Ne découvrez pas l'examen
le jour J

Réponse : D) AWS Knowledge Center. Le AWS Knowledge Center contient les réponses aux questions les plus fréquemment posées sur la sécurité et d'autres sujets généraux, fournissant un référentiel consultable des conseils, des solutions de dépannage et des informations sur les meilleures pratiques AWS.

Réponse : APN Technology Partners.
Explication : Les APN Technology Partners proposent des solutions techniques validées pour optimiser l’usage du cloud AWS.

Réponse : Patch matériel / Sécurité de l’infrastructure physique mondiale.
Explication : AWS gère le patching matériel et l’infrastructure mondiale ; les autorisations d’accès et le chiffrement relèvent du client.

Réponse : AWS CAF (Cloud Adoption Framework).
Explication : Le AWS CAF guide les organisations dans la transformation et la migration cloud en alignant technologie, processus et compétences.

Réponse : Amazon Inspector.
Explication : Amazon Inspector réalise des analyses de sécurité automatisées sur les instances EC2 pour détecter des failles potentielles.

Réponse : AWS Elastic Beanstalk. Explication : AWS Elastic Beanstalk est un service PaaS qui gère automatiquement le déploiement, l'approvisionnement de capacité, l'équilibrage de charge, la mise à l'échelle automatique et la surveillance de la santé. Les développeurs téléchargent simplement leur code et Elastic Beanstalk gère l'infrastructure.

Security Hub : agrège les résultats de sécurité de multiples services AWS. Fournit un tableau de bord centralisé pour la visibilité complète et l'orchestration des remédiation.

Réponse : AWS CloudTrail.
Explication : AWS CloudTrail consigne tous les appels d’API et accès sur les ressources AWS du compte.

Réponse : L'accès aux tables DynamoDB. Explication : Selon le modèle de responsabilité partagée, AWS gère l'infrastructure DynamoDB, l'application des correctifs et la disponibilité. Les clients sont responsables du contrôle d'accès à leurs données — y compris les politiques IAM et les autorisations au niveau des tables.

Réponse : Amazon EC2 et AWS Lambda.
Explication : Les Savings Plans AWS couvrent Amazon EC2, AWS Lambda et AWS Fargate, permettant des économies importantes pour ces ressources.

Recommandation personnalisée GenAI : Amazon Personalize combine collaborative filtering et contexte utilisateur. Intégration Bedrock génère descriptions recommandations hyper-personnalisées. Meilleur que GenAI seul car combine données structurées et génération.

Rekognition + Textract : Rekognition détecte et classifie les objets (étiquettes, codes-barres). Textract extrait le texte visible sur ces objets (numéros de série, prix, instructions). Workflow multimodal complet pour enrichir les données produit automatiquement.

Fenêtre de contexte vs température : La fenêtre de contexte définit le nombre maximum de tokens acceptés (input + output), limitant physiquement la taille du prompt. La température contrôle la variabilité des réponses (0=déterministe, 1=créatif), sans affecter la longueur. Confusion courante : croire que la température restreint le prompt.

Few-shot prompting : fournir quelques exemples annotés (ex: textes + étiquettes sentiments) dans le prompt. Cela améliore significativement la précision du LLM en clarifiant le format attendu, les nuances et le contexte. Contrairement au zero-shot (sans exemples), le few-shot réduit l'ambiguïté et aligne les prédictions avec le pattern désiré, sans nécessiter de fine-tuning coûteux.

Les Partial Dependence Plots (PDPs) montrent l’effet marginal d’une ou deux variables sur la prédiction, améliorant la transparence.

Narrativisation de données : Les modèles fondations excèlent à transformer données brutes en proses naturelles, insight business et explications. Bedrock avec prompt structuré (templates, exemples) crée rapports cohérents, scalables et professionnels à bas coût.

Bedrock Invocation Logging : service dédié qui capture automatiquement les prompts (inputs) et réponses (outputs) des appels API aux modèles Bedrock pour audit, conformité et amélioration qualité. CloudTrail enregistre seulement les appels API métadonnées, non les contenus détaillés. Audit Manager et EventBridge ne permettent pas ce suivi granulaire des invocations.

k-NN dans OpenSearch : algorithme de recherche par similarité qui indexe les vecteurs d'embeddings pour retrouver rapidement les documents sémantiquement proches. Contrairement à la recherche textuelle exacte, k-NN compare les distances vectorielles (cosinus, L2) permettant des recherches sémantiques à grande échelle. Indispensable pour les applications GenAI exploitant des modèles d'embeddings.

Orchestration conversationnelle : Amazon Lex gère les dialogues multi-tours, maintient le contexte et structure les intentions. Combiné à Bedrock pour la génération, il crée des chatbots sophistiqués avec mémorisation d'état.

Capacités multimodales : Les modèles fondations récents traitent images ET texte simultanément. Bedrock offre accès à Claude 3 Vision et autres modèles capables de fusionner données visuelles et textuelles pour générer contenu cohérent.

Answer: False assumptions about releasability; system becomes harder to stabilize over time.
Explanation: Technical debt erodes transparency: unresolved issues create hidden complexity that makes the system's true state unclear, leading teams to falsely believe an Increment is releasable when it carries significant hidden risk.

Answer: The Development Team.
Explanation: The Development Team manages and tracks its own progress during the Sprint. They update the Sprint Backlog, track remaining work, and adapt their plan daily. The Scrum Master or Product Owner does not manage team progress.

Answer: Whoever the Development Team decides should start.
Explanation: The Daily Scrum is self-managed by the Development Team. They decide the format, who starts, and how they conduct it. The Scrum Master does not prescribe these details.

Product Owner Accountability: The Product Owner holds sole responsibility for maximizing product value by managing the Product Backlog, defining requirements, and prioritizing work based on stakeholder needs and business goals. This is a core accountability that distinguishes the PO role from other Scrum Team members.

Openness means the Scrum Team and its stakeholders agree to be open about all the work and the challenges with performing the work. Sharing progress, obstacles, and risks openly — even when the news is not positive — enables stakeholders to make informed decisions and help the team. Transparency is a Scrum pillar (not a value), Courage relates to doing the right thing, and Commitment relates to the team's dedication to goals.

Answer: Monitor communications between them and facilitate direct collaboration.
Explanation: The Scrum Master facilitates direct communication between the PO and Development Team, ensuring clarity and reducing misunderstandings, rather than acting as an intermediary who filters or relays messages.

Sprint Timebox: Sprints have a fixed duration (1-4 weeks) and end on schedule regardless of completion status. This predictability enables consistent planning and inspection. Unlike completion-based endings, fixed timeboxes prevent scope creep and enforce discipline. The Sprint Review and Retrospective follow, not precede, the Sprint's end.

Sprint Goal Immutability: The Sprint Goal is a fixed commitment established during Sprint Planning and remains unchanged throughout the Sprint. While Developers can negotiate Sprint Backlog scope with the Product Owner when new information emerges, the Sprint Goal itself—the overarching objective—stays constant. This distinction prevents scope creep while allowing flexibility in implementation details.

Answer: Unique per product, can contain bugs and risks, emergent and evolving.
Explanation: The Product Backlog is a single, evolving list containing diverse items — features, bugs, risks, technical work — all ordered by the PO.

Why this answer is correct: According to the Scrum Guide, the Definition of Done is a formal description that establishes what it means for an Increment to be complete, ensuring it meets the quality standards required for the product. It is a shared understanding created by the Scrum Team that applies to every Increment.

Why the other answers are incorrect: The Definition of Done is not static—it evolves as the organization matures and standards change. It is not a personal Product Owner checklist but a team commitment, and it applies to every Increment delivered during the Sprint, not just the final release.

Key concept: Scrum Master as Facilitator and Impediment Remover. The Scrum Master is accountable for facilitating all Scrum events (Sprint Planning, Daily Standup, Sprint Review, Sprint Retrospective) and serving the Scrum Team by removing organizational and technical impediments that block progress. While the Product Owner prioritizes the backlog and the team executes work, only the Scrum Master holds the explicit responsibility for facilitation and impediment removal. Project Managers and Architects have different roles outside the Scrum framework and lack this accountability.

Correct Answer: Making the ordered Product Backlog visible and accessible to all relevant stakeholders is the best approach because transparency is a core Scrum value. The Scrum Guide emphasizes that the Product Backlog should be transparent and visible to enable stakeholders to understand priorities, provide feedback, and maintain alignment with product direction at any time.

Why others are incorrect: Printing copies is inefficient and quickly becomes outdated; email summaries are passive and limit the backlog's visibility; and the Scrum Master reporting on backlog status is not their responsibility—that's the Product Owner's domain. Only continuous, direct access to the actual backlog ensures true transparency rather than periodic or filtered information.

