Accueil · Guides de révision · VA-002

Guide complet VA-002 — HashiCorp

HashiCorp Certified Vault Associate · Programme, plan de révision, ressources, examen blanc gratuit.

TL;DR — Le guide en 1 minute

La certification HashiCorp Vault Associate (VA-002) valide les competences fondamentales en gestion des secrets avec HashiCorp Vault. Destinee aux ingenieurs cloud, DevOps, SRE et administrateurs securite, elle se passe en ligne via PSI (60 questions QCM, 60 minutes). Aucun prerequis officiel, mais 6 mois d'experience pratique recommandes. Debouches : Cloud Security Engineer, DevSecOps, Platform Engineer. Examen a 70,50 USD, valide 2 ans. Tres prisee dans les ecosystemes Terraform, Kubernetes et multi-cloud (AWS, Azure, GCP).

Pourquoi passer la certification VA-002 ?

En 2026, la gestion des secrets est devenue un pilier critique de la securite cloud-native. Avec l'explosion des architectures microservices, Kubernetes et multi-cloud, HashiCorp Vault s'est impose comme la reference du marche pour la gestion centralisee des secrets, des certificats et du chiffrement. La certification VA-002 atteste de votre maitrise d'un outil utilise par plus de 70% des entreprises du Fortune 500. Le marche francais et europeen connait une penurie aigue de profils DevSecOps maitrisant Vault, avec une augmentation de 45% des offres entre 2024 et 2026. Cette certification valorise immediatement votre CV face aux profils generalistes, notamment pour les postes Platform Engineer, SRE et Cloud Security. Elle constitue aussi un prerequis informel pour la certification Vault Professional (VO-002), plus avancee. Le ROI est rapide : pour un investissement total de 200-300 EUR (examen + formation), la prime salariale moyenne observee est de 8 a 12% en France. Vault etant integre nativement avec Terraform, Consul, Nomad et les principales plateformes cloud, cette competence ouvre des opportunites dans les ecosystemes hybrides modernes. Les recruteurs valorisent particulierement les profils combinant Vault avec Kubernetes (CKA) ou Terraform Associate.

Caractéristiques de l'examen

Format QCM en ligne 60 questions
Duree 60 minutes
Score requis 70% environ (non communique officiellement)
Prix officiel 70,50 USD (environ 65 EUR)
Langues Anglais uniquement
Validite 2 ans
Prerequis Aucun officiel, 6 mois pratique recommandes

Programme détaillé par domaine

Domain 1 : Comparer l'authentification et l'autorisation 15%

Objectifs
Ce domaine evalue votre comprehension des concepts fondamentaux d'identite et d'acces dans Vault. Vous devez distinguer clairement l'authentification (qui etes-vous ?) de l'autorisation (que pouvez-vous faire ?). Les candidats doivent comprendre comment Vault delegue l'authentification a des systemes externes tout en gerant ses propres politiques d'autorisation via les policies HCL. La maitrise des entites, alias et groupes d'identite est essentielle pour comprendre la gestion fine des permissions.
Concepts clés
Concepts cles : auth methods (userpass, AppRole, LDAP, OIDC, Kubernetes, AWS IAM, GitHub), tokens (root, service, batch, periodic), accessors, policies HCL avec capabilities (create, read, update, delete, list, sudo, deny), entites et groupes d'identite, policy templating, identity secrets engine, namespaces Enterprise. Comprendre la difference entre policy par defaut, policy root et policies personnalisees. Maitriser le concept de Time-To-Live (TTL) et max-TTL applique aux tokens et aux secrets.
Services / outils
Outils a connaitre : vault login, vault token create, vault policy write, vault auth enable, vault write auth/approle/role, methode AppRole (role_id et secret_id), integration Kubernetes via service account JWT.
Temps estimé
8-10h

Domain 2 : Creer des tokens Vault 15%

Objectifs
Ce domaine couvre le cycle de vie complet des tokens Vault, mecanisme central d'authentification. Vous devez comprendre comment les tokens sont generes, renouveles, revoques et hierarchises. La distinction entre les differents types de tokens et leurs cas d'usage specifiques est cruciale. L'examen teste votre capacite a choisir le bon type de token selon le contexte (CI/CD, application long-running, batch processing).
Concepts clés
Types de tokens : service tokens (par defaut, persistes), batch tokens (legers, non-persistes, pour haute charge), periodic tokens (renouvelables indefiniment), orphan tokens (sans parent). Hierarchie des tokens et propagation de la revocation. Token accessors pour gestion sans exposer le token. Use limit, TTL, max-TTL, explicit max-TTL. Concepts de lease, renewal et revocation. Comprendre l'impact du token revocation sur les child tokens.
Services / outils
Commandes : vault token create, vault token renew, vault token revoke, vault token lookup, vault token capabilities. API endpoints /auth/token/create, /auth/token/renew-self. Wrap responses avec response wrapping et cubbyhole.
Temps estimé
6-8h

