Ne découvrez pas l'examen
le jour J

Réponse : Le matériel physique.
Explication : L’analyse TCO doit inclure tous les coûts matériels (serveurs, stockage, réseau, etc.) de l’infrastructure on-premise pour une comparaison équitable.

Réponse : Groupes de sécurité.
Explication : Les groupes de sécurité contrôlent le trafic entrant et sortant des instances EC2.

Réponse : AWS Trusted Advisor.
Explication : AWS Trusted Advisor analyse l’environnement et recommande des optimisations pour la sécurité, la performance, la résilience et les coûts.

Réponse : AWS Direct Connect. Explication : AWS Direct Connect fournit une connexion réseau dédiée et privée entre l'infrastructure locale et AWS, contournant l'internet public. Il offre des performances réseau cohérentes et peut réduire les coûts de bande passante pour les transferts de données à haut volume.

Réponse : AWS CloudTrail.
Explication : AWS CloudTrail fournit l’audit des actions et identifie les utilisateurs ayant pris des mesures sur les ressources AWS.

Réponse : B) La capacité à redimensionner les ressources à mesure que la demande change ; E) La facilité avec laquelle les ressources peuvent être provisionnées quand elles sont nécessaires. L'élasticité fait référence à la capacité à augmenter ou diminuer les ressources automatiquement en réponse à la demande, en acquérant plus de capacité quand elle est nécessaire et en la libérant quand la demande diminue, tout en payant uniquement pour l'utilisation réelle.

Réponse : Découpler les composants afin qu’ils fonctionnent indépendamment.
Explication : Le découplage des composants permet d’éviter que la défaillance d’une partie de l’application n’affecte l’ensemble.

Réponse : Élimination des dépenses d'exploitation et de maintenance des centres de données. L'informatique en nuage élimine les dépenses en capital pour les centres de données physiques, les serveurs et les équipements réseau. Les entreprises ne paient que pour ce qu'elles utilisent, convertissant les coûts d'infrastructure fixes en coûts opérationnels variables.

Réponse : Amazon RDS.
Explication : Amazon RDS gère les tâches d’administration de base de données : backups, patching, réplication, pour vous laisser vous concentrer sur la structure et l’optimisation.

Réponse : AWS Artifact.
Explication : AWS Artifact permet d’accéder à tous les documents de conformité, d’accord et d’audit avec AWS.

Vrai. Les Knowledge Bases (RAG) réduisent la taille du prompt et injectent uniquement les passages pertinents au moment de l’inférence.

RAG (Retrieval Augmented Generation) : technique qui récupère dynamiquement les passages pertinents des PDFs avant génération, sans charger l'intégralité des documents. Contrairement au fine-tuning coûteux ou au zero-shot imprécis, RAG optimise coût/performance en enrichissant chaque requête avec contexte ciblé via Knowledge Base Bedrock.

SageMaker Serverless Inference : service AWS qui déploie des modèles sans gérer manuellement les instances EC2. AWS provisionne et scale automatiquement les ressources selon la demande, réduisant la complexité opérationnelle. Contrairement à SageMaker Hosting traditionnel (instances EC2 dédiées), Serverless facture à l'usage et élimine le surprovisionnement.

Textract pour RAG : Amazon Textract extrait automatiquement texte, tableaux et formulaires de PDF, créant du contenu structuré exploitable pour l'indexation RAG. Contrairement à une simple conversion PDF→texte, Textract préserve la mise en page et identifie les champs, optimisant la pertinence des sources récupérées par le système RAG.

SageMaker Feature Store : référentiel centralisé pour stocker, versionner et partager les features (variables d'entraînement). Permet aux équipes de réutiliser les mêmes données préparées, garantissant cohérence entre entraînement et inférence. Data Wrangler prépare les données, Clarify détecte biais, Model Cards documente les modèles — aucun ne gère le versionning et partage de features.

Inference : phase d'utilisation d'un modèle entraîné pour générer des prédictions sur de nouvelles données (ici, analyser une image). À différencier de Training (apprentissage du modèle), Deployment (mise en production) et Bias correction (correction des biais). L'inference est l'exécution prédictive post-entraînement.

Asynchronous Inference : mode conçu pour les requêtes longues (jusqu'à 1 heure) et les gros volumes (jusqu'à 1 Go). Le client soumet la demande et reçoit une URL S3 pour récupérer le résultat ultérieurement. Contrairement à Real-time (synchrone, timeout court), Serverless (pas adapté aux gros payloads) et Batch Transform (données statiques en masse), l'inférence asynchrone offre la flexibilité nécessaire pour les traitements complexes avec réponse différée.

SageMaker Feature Store : repository centralisé qui stocke, version et partage des features engineered entre équipes et pipelines ML. Permet la réutilisation cohérente des features en offline (entraînement) et online (inférence). Data Wrangler prépare les données brutes, Clarify audite les biais, Model Cards documente les modèles—aucun ne gère le versioning et le partage de features à l'échelle.

Accuracy : métrique mesurant le pourcentage de prédictions correctes (TP+TN)/(total). C'est l'indicateur naturel pour la classification car il répond directement à « combien de décisions sont justes ? ». MSE, R² et MAE sont des métriques de régression (variables continues), inadaptées aux problèmes de classification d'images.

SageMaker Clarify : service AWS spécialisé dans l'explicabilité des modèles IA et la détection de biais. Il génère des rapports détaillés sur les prédictions (SHAP, LIME) et mesure les biais avant/après déploiement. Contrairement à Model Monitor (dérive de performance), Data Wrangler (préparation) et Feature Store (stockage), Clarify se concentre exclusivement sur la transparence et l'équité des modèles.

Answer: 4 hours for a one-month Sprint.
Explanation: The Sprint Review is time-boxed to 4 hours for a one-month Sprint, proportionally shorter for shorter Sprints. This provides adequate time for Increment inspection and collaborative backlog adaptation without excessive ceremony.

Sprint Review Purpose: An inspection event where the Scrum Team and stakeholders examine completed work to gather feedback and identify adaptations for future Sprints. This differs from performance reviews (not the focus) or planning activities (separate events) and maintains the Definition of Done rather than updating it.

Commitment in Scrum means each person commits to achieving the goals of the Scrum Team — not to a specific set of tasks, but to the Sprint Goal and the team's success. Commitment enables quality work and enables trust. Note: Scrum Teams commit to the Sprint Goal, not necessarily to completing every Sprint Backlog Item — they adapt their plan as they learn more.

Sprint as a Mini-Project: Each Sprint functions as a self-contained iteration with defined objectives (Sprint Goal), a structured plan (Sprint Backlog), and concrete deliverables (Increment). This time-boxed container mirrors project characteristics: fixed duration, clear outcomes, and measurable progress. Understanding Sprints as projects helps teams embrace iterative delivery and accountability.

Team Size and Communication Complexity: Scrum Teams exceed optimal effectiveness beyond 10 members due to exponential growth in communication paths. With n people, possible communication pairs equal n(n-1)/2, creating coordination overhead that diminishes agility. Opinions, meetings, and backlog items scale with team size but don't directly cause ineffectiveness; communication complexity is the fundamental constraint.

Transparency means that significant aspects of the process must be visible to those responsible for the outcome. The Scrum artifacts — Product Backlog, Sprint Backlog, and Increment — must be transparent to enable effective Inspection and Adaptation. Without transparency, decisions based on incomplete information lead to diminished value, increased risk, and false confidence.

Answer: The Development Team.
Explanation: The Sprint Backlog belongs to the Development Team. They have the authority to add, remove, and update Sprint Backlog items as needed during the Sprint to achieve the Sprint Goal.

Answer: Everyone on the Dev Team is responsible for quality; Scrum has no tester role.
Explanation: Scrum defines only three roles and no specializations within the Development Team. Quality is a shared responsibility — every team member contributes to testing, regardless of their primary skills.

Product Backlog Transparency: The Product Owner communicates strategy by maintaining a visible, ordered, and understood Product Backlog—not through technical specs or daily task management. This enables stakeholders and Developers to grasp priorities and vision clearly.

Key concept: The Definition of Done (DoD) represents the formal commitment that defines what "complete" means for any Increment. According to the Scrum Guide 2020, the Definition of Done is the team's explicit commitment regarding quality standards and acceptance criteria that must be met before work is considered finished. Every item in the Increment must satisfy the Definition of Done to ensure transparency, reduce rework, and maintain consistent quality. This shared understanding prevents misalignment between the Scrum Team and stakeholders about what constitutes a potentially releasable product Increment. The DoD is not merely a checklist—it is the foundational commitment that enables the team to deliver value predictably and maintain product integrity throughout the development process.

