KCNA, KCSA, CKA, CKAD ou CKS : quelle certification Kubernetes choisir ?

La CNCF propose 5 certifications Kubernetes, pas 3. Deux certifications associate à choix multiples (KCNA, KCSA), deux certifications professionnelles pratiques (CKA, CKAD) et une certification spécialiste pratique (CKS). Ce guide vous aide à choisir en fonction de votre profil, à comprendre les différences entre les examens et à identifier le parcours adapté à votre objectif.

Ce que vous allez apprendre

• Les 5 certifications Kubernetes CNCF et leurs différences de niveau, format et public
• Le tableau comparatif complet : KCNA, KCSA, CKA, CKAD, CKS
• L’ordre de passage recommandé selon votre profil
• Les recouvrements et spécificités entre CKA, CKAD et CKS
• Le parcours Kubestronaut et le programme de renouvellement

Vue d’ensemble des 5 certifications

Le parcours certification Kubernetes CNCF se structure en trois niveaux :

Associate (fondations)

• KCNA (Kubernetes and Cloud Native Associate) : valide les fondamentaux Kubernetes et l’écosystème cloud native. QCM théorique, pas de ligne de commande.
• KCSA (Kubernetes and Cloud Native Security Associate) : valide les fondamentaux de sécurité cloud native et Kubernetes. QCM théorique également.

Ces deux certifications posent les bases. Elles ne sont pas obligatoires pour passer les suivantes, mais elles structurent les connaissances et facilitent la suite.

Professional (pratique)

• CKA (Certified Kubernetes Administrator) : valide l’administration de cluster — installation, configuration, maintenance, troubleshooting. Examen 100% pratique en ligne de commande.
• CKAD (Certified Kubernetes Application Developer) : valide le développement applicatif sur Kubernetes — packaging, déploiement, configuration, observabilité. Examen 100% pratique en ligne de commande.

Specialist (avancé)

• CKS (Certified Kubernetes Security Specialist) : valide la sécurité avancée de cluster et workloads. Examen 100% pratique. Nécessite d’avoir réussi la CKA.

Comparatif global

Critère	KCNA	KCSA	CKAD	CKA	CKS
Niveau	Associate	Associate	Professional	Professional	Specialist
Focus	Fondamentaux K8s + cloud native	Fondamentaux sécurité cloud native	Développement applicatif	Administration de cluster	Sécurité avancée
Format	QCM	QCM	Pratique (CLI)	Pratique (CLI)	Pratique (CLI)
Durée	90 min	90 min	2 h	2 h	2 h
Prix	250 $	250 $	445 $	445 $	445 $
Reprise incluse	Oui	Oui	Oui	Oui	Oui
Validité	2 ans	2 ans	2 ans	2 ans	2 ans
Prérequis	Aucun	Aucun	Aucun	Aucun	CKA requise
Public cible	Débutants, reconversion, profils généralistes	Débutants sécurité, DevSecOps junior	Développeurs, DevOps applicatif	Admins, SRE, DevOps	DevSecOps, SRE sécurité
Doc pendant l’examen	Non	Non	kubernetes.io	kubernetes.io	kubernetes.io

Glissez pour voir

Deux formats d'examen distincts

KCNA et KCSA sont des examens à choix multiples (QCM) en ligne, supervisés. Vous répondez à des questions théoriques sans toucher à un cluster.

CKA, CKAD et CKS sont des examens 100% pratiques : vous résolvez des problèmes réels sur un cluster en ligne de commande. La documentation officielle Kubernetes est accessible pendant ces examens.

CKS nécessite CKA

La CKS est la seule certification qui impose un prérequis d’examen : vous devez avoir réussi la CKA pour pouvoir tenter la CKS. La CKA n’a pas besoin d’être encore active au moment du passage.

Versions d'examen

Les environnements d’examen CKA, CKAD et CKS suivent les versions récentes de Kubernetes. Vérifiez la page officielle de chaque certification avant votre inscription pour connaître la version exacte.

