Google Cloud Professional Cloud Security Engineer
227 questions de pratique
Dernière révision : April 2026
Notes personnelles et liens de ressources pour votre parcours d'étude
Filtrer par Certification
Le Google Cloud Professional Cloud Security Engineer (PCSE) valide la capacité à concevoir et implémenter une infrastructure sécurisée sur Google Cloud. L'examen couvre la hiérarchie et les conditions IAM, les contraintes de stratégies d'organisation, les VPC Service Controls, Cloud KMS / EKM / Confidential VM, Cloud Armor et Cloud IDS, Security Command Center Premium, BeyondCorp et Identity-Aware Proxy, Cloud DLP / Sensitive Data Protection, l'audit logging, et la suite complète des cadres de conformité supportés par Google Cloud (HIPAA, PCI, FedRAMP, ISO, SOC). Le style de questions est basé sur des scénarios et récompense les candidats qui raisonnent en termes de défense en profondeur — de nombreuses questions présentent plusieurs réponses techniquement correctes et attendent l'option la plus stratifiée ou à moindre privilège. Le PCSE est l'équivalent GCP de l'AWS Security Specialty et de l'Azure AZ-500.
Le plus grand domaine à 25 %. Cloud Identity, hiérarchie IAM (organisation / dossier / projet / ressource), conditions, stratégies de refus, rôles personnalisés, comptes de service et Workload Identity Federation, BeyondCorp Enterprise.
Cloud KMS (logiciel, HSM, EKM), CMEK / CSEK, Confidential VM et nœuds GKE confidentiels, Cloud DLP / Sensitive Data Protection, sécurité au niveau des colonnes / lignes BigQuery, Secret Manager. 23 %.
VPC Service Controls (périmètres, règles d'entrée / sortie, ponts), Cloud Armor (OWASP, géo, limitation de débit, protection adaptative), Cloud IDS, IAP, Private Service Connect. 22 % — VPC SC est le sujet le plus dense.
Security Command Center (niveaux Standard, Premium et Enterprise), journaux d'audit Cloud Logging (Admin Activity, Data Access, System Event, Policy Denied), Chronicle, modèles de réponse aux incidents. 19 %.
Le plus petit domaine à 11 % mais à haute densité. Assured Workloads, Sovereign Controls, cadres réglementaires, collecte de preuves, contrôles de résidence et de région de données.
Les services que vous rencontrerez à l'examen et pourquoi chacun compte.
Primitive d'identité, de rôle et de politique — les rôles prédéfinis et personnalisés, les Conditions IAM, les politiques de refus et l'héritage de la hiérarchie des ressources appliquent chaque décision d'autorisation.
Pourquoi il est à l'examen : Le Domaine 1 (Configuration de l'accès) est entièrement consacré aux mécanismes IAM — la conception de rôles à moindre privilège, les Conditions IAM et l'évaluation des politiques à travers la hiérarchie org/dossier/projet sont les sujets les plus testés.
Magasin d'identité de la main-d'œuvre fédéré à des IdP externes, associé à l'accès contextuel BeyondCorp Enterprise pour un contrôle d'application Zero Trust sans VPN.
Pourquoi il est à l'examen : Le Domaine 1 teste l'identité fédérée de la main-d'œuvre ainsi que le modèle BeyondCorp — les politiques d'accès contextuel et les signaux de confiance des appareils remplacent la confiance du périmètre réseau à l'examen.
Périmètre de service autour des API Google Cloud gérées (BigQuery, GCS, etc.) qui bloque l'exfiltration de données même lorsque les autorisations IAM sont mal configurées.
Pourquoi il est à l'examen : Le Domaine 2 (Protection des données) désigne VPC Service Controls comme la réponse canonique pour prévenir l'exfiltration de données et isoler les projets sensibles de l'internet public.
Gestion hiérarchique des clés — KMS basé sur logiciel, clés protégées par HSM FIPS 140-2 L3 et EKM pour les clés détenues par le client en dehors de Google Cloud, le tout avec la même surface d'API.
Pourquoi il est à l'examen : Le Domaine 2 teste quand choisir CMEK vs. CSEK vs. EKM et comment la rotation des clés, les autorisations IAM sur les clés et Cloud KMS Autokey appliquent le chiffrement au repos.
Plateforme native de CSPM et de détection des menaces — les niveaux Premium et Enterprise révèlent les erreurs de configuration, les vulnérabilités et les menaces actives à travers l'organisation à partir des détections d'Event Threat Detection, Container Threat Detection et des conclusions de SHA.
