KCNA vs KCSA : quel examen associé Kubernetes devriez-vous passer en premier ?
Les deux sont des examens associés CNCF de 60 questions à choix multiples. Le KCNA couvre les fondamentaux du cloud-native ; le KCSA couvre la sécurité du cloud-native. Voici comment choisir.
Version rapide : passez le KCNA en premier si vous débutez avec Kubernetes ou le cloud-native en général. Passez le KCSA en premier si vous connaissez déjà bien Kubernetes et que vous êtes orienté sécurité. Ne passez aucun des deux si vous visez directement le CKA et que vous avez déjà utilisé Kubernetes en production pendant un an.
Les deux examens coûtent 250 $, comportent 60 questions à choix multiples, durent 90 minutes, se déroulent en ligne via PSI Bridge, et incluent une reprise gratuite. Ce sont tous deux des examens associés CNCF — le niveau d'entrée sous les examens professionnels pratiques (CKA, CKAD, CKS, CNPE). Aucun n'est un prérequis strict pour un examen professionnel ; ce sont des rampes d'accès facultatives. La tarification et le format de l'examen sont identiques, donc le choix porte uniquement sur le contenu et votre étape de carrière.
Ce que le KCNA couvre réellement
Le KCNA — Kubernetes and Cloud Native Associate — est le plus large des examens associés CNCF. Le programme, tel qu'il est au début de 2026, se décompose en gros comme suit :
- Fondamentaux de Kubernetes (~46 %) : pods, services, deployments, namespaces, ConfigMaps, Secrets, le plan de contrôle, le kubelet, le scheduler. Le niveau de vocabulaire — ce que chaque élément fait et comment ils sont liés.
- Orchestration de conteneurs (~22 %) : pourquoi les conteneurs, les runtimes de conteneurs, la spécification OCI, les concepts de mise en réseau des conteneurs.
- Architecture cloud-native (~16 %) : microservices, découverte de services, observabilité, les principes des 12 facteurs.
- Observabilité cloud-native (~8 %) : Prometheus, OpenTelemetry, la trinité métrique / journal / trace, les concepts SLI/SLO de base.
- Livraison d'applications cloud-native (~8 %) : le concept de GitOps, Argo CD / Flux au niveau superficiel, les bases du CI/CD telles qu'elles s'appliquent à K8s.
C'est large et superficiel. On ne vous demandera pas d'écrire du YAML ; on vous demandera quel objet Kubernetes gère une préoccupation donnée. Le ton est "comprenez-vous suffisamment l'univers cloud-native pour être utile dans les conversations". C'est en fait un véritable niveau — de nombreux ingénieurs ont déployé des charges de travail K8s sans savoir ce qu'est etcd, et le KCNA vous oblige à apprendre les noms.
Temps d'investissement : 30 à 50 heures sur 4 à 6 semaines si vous êtes débutant. 10 à 15 heures si vous utilisez Kubernetes depuis un an et que vous avez juste besoin de combler des lacunes de vocabulaire.
Ce que le KCSA couvre réellement
Le KCSA — Kubernetes and Cloud Native Security Associate — est plus étroit et plus approfondi que le KCNA, mais reste à choix multiples et conceptuel :
- Aperçu de la sécurité cloud-native (~14 %) : les 4 C (Cloud, Cluster, Container, Code), le modèle de responsabilité partagée dans le contexte K8s.
- Sécurité des composants de cluster Kubernetes (~22 %) : durcissement du serveur API, protection d'etcd, drapeaux kubelet, plugins réseau.
- Fondamentaux de la sécurité Kubernetes (~22 %) : Pod Security Standards, politiques réseau (concepts, pas YAML), gestion des Secrets, ServiceAccounts.
- Modèle de menace Kubernetes (~16 %) : STRIDE appliqué à K8s, analyse de la surface d'attaque, les limites de confiance.
- Sécurité de la plateforme (~16 %) : chaîne d'approvisionnement, concepts de balayage d'images, concepts de contrôle d'admission.
- Conformité et frameworks de sécurité (~10 %) : benchmarks CIS, NIST, ce que fait kube-bench au niveau conceptuel.
Le KCSA est essentiellement un manuel d'introduction au CKS sans les laboratoires pratiques. Environ 70 % du contenu du KCSA chevauche celui du CKS en termes de sujets ; la différence est que le KCSA teste "comprenez-vous ce qu'est une NetworkPolicy" et le CKS teste "écrivez une NetworkPolicy par défaut de type 'default-deny' en YAML en 90 secondes sans consulter de documentation".
Temps d'investissement : 25 à 40 heures sur 4 à 5 semaines si vous avez des connaissances pratiques de K8s. Tenter le KCSA sans aucune exposition à K8s est difficile — vous apprendrez deux choses à la fois et le cadre de sécurité le rend plus difficile que le KCNA, pas plus facile.
À qui s'adresse chaque examen
Le KCNA cible les personnes en reconversion, les ingénieurs juniors, les chefs de projet et chefs de produit travaillant sur des produits cloud-native, les ingénieurs commerciaux, et toute personne ayant besoin d'une compréhension de Kubernetes sans opérer de clusters. C'est un excellent catalyseur pour "comprendre le vocabulaire afin de pouvoir avoir des conversations intelligentes". C'est un piètre indicateur pour les embauches d'ingénieurs seniors — les recruteurs lisant des CV survolent généralement le KCNA pour un candidat senior.