Décision rapide

Votre situation	Certification recommandée
Je découvre Kubernetes et le cloud native	KCNA
Je veux une base sécurité cloud native sans viser l’admin avancée	KCSA
Je déploie des applications sur Kubernetes	CKAD
J’administre des clusters en production	CKA
Je suis DevOps et mon quotidien est infra/ops	CKA
Je suis DevOps et mon quotidien est applicatif	CKAD
Je sécurise cluster et workloads (niveau avancé)	CKA puis CKS
Je suis security engineer pas encore admin K8s confirmé	KCSA → CKA → CKS
Je vise le titre Kubestronaut	KCNA + KCSA + CKA + CKAD + CKS

Glissez pour voir

KCNA n'est pas obligatoire, mais c'est un excellent point d'entrée

Aucune des certifications associate n’est requise pour tenter CKA ou CKAD. Mais si vous débutez, la KCNA structure vos connaissances de l’écosystème cloud native et vous évite de découvrir Kubernetes et la certification pratique en même temps.

Quel ordre de passage ?

Il n’y a pas d’ordre imposé (sauf CKS après CKA), mais voici la progression la plus cohérente :

1. KCNA — Poser les fondations Kubernetes et cloud native
2. KCSA — Ajouter le socle sécurité cloud native
3. CKA si votre axe principal est l’administration, ou CKAD si c’est l’applicatif
4. L’autre certification professionnelle (CKA ou CKAD) pour élargir le spectre
5. CKS après CKA pour la sécurité avancée

Vous pouvez sauter les étapes 1-2 si vous avez déjà de l’expérience Kubernetes. Vous pouvez aussi ne viser que CKA ou CKAD si votre objectif est précis.

KCSA n'est pas la version facile de CKS

La KCSA est une certification associate qui valide les fondamentaux théoriques de la sécurité cloud native (contrôles, menaces, conformité). La CKS est un examen pratique avancé qui exige de sécuriser un cluster en ligne de commande. Ce sont deux niveaux différents, pas deux versions du même examen.

Parcours Kubestronaut

Le programme Kubestronaut de la CNCF reconnaît les personnes ayant obtenu les 5 certifications Kubernetes :

KCNA + KCSA + CKA + CKAD + CKS

Toutes doivent être actives simultanément pour obtenir ou conserver le titre. L’ordre de passage est libre (sauf CKS après CKA).

Renouvellement automatique (programme CARE)

La CNCF a introduit un programme de renouvellement automatique : la KCNA est renouvelée automatiquement quand vous passez ou renouvelez la CKA ou la CKAD, et la KCSA est renouvelée automatiquement quand vous passez ou renouvelez la CKS. Un bon argument pour commencer par les certifications associate.

Quelle certification selon votre profil ?

Débutant

Parcours débutant

1. Commencez par KCNA — Structure vos connaissances fondamentales (QCM, pas de terminal)
2. Pratiquez sur un cluster local — Minikube, Kind ou K3s
3. Visez ensuite CKA ou CKAD selon votre orientation (admin ou applicatif)

La KCNA couvre le vocabulaire Kubernetes, l’écosystème CNCF, les principes cloud native et l’observabilité. Elle vous prépare sans stress de ligne de commande.

Développeur

Parcours développeur

1. Visez CKAD — La plus alignée avec votre quotidien applicatif
2. Approfondissez les Deployments — Rolling updates, rollbacks, scaling
3. Maîtrisez la configuration — ConfigMaps, Secrets, variables d’environnement
4. Pratiquez les raccourcis kubectl — La vitesse fait la différence

Après la CKAD : CKA si vous évoluez vers un rôle DevOps/SRE, ou KCSA puis CKS si vous vous orientez DevSecOps.

Ops / DevOps

Parcours Ops / DevOps

Si votre quotidien est infra et opérations :

1. Visez CKA — Installation, troubleshooting, maintenance de cluster
2. Focalisez sur le troubleshooting — 30% de l’examen CKA
3. Maîtrisez kubeadm — Installation, upgrade, backup etcd
4. Comprenez le réseau — Services, DNS, Network Policies

Si votre quotidien est plutôt applicatif :

1. Visez CKAD — Déploiement, configuration, observabilité applicative
2. Complétez ensuite avec CKA pour la partie infrastructure

Après CKA : la CKS est l’évolution naturelle si la sécurité vous intéresse.

