CertQuests
CKA vs CKS — Kubernetes Admin ou Security ?
Quelle cert Kubernetes passer après l'autre, et dans quel ordre
Comparatif clair, sans bullshit — décide en 5 minutes laquelle correspond à ton profil.
TL;DRCKA = la cert qui t'embauche en Platform/SRE. CKS = celle qui te fait monter en TJM ou en seniorité une fois CKA + 1-2 ans de cluster prod. Tu ne peux pas passer la CKS sans CKA, donc l'ordre est imposé. Vise la CKA d'abord, la CKS 12-18 mois plus tard si ton poste glisse vers la sécurité.
Comparatif rapide
| Certified Kubernetes AdministratorCNCF / Linux Foundation | Certified Kubernetes Security SpecialistCNCF / Linux Foundation | |
|---|---|---|
| Code examen | CKA | CKS |
| Prix examen | 395$ | 395$ |
| Heures d’étude | ~150h | ~150h |
| Questions banque CertQuests | 61 Q → | 61 Q → |
| Salaire médian senior FR | 72k€ détails → | — |
| Difficulté | advanced | advanced |
Pour qui chacune ?
Certified Kubernetes Administrator
CNCF / Linux Foundation · CKA
Tu vises Platform Engineer / SRE / DevOps avec responsabilité cluster. C'est ta première cert k8s, point final.
- La cert Kubernetes de base attendue partout : Platform / SRE / DevOps cluster.
- Salaire médian senior 72k€ en France, 88k€ au Luxembourg (Hays 2026).
- Format hands-on (lab live, terminal réel) — pas de QCM, tu fais du vrai k8s.
- Pré-requis officiel et de facto pour la CKS (la Linux Foundation refuse de t'inscrire à la CKS sans CKA valide).
- Très technique : étcd, control plane, networking CNI, kubeadm, troubleshooting cluster en 2h.
- 395$ d'inscription, ~80-120h de prep réaliste si tu n'as pas géré de cluster en prod.
- Ne couvre pas les sujets sécurité avancés (Pod Security Standards, runtime security, supply chain) — c'est exactement le scope de la CKS.
Certified Kubernetes Security Specialist
CNCF / Linux Foundation · CKS
Tu es déjà CKA + 1-2 ans de cluster prod, et tu glisses vers Cloud Security Engineer, Platform Security ou DevSecOps cluster.
- La seule cert sécurité k8s reconnue mondialement — différenciation forte sur LinkedIn et CV cyber/cloud.
- Couvre tout le pipeline : Pod Security Standards, NetworkPolicy, RBAC fin, secrets, OPA/Gatekeeper, Falco, image signing (Cosign), SBOM, audit logs.
- Très demandée par les fintechs, banques, et toute boîte qui passe ISO 27001 / SOC 2 sur du Kubernetes.
- Hands-on lab comme la CKA — pas de bachotage, tu durcis vraiment un cluster.
- Pré-requis CKA obligatoire : tu paies 2 × 395$ minimum pour arriver à la CKS.
- Examen plus court mais plus dense (2h, ~15-20 tâches qui mélangent ops + sécurité).
- Le marché Platform Engineer pur ne te demandera pas la CKS — c'est un bonus, pas un prérequis poste.
- Outils tiers (Falco, Trivy, OPA, Cilium) à connaître au-delà de Kubernetes lui-même : la prep dépasse la doc officielle.
Le verdict, par profil
Pas un palmarès — chaque profil a une cert qui colle mieux. Trouve le tien.
Tu débutes en Kubernetes (jamais géré un cluster en prod).
La CKS suppose acquis tout le scope de la CKA — control plane, networking CNI, kubectl avancé. Sans ces fondations tu coules en 30 minutes. Et la Linux Foundation refuse de t'inscrire à la CKS sans CKA active de toute façon.
Tu es déjà CKA depuis 1-2 ans et tu cherches une cert pour faire monter ton TJM ou ton salaire.
La CKS est la suite logique : peu de candidats l'ont (rareté = prime), elle ouvre les missions banque/fintech/santé qui paient le plus, et elle complète parfaitement la CKA sans la dupliquer.
Tu vises un rôle Platform Engineer / SRE généraliste.
La CKA suffit pour 90% des annonces Platform/SRE. La CKS est un bonus apprécié mais aucun recruteur ne refuse un CKA qualifié parce qu'il n'a pas la CKS.
Tu vises un rôle Cloud Security Engineer / DevSecOps / Security Architect.
C'est la cert qui prouve que tu sais durcir un cluster réel — Pod Security Standards, NetworkPolicy, OPA, image signing, runtime detection. Un CISSP ou un Security+ ne te donne pas cette crédibilité hands-on k8s.
Tu travailles dans une boîte qui passe ISO 27001 ou SOC 2 sur ses workloads k8s.
Les audits ISO/SOC 2 exigent des contrôles concrets : Pod Security Standards, NetworkPolicy par défaut, audit logs activés, scan d'images, secrets managés. La CKS te donne exactement le vocabulaire et les patterns que l'auditeur attend de voir.
Tu veux le 'trifecta' CKA + CKAD + CKS.
Ordre canonique : CKA → CKAD (en 1-2 mois après, courbe douce) → CKS (en 3-6 mois après, le boss final). La CKS suppose la CKA, la CKAD est un détour utile mais pas bloquant. Faire CKS avant CKAD est OK.
Tu hésites parce que ton budget formation est limité à 395$ cette année.
La CKA t'embauche, la CKS t'augmente une fois embauché. Et tu n'as pas le choix : tu DOIS commencer par la CKA, c'est un pré-requis administratif et technique de la CKS. Garde 395$ pour la CKS dans 12-18 mois.