AWS Certified Security Specialty
275 questions de pratique
Dernière révision : April 2026
Notes personnelles et liens de ressources pour votre parcours d'étude
Filtrer par Certification
L'AWS Certified Security Specialty (SCS-C03) est la certification de niveau supérieur axée sur la sécurité et l'une des certifications de sécurité cloud les plus respectées. Elle valide la capacité à concevoir et à exploiter des charges de travail AWS sécurisées — y compris l'identité, la protection des données, la sécurité de l'infrastructure, la détection des menaces, la réponse aux incidents et la gouvernance. L'examen s'adresse aux ingénieurs en sécurité cloud, aux architectes de sécurité cloud et aux ingénieurs DevSecOps ayant plusieurs années d'expérience AWS et en sécurité. Attendez-vous à des questions longues et basées sur des scénarios qui combinent IAM, KMS, les services de mise en réseau et de détection, et qui demandent la MEILLEURE réponse de sécurité dans des contraintes réalistes. SCS-C03 a été lancé en juillet 2023, actualisant le SCS-C01 avec une détection plus large, une gouvernance adjacente à la GenAI et une couverture modernisée de la protection des données. L'examen est conceptuel ; il n'y a pas de laboratoires pratiques.
Architecture de journalisation (pistes d'organisation CloudTrail, VPC Flow Logs, journaux de requêtes DNS, journaux d'accès S3), journalisation centralisée avec l'agrégation Security Hub, et requêtes Athena sur CloudTrail. Point d'achoppement courant : distinguer CloudTrail Lake des compromis d'Athena-on-CloudTrail.
Modèles de confinement (isolation des charges de travail EC2/ECS compromises, rotation des informations d'identification, mise en quarantaine des buckets S3), préservation des preuves forensiques, et runbooks avec SSM. Souvent oublié : la séquence précise pour la compromission des informations d'identification IAM.
Sécurité VPC (groupes de sécurité, NACLs, endpoints, PrivateLink), AWS WAF et Shield, Network Firewall, et protection périmétrique. Fort accent sur la mise en couches de la défense en profondeur.
Le domaine le plus important à 20 %. Limites de permissions, SCPs, clés de condition (notamment aws:PrincipalOrgID, aws:SourceVpce, aws:CalledVia), STS, Identity Center, et politiques basées sur les ressources. La zone à plus haute densité de l'examen.
KMS (politiques de clés, octrois, clés multi-régions, BYOK), chiffrement en transit (ACM, gestion des certificats), Macie, et modèles de protection S3. L'évaluation nuancée des politiques de clés KMS est un point d'achoppement fréquent.
Gouvernance multi-compte avec Organizations, Control Tower, les packs de conformité Config, et Audit Manager. Moins pondéré mais teste la pensée stratégique en matière de sécurité.
Les services que vous rencontrerez à l'examen et pourquoi chacun compte.
Primitive d'identité, de rôle et de politique — les politiques gérées et inline, les politiques d'approbation, les balises ABAC, les politiques de session et les limites de permissions appliquent chaque décision d'autorisation.
Pourquoi il est à l'examen : Le Domaine 4 (Gestion des identités et des accès) concerne entièrement les mécanismes IAM — l'écriture de politiques de moindre privilège, les rôles inter-comptes et l'ordre d'évaluation des politiques sont les sujets les plus testés à l'examen.
SSO centralisé pour la main-d'œuvre et distribution de jeux de permissions multi-comptes, fédérant depuis des IdP externes (Entra ID, Okta) vers des comptes AWS Organizations.
Pourquoi il est à l'examen : Les questions du Domaine 4 sur la fédération, l'ABAC à l'échelle et le remplacement des utilisateurs IAM de longue durée par des sessions de rôle de courte durée citent Identity Center comme la réponse native AWS.
Détection continue des menaces à travers les VPC Flow Logs, les journaux DNS, CloudTrail, S3, l'audit EKS et le runtime Lambda — émet des conclusions pour les identifiants compromis, le crypto-minage et les IPs malveillantes connues.
Pourquoi il est à l'examen : Le Domaine 1 (Détection des menaces et réponse aux incidents) nomme GuardDuty comme le signal de détection continue principal, avec l'automatisation pilotée par EventBridge comme modèle de réponse canonique.
Évaluation continue des vulnérabilités pour EC2, les images conteneurs ECR et les fonctions Lambda — notant les CVEs et les conclusions de joignabilité réseau par rapport à l'inventaire logiciel découvert.
Pourquoi il est à l'examen : Le Domaine 3 (Sécurité de l'infrastructure) teste Inspector pour la posture de vulnérabilité des charges de travail ; distinguez-le de GuardDuty (menaces d'exécution) et de Macie (classification des données).
