Ne découvrez pas l'examen
le jour J

Réponse : Augmente la disponibilité de l’application.
Explication : Répliquer sur plusieurs AZ protège des pannes locales et maximise la disponibilité.

Réponse : AWS CloudFormation. Explication : AWS CloudFormation est le service natif d'infrastructure en tant que code (IaC) d'AWS. Il vous permet de définir et d'approvisionner l'infrastructure AWS à l'aide de modèles YAML ou JSON, permettant des déploiements reproductibles et cohérents avec détection de dérives.

Réponse : AWS Direct Connect et AWS VPN.
Explication : Direct Connect et VPN sont utilisés pour connecter de manière sécurisée des réseaux sur site au cloud AWS dans une architecture hybride.

Réponse : Automatiser autant que possible pour faciliter l’expérimentation architecturale.
Explication : L’automatisation sur AWS permet de tester rapidement différentes architectures, favorisant l’innovation et la robustesse.

Réponse : AWS CloudTrail.
Explication : AWS CloudTrail consigne tous les appels d’API et accès sur les ressources AWS du compte.

Réponse : Sécurité. Explication : Le pilier Sécurité du cadre AWS Well-Architected couvre la protection des informations, systèmes et actifs par le biais d'évaluations des risques et de contrôles de sécurité. Il comprend IAM, les contrôles détectifs, la protection de l'infrastructure, la protection des données et la réaction aux incidents.

Réponse : Ressources élastiques / Réduction des coûts.
Explication : AWS permet d’adapter dynamiquement les ressources (élasticité) et de remplacer les gros investissements (capex) par des coûts variables plus faibles (opex).

Réponse : Éliminer le besoin d’anticiper la capacité / Transformer le CAPEX en OPEX.
Explication : AWS permet d’ajuster les ressources à la demande, sans surprovisionner, et de remplacer l’investissement lourd par des frais d’usage.

Réponse : Permettre de bâtir des architectures hautement disponibles et résilientes.
Explication : Disposer de plusieurs AZ permet de répartir les ressources et d’assurer la tolérance aux pannes et la haute disponibilité.

Réponse : Couplage faible (Loosely coupling).
Explication : Le couplage faible permet à chaque composant de fonctionner de manière indépendante, améliorant la résilience globale.

Le watermarking (tatouage numérique) dans le contexte GenAI consiste à intégrer des signaux imperceptibles dans les contenus générés (texte, image, audio) pour identifier leur origine IA. Il répond au problème de la désinformation et des deepfakes — permettre à des tiers de vérifier si un contenu a été généré par une IA spécifique. Des organismes comme le NIST et des réglementations (EU AI Act) encouragent son adoption. Amazon Bedrock Guardrails inclut des options de watermarking de contenu généré.

Augmenter le nombre d'époques : chaque époque expose le modèle à l'ensemble des données d'entraînement, permettant au gradient de converger progressivement vers de meilleurs minima locaux. Contrairement à réduire le batch (variance élevée) ou diminuer les époques (convergence incomplète), plus d'itérations stabilisent l'optimisation et améliorent directement l'exactitude jusqu'au seuil requis.

SageMaker Serverless Inference : service AWS qui abstraits la gestion d'infrastructure en provisionnant et scalant automatiquement les ressources de calcul selon la demande. Contrairement aux endpoints traditionnels (gestion manuelle d'instances EC2), il offre un modèle de facturation à la demande sans serveurs à maintenir.

Le biais en IA désigne des prédictions systématiquement incorrectes ou discriminatoires envers certains groupes (genre, ethnie, âge, etc.). Il survient principalement via les données d'entraînement qui reflètent des inégalités historiques ou sous-représentent certains groupes. Il peut aussi venir d'une mauvaise définition des métriques de performance ou d'un biais de sélection. Les biais dans un LLM pré-entraîné sur du texte internet reflètent les stéréotypes présents dans ce corpus.

Faux. La température influence la génération en inférence. L’exactitude s’améliore via données/époques/optimisation.

Le prompt engineering est l'art de formuler les instructions données à un LLM pour obtenir les résultats souhaités. Un bon prompt inclut le contexte, des exemples (few-shot), des contraintes de format et un rôle clair. C'est une compétence clé car elle permet d'améliorer significativement la qualité des réponses sans modifier le modèle ni engager des coûts de fine-tuning. Le RAG enrichit les données d'entrée ; le fine-tuning modifie les poids ; le prompt engineering agit uniquement sur la formulation.

Amazon Comprehend : service NLP managé spécialisé dans l'analyse textuelle. Il détecte automatiquement les sentiments (positif/négatif), identifie les langues, extrait les entités nommées (personnes, lieux, organisations) et analyse la syntaxe. Contrairement à Lex (chatbots), Polly (synthèse vocale) ou Transcribe (transcription audio), Comprehend traite exclusivement le texte déjà disponible pour en extraire des insights.

La température (temperature) contrôle la distribution de probabilité lors de la sélection du prochain token. Une température proche de 0 rend le modèle déterministe (toujours le token le plus probable). Une température élevée (1+) introduit plus d'aléatoire et de créativité. Top-P (nucleus sampling) filtre les tokens par probabilité cumulée. Max tokens limite la longueur. Stop sequences arrêtent la génération sur un signal. Pour du code ou des faits précis, utiliser temperature=0 ; pour de la créativité, temperature=0.7-1.0.

Agents Bedrock : orchestrent les appels aux FM avec des intégrations backend (bases de données, APIs). Permettent au LLM de raisonner, d'exécuter des actions (requêtes DB) et de synthétiser réponses contextuelles. Parfait pour assistant financier multi-système.

Génération de code : Les modèles fondations spécialisés en code (CodeLlama, Claude) via Bedrock génèrent syntaxe valide et patterns idomatiques. Intégration dans IDE ou pipelines CI/CD pour productivité développeurs accrue.

Scrum Master's Role with Product Owner: The Scrum Master facilitates effective Product Goal definition and backlog management techniques rather than making decisions. This coaching approach empowers the Product Owner while respecting their accountability. Unlike distractors (writing items, approving, prioritizing), the Scrum Master enables capability, not execution.

Sprint Review Purpose: The Sprint Review is a formal inspection event where the Scrum Team and stakeholders examine the completed Increment and discuss what to build next. This feedback loop enables the Product Owner to adapt the Product Backlog based on market changes, stakeholder input, and technical insights, ensuring the product evolves to meet actual needs rather than initial assumptions.

Transparency Pillar: Significant aspects of the process must be observable to stakeholders and team members, enabling informed decisions based on actual work state rather than assumptions, which is essential for empiricism in Scrum.

Scrum Master Flexibility: The Scrum Guide permits one Scrum Master to support multiple teams simultaneously. However, this arrangement risks diminishing effectiveness—each team receives less coaching and impediment removal. Context matters: smaller teams or experienced organizations may sustain this; larger or struggling teams typically need dedicated support for optimal Scrum implementation.

Scrum Master's Organizational Role: The Scrum Master serves the organization by leading and coaching it through Scrum adoption, helping teams and stakeholders understand Scrum principles and practices. This differs from operational tasks like sprint planning or budget management, which belong to other roles.

Scrum Guide Authorship: Ken Schwaber and Jeff Sutherland, Scrum's creators, are the official maintainers of the Scrum Guide. This ensures consistency and authority in Scrum's definition. The Guide is the single source of truth for Scrum practices, distinguishing it from other frameworks or interpretations.

Answer: Existing teams propose organization; developers self-organize into teams.
Explanation: Scrum values self-organization. Teams should form organically rather than being assigned by management. Letting existing teams propose structure or developers self-organize both respect Scrum's self-management principle.

Answer: An increment of working software that is done.
Explanation: The Development Team's deliverable is a Done Increment — working software that meets the Definition of Done. Documentation, partial features, or test plans alone are not valid Sprint deliverables.

Sprint Timebox: Sprints have a fixed duration (1-4 weeks) and end on schedule regardless of completion status. This predictability enables consistent planning and inspection. Unlike completion-based endings, fixed timeboxes prevent scope creep and enforce discipline. The Sprint Review and Retrospective follow, not precede, the Sprint's end.

Answer: True.
Explanation: The Sprint Backlog is freely detailed by the Developers to achieve the Sprint Goal — it can include technical tasks at any level of detail.

Answer: Re-work the selected Product Backlog items with the Developers to meet the Sprint Goal.
Explanation: When the Development Team forecasts they cannot complete all selected items, the PO collaborates with them to adjust scope while protecting the Sprint Goal. The Sprint Goal is the commitment; individual items can be renegotiated.

