Ne découvrez pas l'examen
le jour J

Réponse : AWS CloudTrail.
Explication : AWS CloudTrail consigne tous les appels d’API et accès sur les ressources AWS du compte.

Réponse : B) Instances Spot. Les Instances Spot offrent jusqu'à 90 % de réduction par rapport à la tarification à la demande et sont idéales pour les charges de travail sans état et tolérantes aux pannes qui peuvent supporter les interruptions. Les simulations sans état et interruptibles constituent un cas d'usage parfait pour Spot, permettant à l'entreprise de réaliser des économies significatives tout en respectant les exigences de résilience.

Réponse : AWS TCO Calculator.
Explication : Le TCO Calculator permet d’estimer et comparer le coût total de possession sur AWS versus sur site, sans être client AWS.

Réponse : AWS CloudFormation. Explication : AWS CloudFormation est le service natif d'infrastructure en tant que code (IaC) d'AWS. Il vous permet de définir et d'approvisionner l'infrastructure AWS à l'aide de modèles YAML ou JSON, permettant des déploiements reproductibles et cohérents avec détection de dérives.

Réponse : Diffuser le contenu via Amazon CloudFront. Explication : Amazon CloudFront est un CDN mondial qui met en cache le contenu sur plus de 400 emplacements de périphérie dans le monde. La diffusion d'images et de vidéos à partir de ces emplacements proches des utilisateurs réduit la latence et les coûts de charge du serveur d'origine de manière rentable.

Réponse : B) Clés d'accès. Les clés d'accès AWS (composées d'un ID de clé d'accès et d'une clé d'accès secrète) fournissent un accès programmatique aux services AWS via AWS CLI et les kits SDK. Elles remplacent le nom d'utilisateur/mot de passe de la console pour les appels API authentifiés.

Réponse : Dans une autre région.
Explication : Pour une vraie sécurité et conformité, la sauvegarde doit être dans une autre région (pas juste dans une autre AZ).

Réponse : Tous les comptes bénéficient de la remise horaire sur les instances réservées.
Explication : Grâce à la facturation consolidée, tous les comptes d’une organisation bénéficient des remises sur les instances réservées achetées.

Réponse : Une région AWS est un emplacement géographique contenant plusieurs zones de disponibilité.
Explication : Chaque région AWS regroupe plusieurs AZ isolées physiquement.

Réponse : C) AWS IAM Access Analyzer. IAM Access Analyzer analyse les politiques de ressource pour identifier les ressources (compartiments S3, rôles IAM, clés KMS, etc.) qui sont partagées avec des entités externes. Cet outil aide à détecter un accès involontaire depuis l'extérieur de votre organisation AWS.

Principle du Least Privilege : chaque équipe reçoit un rôle IAM dédié avec permissions minimales nécessaires pour Bedrock et S3. Cela limite les dégâts en cas de compromission. Contrairement à un rôle admin partagé (risque massif) ou l'accès public S3 (violation sécurité), cette approche segmente les droits par équipe organisationnelle.

Amazon Bedrock avec agents : plateforme entièrement gérée pour orchestrer des modèles de fondation (FM). Les agents IA routent dynamiquement les requêtes, s'intègrent à Lex pour le NLU, et gèrent la scalabilité massive requise pour 10 000 requêtes simultanées.

Claude 3 + CodeWhisperer : Claude est un LLM hautement capable pour la génération de code structuré et documenté. CodeWhisperer complète avec des suggestions intelligentes en temps réel. Ensemble, ils couvrent la génération et l'amélioration du code source en production.

BLEU (Bilingual Evaluation Understudy) : métrique standard en traduction automatique qui mesure la similitude entre la traduction générée et des références humaines via la comparaison de n-grammes. BLEU évalue la qualité globale en cherchant des correspondances de mots et phrases. Contrairement à ROUGE (résumé), METEOR (flexibilité) ou WER (taux d'erreur mot-à-mot), BLEU reste la métrique automatisée de référence pour l'évaluation systématique de la traduction.

OpenSearch k‑NN : service spécialisé pour indexer et rechercher des vecteurs d'embeddings via k‑nearest neighbors, permettant la similarité sémantique à l'échelle. S3 Glacier stocke l'inactif, CloudFront distribue du contenu statique, Athena requête du SQL—aucun n'optimise la recherche vectorielle.

Interprétabilité des arbres de décision : Les arbres de décision suivent un chemin linéaire de conditions (if-then) lisibles à chaque nœud, permettant de tracer exactement pourquoi une prédiction est faite. À l'inverse, les réseaux profonds (deep learning) fonctionnent comme des "boîtes noires" avec des milliers de paramètres non interprétables, rendant impossible d'expliquer chaque décision précisément.

AWS Artifact + Amazon SNS : AWS Artifact fournit les rapports de conformité (SOC, ISO), tandis qu'Amazon SNS gère les notifications par email automatiques lors de leur publication. SNS est le service de notification d'événements, contrairement à SES (envoi transactionnel), CloudTrail (audit d'API) ou EventBridge (routage d'événements métier).

La température (temperature) contrôle la distribution de probabilité lors de la sélection du prochain token. Une température proche de 0 rend le modèle déterministe (toujours le token le plus probable). Une température élevée (1+) introduit plus d'aléatoire et de créativité. Top-P (nucleus sampling) filtre les tokens par probabilité cumulée. Max tokens limite la longueur. Stop sequences arrêtent la génération sur un signal. Pour du code ou des faits précis, utiliser temperature=0 ; pour de la créativité, temperature=0.7-1.0.

Narrativisation de données : Les modèles fondations excèlent à transformer données brutes en proses naturelles, insight business et explications. Bedrock avec prompt structuré (templates, exemples) crée rapports cohérents, scalables et professionnels à bas coût.

