Cloud Security Expert
Certification européenne validant la maîtrise de la sécurisation des environnements cloud multi-providers (AWS, Azure, GCP) et la conformité réglementaire.
Compétences clés
- ✓Architecture sécurisée multi-cloud (AWS, Azure, GCP)
- ✓Gestion des identités et accès (IAM, Zero Trust)
- ✓Chiffrement, gestion des secrets et PKI
- ✓Conformité RGPD, NIS2, ISO 27017/27018
- ✓Détection et réponse aux incidents cloud (CSPM, CWPP)
- ✓Sécurisation des conteneurs et Kubernetes
- ✓Audit de sécurité et posture management
Équivalences de marché
Cette certification PROVA couvre le périmètre de compétences attendu par les certifications suivantes :
Est-ce fait pour vous ?
✓ Cette certification est faite pour vous si :
- →Ingénieurs sécurité cloud et cybersécurité
- →Architectes cloud et solutions architects
- →DevSecOps engineers et SRE
- →SOC analysts spécialisés cloud
- →Consultants en sécurité cloud
✗ Cette certification n'est pas adaptée si :
- →Débutants sans expérience en sécurité ou cloud : orientez-vous d'abord vers PROVA Cloud Foundations (niveau 4) pour acquérir les bases.
- →Experts avec 7+ ans cherchant validation senior : envisagez plutôt PROVA Cloud Security Architect (Master 801) pour architecture avancée et gouvernance stratégique.
Prérequis & conditions d'accès
Expérience de 2 ans en sécurité informatique ou administration cloud recommandée, connaissances réseau et systèmes requises.
Options d'achat
Voucher d'examen, parcours LMS, packs économiques — composez votre panier
Options d'achat
Composez votre parcours — voucher d'examen, préparation LMS, packs entreprise.
Compétences évaluées
Architecture Zero Trust
Conception et déploiement d'architectures cloud basées sur les principes Zero Trust avec micro-segmentation et contrôle d'accès granulaire.
Conformité européenne
Maîtrise des référentiels RGPD, NIS2, DORA et implémentation des contrôles de sécurité pour la souveraineté des données.
DevSecOps cloud
Intégration de la sécurité dans les pipelines CI/CD avec scanning automatisé, IaC sécurisé et shift-left security.
Réponse aux incidents
Détection, investigation et remédiation des menaces cloud avec SIEM, EDR cloud-native et forensics distribué.
Format de l'examen
Programme
Fondamentaux de la sécurité cloud
Modèles de responsabilité partagée selon les types de services (IaaS, PaaS, SaaS, FaaS). Principes de sécurité cloud-native : élasticité, immutabilité, API-first. Framework Cloud Security Alliance (CSA) : domaines CCM v4. Référentiels NIST SP 800-53, 800-144, 800-145 pour le cloud computing. Différences entre datacenter traditionnel et cloud : surface d'attaque, modèle de menaces. Architectures multi-cloud et hybrid-cloud : enjeux de sécurité et complexité. Souveraineté des données et choix de régions.
Gestion des identités et accès (IAM)
IAM AWS : users, groups, roles, policies (managed vs inline), permission boundaries, SCP (Service Control Policies), conditions avancées. Azure AD / Entra ID : users, groups, service principals, managed identities, conditional access, PIM (Privileged Identity Management). GCP IAM : members, roles (primitive, predefined, custom), service accounts, workload identity federation. Fédération d'identités : SAML 2.0, OAuth 2.0, OpenID Connect, intégration avec IdP d'entreprise. Authentification multi-facteurs (MFA) : TOTP, U2F, WebAuthn, FIDO2. Zero Trust et principe du moindre privilège. PAM (Privileged Access Management) pour le cloud : CyberArk, BeyondTrust, solutions natives. Audit des permissions : AWS IAM Access Analyzer, Azure AD Access Reviews, GCP Policy Analyzer.
Sécurité réseau et périmètre cloud
VPC AWS et VNet Azure : subnets, routing tables, internet/NAT gateways. Security Groups vs Network ACLs : stateful vs stateless, règles entrantes/sortantes. VPC peering, Transit Gateway, VPN site-to-site et client. Azure Virtual WAN et hub-spoke topology. GCP VPC : shared VPC, VPC peering, Cloud Interconnect. Segmentation réseau et micro-segmentation : principes Zero Trust Network Access. Firewall managés : AWS Network Firewall, Azure Firewall, GCP Cloud Armor. WAF (Web Application Firewall) : AWS WAF, Azure WAF, règles OWASP Top 10. Protection DDoS : AWS Shield, Azure DDoS Protection, GCP Cloud Armor. Private endpoints / PrivateLink pour exposition sécurisée des services. Service mesh (Istio, Linkerd) : mTLS, traffic management, observabilité.