Empiricism is a foundational pillar of Scrum, meaning that knowledge comes from actual experience and real-world data rather than assumptions. Decisions in Scrum are made based on observation and experimentation through regular inspection and adaptation cycles, not predefined plans. Detailed upfront planning contradicts empiricism by assuming future predictability, a fixed process ignores Scrum's adaptive nature, and velocity forecasting is a tool that supports empiricism but does not define it.

Answer: Collaborate to define a Sprint Goal and clarify the content.
Explanation: The PO presents the objective of the product, proposes Sprint Goal(s), and collaborates with the team to clarify Product Backlog items and negotiate scope.

Answer: The Sprint Goal.
Explanation: The Sprint Goal is the single objective for the Sprint established during Sprint Planning. It gives the Development Team direction and flexibility in selecting how to achieve it.

Answer: Sprint Goal, selected PBIs, plan to deliver the Increment.
Explanation: The Sprint Backlog consists of the Sprint Goal (why), the PBIs selected (what), and the plan to deliver the Increment (how).

Answer: Product Backlog → Product Goal, Sprint Backlog → Sprint Goal, Increment → Definition of Done.
Explanation: Per the Scrum Guide 2020, each artifact has a corresponding commitment to enhance transparency and focus.

The Product Goal is the long-term objective of the Scrum Team and serves as a commitment for the Product Backlog. Sharing it helps the team focus on strategic direction rather than treating Sprints as isolated tasks. It also makes Sprint Review inspection more meaningful and enables the team to weigh decisions against a common objective. Note: estimating completion dates is not a benefit of the Product Goal — Scrum avoids deterministic forecasting.

Answer: Inspection/adaptation opportunities are lost; Sprint Backlog becomes inaccurate; impediments raised more slowly.
Explanation: The Daily Scrum's daily cadence is essential for rapid adaptation in complex work. Longer gaps between inspections allow plans to drift from reality and impediments to compound before they are addressed.

Answer: The Developers.
Explanation: The Developers select the number of items based on their own assessment of their capacity and understanding of the work.

Réponse : Maintenir un dépôt central avec un système de gestion de versions. Cela évite les doublons et garantit la cohérence.

Concept clé : La Valeur en Management de Projet : Dans le PMBOK 7e édition, la valeur représente bien plus qu'un simple calcul financier. Il s'agit de l'utilité, l'importance ou le bénéfice généré par le projet pour les parties prenantes et l'organisation. Cette définition holistique reconnaît que la valeur peut être tangible (économique, financière) ou intangible (amélioration de la satisfaction client, renforcement de la marque, capacités organisationnelles accrues, innovation). Le PMBOK 7 met l'accent sur la création de valeur comme objectif central du management de projet, aligné avec la stratégie organisationnelle. La valeur est créée à travers les livrables, les résultats et l'impact du projet sur l'organisation et ses stakeholders. Contrairement à l'ancienne approche focalisée sur les contraintes triple (délai, coût, qualité), le PMBOK 7 place la création de valeur au cœur du succès du projet. Les autres options sont réductrices : la NPV est un outil de calcul parmi d'autres pour évaluer la valeur financière, le ratio budget/livrables mesure l'efficacité opérationnelle uniquement, et la conformité technique ne garantit pas la création de

Rôles Scrum distincts : Le Scrum Master facilite le processus Scrum et élimine les obstacles, tandis que le Product Owner maximise la valeur en priorisant le backlog. Cette séparation des responsabilités est fondamentale en Scrum. Les distracteurs confondent ces rôles ou attribuent au Scrum Master des responsabilités qui incombent au Product Owner ou à l'équipe de développement.

Réponse : Faciliter la communication et le team building. Cela renforce la cohésion et l’efficacité d’un groupe dispersé.

Sprint Backlog figé : Le sprint backlog est verrouillé au démarrage du sprint pour garantir la stabilité et prévisibilité. Les nouvelles demandes du Product Owner doivent être ajoutées au Product Backlog et priorisées pour les sprints futurs, respectant ainsi les principes agiles d'adaptation planifiée, non réactive.

Le principe d'adaptabilité dans le PMBOK 7e édition : L'adaptabilité est un principe fondamental du PMBOK 7 qui reconnaît que les projets opèrent dans des environnements complexes et changeants. Ce principe encourage les chefs de projet à évaluer régulièrement les pratiques, les processus et les approches utilisées pour s'assurer qu'ils restent pertinents et efficaces face à l'évolution du contexte du projet, des exigences des parties prenantes et des conditions externes. Contrairement au PMBOK 5e édition qui séparait les approches prédictives et adaptatives, la 7e édition reconnaît que la plupart des projets modernes bénéficient d'une combinaison d'approches. L'adaptabilité n'est pas un changement constant et impulsif, mais une révision réfléchie et régulière des stratégies de gestion. Elle s'applique à TOUS les types de projets, qu'ils soient traditionnels, agiles ou hybrides. Les autres réponses proposées sont incorrectes car : maintenir un plan initial rigide contredit directement ce principe ; limiter l'adaptabilité aux seuls projets Agile ignore que tous les projets modernes doivent s'adapter ; changer d'approche à chaque sprint sans justification va à l'encontre de la nature réfléchie

Estimation analogique : technique basée sur les données historiques de projets passés similaires pour évaluer les coûts du projet actuel. Elle est rapide mais moins précise. Contrairement à l'estimation paramétrique (formules mathématiques) ou bottom-up (détail par détail), elle s'appuie sur l'expérience globale.

Gestion des conflits et leadership servile : Selon le PMBOK 7e édition, le domaine de performance "Équipe" exige que le chef de projet adopte un style de leadership servile, mettant l'accent sur la résolution collaborative des conflits plutôt que sur l'autoritarisme. Faciliter une discussion ouverte permet d'identifier les causes profondes des tensions, de favoriser la compréhension mutuelle et de renforcer la cohésion d'équipe. Cette approche respecte les valeurs agiles de communication transparente et d'amélioration continue. Les conflits non gérés peuvent escalader et dégrader la performance du projet. Ignorer les tensions aggrave les problèmes, réassigner les membres sans dialogue contourne le problème réel, et sanctionner l'équipe crée un environnement de crainte qui inhibe la collaboration. La facilitation constructive du dialogue, fondée sur l'écoute active et la médiation, est la pratique recommandée pour transformer les désaccords en opportunités d'apprentissage collectif et renforcer la maturité émotionnelle de l'équipe.

Analyse de la performance : Comparez EV aux deux repères. EV (200) AC (190) signifie dépenses maîtrisées. Le projet progresse moins que prévu mais sans surcoût, contrairement aux options "dans le budget" (confusion avec AC) ou "au-dessus du budget" (ignorant EV>AC).

Cette question correspond à l\'objectif d\'apprentissage FL-5.1.5 (K3) - Appliquer la priorisation des cas de test.

Pour déterminer l\'ordre d\'exécution, nous devons considérer à la fois les dépendances logiques et les priorités.

● TC 101 n\'a pas de dépendance et doit être exécuté en premier
● TC 102 dépend de TC 101 et doit être exécuté en deuxième
● TC 103 dépend de TC 102 et a la priorité la plus élevée (1), donc il doit être exécuté en troisième

● TC 104 et TC 105 dépendent tous deux de TC 103
● a) Faux → TC 105 ne peut être exécuté qu\'après TC 103.
● b) Faux → TC 104 ne peut être exécuté qu\'après TC 103.
● c) Faux → TC 101 doit être exécuté en premier.
● d) Correct→- TC 103 doit être exécuté en troisième position après TC 101 et TC 102.

Cette question correspond à l\'objectif d\'apprentissage FL-4.5.3 (K3) - Utiliser le développement piloté par les tests d\'acceptation (ATDD) pour dériver les cas de tests.

● a) Faux → Cette réponse reflète une confusion entre les tests d\'acceptation et les tests non-fonctionnels. L\'ATDD se concentre principalement sur les comportements fonctionnels et les critères d\'acceptation métier.
● b) Faux → Cette réponse contredit fondamentalement le principe de l\'ATDD. Dans
l\'ATDD, les scénarios sont développés collaborativement avec toutes les parties prenantes métier et développeurs compris qui sont les mieux placées pour définir les critères d\'acceptation.
● c) Correct → Cette réponse capture l\'essence de l\'ATDD. Les scénarios présentés suivent un bon format qui définit clairement les comportements attendus, mais ils restent un peu abstraits.
● d) Faux → Cette réponse va à l\'encontre des bonnes pratiques d\'ATDD. Les différents scénarios présentés capturent des variations importantes du comportement métier (médicaments standard vs contrôlés, suppression d\'alertes) qui doivent être explicitement testées au niveau des tests d\'acceptation, pas seulement au niveau unitaire..

