9,90 €/mois · Sans engagement · Résiliable à tout moment · Accès immédiat
93
examens blancs
6 379
questions
∞
tentatives
19,90 €9,90 €
/mois
Découvrez myexam.fr en 30 secondes
Certifications reconnues mondialement
AWS
Microsoft
PMI
Scrum.org
CompTIA
SAP
ISTQB
Essayez gratuitement
10 questions par certification
Sélectionnez une certification et lisez les corrections détaillées — aucune inscription requise.
* Si les questions sont proposées en anglais, c'est que l'examen officiel ne propose pas la langue française.
Sélectionnez une certification pour afficher les questions.
Question 1 / 10
Quels sont deux avantages de l’informatique en nuage par rapport aux data centers traditionnels ? (Choisissez DEUX réponses)
Sélectionnez toutes les réponses correctes.
A. Élimination des points uniques de défaillance (SPOF).
B. Infrastructure distribuée.
C. Hébergement dédié.
D. Ressources de calcul virtualisées.
E. Capacité de calcul réservée.
✓ Bonne réponse : A, B
Réponse : Élimination des points uniques de défaillance / Infrastructure distribuée. Explication : Le cloud offre une architecture distribuée et la possibilité d’éliminer les SPOF, ce qui améliore la disponibilité et la résilience.
Question 2 / 10
Quelle option est une perspective qui comprend les capacités fondamentales du Cloud Adoption Framework AWS (AWS CAF) ?
A. Durabilité
B. Fiabilité
C. Efficacité des performances
D. Gouvernance
✓ Bonne réponse : D
Réponse : Gouvernance. Explication : Le Cloud Adoption Framework AWS (CAF) comprend six perspectives. La perspective Gouvernance couvre les capacités fondamentales incluant la gestion de programme, la gestion des bénéfices, la gestion des risques et la gestion financière du cloud.
Question 3 / 10
Quelle pratique est recommandée pour la conception de solutions résilientes sur AWS ?
Sélectionnez la bonne réponse.
A. Automatiser les déploiements et les tests pour faciliter l'expérimentation et l'itération rapide.
B. Investir massivement au départ car les modifications architecturales sont coûteuses et complexes.
C. Utiliser des réservations AWS pour réduire les coûts de calcul en environnement de test.
D. Provisionner une capacité de calcul fixe et surdimensionnée pour gérer tous les pics de charge.
✓ Bonne réponse : A
Réponse : Automatiser autant que possible pour faciliter l’expérimentation architecturale. Explication : L’automatisation sur AWS permet de tester rapidement différentes architectures, favorisant l’innovation et la robustesse.
Question 4 / 10
Quel service AWS peut être utilisé sans coûts supplémentaires ?
A. AWS Organizations
B. Amazon SageMaker
C. Amazon CloudWatch
D. AWS Config
✓ Bonne réponse : A
Réponse : AWS Organizations. Explication : AWS Organizations aide à gérer et gouverner de manière centralisée plusieurs comptes AWS sans frais supplémentaires. Les fonctionnalités incluent la facturation consolidée, les stratégies de contrôle des services (SCP) et les unités organisationnelles pour le regroupement des comptes.
Question 5 / 10
Quel service AWS permet de gérer l’infrastructure comme du code ?
Sélectionnez la bonne réponse.
A. Amazon EMR.
B. AWS Config.
C. Amazon SES.
D. AWS CloudFormation.
✓ Bonne réponse : D
Réponse : AWS CloudFormation. Explication : AWS CloudFormation permet de décrire et provisionner l’infrastructure AWS via des templates, comme du code.
Question 6 / 10
Un auditeur externe demande un journal de tous les accès aux ressources AWS de votre compte. Quel service fournir cette information ?
Sélectionnez la bonne réponse.
A. AWS CloudFormation.
B. Amazon CloudFront.
C. AWS CloudTrail.
D. Amazon CloudWatch.
✓ Bonne réponse : C
Réponse : AWS CloudTrail. Explication : AWS CloudTrail consigne tous les appels d’API et accès sur les ressources AWS du compte.
Question 7 / 10
Que signifie le concept d'agilité dans le cloud computing AWS ? (Choisissez deux réponses.)
A. C) La capacité à expérimenter rapidement
B. B) La vitesse à laquelle AWS crée de nouvelles régions AWS
C. D) L'élimination de la capacité gaspillée
D. E) Le faible coût d'entrée dans le cloud computing
E. A) La vitesse à laquelle les ressources AWS sont implémentées
✓ Bonne réponse : A, E
Réponse : A) La vitesse à laquelle les ressources AWS sont implémentées ; C) La capacité à expérimenter rapidement. L'agilité du cloud signifie la capacité à provisionner rapidement des ressources en minutes au lieu de semaines pour les infrastructures locales, et à expérimenter économiquement. Les développeurs peuvent créer des environnements de test, essayer des idées et les supprimer sans investissement initial important.
Question 8 / 10
Dans le plan support Entreprise AWS, quel service fournit des conseils architecturaux et d’optimisation de l’échelle ?
Sélectionnez la bonne réponse.
A. AWS Health Dashboard.
B. AWS Support Concierge Service.
C. AWS Knowledge Center.
D. Infrastructure Event Management.
✓ Bonne réponse : D
Réponse : Infrastructure Event Management. Explication : L’option Infrastructure Event Management offre des conseils spécialisés lors de pics d’activité ou de lancement importants.
Question 9 / 10
Une organisation achète une Reserved Instance EC2 pour 3 ans. Si la charge change, quel type d’instance permet l’échange contre une instance plus puissante ?
Sélectionnez la bonne réponse.
A. Standard RI.
B. Convertible RI.
C. Elastic RI.
D. Premium RI.
✓ Bonne réponse : B
Réponse : Convertible RI. Explication : Seules les Reserved Instances ‘Convertible’ permettent l’échange pour d’autres types ou tailles d’instances EC2 durant la période de réservation.
Question 10 / 10
Une entreprise exécute des milliers de simulations simultanées à l'aide d'AWS Batch. Chaque simulation est sans état, tolère les pannes et s'exécute jusqu'à 3 heures. Quel modèle de tarification permet à l'entreprise d'optimiser les coûts et de répondre à ces exigences ?
A. B) Instances Spot
B. C) Instances à la demande
C. D) Instances dédiées
D. A) Instances réservées
✓ Bonne réponse : A
Réponse : B) Instances Spot. Les Instances Spot offrent jusqu'à 90 % de réduction par rapport à la tarification à la demande et sont idéales pour les charges de travail sans état et tolérantes aux pannes qui peuvent supporter les interruptions. Les simulations sans état et interruptibles constituent un cas d'usage parfait pour Spot, permettant à l'entreprise de réaliser des économies significatives tout en respectant les exigences de résilience.
Les Guardrails Bedrock peuvent détecter et filtrer des sorties contenant des informations personnelles.
A. Vrai
B. Faux
✓ Bonne réponse : A
Guardrails Bedrock et détection PII : Les Guardrails sont des mécanismes de sécurité qui inspectent les entrées et sorties des modèles IA pour identifier et filtrer les informations personnelles (PII : noms, emails, numéros, adresses). Contrairement aux simples filtres de contenu, ils appliquent des politiques configurables qui peuvent bloquer, rediriger ou masquer les données sensibles, protégeant ainsi la conformité et la confidentialité des utilisateurs.
Question 2 / 10
Quel service AWS natif est spécialisé dans l'analyse de sentiments, l'extraction d'entités nommées et la classification de texte ?
A. Amazon Textract
B. Amazon Comprehend
C. AWS Glue DataBrew
D. Amazon Lex
✓ Bonne réponse : B
Amazon Comprehend : service NLP natif AWS spécialisé dans l'analyse de texte non structuré. Il détecte automatiquement les sentiments (positif/négatif/neutre), extrait les entités nommées (personnes, lieux, organisations) et classe les documents. Contrairement à Lex (chatbots conversationnels), Textract (OCR/documents scannés) ou DataBrew (préparation de données), Comprehend analyse exclusivement le contenu sémantique du texte.
Question 3 / 10
Le déploiement Asynchronous Inference est inadapté aux payloads volumineux et aux traitements longs.
A. Vrai
B. Faux
✓ Bonne réponse : B
Async Inference : service AWS conçu spécifiquement pour traiter des payloads volumineux et des tâches longues asynchronement. Contrairement à Real-Time Inference limité par des timeouts (15 min max), Async permet des traitements sans contrainte temporelle, stocke les résultats dans S3, et optimise les coûts en ressources. Idéal pour batch processing, traitement d'images haute résolution ou modèles complexes.
Question 4 / 10
Amazon Transcribe est la première étape recommandée pour convertir des appels audio en texte avant NLP.
A. Faux
B. Vrai
✓ Bonne réponse : B
Transcription audio → NLP : Amazon Transcribe convertit les appels audio en texte, étape indispensable avant tout traitement NLP. Sans cette conversion, les services NLP (Comprehend, Lex) ne peuvent traiter que du texte. C'est le pipeline standard : Audio → Transcribe → Texte → NLP/Analyse.
Question 5 / 10
Pour des données PDF scannées à transformer en texte avant RAG, quel service utiliser ?
A. Amazon Personalize
B. Amazon Transcribe
C. Amazon Textract
D. Amazon Lex
✓ Bonne réponse : C
Amazon Textract : service spécialisé dans l'extraction de texte et de structures (tableaux, formulaires) à partir de documents scannés ou d'images PDF. Essentiel pour le pré-traitement avant RAG, car il convertit les PDFs non-textuels en données exploitables. À différencier : Transcribe traite l'audio, Lex gère les chatbots conversationnels, Personalize optimise les recommandations.
Question 6 / 10
Les PDPs (Partial Dependence Plots) expliquent la relation entre une feature et la sortie moyenne du modèle.
A. Vrai
B. Faux
✓ Bonne réponse : A
Partial Dependence Plots (PDPs) : visualisent l'effet marginal moyen d'une feature sur les prédictions en moyennant les autres variables. Ils isolent l'impact d'une seule variable indépendamment de ses interactions, permettant d'interpréter comment le modèle réagit aux changements de cette feature. Contrairement aux graphiques de dépendance individuelle (ICE plots) qui montrent des trajectoires par instance, les PDPs agrègent ces effets pour révéler la tendance globale du modèle.
Question 7 / 10
Qu'est-ce qu'un modèle de fondation (Foundation Model) ?
A. Un modèle léger déployable sur des appareils IoT pour l'inférence en temps réel
B. Un modèle ML entraîné sur un seul domaine très spécifique pour atteindre une précision maximale
C. Un grand modèle pré-entraîné sur des données massives et adaptable à de multiples tâches via prompting ou fine-tuning
D. Un ensemble de règles expertes codées manuellement pour simuler le raisonnement humain
✓ Bonne réponse : C
Un modèle de fondation est un large modèle de machine learning pré-entraîné sur des quantités massives de données (texte, images, code, etc.) qui peut être adapté à de nombreuses tâches via fine-tuning ou prompting. Contrairement aux modèles spécialisés entraînés pour une tâche unique, les modèles de fondation sont polyvalents. Claude (Anthropic), Titan (Amazon), Llama (Meta) sont des exemples. Leur taille et leur coût d'entraînement les rendent inaccessibles à la plupart des organisations sans services cloud.
Question 8 / 10
Une startup FinTech doit générer automatiquement des rapports d'analyse de données financières structurées (CSV, JSON) en narratifs professionnels. Quel approche est la plus efficace ?
A. Textract pour extraire les données financières des documents
B. Forecast pour prédire les futures valeurs
C. Bedrock avec prompt engineering pour transformer données en narratifs contextualisés
D. Polly pour générer audio des rapports uniquement
✓ Bonne réponse : C
Narrativisation de données : Les modèles fondations excèlent à transformer données brutes en proses naturelles, insight business et explications. Bedrock avec prompt structuré (templates, exemples) crée rapports cohérents, scalables et professionnels à bas coût.
Question 9 / 10
Qu’est-ce qui détermine la quantité maximale de texte que l’on peut inclure dans un prompt Bedrock ?
A. Taille du fichier d’input
B. Température
C. Fenêtre de contexte du modèle
D. Batch size
✓ Bonne réponse : C
Fenêtre de contexte : limite maximale de tokens (mots/sous-mots) qu'un modèle peut traiter en entrée et en sortie combinées. Elle détermine directement la longueur du prompt accepté. Contrairement au batch size (nombre de requêtes parallèles), à la température (créativité) ou à la taille fichier (format), seule la fenêtre de contexte contrôle la capacité textuelle du modèle Bedrock.
Question 10 / 10
Pour réduire l'empreinte énergétique et environnementale lors du training de modèles de langage sur EC2, quel type d'instance est optimisé ?
A. EC2 C (CPU compute) - processeurs CPU standard
B. EC2 G (graphique/inférence) - optimisées pour le rendu graphique
C. EC2 P (GPU à usage général) - GPUs polyvalentes
D. EC2 Trn (Trainium) - accélérateurs spécialisés pour l'entraînement
✓ Bonne réponse : D
Instances EC2 Trn (Trainium) : accélérateurs spécialisés conçus par AWS pour l'entraînement de modèles de deep learning. Contrairement aux GPU P (polyvalents) ou G (graphique), Trainium offre un rendement énergétique supérieur grâce à son architecture dédiée au training, réduisant significativement coûts et empreinte carbone.
Que signifie dire qu'un événement est "time-boxé" ?
A. L'événement doit durer au moins un temps minimum.
B. L'événement ne peut pas dépasser une durée maximale.
C. L'événement doit se produire avant une heure donnée.
D. L'événement doit se produire à une heure fixe.
✓ Bonne réponse : B
Réponse : L'événement ne peut pas dépasser une durée maximale fixée. Explication : Une time-box est une durée maximale fixe pour un événement Scrum. L'événement doit se terminer lorsque son objectif est atteint, même si le temps maximum n'a pas été écoulé. Il ne peut pas être prolongé au-delà de cette durée maximale.
Question 2 / 10
Qu'est-ce que le Product Goal ?
A. La description d'un état futur du produit servant d'objectif à long terme
B. Un objectif à court terme pour le prochain Sprint
C. Une liste de fonctionnalités demandées par les parties prenantes
D. Un KPI permettant de mesurer le succès du produit
✓ Bonne réponse : A
Product Goal : Une vision à long terme décrivant l'état futur souhaité du produit, qui guide la planification et les décisions de la Scrum Team. Contrairement aux Sprint Goals (à court terme), il fournit une orientation stratégique. Il se distingue des listes de fonctionnalités (qui sont tactiques) et des KPIs (qui mesurent les résultats plutôt que de définir une vision).
Question 3 / 10
La Sprint Retrospective est limitée dans le temps à 4 heures pour un Sprint d'un mois.
A. Faux
B. Vrai
✓ Bonne réponse : A
Timebox de la Sprint Retrospective : La Sprint Retrospective est limitée à un maximum de 3 heures pour un Sprint d'un mois, et non 4 heures. Le Guide Scrum spécifie des timeboxes précises en fonction de la durée du Sprint : les Sprints plus courts ont des rétrospectives proportionnellement plus courtes. Cela garantit une réflexion ciblée sans durée excessive.
Question 4 / 10
Cinq nouvelles Scrum Teams ont été créées pour développer un seul produit. Quelques développeurs de l'une des Scrum Teams demandent au Scrum Master comment coordonner leur travail avec les autres équipes. Que devrait faire le Scrum Master ?
A. Rendre visite aux cinq équipes chaque jour pour vérifier que leurs Sprint Backlogs sont alignés.
B. Collecter les tâches du Sprint auprès des équipes à la fin de leur Sprint Planning et les fusionner en un plan consolidé pour l'ensemble du Sprint.
C. Apprendre au Product Owner à travailler avec les développeurs principaux pour ordonner le Product Backlog de manière à éviter trop de chevauchements techniques et de développement durant un Sprint.
D. Leur expliquer qu'il est de leur responsabilité de collaborer avec les autres équipes afin de produire un Increment intégré incluant le travail des cinq équipes.
✓ Bonne réponse : D
Réponse : Leur enseigner qu'il est de leur responsabilité de travailler avec les autres équipes pour créer un Increment intégré. Explication : Le Scrum Master accompagne les équipes sur l'auto-organisation et l'intégration. Plusieurs équipes doivent se coordonner pour produire un Increment unique et intégré ; c'est une responsabilité des équipes, et non le rôle du Scrum Master de coordonner à leur place.
Question 5 / 10
Que doit-il se passer si le travail du Sprint n'est pas terminé à la fin de celui-ci ?
A. Les Developers font des heures supplémentaires
B. Le Sprint est prolongé
C. Le Scrum Master retire les éléments
D. Le travail non terminé est réintégré dans le Product Backlog
✓ Bonne réponse : D
Intégrité de la boîte de temps du Sprint : Les Sprints ont une durée fixe et ne peuvent pas être prolongés. Les éléments non terminés retournent dans le Product Backlog pour être repriorisés, préservant ainsi la prévisibilité. Les heures supplémentaires et la suppression unilatérale d'éléments vont à l'encontre du rythme soutenable et des principes collaboratifs de Scrum.
Question 6 / 10
La Sprint Review est une réunion de suivi lors de laquelle les Developers rendent compte de leur avancement à la direction.
A. Vrai
B. Faux
✓ Bonne réponse : B
Faux. La Sprint Review est une session de travail et un événement collaboratif, et non une réunion de statut. Elle implique la Scrum Team et les parties prenantes qui inspectent l'Incrément.
Question 7 / 10
Le Sprint Goal peut être modifié par les Developers pendant le Sprint si nécessaire.
A. Faux
B. Vrai
✓ Bonne réponse : A
Faux. Le Sprint Goal est créé lors du Sprint Planning et ne change pas durant le Sprint. Le périmètre du Sprint Backlog peut être négocié, mais pas le Sprint Goal.
Question 8 / 10
Quel est le rôle du management dans Scrum ? (Choisissez la meilleure réponse.)
A. Surveiller la productivité de la Development Team.
B. Identifier et écarter les personnes qui ne fournissent pas suffisamment d'efforts.
C. Fournir à la Scrum Team des informations et des ressources qui l'aident à s'améliorer.
D. Surveiller en permanence les effectifs de la Scrum Team.
✓ Bonne réponse : C
Réponse : Présenter aux Scrum Teams des informations et des ressources qui les aident à s'améliorer. Explication : Le rôle du management dans Scrum est de soutenir les équipes en supprimant les obstacles systémiques, en fournissant des ressources et en offrant un contexte stratégique — et non de gérer ou de diriger le travail de l'équipe.
Question 9 / 10
Le Scrum Master doit assister à toutes les réunions externes au nom de la Scrum Team.
A. Faux
B. Vrai
✓ Bonne réponse : A
Faux. Le Scrum Master ne représente pas l'équipe lors de toutes les réunions externes. Son rôle est de servir l'équipe et de faciliter la collaboration, et non de protéger l'équipe de tout contact externe.
Question 10 / 10
Quelles sont les deux manières efficaces pour la Scrum Team de rendre visibles les exigences non fonctionnelles ? (Choisissez deux réponses.)
A. Exécuter les tests d'intégration et de régression avant la fin du Sprint, et consigner le travail restant dans le Sprint Backlog du prochain Sprint.
B. Les inscrire sur une liste séparée sur le tableau Scrum, accessible à tous.
C. Les ajouter au Product Backlog afin d'assurer la transparence.
D. Les intégrer à la Definition of Done afin que ce travail soit pris en compte à chaque Sprint.
✓ Bonne réponse : C, D
Réponse : Les ajouter au Product Backlog ; les intégrer à la Definition of Done. Explication : Les exigences non fonctionnelles peuvent être rendues visibles en les plaçant explicitement comme éléments du Product Backlog et/ou en les intégrant à la Definition of Done afin qu'elles soient vérifiées à chaque Sprint.
Le PO définit le contenu de la Sprint Retrospective.
Répondez par Vrai ou Faux.
A. Vrai
B. Faux
✓ Bonne réponse : B
Concept clé : La Sprint Retrospective est un événement Scrum appartenant à l'équipe de développement et facilité par le Scrum Master, sans être contrôlé par le Product Owner. Bien que le PO puisse y assister et y participer, il n'en définit ni le contenu ni l'ordre du jour. La Retrospective se concentre sur les améliorations des processus de l'équipe, les modes de collaboration et les façons de travailler — ce qui est distinct du rôle du PO dans la gestion de la valeur produit et des priorités du Backlog. L'équipe détermine ce qu'elle doit inspecter et adapter concernant ses processus, faisant de cet événement une activité pilotée par l'équipe et auto-organisée, plutôt qu'une activité dirigée par le PO.
Question 2 / 10
Quel est le but du refinement ?
Choisissez la meilleure réponse.
A. Améliorer la clarté et l'estimation des éléments du backlog
B. Rédiger le diagramme de Gantt
C. Augmenter la vélocité
D. Attribuer les tâches
✓ Bonne réponse : A
Réponse : Améliorer la clarté et le dimensionnement des éléments du Backlog. Explication : Le Refinement réduit l'incertitude, améliore la compréhension et prépare les éléments en vue de leur sélection future. Il s'agit d'une activité continue, et non d'un événement formel.
Question 3 / 10
À quelle fréquence la satisfaction client doit-elle être mesurée ? (Choisissez la meilleure réponse.)
A. Trimestriellement.
B. Annuellement.
C. Fréquemment.
D. Quotidiennement.
✓ Bonne réponse : C
Réponse : Fréquemment. Explication : La satisfaction client doit être mesurée aussi souvent que possible — idéalement à chaque Sprint — afin de disposer d'un retour d'information en temps utile sur la valeur apportée par le produit. Une mesure peu fréquente retarde l'apprentissage et les ajustements nécessaires.
Question 4 / 10
Le Product Owner peut déléguer des activités de gestion du Product Backlog. Quelle affirmation est vraie ?
A. Le Product Owner perd sa responsabilité une fois les tâches déléguées
B. La délégation nécessite une approbation écrite de la direction
C. Seul le Scrum Master peut recevoir des tâches de backlog déléguées
D. Le Product Owner reste responsable même lorsqu'il délègue des activités de gestion à d'autres personnes
✓ Bonne réponse : D
Pourquoi la réponse correcte est juste : Selon le Guide Scrum, même si le Product Owner peut déléguer des activités de gestion du Product Backlog, il reste en définitive responsable du Product Backlog et de son efficacité. La délégation est un outil permettant de distribuer le travail, et non de transférer la responsabilité.
Pourquoi les autres réponses sont incorrectes : Le Product Owner ne perd PAS sa responsabilité en déléguant — la responsabilité ne peut pas être déléguée, seules les tâches peuvent l'être. Le Scrum Master n'est pas la seule personne pouvant recevoir du travail délégué ; le Product Owner peut déléguer à toute personne de son choix. De plus, le Guide Scrum n'exige pas d'approbation écrite de la direction pour déléguer des activités liées au backlog.
Question 5 / 10
Le SM est responsable de l'efficacité de l'équipe.
Répondez par Vrai ou Faux.
A. Faux
B. Vrai
✓ Bonne réponse : B
Responsabilité fondamentale du Scrum Master : Le Scrum Master est responsable de l'efficacité de l'équipe en supprimant les obstacles, en facilitant les cérémonies et en favorisant un environnement auto-organisé. Contrairement au Product Owner qui gère la valeur du produit, ou à l'équipe de développement qui livre les Increments, le Scrum Master permet spécifiquement à l'équipe de fonctionner à son niveau de performance optimal grâce au leadership au service des autres et à l'optimisation des processus.
Question 6 / 10
Le Product Backlog peut inclure des risques et des spikes.
Répondez par Vrai ou Faux.
A. Vrai
B. Faux
✓ Bonne réponse : A
Réponse : Vrai. Explication : Tout ce qui contribue à maximiser la valeur du produit peut être inclus dans le Product Backlog, y compris les risques et les spikes exploratoires.
Question 7 / 10
Vrai ou Faux : Le Product Owner s'assure que les bonnes parties prenantes sont invitées à la Sprint Retrospective. Elles pourraient avoir des recommandations importantes pour l'amélioration de l'équipe.
A. Faux
B. Vrai
✓ Bonne réponse : A
Réponse : Faux. Explication : Les parties prenantes sont invitées à la Sprint Review, et non à la Sprint Retrospective. La Retrospective est un événement privé réservé à l'équipe. Le Product Owner y participe, mais n'y invite pas les parties prenantes externes.
Question 8 / 10
Qui est responsable de la transparence du Product Backlog ?
Choisissez la meilleure réponse.
A. Le Product Owner
B. Les Developers
C. Le Scrum Master
D. Le manager
✓ Bonne réponse : A
Transparence du Product Backlog : Le Product Owner est seul responsable de la tenue d'un Product Backlog clair, bien organisé et compréhensible par toutes les parties prenantes — y compris l'équipe Scrum, les dirigeants et les clients. Cette transparence permet une prise de décision éclairée, réduit les malentendus et garantit l'alignement sur les priorités. Bien que le Scrum Master facilite les processus Scrum et que les Developers mettent en œuvre les éléments du Backlog, aucun des deux n'est responsable de la clarté de celui-ci. Le Product Owner doit continuellement affiner, ordonner et communiquer les éléments du Backlog afin de créer une compréhension partagée de ce qui sera construit et pour quelles raisons.
Question 9 / 10
Qui décide du nombre de PBIs qui seront réalisés durant le Sprint ?
Choisissez la meilleure réponse.
A. SM
B. Developers
C. Manager
D. PO
✓ Bonne réponse : B
Réponse : Les Développeurs. Explication : Les Développeurs sélectionnent le nombre d'éléments en se basant sur leur propre évaluation de leur capacité et leur compréhension du travail à réaliser.
Question 10 / 10
Durant un Sprint, est-il possible d'ajouter du travail au Sprint Backlog ?
Choisissez la meilleure réponse.
A. À tout moment, par les Developers
B. Avec validation écrite des parties prenantes
C. Uniquement durant le Daily Scrum
D. Après approbation du Scrum Master
✓ Bonne réponse : A
Réponse : Oui, chaque fois que nécessaire, par les Développeurs. Explication : Le Sprint Backlog est un plan vivant ; les Développeurs y ajoutent du travail dès qu'ils identifient que cela est nécessaire pour atteindre l'Objectif du Sprint.
Quelle est la meilleure stratégie de réponse à un risque présentant une probabilité élevée mais un impact financier faible ?