Security Engineer

Parcours Security Engineer

1. KCSA d’abord si vous n’avez pas encore de base structurée en sécurité K8s
2. CKA obligatoire — Prérequis pour la CKS
3. CKS — Pendant que la CKA est fraîche
4. Approfondissez supply chain et runtime — Les deux gros blocs de la CKS

Stratégie optimale : préparez CKA et CKS en parallèle, passez CKA, puis CKS dans les 2-3 mois suivants.

Profil polyvalent

Parcours polyvalent

1. KCNA pour les fondations (optionnel si vous avez déjà de l’expérience)
2. CKA — La plus complète côté plateforme
3. Complétez avec les sujets CKAD — Probes, init containers, rolling updates
4. KCSA puis CKS si la sécurité devient prioritaire

La CKA couvre une partie des sujets CKAD (Pods, Deployments, Services, ConfigMaps), mais la CKAD va plus loin sur le packaging applicatif, la vitesse d’exécution et l’exposition des applications.

Recouvrements entre CKAD, CKA et CKS

Les trois examens pratiques partagent des sujets communs, mais avec des angles différents :

Sujet	CKAD	CKA	CKS	Lecture rapide
Pods / Deployments	●	◐	◐	CKAD les construit, CKA les opère, CKS les sécurise
Services / réseau	●	●	◐	Sujet commun, angle différent
ConfigMaps / Secrets	●	◐	●	CKAD les consomme, CKS les protège
RBAC / ServiceAccounts	○	◐	●	Orientation sécurité pour CKS
Troubleshooting	◐	●	◐	CKA domine clairement (30% de l’examen)
Storage (PV/PVC)	◐	●	○	Surtout CKA
Probes / observabilité	●	◐	◐	CKAD approfondit
Network Policies	◐	●	●	CKA et CKS
Hardening / runtime	○	○	●	Exclusivement CKS
Supply chain	○	○	●	Exclusivement CKS

Glissez pour voir

Légende : ● Fort (sujet majeur) | ◐ Moyen (couvert mais pas dominant) | ○ Faible ou absent

Ce que CKAD, CKA et CKS ont en commun

Quel que soit l’examen pratique, vous aurez besoin de :

• Maîtriser kubectl et la génération de manifests YAML
• Savoir naviguer rapidement dans la documentation officielle
• Diagnostiquer des problèmes en temps limité
• Travailler exclusivement en ligne de commande

---

CKA — Certified Kubernetes Administrator

La CKA valide vos compétences d’administrateur de cluster. Vous devez savoir installer, configurer, maintenir et dépanner un cluster Kubernetes en production.

Domaines d’examen CKA

Domaine	Pondération	Ce qui est évalué
Cluster Architecture	25%	Composants, installation kubeadm, upgrades
Workloads & Scheduling	15%	Deployments, ConfigMaps, Secrets, scaling
Services & Networking	20%	Services, Ingress, Network Policies, DNS
Storage	10%	PV, PVC, StorageClass
Troubleshooting	30%	Logs, événements, diagnostic de pannes

Glissez pour voir

30% de troubleshooting

Le diagnostic de pannes représente presque un tiers de l’examen. Entraînez-vous à identifier pourquoi un Pod ne démarre pas, pourquoi un Service ne répond pas, pourquoi un nœud est NotReady.

Ce que la CKA n’est pas

• Une certification de développement applicatif — c’est le rôle de la CKAD
• Une certification de sécurité approfondie — c’est le rôle de la CKS
• Un examen théorique sur l’architecture Kubernetes — c’est le rôle de la KCNA

Parcours de préparation CKA

Architecture Kubernetes Control Plane, Worker Nodes, composants

Installation avec kubeadm Cluster production multi-nœuds

Débugger une application kubectl logs, describe, debug

RBAC Contrôle d'accès basé sur les rôles

Network Policies Pare-feu interne au cluster

Volumes persistants PV, PVC, StorageClass

etcd Backup et restore du cluster

Services ClusterIP, NodePort, LoadBalancer

Hub préparation CKA Programme semaine par semaine

Commandes essentielles CKA Les commandes à connaître le jour J

Exercices CKA Mises en situation chronométrées

---

CKAD — Certified Kubernetes Application Developer

La CKAD valide vos compétences de développeur d’applications sur Kubernetes. L’objectif : savoir packager, déployer et configurer vos applications pour qu’elles tournent correctement sur K8s.