Amazon Personalize : service de recommandation full-managed utilisant le machine learning. Traite l'historique d'interaction client, crée des modèles prédictifs pour chaque utilisateur et retourne des listes personnalisées avec impact commercial mesurable en temps réel.

Answer: The Development Team.
Explanation: The Daily Scrum is held by and for the Development Team. The Product Owner and Scrum Master may attend but are not required; only the Development Team must participate.

Sprint Review Outcome: The primary outcome is a revised Product Backlog reflecting stakeholder feedback and completed work. This collaborative refinement ensures the backlog evolves based on inspection and adaptation, distinguishing it from process improvements (Sprint Retrospective), management reports (not Scrum artifacts), or acceptance criteria (defined beforehand, not outcomes).

Stakeholder Engagement in Scrum: Stakeholders inspect the Increment at Sprint Review and provide feedback to influence future work. This collaborative inspection ensures the product aligns with business needs. Unlike Product Owners who prioritize, stakeholders advise; they don't attend Daily Scrums or direct Developers.

Answer: Teach them it is their responsibility to work with other teams to create an integrated Increment.
Explanation: The Scrum Master coaches teams on self-management and integration. Multiple teams must coordinate to produce a single, integrated Increment; this is a team responsibility, not the SM's job to coordinate for them.

Scrum Master as Shield: The Scrum Master actively removes impediments and buffers Developers from external interruptions, ensuring they maintain focus and flow during the Sprint. This protective role is essential for sustainable pace and Sprint Goal achievement, distinguishing servant-leadership from passive facilitation.

Servant Leadership in Scrum: The Scrum Master serves the Scrum Team by removing impediments, facilitating processes, and enabling self-organization rather than commanding. Unlike project managers who direct work, or managers who evaluate performance, servant leaders support the team's autonomy and growth while ensuring Scrum practices are followed.

Sprint Backlog Ownership: The Sprint Backlog is exclusively owned and managed by Developers. While others (Product Owner, Scrum Master, stakeholders) may request changes, only Developers can directly modify it based on their evolving understanding of the work. This autonomy ensures the team maintains commitment and realistic planning throughout the Sprint.

Commitment in Scrum means each person commits to achieving the goals of the Scrum Team — not to a specific set of tasks, but to the Sprint Goal and the team's success. Commitment enables quality work and enables trust. Note: Scrum Teams commit to the Sprint Goal, not necessarily to completing every Sprint Backlog Item — they adapt their plan as they learn more.

Answer: Inform PO and start the Sprint; remove or change selected items.
Explanation: When the Development Team realizes the workload exceeds capacity, they should inform the Product Owner and either start with what they can do or negotiate a reduction in scope — but the Sprint Goal must be preserved.

A single Product Owner provides unambiguous accountability for product value. Multiple POs create conflicting priorities that confuse both the Scrum Team and stakeholders. Clear accountability ensures someone is always empowered to make product decisions quickly. Single point of contact for stakeholders reduces the coordination cost of managing product direction. Scrum Master backup is a logistics concern, not a strategic one.

Scrum Framework Flexibility: The Scrum Guide prescribes roles, events, and artifacts but does not mandate specific tools like burndown charts. Product Owners may use burndown charts, burnup charts, or other metrics to track progress, depending on team needs and context. What matters is transparency and informed decision-making, not the tool itself.

Key concept: Stakeholder collaboration as a core PO responsibility. The Product Owner must actively engage with stakeholders—including customers, users, business leaders, and team members—to gather, clarify, and prioritize their needs. This collaboration directly informs the Product Goal and Product Backlog, ensuring the team builds the right product that delivers genuine value. Without understanding stakeholder needs, the PO cannot make informed decisions about what to build, why it matters, or how to order work effectively. This is not optional; it's foundational to Scrum's empirical approach, enabling transparency and alignment across the organization.

Increment Definition and Quality Standards: An Increment represents a concrete, working product version that embodies all completed work from a Sprint. Every Increment—without exception—must satisfy two non-negotiable criteria: it must be usable (functionally operable and valuable to stakeholders) and must conform to the Definition of Done (the team's explicit quality standards and acceptance criteria). This requirement holds true regardless of the Product Owner's decision to release it immediately. The Definition of Done ensures consistency, prevents technical debt accumulation, and maintains product integrity across sprints. A completed Product Backlog Item that doesn't meet these standards cannot be considered part of an Increment, preserving transparency and enabling reliable velocity forecasting. This is a foundational Scrum principle that protects both product quality and team accountability.

The Product Owner should add urgent requests to the Product Backlog rather than immediately modifying the Sprint. This protects the Sprint Goal and the Development Team's commitment, which are fundamental Scrum principles. While the change can be prioritized for the next Sprint Planning, adding it mid-Sprint or canceling the Sprint would disrupt the team's focus and violate Scrum's iterative nature. The Scrum Master supports the process but doesn't make prioritization decisions—that's the Product Owner's responsibility.

Answer: Impact mapping, Kano, WSJF (weighted).
Explanation: Multiple prioritization techniques exist. Scrum does not prescribe any specific one — the PO chooses what best serves product value.

Key concept: The Sprint Goal as a flexible commitment mechanism. The Sprint Goal is a single objective that the Scrum Team commits to achieve during the Sprint, but it intentionally does NOT prescribe the exact Product Backlog items required to accomplish it. This flexibility is foundational to Scrum's empirical approach. During the Sprint, the team may discover that certain items are unnecessary, others need modification, or alternative items better serve the Goal. The Product Owner and Scrum Team can negotiate scope—removing, adding, or reordering items—provided these changes preserve the Sprint Goal's intent and value. This differs from traditional project management where scope is typically fixed at the start. The Sprint Goal remains the stable commitment; the scope (which items are completed) becomes the variable. This design enables teams to respond to learning and changing conditions while maintaining strategic alignment and direction. Without this scope flexibility tied to a fixed Goal, teams would be forced to either abandon their objective or complete unnecessary work.