Sélectionnez la bonne réponse.
A. Mettre en place une surveillance active et des plans de contournement pour réduire la probabilité
B. Éviter complètement le risque en éliminant l'activité associée
C. Transférer le risque à un tiers (assurance, sous-traitant)
D. Accepter le risque sans surveillance puisque l'impact est faible
✓ Bonne réponse : A
Stratégie face à risque probable mais faible impact : Selon le PMBOK 7e, face à une probabilité élevée mais impact financier faible, la surveillance active combinée à des plans de contournement est optimale. Cette approche réduit la probabilité d'occurrence (contrairement à l'acceptation passive). L'évitement serait disproportionné, la transférence coûteuse. On privilégie donc l'atténuation du risque : surveiller activement permet d'intervenir rapidement si le risque se matérialise.
Question 2 / 10
Votre sponsor vous suggère de cacher certains problèmes du projet pour préserver la réputation de l'équipe auprès de la direction. Comment devez-vous réagir ?
Comment devriez-vous réagir selon le principe de gérance responsable (stewardship) du PMBOK7 ?
A. Accepter de dissimuler les problèmes pour protéger l'image du projet et de l'équipe
B. Refuser la demande et rester transparent sur les problèmes, en agissant avec intégrité malgré la pression
C. Demander à un membre de l'équipe de communiquer à votre place afin d'éviter d'être tenu responsable
D. Différer la résolution des problèmes en espérant qu'ils se résoudront d'eux-mêmes sans être détectés
✓ Bonne réponse : B
Le principe de gérance responsable (stewardship) prône l\'intégrité, l\'honnêteté et la responsabilité. Le chef de projet doit agir avec éthique et transparence, même sous la pression, en informant honnêtement des problèmes plutôt que de les dissimuler.
Question 3 / 10
Un indicateur SPI = 1 et CPI = 0,8. Quelle est la situation du projet ?
Sélectionnez la bonne réponse.
A. Respecte le calendrier mais dépasse le budget
B. Respecte le budget mais est en retard
C. Respecte budget et calendrier
D. Dépasse budget et calendrier
✓ Bonne réponse : A
Indice de performance SPI et CPI : SPI (Schedule Performance Index) mesure l'avancement réel vs planifié ; CPI (Cost Performance Index) mesure le coût réel vs budgété. Un SPI = 1 signifie avancement conforme au calendrier. Un CPI = 0,8 (inférieur à 1) indique un dépassement budgétaire : on dépense 1,25€ pour chaque euro budgété. Le projet avance donc à temps mais consomme plus de ressources que prévu.
Question 4 / 10
Un chef de projet observe des conflits répétés au sein de l’équipe.
Quelle action du domaine Équipe est appropriée ?
A. Réassigner immédiatement les membres sans discussion.
B. Faciliter une discussion ouverte pour résoudre les conflits.
C. Sanctionner l’équipe pour manque de discipline.
D. Ignorer les tensions pour gagner du temps.
✓ Bonne réponse : B
Gestion des conflits et leadership servile : Selon le PMBOK 7e édition, le domaine de performance "Équipe" exige que le chef de projet adopte un style de leadership servile, mettant l'accent sur la résolution collaborative des conflits plutôt que sur l'autoritarisme. Faciliter une discussion ouverte permet d'identifier les causes profondes des tensions, de favoriser la compréhension mutuelle et de renforcer la cohésion d'équipe. Cette approche respecte les valeurs agiles de communication transparente et d'amélioration continue. Les conflits non gérés peuvent escalader et dégrader la performance du projet. Ignorer les tensions aggrave les problèmes, réassigner les membres sans dialogue contourne le problème réel, et sanctionner l'équipe crée un environnement de crainte qui inhibe la collaboration. La facilitation constructive du dialogue, fondée sur l'écoute active et la médiation, est la pratique recommandée pour transformer les désaccords en opportunités d'apprentissage collectif et renforcer la maturité émotionnelle de l'équipe.
Question 5 / 10
Un projet atteint sa phase de clôture mais certaines parties prenantes demandent l'ajout de nouvelles fonctionnalités en dehors du périmètre initial. Quelle est la meilleure action du chef de projet ?
Sélectionnez la bonne réponse.
A. Reprendre immédiatement la phase d'exécution pour intégrer les nouvelles fonctionnalités
B. Ignorer silencieusement les demandes pour terminer le projet à temps
C. Accepter les nouvelles fonctionnalités immédiatement pour satisfaire les parties prenantes
D. Documenter les demandes, expliquer que la phase de clôture est en cours, et proposer un processus formel de changement ou un nouveau projet
✓ Bonne réponse : D
Réponse : Expliquer que les demandes doivent être traitées comme de nouveaux projets ou via un processus de changement formel.
Question 6 / 10
Quels sont les objectifs principaux d’une réunion de lancement (kick-off) ?
Sélectionnez toutes les réponses correctes.
A. Aligner les parties prenantes
B. Clôturer le projet
C. Clarifier les rôles et responsabilités
D. Présenter les objectifs
✓ Bonne réponse : A, C, D
Réunion de lancement (Kick-off Meeting) : Cette réunion marque le début officiel du projet et constitue un moment critique pour établir les fondations de la collaboration. Ses objectifs principaux sont triples : Présenter les objectifs du projet permet à toutes les parties prenantes de comprendre la vision, les livrables attendus et les critères de succès ; Aligner les parties prenantes crée un consensus sur la direction du projet, les attentes mutuelles et les dépendances entre équipes ; Clarifier les rôles et responsabilités élimine les ambiguïtés concernant qui fait quoi, évitant ainsi les doublons ou les lacunes. Selon le PMBOK 7e édition, le kick-off intègre les principes de gestion adaptative en favorisant l'engagement collectif et la transparence dès le départ. La réponse exclut correctement "Clôturer le projet" car cet objectif correspond à la réunion de clôture (closing), non de lancement. Cette réunion établit le contrat psychologique entre l'équipe et les stakeholders, essentiel pour réduire les risques de malentendus et d'échec précoce du projet.
Question 7 / 10
Un membre de l'équipe a du mal à livrer ses tâches car il manque de maîtrise d'un nouveau système critique au projet. Il a demandé de l'aide mais le délai du sprint approche. Quelle action est la plus appropriée ?
Sélectionnez la bonne réponse.
A. Laisser le membre apprendre seul par essais-erreurs sans le ralentir davantage
B. Escalader immédiatement le problème au sponsor sans exploration de solutions locales
C. Affecter une ressource expérimentée pour former et épauler le membre en pair-programming ou mentoring
D. Émettre une demande de changement auprès du sponsor pour prolonger automatiquement le projet
✓ Bonne réponse : C
Réponse : Affecter une ressource expérimentée pour le soutenir. Cela réduit le risque de retard et favorise le transfert de compétences.
Question 8 / 10
Quel document décrit les objectifs commerciaux attendus et les critères de succès justifiant le lancement d'un projet ?
A. Plan de management du projet
B. Business case
C. Charte de projet
D. Plan de réalisation des bénéfices
✓ Bonne réponse : B
Business case : document de justification commerciale présenté avant le lancement, décrivant les objectifs métier, bénéfices attendus et critères de succès. Contrairement à la charte (document officiel de démarrage du projet) et au plan de management (directives d'exécution), le business case répond à la question « pourquoi faire ce projet ? »
Question 9 / 10
Un projet dépend d'un fournisseur critique qui rencontre des difficultés financières. Quelle est la meilleure stratégie de gestion des risques ?
Quelle réponse au risque est la plus appropriée ?
A. Attendre que le fournisseur déclare faillite avant de chercher une alternative
B. Ignorer la situation et espérer que le fournisseur se redresse
C. Continuer sans aucune mitigation et accepter le risque sans préparation
D. Identifier un fournisseur alternatif et développer un plan de contingence documenté
✓ Bonne réponse : D
Gestion proactive des risques fournisseur : Selon le PMBOK 7e édition, la gestion des risques comprend l'identification, l'analyse et la réponse aux risques. Face à un fournisseur critique en difficulté financière, la meilleure stratégie combine deux éléments essentiels : l'atténuation du risque (identifier un fournisseur alternatif pour réduire la probabilité d'interruption) et la planification de contingence (documenter un plan d'action pour activer rapidement l'alternative si nécessaire). Cette approche proactive s'inscrit dans une démarche de planifier les réponses aux risques, élément clé du processus de gestion des risques. Contrairement aux autres options : ignorer la situation abandonne le projet à la merci d'un événement probable ; attendre la faillite laisse le projet sans ressources critiques à un moment crucial ; accepter sans mitigation viole les bonnes pratiques de gouvernance. La documentation du plan de contingence garantit une réactivité rapide et coordonnée si le risque se matérialise, minimisant ainsi l'impact sur le calendrier et le budget du projet.
Question 10 / 10
Un client demande d'accélérer la livraison d'un incrément sans changer le périmètre ni la qualité. Quelle est votre meilleure approche ?
Quelle est la meilleure première action en tant que chef de projet selon l’orientation valeur du PMBOK7 ?
A. Réduire discrètement l'intensité des tests pour gagner du temps sans affecter la date
B. Augmenter le budget sans validation formelle afin d'ajouter rapidement des ressources
C. Mener une analyse d'impact sur les coûts, risques et qualité, puis discuter des compromis acceptables avec les parties prenantes
D. Promettre la nouvelle date sans évaluation détaillée pour satisfaire immédiatement le client
✓ Bonne réponse : C
L’orientation valeur implique d’évaluer l’impact (coût, risques, qualité) avant d’accepter une contrainte de délai. Une analyse d’impact permet d’éclairer la décision et le compromis valeur/contraintes.
Pourquoi la gestion de configuration est-elle essentielle dans un projet où plusieurs versions logicielles sont testées en parallèle ?
A. Pour éviter que les développeurs modifient le code en même temps
B. Pour centraliser tous les plans de test dans un seul fichier
C. Pour garantir que chaque version du logiciel est testée avec les bonnes données, scripts et environnements
D. Pour s’assurer que les tests manuels sont plus rapides
✓ Bonne réponse : A
Cette question correspond à l’objectif d’apprentissage FL-5.4.1 (K2) – Résumer la manière dont la gestion de configuration soutient les tests.
● a) Faux → Ce serait insuffisant, et trop simpliste. ● b) Faux → Ce n’est ni lié à la vitesse ni au type de test.
● c) Correct → C’est l’essence même de la gestion de configuration dans un contexte de test multi-version.
● d) Faux → Cela relève du contrôle de version de code, pas du test.
Question 2 / 10
Quels types de revues (1-4) correspondent aux descriptions suivantes (A-D) ?
1. Évaluation informelle d’un document sans processus strict2. Vérification détaillée basée sur un processus formel avec modérateur3. Examen technique impliquant un groupe d’experts métier4. Analyse collaborative des documents entre collègues pour identifier des erreursA. InspectionB. Revue informelleC. Revue techniqueD. Revue par les pairsSélectionnez UNE réponse.
A. 1D, 2A, 3B, 4C
B. 1B, 2D, 3A, 4C
C. 1B, 2A, 3C, 4D
D. 1A, 2C, 3D, 4B
✓ Bonne réponse : C
Cette question correspond à l’objectif d’apprentissage FL-3.2.4 (K2) – Comparer et opposer les différents types de revues. La bonne réponse est d) 1B, 2A, 3C, 4D ● 1B) Correct → Une revue informelle ne suit pas de processus strict. ● 2A) Correct → L’inspection est une revue très structurée avec un modérateur et des checklists. ● 3C) Correct → Une revue technique implique des experts métier ou techniques pour examiner un document. ● 4D) Correct → La revue par les pairs est une analyse collaborative des documents.
Question 3 / 10
Quel est un risque potentiel d’une équipe de test totalement indépendante ?
A. Un manque de compréhension du produit et des objectifs métier.
B. Une réduction des conflits d’intérêts avec les développeurs.
C. Une meilleure objectivité dans l’identification des défauts.
D. Une amélioration de la rapidité d’exécution des tests.
✓ Bonne réponse : A
Cette question correspond à l’objectif d’apprentissage FL-1.5.3 (K2) – Distinguer les avantages et les inconvénients de l\'indépendance du test.
● a) Correct → Une équipe trop indépendante peut manquer d’informations essentielles sur le produit et son contexte d’utilisation. ● b) Faux → Une plus grande objectivité est un avantage, et non un inconvénient. ● c) Faux → Une séparation trop marquée peut au contraire augmenter les conflits entre testeurs et développeurs. ● d) Faux → Une équipe totalement indépendante n’accélère pas forcément les tests, cela dépend de l’organisation en place.
Question 4 / 10
Un développeur junior n\'est pas sûr de la façon de transformer ce scénario en tests exécutables pour l\'ATDD. Quelle approche serait la PLUS EFFICACE pour améliorer ce scénario en respectant les principes de l\'ATDD ?
Une équipe de développement agile travaille sur un portail de services financiers où les clients peuvent demander différents types de prêts. L\'équipe a choisi d\'utiliser le L’ATDD.Lors d\'un atelier collaboratif, l\'équipe a élaboré le scénario suivant pour une nouvelle fonctionnalité :Fonctionnalité : Vérification d\'éligibilité au prêt immobilierEn tant que demandeur de prêtJe veux connaître mon éligibilité à un prêt immobilier avant de soumettre une demande complèteAfin d\'éviter de perdre du temps sur des demandes qui seraient refuséesScénario: Vérification d\'éligibilité réussieÉtant donné que je suis sur la page de vérificationd\'éligibilitéQuand je saisis mon revenu annuel, mon historique de crédit et la valeur du bienAlors le système devrait m\'indiquer si je suis éligible pourun prêt immobilier Sélectionnez UNE réponse.
A. Confier la responsabilité de l\'écriture des tests aux testeurs spécialisés après le développement, car l\'ATDD nécessite une expertise en automatisation que les développeurs ne possèdent généralement pas
B. Reformuler le scénario en incluant plusieurs exemples concrets avec différentes valeurs d\'entrée et les résultats attendus correspondants, en utilisant un format tabulaire pour faciliter l\'automatisation
C. Séparer ce scénario en plusieurs tests unitaires pour chaque condition d\'éligibilité, puis intégrer ces tests dans une suite de tests de non-régression exécutée après chaque sprint
D. Ajouter des détails techniques sur l\'implémentation, comme les appels API à utiliser et les structures de données attendues, pour guider le développement
✓ Bonne réponse : B
Cette question correspond à l\'objectif d\'apprentissage FL-4.5.3 (K3) - Utiliser le développement piloté par les tests d\'acceptation (ATDD) pour dériver les cas de tests.
● a) Faux → Cette approche confond les tests unitaires avec les tests d\'acceptation. Dans l\'ATDD, l\'objectif est de créer des tests d\'acceptation automatisés qui valident les comportements attendus du point de vue de l\'utilisateur, pas de décomposer le scénario en tests unitaires.
● b) Faux → Ajouter des détails techniques d\'implémentation va à l\'encontre des principes de l\'ATDD. Les tests d\'acceptation doivent se concentrer sur le comportement observable et les critères d\'acceptation métier, pas sur les détails d\'implémentation technique.
● c) Correct → Cette approche est parfaitement alignée avec les principes de l\'ATDD.
Le scénario actuel est trop vague et ne fournit pas d\'exemples concrets permettant de déterminer si l\'implémentation est correcte. En ajoutant plusieurs exemples avec des valeurs d\'entrée spécifiques (différents niveaux de revenus, scores de crédit, valeurs de propriété) et les résultats attendus correspondants (éligible/non éligible),le scénario devient beaucoup plus clair.
d) Faux → Cette réponse contredit fondamentalement la nature collaborative de l\'ATDD. Dans l\'ATDD, l\'écriture et l\'automatisation des tests d\'acceptation font partie intégrante du processus de développement et impliquent idéalement les développeurs, les testeurs ET les parties prenantes métier. Confier cette responsabilité uniquement aux testeurs après le développement revient à abandonner l\'approche \"piloté par les tests\" de l\'ATDD.
Question 5 / 10
Quel est l’objectif principal d’un rapport de progression des tests à destination des parties prenantes ?
A. Résumer l’état des tests, les risques identifiés et la couverture obtenue
B. Convaincre l’équipe projet d’allouer davantage de ressources aux tests
C. Expliquer en détail le fonctionnement de l’outil de test utilisé
D. Justifier les choix d’implémentation de l’équipe de développement
✓ Bonne réponse : A
Cette question correspond à l’objectif d’apprentissage FL-5.3.2 (K2) – Résumer les objectifs,le contenu et les destinataires des rapports de test.
● a) Faux → Le rapport ne vise pas à convaincre, mais à informer objectivement. ● b) Correct → C’est exactement ce que doit contenir un rapport de test clair et utile pour les parties prenantes. ● c) Faux → Ce rôle revient aux développeurs, pas aux testeurs. ● d) Faux → Le fonctionnement de l’outil n’est pas pertinent pour la majorité des destinataires
Question 6 / 10
Lors d’une rétrospective, une équipe identifie que les testeurs reçoivent les user stories trop tard et n’ont pas le temps de les analyser. Quelle action représente le mieux l’objectif d’une rétrospective dans ce cas ?
Sélectionnez UNE seule option.
A. Décider collectivement d’inclure les testeurs dans les ateliers de raffinement
B. Documenter le problème dans un fichier Excel partagé
C. Ajouter un nouveau testeur à l’équipe dès le prochain sprint
D. Répartir la charge de travail des testeurs entre plusieurs équipes
✓ Bonne réponse : A
Cette question correspond à l’objectif d’apprentissage FL-2.1.6 (K2) – Utiliser les rétrospectives pour améliorer le processus. ● a) Faux → Identifier le problème sans agir n’apporte aucune amélioration. ● b) Faux → Déplacer le problème ailleurs ne résout rien. ● c) Correct → Impliquer les testeurs plus tôt dans le processus est une amélioration concrète issue d’une réflexion collective. ● d) Faux → Ajouter des ressources sans changer le processus ne garantit pas de résolution.
Question 7 / 10
Quelle est la principale valeur du maintien de la traçabilité dans le processus de test ?\"
A. Il remplace les rapports de test en fournissant directement des métriques de qualité
B. Il garantit que chaque exigence a été testée et qu’aucun élément critique n’a été oublié
C. Il permet d’optimiser la performance du logiciel en production
D. Il évite complètement la nécessité de documenter les tests manuels
✓ Bonne réponse : B
Cette question correspond à l’objectif d’apprentissage FL-1.4.4 (K2) – Expliquer la valeur du maintien de la traçabilité. ● a) Faux → La traçabilité ne vise pas à optimiser la performance du logiciel, mais à assurer une couverture de test complète. ● b) Correct → Le maintien de la traçabilité permet d’établir un lien entre les exigences, les tests et les défauts détectés, garantissant ainsi qu’aucune exigence n’a été oubliée. ● c) Faux → Même avec la traçabilité, la documentation des tests reste nécessaire pour assurer un suivi efficace et une justification des validations effectuées. ● d) Faux → Les rapports de test restent nécessaires, la traçabilité vient en complément pour s’assurer que les tests couvrent bien les exigences.
Question 8 / 10
Quelle bonne pratique de test s\'applique quel que soit le cycle de vie du développement logiciel ?
A. Supprimer la documentation des tests pour accélérer le projet
B. Tester uniquement l’interface utilisateur, car c\'est ce que voient les utilisateurs finaux
C. Débuter les tests dès que possible pour détecter les défauts tôt
D. Exécuter les tests uniquement après la fin du développement pour éviter les erreurs de conception
✓ Bonne réponse : C
Cette question correspond à l’objectif d\'apprentissage FL-2.1.2 (K1) – Rappeler les bonnes pratiques de test qui s\'appliquent à tous les cycles de vie du développement logiciel.
● a) Faux → Les tests doivent couvrir plusieurs niveaux (unitaires, intégration, système, acceptation), et pas uniquement l’interface utilisateur. ● b) Faux → Attendre la fin du développement pour tester expose le projet à un risque accru de corrections coûteuses en fin de cycle. ● c) Faux → La documentation des tests est essentielle pour assurer la traçabilité et la reproductibilité des tests. ● d) Correct → Tester tôt est une bonne pratique universelle, car plus un défaut est détecté tôt, moins il est coûteux à corriger.
Question 9 / 10
Un testeur doit choisir des techniques de test appropriées pour valider un logiciel financier complexe. Lequel des énoncés suivants décrit correctement une caractéristique clé des techniques de test boîte noire ?
A. Elles sont basées uniquement sur l\'expérience antérieure du testeur avec des applications similaires
B. Elles s\'appuient sur l\'analyse de la structure interne et les métriques de couverture
C. Elles dérivent des cas de test à partir des spécifications et des exigences sans connaissance de la structure interne
D. Elles se concentrent sur l\'examen du code source pour garantir que tous les chemins d\'exécution sont couverts
✓ Bonne réponse : C
Cette question correspond à l\'objectif d\'apprentissage FL-4.1.1 (K2) - Distinguer les techniques de test boîte noire, boîte blanche et basées sur l\'expérience.
● a) Faux → Cette description correspond aux techniques de test boîte blanche, qui examinent la structure interne du code pour concevoir des tests couvrant différents chemins d\'exécution. Les tests boîte noire ne s\'intéressent pas au code source. ● b) Faux → Cette description correspond aux techniques de test basées sur l\'expérience, qui s\'appuient sur les connaissances et l\'expérience des testeurs pour identifier les défauts potentiels. Les tests boîte noire sont basés sur des spécifications documentées plutôt que sur l\'expérience seule. ● c) Faux → Cette description correspond également aux techniques de test boîte blanche, qui analysent la structure interne et mesurent la couverture (instructions, branches, chemins). Les tests boîte noire ne s\'intéressent pas à la structure interne. ● d) Correct → Cette description caractérise précisément les techniques de test boîte noire. Ces techniques considèrent le système comme une \"boîte noire\" dont le fonctionnement interne est inconnu ou ignoré. Les cas de test sont dérivés des spécifications, des exigences et des comportements attendus, sans connaissance de l\'implémentation.
Question 10 / 10
Quels éléments suivants (i-v) expliquent pourquoi les tests ne peuvent pas garantir l’absence totale de défauts ?
i. Tester toutes les combinaisons d’entrées est souvent impossible en pratique.ii. Certains défauts peuvent être masqués par d’autres erreurs dans le code.iii. Les tests sont conçus en fonction des spécifications et ne couvrent pas nécessairement tous les scénarios réels.iv. Les tests sont principalement axés sur la performance du système, et non sur la détection des défauts.v. Une modification du logiciel peut introduire de nouveaux défauts imprévusSélectionnez UNE réponse.
A. i, ii, iii, v ont une influence significative ; iv non.
B. ii, iv, v ont une influence significative ; i, iii non.
C. iii, v ont une influence significative ; i, ii, iv non.
D. i, iii, iv ont une influence significative ; ii, v non.
✓ Bonne réponse : A
Cette question correspond à l’objectif d’apprentissage FL-1.3.1 (K2) – Expliquer les sept principes du test.
Réponse correcte : a) i, ii, iii, v ont une influence significative ; iv non.
● i) Correct → Il est impossible de tester toutes les combinaisons d’entrées, ce qui limite la couverture des tests. ● ii) Correct → Certains défauts peuvent être masqués par d’autres erreurs et ne se manifester que plus tard. ● iii) Correct → Les tests sont conçus selon les spécifications, mais ne couvrent pas tous les scénarios réels. ● iv) Faux → Les tests ne sont pas uniquement axés sur la performance, ils incluent aussi la recherche de défauts. ● v) Correct → Modifier le logiciel peut introduire de nouveaux défauts, nécessitant des tests de régression.
Qu'est-ce qu'une politique de sécurité et pourquoi est-elle importante ?
A. Un document formel de haut niveau qui définit les objectifs, les attentes et les règles de sécurité de l'organisation
B. Un journal de tous les incidents de sécurité survenus au cours de l'année précédente
C. Un contrat fournisseur garantissant la disponibilité et la sécurité des services cloud
D. Un fichier de configuration technique qui applique des contrôles d'accès sur les serveurs
✓ Bonne réponse : A
Une politique de sécurité est un document formel de haut niveau qui définit les objectifs, les attentes et les règles de sécurité d'une organisation. Elle précise ce qui doit être fait (et non comment le faire). Exemples : Politique d'utilisation acceptable, Politique de mots de passe, Politique de classification des données. Les politiques constituent le fondement d'un programme de sécurité de l'information — elles pilotent les procédures, les normes et les directives. Sans politiques, il n'existe aucune référence de base pour mesurer la conformité, rendant impossible l'application des règles et les audits. Les politiques requièrent l'approbation de la direction générale et doivent être communiquées à l'ensemble des employés.
Question 2 / 10
Quel type de malware chiffre les fichiers et exige un paiement en échange de la clé de déchiffrement ?
A. Spyware
B. Rootkit
C. Keylogger
D. Ransomware
✓ Bonne réponse : D
Le ransomware chiffre les données de la victime (documents, bases de données) à l'aide d'un chiffrement asymétrique — la clé de déchiffrement est détenue par l'attaquant. Les victimes doivent payer (généralement en cryptomonnaie) pour récupérer leurs données. Les ransomwares modernes exfiltrent également les données avant de les chiffrer (double extorsion). Le Spyware collecte silencieusement des informations. Le Rootkit dissimule la présence de logiciels malveillants au système d'exploitation. Le Keylogger enregistre les frappes au clavier. La protection nécessite des sauvegardes hors ligne (règle 3-2-1), une détection au niveau des terminaux et une segmentation du réseau pour empêcher la propagation du ransomware.
Question 3 / 10
Lors d'une réponse à un incident, quel est l'objectif principal de la phase de confinement ?
A. Identifier la cause racine de l'incident
B. Supprimer toute trace du logiciel malveillant sur les systèmes affectés
C. Limiter la propagation et l'impact de l'incident tout en préservant les preuves forensiques
D. Restaurer immédiatement tous les systèmes affectés à leur fonctionnement normal
✓ Bonne réponse : C
La containment (confinement) constitue la phase 2 du cycle de vie de réponse aux incidents selon le NIST (Préparation → Détection/Analyse → Confinement/Éradication/Rétablissement → Post-Incident). L'objectif principal est de limiter la propagation et l'impact de l'incident sans détruire les preuves forensiques. Le confinement à court terme peut isoler les systèmes affectés ; le confinement à long terme implique l'application de correctifs ou la modification des configurations. L'éradication (suppression des logiciels malveillants) intervient après le confinement. Les preuves forensiques doivent être préservées pour les procédures judiciaires et l'analyse des causes profondes.