Comment financer votre certification
3 solutions pour couvrir le coût de votre certification
OPCO — Prise en charge employeur
Demandez à votre employeur une prise en charge via votre OPCO (plan de développement des compétences).
Personnel — 450€ TTC
Paiement en ligne sécurisé par carte bancaire (Stripe).
Tarif entreprise : 585€ HT
Questions fréquentes
Cette certification couvre-t-elle les trois principaux cloud providers ?
Oui, le référentiel couvre AWS, Azure et GCP de manière équilibrée. L'examen évalue votre capacité à appliquer les principes de sécurité cloud de manière agnostique tout en maîtrisant les spécificités de chaque provider. Environ 60% des questions sont multi-cloud, 40% portent sur des services spécifiques.
Quelle est la différence avec les certifications AWS Security Specialty ou Azure Security Engineer ?
Contrairement aux certifications mono-provider américaines, PROVA Cloud Security Expert adopte une approche multi-cloud et européenne. Nous mettons l'accent sur la conformité RGPD/NIS2, la souveraineté des données et les architectures hybrides. Vous êtes évalué sur votre capacité à sécuriser des environnements hétérogènes, pas à mémoriser la syntaxe d'un seul provider.
Dois-je avoir des comptes actifs sur AWS, Azure et GCP pour passer l'examen ?
Non. L'examen est théorique et basé sur des cas pratiques simulés. Cependant, une expérience pratique sur au moins un des trois providers est fortement recommandée pour réussir. Le parcours LMS inclut des labs guidés optionnels avec environnements éphémères.
La certification aborde-t-elle la sécurité des environnements serverless ?
Oui, la sécurité serverless (Lambda, Azure Functions, Cloud Functions) est couverte dans le module sur la sécurité applicative cloud, incluant les bonnes pratiques d'IAM pour fonctions, la gestion des dépendances, le cold start security et l'intégration avec API Gateway.
Comment se déroule la recertification après 3 ans ?
La recertification nécessite soit de repasser l'examen complet (version actualisée), soit d'accumuler 60 crédits de formation continue via des modules PROVA Learn, webinaires techniques ou contributions open-source validées. Le cloud évoluant rapidement, nous privilégions la mise à jour continue des compétences.
Ils se sont certifiés
« Après AWS Security Specialty, cette certification m'a permis de combler mes lacunes sur Azure et GCP. L'approche multi-cloud est exactement ce dont j'avais besoin pour mon poste. Les cas pratiques sur la conformité RGPD sont particulièrement pertinents pour le marché européen. »
« Enfin une certification qui ne se contente pas de réciter la documentation d'un seul provider ! Les modules sur NIS2 et la souveraineté des données m'ont directement servi sur un projet client. Le rapport PROVA DNA est un vrai plus pour identifier mes axes d'amélioration. »
« J'ai apprécié la profondeur technique sur Kubernetes security et la gestion des secrets. L'examen est exigeant mais juste, il évalue vraiment la compréhension et pas juste la mémorisation. Les 90 minutes passent vite, préparez-vous bien sur les cas pratiques d'investigation. »
Reconnaissance internationale
Couvre les domaines combinés de AWS Certified Security Specialty, Azure Security Engineer Associate et CCSP (Certified Cloud Security Professional), avec focus renforcé sur conformité européenne RGPD/NIS2.
AWS est une marque déposée d'Amazon Web Services. Azure est une marque déposée de Microsoft Corporation. CCSP et ISC2 sont des marques déposées de (ISC)². PROVA est indépendant et non affilié à ces organisations.
Votre parcours de certification
Avant, pendant, après — la progression logique recommandée
Droits du candidat
Transparence
Les critères de décision et le barème sont documentés et accessibles avant l'examen.
Droit d'appel
Toute décision peut être contestée dans les 30 jours. Examen par un tiers indépendant.
Plainte
Toute personne peut signaler un dysfonctionnement. Formulaire public accessible sans compte.