Scrum addresses stakeholder concerns through transparency, not reports or dismissal. Sharing the Product Backlog gives the Project Manager full visibility into priorities, remaining work, and delivered value. Direct conversation about impediments and forecasts builds trust and aligns expectations. Sharing EVA reports introduces non-Scrum frameworks unnecessarily. Dismissing the PM violates Scrum\'s collaborative ethos — stakeholder concerns are legitimate inputs.

Answer: Remove items not addressed in a long time; only fully describe items when likely to be implemented.
Explanation: Maintaining a lean Product Backlog reduces waste. Items unlikely to be implemented consume refinement effort. Progressive elaboration — detailing items only when they approach implementation — avoids specifying work that may never be done.

In Scrum, value refers to the actual benefit or outcome delivered to users, customers, or the organization, not the cost, quantity, or velocity of work. The Product Owner is accountable for maximizing product value by focusing on outcomes (what problems are solved, what goals are achieved) rather than outputs (features built or story points completed). The other options confuse value with financial metrics, delivery volume, or team productivity measures, which are fundamentally different from the genuine impact and benefits the product delivers.

Un tableau de bord axé valeur met l’accent sur bénéfices, adoption et jalons de valeur, pas sur des métriques d’activité peu corrélées.

Audits de qualité et conformité continue : Les audits qualité constituent une activité fondamentale du processus "Maîtriser la qualité" (Perform Quality Assurance en anglais, selon le PMBOK 7e édition). Un audit qualité est une évaluation systématique et indépendante permettant de vérifier que l'équipe de projet respecte effectivement les normes, standards et procédures de qualité préalablement définis. Cette activité proactive assure une conformité continue tout au long du projet, identifie rapidement les écarts et permet des corrections préventives avant que des problèmes majeurs ne surgissent.

Pourquoi cette réponse est correcte : Les audits qualité offrent une vérification objective et régulière de l'adhésion aux standards établis. Contrairement aux tests ponctuels, les audits examinent les processus, les méthodes de travail et les pratiques de l'équipe de manière holistique. Ils permettent d'identifier non seulement les défauts de produit, mais aussi les défauts de processus susceptibles de générer des non-conformités répétées.

Distinction des autres options : "Établir un plan de communication" adresse une dimension administrative mais ne vérifie pas la conformité. "Allonger le calendrier" et

Le domaine de gestion « Travail du projet » dans le PMBOK 7e édition représente l'ensemble des activités opérationnelles permettant la réalisation concrète du projet. Ce domaine englobe trois piliers fondamentaux : la gestion des ressources (allocation et optimisation des équipes, compétences et capacités), la gestion des approvisionnements (acquisition des biens et services externes nécessaires) et la mise en œuvre des tâches prévues (exécution des travaux définis pour produire les livrables). Contrairement à la planification qui est théorique, ce domaine se concentre sur l'action directe et l'accomplissement du travail prévu. Il s'agit du cœur opérationnel du projet où les équipes exécutent les livrables planifiés en respectant les contraintes de temps, de coût et de qualité. Cette réponse est correcte car elle identifie précisément les activités d'exécution et de déploiement des ressources. Les autres options sont erronées : la deuxième concerne la stratégie d'entreprise (domaine de gouvernance), la troisième isole les risques et changements (domaines distincts), et la quatrième limite abusivement au seul aspect budgétaire (sous-ensemble du domaine). Le PMBOK

Intelligence émotionnelle : capacité à reconnaître et gérer les émotions (siennes et celles d'autrui). Avant d'agir, comprendre le ressenti et les causes réelles du désengagement permet des solutions adaptées et préserve la relation.

L’intégration de la qualité dans le flux (built-in quality), avec critères d’acceptation, revues régulières et vérifications précoces, réduit les défauts tardifs et facilite l’audit.

Alignement stratégique et création de valeur organisationnelle : Le PMBOK 7e édition place la création de valeur au cœur de la gestion de projet, dépassant la simple livraison de livrables. Augmenter la valeur organisationnelle signifie que chaque projet doit être directement connecté aux objectifs métier et aux bénéfices stratégiques attendus. Cette approche reconnaît que la gestion de projet n'est pas une fin en soi, mais un moyen d'accomplir la stratégie organisationnelle. En alignant les livrables et résultats sur les bénéfices attendus, on garantit que les ressources investies produisent un retour tangible : amélioration de la rentabilité, positionnement concurrentiel, satisfaction client ou transformation digitale. Cette perspective holistique contraste avec les trois autres options défaillantes : augmenter la documentation crée de la bureaucratie sans valeur ; réduire les interactions avec les parties prenantes détériore la compréhension des vrais besoins ; mesurer uniquement les délais et budgets ignore complètement l'impact réel du projet. Le PMBOK 7 souligne que l'excellence en gestion de projet réside dans la capacité à traduire la stratégie en résultats concrets et bénéfiques pour l'organisation, une philosophie alignée avec les approches

Estimation analogique : technique basée sur les données historiques de projets passés similaires pour évaluer les coûts du projet actuel. Elle est rapide mais moins précise. Contrairement à l'estimation paramétrique (formules mathématiques) ou bottom-up (détail par détail), elle s'appuie sur l'expérience globale.

Cette question correspond à l\'objectif d\'apprentissage FL-5.1.5 (K3) - Appliquer la priorisation des cas de test.

Pour déterminer l\'ordre d\'exécution, nous devons considérer à la fois les dépendances logiques et les priorités.

● TC 101 n\'a pas de dépendance et doit être exécuté en premier
● TC 102 dépend de TC 101 et doit être exécuté en deuxième
● TC 103 dépend de TC 102 et a la priorité la plus élevée (1), donc il doit être exécuté en troisième

● TC 104 et TC 105 dépendent tous deux de TC 103
● a) Faux → TC 105 ne peut être exécuté qu\'après TC 103.
● b) Faux → TC 104 ne peut être exécuté qu\'après TC 103.
● c) Faux → TC 101 doit être exécuté en premier.
● d) Correct→- TC 103 doit être exécuté en troisième position après TC 101 et TC 102.