Domaines d’examen CKAD

Domaine	Pondération	Ce qui est évalué
Application Design & Build	20%	Dockerfiles, multi-container Pods, init containers
Application Deployment	20%	Deployments, rolling updates, Helm
Application Observability	15%	Probes, logs, debugging
Application Environment	25%	ConfigMaps, Secrets, ServiceAccounts, resources
Services & Networking	20%	Services, Ingress, Network Policies

Glissez pour voir

Efficacité requise

La CKAD demande de la vitesse. Maîtrisez les raccourcis impératifs : kubectl run, kubectl create deployment, kubectl expose, --dry-run=client -o yaml.

Ce que la CKAD n’est pas

• Une certification d’installation de cluster — c’est le rôle de la CKA
• Une certification de hardening ou de sécurité avancée — c’est le rôle de la CKS
• Un examen sur l’architecture interne de Kubernetes

Parcours de préparation CKAD

Pods L'unité de base de Kubernetes

Deployments Rolling updates, rollbacks, scaling

ConfigMaps Configuration non-sensible

Secrets Données sensibles

Probes Liveness, Readiness, Startup

Init Containers et Sidecars Multi-container Pods

Rolling Updates et Rollbacks Déploiements sans interruption

Requests et Limits Gestion des ressources

Volumes applicatifs emptyDir, ConfigMap, Secret

Services Exposition réseau

Ingress Routage HTTP/HTTPS

Helm Packager vos applications

Hub préparation CKAD Programme semaine par semaine

Commandes essentielles CKAD Les commandes à connaître le jour J

Exercices CKAD Mises en situation chronométrées

---

CKS — Certified Kubernetes Security Specialist

La CKS est la certification sécurité avancée. Elle suppose que vous maîtrisez déjà l’administration Kubernetes (CKA) et vous demande de sécuriser le build, le déploiement et l’exécution des workloads.

Prérequis obligatoire

Vous devez avoir réussi la CKA pour passer la CKS. La CKA n’a pas besoin d’être encore active au moment de l’examen CKS.

Domaines d’examen CKS

Domaine	Pondération	Ce qui est évalué
Cluster Setup	10%	Network Policies, CIS benchmarks, Ingress sécurisé
Cluster Hardening	15%	RBAC, Service Accounts, restriction des API
System Hardening	15%	OS hardening, réduction de la surface d’attaque
Minimize Microservice Vulnerabilities	20%	SecurityContext, Pod Security, secrets
Supply Chain Security	20%	Scan d’images, signature, admission controllers
Monitoring, Logging, Runtime Security	20%	Audit logs, détection d’anomalies, Falco

Glissez pour voir

Ce que la CKS n’est pas

• Une première certification Kubernetes (CKA requise)
• Une “CKA avec quelques questions de sécurité”
• Un examen théorique sur les concepts de sécurité — c’est le rôle de la KCSA

La CKS ne teste pas votre capacité à administrer Kubernetes depuis zéro. Elle suppose ce socle et vous demande de sécuriser le build, le déploiement et l’exécution.

Parcours de préparation CKS

Cluster Setup & Hardening (Semaines 1-2) :

RBAC Contrôle d'accès basé sur les rôles

ServiceAccounts pour développeurs Identité des Pods et tokens

Network Policies Segmentation réseau

SecurityContext Privilèges et capabilities

CIS Benchmark Audit de conformité du cluster

Pod Security Standards Restricted, Baseline, Privileged

Workload Security & Supply Chain (Semaines 3-4) :

Secrets Gestion sécurisée des secrets

Admission Controllers Validation et mutation des requêtes API

Validating Admission Policy Politiques natives sans webhook

Supply Chain Security SBOM, signature, provenance

Image Scanning Scanner les images avant déploiement

Trivy Scanner de vulnérabilités images

Runtime Security & Monitoring (Semaines 5-6) :