Cette question correspond à l’objectif d\'apprentissage FL-4.2.2 (K3) – Appliquer l’analyse des valeurs limites pour identifier les cas de test.
● a) Faux → 23 et 27 : limites extérieures uniquement
● b) Faux → 24 et 26 : limites valides, pas d’extérieures
● c) Correct → 23, 24, 26, 27 : couvre toutes les limites valides et invalides
● d) Faux → 22, 24, 26, 28 : trop éloigné des limites directes

Cette question correspond à l’objectif d’apprentissage FL-1.2.1 (K2)- Donner des exemples montrant la nécessité des tests.
● a) Faux → Les tests dynamiques détectent des défauts, mais ils ne garantissent pas qu’ils provoquent uniquement des comportements anormaux impossibles à reproduire par les utilisateurs.

● b) Correct → Les tests statiques permettent d’identifier des défauts dans le code source avant même l’exécution, ce qui réduit les coûts de correction.
● c) Faux → L’analyse statique ne garantit pas qu’un composant est prêt pour la production, elle identifie uniquement des erreurs structurelles.
● d) Faux → Les revues améliorent la qualité des spécifications, mais ne remplacent pas les tests

Cette question correspond à l’objectif d’apprentissage FL-3.2.2 (K2) – Résumer les activités typiques du processus de revue.

La réponse correcte est a) 1C, 2A, 3D, 4B

● 1C) Correcte : La planification sert à organiser le processus, choisir le type de revue, les rôles, etc.
● 2A) Correcte : L’examen consiste à analyser le document individuellement.
● 3D) Correcte : La réunion permet à l’équipe de discuter des anomalies ensemble.
● 4B) Correcte : Le rework est le moment où l’auteur corrige ce qui a été signalé.

Cette question correspond à l’objectif d’apprentissage FL-1.4.4 (K2) – Expliquer la valeur du maintien de la traçabilité.
● a) Faux → La traçabilité ne vise pas à optimiser la performance du logiciel, mais à assurer une couverture de test complète.
● b) Correct → Le maintien de la traçabilité permet d’établir un lien entre les exigences, les tests et les défauts détectés, garantissant ainsi qu’aucune exigence n’a été oubliée.
● c) Faux → Même avec la traçabilité, la documentation des tests reste nécessaire pour assurer un suivi efficace et une justification des validations effectuées.
● d) Faux → Les rapports de test restent nécessaires, la traçabilité vient en complément pour s’assurer que les tests couvrent bien les exigences.

Cette question correspond à l’objectif d’apprentissage FL-4.3.1 (K2) – Expliquer le test des instructions et le principe de couverture des instructions.

Pour couvrir 100% des instructions, nous avons besoin d\'au moins un cas de test qui parcourt chaque chemin.

La bonne réponse est donc c) score = 30, score = 75, score = 120

Cette question correspond à l’objectif d’apprentissage FL-1.4.1 (K2) – Résumer les différentes activités et tâches de test.
La bonne réponse est : d) 1C, 2B, 3D, 4A

● 1C) : Correct : La planification sert à préparer le cadre du test
● 2B) : Correct : La conception permet de définir les données, cas et conditions de test
● 3D) : Correct : L’exécution vérifie le résultat réel par rapport à l’attendu
● 4A) : Correct : Clôturer = évaluer, nettoyer, archiver, analyser les résultats

Cette question correspond à l\'objectif d\'apprentissage FL-2.1.4 (K2) - Résumer la façon dont DevOps pourrait avoir un impact sur le test.
● a) Faux → Dans DevOps, les tests deviennent plus critiques, pas moins importants, car les déploiements fréquents augmentent le besoin de détection rapide des
problèmes.
● b) Faux → DevOps encourage la collaboration et le partage des responsabilités, mais n\'élimine pas le besoin d\'expertise en test. Les compétences spécialisées en test restent valorisées.
● c) Faux → DevOps ne préconise pas de tester principalement en production. Au contraire, il encourage le test approfondi avant le déploiement, mais dans des
environnements qui reflètent fidèlement la production.
● d) Correct → Cette réponse décrit correctement l\'impact principal de DevOps : l\'automatisation des tests et l\'intégration continue permettent un feedback plus rapide et facilitent les déploiements fréquents et fiables.

Cette question correspond à l’objectif d’apprentissage FL-1.3.1 (K2) – Expliquer les sept principes du test.

● a) Faux → Les tests de régression restent nécessaires tout au long du cycle de vie du logiciel.
● b) Correct → Plus un défaut est détecté tôt, moins il est coûteux à corriger, car il est identifié avant qu’il ne se propage.
● c) Faux → Tester tôt ne garantit pas un produit exempt de défauts.
● d) Faux → Tester tôt ne signifie pas réduire le nombre total de tests nécessaires.

Tailgating prevention: A security guard actively monitors and verifies individuals entering secure areas, physically preventing unauthorized persons from following legitimate employees through access points. Unlike passive controls (keycards, CCTV, logs), guards provide real-time intervention and human judgment to detect and stop unauthorized entry attempts.

Answer: Password spraying.
Explanation: Password spraying attacks try a few common passwords against many accounts to avoid account lockout thresholds. The logs would show multiple accounts being tried with the same password(s) rather than many attempts against one account.

Detective Control: A control that identifies security incidents after they occur. A SIEM system reviewing logs weekly detects breaches post-event. Unlike preventive controls (blocking threats before occurrence) or corrective controls (fixing damage), detective controls focus on discovery and analysis of security events that have already happened.

Intrusion Detection System (IDS): A network security tool that monitors traffic in real time to identify suspicious patterns and potential intrusions. Unlike firewalls that block traffic, IDS passively analyzes network behavior to detect threats. Antivirus targets files, encryption protects data confidentiality—neither provides active threat monitoring.

Business Email Compromise (BEC) / Whaling is a targeted spear phishing attack against executives or high-value individuals. The attacker impersonates a C-suite executive (CEO, CFO) to pressure employees into transferring money or disclosing sensitive information. Whaling targets executives specifically. Vishing uses voice calls. Smishing uses SMS. Pharming redirects DNS to a malicious site. The urgency and authority pressure are key social engineering elements that bypass normal skepticism.

End of Support: the stage when a vendor stops releasing patches and updates for a device or software. A legacy device no longer receiving updates enters this phase, significantly increasing security risks from unpatched vulnerabilities. Unlike End of Life (physical discontinuation), End of Support focuses specifically on the cessation of maintenance and security updates.

Risk Transfer: Moving financial responsibility of potential losses to a third party through insurance or contracts. Cyber insurance shifts the burden of breach costs to an insurer rather than accepting, avoiding, or mitigating the risk internally. Unlike mitigation (reducing likelihood/impact) or acceptance (retaining the risk), transfer delegates monetary consequences to another entity.

Application allow-listing: a security control that permits only pre-approved applications to execute on a system. This prevents malware installation by blocking unauthorized software before execution, even if an employee unknowingly downloads it. Unlike host-based firewalls (which control network traffic) or system isolation (which limits access between systems), allow-listing directly controls what programs can run. Least privilege reduces damage if malware runs, but doesn't prevent initial installation.

A security policy is a formal, high-level document that defines an organization's security objectives, expectations, and rules. It states what must be done (not how). Examples: Acceptable Use Policy, Password Policy, Data Classification Policy. Policies form the foundation of an information security program — they drive procedures, standards, and guidelines. Without policies, there are no baseline expectations to measure compliance against, making enforcement and auditing impossible. Policies require senior management approval and must be communicated to all employees.

Phishing est la réponse correcte car il s'agit spécifiquement d'envoyer des emails frauduleux usurpant l'identité de sources de confiance pour voler des informations d'identification. C'est l'attaque d'ingénierie sociale par email la plus courante et générale.

Vishing est une attaque vocale (par téléphone), Smishing utilise des messages SMS, et Spear Phishing est une variante ciblée et personnalisée du phishing. Bien que le spear phishing soit également un type de phishing, la question demande le type d'attaque générique impliquant des "emails fraudulents", ce qui correspond à la définition standard de phishing.

Une vue (View) est une requête SQL enregistrée sous forme d'objet virtuel qui se comporte comme une table. Elle ne stocke pas de données physiquement (sauf les vues matérialisées) — à chaque appel, elle exécute la requête sous-jacente. Avantages : (1) Simplification des requêtes complexes en les encapsulant, (2) Sécurité en exposant uniquement certaines colonnes aux utilisateurs sans accès direct à la table, (3) Abstraction permettant de modifier la structure sous-jacente sans impacter les applications qui utilisent la vue.

