Guide complet SCS-C02 — AWS
AWS Certified Security - Specialty · Programme, plan de révision, ressources, examen blanc gratuit.
La certification AWS Certified Security - Specialty (SCS-C02) s'adresse aux ingenieurs securite cloud, architectes et DevSecOps disposant d'au moins 3 ans d'experience en securite IT et 2 ans sur AWS. L'examen comporte 65 questions QCM/QCMR a passer en 170 minutes pour 300 EUR. Aucun prerequis officiel, mais une bonne maitrise d'IAM, KMS, VPC et CloudTrail est indispensable. Debouches : Cloud Security Engineer, SecOps Architect, Consultant securite AWS, avec des salaires depassant 75 000 EUR en France.
Pourquoi passer la certification SCS-C02 ?
En 2026, la securite cloud reste la priorite numero un des DSI europeennes, portee par NIS2, DORA et le RGPD renforce. AWS domine toujours le marche IaaS avec plus de 32% de parts, ce qui place SCS-C02 parmi les certifications securite cloud les plus recherchees. Les offres d'emploi mentionnant cette certification ont progresse de 38% en France entre 2024 et 2026 selon LinkedIn Talent Insights. Le ROI est rapide : un ingenieur certifie SCS-C02 negocie en moyenne 12 a 18% de salaire supplementaire des la premiere annee. Au-dela de la remuneration, la certification valide une expertise transverse couvrant IAM avance, chiffrement KMS, securite reseau VPC, detection avec GuardDuty et Security Hub, et reponse aux incidents. Elle ouvre l'acces a des missions de consulting a forte valeur ajoutee (TJM moyen 750-950 EUR en France). Pour les profils evoluant vers le poste de RSSI cloud ou architecte securite, SCS-C02 constitue un differenciateur majeur face aux profils generalistes, en complement de certifications comme CISSP ou CCSP qui restent davantage theoriques.
Caractéristiques de l'examen
| Format | QCM et QCMR, 65 questions |
|---|---|
| Duree | 170 minutes |
| Score requis | 750/1000 (environ 75%) |
| Prix officiel | 300 EUR HT |
| Langues | Anglais, Francais, Japonais, Coreen, Chinois simplifie |
| Validite | 3 ans (recertification requise) |
| Prerequis | Recommande : 3-5 ans en securite IT, 2 ans sur AWS |
Programme détaillé par domaine
Domain 1 : Threat Detection and Incident Response 14%
- Objectifs
- Ce domaine evalue votre capacite a concevoir et mettre en oeuvre une strategie de detection des menaces et de reponse aux incidents sur AWS. Vous devez savoir identifier des indicateurs de compromission, analyser des logs, automatiser la remediation et concevoir des playbooks d'incident response conformes au framework NIST 800-61. L'examen teste votre comprehension des workflows de triage, l'isolation d'instances compromises, la collecte forensique sur EBS et la coordination via AWS Systems Manager Incident Manager. Vous devez aussi maitriser la correlation multi-comptes via AWS Organizations et la gestion des alertes a grande echelle.
- Concepts clés
- Maitriser GuardDuty (findings, suppression rules, malware protection), Security Hub (standards CIS, PCI DSS, AWS Foundational), Amazon Detective pour l'investigation graphique, et Macie pour la detection de donnees sensibles. Comprendre les EventBridge rules pour automatiser les reponses, les runbooks SSM Automation, et l'integration Lambda pour la remediation. Savoir extraire des artefacts forensiques (snapshots EBS, memory dumps via SSM), isoler une instance via Security Groups restrictifs, et utiliser CloudTrail Lake pour les requetes SQL sur les logs. La notion de chain of custody et de preservation des preuves est cruciale.
- Services / outils
- GuardDuty, Security Hub, Amazon Detective, Macie, EventBridge, Lambda, Systems Manager (Incident Manager, Automation, Run Command), CloudTrail Lake, AWS Config, Step Functions pour orchestration.
- Temps estimé
- 15h
Domain 2 : Security Logging and Monitoring 18%
- Objectifs
- Concevoir et implementer une strategie complete de journalisation et monitoring securite. Vous devez savoir centraliser les logs multi-comptes, garantir leur integrite, dimensionner le stockage et optimiser les couts. Le domaine couvre l'analyse temps reel, la detection d'anomalies et la conformite reglementaire (PCI DSS, HIPAA, ISO 27001). Vous serez evalue sur la conception d'architectures de logging resilientes utilisant un compte log archive dedie, l'application de politiques de retention, et l'utilisation de mecanismes anti-tampering comme Object Lock S3 et CloudTrail log file validation.