Agrégateur de conclusions inter-services avec des vérifications de normes intégrées (CIS, PCI DSS, AWS FSBP, NIST 800-53) et des intégrations de GuardDuty, Inspector, Macie et d'outils partenaires.
Pourquoi il est à l'examen : Le Domaine 2 (Journalisation et surveillance de la sécurité) et le Domaine 6 (Gouvernance) nomment Security Hub comme le panneau de contrôle unique au niveau de l'organisation pour les conclusions priorisées et l'évaluation de la conformité.
Découverte de données sensibles basée sur le ML pour S3 — détection automatisée des PII, des identifiants, des données financières et de santé, ainsi qu'un inventaire continu des buckets et l'évaluation de la posture.
Pourquoi il est à l'examen : Le Domaine 5 (Protection des données) teste Macie comme le service nommé pour la découverte et la classification des données sensibles dans S3 avant d'appliquer le chiffrement, la rétention ou les contrôles d'accès.
ACL web de couche 7 pour CloudFront, ALB, API Gateway, AppSync et App Runner — groupes de règles gérés (OWASP, contrôle des bots, prise de contrôle de compte) ainsi que des règles basées sur le débit et personnalisées.
Pourquoi il est à l'examen : Les questions du Domaine 3 (Sécurité de l'infrastructure) sur la protection des points de terminaison web publics contre l'injection, le scraping et le bourrage d'identifiants nomment WAF comme la défense de périphérie native d'AWS.
Protection DDoS managée — Standard inclus gratuitement en périphérie, Advanced ajoute une réponse SRT 24h/24 et 7j/7, une protection des coûts et des analyses d'attaques de couche 3/4/7 pour CloudFront, Route 53, ALB et Global Accelerator.
Pourquoi il est à l'examen : Le Domaine 3 distingue Shield Standard (toujours actif, gratuit, L3/L4) de Shield Advanced (payant, SRT, protection des coûts) — une question de scénario récurrente sur la résilience DDoS.
Service de clés cryptographiques managé — clés gérées par AWS, gérées par le client et externes/importées avec des octrois, des politiques de clé et une utilisation enregistrée par CloudTrail à travers plus de 100 services.
Pourquoi il est à l'examen : Le Domaine 5 (Protection des données) teste le chiffrement d'enveloppe, le partage de clés inter-comptes, la rotation des clés et la différence entre les politiques de clé et les politiques IAM sur chaque formulaire d'examen.
Provisionne et renouvelle automatiquement les certificats TLS publics pour CloudFront, ALB, API Gateway et App Runner ; ACM Private CA émet des certificats internes avec CRL/OCSP gérés.
Pourquoi il est à l'examen : Les questions du Domaine 5 sur le chiffrement des données en transit et celles du Domaine 3 sur les hiérarchies de CA privées pour mTLS interne nomment ACM et ACM Private CA comme les réponses natives d'AWS.
Stockage de secrets chiffrés avec rotation automatique pour RDS, Redshift, DocumentDB et rotation personnalisée pilotée par Lambda ; accès IAM granulaire et audit CloudTrail.
Pourquoi il est à l'examen : Les Domaines 4 + Domaine 5 citent Secrets Manager pour les identifiants de base de données de courte durée et le contraste avec Parameter Store (gratuit, pas de rotation) est une paire de distracteurs fréquente.
Primitive d'isolation réseau — sous-réseaux, tables de routage, groupes de sécurité (stateful), NACLs (stateless), VPC Flow Logs, points de terminaison VPC et Traffic Mirroring pour la capture de paquets.
Pourquoi il est à l'examen : Le Domaine 3 (Sécurité de l'infrastructure) concerne en grande partie les mécanismes VPC — la défense en profondeur entre les SGs et les NACLs, la connectivité privée via les points de terminaison d'interface et les Flow Logs pour la criminalistique.
Pare-feu stateful managé pour les VPCs — règles compatibles Suricata pour l'inspection approfondie des paquets, le filtrage de domaines, l'IPS et le filtrage de sortie centralisé à travers une Organisation.
Pourquoi il est à l'examen : Les scénarios du Domaine 3 sur l'inspection stateful L3-L7 au-delà de ce que les SGs/NACLs offrent — filtrage uniquement de sortie et les VPCs d'inspection centralisée — nomment Network Firewall comme la réponse.
Application de politiques à l'échelle de l'organisation pour les règles WAF, Shield Advanced, Network Firewall, Route 53 Resolver DNS Firewall et les groupes de sécurité à travers les comptes dans AWS Organizations.
Pourquoi il est à l'examen : Les questions du Domaine 6 (Gouvernance) sur l'application des bases de référence de sécurité à travers de nombreux comptes citent Firewall Manager + Organizations comme le plan de contrôle multi-comptes.