OLTP vs OLAP : OLTP (Online Transaction Processing) traite des transactions courtes et fréquentes (ventes, paiements) optimisées pour la vitesse. OLAP (Online Analytical Processing) analyse de grands volumes historiques pour le reporting et la décision. OLTP = écriture rapide, OLAP = lecture massive. Contrairement aux idées fausses, OLAP supporte SQL et n'est pas limité à l'IoT.

DELETE vs DROP : DELETE supprime des lignes spécifiques (ou toutes les lignes) d'une table tout en conservant sa structure. DROP supprime l'intégralité de la table, y compris sa structure. REMOVE et ERASE ne sont pas des commandes SQL standards. DELETE est donc la seule commande appropriée pour supprimer des données lignes par lignes.

DROP TABLE : commande DDL (Data Definition Language) qui supprime définitivement une table, sa structure complète et toutes ses données. Contrairement à DELETE FROM (supprime uniquement les données, conserve la structure) et TRUNCATE TABLE (vide la table mais garde sa structure), DROP TABLE efface l'objet table lui-même de la base de données.

Clé primaire : colonne ou ensemble de colonnes garantissant l'unicité de chaque enregistrement dans une table relationnelle. Elle empêche les doublons et permet l'identification précise des données. Contrairement aux clés étrangères (qui créent des relations entre tables) ou aux index (qui optimisent les performances), la clé primaire est fondamentalement un mécanisme d'intégrité et de distinction des données.

Un index est une structure de données auxiliaire qui accélère les opérations de lecture (SELECT, WHERE) en permettant au moteur SQL de localiser rapidement les lignes sans scanner toute la table. Les index clustered et non-clustered optimisent différents types de requêtes. Inconvénient : les index ralentissent les opérations d'écriture (INSERT, UPDATE, DELETE) car ils doivent être mis à jour à chaque modification. Ils consomment aussi de l'espace disque. Un équilibre entre index de lecture et performance d'écriture est nécessaire.

Réponse : Pour automatiser la création d'un groupe de ressources Azure interdépendantes de manière reproductible. Explication : Les modèles Azure Resource Manager (ARM) définissent l'infrastructure en tant que code JSON. Ils automatisent la création et la configuration des ressources Azure interdépendantes de manière déclarative, reproductible et idempotente — permettant des déploiements cohérents dans différents environnements.

Réponse correcte : Dans un schéma en étoile, les tables de faits contiennent les mesures quantifiables (ventes, quantités, revenus) tandis que les tables de dimensions fournissent le contexte descriptif (dates, produits, régions) pour analyser ces mesures. Cette structure permet une analyse efficace des données d'entreprise. Pourquoi les autres réponses sont incorrectes : • Les tables de faits ne stockent pas nécessairement des données historiques uniquement ; elles peuvent contenir des données actuelles aussi. • Les deux types de tables servent principalement en OLAP, bien qu'elles puissent avoir des usages en OLTP. • L'indexation n'est pas une différence définitionnelle entre ces deux types de tables ; les deux peuvent être indexées.

Azure Synapse Analytics : plateforme intégrée qui combine entrepôt de données (SQL Data Warehouse), analyses Big Data (Spark) et orchestration ETL. Contrairement à Data Lake Storage (stockage seul), Data Factory (intégration seule) ou Cosmos DB (base NoSQL), Synapse unifie ces trois capacités dans un écosystème cohérent pour analyser massivement les données.

SQL (Structured Query Language) : langage standard conçu spécifiquement pour interroger, modifier et gérer les données dans les bases relationnelles. Il utilise des commandes comme SELECT, INSERT, UPDATE et DELETE pour interagir avec les tables et leurs relations. Contrairement à HTML (langage de balisage), Python (langage de programmation généraliste) ou JSON (format de données), SQL est le seul optimisé pour les requêtes de bases de données relationnelles.

Réponse correcte : Les Conditions de Paiement dans SAP FI définissent les règles de calcul des dates d'échéance et des conditions d'escompte pour anticipation applicables aux factures. Cela détermine quand une facture doit être payée et quels rabais sont accordés pour paiement anticipé. Pourquoi les autres réponses sont incorrectes : Les coordonnées bancaires sont configurées séparément dans la configuration bancaire, la procédure de relance pour clients en retard est configurée dans la fonctionnalité Dunning, et le type de document utilisé pour les paiements est défini dans la configuration des Types de Document, non dans les Conditions de Paiement.

Réponse : Le compte est défini dans la détermination de compte pour chaque classe d'immobilisation ; le compte est un compte du bilan. Explication : Le compte de contrepartie technique pour l'acquisition d'immobilisations intégrée doit être : (1) configuré dans la détermination de compte pour chaque classe d'immobilisation pour assurer l'imputation automatique, et (2) un compte du bilan pour pouvoir contenir des soldes transitoires entre la réception et la vérification des factures.

Réponse : Un état de synthèse présentant mouvements et soldes d’immobilisations par classe/zone (ou autre vue) pour la période/exercice.
Explication : L’AHS consolide acquisitions, transferts, amortissements, cessions et soldes de clôture.

Réponse correcte : Les Cost Elements sont des comptes du Grand Livre (G/L) configurés pour être également pertinents en comptabilité analytique (CO), permettant ainsi une intégration transparente des flux de coûts entre FI et CO. Pourquoi les autres réponses sont incorrectes : L'option A décrit un type de condition utilisé en gestion des matières (MM), ce qui n'a aucun lien avec l'intégration FI/CO. L'option C se réfère à un ledger spécialisé pour les variances, ce qui dépasse le rôle basique d'un Cost Element. L'option D confond le Cost Element avec un rapport analytique, alors qu'il s'agit plutôt d'une configuration de compte.

Dans S/4HANA, l'intégration FI-AA est totale : chaque transaction d'actif (acquisition, cession, amortissement) génère simultanément un document d'immobilisation (dans le sous-module AA) ET un document comptable FI avec les écritures sur les comptes de bilan. Il n'y a plus de réconciliation périodique nécessaire comme en ECC — les deux modules sont synchronisés en temps réel. Le document d'immobilisation contient les données spécifiques (zone d'évaluation, clé d'amortissement) ; le document FI contient les imputations comptables.

Le Rappel est un processus de gestion des encaissements qui envoie des rappels de paiement de plus en plus urgents aux clients ayant des soldes impayés. Cette réponse décrit précisément la fonction de rappel dans SAP AR. Les autres réponses sont incorrectes : le lettrage automatique des factures ouvertes relève du lettrage, la création de factures en lot correspond à la facturation batch, et le calcul des escomptes relève de la configuration des conditions commerciales, pas du rappel.

Réponse : Vous n'avez pas fermé l'exercice fiscal précédent. Explication : Le report de solde dans SAP nécessite que l'exercice fiscal précédent soit complètement fermé dans la comptabilité des immobilisations (FI-AA) avant que les soldes puissent être reportés. Un exercice fiscal ouvert dans FI-AA empêche le report de solde de s'achever correctement.

Réponse : Vrai
Explication : Les modèles analytiques CDS (avec annotations) délèguent agrégations/calculs à HANA et sont consommés par Fiori/Smart Business.

Réponse : Stockage en colonnes ; Base de données in‑memory ; Forte compression ; Exécution des calculs côté base (push‑down).
Explication : HANA combine colonnes, compression et parallélisation ; les calculs sont poussés au moteur HANA via CDS/SQLScript pour des performances temps réel.

Réponse correcte : Le traitement des acomptes avec un indicateur G/L spécial permet l'enregistrement des acomptes sur un compte de réconciliation distinct, séparant les acomptes des clients/fournisseurs standard et facilitant leur suivi jusqu'à la facturation finale. Pourquoi les autres réponses sont incorrectes : Les acomptes ne créent pas automatiquement une commande d'achat (c'est un processus distinct), ne sont pas enregistrés directement sur des immobilisations, et n'affectent pas les limites de crédit du fournisseur — ils représentent simplement des fonds avancés à régulariser ultérieurement.

Séparation des pouvoirs : La République française repose sur trois pouvoirs distincts pour éviter la concentration du pouvoir. Le pouvoir exécutif (Président, Gouvernement) applique les lois ; le pouvoir législatif (Parlement) les vote ; le pouvoir judiciaire les interprète. Cette répartition garantit l'équilibre démocratique et protège les libertés individuelles.

Pour une naturalisation par mariage, la vie commune doit être continue et effective pendant la durée exigée (4 ans minimum). Une séparation temporaire peut remettre en cause la continuité et conduire au rejet du dossier. L'administration vérifie la réalité de la vie commune via des preuves concrètes : bail commun, factures, attestations. Une séparation de corps ou une procédure de divorce en cours est rédhibitoire.