Why this is correct: The Definition of Done is a commitment that ensures quality and transparency. An Increment that doesn't meet the Definition of Done is not potentially releasable and should not be presented as such, regardless of stakeholder approval. The Product Owner must maintain this standard to protect product quality and stakeholder trust.

Why the others are wrong: Stakeholder approval cannot override the Definition of Done—it exists to prevent releasing incomplete work. The Scrum Master cannot waive the Definition of Done; it's a team commitment that should be consistently applied. Deferring incomplete items without transparency creates technical debt and misrepresents the Increment's actual status.

Answer: The Developers.
Explanation: The Developers select the number of items based on their own assessment of their capacity and understanding of the work.

Key concept: Sprint content selection is a collaborative responsibility shared between the Product Owner and the Developers, not the Scrum Master. The Product Owner orders the Product Backlog and presents prioritized items to the Developers, who then decide which items they can commit to completing within the Sprint based on their capacity and Definition of Done. The Scrum Master facilitates this process but does not make the selection decision. The Scrum Master's role is to ensure the Scrum framework is properly understood and applied, remove impediments, and coach the team—not to dictate what work enters the Sprint. This distinction is critical because it preserves the Developers' autonomy and accountability for their work commitments.

Sprint Planning Timeboxing: Sprint Planning is timeboxed to one hour per week of Sprint duration. For a one-month (4-week) Sprint, this equals 8 hours maximum. The Scrum Guide establishes this proportional relationship to ensure adequate time for the Development Team and Product Owner to discuss the Product Backlog items, define the Sprint Goal, and commit to a realistic Sprint Backlog without excessive planning overhead. Shorter Sprints (e.g., 1-week) receive proportionally less time (4 hours), while longer Sprints receive more. The "No limit" option incorrectly suggests planning can extend indefinitely, defeating the purpose of timeboxing. The 2-hour and 4-hour options underestimate the complexity required for a month-long Sprint.

Transparency Through Artifacts, Not Reports: Scrum emphasizes transparency via three key artifacts—the Product Backlog, Sprint Backlog, and Increment—rather than manual daily reports to management. Developers collaborate within the Scrum Team and communicate progress during Scrum events (Daily Standup, Sprint Review, Sprint Retrospective), where stakeholders and management gain visibility. Requiring daily reports would introduce unnecessary bureaucracy, distract from development work, and contradict Scrum's self-organizing team principle. Management gains authentic transparency by inspecting the working Increment and attending Sprint Reviews, not through status reports outside the framework.

Answer: Clarify the item's objective, split if necessary, re-estimate as needed.
Explanation: Refinement involves clarifying, decomposing, and estimating items pragmatically to prepare them for upcoming Sprints.

Audits de qualité et conformité continue : Les audits qualité constituent une activité fondamentale du processus "Maîtriser la qualité" (Perform Quality Assurance en anglais, selon le PMBOK 7e édition). Un audit qualité est une évaluation systématique et indépendante permettant de vérifier que l'équipe de projet respecte effectivement les normes, standards et procédures de qualité préalablement définis. Cette activité proactive assure une conformité continue tout au long du projet, identifie rapidement les écarts et permet des corrections préventives avant que des problèmes majeurs ne surgissent.

Pourquoi cette réponse est correcte : Les audits qualité offrent une vérification objective et régulière de l'adhésion aux standards établis. Contrairement aux tests ponctuels, les audits examinent les processus, les méthodes de travail et les pratiques de l'équipe de manière holistique. Ils permettent d'identifier non seulement les défauts de produit, mais aussi les défauts de processus susceptibles de générer des non-conformités répétées.

Distinction des autres options : "Établir un plan de communication" adresse une dimension administrative mais ne vérifie pas la conformité. "Allonger le calendrier" et

Tableau de bord de projet : synthèse visuelle des KPIs (délai, coût, qualité, risques). Offre au comité une visibilité immédiate et objective sur la performance, contrairement aux documents bruts (surcharge info), réunions allongées (inefficaces) ou communication réduite (perte de traçabilité).

Motivation intrinsèque (modèle Pink) : autonomie, maîtrise et finalité. Les bonus externes sont temporaires. Redonner aux équipes du pouvoir décisionnel, des défis progressifs et une vision claire du sens de leur travail restaure la motivation durable.

Les outputs sont les livrables produits, tandis que les outcomes sont les bénéfices et résultats générés par ces livrables.

Gestion de la performance et contrôle des coûts : Lorsqu'un tableau de bord révèle un coût réel supérieur au coût planifié, cela signifie que le projet dépasse son budget prévu. Selon le PMBOK 7e édition, le domaine de performance « Mesure » exige une analyse rigoureuse des écarts (variance) pour comprendre les causes racines de ce dépassement. Cette analyse implique de comparer les coûts réels avec la baseline approuvée, d'identifier les facteurs contributifs (changements de scope, inefficacités, ressources mal affectées, risques matérialisés) et de mettre en œuvre des actions correctives appropriées pour ramener le projet dans les limites budgétaires. Les trois autres options sont inappropriées : ignorer l'écart violerait les principes de gouvernance et de transparence, masquer les données constituerait une fraude de gestion envers les parties prenantes, et modifier la baseline sans justification fausserait le suivi de performance et compromettrait la crédibilité du management de projet. La bonne pratique consiste à traiter proactivement les écarts pour assurer la viabilité financière du projet et maintenir la confiance des sponsors et stakeholders.

Processus systématique de résolution de conflit en gestion de projet : La résolution efficace de conflits suit une progression logique et méthodique qui reflète les meilleures pratiques du PMBOK et la gestion relationnelle moderne. Avant toute action, il faut d'abord identifier le conflit - reconnaître qu'une tension existe entre les parties prenantes, ce qui requiert de l'écoute active et de l'observation. Ensuite, l'analyse des causes permet de comprendre les racines profondes du problème : divergences d'objectifs, malentendus, ressources limitées, ou incompatibilités personnelles. C'est crucial car résoudre sans comprendre les causes génère des conflits récurrents. La discussion avec les parties impliquées crée un dialogue constructif où chacun exprime son point de vue, favorisant la compréhension mutuelle et l'identification de solutions acceptables par tous. Enfin, résoudre et vérifier consiste à mettre en œuvre la solution, confirmer son efficacité et assurer que le climat s'est amélioré. Cette séquence respecte la logique causale : on ne peut analyser sans identifier, on ne peut discuter utilement sans comprendre les causes, et on ne peut résoudre solidement sans discussion préalable. Les autres options échouent

Vrai. Le domaine Mesure et l’orientation valeur promeuvent des décisions éclairées par des données, des indicateurs et des retours factuels.

Analyse des écarts de performance : EV (100k) < PV (110k) indique un retard d'exécution. EV (100k) < AC (120k) révèle un dépassement budgétaire. Le projet consomme plus de ressources (120k) que la valeur produite (100k), confirmant une double dégradation par rapport au plan initial.

La valeur business correspond aux bénéfices mesurables (financiers ou non) que le projet apporte à l’organisation et aux parties prenantes.

Cette question correspond à l\'objectif d\'apprentissage FL-2.2.3 (K2) – Distinguer les tests de confirmation des tests de régression.

La bonne réponse est c) 1A, 2B, 3A, 4B.

● 1A) Correct → Le test de confirmation (ou \"retest\") vérifie qu’un défaut corrigé est effectivement résolu.
● 2B) Correct → Le test de régression s’assure que la correction ou une nouvelle fonctionnalité n’a pas causé d’effets secondaires indésirables.
● 3A) Correct → Les tests de confirmation ciblent spécifiquement la correction appliquée et ne testent pas d’autres parties du système.
● 4B) Correct → Les tests de régression sont exécutés à une échelle plus large pourvérifier que le reste du système fonctionne toujours correctement.

Cette question correspond à l\'objectif d\'apprentissage FL-4.3.3 (K2) - Expliquer la valeur des tests boîte blanche.

● a) Faux → Les tests boîte blanche ne remplacent pas les revues de code et les inspections formelles. Ce sont des activités complémentaires qui servent des
objectifs différents.
● b) Faux → Aucune technique de test ne peut garantir la détection de 100% des
défauts. Cette affirmation est excessive et trompeuse.
501
● c) Correct → Cette réponse capture la principale valeur ajoutée des tests boîte blanche : ils permettent d\'identifier les défauts dans des parties du code qui pourraient ne pas être facilement atteignables par les tests boîte noire.
● d) Faux → Les tests boîte blanche ne visent pas principalement à réduire la durée du cycle de développement ou à diminuer le nombre de tests fonctionnels. Au
contraire, ils représentent souvent un effort supplémentaire.