Pourquoi il est à l'examen : Le Domaine 4 (Opérations de sécurité) fait de SCC la réponse pour la gestion centralisée de la posture, le triage des vulnérabilités et l'investigation des menaces actives à travers l'organisation GCP.
WAF de périphérie et protection DDoS devant les équilibreurs de charge HTTP(S) globaux — règles OWASP préconfigurées, règles personnalisées, interdictions basées sur le débit et protection ML adaptative.
Pourquoi il est à l'examen : Le Domaine 3 (Communications et protections périmétriques) teste Cloud Armor pour l'atténuation des attaques de couche 7 (L7) et la limitation de débit en périphérie sur les applications exposées à internet.
Passerelle Zero Trust au niveau de l'application qui authentifie et autorise chaque requête vers les applications App Engine, Cloud Run, GKE Ingress et Compute Engine sans nécessiter de VPN.
Pourquoi il est à l'examen : Le Domaine 1 cite IAP comme la réponse canonique pour remplacer le VPN par des vérifications d'identité par requête ; le Domaine 3 le réutilise pour le tunneling SSH/RDP sans exposer publiquement les instances.
Catalogue temporel de chaque ressource et politique IAM à travers l'organisation, exportable vers BigQuery pour des requêtes ad-hoc et des notifications de changement basées sur des flux via Pub/Sub.
Pourquoi il est à l'examen : Les Domaines 4 et 5 utilisent Cloud Asset Inventory comme preuve de conformité ("montrez-moi chaque bucket public au 01-01-2024") et pour détecter les écarts par rapport aux bases de référence approuvées.
Magasin de secrets géré avec réplication automatique, versioning, accès contrôlé par IAM, clés de chiffrement gérées par le client et hooks de rotation via Cloud Functions.
Pourquoi il est à l'examen : Le Domaine 2 teste Secret Manager comme réponse à "arrêter de commettre les clés API dans le contrôle de code source" et comment les Conditions IAM plus VPC-SC isolent l'accès aux secrets.
Découverte, classification et désidentification des PII — détecte plus de 150 infoTypes, masque/tokenise/rédige sur place et produit des profils de risque pour BigQuery et Cloud Storage.
Pourquoi il est à l'examen : Le Domaine 2 désigne Sensitive Data Protection comme le service canonique pour scanner les lacs de données et BigQuery à la recherche de PII avant l'entraînement ML ou le partage externe.
Émission de titres d'identité de courte durée pour les workloads externes (AWS, Azure, GitHub Actions, IdP OIDC) afin qu'ils puissent appeler les API Google Cloud sans clés de compte de service à longue durée de vie.
Pourquoi il est à l'examen : Le Domaine 1 et le Domaine 2 testent tous deux Workload Identity Federation comme la réponse explicite pour éliminer les clés de compte de service téléchargeables — un anti-pattern récurrent à l'examen.
Les Confidential VMs et les Confidential GKE Nodes exécutent des workloads sur du matériel AMD SEV / Intel TDX afin que le contenu de la mémoire reste chiffré même vis-à-vis de l'hyperviseur hôte.
Pourquoi il est à l'examen : Le Domaine 2 cite Confidential Computing pour la protection des données en cours d'utilisation — les workloads réglementés (santé, finance) sur infrastructure partagée sont un scénario récurrent.
Les niveaux d'accès (appareil, IP, géo) alimentent les règles VPC-SC et IAP ; Access Approval exige l'approbation explicite du client avant que le personnel de Google n'accède à vos données pour le support.
Pourquoi il est à l'examen : Le Domaine 1 utilise Access Context Manager pour l'élaboration de politiques contextuelles ; le Domaine 5 (Conformité) cite Access Approval pour les industries réglementées qui exigent des pistes d'audit d'accès fournisseur.
Stockage d'artefacts privé pour les images de conteneurs, Maven, npm, etc., avec une analyse des vulnérabilités de Container Analysis qui transmet les résultats à Security Command Center.
Pourquoi il est à l'examen : Le Domaine 3 + le Domaine 4 testent le modèle de chaîne d'approvisionnement : stocker les images dans Artifact Registry, les scanner via Container Analysis, et contrôler les déploiements via Binary Authorization.