Question 4 / 10
Quel type de journaux un analyste en sécurité devrait-il consulter pour enquêter sur des modifications non autorisées de fichiers système ?
A. Journaux de performance des applications
B. Journaux d'authentification (auth.log)
C. Journaux de flux réseau (NetFlow)
D. Journaux de surveillance de l'intégrité des fichiers (FIM) ou journaux d'audit
✓ Bonne réponse : D
Les journaux de surveillance de l'intégrité des fichiers (FIM) / journaux d'audit enregistrent les modifications apportées aux fichiers, répertoires et configurations système. Les outils FIM (Tripwire, AIDE, AWS Config) créent des empreintes cryptographiques des fichiers à partir d'une référence de base ; toute modification déclenche une alerte. Les journaux d'authentification enregistrent les tentatives de connexion. Les journaux de flux réseau enregistrent les schémas de trafic. Les journaux applicatifs enregistrent les événements spécifiques aux applications. Le FIM est essentiel pour détecter l'installation de rootkits, les modifications de configuration non autorisées, et assurer la conformité (PCI-DSS exige le FIM sur les fichiers système critiques).
Question 5 / 10
Lequel des scénarios suivants décrit une possible attaque par compromission de messagerie professionnelle (BEC) ?
Sélectionnez la bonne réponse.
A. Un employé signale avoir reçu plusieurs notifications de tentatives de connexion échouées sur son compte, provenant de différentes localisations géographiques.
B. Un employé reçoit une demande de carte cadeau dans un e-mail qui semble provenir d'un cadre dirigeant, mais dont la mise en forme est suspecte et qui exige un virement bancaire immédiat.
C. Un employé reçoit un e-mail d'une personne se présentant comme directrice des ressources humaines, lui demandant ses identifiants de connexion à un portail d'administration cloud pour vérification de compte.
D. Un employé reçoit un SMS indiquant qu'il a gagné un prix à la loterie et qu'il doit fournir ses coordonnées bancaires pour réclamer sa récompense.
✓ Bonne réponse : C
Demander des identifiants via un e-mail prétendant provenir d'un cadre dirigeant est typique d'une compromission de messagerie professionnelle (BEC), car elle exploite la confiance accordée à la hiérarchie.
Question 6 / 10
Qu'est-ce que l'injection SQL ?
A. Une vulnérabilité causée par des procédures stockées SQL trop complexes
B. Une technique d'optimisation des requêtes de base de données
C. Une attaque qui insère du code SQL malveillant dans un champ de saisie afin de manipuler une base de données en arrière-plan
D. Une méthode de chiffrement des données stockées dans des bases de données relationnelles
✓ Bonne réponse : C
Réponse correcte : L'injection SQL est une attaque qui exploite les failles de validation des entrées utilisateur. L'attaquant insère du code SQL malveillant dans un champ de saisie, ce qui permet de manipuler les requêtes de la base de données sous-jacente afin d'accéder, de modifier ou de supprimer des données.
Pourquoi les autres réponses sont incorrectes : L'optimisation de requêtes (A) est une pratique légitime liée aux performances, et non une attaque. Le chiffrement (C) protège les données mais ne constitue pas une attaque en soi. Les procédures stockées complexes (D) peuvent présenter des failles de sécurité, mais cela ne correspond pas à la définition de l'injection SQL.
Question 7 / 10
Quel est l'objectif principal d'une DMZ (Zone Démilitarisée) dans une architecture réseau ?
A. Fournir une zone dédiée aux serveurs de bases de données internes
B. Créer une couche de sécurité supplémentaire entre le réseau interne et Internet, en hébergeant les services accessibles au public
C. Isoler les équipements sans fil des équipements filaires
D. Stocker des données de sauvegarde chiffrées à l'écart du réseau principal
✓ Bonne réponse : B
Réponse correcte : Un DMZ crée une zone tampon sécurisée entre le réseau interne et Internet, permettant d'héberger les services accessibles publiquement (web, mail, DNS) tout en les isolant du cœur du réseau pour limiter les risques de compromission.
Pourquoi les autres réponses sont incorrectes : Les serveurs de bases de données internes ne doivent pas se trouver en DMZ mais protégés derrière des pare-feu supplémentaires. L'isolation des appareils sans fil des appareils filaires relève de la segmentation réseau, pas de la DMZ. Le stockage des sauvegardes chiffrées n'est pas la fonction primaire d'une DMZ.
Question 8 / 10
Une entreprise a empêché l'accès direct depuis les postes de travail des administrateurs de bases de données vers le segment réseau contenant les serveurs de bases de données. Lequel des éléments suivants un administrateur de bases de données devrait-il utiliser pour accéder aux serveurs de bases de données ?
A. Load balancer
B. HSM
C. Jump server
D. RADIUS
✓ Bonne réponse : C
Réponse : Serveur rebond (jump server). Explication : Un serveur rebond (hôte bastion) fournit un chemin contrôlé et audité pour accéder aux systèmes situés dans un segment réseau protégé. Les administrateurs de bases de données doivent d'abord se connecter au serveur rebond, puis aux serveurs de bases de données — empêchant ainsi tout accès direct depuis un poste de travail vers des systèmes sensibles.
Question 9 / 10
Un client a demandé à une entreprise de sécurité de lui fournir un document décrivant le projet, son coût et le calendrier de réalisation. Lequel des documents suivants l'entreprise devrait-elle fournir au client ?
Sélectionnez la bonne réponse.
A. SOW
B. BPA
C. MSA
D. SLA
✓ Bonne réponse : A
Énoncé des travaux (SOW) : Document formel qui définit la portée du projet, les livrables, les coûts et le calendrier de réalisation. Il s'agit de l'accord initial établissant quels travaux seront réalisés et dans quelles conditions. Contrairement au MSA (accord-cadre de services couvrant les conditions générales), au SLA (métriques de niveau de service) ou au BPA (accord d'achat global pour la tarification), le SOW détaille spécifiquement les éléments propres au projet.
Question 10 / 10
Dans le cadre de réglementations relatives à la santé telles que HIPAA, les informations médicales des patients sont classifiées comme suit :
Sélectionnez la bonne réponse.
A. Critiques
B. Privées
C. Sensibles
D. Publiques
✓ Bonne réponse : C
La classification des données de santé : la loi HIPAA exige que les informations médicales des patients soient classifiées comme « Sensibles » en raison de leur statut d'informations de santé protégées (PHI), imposant ainsi le chiffrement et des contrôles d'accès. Contrairement à la catégorie « Publique » (sans restriction), « Privée » (personnelle mais non réglementée) ou « Critique » (axée sur la disponibilité des systèmes), la catégorie « Sensible » désigne spécifiquement les données réglementées nécessitant une protection renforcée et des obligations de notification en cas de violation.
Quel est l’intérêt principal de la normalisation en base relationnelle ?
A. Permettre des jointures automatiques
B. Ajouter plus de colonnes
C. Réduire la redondance des données
D. Accélérer toutes les requêtes
✓ Bonne réponse : C
Normalisation en base relationnelle : processus d'organisation des données en tables séparées pour éliminer les redondances et incohérences. Objectif : chaque donnée existe une seule fois, réduisant l'espace disque et évitant les anomalies de mise à jour. Contrairement aux idées reçues, la normalisation ne garantit pas des requêtes plus rapides (les jointures peuvent ralentir) ni n'ajoute automatiquement des colonnes.
Question 2 / 10
Quel niveau de cohérence dans Cosmos DB garantit la cohérence la plus stricte ?
A. Cohérence forte (Strong)
B. Préfixe cohérent (Consistent Prefix)
C. Cohérence de session (Session)
D. Cohérence éventuelle (Eventual)
✓ Bonne réponse : A
Cohérence forte (Strong) : niveau maximal de cohérence dans Cosmos DB garantissant que toutes les lectures retournent immédiatement la dernière valeur écrite, sans délai. Contrairement à la cohérence éventuelle (délai avant synchronisation) ou de session (cohérence limitée à une session utilisateur), la cohérence forte impose une synchronisation instantanée entre réplicas, au coût d'une latence accrue.
Question 3 / 10
À quoi sert une clé étrangère dans une base relationnelle ?
A. Stocker des données sensibles de manière sécurisée
B. Identifier chaque enregistrement de façon unique
C. Créer un index pour accélérer les requêtes
D. Relier deux tables pour assurer l’intégrité référentielle
✓ Bonne réponse : D
Clé étrangère : colonne qui référence la clé primaire d'une autre table, créant ainsi une relation entre elles. Elle garantit l'intégrité référentielle en s'assurant que chaque valeur existe réellement dans la table liée. Contrairement à la clé primaire (identifie les enregistrements) ou à l'index (optimise les requêtes), la clé étrangère établit des liens logiques entre tables.
Question 4 / 10
Vous avez une requête SQL qui combine les données des clients et les données des commandes. La requête inclut des colonnes calculées. Vous devez créer un objet de base de données qui permettrait à d'autres utilisateurs de réexécuter la même requête SQL. Que devriez-vous créer ?
A. un index
B. une vue
C. une fonction scalaire
D. une table
✓ Bonne réponse : B
Réponse : Une vue. Explication : Une vue est une requête SQL enregistrée qui peut être réutilisée par d'autres utilisateurs. Elle stocke la définition de la requête (et non les données) et présente le résultat sous la forme d'une table virtuelle, y compris les colonnes calculées. D'autres utilisateurs peuvent interroger la vue comme s'il s'agissait d'une véritable table.
Question 5 / 10
Quel outil de ligne de commande pouvez-vous utiliser pour interroger les bases de données Azure SQL ?
A. bcp
B. Azure CLI
C. azdata
D. sqlcmd
✓ Bonne réponse : D
Réponse : sqlcmd. Explication : sqlcmd est l'utilitaire de ligne de commande pour se connecter et interroger SQL Server et les bases de données Azure SQL. Il supporte l'exécution de requêtes T-SQL, de scripts et de procédures stockées directement depuis la ligne de commande.
Question 6 / 10
Azure Cosmos DB est optimisé pour certains scénarios d'application. Lequel des scénarios suivants n'est PAS un cas d'usage idéal pour Cosmos DB ?
A. Un système IoT en temps réel collectant des millions d'événements de capteurs avec schémas de données variables
B. Une application de gestion financière complexe avec nombreuses jointures multi-tables, transactions ACID strictes et calculs analytiques
C. Une application web globale nécessitant une latence faible et une disponibilité élevée avec réplication multi-région
D. Un système de catalogue de produits stockant des profils JSON flexibles et évolutifs sans schéma rigide
✓ Bonne réponse : B
Limites transactionnelles de Cosmos DB : bien que Cosmos DB supporte les transactions ACID au niveau de la partition, il n'excelle pas dans les scénarios avec nombreuses jointures multi-tables et calculs analytiques complexes typiques des systèmes financiers. SQL Server ou PostgreSQL sont mieux adaptés pour ces besoins. Cosmos DB brille inversement pour les données non-relationnelles distribuées globalement.
Question 7 / 10
Azure Table Storage est principalement utilisé pour stocker quel type de données ?
A. Des données relationnelles avec schéma strict
B. Des données clé-valeur sans schéma fixe
C. Des graphes sociaux complexes
D. Des fichiers binaires volumineux
✓ Bonne réponse : B
Azure Table Storage : service NoSQL qui stocke des données structurées en paires clé-valeur (PartitionKey + RowKey) sans schéma rigide. Idéal pour les données semi-structurées et évolutives. Contrairement aux bases relationnelles (réponse 1) avec schémas fixes, ou aux Blob Storage (réponse 3) pour fichiers volumineux, Table Storage offre flexibilité et requêtes rapides sur des entités simples.
Question 8 / 10
Quelle commande SQL permet de modifier la structure d’une table (par exemple, ajouter une colonne) ?
A. ALTER
B. INSERT
C. SELECT
D. UPDATE
✓ Bonne réponse : A
Concept clé : ALTER modifie la structure. La commande ALTER permet de modifier le schéma d'une table (ajouter, supprimer ou renommer des colonnes, modifier des types de données). À distinguer : UPDATE change les données existantes, INSERT ajoute des lignes, SELECT interroge les données. ALTER agit sur la définition de la table elle-même, pas sur son contenu.
Question 9 / 10
Quel service Azure est utilisé pour stocker et traiter des données massives au format brut, souvent en complément de Synapse ou Databricks ?
A. Azure Files
B. Azure Queue Storage
C. Azure Data Lake Storage
D. Azure SQL Database
✓ Bonne réponse : C
Azure Data Lake Storage : solution de stockage massif et hautement scalable conçue pour les données brutes non structurées. Contrairement à Azure SQL Database (structuré) ou Azure Queue Storage (messages), ADLS supporte l'analyse Big Data avec Synapse Analytics et Databricks via un système de fichiers hiérarchique (HNS) optimisé pour les charges analytiques complexes.
Question 10 / 10
Quelle est la fonction principale d’une clé primaire dans une table relationnelle ?
A. Relier deux tables entre elles
B. Identifier de manière unique chaque ligne de la table
C. Améliorer la vitesse des requêtes SQL
D. Chiffrer les données stockées
✓ Bonne réponse : B
Clé primaire : colonne ou ensemble de colonnes garantissant l'unicité de chaque enregistrement dans une table relationnelle. Elle empêche les doublons et permet l'identification précise des données. Contrairement aux clés étrangères (qui créent des relations entre tables) ou aux index (qui optimisent les performances), la clé primaire est fondamentalement un mécanisme d'intégrité et de distinction des données.
Pour que le programme de relance (dunning program) calcule correctement les niveaux de relance, la procédure de relance doit être assignée au master data du partenaire commercial (BP) client.
Vrai ou faux ?
A. Faux
B. Vrai
✓ Bonne réponse : B
Réponse : Vrai Explication : La procédure contient les niveaux, intervalles, textes et frais ; elle est effective après affectation au BP.
Question 2 / 10
Quelles sont les conséquences de l'activation de la présentation par segment dans la comptabilité des immobilisations ? (Choisissez deux réponses.)
A. Le segment est automatiquement mis à jour dans les fiches immobilisation existantes.
B. Le segment apparaît dans la disposition d'écran pour la fiche immobilisation.
C. Le segment apparaît dans la configuration d'affectation supplémentaire des comptes.
D. L'activation du segment peut être annulée.
✓ Bonne réponse : B, C
Réponse : Le segment apparaît dans la configuration d'affectation supplémentaire des comptes ; le segment apparaît dans la disposition d'écran pour la fiche immobilisation. Explication : L'activation de la présentation par segment dans FI-AA ajoute le champ segment à deux zones : la configuration de l'affectation des comptes (pour la dérivation automatique du segment dans les comptabilisations) et la disposition d'écran de la fiche immobilisation (pour l'affectation manuelle ou l'affichage).
Question 3 / 10
Concernant Payment Medium Workbench (PMW) et DMEE en SAP S/4HANA, laquelle de ces affirmations est correcte ?
Sélectionnez la meilleure réponse.
A. DMEE modélise et définit la structure du fichier de paiement (format, champs, règles de validation)
B. DMEE s'utilise uniquement pour la transmission par IDocs
C. PMW n'est pas lié aux méthodes de paiement SAP
D. PMW remplace complètement la transaction de paiement F110
✓ Bonne réponse : A
Réponse : DMEE modélise la structure du fichier de paiement Le DMEE (Data Medium Exchange Engine) est l'outil qui définit la structure et le format des fichiers de paiement (SEPA, XML, etc.). Le Payment Medium Workbench (PMW) gère l'exécution et le suivi des fichiers de paiement générés.
Question 4 / 10
Procédure de relance (dunning) : que contient-elle typiquement ?
Cochez toutes les bonnes réponses.
A. Textes/maquettes par niveau
B. Frais de relance
C. Montants minimum par niveau
D. Niveaux de relance et intervalles/jours de retard
E. Paramétrage des banques propres
✓ Bonne réponse : A, B, C, D
Réponse : Niveaux de relance avec intervalles ; Montants minimum ; Textes par niveau ; Frais de relance éventuels. Explication : Ces paramètres pilotent la génération et le contenu des relances.
Question 5 / 10
Vous avez activé l'élément WBS (non lié à la gestion des investissements) comme affectation des comptes pour la comptabilité des immobilisations avec les paramètres « bilan » et « identique » actifs. Quelles en sont les conséquences ? (Choisissez deux réponses.)
A. L'élément WBS ne peut plus être utilisé pour le règlement.
B. L'élément WBS de la fiche immobilisation peut être modifié pendant la comptabilisation de l'amortissement planifié.
C. L'élément WBS est disponible pour la saisie dans la fiche immobilisation.
D. L'élément WBS ne peut plus être modifié dans la fiche immobilisation une fois l'immobilisation capitalisée.
✓ Bonne réponse : C, D
Réponse : L'élément WBS ne peut pas être modifié une fois l'immobilisation capitalisée ; il est disponible pour la saisie dans la fiche immobilisation. Explication : L'activation de l'élément WBS avec les paramètres « bilan » et « identique » signifie que le WBS devient une affectation permanente des comptes pour la présentation au bilan. Une fois qu'une immobilisation est capitalisée, l'élément WBS est verrouillé pour assurer la cohérence de l'intégrité des rapports.
Question 6 / 10
Dans une stratégie « clean core », quelles approches d’extension sont recommandées ?
Cochez toutes les réponses correctes.
A. Side‑by‑side sur SAP BTP via OData/événements
B. Utiliser des BAdI/API explicitement publiés (released)
C. In‑app key‑user (Custom Fields & Logic, adaptation UI)
D. Mises à jour directes des tables métier (SE16N, update directe)
E. Modifier le code standard SAP en Z‑modification
✓ Bonne réponse : A, B, C
Réponse : In‑app key‑user (Custom Fields & Logic, adaptation UI) ; BAdI/API publiés (« released ») ; Side‑by‑side sur SAP BTP via services OData/événements. Explication : Le clean core évite les modifications du standard : on favorise les extensions in‑app ou latérales via BTP et API stables.
Question 7 / 10
Le report de soldes GL (balance carryforward) peut être réexécuté si nécessaire.
Vrai ou faux ?
A. Faux
B. Vrai
✓ Bonne réponse : B
Réponse : Vrai Le report de soldes GL (Balance Carryforward) peut être réexécuté autant de fois que nécessaire. Si des corrections sont apportées après le premier report, il suffit de relancer le programme (FAGLGVTR) pour actualiser les soldes d'ouverture de l'exercice suivant.
Question 8 / 10
Toutes les sociétés doivent partager la même variante d’exercice pour la clôture annuelle.
Vrai ou faux ?
A. Faux
B. Vrai
✓ Bonne réponse : A
Réponse : Faux Les sociétés d'un même groupe n'ont pas besoin de partager la même variante d'exercice pour la clôture. Chaque code société peut avoir sa propre Fiscal Year Variant, permettant des exercices fiscaux différents (ex. exercice civil vs exercice décalé). La consolidation gère ces différences.
Question 9 / 10
Vous imputez un amortissement extraordinaire à une immobilisation. Quel est l'effet sur FI-AA et FI-GL ?
A. L'imputation s'effectue dans FI-AA et dans FI-GL en ligne et en temps réel.
B. L'imputation ne s'effectue pas dans FI-AA et dans FI-GL jusqu'à ce que le programme d'imputation d'amortissement ait été exécuté.
C. L'imputation s'effectue dans FI-AA en temps réel et dans FI-GL une fois que le programme d'imputation d'amortissement a été exécuté.
D. L'imputation s'effectue dans FI-AA en temps réel et dans FI-GL une fois que le programme d'imputation périodique a été exécuté.
✓ Bonne réponse : A
Réponse : L'imputation s'effectue dans FI-AA et dans FI-GL en ligne et en temps réel. Explication : SAP S/4HANA utilise une intégration en temps réel entre FI-AA et FI-GL (via le Journal universel). L'amortissement extraordinaire s'impute directement dans la comptabilité des immobilisations et le grand livre simultanément sans nécessiter une exécution de rapprochement séparée.
Question 10 / 10
Quelle est la fonction de la clé d'imputation (Posting Key) dans SAP FI et quels sont les attributs qu'elle détermine ?
A. Elle détermine uniquement si un poste est au débit ou au crédit dans un document comptable
B. Elle définit le taux de TVA applicable à une ligne de document comptable
C. Elle identifie le centre de coût à imputer automatiquement lors de la saisie d'une facture
D. Elle contrôle le sens (débit/crédit), le type de compte autorisé et les champs obligatoires d'un poste comptable
✓ Bonne réponse : D
La clé d'imputation (Posting Key) est un code à 2 chiffres qui contrôle plusieurs attributs d'un poste de document comptable : (1) Débit ou crédit du poste, (2) Type de compte autorisé (G/L, client, fournisseur, actif, matériel), (3) Champs obligatoires/facultatifs à saisir dans le poste. Les clés standards incluent : 40 (débit G/L), 50 (crédit G/L), 01 (débit client = facture), 11 (crédit client = avoir), 31 (crédit fournisseur = facture fournisseur). Dans S/4HANA, les apps Fiori simplifient la saisie mais la clé d'imputation reste le mécanisme sous-jacent.
Lors de la vérification qu'un système autonome basé sur l'IA se comporte de manière appropriée, lesquels des éléments suivants est-il PRIMORDIAL d'inclure ?
A. Des cas de test visant à vérifier que le système confirme automatiquement la classification correcte des données d'entraînement
B. Des cas de test visant à détecter que le système automatise correctement la saisie de ses données d'entrée
C. Des cas de test visant à détecter que le système sollicite une intervention humaine non nécessaire
D. Des cas de test visant à vérifier que le système supprime automatiquement les données de sortie invalides
✓ Bonne réponse : C
Réponse : Des cas de test visant à détecter que le système sollicite une intervention humaine non nécessaire. Explication : L'une des caractéristiques qualité essentielles des systèmes autonomes est l'autonomie appropriée — le système doit agir de manière indépendante lorsqu'il en est capable, et ne solliciter une intervention humaine que lorsque cela est réellement nécessaire. Tester l'absence de transferts de contrôle injustifiés permet de valider ce comportement.
Question 2 / 10
Lequel des éléments suivants indique le plus probablement un problème de sous-apprentissage (underfitting) dans un modèle ML ?
A. Le modèle ne généralise pas sur de nouvelles données
B. Le modèle est imprécis sur des données similaires aux données d'entraînement
C. Le modèle est vulnérable aux attaques adversariales
D. Le modèle consomme une grande quantité de ressources pour effectuer une prédiction
✓ Bonne réponse : B
Réponse : Le modèle est imprécis sur des données similaires aux données d'entraînement. Explication : Le sous-apprentissage (underfitting) survient lorsqu'un modèle est trop simple pour capturer les patterns sous-jacents. Il performe mal même sur les données d'entraînement elles-mêmes, contrairement au sur-apprentissage (overfitting) où le modèle mémorise les données d'entraînement mais échoue sur de nouvelles données.
Question 3 / 10
Laquelle des affirmations suivantes décrit CORRECTEMENT l'importance de la flexibilité pour les systèmes d'IA ?
A. Les systèmes AI sont intrinsèquement flexibles.
B. Les systèmes AI flexibles permettent une modification plus facile du système dans son ensemble.
C. Les systèmes auto-apprenants sont censés gérer de nouvelles situations sans avoir à les programmer explicitement.
D. Les systèmes AI nécessitent des environnements opérationnels changeants ; par conséquent, la flexibilité est requise.
✓ Bonne réponse : B
Réponse : Les systèmes auto-apprenants sont censés faire face à de nouvelles situations sans qu'il soit nécessaire de les programmer explicitement pour cela. Explication : La flexibilité des systèmes d'IA désigne la capacité à gérer des situations nouvelles, jamais rencontrées auparavant. Les systèmes auto-apprenants y parviennent en mettant continuellement à jour leurs modèles à partir de l'expérience, sans nécessiter de reprogrammation manuelle pour chaque nouveau scénario.
Question 4 / 10
Les données utilisées pour un système ML de détection d'objets se sont révélées incorrectement étiquetées dans de nombreux cas. Laquelle des options suivantes constitue le résultat le plus probable de ce problème ?
A. Des problèmes de robustesse
B. Des problèmes de confidentialité
C. Des problèmes d'exactitude
D. Des problèmes de sécurité
✓ Bonne réponse : C
Réponse : Des problèmes d'exactitude. Explication : Des données d'entraînement mal étiquetées corrompent directement le signal d'apprentissage : le modèle est entraîné à associer des caractéristiques à de mauvaises classes. Il en résulte un modèle qui apprend des frontières de décision incorrectes, conduisant à une mauvaise exactitude aussi bien lors de l'évaluation sur les données d'entraînement que lors du déploiement en conditions réelles.
Question 5 / 10
Lequel des exemples suivants décrit le MIEUX un système doté de fonctions autonomes basées sur l'IA ?
A. Un système entièrement capable de réagir à son environnement.
B. Un système qui utilise un outil tel que Selenium.
C. Un système qui fait appel à des êtres humains pour toutes les décisions importantes.
D. Une usine de fabrication entièrement automatisée n'utilisant aucun logiciel.
✓ Bonne réponse : A
Réponse : Un système entièrement capable de réagir à son environnement. Explication : Un système d'IA autonome perçoit son environnement et prend des décisions sans intervention humaine. La capacité à réagir pleinement à l'environnement — en adaptant son comportement en fonction des données sensorielles sans nécessiter de commandes humaines — est la caractéristique fondamentale des fonctions autonomes de l'IA.
Question 6 / 10
Laquelle des caractéristiques suivantes est la MOINS susceptible de provoquer des problèmes liés à la sécurité dans un système d'IA ?
A. L'auto-apprentissage
B. Le non-déterminisme
C. La haute complexité
D. La robustesse
✓ Bonne réponse : D
Réponse : La robustesse est la caractéristique la MOINS susceptible de provoquer des problèmes liés à la sécurité. Explication : Bien qu'un niveau de robustesse insuffisant puisse entraîner des défaillances, ce problème est généralement traité par les tests et les itérations. Les caractéristiques des systèmes d'IA les plus susceptibles de poser des problèmes de sécurité sont : le non-déterminisme (comportement imprévisible), le manque d'explicabilité (impossibilité d'auditer les décisions) et l'autonomie (actions effectuées sans supervision humaine).