Cette question correspond à l\'objectif d\'apprentissage FL-5.1.5 (K3) - Appliquer la priorisation des cas de test.

Pour déterminer l\'ordre d\'exécution, nous devons considérer à la fois les dépendances logiques et les priorités.

● TC 101 n\'a pas de dépendance et doit être exécuté en premier
● TC 102 dépend de TC 101 et doit être exécuté en deuxième
● TC 103 dépend de TC 102 et a la priorité la plus élevée (1), donc il doit être exécuté en troisième

● TC 104 et TC 105 dépendent tous deux de TC 103
● a) Faux → TC 105 ne peut être exécuté qu\'après TC 103.
● b) Faux → TC 104 ne peut être exécuté qu\'après TC 103.
● c) Faux → TC 101 doit être exécuté en premier.
● d) Correct→- TC 103 doit être exécuté en troisième position après TC 101 et TC 102.

Cette question correspond à l’objectif d’apprentissage FL-1.5.2 (K1) – Rappeler les avantages de l’approche intégrée.

● a) Faux → L’intégration réduit la séparation
● b) Correct → Une équipe intégrée = collaboration renforcée
● c) Faux → Le testeur reste essentiel même dans une équipe Agile
● d) Faux → La documentation existe, même si elle est plus légère

Cette question correspond à l’objectif d’apprentissage FL-3.1.2 (K2) - Expliquer la valeur du test statique.
● a) Correct → Les tests statiques permettent d’identifier des défauts sans exécuter le logiciel, via des revues ou des analyses statiques.
● b) Faux → Tester le logiciel en l’exécutant relève des tests dynamiques.
● c) Faux → Tester la performance du logiciel sous charge relève des tests de performance, qui sont des tests dynamiques.
● d) Faux → Les tests statiques ne concernent pas l’implémentation des tests automatisés.

Cette question correspond à l’objectif d’apprentissage FL-5.1.2 (K1) – Reconnaître la valeur ajoutée d’un testeur dans la planification des itérations et des releases.
● a) Faux → La réécriture des exigences n’est pas une responsabilité directe du testeur.
● b) Faux → Le testeur contribue à l’estimation de l’effort de test, pas à celle des sprints de développement.
● c) Faux → Le testeur ne choisit pas comment le code est développé.
● d) Correct → Le testeur apporte une perspective qualité dès le début : il aide à identifier les risques, à définir ce qui doit être testé en priorité.

Cette question correspond à l\'objectif d\'apprentissage FL-4.2.1 (K3) - Utiliser les partitions d\'équivalence pour dériver les cas de test.
● a) Faux → car ne couvre pas la partition \"longueur incorrecte\".
● b) Correct → La réponse correcte est b) 12345, 123AB, 12A, A12.
○ \"12345\" couvre \"longueur correcte\" et \"nombre de chiffres correct\"
○ \"123AB\" couvre \"longueur correcte\" et \"nombre de chiffres correct\"
○ \"12A\" couvre \"longueur incorrecte\" et \"nombre de chiffres incorrect\"
○ \"A12\" couvre \"longueur incorrecte\" et \"nombre de chiffres incorrect\"
● c) Faux → car ne couvre pas la partition \"nombre de chiffres incorrect\".
● d) Faux → car ne couvre pas toutes les partitions.

Cette question correspond à l’objectif d’apprentissage FL-1.2.3 (K2) – Expliquer la relation entre erreur, défaut et défaillance.
● a) Faux → Une erreur est une faute humaine qui peut introduire un défaut, mais ce n’est pas une anomalie détectée en production.
● b) Faux → Un défaut peut exister sans être visible par l’utilisateur final.
● c) Correct → Une erreur humaine peut entraîner un défaut dans le logiciel, qui peut causer une défaillance en production
● d) Faux → Une défaillance est une anomalie observée lors de l’exécution, pas un problème directement présent dans le code source.

Cette question correspond à l’objectif d’apprentissage FL-5.3.1 (K1) – Rappeler des métriques utilisées dans les tests.

● a) Faux → C’est une métrique de gestion de projet, pas de test.
● b) Faux → Utile à l’analyse des exigences, mais pas une métrique standard de test.
● c) Correct → Le taux de réussite des cas de test est une métrique clé pour suivre la progression et la qualité.
● d) Faux → Ce n’est ni pertinent ni représentatif de la qualité du produit.

Cette question correspond à l’objectif FL-5.2.4 (K2) – Expliquer les mesures qui peuvent être prises en réponse à l\'analyse des risques produit.

La réponse correcte est a) 1B, 2D, 3A, 4C

● 1B) Correct →Risque de plantage dû à la charge → test de performance pour valider le comportement du système en situation de stress.

● 2D) Correct → Changement imposé par une source externe (nouvelle règle) → ce risque peut être transféré (ex. vers les juristes ou MOA).

● 3A) Correct → Une panne électrique peut être rare et incontrôlable → acceptation du risque si aucune action n’est envisageable en test.

4C) Correct → Mauvaise attribution de droits → peut être testé avecpartitionnement d’équivalence (groupes autorisés vs interdits).

Hardware-specific vulnerabilities: flaws inherent to physical components and their firmware that cannot be patched through OS updates. Outdated firmware represents a hardware vulnerability because it affects the device's core operations directly. Unlike buffer overflow (application-level), SQL injection (database query), and XSS (web application), firmware issues require hardware manufacturer patches and affect all systems using that component.

Risk Register: A comprehensive document that catalogs identified risks, assigns ownership to responsible parties, establishes risk thresholds/tolerance levels, and tracks mitigation strategies. Unlike risk tolerance (acceptable risk levels), risk transfer (shifting risk to third parties), or risk analysis (assessment process), a risk register serves as the central repository for documenting and managing all organizational risks throughout their lifecycle.

Statement of Work (SOW): A binding contract document that specifies project scope, deliverables, timeline, resource allocation, and hourly estimates for vendor services. Unlike SLAs (performance metrics), NDAs (confidentiality), or BPAs (partnership terms), the SOW directly defines engagement boundaries and labor costs.

Multifactor Authentication (MFA): requires two or more different authentication factors—something you know (password), something you have (phone for SMS), or something you are (biometric). A password plus SMS code combines two distinct factors. Using multiple passwords or adding a static PIN uses only one factor (knowledge), so these don't constitute true MFA.

Physical Control Strategy: Disabling USB ports eliminates the attack vector entirely by preventing unauthorized removable media access at the hardware level. While antivirus updates, encryption, and passwords provide reactive or data-protection measures, they don't prevent initial infection. USB port disabling is the most effective preventive control, especially in high-security environments where removable media poses significant risk.

Supply Chain Risk: Third-party vendors introduce cascading vulnerabilities through their entire ecosystem—compromised suppliers, weak security practices, or breached dependencies can directly impact your systems. Unlike patching (manageable) or credentials (controllable), supply chain weaknesses exist beyond your security perimeter and require vendor vetting, not just network controls.

Answer: Audit findings.
Explanation: When an organization fails an internal PCI DSS compliance assessment, the most likely outcome is audit findings — a formal report of non-compliance issues that must be remediated within specified timeframes to maintain payment card processing privileges.

PKI is a framework for managing digital certificates and public-private key pairs. Its primary purpose is to establish trust in digital communications by binding public keys to verified identities via a Certificate Authority (CA). This enables secure HTTPS connections, email signing (S/MIME), and code signing. The CA signs certificates with its private key; browsers and systems trust the CA and therefore trust the entities whose certificates the CA signed. Without PKI, there's no way to verify that a public key truly belongs to a claimed entity.

Brute Force Attack: a password attack that systematically tries numerous password combinations until gaining access. This works by exploiting weak authentication without intelligent guessing. Unlike social engineering (manipulation), shoulder surfing (visual observation), or man-in-the-middle (network interception), brute force relies purely on computational force to crack credentials.

File Integrity Monitoring (FIM) logs / audit logs record changes to files, directories, and system configurations. FIM tools (Tripwire, AIDE, AWS Config) create cryptographic hashes of files at a baseline; any change triggers an alert. Authentication logs record login attempts. Network flow logs record traffic patterns. Application logs record app-specific events. FIM is critical for detecting rootkit installation, unauthorized configuration changes, and compliance (PCI-DSS requires FIM on critical system files).

SQL (Structured Query Language) : langage standard conçu spécifiquement pour interroger, modifier et gérer les données dans les bases relationnelles. Il utilise des commandes comme SELECT, INSERT, UPDATE et DELETE pour interagir avec les tables et leurs relations. Contrairement à HTML (langage de balisage), Python (langage de programmation généraliste) ou JSON (format de données), SQL est le seul optimisé pour les requêtes de bases de données relationnelles.