- Concepts clés
- CloudTrail (multi-region, organization trail, data events, insights), CloudWatch Logs (subscription filters, metric filters, insights queries), VPC Flow Logs (formats personnalises, destinations S3/CloudWatch/Kinesis), DNS query logging via Route 53 Resolver. Comprendre AWS Config rules (managed et custom), conformance packs, et remediation automatique. Maitriser l'agregation via Kinesis Data Firehose vers OpenSearch ou S3, ainsi que Athena pour l'analyse ad-hoc. Connaitre les bonnes pratiques de chiffrement des logs avec KMS CMK et la separation des privileges sur le compte log archive.
- Services / outils
- CloudTrail, CloudWatch (Logs, Metrics, Alarms), VPC Flow Logs, AWS Config, Kinesis Data Streams/Firehose, OpenSearch Service, Athena, S3 Object Lock, AWS Audit Manager.
- Temps estimé
- 18h
Domain 3 : Infrastructure Security 20%
- Objectifs
- Securiser les composants reseau et compute d'une architecture AWS. Le domaine couvre la segmentation reseau, la protection perimetrique, le hardening des workloads EC2/ECS/EKS/Lambda, et la securite des edges (CloudFront, API Gateway). Vous devez savoir concevoir des architectures multi-VPC avec Transit Gateway, appliquer le principe de defense en profondeur, et integrer des controles de securite dans les pipelines CI/CD. L'examen evalue aussi la securisation des conteneurs (ECR scanning, runtime security) et des fonctions serverless (resource policies, environment encryption).
- Concepts clés
- Security Groups vs NACLs (stateful vs stateless), VPC endpoints (Gateway et Interface, PrivateLink), AWS Network Firewall et stateful rules Suricata, AWS WAF (managed rules, rate-based, geo-blocking, bot control), AWS Shield Advanced contre DDoS. Maitriser les SSM Session Manager pour l'acces sans bastion, EC2 Instance Connect, et le patching via Patch Manager. Connaitre la securite EKS : IRSA, Pod Security Standards, network policies Calico, secrets externes via Secrets Store CSI Driver.
- Services / outils
- VPC, Transit Gateway, Network Firewall, WAF, Shield Advanced, Route 53 Resolver DNS Firewall, Systems Manager, Inspector v2, ECR, EKS, Firewall Manager.
- Temps estimé
- 20h
Domain 4 : Identity and Access Management 16%
- Objectifs
- Concevoir et gerer des solutions d'authentification et d'autorisation a l'echelle de l'entreprise. Vous devez maitriser la federation d'identite, le SSO multi-comptes, la delegation cross-account, et la gestion fine des permissions selon le principe du moindre privilege. Le domaine evalue votre capacite a auditer les permissions, detourner les chemins d'escalade de privileges, et appliquer des controles preventifs via SCPs. Une comprehension approfondie de la logique d'evaluation des policies IAM (deny explicit, permission boundaries, session policies) est indispensable.
- Concepts clés
- IAM policies (identity-based, resource-based, permission boundaries, session policies), AWS Organizations SCPs et RCPs, IAM Identity Center (ex AWS SSO) avec attribute-based access control (ABAC), IAM Access Analyzer pour la detection de ressources exposees et la generation de policies. Federation SAML 2.0 et OIDC, integration Active Directory via AWS Managed Microsoft AD ou AD Connector. Comprendre STS (AssumeRole, AssumeRoleWithSAML, AssumeRoleWithWebIdentity), les condition keys avancees (aws:PrincipalOrgID, aws:SourceVpce, aws:ResourceTag).
- Services / outils
- IAM, IAM Identity Center, AWS Organizations, IAM Access Analyzer, STS, Cognito (User Pools et Identity Pools), Directory Service, Resource Access Manager (RAM).