Graphe d'investigation qui ingère les données d'audit VPC Flow Logs, CloudTrail, GuardDuty et EKS dans un modèle comportemental pour l'analyse des causes profondes d'activités suspectes.
Pourquoi il est à l'examen : Le Domaine 1 (Détection des menaces et réponse aux incidents) teste Detective comme le suivi nommé d'une conclusion GuardDuty — pivotant vers le contexte, le rayon d'impact et les ressources affectées.
Magasin de configuration et de secrets hiérarchique avec les types String, StringList et SecureString (soutenu par KMS) ; le niveau gratuit couvre la plupart des cas avec des paramètres avancés optionnels à des quotas plus élevés.
Pourquoi il est à l'examen : Les questions du Domaine 5 sur le stockage de la configuration et des secrets à faible volume comparent Parameter Store (gratuit, pas de rotation) à Secrets Manager (payant, rotation) — le compromis est testé de manière fiable.
Journal d'audit d'appels d'API immuable — trails à l'échelle de l'organisation, événements de gestion/données/Insights, validation de l'intégrité des fichiers journaux et Lake pour une rétention interrogeable via SQL.
Pourquoi il est à l'examen : Le Domaine 2 (Journalisation et surveillance de la sécurité) nomme CloudTrail comme le signal d'audit fondamental ; la validation de l'intégrité et les trails d'organisation centralisés sont des questions de scénario de conformité courantes.
Historique de configuration et évaluation continue de la conformité — règles gérées et personnalisées, auto-remédiation via SSM et packs de conformité pour les bases de référence CIS/PCI/HIPAA.
Pourquoi il est à l'examen : Le Domaine 6 (Gouvernance) teste Config comme le moteur de dérive de configuration et de conformité continue qui complète le journal d'audit d'appels d'API de CloudTrail.
Collecte automatisée de preuves mappée à des frameworks (PCI DSS, HIPAA, SOC 2, GDPR, FedRAMP) avec portée d'évaluation et rapports exportables prêts pour l'auditeur.
Pourquoi il est à l'examen : Les questions du Domaine 6 sur la production de preuves d'audit et le mappage des contrôles aux frameworks de conformité citent Audit Manager comme le service natif AWS de collecte de preuves.
Gestion multi-comptes — OUs, politiques de contrôle de service (SCPs), politiques de contrôle de ressources, facturation consolidée et administration déléguée pour les services de sécurité.
Pourquoi il est à l'examen : Le Domaine 6 (Gouvernance) et le Domaine 4 (IAM) testent les SCPs comme le filet de sécurité des limites de permissions au-dessus d'IAM et le prérequis pour l'agrégation de GuardDuty, Security Hub et Config à l'échelle de l'organisation.
$140k–$200k–$290k USD annuel
Cette fourchette couvre les rôles de sécurité cloud de niveau intermédiaire à supérieur basés aux États-Unis, où la maîtrise d'AWS est requise. Les services financiers de premier plan, les FAANG et les licornes axées sur la sécurité dépassent fréquemment 350k TC. Les titres d'« ingénieur en sécurité » d'entrée de gamme sur les marchés non côtiers se situent en dessous de la fourchette basse. Les certifications de spécialité en sécurité génèrent de manière fiable une prime par rapport aux certifications cloud générales.
Source : Rôles de sécurité cloud levels.fyi 2025–2026, U.S. BLS OEWS May 2024 (15-1212 information security analysts). Les chiffres sont approximatifs ; la rémunération réelle dépend du rôle, de la région et de l'expérience.
Le recrutement dans la sécurité cloud est resté soutenu tout au long de 2024–2026, les entreprises continuant de faire évoluer leurs programmes de sécurité autour des environnements AWS multi-comptes, des modèles de confiance zéro et du risque de chaîne d'approvisionnement. Le SCS-C03 est largement cité comme préférable pour les rôles d'ingénieur et d'architecte en sécurité cloud, et est l'une des certifications de sécurité uniques les plus universellement respectées aux côtés de CISSP et CCSP. Les recruteurs des services financiers, de la santé et des SaaS axés sur la sécurité le considèrent comme un signal crédible de profondeur en sécurité spécifique à AWS. Il s'associe naturellement au SAA-C03 ou SAP-C02, à l'Advanced Networking Specialty (ANS-C01), et aux certifications multi-fournisseurs. La certification NE qualifie PAS à elle seule les candidats pour les rôles de CISO ou de VP-sécurité — ceux-ci exigent une expérience plus large en leadership de programme et en gestion des risques.
Il n'y a pas de prérequis formels. AWS recommande au moins 3 à 5 ans d'expérience en sécurité informatique générale et au moins 2 ans d'expérience pratique en sécurité AWS.