Answer: Why this Sprint is valuable (Sprint Goal), what can be done (PBI selection), how the work will be done.
Explanation: Sprint Planning covers three topics: Why/What/How — all essential to a well-defined Sprint.

Answer: The Product Owner and the Developers.
Explanation: When the Development Team cannot complete the forecast, both the PO and the Developers must collaborate to review and adjust the selected work — the PO sets priorities and the Developers confirm capacity.

Answer: Each Sprint should progress toward the Product Goal.
Explanation: Every Sprint brings the product closer to the Product Goal. Sprints do not need to fully achieve the Product Goal each time.

Key concept: Single Product Backlog per product. Regardless of how many Scrum Teams are working on the same product, there must be ONE Product Backlog that serves as the single source of truth for all product requirements and priorities. This ensures consistency, prevents duplicate work, and maintains a unified Product Goal. Multiple teams may work on different Product Backlog Items simultaneously, and they may organize their work through different Sprint Backlogs, but they all pull from and contribute to the same Product Backlog. This centralized approach enables better coordination, eliminates conflicting priorities, and ensures all teams are aligned toward delivering value for the same product.

Answer: How the team collaborates; identifying high-priority process improvements for the next Sprint.
Explanation: The Sprint Retrospective focuses on the team's working relationships, processes, tools, and practices. The goal is to identify improvements that can be implemented in the next Sprint.

Answer: Existing teams propose how to organize; developers come together and self-organize.
Explanation: Scrum Team formation should be driven by self-organization, not management diktat. Teams that choose their own composition build stronger working relationships and greater ownership of their commitments.

The Product Owner is explicitly accountable for maximizing the value of the product resulting from the work of the Scrum Team, as stated in the Scrum Guide 2020. The Scrum Master is accountable for the Scrum Team's effectiveness, the Developers are accountable for creating a potentially releasable increment, and stakeholders provide input but do not hold accountability within the Scrum Team structure. This accountability is a core responsibility of the Product Owner role and cannot be delegated.

A well-formed Sprint Goal is a single objective that gives coherence and focus, allowing some flexibility in implementation because it provides a unified purpose for the Sprint while enabling the Development Team to make decisions about how to achieve it. The other options are incorrect: a list of Product Backlog items lacks coherence and flexibility, a commitment to complete all items without exception ignores the empirical nature of Scrum, and velocity targets are metrics rather than goals.

Answer: Primarily the PO and Developers; the PO is accountable for ordering.
Explanation: Refinement is an ongoing activity involving both the PO and Developers to clarify, decompose, and estimate items. The PO remains accountable for ordering.

Approche Agile : méthodologie itérative basée sur des cycles courts (sprints) avec livraisons régulières et intégration continue du feedback client. Elle privilégie la collaboration directe et l'adaptation rapide aux changements, essentiels quand le client doit valider fréquemment le produit. Contrairement au modèle prédictif qui fige les exigences en amont, l'agile accueille l'évolution des besoins. Une méthodologie hybride ad hoc ou des rapports sans implication réelle du client ne garantissent pas cette collaboration critique au succès.

Fondation de la planification agile itérative : La planification agile suit une séquence logique et hiérarchique qui part du général au particulier. D'abord, la Vision produit établit les objectifs métier globaux et la direction stratégique du projet, définissant pourquoi le produit existe. Ensuite, la Roadmap décompose cette vision en jalons et initiatives majeurs sur une période moyenne (3-12 mois), créant une trajectoire réalisable. Le Backlog produit détaille cette roadmap en user stories et exigences priorisées, prêtes à être développées. Le Sprint Planning sélectionne les éléments du backlog pour le sprint immédiat (1-4 semaines), avec estimations et engagement d'équipe. Enfin, l'Exécution réalise concrètement le travail planifié. Cette progression garantit l'alignement stratégique : sans vision claire, la roadmap manque de direction; sans roadmap, le backlog devient chaotique; sans backlog organisé, le sprint planning échoue. Les autres options inversent cet ordre logique (placer le backlog avant la vision revient à définir les détails sans contexte stratégique), ce qui crée des incohérences d'alignement et des rework importants

CPI (Cost Performance Index) : ratio entre la valeur gagnée et le coût réel (EV/AC). Un CPI 1 indique une économie de coûts.

Un tableau axé valeur inclut des bénéfices attendus vs réalisés, des jalons de valeur, et des indicateurs de résultats d’usage/satisfaction; les heures saisies brutes ou le nombre de pages de documentation sont peu pertinents pour la valeur.

Concept clé : Le domaine Parties prenantes du PMBOK 7e édition est fondé sur la reconnaissance que le succès d'un projet dépend de la capacité à identifier qui sont les acteurs concernés et à comprendre leurs attentes, besoins et niveaux d'influence. Identifier les parties prenantes signifie dresser une liste exhaustive de tous les individus et organisations affectés par le projet ou capable de l'affecter (sponsors, clients, équipe, régulateurs, communautés, etc.). Comprendre leurs attentes implique d'analyser en profondeur ce qu'ils désirent du projet, leurs préoccupations, leurs priorités et leurs critères de succès. Ces deux objectifs sont inséparables et constituent la base de tout engagement efficace. Contrairement à l'option "Maintenir leur engagement", qui est une conséquence souhaitable mais pas un objectif premier du domaine, l'identification et la compréhension sont les activités initiales et fondamentales. Les options "Les exclure des réunions" et "Communiquer uniquement à la fin du projet" vont directement à l'encontre des principes modernes du PMBOK 7 qui promeut l'engagement continu et la communication transparente, particulièrement en contexte agile où les parties prenantes sont impliquées régulièrement pour adapter le projet à leurs besoins évolutifs.

Il convient de suivre les résultats et d’adapter le plan de gestion des bénéfices pour maximiser la valeur, plutôt que de considérer le projet terminé.

Réponse : Demander aux équipes d’organiser des sessions de partage de connaissances. Cela est efficace sans perturber la structure.

Gestion du changement et analyse d'impact : Toute demande client en cours d'exécution doit être évaluée systématiquement avant action. Le chef de projet analyse les impacts sur calendrier, coûts et ressources, puis adapte le plan de communication et de livraison. Rejeter sans évaluation ignore les besoins client; prolonger automatiquement masque les vrais impacts; reporter à la clôture invalide la demande urgente.

Évaluation holistique de performance : même un excellent technichien impacte la productivité globale s'il crée des conflits. Évaluer les deux dimensions (technique + relationnel) et co-construire un plan d'amélioration reconnaît le problème et permet un développement équilibré.

Cette question correspond à l’objectif FL-5.5.1 (K3) – Préparer un rapport de défaut.
● a) Faux → Utile, mais pas bloquant pour comprendre l’erreur.
● b) Correct → Sans résultat attendu, il est impossible de savoir ce qui aurait dû se produire → c’est l’élément clé manquant
● c) Faux → Peu utile dans la reproduction du défaut.
● d) Faux → Intéressant dans certains cas (web), mais pas toujours essentiel

Cette question correspond à l\'objectif d\'apprentissage FL-5.1.4 (K2) -

Utiliser des techniques d\'estimation pour calculer l\'effort de test requis.

● a) Correct → Pour calculer l\'estimation basée sur des ratios, il faut d\'abord calculer le ratio moyen entre le budget développement et le coût du testing pour tous les projets historiques:

○ Projet 1 : 300/2,500 = 0.12
○ Projet 2 : 270/1,800 = 0.15
○ Projet 3 : 560/3,200 = 0.175
○ Projet 4 : 430/2,700 = 0.159
○ Moyenne = (0.12+0.15+0.175+0.159)/4 = 0.16

Ensuite, on applique ce ratio au coût de recherche estimé: 2,400 k€ × 0.16 = 384 k€

● b) Faux→ Cette valeur semble être une simple approximation sans appliquer la technique d\'estimation par ratios.
● c) Faux → Ce résultat pourrait provenir d\'un calcul erroné utilisant un ratio approximatif de 0.156 plutôt que le ratio moyen exact.
● d) Faux → Cette réponse semble résulter d\'un calcul avec un ratio de 0.17, qui n\'est pas la moyenne exacte des ratios individuels.