Cette question correspond à l’objectif FL-5.3.3 (K2) – Donner des exemples de communication de l’état d’avancement des tests.
● a) Faux → Trop technique, inutile pour un suivi métier.
● b) Faux → La revue de code concerne la qualité du code, pas l’avancement des tests.
● c) Correct → Le burndown chart est un excellent moyen visuel de suivre la progression dans le temps.
● d) Faux → Les commits ne donnent pas de vue globale sur l’exécution des tests.

Cette question correspond à l’objectif d’apprentissage FL-1.4.4 (K2) – Expliquer la valeur du maintien de la traçabilité.
● a) Faux → La traçabilité ne vise pas à optimiser la performance du logiciel, mais à assurer une couverture de test complète.
● b) Correct → Le maintien de la traçabilité permet d’établir un lien entre les exigences, les tests et les défauts détectés, garantissant ainsi qu’aucune exigence n’a été oubliée.
● c) Faux → Même avec la traçabilité, la documentation des tests reste nécessaire pour assurer un suivi efficace et une justification des validations effectuées.
● d) Faux → Les rapports de test restent nécessaires, la traçabilité vient en complément pour s’assurer que les tests couvrent bien les exigences.

Cette question correspond à l’objectif FL-2.2.2 (K2) – Distinguer les différents types de tests.
La réponse correcte est a) 1A, 2C, 3B, 4D
● 1)A : Correct : Régression = vérifier que rien n’a été cassé par un changement.
● 2)C : Correct : Confirmation = retester une correction spécifique.
● 3)B : Correct : Acceptation = répondre aux besoins métier.
● 4)D : Correct : Intégration = test des interfaces entre composants.

Cette question correspond à l’objectif d’apprentissage FL-1.4.1 (K2) – Résumer les différentes activités et tâches de test.
La bonne réponse est : d) 1C, 2B, 3D, 4A

● 1C) : Correct : La planification sert à préparer le cadre du test
● 2B) : Correct : La conception permet de définir les données, cas et conditions de test
● 3D) : Correct : L’exécution vérifie le résultat réel par rapport à l’attendu
● 4A) : Correct : Clôturer = évaluer, nettoyer, archiver, analyser les résultats

Cette question correspond à l\'objectif d\'apprentissage FL-5.1.4 (K2) -

Utiliser des techniques d\'estimation pour calculer l\'effort de test requis.

● a) Correct → Pour calculer l\'estimation basée sur des ratios, il faut d\'abord calculer le ratio moyen entre le budget développement et le coût du testing pour tous les projets historiques:

○ Projet 1 : 300/2,500 = 0.12
○ Projet 2 : 270/1,800 = 0.15
○ Projet 3 : 560/3,200 = 0.175
○ Projet 4 : 430/2,700 = 0.159
○ Moyenne = (0.12+0.15+0.175+0.159)/4 = 0.16

Ensuite, on applique ce ratio au coût de recherche estimé: 2,400 k€ × 0.16 = 384 k€

● b) Faux→ Cette valeur semble être une simple approximation sans appliquer la technique d\'estimation par ratios.
● c) Faux → Ce résultat pourrait provenir d\'un calcul erroné utilisant un ratio approximatif de 0.156 plutôt que le ratio moyen exact.
● d) Faux → Cette réponse semble résulter d\'un calcul avec un ratio de 0.17, qui n\'est pas la moyenne exacte des ratios individuels.

Cette question correspond à l’objectif d’apprentissage FL-3.2.2 (K2) – Résumer les activités typiques du processus de revue.

La réponse correcte est a) 1C, 2A, 3D, 4B

● 1C) Correcte : La planification sert à organiser le processus, choisir le type de revue, les rôles, etc.
● 2A) Correcte : L’examen consiste à analyser le document individuellement.
● 3D) Correcte : La réunion permet à l’équipe de discuter des anomalies ensemble.
● 4B) Correcte : Le rework est le moment où l’auteur corrige ce qui a été signalé.

Cette question correspond à l’objectif d\'apprentissage FL-6.2.1 (K1) – Rappeler les avantages et les risques de l\'automatisation des tests.

● a) Faux → L’automatisation peut être coûteuse à mettre en place, mais cela dépend du contexte et du type de tests automatisés.
● b) Correct → Les tests exploratoires, UX et certains tests de validation métier nécessitent une prise de décision humaine et ne peuvent pas être automatisés.
● c) Faux → L’automatisation est justement idéale pour les tests de régression, car elle permet de les exécuter régulièrement.
● d) Faux → Les outils d’automatisation peuvent générer des rapports de test, mais cela ne signifie pas que l’automatisation remplace tous les tests manuels.

Cette question correspond à l’objectif d’apprentissage FL-2.1.2 (K1) – Rappeler les bonnes
pratiques de test applicables à tous les cycles de vie.
● a) Faux → Cela correspond à une approche tardive (type Waterfall rigide), et va àl’encontre des bonnes pratiques modernes.
● b) Faux → Les testeurs doivent être impliqués dès les phases d’analyse et de conception.
● c) Correct → Tester dès que possible (shift-left) est une bonne pratique universelle qui réduit les coûts de détection de défauts.
● d) Faux → Collaboration entre test et développement est essentielle, peu importe le cycle.

Cette question correspond à l’objectif d’apprentissage FL-1.5.2 (K1) – Rappeler les avantages de l’approche intégrée.