La plupart des candidats abordent le SCS-C03 après le SAA-C03 (fondation architecturale) et idéalement après le SAP-C02 ou le DOP-C02 pour une profondeur supplémentaire. Les candidats ayant de solides antécédents en sécurité générale (CISSP, CompTIA Security+) mais une exposition limitée à AWS devraient prévoir un temps supplémentaire substantiel sur IAM (en particulier les limites de permissions et les SCP), les politiques de clés KMS et la taxonomie des services de détection AWS. Un laboratoire fonctionnel AWS Organizations multi-comptes avec Control Tower, les packs de conformité Config et la journalisation centralisée est l'artefact de préparation au ROI le plus élevé.
Le SCS-C03 est classé Spécialité et est l'un des examens AWS les plus difficiles. Prévoyez 80 à 140 heures sur 10 à 14 semaines pour les candidats travaillant déjà dans la sécurité cloud ; 160 à 220+ heures pour ceux venant d'un parcours en sécurité générale ou AWS général. L'examen comporte 65 questions notées en 170 minutes — à choix multiples et à réponses multiples, sans laboratoires.
Le plus grand point d'achoppement est la profondeur de l'évaluation des politiques IAM : comprendre précisément comment les politiques d'identité, les politiques de ressources, les limites de permissions, les SCP et les politiques de session se combinent, et comment les clés de condition interagissent avec l'accès multi-comptes. L'évaluation des politiques de clés KMS arrive en deuxième position. Les candidats perdent également régulièrement des points sur la différenciation des services de détection (GuardDuty vs Security Hub vs Detective vs Inspector) et sur des questions subtiles de flux de trafic VPC impliquant des endpoints et PrivateLink.
Version actuelle. Couverture modernisée des services de détection, de la gouvernance multi-comptes, des clés KMS multi-régions et du Network Firewall. Modèles de réponse aux incidents mis à jour reflétant la maturité d'EventBridge / SSM Automation.
Brève révision intermédiaire. Retirée en 2023.
Spécialité Sécurité originale. Retirée depuis longtemps ; outils de détection de l'ère pré-Security Hub.
SCS-C03 (AWS Certified Security Specialty) est un examen de niveau Specialty un examen profondément spécialisé couvrant des sujets avancés dans un domaine étroit — attendez-vous à ce que l'expérience pratique soit un prérequis. La plupart des candidats ont besoin de 100 à 200 heures d'étude réparties sur 2 à 4 mois pour les examens de spécialité. Ceux-ci supposent une expérience pratique dans le domaine de spécialité. La plupart des candidats qui obtiennent des scores constamment supérieurs au seuil de réussite lors des examens pratiques réussissent dès leur première tentative.
La plupart des candidats ont besoin de 100 à 200 heures d'étude réparties sur 2 à 4 mois pour les examens de spécialité. Ceux-ci supposent une expérience pratique dans le domaine de spécialité. Le temps nécessaire pour réussir varie considérablement en fonction de l'expérience antérieure. Les ingénieurs ayant une expérience pratique en production avec la technologie sous-jacente en ont généralement besoin de moins ; les candidats novices sur la plateforme devraient viser la limite supérieure de cette fourchette.
SCS-C03 est une certification reconnue dans l'écosystème AWS et signale des connaissances validées aux employeurs, recruteurs et clients. Sa valeur en termes de temps et de coût dépend de votre rôle et de vos objectifs — elle est la plus avantageuse pour les ingénieurs cloud, architectes et consultants qui travaillent quotidiennement avec AWS ou souhaitent évoluer vers des rôles similaires.
Le score de réussite pour le SCS-C03 est de 750 / 1000. L'examen contient 65 questions et dure 2 h 50 min.
Les frais d'examen SCS-C03 sont de $300 USD. Les frais sont fixés par AWS et peuvent varier selon la région ; confirmez toujours le prix actuel sur la page de certification officielle de AWS avant de réserver.
Les certifications AWS sont valides pendant 3 ans. Recertifiez-vous en réussissant la version actuelle du même examen, ou en réussissant un examen de niveau supérieur dans le même parcours avant l'expiration.
Oui. Vous pouvez passer l'examen en ligne (supervisé via le navigateur sécurisé du fournisseur, disponible 24h/24 et 7j/7 dans la plupart des régions) ou dans un centre de test Pearson VUE en personne pendant les heures ouvrables. Les deux formats utilisent les mêmes questions, la même limite de temps et le même score de réussite.
CertLabPro propose 15 modes d'étude à travers la banque de questions pratiques pour le SCS-C03. Le mode de simulation d'examen reproduit l'examen réel : 65 questions en 2 h 50 min, avec le même seuil de réussite de 750 / 1000. Le mode navigation vous permet de lire chaque Q&A de manière statique.