Domain 3 : Gerer les secret engines de Vault 25%

Objectifs
Domaine le plus important en termes de poids. Vous devez maitriser les principaux secret engines de Vault et leur configuration. La distinction entre secrets statiques (KV) et secrets dynamiques (database, AWS, PKI) est fondamentale. L'examen evalue votre capacite a activer, configurer, tuner et desactiver des secret engines via CLI et API. Comprendre les mecanismes de lease et de revocation automatique des secrets dynamiques est essentiel.
Concepts clés
Secret engines principaux : KV v1 vs KV v2 (versioning, soft delete, metadata), Database (PostgreSQL, MySQL, MongoDB) avec credentials dynamiques, AWS (IAM users, STS), PKI pour generation de certificats X.509, Transit pour Encryption-as-a-Service, SSH, TOTP, Cubbyhole. Concepts de path, mount point, tuning (default_lease_ttl, max_lease_ttl). Rotation automatique des credentials. Difference entre vault kv put et vault write pour KV v2.
Services / outils
Commandes : vault secrets enable, vault secrets list, vault secrets tune, vault kv put/get/delete/destroy/metadata, vault write database/config, vault write pki/root/generate/internal. APIs REST associees.
Temps estimé
12-15h

Domain 4 : Utiliser l'interface utilisateur Vault 10%

Objectifs
Ce domaine valide votre capacite a naviguer et operer Vault via son interface web. Bien que les administrateurs utilisent majoritairement CLI et API, l'UI reste un outil precieux pour l'exploration, le debug et certaines operations quotidiennes. Vous devez connaitre les fonctionnalites disponibles dans l'UI et leurs equivalents CLI. L'UI presente des limitations par rapport au CLI qu'il faut identifier.
Concepts clés
Acces a l'UI sur le port 8200 par defaut via HTTPS. Authentification via les memes auth methods. Navigation : Secrets, Access (auth methods, policies, entities, groups, leases), Policies, Tools (wrap, lookup, rewrap, random, hash), Status (seal status, replication). Operations possibles : creation/lecture de secrets KV, gestion des policies, encryption Transit. Configuration via ui = true dans le fichier HCL.
Services / outils
Activation UI : parametre ui dans la stanza listener du fichier de configuration Vault. Acces via navigateur HTTPS. Limitation : pas toutes les operations admin disponibles en UI.
Temps estimé
3-5h

Domain 5 : Etre conscient de l'architecture Vault 35%

Objectifs
Domaine le plus lourd (35%) couvrant l'architecture, le deploiement et l'exploitation de Vault. Vous devez comprendre les composants internes (storage backend, seal, audit devices), les mecanismes de haute disponibilite et de securite. La comprehension du processus de unseal et du Shamir Secret Sharing est critique. L'examen teste egalement votre connaissance des best practices de production : audit, telemetry, replication Enterprise.
Concepts clés
Architecture : barrier de chiffrement, master key, encryption key, storage backend (Integrated Storage Raft recommande, Consul deprecated). Seal et Unseal : Shamir's Secret Sharing (key shares, threshold), Auto-Unseal (AWS KMS, Azure Key Vault, GCP KMS, Transit). HA avec leader/standby et performance standby (Enterprise). Audit devices (file, syslog, socket) : tous doivent fonctionner sinon Vault bloque. Replication DR et Performance (Enterprise). API et CLI architecture (CLI = wrapper sur API REST). Lease management et tidy operations.
Services / outils
Commandes : vault operator init, vault operator unseal, vault operator raft join, vault audit enable file, vault status. Storage backends : raft (recommande), consul. Seal types : shawir, awskms, azurekeyvault, transit.
Temps estimé
15-18h