● a) Faux → L’intégration réduit la séparation
● b) Correct → Une équipe intégrée = collaboration renforcée
● c) Faux → Le testeur reste essentiel même dans une équipe Agile
● d) Faux → La documentation existe, même si elle est plus légère

OCSP (Online Certificate Status Protocol): a real-time mechanism that queries a certificate authority's OCSP responder to verify whether a digital certificate is valid, suspended, or revoked. Unlike CRL (Certificate Revocation List) which requires downloading entire lists, OCSP provides immediate revocation status checks. CSR is for certificate requests, CA is an entity, and CRC is a data integrity check—none validate certificate revocation status.

Social Engineering: manipulation of human psychology to extract sensitive information through deception rather than technical exploits. Calling to request passwords exploits trust and urgency, not system vulnerabilities. Malware requires code execution, DoS floods networks, and SQL injection targets databases—none involve psychological manipulation of users.

Answer: To prevent future incidents of the same nature.
Explanation: Root cause analysis identifies the fundamental reason an incident occurred — not just the symptoms. By fixing root causes rather than symptoms, organizations prevent recurrence and improve their overall security posture.

Answer: Salting.
Explanation: Salting adds a unique random value to each password before hashing, preventing attackers from using precomputed rainbow tables. The salt is stored alongside the hash and makes identical passwords produce different hash values.

USB Port Disabling: Physically or administratively blocking USB ports eliminates the attack vector for removable media entirely, preventing unauthorized data transfer regardless of software vulnerabilities. While antivirus detects malware and encryption protects data at rest, only port disabling removes the direct pathway for exfiltration. Patching and encryption address vulnerabilities but don't prevent access to removable devices.

False Positive Definition: A vulnerability scanner reports a security issue that doesn't actually exist when tested. When manual verification fails to reproduce the reported vulnerability, it confirms a false positive—the scanner incorrectly flagged a non-existent issue. This differs from noise (benign alerts) and doesn't require rescans or imply compensating controls exist.

Multifactor Authentication (MFA) Implementation: MFA requires three independent authentication factors—something you know (password), something you have (authentication token), and something you are (biometric like thumbprint). This combination provides layered security by requiring multiple verification methods. Other options fail because they mix identical factor types (security questions repeat "know") or include non-authentication elements (domain names, URLs).

Ransomware: malware that encrypts victim files and restricts access, demanding payment (ransom) for decryption keys. Unlike trojans (deceptive delivery), viruses (self-replicating), or spyware (data theft), ransomware's defining characteristic is extortion through encryption.

Application whitelisting: a security control that permits only pre-approved applications to run on systems. This proactively prevents unauthorized software installation by blocking any executable not on the approved list. Unlike antivirus (reactive detection), encryption (data protection), or Group Policy (general configuration), whitelisting directly controls what can execute, making it the most effective solution for preventing unauthorized installations.

Answer: Geolocation policy.
Explanation: A geolocation policy restricts access to applications based on the user's geographic location. By blocking access from high-risk countries at the network or application level, the company limits exposure without affecting legitimate users.

Un data warehouse est spécifiquement conçu pour l'analyse OLAP (Online Analytical Processing), optimisant les requêtes de lecture sur de grands volumes de données historiques intégrées, ce qui en fait un outil d'intelligence décisionnelle. La première option décrit plutôt une base de données OLTP (transactions temps réel), la troisième caractérise un data lake (données brutes), et la quatrième une base de données NoSQL documentaire, qui sont des architectures de données différentes.

GROUP BY : clause SQL qui regroupe les lignes partageant les mêmes valeurs dans une ou plusieurs colonnes, permettant d'appliquer des fonctions d'agrégation (COUNT, SUM, AVG...). À distinguer de ORDER BY (qui trie) et PARTITION BY (qui divise les données pour des calculs analytiques sans fusionner les lignes).

Azure SQL Database est le service correct car il s'agit d'une base de données relationnelle entièrement gérée basée sur SQL Server, offrant une scalabilité, une sécurité et une haute disponibilité automatiques. Azure Cosmos DB est une base de données NoSQL distribuée, pas une base de données relationnelle SQL. Azure Table Storage est un service de stockage clé-valeur NoSQL pour les données non structurées, tandis qu'Azure Data Lake Storage est un système de fichiers pour le stockage massif de données analytiques, pas une base de données relationnelle.

Réponse : Graphe. Explication : Les bases de données en graphe se caractérisent par l'utilisation de nœuds (représentant des entités) et d'arêtes (représentant les relations entre entités). Cette structure traite efficacement les données hautement connectées et les requêtes de relations complexes.

Réponse correcte : Le partitionnement dans Azure Cosmos DB permet de diviser les données horizontalement sur plusieurs partitions physiques, ce qui augmente la capacité de stockage et de débit sans dépendre d'une seule machine. C'est le mécanisme fondamental de scalabilité distribuée de Cosmos DB. Pourquoi les autres réponses sont incorrectes : • La séparation en comptes distincts relève de l'isolation des comptes, pas du partitionnement des données. • La réplication géographique est une fonction différente (geo-replication) et distincte du partitionnement. • Le contrôle d'accès par rôle est géré par Azure RBAC (Role-Based Access Control), non par le partitionnement des données.

Un elastic pool dans Azure SQL Database est un pool de ressources (CPU, mémoire, stockage) partagées entre plusieurs bases de données, permettant d'optimiser les coûts quand les charges de travail varient dans le temps. Les autres options sont incorrectes : le cache in-memory correspond à Azure Cache for Redis, l'autoscaling d'une seule base de données se fait via les DTUs/vCores individuels, et la réplication multi-régions relève de la géo-réplication, non des elastic pools.

ACID désigne quatre propriétés garantissant la fiabilité des transactions : Atomicité (tout ou rien — la transaction réussit entièrement ou est annulée), Cohérence (la base reste dans un état valide avant et après), Isolation (les transactions concurrentes ne s'interfèrent pas), Durabilité (les données validées sont persistantes même après une panne). Ces propriétés sont critiques pour les systèmes financiers et transactionnels (OLTP). Les bases NoSQL privilégient souvent la disponibilité au détriment de la cohérence (BASE vs ACID).