Question 7 / 10
Lequel des tests suivants est le plus susceptible de décrire un test utile pour détecter différents types de biais dans un pipeline ML ?
A. Vérifier les données de test en entrée pour identifier un éventuel biais d'échantillonnage.
B. Tester le décalage de distribution dans les données d'entraînement pour identifier un biais inapproprié.
C. Tester le modèle lors de la phase d'évaluation du modèle pour détecter un biais.
D. Tester le pipeline de données pour identifier toute source de biais algorithmique.
✓ Bonne réponse : A
Réponse : Vérifier les données de test en entrée pour identifier un éventuel biais d'échantillonnage. Explication : Le biais d'échantillonnage survient lorsque les données d'entraînement ou de test ne représentent pas fidèlement la population réelle. Vérifier les données de test en entrée pour détecter des déséquilibres d'échantillonnage est le moyen le plus direct de détecter un biais au niveau des données, avant qu'il ne se propage dans le pipeline ML.
Question 8 / 10
Laquelle des options suivantes décrit le MIEUX un exemple d'apprentissage par renforcement ?
A. Un robot de nettoyage domestique adapte quotidiennement son itinéraire en fonction du trajet le plus efficace et de la quantité de saleté qu'il est capable d'éliminer.
B. Un système de reconnaissance d'images parcourt régulièrement Internet pour trouver de nouveaux exemples à ajouter à ses données d'entraînement.
C. Un système d'alerte sanitaire utilise les données de milliers de personnes pour prédire, sur la base de leurs comportements, celles qui sont les plus susceptibles de souffrir d'une pathologie particulière.
D. Un système financier qui sélectionne des actions à acheter s'optimise régulièrement en fonction des nouvelles variations de cours boursier afin d'améliorer ses performances.
✓ Bonne réponse : A
Réponse : Un robot de nettoyage domestique qui adapte son itinéraire en fonction de l'efficacité et de la saleté détectée. Explication : L'apprentissage par renforcement implique qu'un agent apprend en interagissant avec son environnement et en recevant des récompenses pour les bonnes actions. Le robot qui optimise son trajet sur la base de retours (saleté éliminée, efficacité) est un scénario classique d'apprentissage par renforcement.
Question 9 / 10
Laquelle des options suivantes, utilisée comme base de test, offrirait la MOINS bonne couverture lors d'une génération de tests basée sur l'IA ?
A. Un pseudo-oracle
B. Un schéma XML
C. Une liste des pages web possibles constituant l'application
D. Un modèle de test décrivant les fonctionnalités de l'application
✓ Bonne réponse : B
Réponse : Un schéma XML offre la MOINS bonne couverture pour la génération de tests basée sur l'IA. Explication : Les schémas XML définissent la structure et le format des données, mais contiennent très peu d'informations sémantiques sur le comportement du système. Des bases de test riches, telles que les user stories, les cas d'utilisation et les modèles de domaine, fournissent un contexte bien plus pertinent pour la génération de tests par l'IA.
Question 10 / 10
Les tests par paires (pairwise testing) peuvent être utilisés dans le contexte des véhicules autonomes pour maîtriser l'explosion combinatoire du nombre de paramètres. Laquelle des options suivantes est la MOINS susceptible d'être une cause de cette croissance exponentielle des paramètres ?
A. Différentes conditions météorologiques
B. Les métriques du modèle ML évaluant la performance fonctionnelle
C. Différents types de routes
D. Différentes fonctionnalités telles que l'ADAS, l'assistance au changement de voie, etc.
✓ Bonne réponse : B
Réponse : Les métriques du modèle ML évaluant la performance fonctionnelle sont les MOINS susceptibles de provoquer une explosion du nombre de combinaisons de paramètres. Explication : Les métriques d'évaluation du modèle (précision, F1, etc.) sont des mesures de sortie, et non des paramètres de test. L'explosion combinatoire dans les tests de véhicules autonomes provient des paramètres d'entrée : conditions météorologiques, types de routes, scénarios de trafic, configurations des capteurs et plages de vitesse.
Pourquoi se fier uniquement au rapport SOC 2 ou ISO 27001 d'un fournisseur cloud est-il insuffisant pour garantir que les exigences de conformité du client sont respectées ?
A. Parce que ces rapports sont invalides pour les environnements cloud multinationales
B. Parce que ces rapports couvrent uniquement les contrôles financiers, pas la sécurité.
C. Parce que les rapports peuvent ne pas inclure les contrôles pertinents pour le périmètre spécifique du client, la classification des données ou les obligations réglementaires.
D. Parce que les fournisseurs cloud n'ont pas le droit de partager la documentation SOC ou ISO avec leurs clients.
✓ Bonne réponse : C
Les rapports SOC 2 ou ISO 27001 montrent ce que le fournisseur fait pour la sécurité, mais ils ne garantissent pas que tout ce qui est spécifique aux besoins ou obligations du client est couvert.
Question 2 / 10
Lequel des éléments suivants décrit le mieux le principe d'immutabilité dans une architecture cloud-native ?
A. Les composants système sont remplacés plutôt que modifiés, garantissant des déploiements prévisibles et reproductibles
B. L'état de l'application est conservé après un redémarrage pour supporter des workloads longue durée
C. Toutes les instances de calcul doivent fonctionner en continu pour préserver l'état et la configuration
D. Les composants d'infrastructure sont fréquemment mis à jour sur place pour minimiser les interruptions
✓ Bonne réponse : A
L'immutabilité signifie que l'on ne modifie pas les composants existants, mais qu'on les remplace complètement lors des mises à jour pour garantir des déploiements fiables et sans surprises.
Question 3 / 10
Dans le contexte du firewall as code, lequel des éléments suivants décrit le mieux son avantage principal pour la gestion de la sécurité cloud ?
A. Il ajuste automatiquement le débit réseau en fonction des performances des applications
B. Il permet la génération automatique de topologies réseau pour tous les workloads
C. Il supprime le besoin de règles de firewall traditionnelles dans les réseaux virtuels
D. Il permet des configurations de firewall déclaratives et sous contrôle de version, intégrées dans les pipelines CI/CD
✓ Bonne réponse : D
Le firewall as code permet de gérer les règles de sécurité comme du code : elles sont déclaratives, versionnées et automatisées, ce qui facilite le déploiement et la conformité dans le cloud.
Question 4 / 10
Quel type de log est le plus critique à inclure dans un ensemble minimal de logs pour détecter un accès non autorisé aux ressources cloud ?
A. Logs de surveillance du temps de disponibilité des systèmes
B. Logs de performance des applications
C. Logs d'audit de l'identité et de la gestion des accès (IAM)
D. Logs de configuration des ressources
✓ Bonne réponse : C
Les logs IAM enregistrent toutes les opérations d'authentification et d'autorisation : qui a accédé à quelle ressource, quand et depuis quel endpoint. Ils sont indispensables pour détecter les accès non autorisés, les élévations de privilèges et les comportements anormaux dans un environnement cloud.
Question 5 / 10
Quel domaine de la Cloud Controls Matrix (CCM) soutient le plus directement l'identification, la documentation et la gestion des frontières de confiance et de la propriété des contrôles ?
A. S – Sécurité des datacenters
B. IAM – Gestion des identités et des accès
C. STA – Gestion de la chaîne d'approvisionnement, transparence et responsabilité
D. TVM – Gestion des menaces et des vulnérabilités
✓ Bonne réponse : C
Le domaine STA traite de la transparence, des responsabilités et de la chaîne d'approvisionnement, ce qui permet de définir clairement qui contrôle quoi et où se situent les frontières de confiance.
Question 6 / 10
Quel est le risque principal d'utiliser des identifiants d'utilisateurs humains pour des processus automatisés au lieu d'identités dédiées aux workloads ?
A. ela améliore la performance en réutilisant les tokens d'authentification mis en cache entre les workloads
B. ela garantit la séparation des tâches entre comptes humains et machine
C. ela introduit des privilèges excessifs et une ambiguïté dans les audits, augmentant le risque d'usage abusif ou de compromission des identifiants
D. ela réduit la complexité des politiques IAM en regroupant les permissions sous un compte unique
✓ Bonne réponse : C
Utiliser des comptes humains pour l'automatisation peut donner trop de droits et rendre difficile le suivi des actions, ce qui augmente le risque de fuite ou d'abus des identifiants.
Question 7 / 10
Lors de l'élaboration d'une charte de gouvernance cloud, quel élément garantit que les processus de gouvernance peuvent s'adapter aux technologies émergentes et aux exigences réglementaires évolutives ?
A. Renégociation des accords de niveau de service (SLA)
B. Stratégie d'atténuation du verrouillage fournisseur (vendor lock-in)
C. ontrôle des versions de la charte de gouvernance
D. Mécanismes d'amélioration continue et de retour d'expérience
✓ Bonne réponse : D
Les mécanismes d'amélioration continue permettent de mettre à jour les processus de gouvernance au fur et à mesure que la technologie et la réglementation évoluent.
Question 8 / 10
Un administrateur de cluster Kubernetes veut s'assurer que seules des images conteneurs signées provenant de registres fiables soient déployées.
A. NetworkPolicy restreignant l'accès aux registres d'images non approuvés
B. ValidatingAdmissionWebhook intégrée à un système de vérification d'images comme cosign ou Notary
C. Policy RBAC limitant les permissions de création de pods
D. Policy d'admission PodSecurity appliquant des profils "restricted"
✓ Bonne réponse : B
Un ValidatingAdmissionWebhook peut vérifier chaque image avant le déploiement, garantissant que seules les images signées et approuvées sont autorisées dans le cluster.
Question 9 / 10
Lors de la modélisation des menaces (threat modeling) d'une API publique, quelle faiblesse de conception peut le plus probablement permettre de contourner les limites de requêtes (rate limit) ou provoquer un déni de service (DoS) ?
A. L'application d'une authentification par token pour chaque requête API.
B. L'absence de quotas de ressources ou de mécanismes de limitation de débit (throttling) sur les endpoints de l'API.
C. La mise en place d'une validation de schéma au niveau de la passerelle (gateway).
D. L'utilisation d'un cache distribué pour stocker les réponses de l'API.
✓ Bonne réponse : B
Sans limitation du débit (throttling ou rate limiting), un attaquant peut envoyer un volume massif de requêtes pour saturer l'API, provoquant un déni de service (DoS). Cette faiblesse est prioritaire dans la modélisation des menaces STRIDE appliquée aux API publiques cloud.
Question 10 / 10
Lequel des éléments suivants décrit le mieux le rôle d'un product owner dans un contexte de gouvernance cloud ?
A. pprouver l'allocation budgétaire pour les initiatives de sécurité et de conformité à l'échelle de l'entreprise
B. éfinir la valeur métier et les priorités de risque pour les produits cloud tout en s'assurant de leur alignement avec les exigences de gouvernance
C. Superviser les contrats légaux et les accords de protection des données avec les fournisseurs cloud
D. Mettre en œuvre et revoir les politiques d'accès techniques sur toutes les ressources cloud
✓ Bonne réponse : B
Le product owner définit la valeur métier et les priorités de risque pour les produits cloud. Il assure l'alignement avec les exigences de gouvernance en faisant le lien entre les équipes techniques et les parties prenantes, garantissant que les décisions cloud respectent les politiques de l'organisation.
Quelle affirmation décrit correctement la différence entre le Current Channel et le Monthly Enterprise Channel dans Microsoft 365 Apps ?
A. Le Current Channel fournit des mises à jour de fonctionnalités tous les six mois, tandis que le Monthly Enterprise Channel les fournit chaque mois.
B. Le Current Channel propose uniquement des correctifs de sécurité quotidiens, tandis que le Monthly Enterprise Channel inclut des mises à jour de fonctionnalités et de sécurité chaque mois.
C. Le Current Channel délivre les dernières fonctionnalités et correctifs dès qu’ils sont disponibles, tandis que le Monthly Enterprise Channel regroupe les mises à jour de fonctionnalités dans une publication mensuelle.
D. Le Current Channel est destiné uniquement au déploiement pilote, et le Monthly Enterprise Channel est destiné à tous les utilisateurs.
✓ Bonne réponse : C
Microsoft 365 Apps propose différents canaux de mise à jour :
Current Channel (Canal actuel)
Reçoit les dernières fonctionnalités, correctifs et mises à jour de sécurité dès qu’elles sont publiées.
Idéal pour les utilisateurs qui veulent accéder rapidement aux nouveautés.
Monthly Enterprise Channel (Canal mensuel pour entreprises)
Regroupe les nouvelles fonctionnalités et correctifs dans une seule mise à jour mensuelle.
Fournit un rythme plus prévisible pour les équipes informatiques, tout en maintenant les correctifs de sécurité à jour.
Question 2 / 10
Un architecte intranet doit ajouter un menu de navigation global que les employés peuvent utiliser pour accéder aux ressources d’entreprise (politiques, wikis, etc.) dans l’application Viva Connections.
Quel élément doit-il définir sur le site d’accueil ?
A. List view web part
B. Quick links dans une section de page moderne
C. Navigation (mega menu) dans les paramètres du site SharePoint Online
D. News web part sur la page d’accueil
✓ Bonne réponse : C
Dans Viva Connections, le menu de navigation global est alimenté par la navigation du site d’accueil SharePoint.
En configurant un mega menu dans les paramètres du site, vous permettez aux employés de naviguer facilement vers les ressources importantes de l’entreprise.
Les autres options ne créent pas de navigation globale :
A : List view web part affiche simplement une liste, pas un menu de navigation.
C : News web part affiche des actualités, pas des liens de navigation.
D : Quick links ne fournit qu’une section de liens sur la page, pas un menu global accessible depuis toutes les pages.
Question 3 / 10
Que faut-il activer pour s’assurer que les messages vocaux sont bien délivrés aux utilisateurs ?
Une organisation mondiale a attribué des licences Microsoft 365 E3 à tous les utilisateurs et souhaite qu’ils puissent accéder à leur messagerie vocale dans Teams sans acheter de licences supplémentaires Phone System.
A. Exchange Online mailbox pour chaque utilisateur
B. Power Automate voicemail workflow
C. Teams Premium add-on license
D. Phone System add-on license
✓ Bonne réponse : A
Dans Teams, la messagerie vocale est liée à la boîte aux lettres Exchange Online.
Même sans licence Phone System, Teams peut délivrer les messages vocaux dans la boîte aux lettres Exchange Online.
Les autres options :
B : Teams Premium ajoute des fonctionnalités avancées, pas nécessaire pour la messagerie vocale basique.
C : Phone System est requis uniquement pour passer/recevoir des appels via le PSTN.
D : Power Automate ne gère pas la messagerie vocale Teams nativement.
Question 4 / 10
Lors d’une opération de dépannage, un administrateur confirme que les routes vocales (voice routes) et les enregistrements d’utilisation PSTN sont correctement configurés. Cependant, il constate que les utilisateurs ne peuvent toujours pas accéder à ces routes.
Quel composant du Centre d’administration Microsoft Teams permet d’attribuer ces routes vocales aux utilisateurs ?
A. Stratégie d’appel d’urgence
B. Stratégie de routage vocal
C. Analyse des appels
D. Plan de numérotation
✓ Bonne réponse : B
Dans Microsoft Teams (Téléphonie Teams / Direct Routing) :
Les voice routes définissent le chemin que les appels doivent suivre.
Les PSTN usages permettent d’associer ces routes à des stratégies.
Cependant, pour que les utilisateurs puissent réellement utiliser ces routes, il faut leur attribuer une stratégie de routage vocal (Voice Routing Policy).
👉 La stratégie de routage vocal est le composant qui associe les enregistrements d’utilisation PSTN aux utilisateurs. Sans cette stratégie attribuée à l’utilisateur, les routes configurées ne seront pas accessibles, même si elles sont correctement définies dans le système.
Question 5 / 10
Quelle fonctionnalité montre l’intégration de Copilot dans Outlook pour ce type de tâche ?
Votre manager vous demande dans Outlook de rédiger un email poli de refus basé sur le message précédent.
A. Le menu déroulant “Réponse rapide” dans le calendrier
B. Les filtres Focused Inbox
C. L’option “Envoyer plus tard” (Schedule Send)
D. Le nouveau bouton “Rédiger avec Copilot” dans le ruban du message
✓ Bonne réponse : D
Rédiger avec Copilot permet de :
Analyser le message précédent
Générer automatiquement un email de réponse ou de refus poli
Accélérer la rédaction tout en restant professionnel
Les autres options n’impliquent pas Copilot :
Réponse rapide → simplement un raccourci pour répondre rapidement
Focused Inbox → organise les emails, ne rédige rien
Schedule Send → planifie l’envoi, ne crée pas de contenu
🎯 À retenir pour l’examen MS-900 :
Copilot dans Outlook = générer des brouillons intelligents basés sur le contexte du message
Tout ce qui est filtre, calendrier ou planification n’utilise pas Copilot.
Question 6 / 10
Une petite entreprise utilise Microsoft Viva Goals, mais souhaite s’assurer que les OKR sensibles du service Finance ne soient visibles que par l’équipe Finance.
Quelle fonctionnalité l’administrateur doit-il utiliser pour restreindre la visibilité ?
A. Stratégie d’accès conditionnel Azure AD
B. Contrôles d’accès basés sur l’équipe au niveau de l’objectif
C. Chiffrement Microsoft Information Protection
D. Étiquettes de confidentialité appliquées aux champs des résultats clés
✓ Bonne réponse : B
Dans Microsoft Viva Goals, il est possible de contrôler la visibilité des objectifs (Goals) et des OKR en configurant des autorisations au niveau de l’équipe ou de l’objectif.
👉 Les contrôles d’accès basés sur l’équipe permettent :
De limiter la visibilité d’un objectif à une équipe spécifique (par exemple : Finance)
D’empêcher les autres utilisateurs de l’organisation d’y accéder
De garantir la confidentialité des OKR sensibles
C’est la méthode appropriée pour gérer la visibilité directement dans Viva Goals.
Question 7 / 10
Que doit vérifier l’administrateur en premier ?
Un utilisateur signale que les labels de confidentialité n’apparaissent pas dans le menu Protect de PowerPoint Online pour son organisation.
A. Qu’une stratégie de labels incluant PowerPoint Online a été publiée et que le compte utilisateur est inclus dans la portée de la stratégie
B. Que le client Azure Information Protection Unified Labeling est en cours d’exécution sur chaque machine cliente
C. Que le tenant dispose d’un connecteur Azure RMS installé sur un serveur local
D. Que les applications Microsoft Purview du poste de l’utilisateur ont synchronisé dans les dernières 24 heures
✓ Bonne réponse : A
Les labels de sensibilité doivent être publiés via une stratégie de labels et les utilisateurs doivent être inclus dans la portée pour que les labels apparaissent dans Office Online.
Si la stratégie n’inclut pas PowerPoint Online ou si l’utilisateur n’est pas dans la portée, les labels n’apparaîtront pas.
Les autres options ne sont pas pertinentes pour PowerPoint Online :
B : Azure RMS connector concerne les scénarios hybrides et on-premises.
C : La synchronisation des apps Purview sur le poste local n’affecte pas Office Online.
D : Le client AIP Unified Labeling est pour les applications desktop, pas pour Office Online.
Question 8 / 10
Comment configurer cela dans Microsoft Bookings ?
Le département finance souhaite que :
Seuls les employés authentifiés via Azure AD puissent réserver des consultations internes
Les clients externes puissent utiliser un lien public pour réserver
A. Utiliser des sensitivity labels pour restreindre l’accès aux pages
B. Créer des calendriers Bookings séparés dans différents tenants Microsoft 365
C. Activer “Only people in my organization can book” pour le calendrier du personnel et partager un URL publique séparée pour les clients externes
D. Activer la page “Staff only” et laisser la page publique désactivée
✓ Bonne réponse : C
Dans Microsoft Bookings, vous pouvez :
Créer un calendrier “interne” réservé aux utilisateurs de l’organisation (Azure AD)
Créer un calendrier ou page publique pour les clients externes
Cette configuration permet de séparer l’accès interne et externe tout en utilisant le même service.
❌ Pourquoi les autres réponses sont incorrectes :
A. Staff only + pas de page publique → Bloque l’accès des clients externes, ce qui ne répond pas au besoin.
C. Sensitivity labels → Ne contrôlent pas les accès aux pages Bookings.
D. Créer des tenants séparés → Complexe et inutile, Bookings permet de gérer internes/externes dans un même tenant.
🎯 À retenir pour l’examen MS-900 :
“Only people in my organization can book” = interne (Azure AD)
Lien public = externe
Microsoft Bookings permet de gérer les deux types d’utilisateurs sans multiplier les tenants.
Question 9 / 10
Quelle méthode de paiement ne permet pas le renouvellement automatique des abonnements Microsoft 365 ?
A. Paiement par carte de crédit
B. Facturation par invoice
C. Prélèvement automatique depuis un compte bancaire
D. Paiement via PayPal
✓ Bonne réponse : B
Les abonnements Microsoft 365 peuvent être renouvelés automatiquement avec des méthodes de paiement directes comme :
Carte de crédit
Prélèvement bancaire
PayPal
La facturation par invoice (facture) nécessite un paiement manuel pour chaque période, donc le renouvellement automatique n’est pas possible.
Question 10 / 10
Un responsable conformité doit s’assurer que les journaux d’audit (audit logs) sont conservés pendant un an afin de respecter des exigences réglementaires.
Quelle fonctionnalité doit-il configurer pour étendre la durée de conservation des journaux d’audit au-delà de la période par défaut ?
A. Stratégie Azure Information Protection
B. Stratégie de conservation des journaux d’audit dans Microsoft Purview
C. Paramètre de conservation d’un label de confidentialité (Sensitivity label)
D. Litigation Hold sur une boîte aux lettres Exchange
✓ Bonne réponse : B
Par défaut, les journaux d’audit Microsoft 365 ont une durée de conservation limitée.
Pour les conserver plus longtemps (ex. 1 an ou plus), il faut configurer une Audit log retention policy dans Microsoft Purview.
Cela permet de répondre aux exigences réglementaires et de conformité.
❌ Pourquoi les autres réponses sont incorrectes :
B. Litigation Hold (Exchange) → Concerne la conservation des emails, pas les journaux d’audit globaux.
C. Sensitivity label retention → Gère la protection et la conservation des documents/emails, pas des logs d’audit.
D. Azure Information Protection → Sert à classifier et protéger les données, pas à gérer la durée des logs d’audit.
🎯 À retenir pour l’examen MS-900 :
Audit logs = Microsoft Purview (Audit log retention policy)
Vous concevez des contrôles d’accès au moindre privilège pour des développeurs qui ont besoin d’un accès occasionnel aux bases de données de production dans Azure.
Quelle solution garantit le respect du principe Zero Trust du moindre privilège ?
A. Attribuer aux développeurs User Access Administrator en permanence
B. Accorder à tous les développeurs des droits Owner sur le groupe de ressources
C. Utiliser Azure AD Privileged Identity Management (PIM) avec activation Just-in-Time des rôles
D. Attribuer aux développeurs des rôles Contributor permanents au niveau de la souscription
✓ Bonne réponse : C
Zero Trust – Least Privilege :
Les utilisateurs ne doivent avoir que les droits nécessaires et uniquement lorsqu’ils en ont besoin
Les privilèges permanents ou excessifs sont contraires au principe Zero Trust
PIM avec JIT :
Les développeurs n’activent le rôle que lorsqu’ils ont besoin d’accéder à la base de données de production
Chaque activation est journalisée et auditable
Les droits sont révoqués automatiquement après usage → sécurité maximale et conformité
Question 2 / 10
Un fournisseur de soins de santé évalue les menaces contre sa base de données Azure SQL qui stocke les dossiers de santé électroniques (EHR).
L’analyse BIA (Business Impact Analysis) montre :
La divulgation de ces dossiers pourrait entraîner des amendes HIPAA jusqu’à 2 millions de dollars
Une interruption entraînerait seulement le report de rendez-vous non urgents, avec une perte financière minimale
En se basant sur la BIA, comment le risque de divulgation devrait-il être classé ?
A. Low business impact
B. Operational-only impact
C. High business impact
D. Medium business impact
✓ Bonne réponse : C
Business Impact Analysis (BIA) classe les risques en fonction de :
L’impact financier, réglementaire et opérationnel
La criticité des actifs pour le fonctionnement de l’organisation
Dans cet exemple :
La divulgation des EHR entraîne des amendes HIPAA jusqu’à 2M$ → impact financier élevé et conformité critique
Une simple interruption n’a pas le même impact → faible perte opérationnelle
Donc, pour la menace de divulgation, l’impact est élevé (High Business Impact)
Question 3 / 10
Les analystes SOC se plaignent que les incidents dans Microsoft Sentinel prennent trop de temps à être triés, car les alertes sont générées en grand volume à partir de sources multiples.
En tant qu’architecte cybersécurité, quelle capabilité de Sentinel recommander pour réduire le bruit et regrouper automatiquement les alertes liées ?
A. Règles analytiques avec requêtes planifiées
B. Watchlists configurées dans Sentinel
C. Fusion detection dans Sentinel
D. Playbooks basés sur Azure Logic Apps
✓ Bonne réponse : C
Fusion detection :
Fonctionnalité native de Sentinel pour corréler automatiquement les alertes provenant de différentes sources
Regroupe des alertes apparemment indépendantes mais liées à un même incident ou attaquant
Réduit le bruit (alert fatigue) et facilite le triage rapide par les analystes SOC
Avantages :
Détecte des attaques avancées persistantes (APT) et chaînes d’attaques multi-sources
Crée des incidents uniques regroupant plusieurs alertes, plutôt que d’avoir des centaines d’alertes isolées
Question 4 / 10
Une organisation de santé stocke des données d’imagerie patient dans Azure Blob Storage.
L’équipe conformité exige que, en cas de ransomware ou de suppression accidentelle :
La perte de données ne dépasse pas 5 minutes (RPO ≤ 5 min)
La restauration soit terminée en moins d’1 heure (RTO ≤ 1 h)
Quelle solution devez-vous recommander ?
A. Configurer Azure Backup pour le Blob Storage avec des snapshots fréquents.
B. Mettre en place un compte de stockage avec Geo-Zone Redundant Storage (GZRS) et activer la sauvegarde continue.
C. Activer la suppression douce (soft-delete) des blobs et configurer des restaurations journalières point-in-time.
D. Utiliser Azure Site Recovery pour répliquer le stockage de blobs entre régions appariées.
✓ Bonne réponse : A
Microsoft indique officiellement que pour un RPO très court sur Blob Storage, il faut utiliser Azure Backup avec des snapshots fréquents (option D)
Continuous backup est utile mais dans certains contextes / préversions, et n’est pas la configuration par défaut pour répondre aux SLA stricts d’entreprise.