Azure SQL Managed Instance : service PaaS qui émule SQL Server on-premise avec compatibilité quasi-totale (T-SQL, Agent SQL, linked servers). Contrairement à Azure SQL Database qui impose des adaptations de code, Managed Instance accepte les bases existantes sans modification majeure, minimisant les risques et délais de migration. MySQL et Cosmos DB nécessitent une refonte complète de l'architecture.

OLTP (Online Transaction Processing) : système conçu pour traiter des opérations courantes, rapides et fréquentes modifiant les données en temps réel. Mettre à jour un solde bancaire illustre parfaitement : c'est une transaction atomique, immédiate et critique. À l'inverse, analyser les ventes sur 5 ans ou créer des modèles prédictifs relèvent de l'OLAP (analytics), qui examine des données historiques agrégées.

Réponses : Une latence faible est attendue et les données sont traitées au fur et à mesure de leur création. Explication : Le traitement en temps réel traite les données immédiatement au moment où les événements se produisent avec un délai minimal. Contrairement au traitement par lots qui accumule d'abord les données, le traitement en temps réel nécessite une faible latence et l'ingestion et le traitement continus des données.

Azure RBAC (Role-Based Access Control) contrôle qui peut accéder à quelles ressources Azure et avec quels droits. Pour les services de données : un Data Reader peut lire des données mais pas les modifier ; un Storage Blob Data Contributor peut lire et écrire dans Blob Storage ; un Owner gère tout. Dans ADLS Gen2, les ACLs POSIX complètent le RBAC avec des contrôles granulaires au niveau des fichiers et dossiers. Le principe de moindre privilège (Least Privilege) s'applique : donner uniquement les droits nécessaires à chaque rôle.

Azure Stream Analytics est un service de traitement de flux en temps réel qui permet d'analyser des millions d'événements par seconde. Il ingère des données de sources comme IoT Hub, Event Hubs ou Blob Storage, et les traite en temps réel pour déclencher des alertes, alimenter des tableaux de bord ou stocker des résultats dans SQL, Cosmos DB ou Power BI. Il s'agit d'un service PaaS entièrement géré, idéal pour la détection d'anomalies et la surveillance continue.

DROP TABLE : commande DDL (Data Definition Language) qui supprime définitivement une table, sa structure complète et toutes ses données. Contrairement à DELETE FROM (supprime uniquement les données, conserve la structure) et TRUNCATE TABLE (vide la table mais garde sa structure), DROP TABLE efface l'objet table lui-même de la base de données.

Réponse : az storage account create. Explication : Le stockage de table Azure fait partie des comptes de stockage Azure. Pour utiliser le stockage de table, vous devez d'abord créer un compte de stockage Azure à l'aide de la commande Azure CLI « az storage account create », puis créer la table dans ce compte.

Un data warehouse est spécifiquement conçu pour l'analyse OLAP (Online Analytical Processing), optimisant les requêtes de lecture sur de grands volumes de données historiques intégrées, ce qui en fait un outil d'intelligence décisionnelle. La première option décrit plutôt une base de données OLTP (transactions temps réel), la troisième caractérise un data lake (données brutes), et la quatrième une base de données NoSQL documentaire, qui sont des architectures de données différentes.

ACID désigne quatre propriétés garantissant la fiabilité des transactions : Atomicité (tout ou rien — la transaction réussit entièrement ou est annulée), Cohérence (la base reste dans un état valide avant et après), Isolation (les transactions concurrentes ne s'interfèrent pas), Durabilité (les données validées sont persistantes même après une panne). Ces propriétés sont critiques pour les systèmes financiers et transactionnels (OLTP). Les bases NoSQL privilégient souvent la disponibilité au détriment de la cohérence (BASE vs ACID).

Réponse : Vrai
Pour que le programme de relance (dunning) calcule les niveaux de relance, la procédure de relance doit être assignée au Business Partner dans la vue comptabilité client. Sans cette affectation, le BP est exclu du run de relance.

Réponse : OBYC
Explication : OBYC paramètre les comptes G/L utilisés par les processus MM (mouvements de stock, réception de facture, écarts).

Réponse : Scission de documents ; centres de profit ; secteurs d'activité. Explication : Le reporting de secteur IFRS nécessite : la scission de documents (pour allouer les postes du bilan aux secteurs), les centres de profit (comme base d'attribution de secteur) et les données maître de secteur. Ensemble, ces éléments produisent les états financiers au niveau du secteur conformes à IFRS 8.

Ordre correct AUC avec ordre interne :

1. Comptabiliser les coûts sur l'ordre interne (qui alimente l'AUC)
2. Créer l'immobilisation définitive (actif final)
3. Régler l'ordre vers l'actif final (settlement)
4. Mettre en service l'actif (activation)
5. Lancer l'amortissement périodique (AFAB)

Réponse : Réception de marchandises évaluée sur une commande d'achat avec affectation d'immobilisations ; règlement d'une commande d'investissement à une immobilisation en cours de construction. Explication : Le compte de clearing technique est utilisé lorsque les coûts des immobilisations sont comptabilisés en deux étapes : (1) lors de la réception de marchandises évaluée sur une commande d'achat avant la réception de la facture, et (2) lors du règlement des commandes d'investissement aux immobilisations en cours de construction, comblant la comptabilisation intermédiaire.

Réponse correcte : Les Versions de Situation Financière permettent de structurer les comptes du Grand Livre en nœuds hiérarchiques pour la présentation des bilans et comptes de résultats. Elles définissent comment les comptes G/L sont organisés et consolidés dans les états financiers. Pourquoi les autres réponses sont incorrectes : La première option décrit la gestion des versions de documents (Gestion des Documents), non les Versions de Situation Financière. La troisième confond avec les versions du plan comptable lui-même, tandis que la quatrième concerne le contrôle de la mise en page des rapports, qui concerne la configuration des rapports FI standard.

Réponse : Le segment apparaît dans la configuration d'affectation supplémentaire des comptes ; le segment apparaît dans la disposition d'écran pour la fiche immobilisation. Explication : L'activation de la présentation par segment dans FI-AA ajoute le champ segment à deux zones : la configuration de l'affectation des comptes (pour la dérivation automatique du segment dans les comptabilisations) et la disposition d'écran de la fiche immobilisation (pour l'affectation manuelle ou l'affichage).

Réponse : DMEE modélise la structure du fichier de paiement
Le DMEE (Data Medium Exchange Engine) est l'outil qui définit la structure et le format des fichiers de paiement (SEPA, XML, etc.). Le Payment Medium Workbench (PMW) gère l'exécution et le suivi des fichiers de paiement générés.

Réponse correcte : Une Commande Interne Statistique collecte les coûts à titre informatif uniquement, sans affecter l'allocation réelle des coûts. Les charges sont enregistrées simultanément sur un objet CO réel (centre de coûts, commande réelle, etc.), permettant un suivi parallèle à des fins d'analyse sans impact sur la comptabilité réelle. Pourquoi les autres réponses sont incorrectes : La première option ignore que les coûts réels sont transférés à un objet CO réel. La troisième option confond avec une commande fermée qui n'accepte plus de mouvements. La quatrième option limite l'utilisation à l'acquisition d'immobilisations, alors que la commande statistique a une portée beaucoup plus large pour l'analyse des coûts.

La Universal Journal (ACDOCA) est l'innovation clé de S/4HANA qui unifie les données comptables en un seul tableau de ligne article, éliminant ainsi le besoin de réconciliation entre les modules FI (Financial Accounting) et CO (Controlling) qui existait dans les anciennes versions SAP. Un plan comptable reste indispensable, les codes d'entité continuent à exister pour gérer les entités légales, et les états financiers requièrent toujours une configuration même s'ils sont générés automatiquement à partir du Universal Journal.

La Ve République a été fondée le 4 octobre 1958, date à laquelle la nouvelle Constitution — rédigée sous l'impulsion du général de Gaulle — est entrée en vigueur. Cette Constitution renforçait le pouvoir exécutif et l'autorité présidentielle, répondant à l'instabilité de la IVe République. 1944 = libération de Paris, 1945 = fin de la Seconde Guerre mondiale, 1962 = indépendance de l'Algérie et élection du Président au suffrage universel direct.

Charles VII fut sacré roi de France à la cathédrale de Reims le 17 juillet 1429, grâce à l'action déterminante de Jeanne d'Arc. Jeanne avait convaincu le dauphin de sa mission divine, conduit l'armée à la victoire lors du siège d'Orléans (libéré le 8 mai 1429), puis escorté Charles jusqu'à Reims. Ce sacre était essentiel pour légitimer sa royauté face aux Anglais et aux Bourguignons. Jeanne fut capturée en 1430 et brûlée vive à Rouen en 1431.