Cette question correspond à l\'objectif d\'apprentissage FL-2.2.3 (K2) – Distinguer les tests de confirmation des tests de régression.
La bonne réponse est a) Seulement 4, 7, 8.
Analyse de chaque version :
Version 1.0 :
● T1 (1) : Succès → fonctionnalité opérationnelle
● T2 (2) : Échec → nécessite une correction
● T3 (3) : Échec → nécessite une correction

Version 1.1 :
● T1 (4) : Succès → test de régression pour vérifier que la fonctionnalité reste stable
● T2 (5) : Succès → test de confirmation pour vérifier la correction du défaut identifié
en (2)
● T3 (6) : Échec → test de confirmation pour vérifier la correction du défaut identifié
en (3), mais toujours en échec
Version 1.2 :
● T1 (7) : Échec → test de régression qui montre qu\'une modification a introduit un
problème dans une fonctionnalité qui fonctionnait
● T2 (8) : Succès → test de régression pour vérifier que la fonctionnalité corrigée reste stable
● T3 (9) : Succès → test de confirmation pour vérifier la correction du défaut identifié
en (6)
Par conséquent, les tests exécutés en régression sont : 4 (T1 dans la version 1.1), 7 (T1dans la version 1.2) et 8 (T2 dans la version 1.2).

La réponse correcte est donc a) Seulement 4, 7, 8.

Cette question correspond à l’objectif d\'apprentissage FL-4.2.2 (K3) – Appliquer l’analyse des valeurs limites pour identifier les cas de test.
● a) Faux → 23 et 27 : limites extérieures uniquement
● b) Faux → 24 et 26 : limites valides, pas d’extérieures
● c) Correct → 23, 24, 26, 27 : couvre toutes les limites valides et invalides
● d) Faux → 22, 24, 26, 28 : trop éloigné des limites directes

Cette question correspond à l\'objectif d\'apprentissage FL-4.1.1 (K2) - Distinguer les  techniques de test boîte noire, boîte blanche et basées sur l\'expérience.
● a) Faux - Cette combinaison mélange des techniques basées sur l\'expérience (tests exploratoires) avec des techniques de test boîte noire (analyses de valeurs limites et tests par paires). Les tests par paires et les analyses de valeurs limites sont des
techniques systématiques basées sur les spécifications, pas sur l\'expérience.
● b) Correct - Cette combinaison contient uniquement des techniques basées sur l\'expérience :

○ Tests basés sur l\'intuition : utilisation de l\'expérience et de l\'intuition du testeur pour identifier les zones problématiques
○ Tests exploratoires : apprentissage, conception et exécution des tests simultanément
○ Tests basés sur les check-lists : utilisation de listes de contrôle développées à partir de l\'expérience pour guider les tests
● c) Faux - Cette combinaison contient principalement des techniques de test boîte blanche (tests de chemins et tests de couverture d\'instructions), avec une technique basée sur l\'expérience (tests basés sur les défauts). Les tests de structure interne sont clairement des techniques boîte blanche.
● d) Faux - Cette combinaison mélange des techniques de test boîte noire (partitionnement d\'équivalence), des techniques basées sur l\'expérience (tests basés sur les risques), et des techniques de test boîte blanche (tests de structure de
contrôle). Ce n\'est donc pas une liste de techniques uniquement basées sur
l\'expérience.

Cette question correspond à l’objectif d’apprentissage FL-2.1.6 (K2) – Utiliser les rétrospectives pour améliorer le processus.
● a) Faux → Identifier le problème sans agir n’apporte aucune amélioration.
● b) Faux → Déplacer le problème ailleurs ne résout rien.
● c) Correct → Impliquer les testeurs plus tôt dans le processus est une amélioration concrète issue d’une réflexion collective.
● d) Faux → Ajouter des ressources sans changer le processus ne garantit pas de
résolution.

Cette question correspond à l\'objectif d\'apprentissage FL-5.1.5 (K3) - Appliquer la priorisation des cas de test.

● TC1 couvre Fonc1, Fonc2, Fonc3 → 3 nouvelles fonctionnalités
● TC4 couvre Fonc5, Fonc6, Fonc7 → 3 autres nouvelles fonctionnalités

○ Après exécution de TC1 et TC4, 6 fonctionnalités sont déjà couvertes
● TC3 couvre Fonc3 (déjà couverte par TC1) + Fonc4 (nouvelle) → utile pour compléter la couverture à 100 %
○ Donc TC3 doit être exécuté avant la fin.
● TC2 ne couvre que Fonc4, qui est déjà couverte par TC3
○ TC2 est redondant, il n’apporte aucune nouvelle couverture
TC2 (Réponse b) a la couverture supplémentaire la plus faible, il devrait donc être exécuté en dernier.

Cette question correspond à l’objectif d’apprentissage FL-1.3.1 (K2) – Expliquer les sept principes du test.

● a) Faux → Les tests de régression restent nécessaires tout au long du cycle de vie du logiciel.
● b) Correct → Plus un défaut est détecté tôt, moins il est coûteux à corriger, car il est identifié avant qu’il ne se propage.
● c) Faux → Tester tôt ne garantit pas un produit exempt de défauts.
● d) Faux → Tester tôt ne signifie pas réduire le nombre total de tests nécessaires.

Cette question correspond à l\'objectif d\'apprentissage FL-2.1.3 (K1) – Rappeler des exemples d\'approches de développement piloté par les tests.
● a) Correct → Le TDD (Test-Driven Development) est une approche où les tests sont écrits avant l’implémentation du code.
● b) Faux → Le modèle en cascade ne suit pas un développement itératif avec des tests en amont.
● c) Faux → Le modèle en V inclut une phase de test bien définie, mais les tests ne sont pas écrits avant le développement du code.
● d) Faux → L’intégration continue permet d’exécuter régulièrement des tests, mais ce n’est pas une approche de développement piloté par les tests.

Cette question correspond à l’objectif d’apprentissage FL-1.4.1 (K2) – Résumer les différentes activités et tâches de test.
La bonne réponse est : d) 1C, 2B, 3D, 4A

● 1C) : Correct : La planification sert à préparer le cadre du test
● 2B) : Correct : La conception permet de définir les données, cas et conditions de test
● 3D) : Correct : L’exécution vérifie le résultat réel par rapport à l’attendu
● 4A) : Correct : Clôturer = évaluer, nettoyer, archiver, analyser les résultats

Steganography: the technique of hiding data (code, text, or messages) within digital media like images, audio, or video files. Unlike encryption which makes data unreadable, steganography conceals data's very existence. Symmetric/asymmetric encryption scramble data readability, while hashing creates fixed-length fingerprints—neither hides content within images.

Chain of Custody: A documented record tracking evidence possession, handling, and transfer from collection through analysis. Maintains integrity and admissibility by proving evidence wasn't tampered with. While forensic imaging, evidence tagging, and data hashing support the process, chain of custody is the overarching procedure documenting the entire evidence lifecycle.

SIEM (Security Information and Event Management): A centralized platform that aggregates logs from diverse sources—systems, applications, networks—enabling real-time correlation, analysis, and threat detection. Unlike DLP (data loss prevention), IDS (intrusion detection), or SNMP (network monitoring protocol), SIEM specifically excels at centralizing and correlating multiple log sources for comprehensive security monitoring.

Answer: Side loading.
Explanation: Side loading refers to installing applications from sources outside an official app store or manufacturer's approved repository. This bypasses security vetting processes and exposes devices to malware or tampered software.

Geolocation policy: A security control that restricts access to resources based on users' geographic location or IP address origin. Organizations implement geolocation policies to comply with legal requirements and prevent unauthorized access from high-risk countries. Unlike encryption (protects data in transit/rest), data masking (hides sensitive information), or data sovereignty regulations (legal frameworks), geolocation policies actively enforce access restrictions at the authentication layer.

Automation: Using automated tools to continuously monitor and audit security settings ensures consistent, repeatable daily checks without human error. Manual audits lack consistency; compliance checklists are static documents; attestation confirms past actions but doesn't detect unauthorized changes automatically.

Bug Bounty: A coordinated vulnerability disclosure program where organizations invite external security researchers to identify and report security flaws in exchange for monetary rewards. Unlike penetration tests (contracted engagements) or crowd-sourced security (broader community initiatives), bug bounties specifically incentivize individual researchers to discover vulnerabilities through compensation based on findings.

Regulatory Compliance in Banking: Financial institutions operate under strict regulatory frameworks (Basel III, Dodd-Frank, GDPR) mandating regular security audits to protect customer data and systemic stability. Regulators enforce these requirements through law, not internal policy. While internal policies, customer requests, and SLAs are important, they lack the legal enforcement power that drives mandatory audit schedules.

Network Segmentation: isolating legacy IoT devices into separate network zones restricts lateral movement of attacks. This is optimal for legacy systems because patching may be unavailable, replacement takes time, and insurance doesn't prevent breaches. Segmentation provides immediate containment without modifying vulnerable devices.