Question 5 / 10
Une organisation multinationale déploie des Azure Landing Zones.
Elle a besoin de :
Visibilité et supervision centralisées sur tous les environnements
Alertes automatisées pour les ressources non conformes
À quel domaine de conception du Cloud Adoption Framework (CAF) cette exigence correspond-elle ?
A. Réseau (Networking)
B. Identité (Identity)
C. Gestion (Management)
D. Gouvernance (Governance)
✓ Bonne réponse : C
L’organisation demande :
Visibilité centralisée et monitoring sur tous les environnements
Alertes automatisées pour les ressources non conformes
Dans le Cloud Adoption Framework (CAF) pour Azure :
Le domaine Management se concentre sur la supervision opérationnelle, le monitoring, la collecte de logs et la configuration d’alertes automatisées.
Bien que la conformité et les standards fassent partie de la gouvernance, cette exigence met l’accent sur la gestion opérationnelle et la surveillance continue.
✅ Donc, le domaine CAF approprié pour cette exigence est : Management.
Question 6 / 10
Une entreprise mondiale souhaite étendre Microsoft Defender for Cloud pour surveiller la posture de sécurité sur :
Azure
AWS
Google Cloud Platform (GCP)
Quelle capacité le cybersecurity architect doit-il activer ?
A. Activer uniquement Microsoft Sentinel pour ingérer la télémétrie AWS et GCP sans Defender for Cloud
B. Déployer Defender for Endpoint sur les workloads AWS et GCP pour gérer la posture
C. Utiliser les connecteurs multi-cloud de Defender for Cloud pour intégrer les comptes AWS et GCP
D. Configurer Azure Monitor diagnostic settings pour collecter les logs d’AWS et GCP
✓ Bonne réponse : C
Microsoft Defender for Cloud – multi-cloud capabilities :
Permet de centraliser la gestion de la posture de sécurité sur plusieurs clouds
Offre assessments, recommandations et alertes de sécurité pour Azure, AWS et GCP
Les connecteurs multi-cloud :
Onboard facilement les comptes AWS/GCP
Surveillent les configurations, vulnérabilités et risques
Fournissent des recommandations cohérentes à travers les environnements
Question 7 / 10
Une organisation de santé déployant Copilot pour Microsoft 365 doit se conformer à HIPAA, en veillant à ce que les informations de santé protégées (PHI) ne soient pas accessibles aux utilisateurs non autorisés.
Quelle configuration constitue le garde-fou le plus efficace ?
A. Configurer des règles de transport Exchange pour bloquer les emails contenant des mots-clés PHI
B. Désactiver Copilot pour tout le personnel sauf les administrateurs IT
C. Utiliser eDiscovery Premium pour identifier et exporter tous les documents contenant des PHI
D. Configurer des politiques DLP (Data Loss Prevention) dans Microsoft Purview pour empêcher le partage de PHI avec des utilisateurs non autorisés
✓ Bonne réponse : D
DLP (Data Loss Prevention) dans Microsoft Purview :
Permet d’identifier automatiquement les informations sensibles, y compris les PHI
Empêche le partage accidentel ou non autorisé dans Teams, SharePoint, OneDrive et Outlook
Fonctionne en temps réel, donc même si Copilot est utilisé, les données sensibles ne sont pas exposées
C’est la solution la plus efficace pour protéger les données sensibles tout en autorisant l’usage normal de Copilot.
Question 8 / 10
Vous êtes chargé de renforcer Active Directory Domain Services (AD DS) afin d’empêcher le vol de credentials depuis LSASS sur les contrôleurs de domaine.
Quelle fonctionnalité Microsoft doit être mise en œuvre ?
A. Privileged Access Workstations (PAWs) pour les administrateurs
B. Windows Defender Credential Guard
C. Windows Defender Credential Guard
D. Accès Just-in-Time via Microsoft Entra PIM
✓ Bonne réponse : C
LSASS (Local Security Authority Subsystem Service) stocke les hashes et tokens d’authentification Windows.
Les attaquants peuvent utiliser des techniques comme Mimikatz pour voler des credentials depuis LSASS.
Windows Defender Credential Guard :
Utilise la virtualisation basée sur le hardware pour isoler les secrets Windows (NTLM, Kerberos, LSA secrets)
Empêche les logiciels malveillants et les attaquants ayant un accès administrateur local de voler les credentials
Protège spécifiquement les domain controllers et endpoints sensibles
C’est la meilleure pratique Microsoft pour sécuriser les contrôleurs de domaine contre le vol de credentials.
Question 9 / 10
Votre entreprise évalue sa stratégie de gouvernance selon le Microsoft Well-Architected Framework (WAF).
Lors de l’audit, l’équipe sécurité constate que :
Les workloads sont déployés sans politiques cohérentes de rotation des clés
Pas de chiffrement au repos appliqué
Quel pilier du WAF cette situation viole le plus directement ?
A. Cost Optimization
B. Security
C. Reliability
D. Operational Excellence
✓ Bonne réponse : B
Le pilier Security du WAF couvre :
La protection des données (chiffrement au repos et en transit)
La gestion des identités et des accès
La rotation et protection des clés
La gestion des vulnérabilités et la gouvernance des configurations
Ici :
L’absence de rotation de clés et de chiffrement au repos constitue un manquement direct aux pratiques de sécurité recommandées par Microsoft
Question 10 / 10
Votre organisation doit valider sa conformité avec le CIS Microsoft Azure Foundations Benchmark.
En tant qu’architecte, vous souhaitez vous assurer que des mesures correctives (remédiations) soient proposées en même temps que les résultats de conformité. Quelle solution devez-vous recommander ?
A. Activer Microsoft Entra Identity Protection
B. Déployer des Azure Blueprints avec des attributions de rôles
C. Utiliser le tableau de bord de conformité réglementaire de Defender for Cloud avec l’initiative du benchmark CIS
D. Configurer les étiquettes de sensibilité Microsoft Purview Information Protection
✓ Bonne réponse : C
Microsoft Defender for Cloud inclut un tableau de bord de conformité réglementaire qui permet :
D’évaluer la conformité par rapport à des standards reconnus (comme le CIS Microsoft Azure Foundations Benchmark).
D’afficher les contrôles conformes et non conformes.
De fournir des recommandations de remédiation détaillées pour chaque contrôle non conforme.
D’automatiser certaines corrections via Azure Policy.
Cela correspond exactement au besoin : 👉 valider la conformité ET obtenir les actions correctives associées.
Vous avez déployé un serveur LDAP sur Compute Engine accessible via TLS sur le port 636 en UDP. Vous voulez vous assurer qu'il est accessible par les clients sur ce port. Que devez-vous faire ?
A. Ajouter le tag réseau allow-udp-636 à l'instance VM hébergeant le serveur LDAP.
B. Créer une route appelée allow-udp-636 avec le prochain saut pointant vers la VM hébergeant le serveur LDAP.
C. Ajouter un tag réseau de votre choix à l'instance. Créer une règle de pare-feu pour autoriser l'ingress sur UDP port 636 pour ce tag réseau.
D. Ajouter un tag réseau de votre choix à l'instance. Créer une règle de pare-feu pour autoriser l'egress sur UDP port 636 pour ce tag réseau.
✓ Bonne réponse : C
La bonne pratique est d'ajouter un tag réseau à l'instance puis de créer une règle de pare-feu ingress qui autorise UDP 636 sur ce tag. Simplement ajouter un tag sans règle de pare-feu n'ouvre aucun port. Les routes ne contrôlent pas les ports.
Question 2 / 10
Vous devez configurer une politique pour que les vidéos stockées dans un bucket Cloud Storage régional soient déplacées vers Coldline après 90 jours, puis supprimées après un an depuis leur création. Comment devez-vous configurer la politique ?
A. Utiliser Object Lifecycle Management avec Age et SetStorageClass à 90 jours, Delete à 365 jours.
B. Utiliser Object Lifecycle Management avec Age et SetStorageClass à 90 jours, Delete à 275 jours (365-90).
C. Utiliser gsutil rewrite et définir l'action Delete à 365 jours.
D. Utiliser gsutil rewrite et définir l'action Delete à 275 jours (365-90).
✓ Bonne réponse : A
La condition Age compte les jours depuis la création de l'objet. SetStorageClass à 90 jours déplace vers Coldline après 90 jours. Delete à 365 jours (pas 275) supprime après un an depuis la création — les deux conditions sont basées sur l'âge depuis la création, pas depuis le changement de classe.
Question 3 / 10
Vous devez attribuer un rôle Cloud IAM à un auditeur externe pour qu'il puisse consulter les journaux d'audit GCP ainsi que les journaux d'accès aux données. Que devez-vous faire ?
A. Attribuer à l'utilisateur un rôle personnalisé avec la permission logging.privateLogEntries.list. Diriger l'auditeur vers les journaux de modifications IAM.
B. Attribuer à l'utilisateur un rôle personnalisé avec la permission logging.privateLogEntries.list. Effectuer l'export vers Cloud Storage.
C. Attribuer le rôle IAM roles/logging.privateLogViewer. Diriger l'auditeur vers la consultation des journaux de modifications des politiques IAM.
D. Attribuer le rôle IAM roles/logging.privateLogViewer. Effectuer l'export des journaux vers Cloud Storage.
✓ Bonne réponse : C
Le rôle roles/logging.privateLogViewer inclut l'accès aux journaux d'audit d'administration ET aux journaux d'accès aux données. Diriger l'auditeur vers les journaux de modifications IAM compète la vue complète. Pas besoin d'export — l'accès direct suffit.
Question 4 / 10
Vous avez un projet pour votre application App Engine en environnement de développement. Les tests requis ont réussi et vous voulez créer un nouveau projet pour l'environnement de production. Que devez-vous faire ?
A. Créer un fichier de configuration Deployment Manager qui copie le déploiement App Engine actuel dans un nouveau projet.
B. Déployer votre application à nouveau avec gcloud en spécifiant le paramètre project avec le nouveau nom pour créer le nouveau projet.
C. Utiliser gcloud pour créer le nouveau projet, puis déployer votre application dans le nouveau projet.
D. Utiliser gcloud pour créer le nouveau projet et copier l'application déployée vers le nouveau projet.
✓ Bonne réponse : C
La méthode correcte est de d'abord créer le projet avec gcloud, puis de déployer l'application dans ce projet. gcloud ne crée pas automatiquement un projet lors du déploiement, et 'copier' une application App Engine déployée n'est pas une fonctionnalité native.
Question 5 / 10
Votre entreprise a mis en place une structure organisationnelle complexe sur Google Cloud avec des centaines de dossiers et projets. Seuls quelques membres de l'équipe doivent pouvoir voir la structure hiérarchique. Vous devez attribuer des permissions minimales. Que devez-vous faire ?
A. Ajouter les utilisateurs à un groupe, et ajouter ce groupe au rôle roles/iam.roleViewer.
B. Ajouter les utilisateurs à un groupe, et ajouter ce groupe au rôle roles/browser.
C. Ajouter les utilisateurs au rôle roles/browser.
D. Ajouter les utilisateurs au rôle roles/iam.roleViewer.
✓ Bonne réponse : B
Le rôle roles/browser est le rôle minimal permettant de consulter la hiérarchie des ressources GCP (organisation, dossiers, projets). L'attribuer à un groupe suit les bonnes pratiques. IAM roleViewer permet de voir les rôles, pas la hiérarchie.
Question 6 / 10
Vous utilisez plusieurs configurations pour gcloud. Vous voulez consulter le cluster Kubernetes Engine configuré dans une configuration inactive en utilisant le moins d'étapes possible. Que devez-vous faire ?
A. Utiliser gcloud config configurations describe pour consulter la sortie.
B. Utiliser gcloud config configurations activate puis gcloud config list.
C. Utiliser kubectl config use-context puis kubectl config view.
D. Utiliser kubectl config get-contexts pour consulter la sortie.
✓ Bonne réponse : C
kubectl config use-context bascule vers le contexte de la configuration inactive, puis kubectl config view affiche les détails du cluster GKE associé, sans avoir à activer la configuration gcloud globalement.
Question 7 / 10
Vous allez déployer un nouveau système ERP sur GCP. L'application maintient la base de données entière en mémoire pour un accès rapide aux données. Vous devez configurer les ressources GCP les plus appropriées. Que devez-vous faire ?
A. Provisionner des instances Compute Engine avec le type de machine M1.
B. Provisionner des instances Compute Engine avec des GPUs.
C. Provisionner des instances Compute Engine avec des SSDs locaux.
D. Provisionner des instances Compute Engine préemptibles.
✓ Bonne réponse : A
Les instances de type M1 (Memory-Optimized) sont conçues pour des workloads nécessitant de grandes quantités de mémoire RAM (jusqu'à 12 To). Pour une application qui maintient toute sa base de données en mémoire, c'est le type de machine optimal.
Question 8 / 10
Votre équipe maintient l'infrastructure de votre organisation. L'infrastructure actuelle nécessite des changements. Vous devez partager vos modifications proposées avec le reste de l'équipe. Vous voulez suivre les meilleures pratiques Google. Que devez-vous faire ?
A. Utiliser des templates Deployment Manager pour décrire les changements et les stocker dans Cloud Source Repositories.
B. Appliquer les changements dans un environnement de développement, exécuter gcloud compute instances list et sauvegarder la sortie dans Cloud Source Repositories.
C. Appliquer les changements dans un environnement de développement, exécuter gcloud compute instances list et sauvegarder la sortie dans un bucket Cloud Storage partagé.
D. Utiliser des templates Deployment Manager pour décrire les changements et les stocker dans un bucket Cloud Storage.
✓ Bonne réponse : A
La bonne pratique est d'utiliser Deployment Manager pour l'Infrastructure as Code et de stocker les templates dans Cloud Source Repositories (contrôle de version, revue de code par l'équipe). Cloud Storage ne fournit pas de gestion de versions ni de workflows de revue.
Question 9 / 10
Vous avez reçu un fichier JSON contenant une clé privée d'un compte de service pour accéder à des ressources GCP. Vous avez installé le Cloud SDK et voulez utiliser cette clé pour l'authentification lors de commandes gcloud. Que devez-vous faire ?
A. Placer le fichier de clé privée dans votre répertoire home et le renommer GOOGLE_APPLICATION_CREDENTIALS.
B. Utiliser la commande gcloud auth activate-service-account et pointer vers la clé privée.
C. Utiliser la commande gcloud auth login et pointer vers la clé privée.
D. Placer le fichier de clé privée dans le répertoire d'installation du Cloud SDK et le renommer credentials.json.
✓ Bonne réponse : B
La commande gcloud auth activate-service-account --key-file=chemin/vers/clé.json authentifie gcloud avec le compte de service. Toutes les commandes gcloud ultérieures s'exécutent sous l'identité de ce compte de service.
Question 10 / 10
Vous créez un nouveau cluster Google Kubernetes Engine (GKE) et voulez vous assurer qu'il exécute toujours une version supportée et stable de Kubernetes. Que devez-vous faire ?
A. Sélectionner 'Container-Optimized OS (cos)' comme image de noeud pour votre cluster GKE.
B. Activer la fonctionnalité Node Auto-Repair pour votre cluster GKE.
C. Sélectionner la dernière version disponible du cluster pour votre cluster GKE.
D. Activer la fonctionnalité Node Auto-Upgrades pour votre cluster GKE.
✓ Bonne réponse : D
Node Auto-Upgrades met automatiquement à jour les noeuds vers les versions supportées de Kubernetes au fil du temps. Sélectionner la dernière version manuellement ne garantit pas les mises à jour futures. Auto-Repair corrige les noeuds défaillants mais ne met pas à jour Kubernetes.
Selon le Scrum Guide, où le Daily Scrum doit-il se tenir ?
A. Là où le Scrum Master décide que c'est le mieux.
B. Devant le tableau Scrum.
C. Là où la Development Team décide que c'est le plus approprié.
D. Dans une salle où le management peut assister.
E. À l'endroit même où la Development Team est installée.
✓ Bonne réponse : C
Selon le Guide Scrum, c'est l'équipe de développement qui décide où tenir le Daily Scrum. Le lieu choisi doit répondre à leurs besoins de communication, et ne doit pas être imposé par la direction, le Scrum Master ou fixé arbitrairement. Cela reflète l'autonomie et l'auto-organisation de l'équipe.
Question 2 / 10
Paul, Product Owner de l'une des Scrum Teams, assiste au Daily Scrum. Lors du Daily Scrum, les membres de la Development Team lui rendent compte de leur travail quotidien afin qu'il soit informé de l'avancement du Sprint et de ce sur quoi chaque membre travaille. Quelle est la meilleure action à entreprendre pour le Scrum Master ?
A. Demander à Paul de cesser d'assister au Daily Scrum.
B. Faciliter les Daily Scrums afin d'éviter tout conflit entre les membres de la Development Team et Paul.
C. Autoriser Paul à participer au Daily Scrum, car il est responsable du succès du produit.
D. Accompagner Paul et les membres de la Development Team sur l'objectif des événements Scrum et les laisser déterminer eux-mêmes comment gérer cette situation.
✓ Bonne réponse : D
Le rôle du Scrum Master est de coacher l'équipe sur les principes Scrum plutôt que de dicter des décisions. L'objectif du Daily Scrum est de permettre à l'équipe de développement de synchroniser son travail et de planifier la journée — et non de rendre compte de l'avancement au Product Owner. En facilitant la compréhension du véritable objectif de cet événement, Steven donne à l'équipe les moyens de s'auto-organiser pour trouver la solution, incarnant ainsi le servant-leadership et la transparence.
Question 3 / 10
Quelles seraient les activités typiques d'un Scrum Master durant le Sprint ?
A. Éviter les conflits et les escalader aux responsables hiérarchiques si des conflits surviennent.
B. Supprimer les obstacles et faciliter les opportunités d'inspection et d'adaptation selon les besoins ou les demandes.
C. Surveiller la progression de la Development Team et assigner des tâches.
✓ Bonne réponse : B
Les activités typiques du Scrum Master se concentrent sur la levée des impediments et la facilitation de l'inspection et de l'adaptation. Le Scrum Master n'assigne pas de tâches (c'est le rôle de la Developer Team) et n'escalade pas les conflits aux managers hiérarchiques (ce qui nuirait à l'autonomisation de l'équipe). Au lieu de cela, il accompagne l'équipe pour surmonter les obstacles et s'améliorer en continu, soutenant ainsi les valeurs Scrum de courage et d'engagement envers l'excellence.
Question 4 / 10
Quelles sont les deux affirmations qui décrivent le mieux un Sprint Goal ? (Choisissez deux réponses.)
Sélectionnez 2 réponses.
A. Les Sprint Goals sont définis lorsque le travail accompli est passé en revue à la fin d'un Sprint.
B. Les Sprint Goals offrent aux Development Teams de la flexibilité et de la créativité dans la manière d'implémenter les fonctionnalités durant le Sprint.
C. Les Sprint Goals peuvent évoluer à mesure que de nouvelles informations émergent durant le Sprint.
D. Durant le Sprint Planning, l'ensemble de la Scrum Team élabore collaborativement un Sprint Goal basé sur un objectif métier que le Product Owner souhaite atteindre durant ce Sprint.
✓ Bonne réponse : B, D
Les options B et C décrivent correctement les Objectifs de Sprint. L'Objectif est élaboré en collaboration lors du Sprint Planning et apporte focus et flexibilité dans la mise en œuvre. Les Objectifs peuvent évoluer avec de nouvelles informations, mais restent ancrés dans un objectif métier stable. L'option A est fausse — les Objectifs sont définis lors du Planning, et non à la fin du Sprint. L'option D est trompeuse ; bien que les approches de mise en œuvre s'adaptent, l'Objectif lui-même doit rester stable, sauf si l'objectif métier change.
Question 5 / 10
Quelle valeur Scrum est impactée par la confiance ?
A. Le Courage.
B. L'Engagement.
C. Le Respect.
D. L'Ouverture.
E. La Focalisation.
✓ Bonne réponse : A, B, C, D, E
Toutes ces réponses. La confiance constitue le fondement des cinq valeurs Scrum : le Respect (confiance dans les capacités des membres de l'équipe), le Courage (confiance pour prendre des risques), l'Engagement (confiance dans les objectifs), l'Ouverture (confiance pour communiquer honnêtement) et la Focalisation (confiance dans les priorités). Sans confiance, aucune de ces valeurs ne peut s'épanouir.
Question 6 / 10
Quels seraient les principaux bénéfices de l'auto-organisation ?
A. Créativité accrue, responsabilisation individuelle, engagement.
B. Meilleur respect des règles, responsabilisation individuelle, engagement.
C. Meilleur respect des règles, responsabilisation individuelle, production.
D. Capacité accrue, précision des estimations, production.
✓ Bonne réponse : A
Les principaux bénéfices de l'auto-organisation sont une créativité accrue, la responsabilité individuelle et l'engagement (option 4). Les équipes auto-organisées ressentent un sentiment d'appartenance et d'autonomie, ce qui favorise l'innovation et la motivation intrinsèque. Les options 1 à 3 mettent l'accent sur la conformité ou les résultats, qui sont des effets secondaires et non des bénéfices primaires. L'auto-organisation s'appuie fondamentalement sur les valeurs Scrum que sont l'engagement et le focus.
Question 7 / 10
Votre organisation exige que tous les Incréments passent des tests d'acceptation utilisateur (UAT) avant d'être autorisés à être déployés en production. Est-il judicieux de reporter les UAT à la fin du projet afin d'éviter de perturber l'Équipe de Développement durant les Sprints ?
A. Non, car l'état de l'Incrément du Produit ne serait pas transparent et la boucle de rétroaction serait trop longue.
B. Oui, car les UAT sont réalisés lors d'un Sprint de stabilisation avant le Sprint de livraison.
C. Cela dépend de la Definition of Done de l'équipe.
D. Oui, car l'Équipe de Développement est une équipe auto-organisée et ne doit pas être perturbée pendant le développement.
✓ Bonne réponse : A
Réponse correcte : Option 1. Reporter les UAT à la fin du projet viole le pilier de transparence de Scrum et rallonge dangereusement les boucles de feedback, empêchant toute correction de trajectoire précoce. L'Incrément doit respecter la Definition of Done (qui inclut la disponibilité pour les UAT) à chaque Sprint. L'option 2 ignore que la DoD doit inclure des critères de qualité, l'option 3 représente mal l'auto-organisation, et l'option 4 encourage l'anti-pattern des Sprints de stabilisation, contraire aux principes Scrum.
Question 8 / 10
Lors du Sprint Planning, la Definition of Done aide la Development Team à estimer la quantité de travail, sélectionnée dans le Product Backlog, qu'il est réalisable de terminer d'ici la fin du Sprint. Quels sont les deux éléments qui décrivent le mieux ce que signifie « done » ? (Choisissez deux réponses.)
Sélectionnez 2 réponses.
A. Tout le travail accompli dans les limites des compétences et de l'expertise actuelles de la Development Team.
B. Tout le travail nécessaire pour préparer l'Increment en vue des tests d'acceptation utilisateur.
C. Disposer d'un Increment de logiciel fonctionnel potentiellement livrable aux utilisateurs finaux.
D. Tout le travail nécessaire pour préparer l'Increment en vue des tests d'intégration.
E. Tout le travail réalisé tel que défini dans la Definition of Done.
✓ Bonne réponse : C, E
Réponses correctes : Options 2 et 3. La Définition of Done décrit le travail nécessaire pour produire un Increment potentiellement publiable (option 2), et englobe l'ensemble du travail réalisé tel que défini en son sein (option 3). Les options 0 et 1 sont trop restrictives (elles mentionnent des phases de test spécifiques). L'option 4 est incorrecte car la Definition of Done est un engagement de l'équipe, non limité par les compétences actuelles. Le Guide Scrum souligne que « Done » signifie que le produit est prêt à être publié.
Question 9 / 10
Que se passerait-il probablement si le management se contentait d'adapter la terminologie de l'organisation pour correspondre à Scrum, sans une compréhension et un soutien appropriés de Scrum tels que définis dans le Scrum Guide ?
A. Très peu de changements se produiront, car le vocabulaire de Scrum est spécifiquement défini pour la mise en œuvre de Scrum.
B. L'organisation ne réalisera probablement pas les véritables bénéfices de Scrum, car il n'y aurait aucun changement réel dans la façon dont les équipes travaillent.
C. Toutes les réponses s'appliquent.
D. Les organisations pourraient se sentir moins stressées, car les comportements resteraient familiers au management.
✓ Bonne réponse : C
Toutes les réponses s'appliquent. Le simple fait d'adopter la terminologie Scrum sans comprendre ni incarner ses principes produira un changement organisationnel minime. Les équipes conserveront leurs comportements habituels (souvent dysfonctionnels), le vocabulaire perdra tout son sens, le management pourra se sentir à l'aise en raison de dynamiques inchangées, et les véritables bénéfices de Scrum — inspection, transparence et adaptation — resteront inexploités.
Question 10 / 10
Quelles sont les deux contraintes, définies dans Scrum, qui guident les équipes pour s'auto-organiser efficacement ? (Choisissez deux réponses.)
Sélectionnez 2 réponses.
A. Définir des équipes fonctionnelles clairement délimitées au sein de la Development Team afin d'établir des phases de transfert durant le développement.
B. Produire un Increment intégré et potentiellement livrable à la fin de chaque Sprint.
C. Disposer d'un mélange de niveaux de compétences et d'expériences variés pour favoriser le partage des connaissances métier.
D. Limiter dans le temps les événements Scrum pour permettre une inspection et une adaptation régulières, créant ainsi des opportunités d'ajuster le cap à tout moment.
✓ Bonne réponse : B, D
Correct : Options 1 et 3 - Ces limites favorisent l'auto-organisation : les événements timeboxés créent des opportunités régulières d'inspection et d'adaptation, tandis que l'exigence de produire un Increment potentiellement livrable à chaque Sprint impose l'intégration et la complétude. L'option 2 contredit l'auto-organisation en créant des silos fonctionnels ; l'option 4, bien que constituant une bonne pratique, ne définit pas explicitement les limites de l'auto-organisation.
Qu\'est-ce qui peut conduire à une vision révisée du risque produit?
