CNCF Kubernetes and Cloud Native Security Associate
265 questions de pratique
Dernière révision : April 2026
Notes personnelles et liens de ressources pour votre parcours d'étude
Filtrer par Certification
La certification Kubernetes and Cloud Native Security Associate (KCSA) est une accréditation de niveau fondamental introduite par la CNCF fin 2022 pour valider la compréhension conceptuelle de la sécurité cloud-native. Il s'agit d'un examen à choix multiples de 60 questions — pas pratique comme le CKS — et il s'adresse aux ingénieurs, aux analystes de sécurité et aux SRE qui doivent parler de manière crédible des modèles de menaces Kubernetes, du RBAC, des politiques réseau, de la sécurité de la chaîne d'approvisionnement et des 4C (Cloud, Cluster, Container, Code) sans encore opérer de clusters de production renforcés. Le KCSA est la deuxième étape naturelle sur la voie Kubestronaut après le KCNA, et il jette les bases conceptuelles qui rendent l'examen pratique CKS nettement plus abordable.
Les 4C de la sécurité cloud-native (Cloud, Cluster, Container, Code), les modèles de responsabilité partagée et la manière dont la sécurité cloud-native diffère de la sécurité périmétrique traditionnelle. Une mise en contexte conceptuelle pour le reste de l'examen.
Serveur API, etcd, kubelet, controller-manager, scheduler — ce que chaque composant expose et comment il devrait être renforcé. Partage le plus grand domaine avec 22 %.
RBAC, comptes de service, gestion des secrets, normes de sécurité des pods (remplaçant les PodSecurityPolicies) et politiques réseau. Partage le plus grand domaine à 22 % — attendez-vous à une couverture intensive.
Modélisation des menaces de type STRIDE appliquée à Kubernetes, plus le catalogue de menaces spécifique à la CNCF (persistance, élévation de privilèges, mouvement latéral). Correspond directement à MITRE ATT&CK for Containers.
Sécurité de la chaîne d'approvisionnement (SBOMs, signature d'images avec Sigstore / cosign), contrôle d'admission (OPA Gatekeeper, Kyverno) et défense à l'exécution (Falco). De plus en plus mis en avant dans les mises à jour 2024-2026.
CIS Benchmarks pour Kubernetes, NIST SP 800-190, PCI-DSS dans les environnements conteneurisés et le TAG de sécurité de la CNCF. Domaine le plus petit (10 %) mais questions à haute densité.
$105k–$145k–$200k USD annuel
Cette fourchette reflète les rôles de sécurité cloud de niveau intermédiaire à senior basés aux États-Unis où la maîtrise de Kubernetes est attendue. Les rôles d'architecte DevSecOps senior et de sécurité cloud chez les FAANG et les licornes tendent à être significativement plus élevés (souvent plus de 250k $ de rémunération totale). Le KCSA à lui seul ne donne pas accès à ces salaires — il complète un background en sécurité ou en plateforme.
Source : levels.fyi 2025–2026 (rôles de sécurité / sécurité cloud), U.S. BLS OEWS May 2024 (15-1212 analystes en sécurité de l'information), (ISC)² Cybersecurity Workforce Study 2024. Les chiffres sont approximatifs ; la rémunération réelle dépend du rôle, de la région et de l'expérience.
La sécurité cloud-native est l'une des lacunes persistantes en matière de talents soulignées dans l'étude (ISC)² Cybersecurity Workforce Study, et les compétences spécifiques à la sécurité Kubernetes sont encore plus rares. Le KCSA fonctionne comme un signal de sélection pour les pipelines DevSecOps et de sécurité cloud — il indique aux recruteurs qu'un candidat peut parler de manière crédible du RBAC, des politiques réseau, de la signature d'images et du modèle de menace CNCF sans encore opérer de clusters renforcés. La certification a moins de poids que le CKS dans les pipelines seniors, mais elle est de plus en plus utilisée comme filtre de base pour les rôles de plateforme adjacents à la sécurité. Pour les candidats qui suivent le parcours Kubestronaut, le KCSA est une étape intermédiaire significative qui réduit matériellement le risque de la tentative du CKS.
Il n'y a pas de prérequis formels pour le KCSA, mais la CNCF recommande fortement une maîtrise préalable de Kubernetes de niveau KCNA. Les candidats sans aucune expérience de Kubernetes devraient passer le KCNA en premier — le KCSA suppose que vous savez déjà ce qu'un pod, un service et un namespace sont, et il construit le contexte de sécurité sur cette base.