Le Président de la République : chef de l'État qui incarne la continuité institutionnelle et nomme le Premier ministre pour diriger le gouvernement. Contrairement au Premier ministre qui exécute les politiques, le Président représente la nation et garantit le fonctionnement des institutions. Il ne vote pas les lois (rôle du Parlement) ni ne contrôle directement le Sénat.

Oui, une condamnation pénale peut entraîner un refus de naturalisation. Selon le Code civil, n'est pas admis à acquérir la nationalité française par naturalisation quiconque a fait l'objet d'une condamnation à une peine d'au moins 6 mois d'emprisonnement sans sursis, ou de certaines infractions graves (terrorisme, crimes contre l'humanité). Un casier judiciaire B2 vierge est généralement exigé. Les contraventions et infractions mineures n'empêchent pas nécessairement la procédure.

Le Président de la République est le chef de l'État en France. Il est élu au suffrage universel direct pour un mandat de 5 ans (quinquennat). Il incarne l'unité nationale, garantit les institutions, nomme le Premier ministre, préside le Conseil des ministres et est chef des armées. Le Premier ministre est le chef du gouvernement (rôle distinct). Le Président du Sénat assure l'intérim si la présidence devient vacante.

La Ve République a été fondée le 4 octobre 1958, date à laquelle la nouvelle Constitution — rédigée sous l'impulsion du général de Gaulle — est entrée en vigueur. Cette Constitution renforçait le pouvoir exécutif et l'autorité présidentielle, répondant à l'instabilité de la IVe République. 1944 = libération de Paris, 1945 = fin de la Seconde Guerre mondiale, 1962 = indépendance de l'Algérie et élection du Président au suffrage universel direct.

Pour prouver le mariage lors d'une demande de naturalisation, l'acte de mariage intégral (et non une simple copie ou un extrait) est requis. Si le mariage a eu lieu à l'étranger, l'acte doit être légalisé ou apostillé et traduit par un traducteur assermenté. La carte de séjour et le passeport du conjoint prouvent l'identité, pas le mariage. Le livret de famille peut compléter le dossier mais ne remplace pas l'acte de mariage intégral.

Charles VII fut sacré roi de France à la cathédrale de Reims le 17 juillet 1429, grâce à l'action déterminante de Jeanne d'Arc. Jeanne avait convaincu le dauphin de sa mission divine, conduit l'armée à la victoire lors du siège d'Orléans (libéré le 8 mai 1429), puis escorté Charles jusqu'à Reims. Ce sacre était essentiel pour légitimer sa royauté face aux Anglais et aux Bourguignons. Jeanne fut capturée en 1430 et brûlée vive à Rouen en 1431.

La fête nationale française du 14 juillet commémore deux événements : (1) la prise de la Bastille le 14 juillet 1789, symbole de la fin de l'arbitraire royal et du début de la Révolution française ; (2) la Fête de la Fédération du 14 juillet 1790, premier anniversaire de la prise de la Bastille, qui célébrait l'unité nationale avec un immense rassemblement au Champ-de-Mars. La loi du 6 juillet 1880 a officialisé le 14 juillet comme fête nationale. Elle est marquée par un défilé militaire sur les Champs-Élysées et un feu d'artifice au Trocadéro.

Naturalisation par mariage : La loi française impose 4 ans de vie commune effective pour permettre au conjoint étranger de demander la naturalisation. Ce délai garantit la stabilité du mariage et l'intégration réelle. Les autres durées (2, 5 ou 1 an) ne correspondent pas au cadre légal actuel.

Concept clé : Explicabilité (XAI). Celle-ci fait référence à la transparence des processus de prise de décision. Les tests d'explicabilité consistent à vérifier que les parties prenantes peuvent comprendre pourquoi un système AI a pris une décision spécifique, ce qui est crucial pour l'éthique de l'AI et la conformité réglementaire, notamment dans les domaines à enjeux élevés tels que la santé et la justice pénale.

Concept clé : Test d'attaques adversariales. Les exemples adversariaux sont des entrées soigneusement conçues qui trompent les modèles AI malgré des perturbations imperceptibles pour l'humain. Les testeurs de sécurité doivent valider la robustesse en tentant de générer des entrées adversariales et en vérifiant la résilience du système face à de telles manipulations.

Concept clé : Cadre réglementaire RGPD. Le RGPD est le règlement complet de protection des données de l'UE s'appliquant aux systèmes AI. Les testeurs doivent s'assurer que les systèmes AI sont conformes aux exigences du RGPD, incluant le consentement, la minimisation des données, la limitation de la finalité, ainsi que les droits des utilisateurs à l'accès et à la suppression de leurs données.

Réponse : Le problème conserve l\'état d\'erreur connue.
Explication : Lorsqu\'une solution de contournement devient permanente car le problème ne peut être résolu définitivement, le problème reste dans l\'état \'erreur connue\' : documenté mais non résolu.

Réponse : L\'amélioration continue.
Explication : L\'amélioration continue est la responsabilité de chacun dans l\'organisation, pas seulement d\'une équipe dédiée. Chaque employé doit contribuer à l\'identification et à la mise en oeuvre des améliorations.

Réponse : Ajouter, modifier ou supprimer tout ce qui pourrait avoir un effet direct ou indirect sur les services.
Explication : En ITIL 4, un changement est l\'ajout, la modification ou la suppression de tout élément pouvant avoir un effet direct ou indirect sur les services, qu\'il soit matériel, logiciel ou organisationnel.

Réponse : protéger.
Explication : La pratique de gestion de la sécurité de l\'information a pour but de protéger les informations de l\'organisation contre les menaces, en assurant confidentialité, intégrité et disponibilité.

Réponse : Les coûts supprimés par le service et les coûts imposés par le service.
Explication : Le consommateur d\'un service doit évaluer les coûts supprimés (ce qu\'il n\'a plus à gérer) et les coûts imposés (ce qu\'il doit payer), pour déterminer si la valeur nette est positive.

Réponse : L\'utilisateur ou son représentant autorisé.
Explication : En ITIL 4, ce sont les utilisateurs (ou leurs représentants autorisés) qui soumettent des demandes de services, car ils sont les consommateurs directs des services fournis.

Réponse : Progresser par itérations avec des retours.
Explication : Le principe \'Progresser par itérations avec des retours\' recommande de diviser le travail en petites étapes gérables avec des boucles de feedback fréquentes pour s\'adapter et corriger rapidement.

Réponse : Des procédures détaillées pour diagnostiquer les incidents.
Explication : La gestion des incidents vise une résolution rapide, pas la documentation détaillée de procédures de diagnostic. Les procédures détaillées relèvent de la gestion des problèmes et de la base de connaissances.

Réponse : Tout changement d\'état significatif pour la gestion d\'un service ou de tout autre élément de configuration.
Explication : Un événement est tout changement d\'état significatif pour la gestion d\'un service ou d\'un élément de configuration. Les événements peuvent déclencher des incidents, des problèmes ou des demandes.

Réponse : Les centres de services doivent comprendre l\'organisation dans son ensemble.
Explication : Les centres de services doivent avoir une compréhension globale de l\'organisation pour orienter correctement les utilisateurs, comprendre les impacts des incidents et prioriser les demandes.

• Le rapport Active users fournit :

  • La liste des utilisateurs

  • Les services Microsoft 365 auxquels ils se sont connectés

  • Les comptes qui n’ont jamais été utilisés ou inactifs pendant une période donnée (par exemple 90 jours)

• Les autres rapports ne permettent pas d’identifier facilement les utilisateurs inactifs :

  • A : Mailbox usage montre l’activité des boîtes aux lettres Exchange uniquement

  • C : Office activations montre quelles licences Office ont été activées, pas l’usage complet des services

  • D : Usage by location agrège l’activité par région, pas par utilisateur

• Lorsqu’une Power App est intégrée dans Teams, ses données sont stockées automatiquement dans un environnement Dataverse pour Teams.

• Cela permet :

  • Un stockage structuré et sécurisé

  • L’accès aux données uniquement aux membres de l’équipe Teams

• Les autres options ne sont pas utilisées par défaut pour les Power Apps dans Teams :

  • A : OneDrive for Business sert au stockage de fichiers personnels ou partagés.

  • C : Azure Blob Storage est un service de stockage cloud général, non utilisé par défaut.

  • D : SharePoint Online site library stocke des fichiers, pas les tables Dataverse des Power Apps.

Windows Autopatch est un service Microsoft qui automatise les mises à jour de Windows, Microsoft 365 Apps, Edge et Teams. Il requiert obligatoirement une licence Windows 10/11 Enterprise E3 ou E5 — incluse dans Microsoft 365 E3/E5 ou disponible séparément via Windows Enterprise E3/E5.