NoSQL signifie « Not Only SQL » et désigne une catégorie de bases de données non-relationnelles offrant des schémas flexibles pour stocker différents types de données (documents JSON, paires clé-valeur, graphes, colonnes), contrairement aux bases relationnelles rigides. Pourquoi les autres réponses sont incorrectes : NoSQL supporte bien les langages de requête (MongoDB Query Language, etc.) contrairement à la première option. La deuxième option est fausse car NoSQL gère tous types de données, pas seulement numériques. La dernière option est inexacte puisque NoSQL excelle autant en lecture qu'en écriture et supporte les workloads transactionnels.

TDE (Transparent Data Encryption) chiffre automatiquement les fichiers de données, journaux et sauvegardes d'une base de données Azure SQL au repos — sans nécessiter de modification de l'application. Le chiffrement utilise AES 256 bits. Il est activé par défaut sur toutes les nouvelles bases Azure SQL depuis 2017. Transparent = l'application ne voit aucune différence ; le chiffrement/déchiffrement est géré par le moteur SQL. La clé peut être gérée par Microsoft (service-managed) ou par le client (Bring Your Own Key via Azure Key Vault — BYOK).

Clé étrangère : colonne qui référence la clé primaire d'une autre table, créant ainsi une relation entre elles. Elle garantit l'intégrité référentielle en s'assurant que chaque valeur existe réellement dans la table liée. Contrairement à la clé primaire (identifie les enregistrements) ou à l'index (optimise les requêtes), la clé étrangère établit des liens logiques entre tables.

Réponse correcte : Une Variante d'exercice comptable définit précisément le nombre de périodes de reporting et leurs dates de début/fin pour l'exercice comptable. C'est un élément fondamental de la configuration FI qui détermine la structure temporelle de la comptabilité. Pourquoi les autres réponses sont incorrectes : La devise fonctionnelle est définie au niveau de la Société elle-même, pas via une variante. L'assignation des centres de coûts aux centres de profit relève de la gestion Controlling, et les plages de numéros des documents sont gérées indépendamment dans la configuration du système.

Réponse : GGB1
La transaction GGB1 (Validations) permet de définir des règles de validation qui vérifient les données saisies dans les documents comptables avant leur enregistrement. Par exemple : bloquer une écriture si un compte de charges est utilisé avec un centre de profit non autorisé. C'est un outil de contrôle de saisie en temps réel.

Réponse : Les comptes bancaires sont gérés dans Bank Account Management (Fiori) ; Les banques propres sont nécessaires pour les paiements ; Les comptes doivent être assignés aux sociétés et utilisés par F110 ; Des signataires et statuts peuvent être gérés.
Explication : BAM remplace la création classique de comptes bancaires par société et centralise la gouvernance.

BKPF est la table d'en-tête (header) des documents FI en SAP ERP classique et SAP S/4HANA, contenant les informations générales du document (numéro, date, devise, etc.). BSEG est la table des segments/lignes de document (détails des écritures comptables), non l'en-tête. ACDOCA est la table consolidée en S/4HANA (Universal Journal) qui remplace partiellement BSEG/BKPF. SKB1 est la table de paramétrage des comptes GL par société, sans rapport avec les documents FI.

Réponse : Ils se mettent à jour automatiquement via les sous-comptes BP
Les comptes de réconciliation (reconciliation accounts) sont des comptes G/L spéciaux qui ne peuvent pas être saisis directement. Ils sont alimentés automatiquement lors de la comptabilisation sur les comptes clients ou fournisseurs (sous-comptes Business Partner), assurant ainsi la cohérence entre les sous-livres et la comptabilité générale.

Réponse : Le solde résiduel clôt l’original et crée un nouvel open item pour le reste ; le paiement partiel laisse l’original ouvert avec montant réduit.
Explication : Ces deux stratégies ont des impacts différents sur relances et suivi des postes.

La société (Company Code) est l'entité juridique autonome pour laquelle une comptabilité complète est établie — elle dispose de son propre plan comptable, exercice fiscal et devise de référence. Le groupe de sociétés (Company) est une entité de consolidation regroupant plusieurs sociétés pour les reportings de groupe (consolidation légale). Dans S/4HANA, une Company Code appartient à exactement un Client (mandant) et peut être rattachée à une Company pour la consolidation. Controlling Area est distinct : il regroupe des Company Codes pour la comptabilité analytique (CO).

Réponse correcte : La clôture de période dans SAP FI implique la finalisation des transactions en attente, l'enregistrement des provisions et la préparation des états financiers, ce qui reflète les activités essentielles de clôture comptable. Pourquoi les autres réponses sont incorrectes : Les comptes du grand livre ne sont jamais réinitialisés à zéro (ils conservent leurs soldes), l'archivage n'est pas automatique lors de la clôture, et les articles ouverts ne sont pas annulés mais plutôt provisionnés ou apurés pour assurer la continuité entre les périodes.

Réponse : Une écriture d'ajustement complémentaire à l'amortissement planifié
La dépréciation non planifiée (Unplanned Depreciation) est une charge exceptionnelle enregistrée sur une immobilisation en dehors du plan d'amortissement normal. Elle s'applique lors d'une dépréciation économique exceptionnelle (accident, obsolescence accélérée). Transaction : ABAA.

La bonne réponse est : Foreign Currency Valuation réévalue les postes ouverts et les soldes de grand livre en devises étrangères selon le taux de change actuel, ce qui permet d'enregistrer les gains/pertes non réalisés en fin de clôture de période. La conversion en devise de groupe s'effectue lors de la consolidation, non lors de la valorisation de devises. La mise à jour des taux de change est une fonction administrative distincte, non le rôle de cette exécution. La réalisation des gains/pertes ne concerne que les postes entièrement rapprochés, tandis que la valorisation concerne tous les postes ouverts.