La loi du 9 décembre 1905 consacre le principe de laïcité : séparation de l'État et des religions, liberté de conscience, neutralité de l'espace public institutionnel. L'État ne reconnaît ni ne finance aucun culte. L'égalité hommes/femmes est un principe constitutionnel distinct. Le droit de vote à 18 ans date de 1974 (abaissement de la majorité). La gratuité scolaire résulte des lois Jules Ferry de 1881-1882, antérieures à 1905.

La Loire est le plus long fleuve de France avec environ 1 006 km. Elle prend sa source au mont Gerbier-de-Jonc (Ardèche) et se jette dans l'Atlantique à Saint-Nazaire. Elle traverse les régions Auvergne-Rhône-Alpes, Centre-Val de Loire, Pays de la Loire. La Seine (775 km) traverse Paris. Le Rhône (812 km en France) est le plus important en débit. La Garonne (575 km) passe par Toulouse et Bordeaux.

Strasbourg est la capitale de la région Grand Est, créée en 2016 par la fusion des anciennes régions Alsace, Champagne-Ardenne et Lorraine. Strasbourg est aussi le siège du Parlement européen et du Conseil de l'Europe. Metz est une grande ville de Moselle (ex-Lorraine). Nancy est le chef-lieu du département de Meurthe-et-Moselle. Reims est dans la Marne (ex-Champagne-Ardenne).

Continuité de la nationalité française : Le conjoint français doit avoir conservé sans interruption sa nationalité française pendant toute la durée de la vie commune. Cette exigence garantit une stabilité juridique et un engagement durable dans la communauté française. Si le conjoint avait perdu ou renoncé à sa nationalité à un moment quelconque, les conditions d'accélération de naturalisation ne s'appliqueraient plus, car elles supposent un lien de nationalité ininterrompu.

Le Président de la République est le chef de l'État en France. Il est élu au suffrage universel direct pour un mandat de 5 ans (quinquennat). Il incarne l'unité nationale, garantit les institutions, nomme le Premier ministre, préside le Conseil des ministres et est chef des armées. Le Premier ministre est le chef du gouvernement (rôle distinct). Le Président du Sénat assure l'intérim si la présidence devient vacante.

La Constitution du 4 octobre 1958 est la loi fondamentale de la Ve République. Elle définit les institutions, les pouvoirs du Président, du gouvernement et du Parlement. Son préambule renvoie à la Déclaration de 1789 et au préambule de 1946 (qui consacre les droits sociaux). La Constitution de 1946 était celle de la IVe République. La Déclaration de 1789 et le préambule de 1946 ont valeur constitutionnelle mais ne constituent pas à eux seuls la loi fondamentale actuelle.

La séparation des trois pouvoirs : fondement de la démocratie française établi par la Constitution. Le pouvoir législatif (Parlement) crée les lois, le pouvoir exécutif (Président, Gouvernement) les applique, et le pouvoir judiciaire (tribunaux) les interprète. Cette séparation empêche la concentration du pouvoir et protège les libertés individuelles. Deux, quatre ou cinq pouvoirs ne correspondent pas à la structure constitutionnelle française.

Constitue un critère d'inadmissibilité le fait d'être condamné à une peine d'emprisonnement sans sursis pour un crime ou certains délits graves (terrorisme, atteintes aux intérêts fondamentaux de la nation, trafic de stupéfiants…). La condamnation doit figurer au casier judiciaire B2. Un simple avertissement policier n'est pas une condamnation. Une infraction routière mineure (amende) ne figure pas au B2. Contester une décision administrative est un droit citoyen, sans impact sur la naturalisation.

Concept clé : Surveillance humaine dans l'éthique de l'AI. Les systèmes human-in-the-loop maintiennent la responsabilité et permettent l'intervention lorsque les décisions de l'AI pourraient causer du tort. Les tests doivent vérifier que les mécanismes de surveillance fonctionnent correctement et que les humains peuvent examiner et contester de manière significative les décisions avant qu'elles n'affectent les parties prenantes.

Réponse : Maximiser le nombre de changements informatiques réussis en vérifiant que les risques sont correctement évalués.
Explication : Maximiser les changements informatiques réussis en évaluant correctement les risques est un objectif central de la gestion des services, que le centre de services contribue à atteindre en coordonnant les demandes.

Réponse : La gestion des mises en production.
Explication : La gestion des mises en production a pour but de mettre à disposition des services et fonctionnalités nouveaux ou modifiés, en coordonnant le packaging et le déploiement des releases.

Réponse : Le système de valeur des services.
Explication : Le système de valeur des services (SVS) est le concept ITIL 4 qui décrit comment tous les composants et activités, y compris la gouvernance, fonctionnent ensemble pour créer de la valeur.

Réponse : Elle permet de diriger l\'incident vers la zone de support appropriée.
Explication : La catégorisation des incidents permet de les acheminer rapidement vers la bonne équipe de support, ce qui accélère leur résolution et améliore l\'efficacité du processus.

Réponse : Le centre de services.
Explication : Le centre de services est le point d\'entrée unique pour les utilisateurs. Il inclut la classification et la propriété de toutes les questions et demandes, qu\'il redirige vers les équipes appropriées.

Réponse : Tout changement d\'état significatif pour la gestion d\'un service ou de tout autre élément de configuration.
Explication : Un événement est tout changement d\'état significatif pour la gestion d\'un service ou d\'un élément de configuration. Les événements peuvent déclencher des incidents, des problèmes ou des demandes.

Réponse : protéger.
Explication : La pratique de gestion de la sécurité de l\'information a pour but de protéger les informations de l\'organisation contre les menaces, en assurant confidentialité, intégrité et disponibilité.

Réponse : Un changement préautorisé qui est bien compris et intégralement documenté.
Explication : Un changement standard est préautorisé, bien compris et intégralement documenté. Son faible risque lui permet d\'être implémenté sans passer par le processus d\'approbation habituel.

Réponse : Les principes directeurs peuvent guider une organisation en toutes circonstances.
Explication : Les principes directeurs ITIL 4 sont universels et s\'appliquent en toutes circonstances, à toute organisation et tout type de projet ou initiative, quelle que soit la situation.

Réponse : En choisissant quelques méthodes clés pour les types d\'améliorations gérées par l\'organisation.
Explication : Plutôt que d\'adopter toutes les méthodes existantes, une organisation doit sélectionner quelques approches adaptées aux types d\'améliorations qu\'elle gère, pour rester cohérente et efficace.

• Hybrid cloud combine :

  • Une infrastructure locale (on-premises) pour les données sensibles

  • Des ressources cloud pour les environnements de test et développement accessibles globalement

• Les autres modèles ne répondent pas au besoin spécifique :

  • A : Public cloud seul placerait toutes les données dans le cloud, ce qui n’est pas conforme.

  • C : Private cloud est entièrement dédié mais limité aux ressources internes.

  • D : Community cloud est partagé entre organisations ayant des besoins similaires, pas adapté pour ce scénario mixte.

• Windows 365 Cloud PC fournit des PC persistants dans le cloud :

  • Chaque utilisateur obtient son propre environnement desktop

  • Les applications et paramètres sont conservés entre les sessions

  • Toujours disponible et indépendant des autres utilisateurs

• Les autres options ne répondent pas exactement au besoin :

  • A : Pooled session hosts partagent les sessions, donc l’environnement n’est pas persistant.

  • C : Single-session desktop dans AVD peut être persistant, mais nécessite plus de gestion et de configuration.

  • D : Azure App Service Web App héberge des applications web, pas un desktop complet persistant.

• Microsoft Defender for Endpoint permet :

  • Détection automatique des menaces sur les endpoints

  • Investigation automatisée des incidents

  • Actions de remédiation automatiques pour contenir et corriger les menaces

• Les autres options ne gèrent pas directement l’investigation et la remédiation automatique :

  • A : PIM gère les rôles à privilèges temporaires.

  • B : Secure Score propose des recommandations de sécurité, pas de remédiation automatique.

  • D : Mailbox hold conserve les emails pour conformité, pas pour gérer des incidents de sécurité.

• Cette méthode permet d’installer l’application sur les appareils Windows 10.

• Le Configuration Profile configure certains paramètres de l’appareil, mais ne garantit pas la configuration des paramètres internes spécifiques à l’application.

• Convient pour des applications MSI simples, mais pas pour des applications personnalisées nécessitant des paramètres préconfigurés.