Plan de révision hebdomadaire

Planning recommande sur 6 semaines pour un profil ayant des bases DevOps/Linux. Semaine 1 : Decouverte et fondamentaux. Lire la documentation officielle Vault (Concepts, Internals). Installer Vault en mode dev local. Comprendre l'architecture : barrier, seal/unseal, storage backend. Pratiquer vault operator init et unseal avec Shamir. Semaine 2 : Authentication et tokens. Etudier toutes les auth methods (userpass, AppRole, Kubernetes, OIDC). Pratiquer la creation de tokens (service, batch, periodic). Ecrire des policies HCL avec differentes capabilities. Comprendre entites et groupes. Semaine 3 : Secret engines statiques et dynamiques. Maitriser KV v1 vs v2 (versioning, destroy vs delete). Configurer le secret engine Database avec PostgreSQL en lab. Activer Transit et faire du encryption-as-a-service. Generer des certificats avec PKI. Semaine 4 : Architecture avancee et HA. Deployer un cluster Raft 3 noeuds en lab (Docker ou VMs). Configurer Auto-Unseal avec AWS KMS si possible. Activer les audit devices et analyser les logs. Etudier la replication (theorie Enterprise). Semaine 5 : UI, API et integrations. Explorer l'UI exhaustivement. Pratiquer l'API REST avec curl et vault CLI -output-curl-string. Tester response wrapping et cubbyhole. Integrer Vault avec Terraform via le provider officiel. Semaine 6 : Revision et examens blancs. Faire 3 examens blancs (Bryan Krausen sur Udemy, Whizlabs). Reviser les commandes CLI critiques avec flashcards. Relire la doc sur les zones faibles. Passer l'examen le vendredi matin, esprit clair.

Besoin d'un planning sur mesure ? 30 jours · 60 jours · 90 jours

Ressources recommandées

Documentation officielle HashiCorp Vault

Source primaire et autoritative. Section Tutorials et Certifications particulierement utiles. Gratuit.

HashiCorp Vault Associate Certification Course (Bryan Krausen)

Cours de reference Udemy avec 15h de video et labs pratiques. Inclut 3 examens blancs realistes. Environ 20 EUR en promo.

HashiCorp Learn Tutorials

Labs officiels gratuits couvrant tous les objectifs d'examen. Sandbox Katacoda integree pour pratiquer sans installation.

HashiCorp Discuss Forum et r/hashicorp

Communaute active pour poser des questions techniques et echanger des retours d'examen recents.

5 erreurs classiques à éviter

  • Erreur 1 : Confondre KV v1 et KV v2. KV v2 supporte le versioning et necessite l'utilisation de vault kv put (pas vault write). La destruction definitive utilise destroy, alors que delete est reversible. Pratiquez les deux versions en lab.
  • Erreur 2 : Negliger les types de tokens. Beaucoup de candidats ne distinguent pas service tokens (persistes), batch tokens (legers, ideaux pour CI/CD haute charge) et periodic tokens (renouvelables indefiniment). Chacun a un cas d'usage precis a maitriser.
  • Erreur 3 : Sous-estimer le domaine architecture (35%). Le Shamir Secret Sharing, le processus d'unseal, les differences entre auto-unseal et Shamir, ainsi que le storage Raft vs Consul sont souvent mal compris. Consacrez au moins un tiers du temps de revision a ce domaine.
  • Erreur 4 : Oublier que l'examen est uniquement en anglais. Aucune version francaise n'existe. Entrainez-vous a lire la documentation technique anglaise et habituez-vous au vocabulaire specifique (lease, mount, capability, accessor).
  • Erreur 5 : Ignorer le comportement des audit devices. Si tous les audit devices configures echouent, Vault bloque toutes les requetes pour garantir la tracabilite. C'est un piege classique de l'examen, souvent mal repondu.

5 questions types corrigées

Q1. Quel type de token Vault est le plus adapte pour une charge tres elevee dans un pipeline CI/CD avec des centaines d'authentifications par seconde ?
Réponse : B
Les batch tokens sont concus precisement pour les charges elevees. Contrairement aux service tokens, ils ne sont pas persistes dans le storage backend : ils sont encodes et signes cryptographiquement, ce qui evite les ecritures sur disque. Cela les rend extremement legers et performants. Cependant, ils ne peuvent pas etre renouveles et ne supportent pas le response wrapping. Ils sont parfaits pour les jobs CI/CD courts. Le root token ne doit jamais etre utilise en automatisation, et les periodic tokens conviennent plus a des services long-running.
Q2. Que se passe-t-il dans Vault si tous les audit devices configures echouent simultanement ?
Réponse : B
C'est un principe de securite fondamental de Vault : si aucun audit device ne peut ecrire correctement, Vault refuse toute requete pour garantir qu'aucune operation ne puisse echapper a l'audit. Cela protege la tracabilite et la conformite. C'est pourquoi il est recommande de configurer au moins deux audit devices de types differents (file et syslog par exemple) pour assurer la redondance. Vault ne se met pas en seal, mais devient inutilisable jusqu'a ce qu'au moins un audit device fonctionne correctement.
Q3. Quel mecanisme permet de chiffrer la master key de Vault sans intervention humaine au demarrage ?
Réponse : B
L'Auto-Unseal delegue le dechiffrement de la master key a un service de gestion de cles externe (AWS KMS, Azure Key Vault, GCP KMS, ou un autre cluster Vault via Transit). Cela elimine la necessite d'un quorum humain pour le unseal apres redemarrage, indispensable en production cloud. Shamir Secret Sharing necessite que plusieurs operateurs fournissent leurs key shares manuellement. Response Wrapping est un mecanisme different pour transmettre des secrets de maniere securisee. Auto-Unseal est fortement recommande en production pour la haute disponibilite.