Depuis la réforme territoriale de 2015 (loi NOTRe, effective au 1er janvier 2016), la France métropolitaine compte 13 régions, contre 22 auparavant. Cette réforme a fusionné plusieurs régions pour créer des entités plus grandes (ex : Alsace + Champagne-Ardenne + Lorraine = Grand Est). En comptant les 5 régions et départements d'outre-mer (DROM), la France compte 18 régions au total. 22 régions était le découpage antérieur à 2016.

Séparation des pouvoirs : La République française repose sur trois pouvoirs distincts pour éviter la concentration du pouvoir. Le pouvoir exécutif (Président, Gouvernement) applique les lois ; le pouvoir législatif (Parlement) les vote ; le pouvoir judiciaire les interprète. Cette répartition garantit l'équilibre démocratique et protège les libertés individuelles.

Le Président de la République est le chef de l'État en France. Il est élu au suffrage universel direct pour un mandat de 5 ans (quinquennat). Il incarne l'unité nationale, garantit les institutions, nomme le Premier ministre, préside le Conseil des ministres et est chef des armées. Le Premier ministre est le chef du gouvernement (rôle distinct). Le Président du Sénat assure l'intérim si la présidence devient vacante.

Pour prouver le mariage lors d'une demande de naturalisation, l'acte de mariage intégral (et non une simple copie ou un extrait) est requis. Si le mariage a eu lieu à l'étranger, l'acte doit être légalisé ou apostillé et traduit par un traducteur assermenté. La carte de séjour et le passeport du conjoint prouvent l'identité, pas le mariage. Le livret de famille peut compléter le dossier mais ne remplace pas l'acte de mariage intégral.

Pour une naturalisation par mariage, la vie commune doit être continue et effective pendant la durée exigée (4 ans minimum). Une séparation temporaire peut remettre en cause la continuité et conduire au rejet du dossier. L'administration vérifie la réalité de la vie commune via des preuves concrètes : bail commun, factures, attestations. Une séparation de corps ou une procédure de divorce en cours est rédhibitoire.

Composition de l'Union Européenne : L'UE compte 27 États membres depuis 2020, suite au Brexit (départ du Royaume-Uni). Ce nombre résulte des élargissements successifs, notamment en 2004 avec l'adhésion de 10 pays d'Europe centrale et orientale. Les distracteurs (28, 25, 30) correspondent à d'anciens effectifs ou à des confusions avec d'autres organisations internationales.

La Seconde Guerre mondiale a duré de 1939 à 1945. Elle débuta le 1er septembre 1939 avec l'invasion de la Pologne par l'Allemagne nazie, et se termina le 8 mai 1945 en Europe (capitulation allemande) et le 2 septembre 1945 dans le Pacifique (capitulation japonaise). La France fut occupée par l'Allemagne de juin 1940 à août 1944 (Libération). 1914-1918 correspond à la Première Guerre mondiale. Le 8 mai est un jour férié en France, commémorant la victoire des Alliés.

La naturalisation n'est jamais automatique, même après le délai légal requis. C'est une décision souveraine de l'État : l'administration (via le Ministère de l'Intérieur) apprécie librement chaque dossier en tenant compte de l'intégration, de la moralité, des ressources et du comportement du candidat. Le délai de 4 ans de vie commune (pour le mariage) est une condition nécessaire, mais non suffisante. Un refus peut être motivé par une assimilation jugée insuffisante ou un casier judiciaire.

Pour toute naturalisation (par mariage ou par décret), un niveau de français B1 oral et écrit est exigé, conformément au décret n°2011-1265. Le candidat doit prouver sa maîtrise par un diplôme reconnu (DELF B1 ou supérieur) ou par un titre délivré en France après au moins 3 ans de scolarité en français. Le niveau A2 est insuffisant. Aucun niveau requis est faux — c'est une condition obligatoire depuis 2012.

Le drapeau tricolore (bleu, blanc, rouge) est adopté lors de la Révolution française. La tradition associe : Bleu et rouge — couleurs de Paris (portées par les révolutionnaires lors de la prise de la Bastille) ; Blanc — couleur de la royauté française (les Bourbons). La cocarde tricolore est portée le 17 juillet 1789 par Louis XVI, symbolisant la réconciliation entre le roi et le peuple. Depuis la Constitution de 1958, le drapeau bleu-blanc-rouge est officiellement le drapeau national (article 2). L'ordre des bandes est : bleu au mât, rouge flottant.

Réponse : Maximiser le nombre de changements informatiques réussis en vérifiant que les risques sont correctement évalués.
Explication : Maximiser les changements informatiques réussis en évaluant correctement les risques est un objectif central de la gestion des services, que le centre de services contribue à atteindre en coordonnant les demandes.

Réponse : Progresser par itérations avec des retours.
Explication : Le principe \'Progresser par itérations avec des retours\' recommande de diviser le travail en petites étapes gérables avec des boucles de feedback fréquentes pour s\'adapter et corriger rapidement.

Réponse : Il peut fournir un appariement automatisé des incidents aux problèmes ou aux erreurs connues.
Explication : Les outils ITSM peuvent automatiquement associer de nouveaux incidents aux problèmes ou erreurs connus, accélérant ainsi le diagnostic et permettant d\'appliquer des solutions de contournement documentées.

Réponse : Ajouter, modifier ou supprimer tout ce qui pourrait avoir un effet direct ou indirect sur les services.
Explication : En ITIL 4, un changement est l\'ajout, la modification ou la suppression de tout élément pouvant avoir un effet direct ou indirect sur les services, qu\'il soit matériel, logiciel ou organisationnel.