✅ En résumé : C installe l’app, mais A est nécessaire pour installer + configurer les paramètres internes de l’application.

• Les abonnements Microsoft 365 peuvent être renouvelés automatiquement avec des méthodes de paiement directes comme :

  • Carte de crédit

  • Prélèvement bancaire

  • PayPal

• La facturation par invoice (facture) nécessite un paiement manuel pour chaque période, donc le renouvellement automatique n’est pas possible.

• Azure SQL Managed Instance :

  • Fournit une compatibilité quasi totale avec SQL Server (fonctionnalités, T-SQL, logins, agent SQL).

  • Permet de déplacer des bases SQL Server existantes vers le cloud avec très peu de modifications d’applications.

• Les autres options :

  • Azure SQL Database / Hyperscale → PaaS “single database” ou “scale-out”, certaines fonctionnalités SQL Server ne sont pas supportées, ce qui peut nécessiter des changements.

  • Azure Database for PostgreSQL → Base de données différente, non compatible SQL Server.

• onditional Access + Intune compliance policies permet de :

  • Vérifier que les appareils respectent les règles de sécurité avant de leur donner accès aux services Microsoft 365 (Exchange, SharePoint, Teams, etc.)

• Cette fonctionnalité nécessite Microsoft 365 (E3/E5) avec Azure AD Premium P1, et n’est pas disponible dans un Office 365 standalone.

• Les autres options ne gèrent pas le contrôle d’accès basé sur la conformité des appareils :

  • A : DLP protège les données mais ne contrôle pas l’accès selon la conformité des appareils.

  • C : Gestion de base des apps mobiles ne couvre pas l’accès aux services cloud.

  • D : Multi-Geo gère la localisation des données, pas la conformité des appareils.

• Dans Microsoft Teams, une app setup policy (politique de configuration d’applications) permet :

  • De définir quelles applications apparaissent par défaut dans la barre d’applications Teams de chaque utilisateur.

  • D’ajouter, supprimer ou réorganiser les applications pour tous les utilisateurs ciblés.

• En configurant cette politique pour tous les utilisateurs, Forms sera automatiquement visible dans la barre d’applications, sans action supplémentaire de leur part.
  
  

  🎯 À retenir pour l’examen MS-900 :

  • App setup policy = déploiement automatique d’applications dans Teams

  • Catalogue ou Azure AD = visibilité et gestion, mais pas déploiement automatique dans la barre d’applications.

• Une attaque Golden Ticket consiste à forger des Ticket Granting Tickets (TGT) pour obtenir un accès illimité aux services Active Directory.

• Defender for Identity déclenche une alerte spécifique Golden Ticket attack detection lorsqu’il détecte ce type de manipulation du compte KRBTGT.

• Les autres alertes :

  • Pass-the-Ticket detection : utilisation frauduleuse d’un ticket existant, pas sa création.

  • DCSync attack detection : vol des informations d’Active Directory via des requêtes LDAP sur le contrôleur de domaine.

  • Lateral movement path mapping : cartographie des déplacements latéraux dans le réseau, pas la création de tickets.

• Customer Key permet à une organisation de :

  • Utiliser et gérer ses propres clés de chiffrement

  • Contrôler le cycle de vie des clés (création, rotation, révocation)

  • Répondre aux exigences réglementaires strictes (comme le RGPD)

Cela donne un contrôle renforcé sur le chiffrement des données Microsoft 365.

❌ Pourquoi les autres réponses sont incorrectes :

• A. Azure PIM → Gère les rôles administratifs temporaires, pas les clés de chiffrement.

• B. Customer Lockbox → Permet de contrôler l’accès des ingénieurs Microsoft aux données, mais ne gère pas les clés de chiffrement.

• C. Azure Information Protection → Sert à classifier et protéger les documents, mais ne donne pas le contrôle des clés de chiffrement au niveau service.

🎯 À retenir pour l’examen MS-900 :

• Customer Key = contrôle des clés de chiffrement par le client

• Customer Lockbox = contrôle de l’accès support Microsoft

• PIM = gestion des privilèges

• AIP = classification et protection des données

Pour assurer la conformité de toutes les ressources Azure avec le CIS Benchmark :

• Azure Policy permet de définir et appliquer des règles sur les ressources Azure.

• Une initiative (initiative definition) regroupe plusieurs policies liées à un objectif, ici : le CIS Benchmark.

• Déployer cette initiative au niveau du Management Group :

  • Assure que toutes les souscriptions enfants héritent des règles

  • Centralise la gouvernance

• Cette approche est scalable et alignée avec les Azure Landing Zones et le Cloud Adoption Framework (CAF).

• Microsoft Entra Internet Access (EIA) : solution SSE qui fournit :

  • Filtrage d’accès Internet

  • Protection contre les applications non approuvées

  • Application des politiques d’usage acceptable

• Intégration avec Microsoft Defender for Cloud Apps :

  • Permet de détecter et contrôler l’usage des applications SaaS

  • Active les politiques Conditional Access pour :

    • Bloquer les connexions à des applications non sanctionnées

    • Appliquer des restrictions ou des alertes pour les applications approuvées

  • Assure visibilité, contrôle et gouvernance centralisée

• C’est la meilleure pratique Microsoft SSE pour sécuriser l’accès SaaS et Internet.

• Microsoft Secure Score :

  • Mesure la posture de sécurité de l’organisation en comparant les configurations actuelles avec les recommandations de Microsoft

  • Indique des opportunités d’amélioration, mais ne garantit pas l’absence d’incident ou de violation

  • Permet de suivre la progression dans le temps et prioriser les actions de sécurité

• Il s’agit d’un indicateur de tendance, pas d’une mesure absolue ou d’un score de risque parfait.

• Objectif d’un tabletop exercise :

  • Identifier lacunes dans les procédures, rôles et responsabilités

  • Former les parties prenantes à la coordination et aux étapes critiques

• Observation : les chemins d’escalade ne sont pas clairs

  • Correctif immédiat = mettre à jour la documentation BCDR

  • Validation = planifier un nouvel exercice pour s’assurer que tous comprennent les procédures

• Cette approche :

  • Est non intrusive, sécurisée et pédagogique

  • Permet de corriger les processus sans risquer les systèmes en production

Les Configuration Profiles dans Intune permettent :

• De configurer précisément FileVault

• De définir les exigences de mot de passe

• De configurer le pare-feu macOS

• D’appliquer des paramètres avancés de sécurité

• De cibler des groupes spécifiques (ex : développeurs)

Les profils de configuration sont le mécanisme direct permettant d’imposer ces paramètres.

Le pilier Performance Efficiency du Azure Well-Architected Framework concerne :

• La capacité d’un système à s’adapter aux variations de charge

• L’autoscaling

• L’optimisation des ressources

• Le dimensionnement dynamique

• L’utilisation de services PaaS et serverless pour ajuster automatiquement la capacité

Dans ce scénario :

• Il faut gérer des pics saisonniers

• Éviter le surprovisionnement

• Adapter automatiquement les ressources

👉 Cela correspond parfaitement au pilier Performance Efficiency.

• Prompt injection : manipulation du modèle via des entrées malveillantes → peut révéler des données sensibles ou modifier le comportement attendu.

• Data exfiltration : sortie involontaire de données sensibles dans les réponses du modèle.

• Microsoft recommande pour Azure OpenAI :

  • Placer API Management (APIM) devant le service OpenAI

  • Valider toutes les entrées (ex : rejeter caractères, commandes ou prompts suspects)

  • Filtrer et contrôler la sortie pour éviter l’exfiltration de données sensibles

• Cela fournit une barrière de sécurité en amont et en aval du modèle et suit la baseline Zero Trust et Microsoft Security.

Dans Microsoft Purview Insider Risk Management, la fonctionnalité de gestion des cas avec contrôles de confidentialité intégrés permet :

• De restreindre l’accès aux cas uniquement aux enquêteurs assignés

• D’anonymiser certains utilisateurs pendant l’analyse (selon la configuration)

• De garantir la confidentialité des investigations

• De limiter la visibilité des informations sensibles

Cette fonctionnalité est spécifiquement conçue pour répondre aux exigences de confidentialité et de conformité liées aux enquêtes internes.

👉 Elle va au-delà du simple RBAC général en offrant des mécanismes dédiés aux enquêtes Insider Risk.