Voir plus de questions gratuites →

Carrière & salaire après VA-002

En France et en Europe, les profils certifies Vault Associate sont tres recherches en 2026. Les salaires observes : DevOps Engineer junior avec Vault 45-55k EUR, Senior DevSecOps 65-85k EUR, Platform Engineer 70-95k EUR, Cloud Security Architect 90-130k EUR. A Paris, Londres ou Amsterdam, les fourchettes hautes sont courantes. Cette certification ouvre la voie a la Vault Operations Professional (VO-002), plus avancee et tres valorisee. Les certifications complementaires recommandees : Terraform Associate (combo HashiCorp tres prise), Kubernetes CKA, AWS Solutions Architect ou Security Specialty. Les secteurs qui recrutent le plus : banque, assurance, defense, telco et editeurs SaaS. Le freelancing est aussi tres lucratif avec des TJM entre 700 et 1100 EUR pour les missions Vault/Terraform.

Détail des salaires VA-002 en 2026 →

FAQ — VA-002

Combien de temps faut-il pour preparer VA-002 ?

Comptez 4 a 6 semaines a raison de 8-10h par semaine pour un profil DevOps ayant deja des bases Linux et cloud. Sans aucune experience, prevoyez 8 a 10 semaines avec beaucoup de pratique en lab.

Cette certification est-elle reconnue en France ?

Oui, tres largement. HashiCorp est un acteur majeur du marche et ses certifications sont reconnues par tous les grands cabinets de conseil (Capgemini, Accenture, Sopra Steria) et editeurs cloud. Elle figure souvent dans les exigences ESN pour les missions DevSecOps.

Quel est le taux de reussite a VA-002 ?

HashiCorp ne publie pas de chiffres officiels. Les retours communautaires indiquent un taux de reussite autour de 75-80% pour les candidats ayant suivi une preparation structuree avec labs pratiques, et environ 50% sans preparation rigoureuse.

Quel est le salaire apres VA-002 ?

En France 2026, un profil DevOps certifie Vault gagne entre 50 et 70k EUR en junior/intermediaire, et 75 a 110k EUR en senior. La prime salariale liee a la certification est estimee a 8-12% par rapport aux profils non certifies equivalents.

Faut-il une experience prealable ?

Aucun prerequis officiel, mais HashiCorp recommande 6 mois d'experience pratique avec Vault. Des bases solides en Linux, ligne de commande, API REST et concepts de securite (PKI, chiffrement, IAM) sont indispensables pour reussir.

VA-002 ou cert concurrente : laquelle choisir ?

Il n'existe pas d'equivalent direct. AWS Security Specialty couvre AWS KMS mais pas la gestion centralisee multi-cloud des secrets. Vault Associate est unique sur le marche de la gestion des secrets cloud-agnostic et complementaire des certifications cloud.

Combien coute l'examen VA-002 ?

L'examen coute 70,50 USD soit environ 65 EUR au taux de 2026. C'est l'une des certifications techniques les moins cheres du marche. Le paiement se fait en ligne via la plateforme PSI lors de la reservation du creneau.

Combien de fois peut-on repasser VA-002 ?

En cas d'echec, un delai de 24h est requis avant la deuxieme tentative, 14 jours avant la troisieme, et 30 jours apres la troisieme. Chaque tentative coute 70,50 USD. Aucune limite totale, mais HashiCorp recommande de bien se preparer pour reussir au premier essai.

Prêt à passer à la pratique ?

Lancez votre examen blanc gratuit ou faites le test d'orientation pour valider votre choix.

Démarrer l'examen blanc VA-002 → Test d'orientation