Answer: Ease of recovery; responsiveness.
Explanation: High availability network design must consider: ease of recovery (how quickly systems can be restored after failure — MTTR) and responsiveness (whether the network maintains adequate performance under load and during partial failures).

La clé de partition est l'attribut utilisé par Cosmos DB pour distribuer les données sur plusieurs partitions physiques. Un bon choix est critique car : (1) il doit assurer une distribution uniforme des données et des requêtes pour éviter les partitions chaudes (hot partitions), (2) les requêtes sans la clé de partition sont des cross-partition queries — plus lentes et coûteuses. Idéalement, la clé de partition est souvent utilisée dans les filtres WHERE. Exemple : CustomerID pour une app e-commerce (millions de clients répartis uniformément).

Azure Stream Analytics est un service de traitement de flux en temps réel qui permet d'analyser des millions d'événements par seconde. Il ingère des données de sources comme IoT Hub, Event Hubs ou Blob Storage, et les traite en temps réel pour déclencher des alertes, alimenter des tableaux de bord ou stocker des résultats dans SQL, Cosmos DB ou Power BI. Il s'agit d'un service PaaS entièrement géré, idéal pour la détection d'anomalies et la surveillance continue.

La clause WHERE : filtre les lignes d'une table selon des conditions spécifiques AVANT le regroupement. Elle s'applique aux enregistrements individuels. À ne pas confondre avec HAVING (filtre après regroupement), ORDER BY (tri des résultats) ou GROUP BY (agrégation de données).

JSON (JavaScript Object Notation) : format texte léger basé sur des paires clé-valeur et structures imbriquées, idéal pour les données semi-structurées. Contrairement au CSV (données tabulaires strictes), JSON s'adapte aux structures variables et hiérarchiques. PNG et MP4 sont des formats binaires pour images et vidéos, non adaptés aux données d'échange applicatif. JSON est le standard REST/API moderne.

Limites transactionnelles de Cosmos DB : Cosmos DB excelle dans les charges NoSQL distribuées, mais ne supporte pas les transactions ACID multi-documents complexes ni les jointures élaborées entre entités. Les systèmes financiers exigent une cohérence stricte et des opérations multi-tables que les bases relationnelles (SQL Server, PostgreSQL) garantissent mieux. Les trois autres scénarios (web mondial, documents JSON, IoT temps réel) correspondent exactement aux forces de Cosmos DB : scalabilité horizontale, flexibilité schéma et performance distribuée.

Azure Blob Storage (Binary Large Object) est le service de stockage objet d'Azure, optimisé pour les fichiers non structurés. Il propose trois niveaux d'accès : Hot (accès fréquent, coût stockage élevé), Cool (accès peu fréquent, coût moindre), Archive (stockage long terme, accès très rare, coût minimal). Il supporte jusqu'à 190 TB par blob et des milliards de blobs par compte de stockage. C'est la base du Data Lake Azure et des backups Azure.

NoSQL signifie « Not Only SQL » et désigne une catégorie de bases de données non-relationnelles offrant des schémas flexibles pour stocker différents types de données (documents JSON, paires clé-valeur, graphes, colonnes), contrairement aux bases relationnelles rigides. Pourquoi les autres réponses sont incorrectes : NoSQL supporte bien les langages de requête (MongoDB Query Language, etc.) contrairement à la première option. La deuxième option est fausse car NoSQL gère tous types de données, pas seulement numériques. La dernière option est inexacte puisque NoSQL excelle autant en lecture qu'en écriture et supporte les workloads transactionnels.

Modèle PaaS d'Azure SQL Database : Microsoft, en tant que fournisseur cloud, gère entièrement l'infrastructure, le moteur SQL et les mises à jour de sécurité. Le client ne s'occupe que des données et de l'application. Contrairement à un serveur on-premises, l'administrateur réseau n'intervient pas sur les patchs du moteur SQL.

Power BI : plateforme Microsoft dédiée à la business intelligence, permettant de transformer des données brutes en visualisations interactives et tableaux de bord partageables. Contrairement à Excel (outil bureautique) ou Azure Monitor (surveillance d'infrastructure), Power BI excelle dans l'analyse métier et la décision data-driven en temps réel.

Charges analytiques (OLAP) : systèmes conçus pour analyser de grands volumes de données historiques et produire des rapports complexes. Contrairement aux charges transactionnelles (OLTP) qui traitent chaque transaction individuellement, l'OLAP agrège et synthétise les données pour déceler des tendances et patterns. Les distracteurs confondent OLTP (enregistrement de transactions) avec OLAP (analyse rétrospective).

Réponse : L’ouverture/fermeture par type de compte au niveau société.
Explication : Elle s’assigne au code société et gère les périodes par type de compte.

Réponse : Vrai
Pour exécuter un prélèvement SEPA (SDD - SEPA Direct Debit), un mandat SEPA actif doit être associé au Business Partner client. Ce mandat contient le numéro de mandat, les coordonnées bancaires et la date de signature. Sans mandat valide, le prélèvement ne peut pas être généré.

Réponse : L’affectation d’un plan de comptes opérationnel au code société.
Explication : Le plan de comptes (chart of accounts) est requis pour créer les segments plan de comptes et étendre les comptes au code société.

Réponse : Une méthode de paiement valide au niveau du code société.
Explication : Le programme de paiement automatique filtre les débits/crédits en se basant sur la méthode de paiement définie dans la vue société du BP (rôle fournisseur FI).

Réponse : Actif par défaut pour tous les codes société.
Explication : 0L est le ledger de référence ; des ledgers parallèles peuvent exister.

Réponse : Vrai
Explication : Les modèles analytiques CDS (avec annotations) délèguent agrégations/calculs à HANA et sont consommés par Fiori/Smart Business.

Réponse : Au moment du lettrage/clearing du poste avec le paiement.
Explication : Les écarts réalisés se constatent à la compensation ; les non réalisés sont traités en fin de période.

Réponse correcte : Le programme « Profit and Loss Adjustment » effectue un closing comptable essentiel : il transfère le solde net des comptes de résultat (revenus et charges) vers le compte de résultats non distribués (retained earnings) au bilan, clôturant ainsi l'exercice fiscal. Pourquoi les autres réponses sont incorrectes : La première décrit l'allocation de coûts indirects, qui relève de la Comptabilité Analytique (CO), non de la Comptabilité Financière (FI). La deuxième confond avec la contrepassation des provisions, un processus différent effectué en début de période. La quatrième se rapporte à la réconciliation, une étape de contrôle distincte du closing.

Réponse : Client ; type de cours de change. Explication : Le choix entre cotation directe et cotation indirecte est configuré au niveau du client (paramètre système global) et peut également être défini par type de cours de change, permettant différentes méthodes de cotation pour différents types de taux (M, G, B, etc.).

La Universal Journal (ACDOCA) est l'innovation clé de S/4HANA qui unifie les données comptables en un seul tableau de ligne article, éliminant ainsi le besoin de réconciliation entre les modules FI (Financial Accounting) et CO (Controlling) qui existait dans les anciennes versions SAP. Un plan comptable reste indispensable, les codes d'entité continuent à exister pour gérer les entités légales, et les états financiers requièrent toujours une configuration même s'ils sont générés automatiquement à partir du Universal Journal.

Marianne est l'allégorie de la République française et son symbole officiel. Elle figure sur le buste officiel des mairies, sur les documents officiels (en-têtes des administrations), les timbres et pièces de monnaie. Représentée coiffée du bonnet phrygien (symbole de la liberté depuis la Rome antique), elle incarne les valeurs de Liberté, Égalité, Fraternité. Son visage change selon les époques (inspiré parfois de célébrités françaises). Elle apparaît sur le sceau de la République depuis la Révolution.

La Première République française fut proclamée le 21 septembre 1792, lors de la première réunion de la Convention nationale, au lendemain de la victoire de Valmy. Elle succédait à la monarchie constitutionnelle établie en 1791. 1789 = début de la Révolution (prise de la Bastille) et monarchie constitutionnelle. 1804 = proclamation du Premier Empire par Napoléon Bonaparte. La Première République prit fin en 1799 avec le coup d'État du 18 Brumaire.

La Ve République a été fondée le 4 octobre 1958, date à laquelle la nouvelle Constitution — rédigée sous l'impulsion du général de Gaulle — est entrée en vigueur. Cette Constitution renforçait le pouvoir exécutif et l'autorité présidentielle, répondant à l'instabilité de la IVe République. 1944 = libération de Paris, 1945 = fin de la Seconde Guerre mondiale, 1962 = indépendance de l'Algérie et élection du Président au suffrage universel direct.

