configuration ou d'accorder l'acces public. Les SCPs limitent les actions IAM, tandis que les RCPs s'appliquent aux resource policies. Les options A et C sont detectives ou contournables. GuardDuty S3 Protection ne fait que detecter, sans bloquer.
Q2. Un ingenieur securite doit permettre a des developpeurs d'acceder a des instances EC2 dans des subnets prives sans bastion ni IP publique. Quelle approche respecte le mieux le principe du moindre privilege ?
Réponse : B
Session Manager elimine le besoin d'ouverture de port entrant et d'IP publique tout en fournissant un audit complet via CloudTrail et CloudWatch Logs. L'utilisation de conditions IAM sur ssm:resourceTag/Environment permet une autorisation granulaire par instance. Les options A et C exposent inutilement le perimetre. Le Client VPN est utile pour acceder au reseau mais ne fournit pas l'audit de session ni le moindre privilege au niveau instance.
Q3. Une application Lambda doit chiffrer des donnees sensibles avec une cle gerable par le client et auditable. Quelle configuration KMS est recommandee ?
Réponse : B
Une CMK customer-managed offre le controle total sur la key policy, la rotation automatique annuelle, et l'audit fin via CloudTrail data events. Restreindre kms:Decrypt au seul role Lambda applique le moindre privilege. La cle AWS-managed (option A) ne permet pas de personnaliser la policy. Stocker une cle AES en clair dans Secrets Manager (C) est une anti-pattern. CloudHSM (D) est sur-dimensionne sauf exigence FIPS 140-2 niveau 3 ou compliance specifique.

Voir plus de questions gratuites →

Carrière & salaire après SCS-C02

En France en 2026, un Cloud Security Engineer certifie SCS-C02 percoit entre 60 000 et 85 000 EUR brut annuel en debut de carriere, et 90 000 a 120 000 EUR avec 5+ ans d'experience (source : Hays Tech Salary Guide 2026). Les architectes securite AWS senior depassent 130 000 EUR, notamment dans la banque (BNP, SocGen) et le luxe (LVMH, Kering). Le marche freelance affiche des TJM de 750 a 950 EUR. Les debouches incluent : Cloud Security Engineer, DevSecOps Lead, Cloud Security Architect, RSSI Cloud, consultant en cabinet (Wavestone, Accenture). Certifications complementaires pertinentes : AWS Solutions Architect Professional, CCSP, CISSP, HashiCorp Vault Associate, et Kubernetes CKS pour les profils orientes conteneurs.

Détail des salaires SCS-C02 en 2026 →

FAQ — SCS-C02

Combien de temps faut-il pour preparer SCS-C02 ?

Comptez 10 a 12 semaines a raison de 8 a 10 heures hebdomadaires pour un profil avec experience AWS prealable. Sans bagage AWS, prevoyez 4 a 6 mois en passant d'abord Solutions Architect Associate.

Cette certification est-elle reconnue en France ?

Oui, SCS-C02 figure parmi les certifications cloud les plus demandees en France selon LinkedIn et APEC. Elle est valorisee dans les secteurs banque, assurance, defense et conseil, avec une reconnaissance equivalente au CCSP pour le perimetre AWS.

Quel est le taux de reussite a SCS-C02 ?

AWS ne publie pas de taux officiel, mais les retours communautaires (Reddit r/AWSCertifications) indiquent environ 60 a 65% de reussite au premier passage, ce qui en fait l'une des Specialty les plus exigeantes avec ANS-C01.

Quel est le salaire apres SCS-C02 ?

En France 2026, le salaire median d'un Cloud Security Engineer certifie est de 78 000 EUR brut. Les profils senior atteignent 110 000 a 130 000 EUR, et les freelances facturent 800 EUR TJM en moyenne sur Malt et Free-Work.

Faut-il une experience prealable ?

Aucun prerequis officiel, mais AWS recommande 3 a 5 ans d'experience en securite IT dont 2 ans sur AWS. Une certification AWS Associate (SAA-C03 ou SOA-C02) prealable est fortement conseillee pour maitriser les fondamentaux services.

SCS-C02 ou cert concurrente : laquelle choisir ?

Si vous travaillez majoritairement sur AWS, choisissez SCS-C02 pour sa profondeur technique. Pour une approche multi-cloud et gouvernance, optez pour CCSP. Pour le management securite global, CISSP reste la reference. Les trois sont complementaires sur un CV senior.

Combien coute l'examen SCS-C02 ?

L'examen coute 300 USD HT, soit environ 300 EUR. AWS offre regulierement des vouchers 50% via les evenements re:Invent, AWS Summit Paris, ou apres la reussite d'une certification precedente. Pearson VUE applique la TVA selon le pays.

Combien de fois peut-on repasser SCS-C02 ?

En cas d'echec, vous devez attendre 14 jours avant de reprogrammer. Il n'y a pas de limite au nombre de tentatives, mais chaque passage est payant. AWS recommande d'analyser le score report par domaine avant de retenter.

Prêt à passer à la pratique ?

Lancez votre examen blanc gratuit ou faites le test d'orientation pour valider votre choix.

Démarrer l'examen blanc SCS-C02 → Test d'orientation