Le KCSA cible les ingénieurs de sécurité apprenant Kubernetes, les professionnels de la sécurité des applications / du cloud se tournant vers la sécurité K8s, et les ingénieurs se préparant au CKS qui souhaitent un échauffement plus doux. Il est également utile pour les rôles de conformité et d'audit où vous devez parler de la posture de sécurité K8s sans opérer de clusters vous-même.
Si vous êtes un ingénieur junior cherchant à percer dans le cloud, le KCNA. Si vous êtes un ingénieur de sécurité élargissant ses compétences à la sécurité des plateformes, le KCSA. Si vous êtes déjà un opérateur K8s senior, aucun des deux — passez directement au CKA ou au CKS.
Mécanique de l'examen : ce qui est pareil, ce qui est différent
Identique :
- 250 USD à partir de 2026.
- 60 questions à choix multiples / à sélection multiple.
- 90 minutes.
- 75 % pour réussir.
- Surveillé en ligne via PSI Bridge — webcam, partage d'écran, vérification d'identité, l'habituel.
- Une reprise gratuite dans les 12 mois.
- Validité de 2 ans (était de 3 ans avant avril 2024).
- La Linux Foundation propose fréquemment des codes promotionnels de 30 à 60 % de réduction ; ne payez jamais le prix fort sans vérifier.
Différent :
- Le KCNA est plus large ; le KCSA est plus approfondi sur la sécurité.
- Le style des questions du KCSA tend légèrement plus vers "étant donné ce scénario, quel est le problème de sécurité" contre "que fait cet élément Kubernetes" pour le KCNA.
Aucun des deux n'a de laboratoires. Aucun n'a d'accès au terminal. L'expérience PSI Bridge pour les deux est identique à celle des associés de type KCNA / KCSA de tout fournisseur de cloud — webcam, pas de deuxième moniteur, bureau dégagé, pas de notes, pas de brouillon sauf autorisation explicite.
Quand faire les deux
Faire les deux a du sens si vous visez le badge Kubestronaut (qui exige KCNA + KCSA + CKA + CKAD + CKS). En dehors de cela, faire les deux est surtout un atout facultatif. La valeur signalétique de "a réussi KCNA et KCSA" sur un CV est à peu près la même que "a réussi KCSA" seul — les recruteurs voient "certifié Kubernetes" et passent à autre chose.
Si vous faites les deux et ne visez pas le bundle Kubestronaut, l'ordre que je recommanderais est le KCNA d'abord (4 à 6 semaines), puis 1 à 2 mois de pratique pratique de K8s sur un cluster kind / k3d, puis le KCSA. Les faire consécutivement sans pratique opérationnelle entre les deux vous laisse avec du vocabulaire et zéro réflexe.
Quand sauter les deux
Sautez les deux si vous opérez Kubernetes en production depuis un an ou plus. Le CKA couvre tout ce que le KCNA fait et ajoute les tests opérationnels pratiques. Le KCNA sur un CV senior est un léger bruit. Le CKA est un signal.
Sautez les deux si vous visez spécifiquement le CKS. Le CKS nécessite un CKA actif, pas le KCNA ou le KCSA. Le KCSA aide à la préparation au CKS mais n'est pas obligatoire.
Sautez les deux si votre objectif est un changement d'emploi dans les 90 prochains jours et que vous pouvez déjà obtenir des entretiens pour des postes K8s. Consacrez votre temps à un projet de portfolio — un plugin kubectl, un Helm chart public, un opérateur Kubernetes — ceux-ci ont un impact plus fort qu'une certification associée.
La CNCF ne publie pas les taux de réussite
Pour information, la CNCF ne publie pas les taux de réussite officiels pour aucun de ses examens. Les sondages communautaires (forums de la Linux Foundation, Reddit r/kubernetes, le canal Slack #certifications de la CNCF) suggèrent que les taux de réussite au premier essai du KCNA se situent entre 70 et 80 % et ceux du KCSA entre 60 et 70 %. Prenez ces chiffres comme des anecdotes — ils sont auto-déclarés et tendent vers les personnes qui ont réussi et pris la peine de publier.
Que faire cette semaine
Si vous débutez avec K8s : planifiez le KCNA dans 6 semaines, étudiez les pages de concepts de kubernetes.io et exécutez un cluster kind localement pour ancrer le vocabulaire dans quelque chose de réel.
Si vous êtes sur une voie de sécurité et à l'aise avec K8s : planifiez le KCSA dans 5 semaines, étudiez les benchmarks CIS et lisez sur le framework des 4 C.
Si vous êtes prêt pour le CKA : sautez les deux, économisez les 500 $ et utilisez-les plutôt pour un bundle CKA + CKAD (590 $).
Si vous vous lancez, parcourez la banque de pratique KCNA sur CertLabPro ou la banque KCSA. Les deux sont utiles pour trouver rapidement les lacunes de vocabulaire — le vocabulaire est ce que ces examens testent réellement.