Microsoft 365 Business Premium ne contient pas de licence Windows Enterprise et ne donne pas accès à Autopatch. Intune seul permet la gestion des appareils mais n'active pas Autopatch. Windows Pro avec EMS E3 est insuffisant car Autopatch exige la version Enterprise, pas Pro.

Dans Exchange Online, Microsoft assure automatiquement :

• La haute disponibilité (High Availability) grâce à la réplication native des bases de données de boîtes aux lettres entre plusieurs serveurs et centres de données.

• La reprise après sinistre (Disaster Recovery) grâce à l’architecture distribuée et redondante de Microsoft 365.

Pour répondre aux exigences réglementaires de conservation :

• Litigation Hold permet de conserver les e-mails d’une boîte aux lettres, même s’ils sont supprimés par l’utilisateur.

• Cela garantit l’intégrité et la disponibilité des données à des fins légales ou réglementaires.

👉 Ensemble, ces fonctionnalités assurent la disponibilité continue et la conservation réglementaire des données.

• Dans Viva Connections, le menu de navigation global est alimenté par la navigation du site d’accueil SharePoint.

• En configurant un mega menu dans les paramètres du site, vous permettez aux employés de naviguer facilement vers les ressources importantes de l’entreprise.

• Les autres options ne créent pas de navigation globale :

  • A : List view web part affiche simplement une liste, pas un menu de navigation.

  • C : News web part affiche des actualités, pas des liens de navigation.

  • D : Quick links ne fournit qu’une section de liens sur la page, pas un menu global accessible depuis toutes les pages.

• Hybrid cloud combine :

  • Une infrastructure locale (on-premises) pour les données sensibles

  • Des ressources cloud pour les environnements de test et développement accessibles globalement

• Les autres modèles ne répondent pas au besoin spécifique :

  • A : Public cloud seul placerait toutes les données dans le cloud, ce qui n’est pas conforme.

  • C : Private cloud est entièrement dédié mais limité aux ressources internes.

  • D : Community cloud est partagé entre organisations ayant des besoins similaires, pas adapté pour ce scénario mixte.

Pour protéger l’accès aux données d’entreprise sur les appareils mobiles :

1. Intune App Protection Policies (politiques de protection d’application) :

   • Permettent de protéger les applications professionnelles (ex : Outlook, Teams) même sur des appareils personnels.

   • Restreignent l’accès aux applications si l’appareil ne respecte pas les règles de conformité (ex : pas de chiffrement, jailbreak détecté).

2. Conditional Access (Accès conditionnel) :

   • Applique des conditions pour accéder aux ressources cloud (ex : Exchange Online).

   • Peut bloquer l’accès aux e-mails si l’appareil est non conforme ou compromis selon les signaux d’Intune.

✅ Ensemble, ces deux fonctionnalités permettent de sécuriser l’accès aux e-mails sur mobiles sans recourir à des solutions tierces.

• onditional Access + Intune compliance policies permet de :

  • Vérifier que les appareils respectent les règles de sécurité avant de leur donner accès aux services Microsoft 365 (Exchange, SharePoint, Teams, etc.)

• Cette fonctionnalité nécessite Microsoft 365 (E3/E5) avec Azure AD Premium P1, et n’est pas disponible dans un Office 365 standalone.

• Les autres options ne gèrent pas le contrôle d’accès basé sur la conformité des appareils :

  • A : DLP protège les données mais ne contrôle pas l’accès selon la conformité des appareils.

  • C : Gestion de base des apps mobiles ne couvre pas l’accès aux services cloud.

  • D : Multi-Geo gère la localisation des données, pas la conformité des appareils.

• Privileged Identity Management (PIM) permet :

  • D’attribuer des rôles à durée limitée (ex : Intune Service Administrator)

  • De respecter le principe du moindre privilège, car le technicien n’a les droits élevés que pendant le dépannage

• Les autres options ne donnent pas un accès temporaire contrôlé :

  • Conditional Access → contrôle l’accès, pas la durée des droits

  • Defender for Endpoint → gère la sécurité des appareils, pas les permissions

  • Access Reviews / Global Reader permanent → donne un accès permanent, contraire au principe du moindre privilège

🎯 À retenir pour l’examen MS-900 :

• PIM = droits élevés temporaires pour dépannage ou administration

• Toujours attribuer des permissions limitées dans le temps, plutôt que permanentes, pour sécuriser les comptes administrateurs.

• Viva Insights mesure des indicateurs de productivité et de bien-être :

  • Temps de concentration (Focus time hours)

  • Pauses après réunions (After-meeting breaks)

  • Indicateurs d’efficacité des réunions (Meeting effectiveness score)

• Le coût des licences Microsoft 365 n’est pas un indicateur suivi par Viva Insights, car il relève de la gestion financière et non de la productivité.

• Microsoft Entra Internet Access (EIA) : solution SSE qui fournit :

  • Filtrage d’accès Internet

  • Protection contre les applications non approuvées

  • Application des politiques d’usage acceptable

• Intégration avec Microsoft Defender for Cloud Apps :

  • Permet de détecter et contrôler l’usage des applications SaaS

  • Active les politiques Conditional Access pour :

    • Bloquer les connexions à des applications non sanctionnées

    • Appliquer des restrictions ou des alertes pour les applications approuvées

  • Assure visibilité, contrôle et gouvernance centralisée

• C’est la meilleure pratique Microsoft SSE pour sécuriser l’accès SaaS et Internet.

• LSASS (Local Security Authority Subsystem Service) stocke les hashes et tokens d’authentification Windows.

• Les attaquants peuvent utiliser des techniques comme Mimikatz pour voler des credentials depuis LSASS.

• Windows Defender Credential Guard :

  • Utilise la virtualisation basée sur le hardware pour isoler les secrets Windows (NTLM, Kerberos, LSA secrets)

  • Empêche les logiciels malveillants et les attaquants ayant un accès administrateur local de voler les credentials

  • Protège spécifiquement les domain controllers et endpoints sensibles

• C’est la meilleure pratique Microsoft pour sécuriser les contrôleurs de domaine contre le vol de credentials.

• Azure Key Vault :

  • Permet de centraliser tous les certificats TLS/SSL

  • Offre intégration native avec certaines CA pour le renouvellement automatique

  • Réduit le risque de pannes ou interruptions liées à l’expiration

  • Fournit gestion centralisée du cycle de vie (création, renouvellement, révocation, suivi)

• C’est la solution recommandée pour des environnements à grande échelle avec de nombreux certificats, comme une plateforme e-commerce.

• Principe MCRA : « Protect data wherever it resides » → protéger les données indépendamment de l’endroit où elles sont stockées ou partagées.

• Microsoft Purview Information Protection (MIP) permet :

  • Classifier les données sensibles (PII, données financières, propriété intellectuelle…)

  • Appliquer des labels de sensibilité qui suivent les données, peu importe qu’elles soient stockées dans :

    • Azure Storage, SharePoint, OneDrive

    • Emails Microsoft 365

    • Applications tierces intégrées

• Ainsi, MIP fournit une protection centrée sur les données, alignée avec le principe MCRA.

External Attack Surface Management (EASM) permet de :

• Identifier les actifs exposés à Internet

• Détecter les vulnérabilités ou configurations non sécurisées

• Prioriser les risques externes

Pourquoi Microsoft Sentinel est le meilleur choix pour le pipeline de remédiation :

• Sentinel centralise tous les logs et alertes de sécurité

• Permet de corréler les découvertes EASM avec d’autres événements (Azure AD, endpoints, cloud apps)

• Fournit des playbooks et automatisations (Logic Apps) pour la remédiation rapide

• Facilite la réponse proactive et le suivi des incidents

Azure Key Vault est un composant critique pour la sécurité :

• Il stocke des clés cryptographiques, certificats et secrets essentiels pour le chiffrement des données et la sécurité des transactions.

• Le vecteur de menace le plus critique est l’accès non autorisé :

  • Si un attaquant obtient l’accès à Key Vault, il peut récupérer les clés et décrypter les données sensibles ou signer des transactions frauduleuses.

• La protection contre ce vecteur repose sur :

  • Des politiques d’accès strictes (RBAC ou policies Key Vault)

  • L’activation de Azure AD Conditional Access

  • L’utilisation du principle du moindre privilège

• Mailbox Intelligence : analyse le comportement des utilisateurs pour identifier des emails suspects envoyés ou reçus

• Spoof Intelligence : détecte les tentatives d’usurpation d’identité (spoofing), notamment des domaines ou adresses similaires aux comptes internes

• Ensemble, ils permettent à Defender for Office 365 de :

  • Bloquer ou marquer les emails imitant des comptes internes ou exécutifs

  • Réduire les risques d’account takeover via phishing ciblé

• CAF DevSecOps recommande d’intégrer la sécurité et la conformité dès la phase de conception et de déploiement.