Test de sécurité dynamique des applications (DAST) géré qui explore les applications App Engine, Compute Engine et celles exposées via GKE pour détecter les XSS, le contenu mixte, les bibliothèques obsolètes et les problèmes de l'OWASP Top 10.
Pourquoi il est à l'examen : Le Domaine 3 cite Web Security Scanner comme la réponse native GCP pour trouver les vulnérabilités de la couche application sans déployer une pile DAST séparée.
Garde-fous hiérarchiques — contraintes booléennes et de liste qui limitent les configurations de ressources (pas d'IP externes, régions autorisées, CMEK requis, etc.) à travers les dossiers et les projets.
Pourquoi il est à l'examen : Le Domaine 5 (Conformité) désigne Org Policy comme le contrôle préventif qui complète IAM en bloquant les configurations risquées avant qu'elles n'existent.
Flux d'audit d'activité d'administration, d'accès aux données, d'événements système et de politiques refusées, plus le routage de Cloud Logging vers BigQuery, GCS, Pub/Sub ou Chronicle pour une rétention à long terme.
Pourquoi il est à l'examen : Les Domaines 4 et 5 utilisent Audit Logs comme enregistrement de preuve immuable de qui a fait quoi, et les routages/réceptacles de logs décident où la rétention de conformité réside.
Portail en libre-service pour télécharger les rapports d'attestation SOC, ISO, PCI DSS, FedRAMP et HIPAA, plus une surveillance continue pour les workloads FedRAMP High et éligibles HIPAA.
Pourquoi il est à l'examen : Le Domaine 5 (Conformité) teste directement où obtenir les attestations tierces de Google Cloud et comment suivre quels services relèvent de chaque périmètre.
Plateforme SIEM et SOAR native du cloud — ingère les Cloud Audit Logs, la télémétrie EDR et les flux tiers, exécute des règles de détection en YARA-L et orchestre des playbooks de réponse.
Pourquoi il est à l'examen : Le Domaine 4 cite Chronicle comme la cible SIEM d'entreprise pour les Cloud Audit Logs et comme la source de détections haute fidélité renvoyées à Security Command Center.
$140k–$195k–$285k USD annuel
La fourchette reflète les ingénieurs et architectes de sécurité cloud seniors basés aux États-Unis où GCP est la plateforme principale. Le salaire total (TC) d'un ingénieur sécurité FAANG L5 dépasse les 300 000 $. La sécurité cloud est très demandée sur les trois principaux clouds ; les candidats PCSE ont tendance à être légèrement mieux rémunérés que les équivalents AWS Security Specialty chez FAANG en raison du plus petit bassin de candidats qualifiés sur GCP.
Source : levels.fyi 2025–2026 (ingénieurs de sécurité Google L5–L6, sécurité cloud senior FAANG et licornes), U.S. BLS OEWS May 2024 (15-1212 analystes en sécurité de l'information, 15-1241 architectes de réseaux informatiques). Les chiffres sont approximatifs ; la rémunération réelle dépend du rôle, de la région et de l'expérience.
La demande pour les PCSE a augmenté régulièrement à mesure que l'adoption de GCP en entreprise et la pression réglementaire s'intensifiaient de 2024 à 2026. La demande est forte chez les partenaires Google Cloud ayant des pratiques de sécurité, les grandes entreprises réglementées (services financiers, santé, secteur public) et Google elle-même pour les spécialistes de la sécurité en ingénierie client. La certification est également précieuse pour les équipes de sécurité multi-cloud où l'association du PCSE avec l'AWS Security Specialty ou l'Azure AZ-500 signale une réelle expertise multi-cloud. Les titulaires signalent constamment une forte réponse des recruteurs — les ingénieurs de sécurité GCP qualifiés restent un petit bassin de candidats par rapport à AWS.
Il n'y a pas de prérequis formels. Google recommande trois ans ou plus d'expérience dans l'industrie et un an ou plus dans la conception et l'implémentation de solutions de sécurité Google Cloud. En pratique, le PCSE n'est pas une première certification GCP judicieuse — les candidats qui réussissent possèdent des fondamentaux de sécurité solides (triade CIA, modélisation des menaces, moindre privilège, défense en profondeur) et ont passé un temps significatif sur IAM, les réseaux et la journalisation sur au moins un cloud.