A. La méthode utilisée pour l\'estimation de test n\'est pas assez précise et le budget consacré aux tests a donc dépassé son allocation.
B. Les préoccupations concernant l\'interface utilisateur peuvent conduire à des modifications de l\'interface qui ne peuvent pas être mises en œuvre par le développement à temps pour la deuxième itération de test.
C. Les préoccupations concernant l\'interface utilisateur augmentent la probabilité d\'un risque dans ce domaine et augmentent la quantité d\'effort de test nécessaire pour l\'interface utilisateur, limitant ainsi l\'effort de test disponible pour d\'autres parties de l\'outil de gestion de test.
D. La livraison de l\'application sans les modifications d\'interface peut mécontenter la communauté des utilisateurs.
✓ Bonne réponse : C
Réponse : Les préoccupations concernant l\'interface utilisateur augmentent la probabilité d\'un risque dans ce domaine et augmentent la quantité d\'effort de test nécessaire pour l\'interface utilisateur, limitant ainsi l\'effort de test disponible pour d\'autres parties de l\'outil de gestion de test.. Explication : L\'option B est correcte car elle modifie explicitement à la fois la probabilité évaluée et l\'impact basé sur les ressources (couverture de test), ce qui altère l\'exposition au risque produit et force une réévaluation des priorités. Le risque augmente (probabilité × conséquence) avec la réallocation des ressources.
Question 2 / 10
Qu\'est-ce que la couverture de test?
A. Pourcentage des itérations de test complétées
B. Pourcentage des heures planifiées travaillées cette semaine
C. Pourcentage des pays disposant de scénarios de test
D. Pourcentage des exigences métier exercées
✓ Bonne réponse : D
Réponse : Pourcentage des exigences métier exercées. Explication : La mesure la plus appropriée de couverture de test pour un rapport de progression métier hebdomadaire est le pourcentage des exigences métier exercées. Cette métrique s\'aligne directement avec les priorités métier : valider que le logiciel remplit son objectif et fournit une valeur tangible aux parties prenantes.
Question 3 / 10
Le responsable du développement supervise l\'examen des réponses des soumissionnaires et a demandé au responsable des tests internes de fournir une liste de contrôle pour l\'examen des aspects liés à la gestion des tests de ces réponses. Parmi les points de contrôle suivants, lequel serait approprié ?
A. Le plan de test du soumissionnaire montre que l\'application sera livrée pour acceptation dans six mois.
B. Le plan de test du soumissionnaire décrit une mise en œuvre par phases avec des dates de livraison ultérieures à confirmer et indique que les livrables de test seront développés en utilisant la norme IEEE 829 comme guide.
C. La stratégie de projet du soumissionnaire montre que le contenu des données de tous les environnements de test est conforme aux normes de l\'UE.
D. La politique de test du soumissionnaire doit imposer que la gestion des incidents soit entièrement conforme à la norme IEEE 1044.
✓ Bonne réponse : B
Réponse : Le plan de test du soumissionnaire décrit une mise en œuvre par phases avec des dates de livraison ultérieures à confirmer et indique que les livrables de test seront développés en utilisant la norme IEEE 829 comme guide.. Explication : D est correct car il démontre une réponse appropriée, centrée sur la gestion de test : un plan de livraison par phases réaliste associé à l\'engagement de développer les livrables de test selon un cadre documentaire reconnu (IEEE 829), sans imposer de dates inflexibles ni de processus propriétaires.
Question 4 / 10
Quels sont TROIS défis clés typiques de l\'externalisation ?
Sélectionnez TROIS réponses.
A. Test des exigences non-fonctionnelles
B. Cultures possiblement différentes
C. Environnement de test plus complexe
D. Application de l'automatisation des tests
E. Définir les attentes concernant les tâches et les livrables
6. Traçabilité depuis les exigences jusqu'aux cas de test
7. Canaux de communication clairs
✓ Bonne réponse : B, E, 7
Réponse : Définir les attentes concernant les tâches et les livrables / Canaux de communication clairs / Cultures possiblement différentes. Explication : BCD est correct. L\'externalisation introduit des ambiguïtés contractuelles sur les livrables, nécessite des canaux de communication robustes et expose le projet à des différences culturelles. La définition précise des attentes, des critères d\'acceptation et des SLA est essentielle pour éviter les dérives de périmètre et les litiges.
Question 5 / 10
Lequel des éléments suivants N\'EST PAS un défi clé typique pour le test dans une approche de développement RAD ?
A. Planification temporelle
B. Gestion et pilotage de projet
C. Scripts de test réutilisables pour le test de régression (automatisé)
D. Absence de spécification complète des exigences
✓ Bonne réponse : B
Réponse : Gestion et pilotage de projet. Explication : B est correct car la gestion et le pilotage de projet sont des préoccupations transversales à tous les cycles de vie, non spécifiques au test en RAD. Les attributs distinctifs du RAD—prototypage itératif, exigences évolutives, délais serrés—créent des problèmes centrés sur le test : exigences instables, régressions fréquentes, cycles de test compressés.
Question 6 / 10
Quel est l\'objectif de l\'utilisation de critères d\'entrée et de sortie ?
A. Les critères d\'entrée et de sortie sont un moyen principal d\'obtenir des ressources adéquates.
B. L\'utilisation de critères d\'entrée et de sortie empêchera les logiciels non testés ou mal testés de passer au niveau de test suivant.
C. L\'attente est que les tests de développement ne sont pas adéquats.
D. Les critères de sortie sont utilisés pour décider quand arrêter les tests.
✓ Bonne réponse : A
Réponse : Les critères d\'entrée et de sortie sont un moyen principal d\'obtenir des ressources adéquates.. Explication : C est correct car les critères d\'entrée et de sortie sont des portes de qualité objectives pour les transitions de niveau et la prise de décision, non des mécanismes destinés à sécuriser les ressources. Ils spécifient des conditions mesurables soutenant les décisions arrêt/go et protègent les activités en aval.
Question 7 / 10
En plus du risque, identifiez DEUX autres composantes d\'une stratégie de test.
Sélectionnez DEUX réponses.
A. Les critères d'entrée et de sortie pour chaque phase de test
B. Le calendrier de test
C. Les indicateurs de performance des tests
D. Les techniques de conception de test à utiliser
E. Les besoins en formation en test pour les ressources du projet
✓ Bonne réponse : A, D
Réponse : Les critères d\'entrée et de sortie pour chaque phase de test / Les techniques de conception de test à utiliser. Explication : AC est correct car une stratégie de test défendable prescrit explicitement les techniques de conception de test pour atteindre la couverture et l\'atténuation des risques (C) et les critères d\'entrée/sortie qui gouvernent la progression des phases et les barrières qualité (A). Une stratégie de test robuste est un cadre décisionnel de haut niveau qui détermine comment les objectifs de test seront atteints et comment les risques informent la priorisation et la portée.
Question 8 / 10
Lequel des éléments suivants est une métrique appropriée pour mesurer l\'efficacité du processus de test dans la réalisation de l\'un de ces objectifs ?
A. Pourcentage de couverture des exigences
B. Nombre moyen de jours entre la découverte et la résolution d\'un défaut
C. Pourcentage de l\'effort de test consacré aux tests de régression
D. Nombre de lignes de code écrites par développeur par jour
✓ Bonne réponse : A
Réponse : Pourcentage de couverture des exigences. Explication : B est correct car le pourcentage de couverture des exigences quantifie directement l\'adéquation des tests par rapport à l\'objectif déclaré de valider que le système satisfait ses exigences. L\'efficacité du test dans un contexte piloté par les exigences repose sur la mesure objective de la complétude de la couverture des exigences et de la détection des non-conformités.
Question 9 / 10
En général, pourquoi n\'est-il PAS judicieux d\'estimer l\'effort de test en se basant uniquement sur un pourcentage de l\'effort de développement? Identifiez TROIS raisons valides.
Sélectionnez TROIS réponses.
A. La qualité de l'estimation du développement peut être médiocre.
B. Utiliser le même pourcentage chaque fois ne tient pas compte du niveau de risque de l'application à tester.
C. La technique basée sur un pourcentage s'applique uniquement au modèle de cycle de vie en V.
D. En général, l'estimation ascendante est toujours meilleure que l'estimation descendante.
E. Le résultat est presque toujours une estimation trop faible de l'effort de test requis.
6. La maturité de l'organisation, par exemple la qualité de la base de test, la qualité des tests de développement, la gestion de configuration, la disponibilité des outils de test, influencent également l'effort requis pour le test.
7. Cela s'appuie sur un large ensemble de données historiques.
✓ Bonne réponse : A, B, 6
Réponse : La qualité de l\'estimation du développement peut être médiocre. / Utiliser le même pourcentage chaque fois ne tient pas compte du niveau de risque de l\'application à tester. / La maturité de l\'organisation, par exemple la qualité de la base de test, la qualité des tests de développement, la gestion de configuration, la disponibilité des outils de test, influencent également l\'effort requis pour le test.. Explication : Les réponses A, D et E désignent des sources distinctes de variance qu\'un simple pourcentage du développement ne peut pas capturer. A: les estimations de développement peuvent être inexactes, propageant l\'erreur d\'estimation. D: un pourcentage fixe ignore le risque spécifique, la criticité métier et les profils d\'impact des défauts. E: la maturité organisationnelle (qualité de la base de test, tests unitaires du développement, gestion de configuration, outils disponibles) influence directement l\'effort de test.
Question 10 / 10
Quel est un avantage clé d\'impliquer les utilisateurs pendant l\'exécution des tests ?
A. Ils ont la capacité de se concentrer aussi sur les cas de test invalides
B. Ils représentent une ressource bon marché
C. Cela peut servir à renforcer leur confiance dans le système
D. Ils possèdent de bonnes compétences en test
✓ Bonne réponse : C
Réponse : Cela peut servir à renforcer leur confiance dans le système. Explication : C est correct car impliquer les utilisateurs lors de l\'exécution renforce principalement leur confiance et leur acceptation en validant le comportement du système par rapport aux attentes opérationnelles réelles. D\'un point de vue avancé de gestion des tests, la participation des utilisateurs est une intervention d\'engagement des parties prenantes qui réduit le risque de déploiement.
L'analyse des performances révèle que votre contexte est composé de résultats RAG accumulés provenant de toutes les requêtes précédentes, ce qui empiète sur l'historique de la conversation et entraîne une dégradation de la cohérence après 15 tours ou plus. Quelle approche résout le mieux ce problème ?
A. Compresser tous les résultats RAG en un document de synthèse consolidé qui se met à jour de manière incrémentale après chaque récupération.
B. Mettre en place une déduplication sémantique pour identifier et supprimer les informations redondantes dans les résultats RAG accumulés et les tours de conversation.
C. Réaffecter le budget de contexte en faveur des résultats RAG tout en réduisant l'allocation réservée à l'historique de la conversation.
D. Mettre en place une fenêtre glissante pour les résultats RAG des 2 à 3 dernières requêtes tout en préservant l'historique de la conversation.
✓ Bonne réponse : D
A. Mettre en œuvre une déduplication sémantique pour identifier et supprimer les informations redondantes dans les résultats RAG accumulés et les tours de conversation — Incorrect. Cela réduit la redondance, mais ne résout pas le problème central de l'accumulation non bornée du contexte RAG. B. Mettre en œuvre une fenêtre glissante pour les résultats RAG des 2 à 3 dernières requêtes tout en préservant l'historique de la conversation — Correct. Cela répond directement au problème de saturation du contexte en limitant la croissance du RAG tout en maintenant la continuité de la conversation. C. Réaffecter le budget de contexte en faveur des résultats RAG tout en réduisant l'allocation de l'historique de conversation — Incorrect. Cela détériore la cohérence en sacrifiant le contexte conversationnel. D. Compresser tous les résultats RAG en un document de synthèse consolidé qui se met à jour de manière incrémentielle après chaque récupération — Incorrect. Cela peut entraîner une perte d'informations et une dérive du résumé, en particulier sur de nombreux tours de conversation.
Question 2 / 10
Votre agent traite un litige de facturation. Après avoir appelé get_customer et lookup_order, il identifie que le litige implique une erreur de tarification promotionnelle nécessitant l'approbation d'un responsable — ce qui dépasse le niveau d'autorisation de l'agent. Comment le workflow doit-il gérer cette escalade en cours de processus ?
A. Tenter quand même le remboursement avec process_refund, et n'escalader que si le système rejette la transaction.
B. Persister l'intégralité de l'historique de conversation et des réponses aux outils dans une base de données, puis appeler escalate_to_human avec un identifiant de référence.
C. Appeler escalate_to_human en ne transmettant que le message original du client.
D. Compiler un handoff structuré incluant les informations client, les détails de commande et le problème identifié avant d'appeler escalate_to_human.
✓ Bonne réponse : D
A. Persister l'intégralité de l'historique de conversation et des réponses aux outils dans une base de données, puis appeler escalate_to_human avec un identifiant de référence — Incorrect. Utile sur le plan opérationnel, mais l'agent humain a tout de même besoin d'un résumé concis et exploitable plutôt que de simples journaux bruts. B. Appeler escalate_to_human en ne transmettant que le message original du client — Incorrect. Cela perd le travail d'investigation déjà effectué et oblige l'agent humain à répéter les étapes. C. Tenter le remboursement avec process_refund quoi qu'il arrive, en escaladant uniquement si le système rejette la transaction — Incorrect. Cela viole les limites d'autorisation et la politique métier. D. Compiler une passation de contexte structurée incluant les détails du client, les informations de commande et le problème identifié avant d'appeler escalate_to_human — Correct. Une passation structurée préserve le contexte, réduit les répétitions et permet à l'agent humain de continuer efficacement.
Question 3 / 10
Après que l'agent de recherche web et l'agent d'analyse de documents ont terminé leurs tâches, le coordinateur invoque l'agent de synthèse. Cependant, l'agent de synthèse répond qu'il ne peut pas accomplir la tâche car aucun résultat de recherche ne lui a été fourni. Quelle est la cause la plus probable de ce problème ?
A. Le coordinateur n'a pas inclus les sorties des agents précédents dans le prompt de l'agent de synthèse.
B. La fenêtre de contexte de l'agent de synthèse n'est pas suffisamment grande pour contenir les sorties combinées des deux agents précédents.
C. Les sous-agents doivent partager une connexion API unique pour permettre un partage automatique du contexte entre les invocations.
D. L'agent de synthèse a besoin d'outils lui permettant de récupérer directement les résultats depuis les historiques de conversation des autres agents.
✓ Bonne réponse : A
A. L'agent de synthèse a besoin d'outils capables de récupérer les résultats directement depuis l'historique des conversations des autres agents. Incorrect. Les agents n'ont pas besoin d'accéder directement aux historiques des autres. Une orchestration correcte transmet les sorties explicitement via des prompts. B. La fenêtre de contexte de l'agent de synthèse n'est pas suffisamment large pour contenir les sorties combinées des deux agents précédents. Incorrect. Si c'était le problème, l'agent recevrait des données tronquées, et non une absence totale de données. L'erreur indique que les entrées sont entièrement manquantes. C. Les sous-agents doivent partager une seule connexion API pour permettre le partage automatique du contexte entre les invocations. Incorrect. La communication entre agents ne dépend pas de connexions API partagées. Le contexte doit être explicitement transmis par le coordinateur. D. Le coordinateur n'a pas inclus les sorties des agents précédents dans le prompt de l'agent de synthèse. Correct. L'agent de synthèse ne peut agir que sur les informations fournies dans son prompt. Si les sorties précédentes ne sont pas transmises, il signalera l'absence des résultats de recherche.
Question 4 / 10
La surveillance indique que 12 % des extractions échouent à la validation Pydantic avec des erreurs spécifiques telles que « float attendu pour quantity, obtenu '2 to 3' ». Relancer ces requêtes sans modification produit les mêmes échecs. Quelle est l'approche la plus efficace pour récupérer de ces échecs de validation ?
A. Envoyer une requête de suivi incluant l'erreur de validation, en demandant au modèle de corriger sa sortie.
B. Définir la température à 0 pour éliminer la variabilité des sorties et garantir un formatage cohérent.
C. Implémenter un pipeline secondaire utilisant un modèle de niveau supérieur pour retraiter les documents qui échouent à la validation.
D. Pré-traiter les documents source pour standardiser les formats problématiques avant de les envoyer à l'extraction.
✓ Bonne réponse : A
A. Définir la température à 0 pour éliminer la variabilité des sorties et garantir un formatage cohérent — Incorrect. Cela réduit l'aléatoire mais ne corrige pas les erreurs d'extraction systématiques comme la mauvaise interprétation des plages (« 2 à 3 »). B. Envoyer une requête de suivi incluant l'erreur de validation, en demandant au modèle de corriger sa sortie — Correct. Fournir un retour de validation précis permet au modèle de corriger le problème exact (par exemple, convertir « 2 à 3 » en un nombre flottant valide), rendant la récupération très efficace. C. Pré-traiter les documents sources pour standardiser les formats problématiques avant de les envoyer à l'extraction — Incorrect. Utile dans certains cas, mais pas évolutif ni suffisant pour gérer la diversité des variations du monde réel. D. Mettre en place un pipeline secondaire utilisant un modèle de niveau supérieur pour retraiter les documents qui échouent à la validation — Incorrect. Plus coûteux et inutile — la correction ciblée est plus efficace et plus performante.
Question 5 / 10
Votre outil de recherche de vols appelle une API externe d'une compagnie aérienne qui retourne occasionnellement une erreur 503 Service Unavailable. Quelle est la manière la plus efficace de gérer cette erreur dans l'implémentation de votre outil ?
A. Réessayer automatiquement la requête jusqu'à cinq fois avec un délai exponentiel avant de retourner les résultats à l'agent.
B. Retourner un message d'erreur dans le résultat de l'outil expliquant que le service est temporairement indisponible.
C. Retourner une liste de vols vide comme si la recherche avait réussi mais n'avait trouvé aucun vol correspondant.
D. Journaliser l'erreur en interne et retourner une réponse vide, laissant le modèle continuer sans les données de vol.
✓ Bonne réponse : A
A. Retourner une liste de vols vide comme si la recherche avait réussi mais n'avait trouvé aucun vol correspondant. Incorrect. Cela masque l'échec et induit le système en erreur en lui faisant croire qu'aucun vol n'existe, ce qui peut conduire à des conclusions incorrectes. B. Enregistrer l'erreur en interne et retourner une réponse vide, laissant le modèle continuer sans les données de vols. Incorrect. Cela supprime également le signal d'échec, empêchant l'agent de prendre des mesures correctives. C. Retourner un message d'erreur dans le résultat de l'outil expliquant que le service est temporairement indisponible. Incorrect. Bien que transparent, cela ne tente pas à lui seul une récupération et peut dégrader inutilement l'expérience utilisateur. D. Réessayer automatiquement la requête jusqu'à cinq fois avec un backoff exponentiel avant de retourner les résultats à l'agent. Correct. Il s'agit de l'approche la plus efficace : elle gère les pannes transitoires de manière élégante, améliore la fiabilité et ne remonte les erreurs que si les tentatives échouent.
Question 6 / 10
Une fois que les sous-agents de recherche web et d'analyse de documents ont terminé leurs tâches, le coordinateur doit lancer le sous-agent de synthèse pour synthétiser les résultats. Quelle est la bonne approche pour fournir au sous-agent de synthèse les informations dont il a besoin ?
A. Fournir au sous-agent des définitions d'outils lui permettant de demander les sorties des autres sous-agents via des callbacks.
B. Lancer le sous-agent avec seulement une brève description de la tâche, en s'appuyant sur l'héritage automatique du contexte depuis le coordinateur.
C. Inclure directement les résultats complets des deux sous-agents dans le prompt du sous-agent de synthèse.
D. Transmettre des identifiants de référence et configurer le sous-agent avec un accès en lecture à un espace mémoire partagé où les autres sous-agents ont déposé leurs résultats.
✓ Bonne réponse : D
A. Fournir au sous-agent des définitions d'outils lui permettant de demander des résultats à d'autres sous-agents via des callbacks. Incorrect. Cette approche introduit un couplage et une complexité inutiles. Les sous-agents ne devraient pas avoir besoin de récupérer activement des données auprès des autres. B. Inclure directement les résultats complets des deux sous-agents dans le prompt du sous-agent de synthèse. Incorrect. Bien que simple, cette approche ne passe pas bien à l'échelle pour des résultats volumineux et peut dépasser les limites de contexte, réduisant ainsi l'efficacité. C. Transmettre des identifiants de référence et configurer le sous-agent avec un accès en lecture à un espace mémoire partagé où les autres sous-agents ont déposé leurs résultats. Correct. Il s'agit de l'approche la plus évolutive et prête pour la production. Elle préserve la fidélité des informations tout en évitant la surcharge du contexte, permettant à l'agent de synthèse de récupérer exactement ce dont il a besoin. D. Instancier le sous-agent avec seulement une brève description de tâche, en s'appuyant sur un héritage automatique du contexte depuis le coordinateur. Incorrect. Il n'existe pas d'héritage automatique du contexte — sans accès explicite aux données, l'agent de synthèse ne peut pas fonctionner correctement.
Question 7 / 10
You're Implementing a feature where users refine their playlist preferences through multiple conversation turns. After deploying, you notice Claude's responses don't reflect what us earlier in the same conversation--for example, a user says they love jazz, but two messages later Claude asks what genres they enjoy. What is the most likely cause?
A. The Claude API requires a session_id parameter that you haven't configured
B. Your application isn't including prior messages in the messages array
C. The model's context window has been exceeded by the conversation length
D. Claude requires a vector database connection to maintain conversation memory
✓ Bonne réponse : B
A. La fenêtre de contexte du modèle a été dépassée par la longueur de la conversation — Incorrect. Cela ne se produirait que lors de conversations très longues, alors que le problème apparaît dès les premiers échanges. B. L'API Claude nécessite un paramètre session_id que vous n'avez pas configuré — Incorrect. Il n'existe pas de session_id obligatoire ; le contexte doit être géré explicitement par l'application. C. Claude nécessite une connexion à une base de données vectorielle pour maintenir la mémoire de la conversation — Incorrect. Une base de données vectorielle est optionnelle pour la récupération d'informations, elle n'est pas requise pour la mémoire conversationnelle de base. D. Votre application n'inclut pas les messages précédents dans le tableau messages — Correct. Claude ne conserve aucune mémoire entre les appels ; si les messages précédents ne sont pas inclus, il ne peut pas se souvenir des préférences exprimées antérieurement par l'utilisateur.
Question 8 / 10
Votre outil documents(query) retourne des résultats sous la forme « 3 documents trouvés : Proposition budgétaire T2, Prévision budgétaire T2, Bilan annuel ». Vous souhaitez que l'agent puisse traiter document(4, multi) et doc(24, multi). Quel format de retour permettrait le mieux ces flux de travail en plusieurs étapes ?
A. Un tableau JSON des titres de documents extraits des résultats de recherche.
B. Des URL sur lesquelles les utilisateurs peuvent cliquer pour ouvrir le document dans leur navigateur.
C. Des données structurées contenant les identifiants et les métadonnées de chaque document trouvé.
D. Des descriptions plus détaillées et lisibles par un humain, incluant la taille et les auteurs.
✓ Bonne réponse : C
A. Des URLs sur lesquelles les utilisateurs peuvent cliquer pour ouvrir le document dans leur navigateur. Incorrect. Les URLs sont utiles pour les utilisateurs, mais ne sont pas idéales pour les agents effectuant des workflows en plusieurs étapes nécessitant un référencement fiable et des opérations supplémentaires. B. Des données structurées contenant les identifiants de documents et les métadonnées pour chaque résultat. Correct. Cela permet à l'agent de référencer de manière programmatique des documents spécifiques (via des identifiants) à travers plusieurs étapes, rendant les workflows tels que les requêtes de suivi ou la récupération de documents précis et fiables. C. Un tableau JSON de titres de documents extraits des résultats de recherche. Incorrect. Les titres seuls sont ambigus et ne constituent pas des identifiants stables, ce qui rend difficile pour les agents d'agir de manière fiable sur des documents spécifiques. D. Des descriptions plus détaillées et lisibles par l'humain, incluant la taille et les auteurs. Incorrect. Utile pour les utilisateurs, mais toujours non structuré et non adapté à des opérations précises d'agents en plusieurs étapes.
Question 9 / 10
Lorsque l'agent appelle lookup_order et reçoit les détails d'une commande indiquant que l'article a été acheté il y a 45 jours, comment la boucle agentique détermine-t-elle s'il faut appeler process_refund ou escalader vers un humain ?
A. L'agent suit un arbre de décision préconfiguré associant les attributs de la commande à des appels d'outils spécifiques.
B. L'agent exécute les étapes restantes d'une séquence d'outils planifiée au début de la requête.
C. La couche d'orchestration achemine automatiquement vers l'outil suivant en fonction du champ de statut de la commande.
D. Les détails de la commande sont ajoutés à la conversation et le modèle raisonne pour décider quelle action entreprendre.
✓ Bonne réponse : D
B. Les détails de la commande sont ajoutés à la conversation et le modèle raisonne sur l'action à entreprendre. Correct. Dans une boucle agentique, les résultats des outils (comme « acheté il y a 45 jours ») sont réinjectés dans le contexte du modèle, et celui-ci réévalue la situation de manière dynamique. Il décide ensuite s'il convient de procéder avec process_refund, d'escalader vers un humain, ou d'entreprendre une autre action en fonction de la politique et des informations mises à jour. Pourquoi les autres réponses sont incorrectes : A. Séquence d'outils fixe planifiée dès le départ — Incorrect. Les systèmes agentiques ne sont pas des flux de travail statiques ; ils s'adaptent après chaque observation. C. Arbre de décision préconfiguré — Incorrect. Il s'agit d'une automatisation basée sur des règles, et non d'un raisonnement piloté par un LLM. D. La couche d'orchestration achemine automatiquement le prochain appel d'outil — Incorrect. Cela supprime le rôle de raisonnement du modèle et le transforme en un routage déterministe.
Question 10 / 10
Votre outil update_user_profile accepte un user_id (obligatoire) et un objet optionnel fields_to_update. Lors des tests, Claude omet fréquemment le user_id ou transmet des données mal structurées. Qu'est-ce qui est le plus déterminant pour aider Claude à comprendre quelles valeurs de paramètres fournir ?