• Azure Blueprints permet de :

  • Appliquer des politiques et des contrôles RBAC cohérents sur plusieurs souscriptions

  • Garantir que toutes les ressources déployées respectent les standards internes et réglementaires

  • Automatiser la conformité dès la création de l’infrastructure (Infrastructure as Code)

• Cela offre une remédiation et un contrôle centralisé, ce qui répond directement aux exigences de gouvernance DevSecOps.

• GitHub Advanced Security permet de :

  • Analyser automatiquement les dépendances dans les projets (npm, NuGet, Maven, etc.)

  • Identifier les vulnérabilités à haute gravité

  • Proposer ou appliquer automatiquement les mises à jour de sécurité via Dependabot

• Cette approche préventive empêche que du code vulnérable atteigne les environnements de production.

La bonne pratique est d'ajouter un tag réseau à l'instance puis de créer une règle de pare-feu ingress qui autorise UDP 636 sur ce tag. Simplement ajouter un tag sans règle de pare-feu n'ouvre aucun port. Les routes ne contrôlent pas les ports.

Un DaemonSet garantit qu'exactement un pod s'exécute sur chaque noeud du cluster, y compris les nouveaux noeuds créés par l'autoscaling. C'est la ressource Kubernetes conçue pour les agents de surveillance per-noeud.

Accorder Storage Object Viewer au compte de service des noeuds GKE dans le projet où les images sont stockées est la méthode recommandée. Elle utilise IAM correctement, sans clés supplémentaires ni accès trop larges.

Cloud Memorystore for Redis est un service de cache en mémoire géré qui répond exactement au besoin : cache 30 Go + 2 Go overhead = 32 Go. Il est nettement moins cher qu'une VM n1-highmem-32 (32 Go RAM) car il ne facture que la capacité mémoire, sans vCPU inutilisés — le proxy consommant quasi-zéro CPU.

gcloud iam roles copy avec le projet de destination est la méthode la plus rapide pour copier exactement les rôles IAM d'un projet à un autre en une seule commande, sans recréer manuellement chaque rôle.

La fenêtre d'ingestion des journaux Stackdriver permet de désactiver des sources de journaux spécifiques (comme les containers GKE) en quelques clics, sans recréer le cluster. C'est la solution la plus rapide et sans interruption de service.

La bonne méthode est de créer deux configurations (une par compte/région) puis d'activer la configuration appropriée avant de lancer les commandes. gcloud configurations list affiche seulement les configurations sans les activer.

L'équilibreur de charge réseau externe (Network Load Balancer) supporte le protocole UDP, expose les backends sur une IP unique et est accessible depuis Internet. SSL Proxy et HTTPS ne supportent pas UDP. L'équilibreur UDP interne n'est pas accessible depuis Internet.

La création d'un compte de service est une opération administrative qui apparaît dans le journal d'activité sous la catégorie Configuration. Le filtre sur le type de ressource Compte de service permet de retrouver précisément l'événement de création.

Le rôle roles/browser est le rôle minimal permettant de consulter la hiérarchie des ressources GCP (organisation, dossiers, projets). L'attribuer à un groupe suit les bonnes pratiques. IAM roleViewer permet de voir les rôles, pas la hiérarchie.

The correct Scrum Team roles are Development Team, Scrum Master, and Product Owner (option 1). These three roles are explicitly defined in the Scrum Guide. Other options introduce non-Scrum roles like Project Manager, Business Analyst, or distinguish Stakeholders as a role—stakeholders are external to the Scrum Team.

Servant Leadership means the Scrum Master facilitates Scrum Events (enabling the team) and coaches on empiricism (helping the organization work transparently with inspect-and-adapt). Staying away from team interactions abandons the coaching role, and resolving every impediment disempowers the team—both contradict servant leadership per the Scrum Guide.

The Development Team member should share the security risk with the team immediately so they can address it collaboratively. This is not a matter for test teams, backlogs, or retrospectives—security risks require urgent transparent communication across the team per Scrum's transparency pillar.

Unsure—observe first is correct because a Daily Scrum exceeding 15 minutes indicates root causes (unclear goals, poor communication, unresolved impediments, or scope issues) rather than team size alone. Dividing the team without diagnosis may fragment collaboration and miss the real problem. Observation and coaching are needed before making structural changes.

Sponsor dissatisfaction stems from inadequate stakeholder engagement at Sprint Reviews, poor communication from the Product Owner, and lack of transparency about actual progress and changes. The Daily Scrum is not designed for stakeholder tracking, and rigid adherence to an initial project plan contradicts Scrum's empirical, iterative nature. These factors undermine inspect-and-adapt cycles essential to Scrum.

Correct answers: Options 1, 2, and 4. Investigate scaling frameworks for dependency management (option 1). Enable cross-training and skill development within teams (option 2). Reorder the Product Backlog to optimize Nicole's utilization across sprints (option 4). These honor self-organization and adaptability. Options 0, 3, and 5 are either temporary band-aids or externalize the problem rather than helping the Scrum Teams manage dependencies through backlog prioritization.

The best response shares relevant transparency: the Product Backlog and release projections allow Peter to understand progress toward objectives. This demonstrates the Scrum pillar of transparency and addresses his concerns constructively. P&L reports, impediment lists, or status reports are less relevant to productivity and progress concerns.

Management's role in Scrum is to create an enabling environment, not to micromanage or monitor individual performance. According to the Scrum Guide, management should provide insights and resources that support Scrum Teams. Options about removing people, monitoring skill levels, or tracking velocity represent command-and-control behaviors that undermine Scrum's empirical and self-organizing principles.

False—Adding resources does not proportionally increase value in Scrum due to communication overhead, onboarding time, and team dynamics. The Scrum Guide emphasizes small, cross-functional teams; scaling requires structural changes and coordination, not just headcount increases.

The Development Team ignored a new member's ideas and viewpoints, violating three Scrum Values: Respect (valuing individuals), Openness (welcoming different perspectives), and Courage (creating psychological safety to speak up). Commitment and Focus relate to the team's dedication to work, not interpersonal inclusion. Transparency concerns information visibility, not team dynamics.

Réponse : 720.
Explication : Avec un taux de défaut constant et tous les retests réussis, le calcul du nombre de tests restants tient compte de la densité de défauts. Sur 800 tests initiaux avec 10% de défauts, 80 tests échouent. Après correction et retest réussi, 720 tests restent à exécuter pour atteindre la couverture complète.

Réponse : Clôture du projet de test.
Explication : D est correct car la phase de clôture du projet de test produit le rapport de synthèse formelle, les artefacts de retours d\'expérience et les métriques consolidées qui constituent les principales entrées utilisées pour piloter et prioriser l\'amélioration du processus de test.

Réponse : Test de composant: test de décision; Test système: test de table de décision.
Explication : B est correct car il combine une technique structurelle à haute sensibilité au niveau composant (test de décision) avec une technique de spécification combinatoire axée sur les exigences au niveau système (test de table de décision), maximisant ainsi la détection des défauts logiques et des interactions complexes de règles métier.

Réponse : 63.
Explication : Le Numéro de Priorité de Risque (NPR) est calculé en multipliant la probabilité d\'occurrence, la gravité de l\'impact et la détectabilité. Pour l\'élément de risque 2, ce calcul donne 63.

Réponse : Qualité d\'entrée inconnue due au développement par un tiers.
Explication : D est correct car la qualité d\'entrée inconnue provenant du développement par un tiers crée le plus grand risque d\'estimateur : variance élevée des taux de défauts, comportements d\'intégration imprévisibles et efforts de vérification imprévisibles qui gonflent directement les estimations de temps et ressources. Les hypothèses quantifiées deviennent invalides avec les entrées tierces.

Réponse : Les métriques enregistrées lors du test de l\'outil de capture-rejouer..
Explication : C est correct car les métriques mesurées de l\'outil de capture-rejouer fournissent les données empiriques directes (taux d\'exécution, temps de création et maintenance des scripts, taux de faux positifs/négatifs, surcharge de configuration/nettoyage) nécessaires pour convertir les tâches de test spécifiées en estimations temporelles fiables et réduire l\'incertitude.

