CNCF Certified Kubernetes Security Specialist
265 questions de pratique
Dernière révision : April 2026
Notes personnelles et liens de ressources pour votre parcours d'étude
Filtrer par Certification
Le Certified Kubernetes Security Specialist (CKS) est la certification la plus exigeante de l'échelle CNCF et la seule avec un prérequis strict — vous devez détenir une certification Certified Kubernetes Administrator (CKA) active pour vous inscrire au CKS. Le CKS est pratique : deux heures sur de vrais clusters via kubectl dans un terminal basé sur navigateur, avec des tâches couvrant le renforcement des clusters, la sécurité de la chaîne d'approvisionnement (signature d'images, SBOM), la défense d'exécution (Falco, AppArmor, seccomp), le contrôle d'admission (OPA Gatekeeper, Kyverno) et l'application de politiques. Le CKS distingue le rôle de spécialiste de la sécurité du CKA (opérateur de cluster), du CKAD (développeur d'applications) et du CNPE (ingénieur de plateforme). C'est la pierre angulaire du bundle Kubestronaut et l'une des certifications de sécurité les plus précieuses dans le cloud.
CIS Benchmarks pour Kubernetes, kube-bench, TLS d'ingress, NetworkPolicies pour l'isolation au niveau du cluster et vérification des binaires de la plateforme. 15 % de l'examen.
Minimisation du RBAC, renforcement des comptes de service, authentification/autorisation kubelet, restriction de l'accès API et mise à niveau des clusters pour corriger les CVE. 15 % de l'examen.
Renforcement au niveau Linux (renforcement du noyau, AppArmor, profils seccomp, minimisation de la surface d'attaque du système d'exploitation hôte) et minimisation de l'IAM. Le plus petit domaine, 10 %.
Pod Security Standards, OPA Gatekeeper, Kyverno, mTLS via service mesh, et gestion des secrets (intégration Vault, Sealed Secrets). 20 % de l'examen.
Signature d'images avec Sigstore / cosign, SBOM, scan d'images (Trivy, Grype), restriction des registres d'images et vérification des images de base. 20 % de l'examen — de plus en plus souligné dans les mises à jour 2024–2026.
Détection des menaces d'exécution Falco, journalisation d'audit, analyse comportementale et flux de travail forensiques. 20 % de l'examen. Travail pratique intense de rédaction de règles Falco et d'analyse des journaux d'audit.
$130k–$175k–$250k USD annuel
Cette fourchette reflète les rôles de sécurité cloud de niveau intermédiaire à senior basés aux États-Unis où l'expertise en sécurité Kubernetes est requise. Les rôles d'architecte DevSecOps senior et d'architecte de sécurité cloud chez les FAANG et les "unicorns" (startups valorisées à plus d'un milliard de dollars) tendent à être significativement plus élevés (souvent plus de 320 000 $ en rémunération totale). Le CKS fait partie des certifications uniques les mieux rémunérées dans le cloud — reflétant la pénurie de talents persistante signalée par l'(ISC)² Cybersecurity Workforce Study et la rareté des ingénieurs maîtrisant à la fois les opérations Kubernetes et les outils de sécurité cloud-native.
Source : levels.fyi 2025–2026 (sécurité cloud / applications), U.S. BLS OEWS May 2024 (15-1212 information security analysts), (ISC)² Cybersecurity Workforce Study 2024. Les chiffres sont approximatifs ; la rémunération réelle dépend du rôle, de la région et de l'expérience.
Kubernetes est l'orchestrateur de facto des charges de travail cloud-native, et l'expertise en sécurité spécifique à Kubernetes est l'un des profils de compétences les plus rares dans le cloud. L'(ISC)² Cybersecurity Workforce Study a constamment signalé l'ingénierie de la sécurité cloud comme un déficit de talents persistant, et le CKS est la certification la plus reconnue pour combler ce déficit. Les titulaires du CKS bénéficient de primes salariales qui dépassent constamment celles des seuls CKA / CKAD, et la certification est de plus en plus citée comme une qualification "préférée" ou "requise" dans les parcours de carrière des architectes DevSecOps seniors et des architectes de sécurité cloud. Le CKS est la pierre angulaire du bundle Kubestronaut (KCNA + KCSA + CKA + CKAD + CKS) et signale un engagement opérationnel et de sécurité inhabituellement profond qui accélère significativement la candidature aux postes de niveau senior.
Le CKS a un prérequis strict — vous devez détenir une certification Certified Kubernetes Administrator (CKA) active au moment de l'inscription et au moment de passer l'examen. Cela est appliqué lors de l'inscription ; vous ne pouvez pas acheter un créneau d'examen CKS sans un CKA actif. Si votre CKA expire avant de passer le CKS, vous devrez le renouveler ou vous recertifier avant de vous inscrire.
