Kubernetes CNPE : la certification CNCF Cloud Native Platform Engineer et ce qu'elle évalue
CNPE est la certification d'ingénierie de plateforme de niveau professionnel du CNCF – Backstage, Crossplane, GitOps avec Argo, plateformes de développement internes. Voici ce qu'elle évalue et à qui elle s'adresse réellement.
CNPE — Cloud Native Platform Engineer — est la certification d'ingénierie de plateforme de niveau professionnel du CNCF. Elle a été lancée en disponibilité générale (GA) aux côtés de la CNPA (la version Associate) début 2026 et est la première certification du CNCF à se concentrer spécifiquement sur la construction de plateformes de développement internes plutôt que sur la simple exploitation de clusters Kubernetes. Examen pratique sur terminal, 445 $, deux heures, deux reprises gratuites dans les douze mois. Même format que CKA / CKAD / CKS. Si vous avez passé l'une de ces certifications, la structure opérationnelle vous sera familière.
Ce qui est différent, c'est ce qui est testé. Le CKA est « savez-vous exploiter un cluster ? ». Le CNPE est « savez-vous construire une plateforme qui permet à d'autres équipes d'utiliser un cluster sans avoir à l'apprendre ? ». Ce sont des métiers très différents.
L'audience
Le CNPE s'adresse spécifiquement à trois rôles :
Ingénieurs de plateforme seniors. Vous êtes la personne au sein de l'équipe plateforme qui conçoit l'expérience développeur — chemins dorés (golden paths), modèles en libre-service, la question de savoir comment un développeur backend passe de "j'ai une idée" à "mon service est en production" sans avoir à lire la documentation de kubectl.
SREs dirigeant des travaux Kubernetes multi-locataires. Votre équipe gère le cluster et une couche supérieure qui abstrait le cluster des équipes produit. Le CNPE correspond au travail de la couche supérieure : namespaces en tant que locataires, RBAC à l'échelle, attribution des coûts par équipe, templating de chemins dorés.
Responsables DevOps dans les entreprises adoptant l'ingénierie de plateforme. L'« équipe DevOps » devient l'« équipe plateforme » dans de nombreuses organisations. Le CNPE est la première certification qui indique que vous pouvez occuper ce rôle, et pas seulement exploiter l'infrastructure sous-jacente.
Ce n'est pas une certification junior. Le CNPE suppose une maîtrise de Kubernetes de niveau CKA comme base, et l'examen ne perd pas de questions sur les commandes kubectl de base. Si vous ne pouvez pas esquisser un Deployment YAML de mémoire, passez d'abord le CKA.
Contenu de l'examen
Le CNCF a publié le programme officiel fin 2025. Les cinq domaines, avec une pondération approximative tirée du guide de l'examen et des premiers retours des candidats :
| Domaine | Pondération |
|---|---|
| Plateformes de développement internes (IDP) et Backstage | ~25% |
| GitOps et livraison continue (Argo CD, Flux) | ~20% |
| Crossplane et API de plateforme | ~20% |
| Kubernetes multi-locataire et politique (OPA, Kyverno) | ~20% |
| Observabilité et SLO de plateforme | ~15% |
Chacun de ces domaines implique un travail pratique sur terminal. Il n'y a pas de questions à choix multiples. Vous disposez d'un shell Linux, d'un kubeconfig, parfois d'un accès à une instance Backstage ou à une interface utilisateur Argo CD via un port-forward, et d'une liste de tâches à accomplir.
À quoi cela ressemble en pratique — voici les types de tâches que les candidats rapportent :
- Créer un modèle logiciel Backstage qui échafaude un nouveau microservice avec un Helm chart, une application Argo CD et une spécification OpenAPI pré-remplie. Vérifier que le modèle fonctionne en instanciant une nouvelle entité.
- Configurer Argo CD pour synchroniser les applications d'un dépôt Git avec un contrôle de santé personnalisé sur un CRD. Faire en sorte que la synchronisation respecte une porte de fusion de PR.
- Écrire une Composition Crossplane qui expose une abstraction "PostgresDatabase" adossée à une instance CloudSQL. Appliquer une Composite Resource et vérifier que la base de données est provisionnée.
- Configurer des politiques Kyverno pour bloquer tout pod qui ne définit pas de limites de ressources dans trois namespaces spécifiques.
- Mettre en place une stratégie d'ingress multi-locataire avec des Issuers cert-manager séparés par locataire.
- Configurer des SLO pour un service de plateforme en utilisant un outil comme Pyrra ou sloth, et vérifier que le SLO se déclenche correctement lorsque vous induisez une erreur.
Si ces tâches semblent abstraites, c'est parce que l'ingénierie de plateforme est un travail véritablement abstrait. L'examen le reflète. Deux heures semblent courtes, et les tâches inachevées n'obtiennent un crédit partiel que si votre travail est vérifiable à un point donné.
En quoi il diffère du CKA
Le CKA et le CNPE sont complémentaires, non concurrents. La façon la plus simple de comprendre la distinction :
| CKA | CNPE | |
|---|---|---|
| Niveau | Associé | Professionnel |
| Public | Opérateurs de clusters | Ingénieurs de plateforme |
| Objectif | Exploiter Kubernetes | Construire des plateformes développeur |
| Outils | kubectl, etcd, kubeadm | Backstage, Argo, Crossplane, OPA / Kyverno, Helm |
| Durée de l'examen | 2 heures | 2 heures |
| Coût | 445 $ | 445 $ |
| Validité | 2 ans | 2 ans |
Le CKA teste : savez-vous réparer un cluster cassé. Le CNPE teste : savez-vous concevoir l'expérience au-dessus du cluster afin que personne n'ait à le réparer.