Constitue un critère d'inadmissibilité le fait d'être condamné à une peine d'emprisonnement sans sursis pour un crime ou certains délits graves (terrorisme, atteintes aux intérêts fondamentaux de la nation, trafic de stupéfiants…). La condamnation doit figurer au casier judiciaire B2. Un simple avertissement policier n'est pas une condamnation. Une infraction routière mineure (amende) ne figure pas au B2. Contester une décision administrative est un droit citoyen, sans impact sur la naturalisation.

Le 14 juillet 1789 : date fondatrice de la Révolution française marquée par la prise de la Bastille, forteresse-prison symbole du pouvoir absolu. Cet événement incarne la liberté retrouvée et l'abolition de l'arbitraire royal. Contrairement à la fête du Travail (1er mai) ou à la fin progressive de la monarchie (1870), le 14 juillet représente le moment décisif du passage à la République.

La Marseillaise est l'hymne national de la France depuis 1795 (officialisé par la Constitution de 1958). Composée par Rouget de Lisle à Strasbourg en 1792 sous le titre « Chant de guerre pour l'armée du Rhin », elle fut chantée par les volontaires marseillais montant à Paris, d'où son nom. Le Chant du départ est un autre chant patriotique révolutionnaire. La Carmagnole est une chanson populaire de la Révolution française.

La Déclaration des droits de l'homme et du citoyen du 26 août 1789 est le texte fondateur des droits fondamentaux en France. Elle affirme les droits naturels et imprescriptibles : liberté, propriété, sûreté, résistance à l'oppression. Incorporée au préambule de la Constitution de 1958, elle a valeur constitutionnelle. La Constitution de 1958 organise les institutions. Le Traité de Maastricht (1992) fonde l'Union européenne. La Charte des droits fondamentaux de l'UE date de 2000.

La côte ouest de la France est bordée par l'océan Atlantique, de la Bretagne jusqu'au Pays Basque, en passant par la Normandie, les Pays de la Loire et l'Aquitaine. La Mer Méditerranée borde la côte sud (Provence, Languedoc). La Mer du Nord borde la côte nord-est (Pas-de-Calais). La France métropolitaine est ainsi baignée par deux mers et un océan, ce qui lui confère une position maritime stratégique en Europe.

Le droit du sol (jus soli) permet à un enfant né en France d'acquérir la nationalité française, sous certaines conditions. En France, le droit du sol n'est pas automatique à la naissance : un enfant né en France de parents étrangers acquiert la nationalité française à 18 ans s'il y réside depuis ses 11 ans, ou peut l'anticiper entre 13 et 18 ans. Ce système combiné avec le droit du sang (jus sanguinis) — nationalité transmise par les parents — forme le régime français de nationalité. La France alterne entre droits du sol et du sang selon les lois successives depuis la Révolution.

La Première Guerre mondiale (1914-1918) : conflit majeur opposant principalement les Alliés (France, Royaume-Uni, États-Unis) à l'Allemagne et l'Autriche-Hongrie. Elle a transformé la France et marqué profondément ses institutions. À ne pas confondre avec la Seconde Guerre mondiale (1939-1945).

Concept clé : Test d'attaques adversariales. Les exemples adversariaux sont des entrées soigneusement conçues qui trompent les modèles AI malgré des perturbations imperceptibles pour l'humain. Les testeurs de sécurité doivent valider la robustesse en tentant de générer des entrées adversariales et en vérifiant la résilience du système face à de telles manipulations.

Réponse : Un changement préautorisé qui est bien compris et intégralement documenté.
Explication : Un changement standard est préautorisé, bien compris et intégralement documenté. Son faible risque lui permet d\'être implémenté sans passer par le processus d\'approbation habituel.

Réponse : Assurance qu\'un produit ou service répondra aux exigences convenues.
Explication : La garantie est l\'assurance qu\'un produit ou service répondra aux exigences convenues. Elle couvre la disponibilité, la capacité, la continuité et la sécurité du service fourni.

Réponse : En choisissant quelques méthodes clés pour les types d\'améliorations gérées par l\'organisation.
Explication : Plutôt que d\'adopter toutes les méthodes existantes, une organisation doit sélectionner quelques approches adaptées aux types d\'améliorations qu\'elle gère, pour rester cohérente et efficace.

Réponse : Le problème conserve l\'état d\'erreur connue.
Explication : Lorsqu\'une solution de contournement devient permanente car le problème ne peut être résolu définitivement, le problème reste dans l\'état \'erreur connue\' : documenté mais non résolu.

Réponse : Les centres de services doivent comprendre l\'organisation dans son ensemble.
Explication : Les centres de services doivent avoir une compréhension globale de l\'organisation pour orienter correctement les utilisateurs, comprendre les impacts des incidents et prioriser les demandes.

Réponse : Des procédures détaillées pour diagnostiquer les incidents.
Explication : La gestion des incidents vise une résolution rapide, pas la documentation détaillée de procédures de diagnostic. Les procédures détaillées relèvent de la gestion des problèmes et de la base de connaissances.

Réponse : Le système de valeur des services.
Explication : Le système de valeur des services (SVS) est le concept ITIL 4 qui décrit comment tous les composants et activités, y compris la gouvernance, fonctionnent ensemble pour créer de la valeur.

Réponse : Progresser par itérations avec des retours.
Explication : Le principe \'Progresser par itérations avec des retours\' recommande de diviser le travail en petites étapes gérables avec des boucles de feedback fréquentes pour s\'adapter et corriger rapidement.

Réponse : Il peut fournir un appariement automatisé des incidents aux problèmes ou aux erreurs connues.
Explication : Les outils ITSM peuvent automatiquement associer de nouveaux incidents aux problèmes ou erreurs connus, accélérant ainsi le diagnostic et permettant d\'appliquer des solutions de contournement documentées.

Réponse : La gestion des mises en production.
Explication : La gestion des mises en production a pour but de mettre à disposition des services et fonctionnalités nouveaux ou modifiés, en coordonnant le packaging et le déploiement des releases.

DMARC (Domain-based Message Authentication, Reporting, and Conformance) est un protocole d’authentification des e-mails qui :

• S’appuie sur SPF (Sender Policy Framework) pour vérifier que l’expéditeur est autorisé à envoyer des e-mails pour un domaine donné.

• Utilise DKIM (DomainKeys Identified Mail) pour valider l’intégrité du message grâce à une signature numérique.

• Ajoute une politique (policy) permettant au propriétaire du domaine d’indiquer aux serveurs destinataires quoi faire si l’authentification échoue :

  • Ne rien faire (monitoring)

  • Mettre en quarantaine

  • Rejeter le message

👉 DMARC joue donc un rôle clé dans la lutte contre le phishing, l’usurpation d’identité (spoofing) et la fraude par e-mail.

• Par défaut, les journaux d’audit Microsoft 365 ont une durée de conservation limitée.

• Pour les conserver plus longtemps (ex. 1 an ou plus), il faut configurer une Audit log retention policy dans Microsoft Purview.

• Cela permet de répondre aux exigences réglementaires et de conformité.

❌ Pourquoi les autres réponses sont incorrectes :

• B. Litigation Hold (Exchange) → Concerne la conservation des emails, pas les journaux d’audit globaux.

• C. Sensitivity label retention → Gère la protection et la conservation des documents/emails, pas des logs d’audit.

• D. Azure Information Protection → Sert à classifier et protéger les données, pas à gérer la durée des logs d’audit.

🎯 À retenir pour l’examen MS-900 :

• Audit logs = Microsoft Purview (Audit log retention policy)

• Litigation Hold = emails

• Sensitivity labels = protection des données

• Co-authoring permet à plusieurs utilisateurs de :

  • Modifier un même fichier PowerPoint simultanément

  • Voir en temps réel les modifications des autres collaborateurs

• Les autres options ne permettent pas la collaboration en temps réel :

  • A : Presenter View sert à l’affichage du présentateur lors d’une présentation.

  • B : Version History permet de voir ou restaurer des versions précédentes, pas la coédition en temps réel.

  • D : Slide Show affiche le diaporama mais ne gère pas l’édition collaborative.

• Device compliance policies dans Intune permettent de définir :

  • Les exigences pour qu’un appareil soit considéré conforme (ex : chiffrement, mot de passe, version OS minimale).

• Combinées avec Azure AD Conditional Access, elles permettent de bloquer l’accès aux services cloud (comme SharePoint Online) si l’appareil n’est pas conforme.

  🎯 À retenir pour l’examen MS-900 :

  • Conformité des appareils + Azure AD Conditional Access = accès sécurisé aux services cloud

  • Profils de configuration ou Autopilot = configuration d’appareils, pas contrôle d’accès basé sur la conformité.