• Microsoft Defender for Cosmos DB fournit :

  • Détection en temps réel des activités suspectes sur les bases Cosmos DB

  • Alertes pour :

    • Accès depuis des localisations géographiques inhabituelles

    • Tentatives de connexion ou d’exfiltration de données

    • Activités anormales des comptes ou clés d’accès

• Avantages clés :

  • Intégration avec Microsoft Sentinel pour investigations et réponses automatisées

  • Complète les mesures de chiffrement et d’accès, mais ajoute la détection comportementale

Microsoft Defender for Cloud – multi-cloud capabilities :

• Permet de centraliser la gestion de la posture de sécurité sur plusieurs clouds

• Offre assessments, recommandations et alertes de sécurité pour Azure, AWS et GCP

• Les connecteurs multi-cloud :

  • Onboard facilement les comptes AWS/GCP

  • Surveillent les configurations, vulnérabilités et risques

  • Fournissent des recommandations cohérentes à travers les environnements

La combinaison Service NodePort + Ingress est la méthode recommandée pour exposer une application GKE en HTTPS via un Cloud Load Balancer. L'Ingress gère le certificat SSL/TLS et l'IP publique. ClusterIP n'est accessible qu'en interne au cluster.

Le rôle roles/logging.privateLogViewer inclut l'accès aux journaux d'audit d'administration ET aux journaux d'accès aux données. Diriger l'auditeur vers les journaux de modifications IAM compète la vue complète. Pas besoin d'export — l'accès direct suffit.

gcloud iam roles copy avec le projet de destination est la méthode la plus rapide pour copier exactement les rôles IAM d'un projet à un autre en une seule commande, sans recréer manuellement chaque rôle.

MongoDB Atlas via Google Cloud Marketplace offre un environnement MongoDB entièrement géré avec SLA de support officiel. C'est la différence clé avec une installation manuelle : la gestion des mises à jour, des sauvegardes et du support est assurée par MongoDB.

Un Service LoadBalancer avec externalTrafficPolicy=Cluster expose l'application GKE via une IP externe, accessible depuis l'autre VPC. C'est la solution la plus simple : pas besoin de VPC peering, pas d'instance proxy intermédiaire.

10.0.0.0/8 est la plus grande plage d'adresses IP privées utilisables dans GCP (16 millions d'adresses). 0.0.0.0/0 n'est pas une plage valide pour un sous-réseau VPC. Les plages 172.16.0.0/12 et 192.168.0.0/16 sont plus petites.

GCP permet d'étendre la plage IP d'un sous-réseau existant sans le supprimer ni recréer les VMs. C'est la méthode la moins intrusive. Supprimer et recréer le sous-réseau entraînerait une interruption de service.

Cloud Deployment Manager est l'outil GCP d'Infrastructure as Code qui permet de définir des templates réutilisables pour déployer plusieurs ressources. Il supporte les templates Jinja/Python avec paramètres, minimisant la répétition de code.

Créer une instance sans adresse IP publique garantit qu'elle n'est pas accessible directement depuis Internet. Elle reste accessible via le VPN depuis le réseau on-premises. Private Google Access permet l'accès aux APIs Google, pas la suppression de l'IP publique.

Cloud Memorystore for Redis est un service de cache en mémoire géré qui répond exactement au besoin : cache 30 Go + 2 Go overhead = 32 Go. Il est nettement moins cher qu'une VM n1-highmem-32 (32 Go RAM) car il ne facture que la capacité mémoire, sans vCPU inutilisés — le proxy consommant quasi-zéro CPU.

This statement is True. Technical debt obscures the actual system state and can mask problems in the reviewed Increment, leading to false confidence in progress. Unaddressed technical debt creates a gap between perceived and actual product quality, violating the transparency pillar of Scrum.

This statement is False. Scrum does not define a Project Manager role. The Scrum Master facilitates Scrum processes but is not a project manager. This distinction reflects Scrum's self-managing team model rather than traditional command-and-control management.

Correct: Options 2, 3, and 5 - Definition of Done guides forecasting, provides real-time guidance during development, and creates transparency at the Sprint Review regarding what 'done' truly means. Option 1 treats it as a progress tracker (incorrect usage); Option 4 contradicts the goal of completing work each Sprint; Option 6 confuses Definition of Done with Sprint length.

This statement is True. Technical debt compounds over time—accumulated shortcuts and poor design choices make future changes increasingly difficult and costly. This slows velocity and violates sustainable pace, one of the core Scrum principles.

The correct answer (option 3) states that a Scrum Team must have both a Product Owner and Scrum Master, and their participation directly impacts team outcomes. While not always full-time, both roles are mandatory per the Scrum Guide. Option 1 is false—Scrum Masters are essential, not optional. Option 2 is too restrictive about full-time status. Option 4 is false—Business Analysts cannot replace the Product Owner's accountability.

Scrum is based on empiricism—the philosophy that knowledge comes from actual experience and observation. Scrum embraces complexity through its three pillars: transparency, inspection, and adaptation. This contrasts with defined processes that assume predictability in complex environments.

The Scrum Master coordinates by removing impediments and facilitating inspection and adaptation, not through direct task assignment or conflict escalation to management. This servant-leadership approach enables teams to self-organize and solve problems. The Scrum Master coaches teams on dependencies and collaboration rather than commanding coordination, respecting Scrum's self-organizing values.

Creating Product Backlog items for security concerns and/or adding security to the Definition of Done ensures security is transparent and continuously addressed throughout development, reflecting Scrum's empirical process. This approach integrates security into regular work rather than isolating it. Separate security sprints, external delegation, or waiting for specialists violate the principle of transparency and shared accountability within the Scrum Team.

A trendline on a release burndown chart projects when work will be completed based on the current rate of progress, assuming the Product Backlog and team capacity remain constant. Option 2 is correct because it reflects this conditional projection. Option 1 is incorrect—burndowns don't trigger new product backlogs. Option 3 oversimplifies by ignoring the conditional nature. Option 4 is unrelated to burndown mechanics.

Correct: Options 1 and 2 - Scrum enables empirical budgeting by delivering working increments each Sprint, allowing stakeholders to measure value against investment and adjust funding based on actual outcomes. Option 2 shows how releases span multiple Sprints with continuous value delivery. Options 3 and 4 are incorrect because operational costs exist and budgets are often necessary—Scrum just changes how they're managed.

Réponse : La qualité de l\'estimation du développement peut être médiocre. / Utiliser le même pourcentage chaque fois ne tient pas compte du niveau de risque de l\'application à tester. / La maturité de l\'organisation, par exemple la qualité de la base de test, la qualité des tests de développement, la gestion de configuration, la disponibilité des outils de test, influencent également l\'effort requis pour le test..
Explication : Les réponses A, D et E désignent des sources distinctes de variance qu\'un simple pourcentage du développement ne peut pas capturer. A: les estimations de développement peuvent être inexactes, propageant l\'erreur d\'estimation. D: un pourcentage fixe ignore le risque spécifique, la criticité métier et les profils d\'impact des défauts. E: la maturité organisationnelle (qualité de la base de test, tests unitaires du développement, gestion de configuration, outils disponibles) influence directement l\'effort de test.

Réponse : Organiser une réunion avec la direction générale pour qu\'elle aborde l\'importance d\'une bonne qualité de test pour ce projet.
Explication : D est correct car l\'appui visible de la direction générale élève la priorité organisationnelle des tests, fournit une reconnaissance et supprime les obstacles systémiques. Cela augmente la signification de la tâche et aligne l\'effort individuel avec les objectifs organisationnels, motivant durablement l\'équipe.

Réponse : Un aperçu détaillé de l\'approche de test basée sur les risques utilisée pour assurer la réalisation des critères de sortie..
Explication : D est correct car les cadres supérieurs non-spécialistes ont besoin d\'informations concises et orientées résultats, non d\'une exposition détaillée opérationnelle de l\'approche basée sur les risques. Un rapport doit prioriser l\'état versus objectifs, risques clés et atténuations, tendances et actions managériales recommandées pour décisions efficaces.

Réponse : Pourcentage de couverture des exigences.
Explication : B est correct car le pourcentage de couverture des exigences quantifie directement l\'adéquation des tests par rapport à l\'objectif déclaré de valider que le système satisfait ses exigences. L\'efficacité du test dans un contexte piloté par les exigences repose sur la mesure objective de la complétude de la couverture des exigences et de la détection des non-conformités.

Réponse : Le plan de test du soumissionnaire décrit une mise en œuvre par phases avec des dates de livraison ultérieures à confirmer et indique que les livrables de test seront développés en utilisant la norme IEEE 829 comme guide..
Explication : D est correct car il démontre une réponse appropriée, centrée sur la gestion de test : un plan de livraison par phases réaliste associé à l\'engagement de développer les livrables de test selon un cadre documentaire reconnu (IEEE 829), sans imposer de dates inflexibles ni de processus propriétaires.