A. Des descriptions de paramètres claires expliquant le format attendu, par exemple « user_id : UUID de l'utilisateur à mettre à jour (obligatoire) »
B. Des réponses d'erreur détaillées expliquant pourquoi les valeurs de paramètres invalides ont été rejetées
C. Des contraintes strictes de type JSON Schema marquant user_id comme obligatoire et définissant fields_to_update comme un type objet
D. Des noms de paramètres verbeux encodant des indications de format, comme user_id_string_uuid_format
✓ Bonne réponse : A
A. Des descriptions de paramètres claires expliquant le format attendu, par exemple « user_id : UUID de l'utilisateur à mettre à jour (obligatoire) » — Correct. Des descriptions claires et lisibles sont le facteur le plus important pour aider Claude à comprendre quelles valeurs fournir et comment les paramètres doivent être structurés. B. Des noms de paramètres verbeux encodant des indications de format, comme user_id_string_uuid_format — Incorrect. Des noms excessivement verbeux réduisent la lisibilité et sont moins efficaces que des descriptions appropriées. C. Des contraintes de type JSON Schema strictes marquant user_id comme obligatoire et définissant fields_to_update comme type objet — Incorrect. Les contraintes de schéma facilitent la validation, mais n'expliquent pas suffisamment les attentes sémantiques comme le format UUID requis. D. Des réponses d'erreur détaillées expliquant pourquoi des valeurs de paramètres invalides ont été rejetées — Incorrect. Utiles après un échec, mais pas le facteur le plus critique pour prévenir les erreurs en amont.
Quel sera l'état de l'alarme au bout de 90 minutes si l'utilisation du CPU est constante à 80 % ?
Sélectionnez la bonne réponse.
A. ALERT
B. OK
C. INSUFFICIENT_DATA
D. ALARM
✓ Bonne réponse : D
CloudWatch Alarms possède trois états : OK, ALARM et INSUFFICIENT_DATA. Après 90 minutes à 80% CPU (dépassant le seuil), l'alarme passe en état ALARM. "ALERT" n'existe pas dans CloudWatch, et INSUFFICIENT_DATA s'applique uniquement au démarrage ou en l'absence de métriques.
Question 2 / 10
Lequel des éléments suivants ne peut pas être utilisé comme serveur d'origine avec Amazon CloudFront ?
Sélectionnez la bonne réponse.
A. Amazon Glacier
B. Amazon S3
C. Un serveur web fonctionnant sur des instances Amazon EC2
D. Un serveur web fonctionnant dans votre infrastructure
✓ Bonne réponse : A
Amazon CloudFront distribue du contenu depuis des origines compatibles. Amazon Glacier est un service d'archivage froid sans endpoint HTTP direct, donc incompatible comme origine CloudFront. En revanche, S3, EC2 et serveurs web on-premises exposent des URLs HTTP/HTTPS valides utilisables comme origines.
Question 3 / 10
Que fournit Amazon Elastic Beanstalk ?
Sélectionnez la bonne réponse.
A. Un service portant ce nom n'existe pas
B. Un cluster évolutif d'instances EC2
C. Un conteneur d'application au-dessus d'Amazon Web Services
D. Une appliance de stockage évolutive au-dessus d'Amazon Web Services
✓ Bonne réponse : C
Amazon Elastic Beanstalk est un conteneur d'application PaaS qui déploie et gère automatiquement les ressources AWS nécessaires (EC2, load balancing, auto-scaling). Il abstrait l'infrastructure tout en conservant le contrôle, contrairement à un simple cluster EC2 (D) qui ne gère pas le cycle de vie applicatif.
Question 4 / 10
Vous devez transmettre un script personnalisé aux nouvelles instances Amazon Linux créées dans votre groupe Auto Scaling. Quelle fonctionnalité vous permet d'accomplir cela ?
Sélectionnez la bonne réponse.
A. AWS Config
B. User data
C. Service EC2Config
D. Rôles IAM
✓ Bonne réponse : B
User data permet d'injecter des scripts shell exécutés automatiquement au démarrage d'une instance EC2. Dans un Auto Scaling Group, chaque nouvelle instance lancée via la Launch Template exécute ce script au boot. EC2Config est spécifique aux instances Windows et IAM Roles gèrent les permissions, non les scripts de démarrage.
Question 5 / 10
Si je souhaite exécuter une base de données dans une instance Amazon, quelle est l'option de stockage Amazon la plus recommandée ?
Sélectionnez la bonne réponse.
A. Amazon EBS
B. Il n'est pas possible d'exécuter une base de données dans une instance Amazon
C. Amazon Instance Storage
D. Amazon S3
✓ Bonne réponse : A
Amazon EBS (Elastic Block Store) fournit un stockage persistant par blocs, idéal pour les bases de données. Contrairement à l'Instance Storage (éphémère, données perdues à l'arrêt) ou S3 (stockage objet non adapté aux I/O de BDD), EBS conserve les données indépendamment du cycle de vie de l'instance.
Question 6 / 10
Vous avez créé un enregistrement de latence Route 53 depuis votre domaine vers une machine en Virginie du Nord et un enregistrement similaire vers une machine à Sydney. Lorsqu'un utilisateur situé aux États-Unis visite votre domaine, il sera redirigé vers
Sélectionnez la bonne réponse.
A. Les deux, Virginie du Nord et Sydney
B. Cela dépend des Weighted Resource Record Sets
C. Sydney
D. Virginie du Nord
✓ Bonne réponse : D
Latency-Based Routing dirige les utilisateurs vers la région AWS offrant la latence réseau la plus faible. Un utilisateur aux États-Unis sera automatiquement routé vers us-east-1 (Virginie du Nord), géographiquement plus proche, garantissant une meilleure expérience. Les Weighted Records (option D) concernent une répartition proportionnelle, ce qui est un mécanisme distinct.
Question 7 / 10
Une application existante stocke des informations sensibles sur un volume de données Amazon EBS non-boot attaché à une instance Amazon Elastic Compute Cloud. Parmi les approches suivantes, lesquelles permettraient de protéger les données sensibles sur un volume Amazon EBS ?
Sélectionnez la bonne réponse.
A. Téléverser vos clés client vers AWS CloudHSM
B. Re-monter le volume Amazon EBS
C. Créer et monter un nouveau volume Amazon EBS chiffré. Déplacer les données vers le nouveau volume. Supprimer l'ancien volume Amazon EBS
D. Associer le volume Amazon EBS à AWS CloudHSM
E. Démonter le volume EBS. Basculer l'attribut de chiffrement à True. Re-monter le volume Amazon EBS
6. Prendre un snapshot du volume Amazon EBS actuel. Restaurer le snapshot vers un nouveau volume Amazon EBS chiffré. Monter le volume Amazon EBS
✓ Bonne réponse : C
Chiffrement EBS : Un volume EBS non chiffré ne peut pas être chiffré directement. La seule méthode valide est de créer un nouveau volume chiffré et d'y migrer les données (D). L'option F est incorrecte car elle omet la suppression de l'ancien volume non chiffré, laissant les données exposées. L'option E est impossible : l'attribut de chiffrement EBS est immuable après création.
Question 8 / 10
Un groupe peut contenir plusieurs utilisateurs. Un utilisateur peut-il appartenir à plusieurs groupes ?
Sélectionnez la bonne réponse.
A. Oui, toujours
B. Oui, mais uniquement dans un VPC
C. Non
D. Oui, mais uniquement s'ils utilisent l'authentification à deux facteurs
✓ Bonne réponse : A
IAM Groups permettent d'organiser les utilisateurs et de leur attribuer des permissions en masse. Un utilisateur IAM peut appartenir à plusieurs groupes simultanément, héritant ainsi des politiques de chacun. Les options C et D sont incorrectes : l'appartenance multi-groupes ne dépend ni du MFA ni d'un VPC.
Question 9 / 10
Un utilisateur souhaite accéder à Amazon CloudWatch mais uniquement pour surveiller un LoadBalancer spécifique. Est-il possible de lui accorder l'accès à un ensemble spécifique d'instances ou à un LoadBalancer particulier ?
Sélectionnez la bonne réponse.
A. Non, car il est impossible d'utiliser IAM pour contrôler l'accès aux données CloudWatch pour des ressources spécifiques
B. Non, car il faut être administrateur système pour accéder aux données CloudWatch
C. Oui. N'importe quel utilisateur peut consulter toutes les données CloudWatch sans avoir besoin de droits d'accès
D. Oui. Vous pouvez utiliser IAM pour contrôler l'accès aux données CloudWatch pour des ressources spécifiques
✓ Bonne réponse : A
CloudWatch et IAM : IAM ne permet pas de restreindre l'accès à CloudWatch par ressource spécifique (ex: un LoadBalancer particulier). Les permissions CloudWatch s'appliquent globalement : un utilisateur autorisé voit toutes les métriques, pas seulement celles d'une ressource ciblée. L'option B est incorrecte car cette granularité par ressource n'existe pas dans CloudWatch.
Question 10 / 10
Quel est le débit d'écriture maximum que je peux provisionner pour une seule table DynamoDB ?
Sélectionnez la bonne réponse.
A. 1 000 unités de capacité en écriture
B. 10 000 unités de capacité en écriture
C. DynamoDB est conçu pour évoluer sans limites, mais si vous dépassez 10 000, vous devez d'abord contacter AWS
D. 100 000 unités de capacité en écriture
✓ Bonne réponse : C
DynamoDB est conçu pour évoluer sans limites fixes prédéfinies. Par défaut, une table est limitée à 10 000 unités de capacité en écriture (WCU), mais cette limite est souple : en contactant le support AWS, il est possible de dépasser ce seuil. Les options A, B et D proposent des plafonds absolus qui n'existent pas dans DynamoDB.
Vous devez identifier les exigences de stockage pour Contoso. Contoso nécessite un compte de stockage qui prend en charge Azure Table Storage.
Sélectionnez la bonne réponse.
A. Oui.
B. Non.
✓ Bonne réponse : B
Réponse : Non. La question indique que Contoso nécessite un compte de stockage supportant Azure Table Storage. Cependant, dans le contexte de l'examen, cette exigence est souvent associée à un type de compte spécifique. Azure Table Storage est disponible uniquement dans les comptes de type General Purpose v1 (GPv1) ou General Purpose v2 (GPv2), et non dans les comptes Blob Storage. Si le scénario propose un compte de type Blob Storage uniquement, alors la réponse est Non, car ce type de compte ne supporte pas Table Storage. Les comptes Blob Storage sont limités aux données non structurées sous forme de blobs, excluant les services Table, Queue et File.
Question 2 / 10
Vous disposez d'un tenant Azure Active Directory nommé Contoso.com qui inclut les utilisateurs suivants : Contoso.com inclut les appareils Windows 10 suivants : Vous créez les groupes de sécurité suivants dans Contoso.com : User2 peut ajouter Device2 à Group2.
Sélectionnez la bonne réponse.
A. Oui.
B. Non.
✓ Bonne réponse : A
Réponse : Oui. Dans Azure Active Directory, la capacité d'un utilisateur à ajouter un appareil à un groupe dépend des paramètres de membership du groupe et des rôles attribués. Dans ce scénario, Group2 est un groupe de sécurité avec un membership dynamique ou assigné permettant à User2 d'y ajouter Device2. Si Group2 est configuré comme groupe d'appartenance assignée (Assigned), et que User2 est propriétaire du groupe ou dispose des permissions nécessaires (rôle Groups Administrator ou Cloud Device Administrator), il peut effectivement ajouter Device2. Les groupes AAD permettent aux propriétaires de groupe de gérer les membres, ce qui inclut l'ajout d'appareils enregistrés dans le tenant, à condition que l'appareil soit bien inscrit dans Azure AD et que les permissions soient correctement configurées.
Question 3 / 10
Vous disposez d'un compte Azure Storage nommé storage1. Vous prévoyez d'utiliser AzCopy pour copier des données vers storage1. Vous devez identifier les services de stockage dans storage1 vers lesquels vous pouvez copier des données. Que devez-vous identifier ?
Sélectionnez la bonne réponse.
A. file et table uniquement.
B. blob, file, table et queue.
C. file uniquement, blob, table et queue uniquement.
D. blob, table et queue uniquement.
E. blob et file uniquement.
✓ Bonne réponse : E
Réponse : B. blob et file uniquement. AzCopy est un utilitaire en ligne de commande conçu pour copier des données vers et depuis Azure Storage. Cependant, AzCopy ne supporte que deux services de stockage comme destinations : Azure Blob Storage et Azure File Storage. Les services Azure Table Storage et Azure Queue Storage ne sont pas supportés par AzCopy comme destinations de copie. Pour migrer des données vers Table Storage, il faudrait utiliser des outils comme Azure Storage Explorer ou le SDK Azure. Pour Queue Storage, les données sont typiquement gérées via les API REST ou les SDKs Azure. Il est donc essentiel de connaître ces limitations d'AzCopy pour l'examen AZ-104.
Question 4 / 10
Vous prévoyez d'utiliser le service Azure Import/Export pour copier des fichiers vers un compte de stockage. Quels deux fichiers devez-vous créer avant de préparer les lecteurs pour le travail d'importation ?
Sélectionnez toutes les bonnes réponses.
A. Fichier CSV Dataset.
B. Fichier manifeste XML.
C. Fichier PowerShell PS1.
D. Fichier de configuration JSON.
E. Fichier CSV Driveset.
✓ Bonne réponse : A, E
Réponse : B. Fichier CSV Driveset et C. Fichier CSV Dataset. Pour préparer des lecteurs avec l'outil WAImportExport dans le cadre d'un travail d'importation Azure Import/Export, deux fichiers CSV sont obligatoires. Le fichier CSV Driveset liste les lecteurs physiques à utiliser (lettre de lecteur, clé BitLocker, etc.), tandis que le fichier CSV Dataset décrit les répertoires/fichiers sources à copier et leur destination dans le Storage Account. Ces deux fichiers sont passés en paramètres à l'outil WAImportExport.exe. Le fichier manifeste XML est généré automatiquement par l'outil (pas créé manuellement), le fichier PS1 et le fichier JSON ne font pas partie du processus standard Azure Import/Export.
Question 5 / 10
Vous devez recommander une solution d'identité qui répond aux exigences techniques. Que devez-vous recommander ?
Sélectionnez la bonne réponse.
A. L'authentification directe (Pass-through Authentication) et l'authentification unique (SSO).
B. Des comptes utilisateurs cloud uniquement.
C. La synchronisation de hachage de mot de passe (Password hash synchronization) et l'authentification unique (SSO).
D. L'authentification unique fédérée (Federated SSO) et Active Directory Federation Services (AD FS).
✓ Bonne réponse : D
Réponse : A. L'authentification unique fédérée (Federated SSO) et Active Directory Federation Services (AD FS). Cette solution est recommandée lorsque les exigences techniques imposent que l'authentification soit gérée entièrement par l'infrastructure on-premises, sans que les hachages de mots de passe ne transitent vers Azure AD. AD FS agit comme fournisseur d'identité fédéré, permettant aux utilisateurs de s'authentifier via leurs identités Active Directory locales avec un vrai SSO fédéré. La synchronisation de hachage (option B) envoie des hachages vers le cloud, ce qui peut violer certaines politiques de sécurité. L'authentification directe (option D) valide les mots de passe on-premises mais nécessite des agents supplémentaires. Les comptes cloud uniquement (option C) n'intègrent pas l'Active Directory local.
Question 6 / 10
Si le rack de serveurs du datacenter Azure hébergeant WEBDROD-AS-USE2 subit une panne de courant, le nombre maximum de machines virtuelles indisponibles sera [choix de réponse].
Sélectionnez la bonne réponse.
A. 14.
B. 10.
C. 7.
D. 2.
✓ Bonne réponse : C
Réponse : B. 7. Dans Azure, un Availability Set distribue les machines virtuelles sur plusieurs Fault Domains (domaines de pannes physiques correspondant à des racks distincts) et Update Domains. Par défaut, un Availability Set dispose de 3 Fault Domains. Si le nom WEBDROD-AS-USE2 désigne un Availability Set contenant 14 VMs réparties sur 2 Fault Domains (selon le contexte de la question), une panne d'un rack affecterait au maximum la moitié des VMs, soit 7. Les réponses A (2) et C (10) ne correspondent pas à une distribution équitable sur 2 Fault Domains. La réponse D (14) correspondrait à une panne totale de tous les domaines, ce qui contredirait l'intérêt même d'un Availability Set, conçu précisément pour garantir la haute disponibilité lors de pannes matérielles localisées.
Question 7 / 10
Vous disposez d'un abonnement Azure contenant les ressources suivantes : 100 machines virtuelles Azure, 20 bases de données Azure SQL et 50 partages de fichiers Azure. Vous devez créer une sauvegarde quotidienne de toutes les ressources à l'aide d'Azure Backup. Quel est le nombre minimal de stratégies de sauvegarde que vous devez créer ?
Sélectionnez la bonne réponse.
A. 2.
B. 1.
C. 170.
D. 150.
E. 3.
✓ Bonne réponse : E
Réponse : C. 3 stratégies de sauvegarde. Dans Azure Backup, chaque type de ressource nécessite une stratégie de sauvegarde distincte car les paramètres et les capacités de sauvegarde diffèrent selon le type de workload. Il faut donc créer : 1 stratégie pour les machines virtuelles Azure, 1 stratégie pour les bases de données Azure SQL, et 1 stratégie pour les partages de fichiers Azure Files. Une seule stratégie (option A) ne peut pas couvrir différents types de ressources. Il n'est pas nécessaire de créer une stratégie par ressource individuelle (options D et E), car une même stratégie peut s'appliquer à plusieurs ressources du même type. L'option B (2 stratégies) est insuffisante puisqu'elle ne couvrirait pas les trois types de ressources distincts. Le nombre minimal est donc 3, une par type de ressource.
Question 8 / 10
Vous créez les ressources suivantes dans un abonnement Azure : * Une instance Azure Container Registry nommée Registry1. * Un cluster Azure Kubernetes Service (AKS) nommé Cluster1. Vous créez une image de conteneur nommée App1 sur votre poste de travail d'administration. Vous devez déployer App1 sur Cluster1. Que devez-vous faire en premier ?
Sélectionnez la bonne réponse.
A. Exécuter la commande docker push.
B. Créer un pool d'hôtes sur Cluster1.
C. Exécuter la commande az acr build.
D. Exécuter la commande docker build.
✓ Bonne réponse : C
Réponse : B. Exécuter la commande az acr build. La commande az acr build permet de construire et de pousser automatiquement une image de conteneur directement dans Azure Container Registry (ACR). C'est la première étape nécessaire pour rendre App1 disponible dans Registry1, afin que Cluster1 puisse ensuite la télécharger et la déployer. A est incorrect car un pool d'hôtes est une notion propre à Azure Virtual Desktop, non à AKS. C est incorrect car docker build crée l'image localement mais ne l'envoie pas dans ACR. D est incorrect car docker push nécessite d'abord un docker build et une authentification préalable, alors que az acr build réalise ces deux opérations en une seule commande directement vers ACR.
Question 9 / 10
Lors d'une maintenance planifiée par Microsoft dans la région East US 2, le nombre maximum de machines virtuelles indisponibles sera [choix de réponse].
Sélectionnez la bonne réponse.
A. 7.
B. 10.
C. 14.
D. 2.
✓ Bonne réponse : D
Réponse : A. 2 machines virtuelles indisponibles. Lors d'une maintenance planifiée par Microsoft, les Availability Sets garantissent que les machines virtuelles sont réparties sur plusieurs domaines de mise à jour (Update Domains). Par défaut, un Availability Set dispose de 5 domaines de mise à jour. Microsoft ne redémarre qu'un seul domaine de mise à jour à la fois, ce qui signifie que seules les VM d'un seul domaine sont indisponibles simultanément. Si vous avez 10 VM réparties équitablement sur 5 domaines de mise à jour, seules 2 VM (10/5) seront indisponibles à la fois. Les autres réponses (7, 10, 14) sont incorrectes car elles ne respectent pas le principe de distribution par domaine de mise à jour qui garantit la haute disponibilité du service.
Question 10 / 10
Vous disposez d'un équilibreur de charge public qui répartit le trafic sur les ports 80 et 443 entre trois machines virtuelles. Vous devez diriger toutes les connexions RDP (Remote Desktop Protocol) uniquement vers VM3. Que devez-vous configurer ?
Sélectionnez la bonne réponse.
A. Une règle d'équilibrage de charge.
B. Une configuration d'adresse IP frontend.
C. Une règle NAT entrante.
D. Un nouvel équilibreur de charge public pour VM3.
✓ Bonne réponse : C
Réponse : C. Une règle NAT entrante. Les règles NAT entrantes (Inbound NAT Rules) dans Azure Load Balancer permettent de rediriger le trafic d'un port spécifique de l'adresse IP frontend vers une machine virtuelle précise. Pour le RDP (port 3389), on configure une règle NAT entrante qui mappe un port frontend (ex: 50003) vers le port 3389 de VM3 uniquement. Cela garantit que les connexions RDP atteignent exclusivement VM3. Une règle d'équilibrage de charge (option A) distribuerait le trafic entre plusieurs VMs, ce qui est contraire à l'objectif. Un nouvel équilibreur de charge (option B) est inutilement coûteux et complexe. La configuration d'adresse IP frontend (option D) ne permet pas de diriger le trafic vers une VM spécifique.
Which of the following is a unique feature of attribute-based access control (ABAC)?
Sélectionnez la bonne réponse.
A. A user is granted access to a system with biometric authentication.
B. A user is granted access to a system based on group affinity.
C. A user is granted access to a system based on username and password.
D. A user is granted access to a system at a particular time of day.
✓ Bonne réponse : D
The correct answer is A because attribute-based access control (ABAC) makes access control decisions based on attributes of the subject (user), resource, action, and environment. The attributes can include things like time of day, location, department, clearance level, data sensitivity, and many other contextual factors. Option A, "A user is granted access to a system at a particular time of day," directly illustrates this environment attribute influencing the access decision. Option B describes username/password-based authentication, which is a fundamental aspect of identity management but not a unique feature of ABAC. While ABAC systems can leverage usernames and passwords for initial identification, the decision to grant access is based on more than just successful authentication. Option C, group affinity, relates more closely to role-based access control (RBAC), where users are assigned to roles and roles are granted permissions. ABAC can use group membership as an attribute, but it's not the defining characteristic. RBAC makes a policy based on roles, while ABAC makes a policy using the attributes of the entities involved. Option D, biometric authentication, is another authentication method and not directly tied to the access control mechanism itself. Biometrics can be used to verify the identity of the subject, which can then inform the ABAC policy engine, but is not unique to ABAC. ABAC looks to attributes of user, resource and environment, and an ABAC environment condition could involve a check to see that the user authenticated through biometric mechanisms. In summary, the core strength of ABAC lies in its ability to use a wide range of attributes to create very granular and context-aware access control policies. Time of day is a common attribute considered in ABAC policies to enhance security. Further reading: NIST Special Publication 800-162: Guide to Attribute Based Access Control (ABAC) Definition and Considerations: https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-162.pdf OWASP: Attribute-Based Access Control: https://owasp.org/www-community/controls/Attribute- Based_Access_Control
Question 2 / 10
Which of the following is an indicator that a company's new user security awareness training module has been effective?
Sélectionnez la bonne réponse.
A. Fewer incidents of phishing attempts are being reported.
B. More incidents of phishing attempts are being reported.
C. There are more secure connections to internal e-mail servers.
D. There are more secure connections to the internal database servers.
✓ Bonne réponse : B
Here's a detailed justification of why option B is the most suitable answer, focusing on the principles of security awareness training and incident reporting: The correct answer is B. More incidents of phishing attempts are being reported. Security awareness training aims to educate users to recognize and report potential security threats. A core objective is to empower employees to identify malicious activities, such as phishing attempts, which can lead to data breaches and compromise system integrity. Effective training should not eliminate phishing attempts entirely (as attackers are constantly evolving their techniques), but rather increase the user's ability to detect and report them. Increased reporting indicates that users are more vigilant and applying their newly acquired knowledge. This suggests that the training has successfully raised awareness and improved their ability to discern suspicious emails or links. Option C (fewer incidents being reported) is misleading, as it could indicate either genuine threat reduction or a failure to recognize and report existing threats. A reduction in actual incidents is the ultimate long-term goal, but increased reporting is the immediate, measurable indicator of training success. Options A and D, while positive security outcomes, are not direct indicators of user security awareness training effectiveness. Secure connections to email or database servers are more directly related to infrastructure hardening, secure configuration, and security protocols enforced at the system level, rather than individual user behavior. Therefore, a rise in reported phishing attempts demonstrates that the training has successfully sensitized users to security risks and encouraged them to actively participate in the organization's defense. The organization can then analyze these reported incidents, adapt its security measures, and refine its training program based on real-world attacks. For further reading, refer to the following resources: National Institute of Standards and Technology (NIST) Special Publication 800-50, Building an Information Technology Security Awareness and Training Program:https://csrc.nist.gov/publications/detail/sp/800- 50/final SANS Institute - Security Awareness:https://www.sans.org/information-security-awareness/ ENISA - Cyber Security Training Material:https://www.enisa.europa.eu/topics/trainings-for-cybersecurity- professionals/cyber-security-training-material
Question 3 / 10
Which of the following secure transport protocols is often used to secure Voice over Internet Protocol (VoIP) communications on a network from end to end?
Sélectionnez la bonne réponse.
A. Generic Routing Encapsulation (GRE)
B. Internet Protocol Security (IPSec)
C. Secure File Transfer Protocol (SFTP)
D. Secure Real-time Transport Protocol (SRTP)
✓ Bonne réponse : D
The correct answer is Secure Real-time Transport Protocol (SRTP). SRTP is specifically designed to provide encryption, authentication, and integrity to Real-time Transport Protocol (RTP) data, which is the foundation for VoIP communications. This makes it ideal for securing voice and video streams in VoIP environments from end to end. Secure File Transfer Protocol (SFTP), while a secure protocol, is used for file transfers, not real-time media streams like VoIP. Generic Routing Encapsulation (GRE) is a tunneling protocol that doesn't inherently provide security features itself; it simply encapsulates data packets. While IPSec can be used to secure VoIP traffic by creating a secure tunnel between endpoints, it's generally considered overkill for securing individual VoIP sessions and is more often used for securing entire networks or VPN connections. SRTP directly targets the RTP packets carrying the voice data, making it a more efficient and focused solution for VoIP security. IPSec might be used in conjunction with VoIP for other purposes (e.g., VPNs), but it isn't the typical end-to-end solution for securing the VoIP communication stream itself. Therefore, SRTP is the best choice as it directly addresses the security requirements of VoIP communications, ensuring confidentiality, integrity, and authentication of the voice and video data as it traverses the network. Further reading: RFC 3711 - The Secure Real-time Transport Protocol (SRTP) Cisco - Understanding SRTP
Question 4 / 10
Which of the following factors contributes to the weakness of Wired Equivalent Privacy (WEP) protocol?