La progression de sécurité CNCF judicieuse est KCNA → KCSA → CKA → CKS. Le KCSA n'est pas requis pour le CKS mais réduit matériellement les risques de la tentative en établissant l'échafaudage conceptuel (4Cs, modélisation des menaces, sécurité de la chaîne d'approvisionnement) que le CKS teste ensuite sous la pression du temps en mode pratique. La plupart des candidats CKS réussis ont 6 à 12 mois d'expérience en opérations Kubernetes en production après le CKA avant de passer le CKS — l'examen suppose une fluidité opérationnelle avec kubectl, kubelet, etcd et le plan de contrôle.
Le CKS est la certification la plus exigeante de l'échelle CNCF. L'examen est pratique : 15 à 20 tâches basées sur la performance sur de vrais clusters dans un terminal basé sur navigateur, deux heures, avec accès uniquement à une petite liste autorisée de domaines de documentation dans un seul onglet de navigateur. La note de passage est de 67 %. Attendez-vous à 100 à 200 heures d'étude sur 10 à 16 semaines après le CKA, selon l'expérience de sécurité antérieure. Les candidats ayant une solide expérience générale en sécurité (CISSP, OSCP) et un CKA fraîchement obtenu ont tendance à se situer dans la fourchette basse ; les opérateurs purs plus novices en matière de sécurité ont tendance à se situer dans la fourchette haute.
Le principal obstacle est l'étendue des outils — Falco, AppArmor, seccomp, Sigstore / cosign, Trivy, OPA Gatekeeper, Kyverno, Vault — combinée à la même pression de temps kubectl que le CKA. La maîtrise de Bash / jq, l'édition rapide avec vim et l'efficacité de kubectl restent décisives. La chaîne d'outils spécifique au CKS (en particulier l'écriture de règles Falco personnalisées et de profils seccomp sous la pression du temps de l'examen) est ce que la plupart des tentatives échouées citent comme étant la lacune. Les examens blancs de killer.sh (deux tentatives gratuites incluses) sont largement considérés comme une préparation requise.
Version initiale — la pierre angulaire de la spécialisation en sécurité de l'échelle CNCF. La validité est de 2 ans (le CKS a toujours eu une validité de 2 ans, contrairement aux CKA / CKAD qui sont passés de 3 à 2 ans en avril 2024). Le programme est mis à jour annuellement pour suivre les dernières versions de Kubernetes et les modèles de CVE ; la sécurité de la chaîne d'approvisionnement et la couverture de Sigstore ont été considérablement étendues lors des mises à jour 2023–2024.
CKS (CNCF Certified Kubernetes Security Specialist) est un examen de niveau Professional un examen exigeant, riche en scénarios, qui requiert une expérience pratique approfondie et la capacité de prendre des décisions d'arbitrage architectural. La plupart des candidats ont besoin de 150 à 300 heures d'étude réparties sur 3 à 6 mois pour les examens de niveau professionnel et expert. Ces examens exigent généralement une compétence préalable de niveau associé. La plupart des candidats qui obtiennent des scores constamment supérieurs au seuil de réussite lors des examens pratiques réussissent dès leur première tentative.
La plupart des candidats ont besoin de 150 à 300 heures d'étude réparties sur 3 à 6 mois pour les examens de niveau professionnel et expert. Ces examens exigent généralement une compétence préalable de niveau associé. Le temps nécessaire pour réussir varie considérablement en fonction de l'expérience antérieure. Les ingénieurs ayant une expérience pratique en production avec la technologie sous-jacente en ont généralement besoin de moins ; les candidats novices sur la plateforme devraient viser la limite supérieure de cette fourchette.
CKS est une certification reconnue dans l'écosystème Kubernetes et signale des connaissances validées aux employeurs, recruteurs et clients. Sa valeur en termes de temps et de coût dépend de votre rôle et de vos objectifs — elle est la plus avantageuse pour les ingénieurs cloud, architectes et consultants qui travaillent quotidiennement avec Kubernetes ou souhaitent évoluer vers des rôles similaires.
Le score de réussite pour le CKS est de 67%. L'examen contient 60 questions et dure 2 h.
Les frais d'examen CKS sont de $445 USD. Les frais sont fixés par Kubernetes et peuvent varier selon la région ; confirmez toujours le prix actuel sur la page de certification officielle de Kubernetes avant de réserver.
Les certifications CNCF / Kubernetes sont valides pendant 2 ans. Renouvelez-les en repassant la version actuelle de l'examen ; le renouvellement prolonge la validité de 2 ans supplémentaires à compter de la nouvelle date de réussite.
Oui, les certifications Kubernetes sont uniquement passées en ligne — il n'y a pas de centres d'examen physiques. L'examen se déroule dans un navigateur sécurisé et supervisé ; vous aurez besoin d'une pièce calme et privée, d'une webcam, d'un microphone, d'une connexion haut débit stable et d'une pièce d'identité officielle avec photo.
CertLabPro propose 15 modes d'étude à travers la banque de questions pratiques pour le CKS. Le mode de simulation d'examen reproduit l'examen réel : 60 questions en 2 h, avec le même seuil de réussite de 67%. Le mode navigation vous permet de lire chaque Q&A de manière statique.