AppArmor Profils de confinement applicatif

Audit Logs Traçabilité des actions sur l'API

Falco Détection d'anomalies runtime

Kyverno Policies as Code

Gatekeeper (OPA) Policies avec Open Policy Agent

Sécuriser Kubernetes Vue d'ensemble hardening

Hub préparation CKS Programme semaine par semaine

Commandes essentielles CKS Les commandes à connaître le jour J

Exercices CKS Mises en situation chronométrées

---

Conseils de préparation (CKA, CKAD, CKS)

Les conseils suivants s’appliquent aux trois examens pratiques. Pour les certifications associate (KCNA, KCSA), consultez leurs hubs de préparation dédiés.

3 mois avant

Phase de préparation

1. Pratiquez quotidiennement — 30 minutes/jour valent mieux que 4h le week-end
2. Utilisez un cluster local — Minikube, Kind ou K3s pour expérimenter
3. Suivez les guides de cette formation — Ils couvrent les domaines d’examen
4. Chronométrez-vous — L’examen est court, la vitesse compte

Ressources recommandées :

• Killer.sh — Simulateur d’examen (inclus avec l’inscription)
• KodeKloud — Labs interactifs
• TP Kubernetes sur GitHub

Le jour J

Pendant l’examen

• Lisez bien l’énoncé — Chaque mot compte (namespace, nom exact, labels)
• Utilisez la doc officielle — Vous y avez accès, copiez les YAML
• Ne bloquez pas — Passez et revenez après
• Vérifiez vos réponses — Un kubectl get rapide pour confirmer
• Gérez votre temps — Gardez 10-15 minutes pour relire

Commandes essentielles

# Génération rapide de manifests
kubectl run nginx --image=nginx --dry-run=client -o yaml > pod.yaml
kubectl create deployment nginx --image=nginx --dry-run=client -o yaml

# Exploration de l'API
kubectl explain pod.spec.containers
kubectl explain deployment.spec.strategy

# Exposition de services (adaptez le type à l'énoncé)
kubectl expose deployment nginx --port=80

# Alias recommandés
alias k=kubectl
export do="--dry-run=client -o yaml"

Après l'examen

Résultats et suite

Résultats : Vous recevez vos résultats par email (généralement sous 24h).

Si vous réussissez :

• Badge Credly à afficher sur LinkedIn
• Certification valide 2 ans
• Accès à la communauté des certifiés

Si vous échouez :

• Une reprise gratuite incluse dans le prix
• Analysez vos points faibles (domaines notés séparément)
• Refaites les labs sur Killer.sh avant de retenter

---

À retenir

Question	Réponse
Je découvre Kubernetes ?	KCNA (QCM, fondations, 90 min)
Je veux une base sécurité ?	KCSA (QCM, sécurité fondamentale, 90 min)
Développeur applicatif ?	CKAD (pratique, 2h)
Admin / SRE / DevOps ?	CKA (pratique, 2h)
Sécurité avancée ?	CKA puis CKS (pratique, 2h)
Validité ?	2 ans pour les 5 certifications
Seul prérequis d’examen ?	CKS nécessite CKA
Format QCM ?	KCNA, KCSA
Format pratique (CLI) ?	CKA, CKAD, CKS
Kubestronaut ?	KCNA + KCSA + CKA + CKAD + CKS (les 5 actives)

Glissez pour voir

---

Liens officiels CNCF

• KCNA — Kubernetes and Cloud Native Associate
• KCSA — Kubernetes and Cloud Native Security Associate
• CKA — Certified Kubernetes Administrator
• CKAD — Certified Kubernetes Application Developer
• CKS — Certified Kubernetes Security Specialist
• Programme Kubestronaut
• Programme de certification CNCF

---

Prochaines étapes

Préparation KCNA Hub complet de préparation KCNA

Préparation KCSA Hub complet de préparation KCSA

Préparation CKA Programme, commandes, exercices CKA

Préparation CKAD Programme, commandes, exercices CKAD

Préparation CKS Programme, commandes, exercices CKS

Examen interactif Testez vos connaissances

TP Kubernetes Exercices pratiques sur GitHub

×

📖 Voir la documentation →