Sélectionnez la bonne réponse.
A. WEP uses Diffie-Hellman
B. WEP uses Message Digest 5 (MD5)
C. WEP does not use any Initialization Vector (IV)
D. WEP uses a small range Initialization Vector (IV)
✓ Bonne réponse : D
The correct answer is A: WEP uses a small range Initialization Vector (IV). WEP's fundamental weakness stems from its use of a 24-bit Initialization Vector (IV). This relatively small size leads to IV reuse. Because the IV is prepended to the encryption key, repeating IVs mean repeating encryption keys for the RC4 stream cipher. Attackers can capture packets and identify reused IVs. By analyzing multiple packets encrypted with the same key stream, attackers can break the RC4 encryption and decrypt the data. MD5 (Option B) is a hashing algorithm, and while its collision vulnerabilities are well-known, it's not the primary reason for WEP's weakness. Diffie-Hellman (Option C) is a key exchange algorithm and not used in WEP. Option D is incorrect because WEP does use IVs. The problem is their short length and predictable generation. The flaw in IV handling is the primary exploitation point in WEP cracking techniques. The limited IV space combined with the speed at which many wireless networks transmitted data dramatically increased the likelihood of key stream reuse. This allowed tools like AirSnort and others to break WEP in a matter of minutes. https://en.wikipedia.org/wiki/Wired_Equivalent_Privacyhttps://www.geeksforgeeks.org/wired-equivalent- privacy-wep/
Question 5 / 10
Which of the following is the PRIMARY reason for selecting the appropriate level of detail for audit record generation?
Sélectionnez la bonne réponse.
A. Facilitate a root cause analysis (RCA)
B. Lower costs throughout the System Development Life Cycle (SDLC)
C. Enable generation of corrective action reports
D. Avoid lengthy audit reports
✓ Bonne réponse : A
The best answer is C. Facilitate a root cause analysis (RCA). Here's why: Audit records, at their core, are designed to provide a trail of activity. The primary goal of meticulously generating audit records at the appropriate level of detail is to enable effective root cause analysis (RCA) when security incidents or system failures occur. By having detailed audit logs, investigators can trace back the sequence of events leading up to the incident, identify the underlying cause, and implement corrective actions to prevent future occurrences. If the logs lack sufficient detail, it becomes exceedingly difficult, if not impossible, to pinpoint the root cause, rendering the audit effort largely ineffective. Options A, B and D, although relevant, are secondary to this primary purpose. A. Avoid lengthy audit reports: While managing the size of audit reports is a concern, it's not the primary driver for selecting the level of detail. The focus should be on capturing the necessary information, not simply minimizing report size. Overly concise reports may omit crucial data for RCA. B. Enable generation of corrective action reports: Generating corrective action reports is a result of effective RCA, not the primary reason for selecting the detail level. Corrective actions are derived after identifying the root cause through audit analysis. D. Lower costs throughout the System Development Life Cycle (SDLC): While well-planned auditing can indirectly influence costs, its direct impact on lowering SDLC costs is less significant than its role in incident investigation and root cause analysis. The cost benefits come later, through prevention of future incidents. In summary, the appropriate granularity of audit logs directly facilitates uncovering the why behind security incidents and system failures, leading to targeted preventative measures and improved security posture. Without adequate detail, the entire audit process becomes significantly less effective at its core purpose. For more information, consider researching: Root Cause Analysis (RCA) methodologies: These methodologies rely heavily on detailed event logging. https://en.wikipedia.org/wiki/Root_cause_analysis Security Information and Event Management (SIEM) systems: SIEMs leverage audit data for security monitoring and RCA. Research different platforms. CIS Controls: Review CIS control 6 that focuses on audit log management.https://www.cisecurity.org/controls/v8
Question 6 / 10
Logical or technical controls involve the restriction of access to systems and the protection of information. Which of the following statements pertaining to these types of controls is TRUE?
Sélectionnez la bonne réponse.
A. Examples of these types of controls are encryption, smart cards, access lists, and transmission protocols.
B. Examples of these types of controls include policies and procedures, security awareness training, background checks, work habit checks but do not include a review of vacation history, and also do not include increased supervision.
C. Examples of these types of controls include policies and procedures, security awareness training, background checks, work habit checks, a review of vacation
D. Examples of these types of controls do not include encryption, smart cards, access lists, and transmission protocols.
✓ Bonne réponse : A
The correct answer is C because it accurately identifies examples of logical/technical security controls. Logical or technical controls are the hardware or software mechanisms used to manage access and provide protection for resources. Option A is incorrect because it describes administrative controls, not logical/technical controls. Policies, procedures, training, and background checks are administrative safeguards designed to manage risk and influence human behavior, not technical system functionalities. While vacation history review and increased supervision could be used as detective controls, they aren't inherently logical/technical. Option B is incorrect because the listed items are prime examples of logical/technical controls. Encryption secures data using algorithms; smart cards authenticate users; access lists control who can access specific resources; and transmission protocols ensure secure data transfer. These are all technical means of implementing security. Option D incorrectly mixes administrative and logical/technical controls. While policies, procedures, training, background checks, and work habit checks are administrative, and vacation history review is a detective control, they are not the best fit for the definition of logical/technical controls. It's the "encryption, smart cards, access lists, and transmission protocols" that directly enforce access restrictions and data protection at a technical level. Therefore, only option C provides a list entirely comprised of correct examples of technical controls focused on access restriction and information protection. For further research, refer to: NIST Special Publication 800-53, Security and Privacy Controls for Information Systems and Organizations: https://csrc.nist.gov/publications/detail/sp/800-53/rev-5/final SANS Institute reading room on security controls: https://www.sans.org/information- security/glossary/security-controls
Question 7 / 10
Which of the following vulnerabilities can be BEST detected using automated analysis?
Sélectionnez la bonne réponse.
A. Typical source code vulnerabilities
B. Business logic flaw vulnerabilities
C. Valid cross-site request forgery (CSRF) vulnerabilities
D. Multi-step process attack vulnerabilities
✓ Bonne réponse : A
The correct answer is D, Typical source code vulnerabilities. Automated analysis, encompassing techniques like Static Application Security Testing (SAST) and Dynamic Application Security Testing (DAST), excels at identifying common coding errors and security weaknesses directly within source code. SAST tools, in particular, analyze the source code without executing it, looking for patterns indicative of vulnerabilities such as buffer overflows, SQL injection flaws, format string vulnerabilities, and hardcoded credentials. These are "typical" source code issues that have well-defined signatures and are readily detectable through rule-based analysis and pattern matching. Multi-step process attack vulnerabilities (A) and business logic flaw vulnerabilities (B) are far more complex. They rely on understanding the application's intended behavior and how different parts of the system interact. Identifying these often requires a human analyst to understand the overall application flow and potential misuse scenarios. Automated tools struggle to grasp the high-level context needed to detect these more nuanced issues. While DAST tools can uncover some CSRF vulnerabilities, the challenge in option C, "Valid cross-site request forgery (CSRF) vulnerabilities," implies that the CSRF protection mechanism is partially implemented but flawed or circumventable. Detecting these "valid" (but broken) implementations is less straightforward for automated tools than identifying the complete absence of CSRF protection. This requires understanding the specific anti-CSRF token implementation, its validation logic, and potential bypasses, which usually necessitates manual analysis and penetration testing. Automated tools can identify if no CSRF protection is in place but understanding the validity of the CSRF token implementation needs more manual evaluation. Therefore, automated analysis is most effective at detecting well-defined and easily identifiable source code vulnerabilities (D), whereas the other options require a greater degree of human intelligence and contextual understanding. Static Application Security Testing (SAST):https://owasp.org/www- community/Source_Code_Analysis_Tools Dynamic Application Security Testing (DAST):https://owasp.org/www- community/Vulnerability_Scanning_Tools
Question 8 / 10
A development operations team would like to start building new applications delegating the cybersecurity responsibility as much as possible to the service provider. Which of the following environments BEST fits their need?
Sélectionnez la bonne réponse.
A. Cloud Virtual Machines (VM)
B. Cloud application container within a Virtual Machine (VM)
C. Self-hosted Virtual Machine (VM)
D. On premises Virtual Machine (VM)
✓ Bonne réponse : A
The best environment for a development operations team looking to delegate cybersecurity responsibility to the service provider while building new applications is A. Cloud Virtual Machines (VM). Here's why: 1. Shared Responsibility Model: Cloud providers like AWS, Azure, and GCP operate under a shared responsibility model. This means the provider is responsible for the security of the cloud (physical infrastructure, network, and virtualization), while the customer is responsible for security in the cloud (operating system, applications, data, identity, etc.). When using cloud VMs, the cloud provider handles the underlying infrastructure security, alleviating some burden from the development team. 2. Managed Security Services: Cloud providers offer a wide array of managed security services that can be integrated directly with VMs. These include services for vulnerability scanning, intrusion detection, threat intelligence, and identity management. These services can automate many aspects of cybersecurity, reducing the operational overhead for the development team. 3. Scalability and Flexibility: Cloud VMs offer scalability and flexibility that on-premises solutions cannot easily match. This is important for development operations teams that need to quickly provision resources and adapt to changing application requirements. Scaling up or down also helps in adjusting the security measures dynamically. 4. Cost-Effectiveness: While not the primary driver, cloud VMs can often be more cost-effective than on-premises or self-hosted solutions due to the pay-as-you-go model and reduced need for capital expenditure on hardware. 5. Containerization (Option B) Dependency: While cloud application containers offer benefits, they often require a VM infrastructure in the first place. Containers enhance application portability, scalability, and deployment efficiency, but they generally sit atop a VM. So, choosing just containers without addressing the underlying infrastructure responsibility is incomplete. 6. On-Premises/Self-Hosted Disadvantages (Options C & D): On-premises or self-hosted VMs require the development operations team to manage all aspects of security, from physical security to network security to operating system patching. This defeats the purpose of delegating cybersecurity responsibility. They require significant capital expenditure and dedicated security expertise. In conclusion, while all options involve VMs, only using Cloud VMs best aligns with the stated goal of delegating cybersecurity responsibility to the service provider and leveraging their security expertise and managed services. The shared responsibility model ensures that the cloud provider takes on a significant portion of the security burden. Authoritative Links: AWS Shared Responsibility Model:https://aws.amazon.com/compliance/shared-responsibility-model/ Azure Shared Responsibility in the Cloud:https://learn.microsoft.com/en- us/azure/security/fundamentals/shared-responsibility Google Cloud Shared Responsibility Model:https://cloud.google.com/security/compliance/shared- responsibility
Question 9 / 10
Which of the following attacks, if successful, could give an intruder complete control of a software-defined networking (SDN) architecture?
Sélectionnez la bonne réponse.
A. Remote Authentication Dial-In User Service (RADIUS) token replay attack
B. Sending control messages to open a flow that does not pass a firewall from a compromised host within the network
C. A brute force password attack on the Secure Shell (SSH) port of the controller
D. Sniffing the traffic of a compromised host inside the network
✓ Bonne réponse : B
The correct answer is B. Let's analyze why. SDN (Software-Defined Networking) centralizes network control through a controller. This controller manages network devices via protocols like OpenFlow. Successfully compromising the SDN controller grants complete control over the entire network infrastructure. Option A, a brute-force attack on the SSH port of the controller, could be successful, leading to control, but it's not a guaranteed method. Strong passwords and lockout policies mitigate this risk. Option B, sending control messages to open a flow bypassing the firewall from a compromised host, directly leverages the SDN architecture's core functionality. A compromised host could be crafted to send malicious flow modification instructions to the SDN controller. If the controller accepts these instructions (due to vulnerabilities or misconfiguration), it will reprogram network devices to forward traffic according to the attacker's specifications, bypassing firewalls and other security mechanisms. This effectively hands control of the network traffic flow to the attacker. This is especially potent because the controller believes the message is legitimate, coming from within the trusted network (though a compromised host). Option C, a RADIUS token replay attack, focuses on authentication. While it could lead to unauthorized access to a specific network segment or application, it doesn't necessarily provide complete control over the entire SDN architecture. It might enable an attacker to authenticate as a user or device, gaining some level of access, but it's limited to the scope of that user/device's privileges. Option D, sniffing traffic, provides information, but not control. It allows an attacker to passively observe network communications, potentially gathering sensitive data. However, it doesn't enable the attacker to actively manipulate the network's behavior. Option B is the most impactful because it directly exploits the central control mechanism of SDN, allowing the attacker to redefine network flows and bypass security measures, resulting in complete architectural control. Further Reading: SDN Security: https://www.owasp.org/www-project-sdn-security/ Open Networking Foundation (ONF): https://opennetworking.org/
Question 10 / 10
Which of the following would qualify as an exception to the "right to be forgotten" of the General Data Protection Regulation (GDPR)?
Sélectionnez la bonne réponse.
A. The personal data remains necessary to the purpose for which it was collected
B. For the establishment, exercise, or defense of legal claims
C. The personal data has been lawfully processed and collected
D. For the reasons of private interest
✓ Bonne réponse : B
The "right to be forgotten," or the right to erasure, under GDPR allows individuals to request the deletion of their personal data. However, this right is not absolute and has several exceptions. Option A, "For the establishment, exercise, or defense of legal claims," is a valid exception. GDPR explicitly states that data can be retained if it's necessary for legal proceedings. If the data is required to establish a legal claim, exercise a legal right, or defend against a legal claim, the data controller is not obligated to erase it. This is because legal obligations often supersede the right to be forgotten. The other options are not valid exceptions under GDPR. Lawful processing alone doesn't negate the right to erasure. "Private interest" is vague and not a recognized justification. While data necessity for the original purpose is a factor in determining if erasure is required, it doesn't automatically override the right to be forgotten, especially if the individual has withdrawn consent or the purpose is no longer valid. Data retention for legal reasons is crucial for upholding justice and ensuring legal processes are not impeded by data deletion requests. Refer to Article 17 of the GDPR, which outlines the right to erasure and its exceptions. https://gdpr-info.eu/art- 17-gdpr/ Also refer to the UK Information Commissioner's Office (ICO) guidance on the right to erasure for further clarification: https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data- protection-regulation-gdpr/individual-rights/right-to-erasure/
Glossaire, études de cas, exercices à trous et flashcards — inclus avec chaque abonnement.
AWS CLF-C02
Glossaire — 25 termes clés
AWS ArtifactService centralisé donnant accès aux rapports d'audit, accords de conformité et certifications AWS (SOC 2, ISO 27001, PCI DSS). Facilite la démonstration de conformité auprès des régulateurs.
ISTQB CTFL v4.0
Glossaire — 25 termes clés
Analyse des valeurs limites (AVL)Technique de test boîte noire consistant à tester les valeurs aux frontières des partitions d'équivalence, c'est-à-dire les valeurs juste en dessous, sur, et juste au-dessus des limites. Elle permet de détecter des défauts fréquents aux bornes des plages de valeurs.
ITIL 4
Glossaire — 23 termes clés
Amélioration continuePratique ITIL 4 visant à aligner les services et pratiques de l'organisation sur les besoins métier changeants, relevant de la responsabilité de chaque membre de l'organisation. ITIL 4 recommande qu'une équipe dédiée pilote ces efforts tout en impliquant l'ensemble du personnel.
PMI PMP
Glossaire — 21 termes clés
Backlog produit (Product Backlog)Liste ordonnée et priorisée de toutes les exigences, fonctionnalités et améliorations d'un produit, gérée par le Product Owner. Il constitue la source unique des travaux à réaliser par l'équipe Scrum.
AWS CLF-C02
Étude de cas — 5 scénarios inclus
Migration d'un e-commerce vers AWS : résilience et maîtrise des coûts
8 400 €/mois (incluant matériel, électricité, personnel)Coût mensuel datacenter on-premise99,2 % (soit ~58 heures de downtime/an)Disponibilité actuelle du sitex8 le trafic normal (de 500 à 4 000 requêtes/minute)Pic de trafic Black Friday5 personnes (4 développeurs + 1 administrateur système)Effectif technique
RetailNow est une PME française spécialisée dans la vente en ligne de produits électroniques. Depuis 5 ans, l'entreprise héberge son application e-commerce dans un datacenter privé à Paris, avec deux serveurs physiques dédiés, une base de données MySQL sur site et un système de backup manuel hebdomadaire. Les coûts d'infrastructure pèsent lourd : renouvellement matériel tous les 3 ans, électricité, personnel dédié à la maintenance physique, et une disponibilité limitée à 99,2 % sur l'année écoulée. Lors du Black Friday 2023, le site a subi une panne de 4 heures, causée par un pic de trafic imprévu qui a saturé les deux serveurs. L'équipe technique, composée de 4 développeurs et 1 administrateur système, a décidé d'explorer une migration vers AWS pour améliorer la résilience, réduire les coûts fixes et gagner en agilité. Le DSI souhaite valider la faisabilité technique et financière avant de s'engager, en s'appuyant sur les bonnes pratiques du Well-Architected Framework.
ISTQB CTFL v4.0
Étude de cas — 5 scénarios inclus
Migration bancaire en V : régression et traçabilité
420Nombre total de cas de test1 800 k€Budget test estimé6 semainesDurée de la campagne de test système12 %Taux de défauts détectés en production lors de la migration précédente
La banque régionale CréditNord lance la migration de son système de gestion des comptes courants vers une nouvelle plateforme. Le projet suit un cycle de vie en V classique, avec des équipes distinctes pour le développement et le test. Le chef de projet test doit organiser la campagne de validation sur un périmètre de 420 cas de test, couvrant les niveaux unitaire, intégration et système. Une précédente migration avait échoué en production à cause de régressions non détectées sur le module de transfert inter-comptes.
ITIL 4
Étude de cas — 5 scénarios inclus
Modernisation du centre de services d'une banque régionale
42Nombre d'agences concernées34 %Taux de satisfaction utilisateurs (avant refonte)4,2 joursDélai moyen de résolution des incidents (avant refonte)180 000 €Budget alloué au projet de refonte
La Banque Crédit Horizon, établissement régional de taille moyenne, gère l'informatique de ses 42 agences via un service informatique centralisé. Depuis deux ans, les utilisateurs se plaignent de délais de traitement excessifs pour leurs demandes et incidents : chaque agence contacte directement le technicien qu'elle connaît, contournant toute structure formelle. Il n'existe ni point de contact unique, ni catégorisation systématique des demandes, ce qui entraîne des pertes de traçabilité et une surcharge inégale des équipes.
Face à la montée des incidents non résolus et à une enquête de satisfaction interne alarmante, la DSI décide de refondre son organisation de support en s'appuyant sur ITIL 4. Un consultant est missionné pour concevoir un centre de services conforme aux bonnes pratiques, capable de distinguer incidents, demandes de services et questions, tout en assurant une classification et un routage efficaces vers les équipes spécialisées.
Le projet prévoit également l'adoption d'un outil ITSM pour automatiser l'appariement des incidents aux erreurs connues et centraliser le suivi. La direction souhaite que le nouveau dispositif soit opérationnel dans un délai contraint, en partant des ressources et processus existants plutôt qu'en repartant de zéro.
PMI PMP
Étude de cas — 5 scénarios inclus
Migration ERP en environnement hybride — Retard et dépassement budgétaire
2 400 000 €Budget total du projet880 000 €EV (Valeur Acquise) à la fin du sprint 51 050 000 €AC (Coût Réel) à la fin du sprint 5960 000 €PV (Valeur Planifiée) à la fin du sprint 5
Une entreprise industrielle de taille intermédiaire lance un projet de migration vers un nouvel ERP couvrant ses sites en France, en Pologne et au Brésil. Le chef de projet a opté pour une approche hybride : une phase prédictive pour le déploiement de l'infrastructure et de la configuration de base, suivie de sprints agiles pour les modules métier. La date de mise en production est contractuellement fixée à 18 mois, sans possibilité de dérogation car elle est liée à une exigence réglementaire de traçabilité financière imposée par les autorités fiscales brésiliennes.
À la fin du sprint 5, lors d'une revue de performance, le chef de projet constate des indicateurs préoccupants : l'équipe a consommé plus de budget que prévu tout en accumulant du retard. Par ailleurs, un consultant externe spécialisé en intégration fiscale brésilienne, identifié comme ressource critique sur le chemin critique, vient de notifier une indisponibilité de trois semaines pour raisons médicales. Un risque similaire avait été évoqué en phase de planification mais aucune réponse formelle n'avait été documentée.
En parallèle, l'équipe distribuée sur trois pays signale des difficultés de collaboration croissantes : les documents de spécifications sont échangés par email, générant des conflits de versions, et les membres brésiliens, bien que dans un fuseau horaire partagé avec les Polonais pour une heure par jour, se sentent exclus des décisions techniques prises lors des réunions matinales parisiennes.
AWS CLF-C02
Texte à trous — 25 phrases incluses
Le responsable conformité d'une banque télécharge les certifications ISO 27001 et les rapports SOC 2 d'AWS directement depuis _____ pour les soumettre à l'autorité de régulation financière.
ISTQB CTFL v4.0
Texte à trous — 25 phrases incluses
Pour tester un champ d'âge acceptant des valeurs entre 18 et 65 ans, l'_____ conduit à vérifier les valeurs 17, 18, 65 et 66 afin de détecter des défauts aux bornes de la plage autorisée.
ITIL 4
Texte à trous — 23 phrases incluses
Bien que chaque chef de projet soit responsable d'identifier des axes de progrès dans son périmètre, une équipe transverse coordonne l'ensemble des initiatives d'_____ au niveau de l'organisation.
PMI PMP
Texte à trous — 21 phrases incluses
Le Product Owner réunit l'équipe Scrum en début de trimestre pour reprioriser le _____ en tenant compte des nouvelles orientations stratégiques de l'entreprise.
AWS CLF-C02
Question
Lequel des éléments suivants est un exemple de scalabilité horizontale dans le Cloud AWS ?
Appuyer pour voir la réponse ›
Réponse
Ajouter plus d’instances EC2 de même taille pour gérer une augmentation de trafic.
Nos examens sont conçus pour reproduire le niveau, le format et les pièges des certifications officielles, afin que vous soyez prêt le jour J.
Ailleurs
Chez MyExam
✗ Des dumps copiés-collés
✓ Des questions construites pour comprendre
✗ Un score sans explication
✓ Une correction détaillée pour chaque réponse
✗ Contenu générique ou mal traduit
✓ Questions rédigées en français par des certifiés actifs
✗ Aucun suivi de progression
✓ Tableau de bord par domaine de compétence
✗ Contenu rarement mis à jour
✓ Mises à jour incluses à chaque révision du référentiel
Corrections question par question
Chaque réponse — bonne ou mauvaise — est expliquée avec sa justification. Vous comprenez pourquoi, pas seulement quoi.
Mises à jour automatiques
Nouvelle version du référentiel ? Elle est incluse dans votre abonnement, sans surcoût et sans action de votre part.
Kit de révision intensif — allez plus loin
Des annales enrichies en PDF : plus de questions qu'en ligne, corrections encore plus approfondies. Achat unique 14,99 €, accès à vie. Encore plus efficace en complément des simulations d'examen.
Suivez votre progression, identifiez vos lacunes et mesurez votre niveau de préparation avant le jour J.
Avis clients
Ils ont réussi leur certification
Des centaines de candidats ont déjà fait confiance à MyExam.fr pour préparer leur examen.
J'ai réussi AWS Cloud Practitioner du premier coup après 3 semaines sur MyExam.fr. Les questions sont vraiment proches de l'examen réel.
Thomas R.
Certifié AWS CLF-C02
La correction détaillée de chaque question m'a permis de comprendre mes erreurs, pas juste de mémoriser les bonnes réponses.
Camille D.
Certifiée ISTQB Foundation
Aucune autre plateforme francophone ne propose autant de contenu structuré à ce prix. Le rapport qualité/prix est excellent.
Karim B.
Certifié PMP
FAQ
Questions fréquentes
Puis-je préparer plusieurs certifications en même temps ?
Absolument. Un seul abonnement donne accès à toutes les certifications disponibles sur la plateforme, simultanément et sans restriction.
Les examens blancs sont-ils à jour avec les référentiels officiels ?
Oui. Nos examens sont révisés à chaque mise à jour des référentiels officiels. En tant qu'abonné, vous bénéficiez automatiquement des nouvelles versions sans surcoût.
Les kits de révision sont-ils inclus dans l'abonnement ?
Non. Les kits de révision sont des annales enrichies : plus de questions que sur la plateforme, des corrections encore plus détaillées. Disponibles séparément à 14,99 € par kit (achat unique, accès à vie). L'abonnement couvre les examens blancs interactifs en ligne pour l'ensemble des certifications.
Puis-je résilier à tout moment ?
Oui, en un clic depuis votre espace personnel. Aucun préavis, aucun frais caché. Votre accès reste actif jusqu'à la fin de la période payée.
Quelle différence avec les préparations officielles ?
Les examens officiels coûtent souvent plusieurs centaines d'euros et ne proposent pas de correction détaillée. MyExam.fr vous permet de vous entraîner en conditions réelles, avec des explications complètes, pour un coût mensuel inférieur au prix d'un café par semaine.
Nous utilisons des cookies essentiels pour faire fonctionner le site.
Avec votre accord, nous pouvons aussi utiliser des cookies pour améliorer votre expérience, analyser l’usage et afficher du contenu pertinent.
Essentiels : toujours actifs
Personnaliser : choisir vos préférences
Accepter ou Refuser : tous les cookies non essentiels
Préférences relatives aux cookies
Gérez vos préférences en matière de cookies ci-dessous :
Essential cookies enable basic functions and are necessary for the proper function of the website.
Nom
Description
Duration
Cookie Preferences
This cookie is used to store the user's cookie consent preferences.
30 days
These cookies are needed for adding comments on this website.
Nom
Description
Duration
comment_author
Used to track the user across multiple sessions.
Session
comment_author_email
Used to track the user across multiple sessions.
Session
comment_author_url
Used to track the user across multiple sessions.
Session
These cookies are used for managing login functionality on this website.