- Temps estimé
- 16h
Domain 5 : Data Protection 18%
- Objectifs
- Proteger les donnees au repos et en transit sur AWS. Vous devez concevoir des strategies de chiffrement adaptees aux exigences reglementaires, gerer le cycle de vie des cles cryptographiques, et implementer des mecanismes de classification et masquage des donnees sensibles. Le domaine couvre la gestion des secrets applicatifs, la rotation automatisee, et la securisation des bases de donnees (RDS, DynamoDB, Aurora). Vous serez teste sur les implications de souverainete (chiffrement client-side, BYOK, XKS) et la conformite RGPD pour les transferts transatlantiques.
- Concepts clés
- KMS (CMK AWS-managed vs customer-managed, key policies, grants, multi-region keys, external key store XKS), CloudHSM pour FIPS 140-2 niveau 3. Chiffrement S3 (SSE-S3, SSE-KMS, SSE-C, DSSE-KMS, client-side avec encryption SDK), bucket policies et Block Public Access. AWS Certificate Manager (ACM) public et prive, integration avec ALB/CloudFront. Secrets Manager (rotation Lambda, replication cross-region) vs SSM Parameter Store SecureString. Macie pour la decouverte de PII et donnees sensibles.
- Services / outils
- KMS, CloudHSM, ACM, ACM Private CA, Secrets Manager, SSM Parameter Store, S3 (encryption, Object Lock), Macie, RDS/Aurora encryption, DynamoDB encryption.
- Temps estimé
- 16h
Plan de révision hebdomadaire
Planifier 10 a 12 semaines de preparation a raison de 8 a 10 heures hebdomadaires. Semaine 1 : lire le guide officiel SCS-C02 Exam Guide et cartographier vos lacunes avec un quiz d'auto-evaluation. Etudier l'AWS Well-Architected Framework, pilier Security. Semaine 2-3 : Domain 4 (IAM). Lire la documentation IAM en profondeur, pratiquer 15 labs sur IAM Identity Center, SCPs, federation SAML. Reproduire des scenarios cross-account avec AssumeRole. Semaine 4-5 : Domain 5 (Data Protection). Creer des CMK multi-region, tester l'envelope encryption, configurer S3 avec SSE-KMS et Object Lock, mettre en place la rotation Secrets Manager. Semaine 6-7 : Domain 3 (Infrastructure). Construire une architecture multi-VPC avec Transit Gateway, deployer Network Firewall et WAF avec regles managed, faire un lab EKS securise avec IRSA. Semaine 8 : Domain 2 (Logging). Centraliser CloudTrail multi-comptes vers un compte log archive, configurer Config aggregator, ecrire des requetes Athena et CloudWatch Logs Insights. Semaine 9 : Domain 1 (Detection). Simuler une compromission, declencher GuardDuty, automatiser la remediation via EventBridge et Lambda, investiguer avec Detective. Semaine 10 : 3 examens blancs (Tutorials Dojo, Whizlabs, AWS Skill Builder Official Practice Exam). Analyser chaque erreur, relire les whitepapers Security Best Practices et Encrypting Data at Rest. Semaine 11 : revisions ciblees sur faiblesses, flashcards Anki pour les services et limites. Semaine 12 : repos cognitif, derniere lecture des FAQ AWS, passage de l'examen en debut de semaine en mode Pearson VUE online proctored ou centre.
Besoin d'un planning sur mesure ? 30 jours · 60 jours · 90 jours
Ressources recommandées
Guide officiel detaillant les 5 domaines, le format et les ressources recommandees par AWS.
Cours officiel gratuit avec labs pratiques et examen blanc officiel a 20 EUR.
Reference pour les examens blancs realistes avec explications detaillees, environ 15 EUR.
Blog officiel pour les nouveautes services et communaute Reddit active pour retours d'examen.
5 erreurs classiques à éviter
- Erreur 1 : Negliger la logique d'evaluation des policies IAM. Beaucoup pensent qu'un Allow surpasse un Deny ; en realite, un Deny explicite gagne toujours. Pratiquer avec IAM Policy Simulator et schematiser l'ordre d'evaluation (SCP, resource policy, identity policy, permission boundary, session policy).
- Erreur 2 : Confondre SSE-KMS et SSE-C ou oublier les implications de cout des appels KMS sur S3. Activer S3 Bucket Keys reduit drastiquement la facture KMS. Connaitre aussi la difference entre key policy et grants.