• Microsoft Secure Score se trouve dans le Microsoft 365 security center.

• Il permet de :

  • Voir le score actuel de sécurité de l’organisation

  • Accéder à des recommandations et actions pour améliorer la sécurité

• Les autres options ne donnent pas l’accès complet à Secure Score :

  • A : Azure AD Security montre certains paramètres, mais pas le score complet Microsoft 365.

  • C : Microsoft 365 admin center > Reports ne fournit pas le Secure Score détaillé.

  • D : Defender for Endpoint montre le posture de sécurité endpoints, pas le score global Microsoft 365.

• Copilot Chat dans Microsoft Teams peut analyser les conversations et générer des tâches.

• Limitation actuelle : il peut créer des tâches dans Microsoft Planner, mais ne prend pas encore en charge la création directe de tâches dans Microsoft To Do.

• Cela signifie que si vous demandez à Copilot de convertir des éléments d’action en To Do, la commande ne fonctionnera pas directement.

Dans Microsoft Lists, la mise en forme de colonne (Column formatting) permet d’appliquer un style visuel conditionnel à une colonne spécifique.

👉 Elle permet notamment :

• De modifier la couleur d’arrière-plan

• De changer la couleur du texte

• D’ajouter des icônes

• D’appliquer des règles conditionnelles (ex : si la valeur < seuil → fond rouge)

Cette fonctionnalité utilise du JSON en arrière-plan, mais du point de vue fonctionnel, la capacité recherchée est bien la mise en forme de colonne.

• Le bloc-notes est stocké dans un site SharePoint d’équipe.

• L’URL correcte doit donc pointer vers :

  • Le tenant SharePoint principal (contoso.sharepoint.com)

  • Le site d’équipe (/sites/ProjectTeam)

  • Le dossier du bloc-notes

L’option B correspond à une URL SharePoint classique permettant :

• L’ouverture dans OneNote Desktop

• La synchronisation automatique

• Les mises à jour en temps réel pour tous les membres

❌ Pourquoi les autres réponses sont incorrectes :

• A et C → Utilisent contoso-my.sharepoint.com, qui correspond à OneDrive personnel, pas à un site SharePoint d’équipe.

• D → URL interne SharePoint (_layouts) utilisée pour l’interface web, pas pour un accès direct propre au bloc-notes.

🎯 À retenir pour l’examen MS-900 :

• tenant.sharepoint.com/sites/... = site d’équipe SharePoint

• tenant-my.sharepoint.com = OneDrive personnel

• Pour collaboration d’équipe → toujours utiliser l’URL du site SharePoint

• Privileged Identity Management (PIM) permet :

  • D’attribuer des rôles à durée limitée (ex : Intune Service Administrator)

  • De respecter le principe du moindre privilège, car le technicien n’a les droits élevés que pendant le dépannage

• Les autres options ne donnent pas un accès temporaire contrôlé :

  • Conditional Access → contrôle l’accès, pas la durée des droits

  • Defender for Endpoint → gère la sécurité des appareils, pas les permissions

  • Access Reviews / Global Reader permanent → donne un accès permanent, contraire au principe du moindre privilège

🎯 À retenir pour l’examen MS-900 :

• PIM = droits élevés temporaires pour dépannage ou administration

• Toujours attribuer des permissions limitées dans le temps, plutôt que permanentes, pour sécuriser les comptes administrateurs.

• Identity Protection sign-in risk policy permet :

  • Détecter automatiquement les connexions suspectes ou compromises

  • Appliquer des actions automatisées comme blocage d’accès ou réinitialisation de mot de passe selon le niveau de risque configuré

• Les autres options ne remplissent pas ce rôle spécifique :

  • A : Conditional Access contrôle l’accès basé sur les conditions, mais ne déclenche pas automatiquement en fonction du risque de connexion.

  • B : Smart Lockout protège contre les tentatives de mot de passe incorrectes, mais pas contre les risques détectés par analyse des sign-ins.

  • C : Password Protection empêche l’utilisation de mots de passe faibles ou compromis, mais ne réagit pas automatiquement à un risque de connexion.

• App Service Authentication / Authorization (Easy Auth) :

  • Permet de forcer l’authentification Azure AD sans modifier le code de l’application

  • Prend en charge MFA, Conditional Access et Single Sign-On

  • Fonctionne pour tous les utilisateurs qui accèdent à l’application

• Avantages :

  • Aucun développement requis → répond à la contrainte “sans modifier le code”

  • Intégration directe avec Azure AD

  • Compatible avec politiques MFA et Conditional Access

Azure AD PIM permet de :

• Gérer les rôles Azure AD et Azure RBAC sensibles

• Fournir un accès Just-in-Time (JIT) pour limiter le temps pendant lequel un utilisateur a des privilèges élevés

• Exiger approbations ou vérifications périodiques pour l’accès aux rôles privilégiés

• Générer des logs d’audit et rapports pour le suivi des activités

Pourquoi c’est adapté :

• Le besoin est validation continue de l’accès privilégié

• PIM est la solution native Microsoft pour le contrôle et la gouvernance des comptes à privilèges élevés

• JIT réduit la fenêtre de risque en n’octroyant des droits qu’au moment nécessaire

Azure Key Vault est un composant critique pour la sécurité :

• Il stocke des clés cryptographiques, certificats et secrets essentiels pour le chiffrement des données et la sécurité des transactions.

• Le vecteur de menace le plus critique est l’accès non autorisé :

  • Si un attaquant obtient l’accès à Key Vault, il peut récupérer les clés et décrypter les données sensibles ou signer des transactions frauduleuses.

• La protection contre ce vecteur repose sur :

  • Des politiques d’accès strictes (RBAC ou policies Key Vault)

  • L’activation de Azure AD Conditional Access

  • L’utilisation du principle du moindre privilège

Pourquoi Purview Sensitivity Labels :

• Permet de classer et protéger les documents et emails

• Applique automatiquement :

  • Chiffrement au repos et en transit

  • Restrictions d’usage (ex. ne pas copier, ne pas imprimer, ne pas transférer) même lorsque le fichier est téléchargé ou partagé en externe

• Contrôle la protection persistante des fichiers, indépendamment du lieu où ils sont ouverts

• Scenario : Zero Trust → contrôler l’accès en fonction de l’état de l’appareil, de l’identité et de la localisation.

• Intune + Conditional Access permet :

  • Vérifier si l’appareil est géré et conforme aux politiques de sécurité

  • Appliquer des conditions préalables à l’accès, comme :

    • BitLocker activé

    • Antivirus à jour

    • Correctifs appliqués

  • Bloquer l’accès depuis appareils non conformes

• C’est la méthode standard Microsoft pour protéger Microsoft 365 dans un contexte Zero Trust avec des partenaires externes.

• Problème : les applications legacy utilisent souvent des protocoles d’authentification non sécurisés (ex : IMAP, POP3, SMTP Auth)

• Ces protocoles contournent Conditional Access, ce qui crée une surface d’attaque importante

• Solution Microsoft recommandée pour Zero Trust :

  • Bloquer la legacy authentication dans Conditional Access

  • Appliquer MFA et autres contrôles modernes uniquement sur les applications et utilisateurs qui supportent les protocoles modernes

  • Réduire considérablement le risque de compromission des identités

• Hotpatch :

  • Fonctionnalité Azure-only pour Windows Server

  • Applique les mises à jour de sécurité critiques sans redémarrage complet

  • Réduit les interruptions de service pour les workloads sensibles (ex : santé, finance)

  • Permet un contrôle administratif, mais avec automatisation pour les correctifs critiques

• Cette approche est le compromis idéal entre patching manuel (risque faible mais effort élevé) et automatisation complète (risque de redémarrage inattendu).

• MCAS / Defender for Cloud Apps :

  • Fournit visibilité complète sur les applications SaaS connectées à Entra ID

  • Identifie les applications non approuvées ou risquées

  • Permet de :

    • Appliquer des politiques d’accès

    • Restreindre ou contrôler l’usage des applications

    • Surveiller les activités et détecter les risques liés aux utilisateurs et aux sessions

• C’est la solution Microsoft recommandée pour le Shadow IT et la gouvernance SaaS.