Réponse : Gestion et pilotage de projet.
Explication : B est correct car la gestion et le pilotage de projet sont des préoccupations transversales à tous les cycles de vie, non spécifiques au test en RAD. Les attributs distinctifs du RAD—prototypage itératif, exigences évolutives, délais serrés—créent des problèmes centrés sur le test : exigences instables, régressions fréquentes, cycles de test compressés.

Réponse : Pourcentage des exigences métier exercées.
Explication : La mesure la plus appropriée de couverture de test pour un rapport de progression métier hebdomadaire est le pourcentage des exigences métier exercées. Cette métrique s\'aligne directement avec les priorités métier : valider que le logiciel remplit son objectif et fournit une valeur tangible aux parties prenantes.

Réponse : La qualité de l\'estimation du développement peut être médiocre. / Utiliser le même pourcentage chaque fois ne tient pas compte du niveau de risque de l\'application à tester. / La maturité de l\'organisation, par exemple la qualité de la base de test, la qualité des tests de développement, la gestion de configuration, la disponibilité des outils de test, influencent également l\'effort requis pour le test..
Explication : Les réponses A, D et E désignent des sources distinctes de variance qu\'un simple pourcentage du développement ne peut pas capturer. A: les estimations de développement peuvent être inexactes, propageant l\'erreur d\'estimation. D: un pourcentage fixe ignore le risque spécifique, la criticité métier et les profils d\'impact des défauts. E: la maturité organisationnelle (qualité de la base de test, tests unitaires du développement, gestion de configuration, outils disponibles) influence directement l\'effort de test.

Réponse : Créer une estimation basée sur la technique d\'analyse de points de fonction et l\'analyse de points de test.
Explication : La réponse A est correcte car l\'analyse de points de fonction combinée à l\'analyse de points de test produit une estimation précoce basée sur la taille, spécifique aux tests, indépendante de la disponibilité du code source. L\'APF fournit une métrique de taille fonctionnelle, l\'APT traduit cette taille en effort de test en appliquant les facteurs de testabilité et de qualité.

A. Immediately send an API request with the update as a synthetic user message, generating an unsolicited assistant response. Incorrect. This creates an unsolicited interruption, which can feel unnatural and confusing in an active conversation. B. Append the status update as a prefix to the next user message before calling the API. Incorrect. This pollutes the user message and mixes system state with user intent, which can lead to misinterpretation. C. Configure the assistant to call a get_order_status tool at the start of every response. Incorrect. This is inefficient and unnecessary, especially when you already have the update via webhook. D. Add the current shipping status to the system prompt before the next API call. Correct. This cleanly injects up-to-date system state into context, allowing the assistant to naturally incorporate it into the next response without disrupting the conversation flow.

A. Choosing from 18 tools instead of 4­5 relevant ones increases decision complexity beyond reliable selection thresholds. Correct. This is the core issue: as the number of available tools grows, especially across multiple unrelated domains, the model's tool selection accuracy degrades due to increased choice entropy and decision load. Even if each tool is well-described, having too many options in the same context makes it harder for the model to reliably pick the correct one, leading to cross-role tool misuse. Why the others are not correct: B. Role-description conflict Incorrect Role prompts influence behavior, but they don't inherently break tool selection when tools are available. C. Context window usage Incorrect There's no indication of truncation or missing tool definitions--this is a selection problem, not a capacity problem. D. Coordinator tracking issue Incorrect The failure happens at the subagent decision level, not because the coordinator lacks awareness of tools.

A. Your system prompt needs explicit instructions telling Claude to remember information from earlier turns. Incorrect. Instructions alone don't give the model memory--context must be provided with each request. B. You're not including prior messages in each API request--the stateless API doesn't retain conversation history. Correct. Claude is stateless. If earlier messages aren't passed in the request, it has no awareness of prior vocabulary. C. You need to enable conversation persistence by passing a session ID parameter with each API call. Incorrect. There's no required session ID--memory is handled by including past messages. D. The model's context window has filled up, causing earlier conversation content to be dropped. Incorrect. This would only happen in very long conversations, not typical early testing scenarios.

A. Clear parameter descriptions explaining expected format, such as "user_id: UUID of the user to update (required)" Correct. Clear, human-readable descriptions are the most important guidance for helping Claude understand what values to provide and how parameters should be structured. B. Verbose parameter names encoding format hints, such as user_id_string_uuid_format Incorrect. Overly verbose names reduce readability and are less effective than proper descriptions. C. Strict JSON Schema type constraints marking user_id as required and defining fields_to_update as an object type Incorrect. Schema constraints help validation, but they don't sufficiently explain semantic expectations like the required UUID format. D. Detailed error responses explaining why invalid parameter values were rejected Incorrect. Helpful after failure, but not the most critical factor for preventing mistakes initially.

A. In the first assistant message, instructing Claude to follow these guidelines going forward Incorrect. Assistant messages don't reliably control future behavior and can be overridden by later context. B. Prepended to each user message before sending to the API Incorrect. User messages carry less authority than system-level instructions and are less reliable for enforcing behavior. C. In the system prompt Correct. The system prompt is the highest-priority instruction layer, making it the most reliable place to enforce consistent tone, reasoning style, and questioning behavior. D. In environmental variables that your application passes to the API client Incorrect. Environment variables are not part of the model's context and have no effect on behavior unless explicitly included in the prompt.

A. Set temperature to 0 to eliminate output variability and ensure consistent formatting Incorrect. This reduces randomness but won't fix systematic extraction errors like misinterpreting ranges ("2 to 3"). B. Send a follow-up request including the validation error, asking the model to correct its output Correct. Providing specific validation feedback allows the model to correct the exact issue (e.g., convert "2 to 3" into a valid float), making recovery highly effective. C. Pre-process source documents to standardize problematic formats before sending them for extraction Incorrect. Helpful in some cases, but not scalable or sufficient for diverse real-world variations. D. Implement a secondary pipeline using a larger model tier to reprocess documents that fail validation Incorrect. More expensive and not necessary--targeted correction is more efficient and effective.

A. Structured JSON consumes significantly fewer tokens than natural language, substantially reducing API costs. Incorrect. Token usage depends on the content; JSON is not inherently more compact than text and may sometimes use more tokens. B. The agent can reliably extract specific values without parsing free form text, reducing errors in subsequent operations. Correct. Structured output provides clear, predictable fields, making it easy for the agent to use the data accurately in downstream steps. C. Structured JSON is processed deterministically by the model, significantly improving accuracy when extracting values. Incorrect. The model is still probabilistic; JSON improves structure, but not deterministic processing. D. JSON schemas automatically validate that the underlying API returned correct data before the agent processes it. Incorrect. Schemas define structure, but they do not guarantee correctness of the actual data returned by the API.

A. Persist the complete conversation and tool response history to a database, then call escalate_to_human with a reference ID. Incorrect. Useful operationally, but the human agent still needs a concise, actionable summary rather than raw logs alone. B. Call escalate_to_human passing only the customer's original message. Incorrect. This loses the investigation work already completed and forces the human agent to repeat steps. C. Attempt the refund with process_refund anyway, escalating only if the system rejects the transaction. Incorrect. This violates authorization boundaries and business policy. D. Compile a structured handoff with customer details, order info, and the identified issue before calling escalate_to_human. Correct. A structured handoff preserves context, reduces repetition, and enables efficient continuation by the human agent.

A. Return an empty flight list as if the search succeeded but found no matching flights. Incorrect. This hides the failure and misleads the system into thinking no flights exist, which can lead to incorrect conclusions. B. Log the error internally and return an empty response, letting the model continue without the flight data. Incorrect. This still suppresses the failure signal, preventing the agent from taking corrective action. C. Return an error message in the tool result explaining the service is temporarily unavailable. Incorrect. While transparent, this alone doesn't attempt recovery and may degrade user experience unnecessarily. D. Automatically retry the request up to five times with exponential backoff before returning results to the agent. Correct. This is the most effective approach--handles transient failures gracefully, improves reliability, and only surfaces errors if retries fail.

A. Provide the subagent with tool definitions that allow it to request outputs from other subagents via callbacks. Incorrect. This introduces unnecessary coupling and complexity. Subagents shouldn't need to actively fetch data from others. B. Include the complete findings from both subagents directly in the synthesis subagent's prompt. Incorrect. While simple, this approach does not scale well for large outputs and can exceed context limits, reducing efficiency. C. Pass reference identifiers and configure the subagent with read access to a shared memory store where other subagents deposited their results. Correct. This is the most scalable and production-ready approach. It preserves information fidelity while avoiding context bloat, allowing the synthesis agent to retrieve exactly what it needs. D. Spawn the subagent with only a brief task description, relying on automatic context inheritance from the coordinator. Incorrect. There is no automatic context inheritance--without explicit data access, the synthesis agent cannot function properly.