La plupart des ingénieurs de plateforme finiront par détenir les deux. La séquence naturelle est CKA → CKAD ou CKS → CNPE, et idéalement, les espacer pour que la mémoire musculaire de l'une se transmette à l'autre.
Pourquoi cette certification est importante maintenant
L'ingénierie de plateforme est devenue une discipline réelle et reconnue entre 2022 et 2023, s'est accélérée entre 2024 et 2025, et est maintenant un titre normal dans la plupart des entreprises de taille moyenne à grande. Backstage est passé de "truc de Spotify" à "outil par défaut" durant cette période. Crossplane est passé de projet de recherche à production à l'échelle chez des entreprises comme la base de clients d'Upbound.
Ce qui manquait, c'était la qualification. Le CKA couvrait les opérations de cluster ; le CKAD couvrait les développeurs d'applications ; le CKS couvrait la sécurité. Aucune d'entre elles ne couvrait le rôle de "je construis une plateforme développeur", qui est la part du travail cloud-native qui connaît la croissance la plus rapide actuellement. Le CNPE comble ce vide.
Le côté salarial est encore en émergence. Les ingénieurs de plateforme dans les grandes métropoles américaines obtiennent un salaire de base de 160 000 $ à 220 000 $ en 2026 selon levels.fyi, avec des ingénieurs de plateforme seniors chez les entreprises de niveau FAANG atteignant un TC (Total Compensation) de 300 000 $ à 450 000 $ et plus. Le CNPE ne fait pas bouger ces chiffres à lui seul — c'est l'expérience de plateforme en production qui le fait. Mais la certification est le signal le plus clair dans l'écosystème cloud-native que vous avez travaillé spécifiquement au niveau de la plateforme.
Temps d'étude et ressources
Ce sera inégal car la certification est nouvelle. Au moment de la disponibilité générale, la préparation officielle est légère :
- Le dépôt du programme du CNCF contient la ventilation des domaines et des liens vers les lectures recommandées. Utilisez-le comme base.
- La documentation de Backstage est une lecture obligatoire. Spécifiquement : les modèles logiciels, le catalogue et TechDocs.
- La documentation d'Argo CD et le livre GitOps de Codefresh sont utiles, mais l'examen teste Argo spécifiquement (pas Flux comme alternative — bien que les deux soient mentionnés, seules les tâches Argo sont apparues dans les premiers rapports).
- La documentation de Crossplane incluant les tutoriels de Composition. Passez du temps spécifiquement sur les Compositions. La configuration des fournisseurs est principalement une mise en place et n'est pas fortement testée.
- La documentation de Kyverno et OPA Gatekeeper. L'un ou les deux peuvent apparaître ; Kyverno a été plus courant dans les premiers rapports.
Budget temps :
- Ingénieur de plateforme senior livrant déjà des IDP : 4 à 6 semaines d'étude ciblée, principalement sur les Compositions Crossplane si vous ne les avez pas utilisées.
- Responsable SRE / DevOps avec de solides connaissances de Kubernetes mais sans expérience IDP : 8 à 12 semaines. Construisez une petite instance Backstage avec trois modèles logiciels comme projet d'étude. Cela couvre à lui seul peut-être 30 % de l'examen.
- Ingénieur en transition vers le travail de plateforme : 16 semaines et plus. Construisez d'abord quelque chose de réel, puis revenez. L'examen est impitoyable pour les candidats qui ne connaissent les outils que de manière conceptuelle.
Pièges courants, premiers retours
Quelques points sur lesquels les gens trébuchent régulièrement :
Les modèles Backstage sont plus complexes qu'il n'y paraît. L'examen vous demande d'écrire un modèle logiciel fonctionnel — incluant une page TechDocs, un stub d'intégration CI et un manifeste d'application Argo CD — sous la contrainte du temps. La syntaxe du scaffolder Backstage a suffisamment de particularités pour que vous ayez besoin d'une pratique réelle.
Les Compositions Crossplane vs CompositionRevisions. Savoir comment les révisions interagissent avec les ressources déployées ne se trouve pas dans la plupart des tutoriels d'introduction mais apparaît à l'examen.
Les générateurs Argo CD ApplicationSet. Les générateurs de liste, de cluster, de git, de matrice et de scm-provider ont chacun des cas d'utilisation spécifiques. L'examen vous présentera un scénario et vous demandera quel générateur convient.
La multi-locativité au niveau du réseau. Au-delà des namespaces et du RBAC, vous devez connaître les NetworkPolicies et la manière dont elles interagissent avec les CNIs cilium / calico.
En résumé
Le CNPE est la bonne certification pour les ingénieurs de plateforme seniors et les SRE qui gèrent des plateformes de développement. Il est excessif pour les ingénieurs qui se contentent d'exploiter Kubernetes — le CKA est la bonne certification pour cela. Il est prématuré pour les ingénieurs débutant dans le cloud-native — obtenez le CKA et réalisez d'abord un petit projet de plateforme.
Le cas du salaire est moins une question de certification et plus une question de rôle. L'ingénierie de plateforme est l'une des voies les mieux rémunérées dans l'infrastructure actuellement, et le CNPE est le moyen le plus clair de rendre cette expérience lisible pour les recruteurs qui ne connaissent pas Backstage.
Si vous préparez le CNPE, effectuez une simulation d'examen chronométrée sur CertLabPro ou parcourez la banque de questions CNPE. Les tâches de scénario pratiques de la banque sont la correspondance la plus proche de l'examen réel — les questions de simple mémorisation ne vous préparent pas au travail sur terminal.
Si vous êtes indécis : construisez-vous une IDP au travail en ce moment ? Si oui, cette certification vaut le temps et l'argent. Si non — et surtout si vous n'avez pas de voie vers ce travail dans les 12 prochains mois — vos 445 $ seraient mieux dépensés ailleurs.