Réponse : Exécution des tests.
Explication : L\'exécution des tests représente la portion la plus importante et la moins prévisible de la variabilité (taux de découverte de défauts, disponibilité de l\'environnement, productivité humaine, boucles de rework). C\'est donc la partie la plus difficile à estimer.

Réponse : 63.
Explication : Le Numéro de Priorité de Risque (NPR) est calculé en multipliant la probabilité d\'occurrence, la gravité de l\'impact et la détectabilité. Pour l\'élément de risque 2, ce calcul donne 63.

Réponse : Le pourcentage de couverture de décision atteint durant les tests unitaires. / La disponibilité de la dernière version de l\'outil d\'enregistrement-rejoue (pour tester l\'interface avec le nouvel outil de gestion des tests)..
Explication : Les critères d\'entrée sont des conditions préalables concrètes et vérifiables avant l\'exécution. La couverture de décision des tests unitaires (A) et la disponibilité des outils requis (B) sont des critères d\'entrée classiques, mesurables et directs pour l\'intégration.

Réponse : Créer une estimation basée sur la technique d\'analyse de points de fonction et l\'analyse de points de test.
Explication : La réponse A est correcte car l\'analyse de points de fonction combinée à l\'analyse de points de test produit une estimation précoce basée sur la taille, spécifique aux tests, indépendante de la disponibilité du code source. L\'APF fournit une métrique de taille fonctionnelle, l\'APT traduit cette taille en effort de test en appliquant les facteurs de testabilité et de qualité.

Réponse : Chaque niveau de test a des objectifs de test spécifiques à ce niveau..
Explication : C est correct car la définition d\'objectifs de test pour chaque niveau de test garantit que les tests sont intentionnels, mesurables et traçables aux risques correspondants. Le bon test dans tout modèle de cycle de vie exige que les activités de test soient planifiées et exécutées avec des objectifs spécifiques au niveau.

B. The order details are added to the conversation and the model reasons about which action to take. Correct. In an agentic loop, tool results (like "purchased 45 days ago") are fed back into the model's context, and the model re-evaluates the situation dynamically. It then decides whether to proceed with process_refund, escalate to a human, or take another action based on policy and the updated information. Why the others are not correct: A. Fixed tool sequence planned at the start Incorrect Agentic systems are not static workflows; they adapt after each observation. C. Pre-configured decision tree Incorrect This is rule-based automation, not LLM-driven reasoning. D. Orchestration layer automatically routes next tool call Incorrect That removes the model's reasoning role and turns it into deterministic routing.

A. Return an empty flight list as if the search succeeded but found no matching flights. Incorrect. This hides the failure and misleads the system into thinking no flights exist, which can lead to incorrect conclusions. B. Log the error internally and return an empty response, letting the model continue without the flight data. Incorrect. This still suppresses the failure signal, preventing the agent from taking corrective action. C. Return an error message in the tool result explaining the service is temporarily unavailable. Incorrect. While transparent, this alone doesn't attempt recovery and may degrade user experience unnecessarily. D. Automatically retry the request up to five times with exponential backoff before returning results to the agent. Correct. This is the most effective approach--handles transient failures gracefully, improves reliability, and only surfaces errors if retries fail.

A. URLs that users can click to open the document in their browser. Incorrect. URLs are useful for users, but not ideal for agents performing multi-step workflows that require reliable referencing and further operations. B. Structured data containing document IDs and metadata for each result. Correct. This enables the agent to programmatically reference specific documents (via IDs) across multiple steps, making workflows like follow-up queries or document retrieval precise and reliable. C. A JSON array of document titles extracted from the search results. Incorrect. Titles alone are ambiguous and not stable identifiers, making it difficult for agents to reliably act on specific documents. D. More detailed human-readable descriptions including the size and authors. Incorrect. Helpful for users, but still unstructured and not suitable for precise multi-step agent operations.

A. The model extracts "et al." for co-authors when the full list exists only in an external document not in the input Correct. Retries won't help because the required information is not present in the input context. The model cannot recover missing data through repeated attempts. B. The model extracts citation counts as locale-formatted strings ("1234") when the schema requires integers Incorrect. This is a formatting issue that can be corrected through retries with validation feedback. C. The model extracts dates as ISO 8601 datetime strings ("2003-03-15T00:00:00Z") when the schema requires only the date portion (YYYY-MM-DD) Incorrect. Also a format mismatch, which retries can fix easily. D. The model extracts keywords as a nested object organized by category when the schema requires a flat array of strings Incorrect. This is a structural mismatch that can typically be corrected with retry feedback.

A. Regenerate summaries of existing conversations using the new prompt and replace the stored histories to align past context with current behavior. Incorrect. This rewrites history and can distort or erase what users actually said, creating continuity risks and potential inaccuracies. B. Add a transition message when sessions resume explaining that the assistant has been updated and behavior may differ. Incorrect. This improves transparency but does not solve the core problem of inconsistent behavior across sessions. C. Version system prompts and associate each conversation with the prompt version under which it started, applying updates only to new conversations. Correct. This is the most robust solution because it preserves behavioral consistency within a conversation over time, avoiding contradictions caused by mid-stream prompt changes. D. Add instructions to the new system prompt directing the assistant to maintain consistency with any prior statements in the conversation history. Incorrect. This helps slightly, but it cannot reliably override changes in underlying behavior introduced by prompt updates.

A. Submit all documents to the Batch API with custom ids for tracking. When results arrive, immediately process urgent documents and trigger delayed alerts for exceptions. Incorrect. Batch processing introduces delays that can exceed the 30-minute requirement, making it unsuitable for urgent reports. B. Submit all documents to the real-time Messages API to ensure consistent processing latency across document types. Incorrect. This meets latency needs but is unnecessarily expensive for standard reports that don't require real-time processing. C. Queue all documents and submit hourly batches, flagging urgent documents for expedited handling when batch results return. Incorrect. Hourly batching further increases delay and cannot meet urgent processing requirements. D. Route standard reports to the Batch API for 50% cost savings, and route urgent exception reports to the real-time Messages API. Correct. This balances cost efficiency and latency requirements, ensuring urgent reports are processed quickly while optimizing cost for non-urgent ones.

A. Add a confirmation step that requires users to type "CONFIRM DELETE" before delete_file executes. Incorrect. This prevents accidental execution but does not improve the agent's tool selection decision. B. Implement server-side validation that rejects delete_file calls for files tagged as backups, returning an error message suggesting archive_file. Incorrect. This enforces policy after the wrong choice is made but does not directly improve initial selection. C. Expand tool descriptions to clarify use cases, adding guidance like "Do not use for backup files" to delete_file. Correct. Clear, specific descriptions directly influence the agent's tool selection reasoning, making it less likely to choose the wrong tool. D. Add few-shot examples to the system prompt demonstrating that requests involving "backup" or "old" should use archive_file. Incorrect. Helpful, but less direct and less reliable than improving the tool descriptions themselves.

A. Implement semantic deduplication to identify and remove redundant information across the accumulated RAG results and conversation turns Incorrect. This reduces redundancy but doesn't solve the core issue of unbounded accumulation of RAG context. B. Implement a sliding window for RAG results from the last 2­3 queries while preserving conversation history Correct. This directly addresses context crowding by limiting RAG growth while keeping conversation continuity intact. C. Shift context budget to favor RAG results while reducing conversation history allocation Incorrect. This worsens coherence by sacrificing conversation context. D. Compress all RAG results into a consolidated summary document that updates incrementally after each retrieval Incorrect. This can introduce information loss and summary drift, especially across many turns.

A. Move all tool responses to a vector database with semantic indexing, retrieving relevant portions as the conversation continues Incorrect. This adds unnecessary infrastructure complexity for a short-lived conversational context problem. B. Extract only return-relevant fields (items, purchase date, return window, status) from each existing order response, removing verbose details Correct. This preserves the information needed for the current task while significantly reducing context bloat before additional lookups. C. Have the model generate a natural language summary of each order's key details, replacing structured responses with prose descriptions Incorrect. Natural language summaries are less compact and may omit structured details needed for accurate return handling. D. Proceed with additional lookups without modifying the existing tool output context Incorrect. This worsens context crowding and increases the risk of degraded performance.

A. The model's context window has been exceeded by the conversation length Incorrect. This would only happen in very long conversations, and the issue appears early within just a few turns. B. The Claude API requires a session_id parameter that you haven't configured Incorrect. There is no required session_id--context must be explicitly managed by the application. C. Claude requires a vector database connection to maintain conversation memory Incorrect. A vector database is optional for retrieval, not required for basic conversation memory. D. Your application isn't including prior messages in the messages array Correct. Claude does not retain memory between calls--if previous messages aren't included, it cannot recall earlier user preferences.