• Objectif d’un tabletop exercise :

  • Identifier lacunes dans les procédures, rôles et responsabilités

  • Former les parties prenantes à la coordination et aux étapes critiques

• Observation : les chemins d’escalade ne sont pas clairs

  • Correctif immédiat = mettre à jour la documentation BCDR

  • Validation = planifier un nouvel exercice pour s’assurer que tous comprennent les procédures

• Cette approche :

  • Est non intrusive, sécurisée et pédagogique

  • Permet de corriger les processus sans risquer les systèmes en production

• Microsoft indique officiellement que pour un RPO très court sur Blob Storage, il faut utiliser Azure Backup avec des snapshots fréquents (option D)

• Continuous backup est utile mais dans certains contextes / préversions, et n’est pas la configuration par défaut pour répondre aux SLA stricts d’entreprise.

Un export de journaux Cloud Logging directement vers BigQuery (sink) est la solution native la moins coûteuse et la plus simple. Il n'y a pas besoin d'intermédiaires (Pub/Sub, Cloud Functions) qui ajouteraient des coûts et de la complexité.

La bonne méthode est de créer deux configurations (une par compte/région) puis d'activer la configuration appropriée avant de lancer les commandes. gcloud configurations list affiche seulement les configurations sans les activer.

Réserver 10.0.3.21 comme IP interne statique garantit que le serveur de licences obtient toujours cette IP spécifique dans le VPC, sans modifier la configuration de l'application. Une IP publique n'est pas nécessaire pour une communication interne.

La combinaison Redémarrage automatique = On (redémarre si crash) + Maintenance hôte = Migrer (live migration pendant maintenance) dans un MIG est la configuration recommandée pour une haute disponibilité maximale pendant les maintenances GCP.

La bonne pratique est d'attribuer les rôles à des groupes (pas à des individus) et d'utiliser le rôle roles/accessapproval.approver qui permet d'approuver/refuser les accès du support Google. IAM roleAdmin donne des permissions trop larges.

Cloud Storage est la source de données native pour Cloud Dataflow et le staging recommandé pour les pipelines ETL GCP. gsutil gère efficacement les uploads de données non structurées. BigQuery est pour les données structurées, Cloud SQL/Spanner ne conviennent pas à des données hétérogènes.

Le rôle roles/logging.privateLogViewer inclut l'accès aux journaux d'audit d'administration ET aux journaux d'accès aux données. Diriger l'auditeur vers les journaux de modifications IAM compète la vue complète. Pas besoin d'export — l'accès direct suffit.

L'équilibreur de charge réseau externe (Network Load Balancer) supporte le protocole UDP, expose les backends sur une IP unique et est accessible depuis Internet. SSL Proxy et HTTPS ne supportent pas UDP. L'équilibreur UDP interne n'est pas accessible depuis Internet.

Les tables externes BigQuery pointant vers Cloud Storage permettent d'interroger les données AVRO directement avec SQL sans les importer dans BigQuery. C'est plus rapide (pas de chargement) et moins cher (pas de stockage BigQuery permanent).

Le flux correct est : snapshot → image personnalisée → instances. Une image personnalisée est portable, versionnée et réutilisable pour créer plusieurs instances identiques. Les instances ne se créent pas directement à partir d'images d'images ni directement à partir de snapshots.

Correct answers: Options 0 and 4. A Scrum Master should coach the Development Team to self-organize and solve problems collaboratively (option 0), and privately coach the individual on the Daily Scrum's purpose of synchronization, not detailed technical discussion (option 4). Escalating to management (option 1) bypasses team empowerment. Rigid timeboxing rules (options 2-3) are imposed solutions rather than coaching the team to self-manage. The Scrum Master facilitates, not dictates.

Option B is correct. The Scrum Master should coach the Product Owner that empiricism and emergence are core to Scrum; complexity makes perfect forecasting impossible. New learning during the Sprint naturally affects the Sprint Backlog. Option A unmotivates through unrealistic pressure, Option C is defensive and ignores stakeholder concerns, and Option D violates the principle that adding people mid-Sprint reduces productivity and doesn't address root issues.

Management's role in Scrum is to create an enabling environment, not to micromanage or monitor individual performance. According to the Scrum Guide, management should provide insights and resources that support Scrum Teams. Options about removing people, monitoring skill levels, or tracking velocity represent command-and-control behaviors that undermine Scrum's empirical and self-organizing principles.

Correct: Option 2 - Adding a second team typically causes the original team's velocity to drop initially due to increased communication overhead, context-switching, and coordination complexity as they integrate with the new team. Velocity measures the team's capacity, which is often strained by scaling effects before improvement occurs.

This statement is True. Technical debt obscures the actual system state and can mask problems in the reviewed Increment, leading to false confidence in progress. Unaddressed technical debt creates a gap between perceived and actual product quality, violating the transparency pillar of Scrum.

Correct: Options 2, 3, and 5 - Effective Scrum Masters use coaching, training, and stakeholder education to help organizations adopt Scrum sustainably. Option 1 violates change management principles; Option 4 contradicts Scrum's collaborative values; Option 6 extends events beyond their intended purpose, diluting their effectiveness.

Typical Scrum Master activities focus on removing impediments and facilitating inspection and adaptation. The Scrum Master does not assign tasks (that's the Development Team's role) or escalate conflicts to line managers (that undermines team empowerment). Instead, they coach the team to resolve obstacles and continuously improve, supporting Scrum's values of courage and commitment to excellence.

All of the above. Trust forms the foundation of all five Scrum values: Respect (trust in team members' capabilities), Courage (trust to take risks), Commitment (trust in goals), Openness (trust to communicate honestly), and Focus (trust in priorities). Without trust, none of these values can flourish.

Version control tools alone cannot resolve collaboration and dependency issues; these are fundamentally organizational and process problems requiring communication, planning, and proper backlog refinement. Technology is a tool, not a solution for human collaboration challenges in Scrum.

Correct answer: Option 1. Postponing UAT until project end violates Scrum's transparency pillar and extends feedback loops dangerously, preventing early course correction. The Increment should meet Definition of Done (which includes UAT readiness) every Sprint. Option 2 ignores that DoD should include quality standards, Option 3 misunderstands self-organization, and Option 4 promotes the anti-pattern of hardening Sprints contrary to Scrum principles.

Réponse : TMMi ne peut être utilisé qu\'avec le modèle V traditionnel, tandis que TPI peut être utilisé avec tous les types de cycles de vie logiciels..
Explication : D est incorrect car TMMi n\'est pas limité au modèle V ; il est indépendant du cycle de vie et applicable aux modèles V, itératifs et agiles. TPI l\'est aussi, contredisant l\'affirmation d\'une dichotomie entre les deux approches.

Réponse : Gestion et pilotage de projet.
Explication : B est correct car la gestion et le pilotage de projet sont des préoccupations transversales à tous les cycles de vie, non spécifiques au test en RAD. Les attributs distinctifs du RAD—prototypage itératif, exigences évolutives, délais serrés—créent des problèmes centrés sur le test : exigences instables, régressions fréquentes, cycles de test compressés.

Réponse : Les métriques enregistrées lors du test de l\'outil de capture-rejouer..
Explication : C est correct car les métriques mesurées de l\'outil de capture-rejouer fournissent les données empiriques directes (taux d\'exécution, temps de création et maintenance des scripts, taux de faux positifs/négatifs, surcharge de configuration/nettoyage) nécessaires pour convertir les tâches de test spécifiées en estimations temporelles fiables et réduire l\'incertitude.

Réponse : Portabilité.
Explication : C est correct car la portabilité est un attribut non-fonctionnel de faible priorité pour un système de surveillance médicale critique pour la sécurité, normalement lié à des piles matériel/système d\'exploitation certifiées. La disponibilité, la sécurité et la fiabilité ont un impact direct sur le risque patient et les preuves réglementaires.

Réponse : Organiser une réunion avec la direction générale pour qu\'elle aborde l\'importance d\'une bonne qualité de test pour ce projet.
Explication : D est correct car l\'appui visible de la direction générale élève la priorité organisationnelle des tests, fournit une reconnaissance et supprime les obstacles systémiques. Cela augmente la signification de la tâche et aligne l\'effort individuel avec les objectifs organisationnels, motivant durablement l\'équipe.

Réponse : Les développeurs perdent le sens des responsabilités et les testeurs indépendants peuvent devenir un goulot d\'étranglement..
Explication : Le test indépendant sépare la vérification du développement, ce qui peut diminuer le sens de la responsabilité des développeurs tandis que la coordination des tests et le triage des incidents se concentrent dans une équipe distincte qui peut devenir un goulot d\'étranglement processus.

Réponse : 720.
Explication : Avec un taux de défaut constant et tous les retests réussis, le calcul du nombre de tests restants tient compte de la densité de défauts. Sur 800 tests initiaux avec 10% de défauts, 80 tests échouent. Après correction et retest réussi, 720 tests restent à exécuter pour atteindre la couverture complète.