- Erreur 3 : Sous-estimer le reseau. Mal differencier Security Groups (stateful) et NACLs (stateless), ignorer les Gateway Endpoints (S3/DynamoDB gratuits) vs Interface Endpoints (PrivateLink, payants). Pratiquer des labs reels de segmentation.
- Erreur 4 : Reviser uniquement la theorie sans labs hands-on. L'examen pose des scenarios concrets ; sans pratique, identifier la bonne combinaison de services est impossible. Investir minimum 40 heures en labs AWS reels.
- Erreur 5 : Ignorer les nouveautes recentes comme RCPs, Declarative Policies, GuardDuty Extended Threat Detection ou Security Hub CSPM unifie. SCS-C02 integre les services GA jusqu'a 6 mois avant l'examen.
5 questions types corrigées
Carrière & salaire après SCS-C02
En France en 2026, un Cloud Security Engineer certifie SCS-C02 percoit entre 60 000 et 85 000 EUR brut annuel en debut de carriere, et 90 000 a 120 000 EUR avec 5+ ans d'experience (source : Hays Tech Salary Guide 2026). Les architectes securite AWS senior depassent 130 000 EUR, notamment dans la banque (BNP, SocGen) et le luxe (LVMH, Kering). Le marche freelance affiche des TJM de 750 a 950 EUR. Les debouches incluent : Cloud Security Engineer, DevSecOps Lead, Cloud Security Architect, RSSI Cloud, consultant en cabinet (Wavestone, Accenture). Certifications complementaires pertinentes : AWS Solutions Architect Professional, CCSP, CISSP, HashiCorp Vault Associate, et Kubernetes CKS pour les profils orientes conteneurs.
FAQ — SCS-C02
Combien de temps faut-il pour preparer SCS-C02 ?
Comptez 10 a 12 semaines a raison de 8 a 10 heures hebdomadaires pour un profil avec experience AWS prealable. Sans bagage AWS, prevoyez 4 a 6 mois en passant d'abord Solutions Architect Associate.
Cette certification est-elle reconnue en France ?
Oui, SCS-C02 figure parmi les certifications cloud les plus demandees en France selon LinkedIn et APEC. Elle est valorisee dans les secteurs banque, assurance, defense et conseil, avec une reconnaissance equivalente au CCSP pour le perimetre AWS.
Quel est le taux de reussite a SCS-C02 ?
AWS ne publie pas de taux officiel, mais les retours communautaires (Reddit r/AWSCertifications) indiquent environ 60 a 65% de reussite au premier passage, ce qui en fait l'une des Specialty les plus exigeantes avec ANS-C01.
Quel est le salaire apres SCS-C02 ?
En France 2026, le salaire median d'un Cloud Security Engineer certifie est de 78 000 EUR brut. Les profils senior atteignent 110 000 a 130 000 EUR, et les freelances facturent 800 EUR TJM en moyenne sur Malt et Free-Work.
Faut-il une experience prealable ?
Aucun prerequis officiel, mais AWS recommande 3 a 5 ans d'experience en securite IT dont 2 ans sur AWS. Une certification AWS Associate (SAA-C03 ou SOA-C02) prealable est fortement conseillee pour maitriser les fondamentaux services.
SCS-C02 ou cert concurrente : laquelle choisir ?
Si vous travaillez majoritairement sur AWS, choisissez SCS-C02 pour sa profondeur technique. Pour une approche multi-cloud et gouvernance, optez pour CCSP. Pour le management securite global, CISSP reste la reference. Les trois sont complementaires sur un CV senior.
Combien coute l'examen SCS-C02 ?
L'examen coute 300 USD HT, soit environ 300 EUR. AWS offre regulierement des vouchers 50% via les evenements re:Invent, AWS Summit Paris, ou apres la reussite d'une certification precedente. Pearson VUE applique la TVA selon le pays.
Combien de fois peut-on repasser SCS-C02 ?
En cas d'echec, vous devez attendre 14 jours avant de reprogrammer. Il n'y a pas de limite au nombre de tentatives, mais chaque passage est payant. AWS recommande d'analyser le score report par domaine avant de retenter.
Prêt à passer à la pratique ?
Lancez votre examen blanc gratuit ou faites le test d'orientation pour valider votre choix.
Démarrer l'examen blanc SCS-C02 → Test d'orientation