L'Associate Cloud Engineer (ACE) est une première étape courante, mais une expérience CISSP ou AWS Security Specialty est souvent une bonne alternative. La maîtrise de la CLI gcloud, des contraintes de stratégies d'organisation et des VPC Service Controls est effectivement requise. Le parcours d'apprentissage officiel Cloud Security Engineer sur Google Cloud Skills Boost (environ 40 à 60 heures) couvre le programme ; la plupart des candidats qui réussissent construisent également un environnement sandbox multi-projets et multi-périmètres pour maîtriser le comportement des VPC Service Controls.
Le PCSE est classé professionnel et se situe constamment parmi les examens GCP les plus difficiles, aux côtés du PCA et du PCNE. Prévoyez 90 à 140 heures d'étude sur 9 à 13 semaines si le PCSE est votre première certification professionnelle GCP, ou 50 à 80 heures sur 5 à 8 semaines si vous détenez déjà l'ACE plus l'AWS Security Specialty ou un équivalent. L'examen comprend 50 à 60 questions à choix multiples / à sélection multiple en 120 minutes, administré via Pearson VUE (Google a migré de Kryterion / Webassessor début 2026).
Le principal obstacle est VPC Service Controls — la conception des périmètres, les règles d'entrée / sortie, les ponts, et l'interaction avec le VPC partagé déroutent la plupart des candidats et représentent une part disproportionnée des échecs. Le deuxième obstacle est constitué par les conditions IAM et les stratégies de refus, que Google privilégie fortement dans les questions de scénario par rapport aux réponses basées sur des rôles plus anciens. Google ne publie pas de scores numériques — seulement réussi / échoué. La certification est valable deux ans et le renouvellement nécessite de repasser l'examen actuel.
Guide d'examen actuel mis à jour début 2024 pour ajouter les stratégies de refus IAM, Workload Identity Federation, Sovereign Controls et la couverture actualisée du niveau Security Command Center Enterprise.
Mise à jour majeure qui a introduit les VPC Service Controls comme sujet principal et a étendu le domaine de la protection des données pour inclure le Confidential Computing.
PCSE (Google Cloud Professional Cloud Security Engineer) est un examen de niveau Professional un examen exigeant, riche en scénarios, qui requiert une expérience pratique approfondie et la capacité de prendre des décisions d'arbitrage architectural. La plupart des candidats ont besoin de 150 à 300 heures d'étude réparties sur 3 à 6 mois pour les examens de niveau professionnel et expert. Ces examens exigent généralement une compétence préalable de niveau associé. La plupart des candidats qui obtiennent des scores constamment supérieurs au seuil de réussite lors des examens pratiques réussissent dès leur première tentative.
La plupart des candidats ont besoin de 150 à 300 heures d'étude réparties sur 3 à 6 mois pour les examens de niveau professionnel et expert. Ces examens exigent généralement une compétence préalable de niveau associé. Le temps nécessaire pour réussir varie considérablement en fonction de l'expérience antérieure. Les ingénieurs ayant une expérience pratique en production avec la technologie sous-jacente en ont généralement besoin de moins ; les candidats novices sur la plateforme devraient viser la limite supérieure de cette fourchette.
PCSE est une certification reconnue dans l'écosystème GCP et signale des connaissances validées aux employeurs, recruteurs et clients. Sa valeur en termes de temps et de coût dépend de votre rôle et de vos objectifs — elle est la plus avantageuse pour les ingénieurs cloud, architectes et consultants qui travaillent quotidiennement avec GCP ou souhaitent évoluer vers des rôles similaires.
Le score de réussite pour le PCSE est de Non publié. L'examen contient 50 questions et dure 2 h.
Les frais d'examen PCSE sont de $200 USD. Les frais sont fixés par GCP et peuvent varier selon la région ; confirmez toujours le prix actuel sur la page de certification officielle de GCP avant de réserver.
Les certifications Google Cloud Professional sont valides pendant 2 ans. Recertifiez-vous en repassant la version actuelle de l'examen.
Oui. Vous pouvez passer l'examen en ligne (supervisé via le navigateur sécurisé du fournisseur, disponible 24h/24 et 7j/7 dans la plupart des régions) ou dans un centre de test Pearson VUE en personne pendant les heures ouvrables. Les deux formats utilisent les mêmes questions, la même limite de temps et le même score de réussite.
CertLabPro propose 15 modes d'étude à travers la banque de questions pratiques pour le PCSE. Le mode de simulation d'examen reproduit l'examen réel : 50 questions en 2 h, avec le même seuil de réussite de Non publié. Le mode navigation vous permet de lire chaque Q&A de manière statique.