Réponse : Exécution des tests.
Explication : L\'exécution des tests représente la portion la plus importante et la moins prévisible de la variabilité (taux de découverte de défauts, disponibilité de l\'environnement, productivité humaine, boucles de rework). C\'est donc la partie la plus difficile à estimer.

Réponse : 63.
Explication : Le Numéro de Priorité de Risque (NPR) est calculé en multipliant la probabilité d\'occurrence, la gravité de l\'impact et la détectabilité. Pour l\'élément de risque 2, ce calcul donne 63.

Réponse : Les critères d\'entrée et de sortie pour chaque phase de test / Les techniques de conception de test à utiliser.
Explication : AC est correct car une stratégie de test défendable prescrit explicitement les techniques de conception de test pour atteindre la couverture et l\'atténuation des risques (C) et les critères d\'entrée/sortie qui gouvernent la progression des phases et les barrières qualité (A). Une stratégie de test robuste est un cadre décisionnel de haut niveau qui détermine comment les objectifs de test seront atteints et comment les risques informent la priorisation et la portée.

A. The synthesis agent needs tools that can fetch results directly from the other agents' conversation histories. Incorrect. Agents do not require direct access to each other's histories. Proper orchestration passes outputs explicitly via prompts. B. The synthesis agent's context window is not large enough to hold the combined outputs from both previous agents. Incorrect. If this were the issue, the agent would receive truncated data, not no data at all. The error indicates missing inputs entirely. C. The subagents need to share a single API connection to enable automatic context sharing between invocations. Incorrect. Agent communication does not depend on shared API connections. Context must be explicitly passed by the coordinator. D. The coordinator did not include the outputs from the previous agents in the synthesis agent's prompt. Correct. The synthesis agent can only act on the information provided in its prompt. If prior outputs are not passed, it will report missing research findings.

A. Structured JSON consumes significantly fewer tokens than natural language, substantially reducing API costs. Incorrect. Token usage depends on the content; JSON is not inherently more compact than text and may sometimes use more tokens. B. The agent can reliably extract specific values without parsing free form text, reducing errors in subsequent operations. Correct. Structured output provides clear, predictable fields, making it easy for the agent to use the data accurately in downstream steps. C. Structured JSON is processed deterministically by the model, significantly improving accuracy when extracting values. Incorrect. The model is still probabilistic; JSON improves structure, but not deterministic processing. D. JSON schemas automatically validate that the underlying API returned correct data before the agent processes it. Incorrect. Schemas define structure, but they do not guarantee correctness of the actual data returned by the API.

A. Implement post-processing to detect and strip common greeting phrases from response beginnings Incorrect. This is a fragile fix and can accidentally remove useful or context-specific language. B. Add system prompt instructions specifying phrases to avoid, such as "Never begin responses with 'Certainly' or similar affirmations" Correct. This directly addresses the root cause by guiding generation behavior consistently across all turns. It prevents repetition before it happens, rather than cleaning it up afterward. C. Lower the temperature parameter to make response openings more deterministic and less variable Incorrect. Lower temperature reduces variability but often increases repetition patterns, not reduces them. D. Append a partial assistant message with a direct response opening that the model will continue from Incorrect. This can shape a single response style, but it does not reliably eliminate repetitive openings across an entire conversation.

A. Clear parameter descriptions explaining expected format, such as "user_id: UUID of the user to update (required)" Correct. Clear, human-readable descriptions are the most important guidance for helping Claude understand what values to provide and how parameters should be structured. B. Verbose parameter names encoding format hints, such as user_id_string_uuid_format Incorrect. Overly verbose names reduce readability and are less effective than proper descriptions. C. Strict JSON Schema type constraints marking user_id as required and defining fields_to_update as an object type Incorrect. Schema constraints help validation, but they don't sufficiently explain semantic expectations like the required UUID format. D. Detailed error responses explaining why invalid parameter values were rejected Incorrect. Helpful after failure, but not the most critical factor for preventing mistakes initially.

A. Define a tool with your target schema as input parameters and have Claude call it with the extracted data. Correct. Tool use enforces strict schema compliance at generation time, ensuring valid, structured JSON that downstream systems can reliably consume. B. Pre-fill Claude's response with an opening brace to force JSON output, then complete and parse the response. Incorrect. This is a fragile workaround and does not guarantee valid or schema-compliant JSON. C. Append instructions like "Output only valid JSON matching the schema exactly" and implement retry logic to re-prompt when JSON parsing fails. Incorrect. Helpful but not reliable--models can still produce malformed or non-conformant JSON. D. Include detailed JSON formatting instructions and the target schema in your prompt, then parse Claude's text response as JSON. Incorrect. Prompt-based formatting alone cannot guarantee strict compliance, especially in edge cases.

A. The model extracts "et al." for co-authors when the full list exists only in an external document not in the input Correct. Retries won't help because the required information is not present in the input context. The model cannot recover missing data through repeated attempts. B. The model extracts citation counts as locale-formatted strings ("1234") when the schema requires integers Incorrect. This is a formatting issue that can be corrected through retries with validation feedback. C. The model extracts dates as ISO 8601 datetime strings ("2003-03-15T00:00:00Z") when the schema requires only the date portion (YYYY-MM-DD) Incorrect. Also a format mismatch, which retries can fix easily. D. The model extracts keywords as a nested object organized by category when the schema requires a flat array of strings Incorrect. This is a structural mismatch that can typically be corrected with retry feedback.

A. Set temperature to 0 to eliminate output variability and ensure consistent formatting Incorrect. This reduces randomness but won't fix systematic extraction errors like misinterpreting ranges ("2 to 3"). B. Send a follow-up request including the validation error, asking the model to correct its output Correct. Providing specific validation feedback allows the model to correct the exact issue (e.g., convert "2 to 3" into a valid float), making recovery highly effective. C. Pre-process source documents to standardize problematic formats before sending them for extraction Incorrect. Helpful in some cases, but not scalable or sufficient for diverse real-world variations. D. Implement a secondary pipeline using a larger model tier to reprocess documents that fail validation Incorrect. More expensive and not necessary--targeted correction is more efficient and effective.

A. Persist the complete conversation and tool response history to a database, then call escalate_to_human with a reference ID. Incorrect. Useful operationally, but the human agent still needs a concise, actionable summary rather than raw logs alone. B. Call escalate_to_human passing only the customer's original message. Incorrect. This loses the investigation work already completed and forces the human agent to repeat steps. C. Attempt the refund with process_refund anyway, escalating only if the system rejects the transaction. Incorrect. This violates authorization boundaries and business policy. D. Compile a structured handoff with customer details, order info, and the identified issue before calling escalate_to_human. Correct. A structured handoff preserves context, reduces repetition, and enables efficient continuation by the human agent.

A. Log the error server-side and return an empty result to avoid confusing the model Incorrect. This hides critical failure information, making it impossible for the agent to distinguish "no data" from "system failure." B. Throw an exception from the tool handler so the agent framework can catch and log it Incorrect. Exceptions are useful internally, but the agent still needs a structured tool response; raw exceptions don't reliably propagate useful context to the model. C. Return the error message in the tool result content with the isError flag set to true Correct. This is the proper MCP pattern: the tool explicitly signals failure using isError: true, while still providing a readable error message so the agent can decide whether to retry, escalate, or inform the user. D. Return a success response with a "status" field indicating the error type Incorrect. This is misleading because it treats failures as successful responses, which confuses downstream reasoning and tool orchestration. Thank you Thank you for being so interested in the If you have any feedback or thoughts on the bumps, I would love to hear them. Your insights can help me improve our writing and better understand our readers. Best of Luck You have worked hard to get to this point, and you are well-prepared for the exam Keep your head up, stay positive, and go show that exam what you're made of! Feedback More Papers Total: 85 Questions Link:

A. The coordinator agent receives the web search agent's output and includes relevant findings in the prompt when invoking the document analysis agent. Correct. This follows the standard orchestration pattern where the coordinator manages all data flow, explicitly passing outputs between subagents. B. The agents communicate through an event-driven message queue, with the document analysis agent subscribing to web search completion events. Incorrect. This introduces unnecessary infrastructure complexity and is not the typical agent orchestration model. C. The web search agent directly invokes the document analysis agent, using the discovered sources as parameters. Incorrect. Subagents should not invoke each other directly; this breaks centralized control and observability. D. Both agents access a shared memory store where the web search agent writes findings and the document analysis agent reads them. Incorrect. While possible in advanced systems, this is not the standard or simplest approach; it adds complexity without clear necessity in typical pipelines.