La progression de sécurité CNCF logique est KCNA → KCSA → CKA → CKS. Le KCSA ne satisfait aucune condition préalable formelle pour le CKS (le CKS exige un CKA actif), mais c'est le moyen le plus clair d'assimiler le matériel conceptuel — modélisation des menaces, les 4C, sécurité de la chaîne d'approvisionnement — que le CKS teste ensuite sous la pression du temps. Les candidats ayant de solides antécédents en sécurité générale (CISSP, OSCP) et une expérience opérationnelle de Kubernetes peuvent raisonnablement sauter le KCSA et aller directement au CKS, mais la plupart des ingénieurs bénéficient de cette étape intermédiaire.
Le KCSA est classé comme fondamental et se situe juste entre le KCNA et le CKS pratique en termes de difficulté. Attendez-vous à 30 à 60 heures d'étude sur 4 à 6 semaines si vous avez une maîtrise de Kubernetes de niveau KCNA mais une expérience limitée en sécurité ; 15 à 30 heures si vous avez les deux. L'examen comporte 60 questions à choix multiples en 90 minutes, uniquement en ligne via PSI Bridge, avec une reprise gratuite incluse. La note de passage est de 750 / 1000.
Le principal obstacle est l'étendue des frameworks de sécurité — les candidats qui connaissent Kubernetes mais pas les CIS Benchmarks, NIST SP 800-190 ou MITRE ATT&CK for Containers peuvent perdre des points sur les domaines de modélisation des menaces et de conformité. Sigstore / cosign et les contrôleurs d'admission (OPA Gatekeeper, Kyverno) sont également des lacunes fréquentes. La gestion du temps est rarement un problème avec 90 secondes par question.
Disponibilité générale. Version actuelle en avril 2026 ; la mise à jour du programme 2024 a élargi la sécurité de la chaîne d'approvisionnement (Sigstore, SBOMs) et ajouté la couverture MITRE ATT&CK for Containers. La validité est de 2 ans.
KCSA (CNCF Kubernetes and Cloud Native Security Associate) est un examen de niveau Foundational considéré comme un examen d'entrée de gamme testant l'étendue de la compréhension conceptuelle plutôt que la profondeur de l'expérience pratique. La plupart des candidats ont besoin de 30 à 80 heures d'étude réparties sur 3 à 6 semaines pour les examens de niveau fondamental. La plupart des candidats qui obtiennent des scores constamment supérieurs au seuil de réussite lors des examens pratiques réussissent dès leur première tentative.
La plupart des candidats ont besoin de 30 à 80 heures d'étude réparties sur 3 à 6 semaines pour les examens de niveau fondamental. Le temps nécessaire pour réussir varie considérablement en fonction de l'expérience antérieure. Les ingénieurs ayant une expérience pratique en production avec la technologie sous-jacente en ont généralement besoin de moins ; les candidats novices sur la plateforme devraient viser la limite supérieure de cette fourchette.
KCSA est une certification reconnue dans l'écosystème Kubernetes et signale des connaissances validées aux employeurs, recruteurs et clients. Sa valeur en termes de temps et de coût dépend de votre rôle et de vos objectifs — elle est la plus avantageuse pour les ingénieurs cloud, architectes et consultants qui travaillent quotidiennement avec Kubernetes ou souhaitent évoluer vers des rôles similaires.
Le score de réussite pour le KCSA est de 75%. L'examen contient 60 questions et dure 1 h 30 min.
Les frais d'examen KCSA sont de $250 USD. Les frais sont fixés par Kubernetes et peuvent varier selon la région ; confirmez toujours le prix actuel sur la page de certification officielle de Kubernetes avant de réserver.
Les certifications CNCF / Kubernetes sont valides pendant 2 ans. Renouvelez-les en repassant la version actuelle de l'examen ; le renouvellement prolonge la validité de 2 ans supplémentaires à compter de la nouvelle date de réussite.
Oui, les certifications Kubernetes sont uniquement passées en ligne — il n'y a pas de centres d'examen physiques. L'examen se déroule dans un navigateur sécurisé et supervisé ; vous aurez besoin d'une pièce calme et privée, d'une webcam, d'un microphone, d'une connexion haut débit stable et d'une pièce d'identité officielle avec photo.
CertLabPro propose 15 modes d'étude à travers la banque de questions pratiques pour le KCSA. Le mode de simulation d'examen reproduit l'examen réel : 60 questions en 1 h 30 min, avec le même seuil de réussite de 75%. Le mode navigation vous permet de lire chaque Q&A de manière statique.