Réponse : L\'utilisateur ou son représentant autorisé.
Explication : En ITIL 4, ce sont les utilisateurs (ou leurs représentants autorisés) qui soumettent des demandes de services, car ils sont les consommateurs directs des services fournis.

Réponse : Le système de valeur des services.
Explication : Le système de valeur des services (SVS) est le concept ITIL 4 qui décrit comment tous les composants et activités, y compris la gouvernance, fonctionnent ensemble pour créer de la valeur.

Réponse : Rôles et responsabilités.
Explication : La dimension \'Information et technologie\' couvre les données, systèmes d\'information et outils. Les rôles et responsabilités appartiennent à la dimension \'Organisations et personnes\'.

Réponse : Comprendre comment chaque élément contribue à la création de valeur.
Explication : Le principe \'Opter pour la simplicité\' demande de comprendre comment chaque élément contribue à la valeur, en éliminant ce qui n\'en apporte pas et en évitant la complexité inutile.

Réponse : Déterminer qui est le consommateur du service dans chaque situation.
Explication : Lors de l\'application du principe \'Privilégier la valeur\', la première étape est d\'identifier qui est le consommateur, car la valeur est toujours définie du point de vue du consommateur du service.

Réponse : Habilitation des changements.
Explication : En ITIL 4, l\'habilitation des changements est responsable du déplacement des composants vers les environnements de production, garantissant que les changements sont correctement contrôlés et autorisés avant mise en production.

DMARC (Domain-based Message Authentication, Reporting, and Conformance) est un protocole d’authentification des e-mails qui :

• S’appuie sur SPF (Sender Policy Framework) pour vérifier que l’expéditeur est autorisé à envoyer des e-mails pour un domaine donné.

• Utilise DKIM (DomainKeys Identified Mail) pour valider l’intégrité du message grâce à une signature numérique.

• Ajoute une politique (policy) permettant au propriétaire du domaine d’indiquer aux serveurs destinataires quoi faire si l’authentification échoue :

  • Ne rien faire (monitoring)

  • Mettre en quarantaine

  • Rejeter le message

👉 DMARC joue donc un rôle clé dans la lutte contre le phishing, l’usurpation d’identité (spoofing) et la fraude par e-mail.

• La Timeline view (vue Chronologie) permet :

  • D’afficher les tâches ou phases sur une ligne de temps

  • De visualiser clairement les dates de début et de fin

  • D’avoir une vue simple et synthétique adaptée à un partage dans Teams

Elle est idéale pour donner une vue globale rapide du projet.

❌ Pourquoi les autres réponses sont incorrectes :

• A. Gantt Chart view → Plus détaillée et orientée gestion avancée (dépendances, planification complexe). Moins “simple” pour un aperçu rapide.

• B. Project Roadmap → Sert à consolider plusieurs projets, pas juste à afficher un planning simple d’un projet.

• D. Calendar view → Affiche les tâches par date dans un calendrier, mais ne donne pas une vision linéaire claire des phases.

🎯 À retenir pour l’examen MS-900 :

• Timeline view = vue simple et visuelle des dates de début et fin

• Gantt = gestion avancée

• Calendar = vue mensuelle/journalière
  Roadmap = consolidation multi-projets
  
  

Dans Microsoft Teams (Téléphonie Teams / Direct Routing) :

• Les voice routes définissent le chemin que les appels doivent suivre.

• Les PSTN usages permettent d’associer ces routes à des stratégies.

• Cependant, pour que les utilisateurs puissent réellement utiliser ces routes, il faut leur attribuer une stratégie de routage vocal (Voice Routing Policy).

👉 La stratégie de routage vocal est le composant qui associe les enregistrements d’utilisation PSTN aux utilisateurs.
Sans cette stratégie attribuée à l’utilisateur, les routes configurées ne seront pas accessibles, même si elles sont correctement définies dans le système.

Microsoft 365 Apps propose différents canaux de mise à jour :

1. Current Channel (Canal actuel)

   • Reçoit les dernières fonctionnalités, correctifs et mises à jour de sécurité dès qu’elles sont publiées.

   • Idéal pour les utilisateurs qui veulent accéder rapidement aux nouveautés.

2. Monthly Enterprise Channel (Canal mensuel pour entreprises)

   • Regroupe les nouvelles fonctionnalités et correctifs dans une seule mise à jour mensuelle.

   • Fournit un rythme plus prévisible pour les équipes informatiques, tout en maintenant les correctifs de sécurité à jour.

• Windows 365 Cloud PC fournit des PC persistants dans le cloud :

  • Chaque utilisateur obtient son propre environnement desktop

  • Les applications et paramètres sont conservés entre les sessions

  • Toujours disponible et indépendant des autres utilisateurs

• Les autres options ne répondent pas exactement au besoin :

  • A : Pooled session hosts partagent les sessions, donc l’environnement n’est pas persistant.

  • C : Single-session desktop dans AVD peut être persistant, mais nécessite plus de gestion et de configuration.

  • D : Azure App Service Web App héberge des applications web, pas un desktop complet persistant.

• Azure SQL Managed Instance :

  • Fournit une compatibilité quasi totale avec SQL Server (fonctionnalités, T-SQL, logins, agent SQL).

  • Permet de déplacer des bases SQL Server existantes vers le cloud avec très peu de modifications d’applications.

• Les autres options :

  • Azure SQL Database / Hyperscale → PaaS “single database” ou “scale-out”, certaines fonctionnalités SQL Server ne sont pas supportées, ce qui peut nécessiter des changements.

  • Azure Database for PostgreSQL → Base de données différente, non compatible SQL Server.

• Par défaut, les journaux d’audit Microsoft 365 ont une durée de conservation limitée.

• Pour les conserver plus longtemps (ex. 1 an ou plus), il faut configurer une Audit log retention policy dans Microsoft Purview.

• Cela permet de répondre aux exigences réglementaires et de conformité.

❌ Pourquoi les autres réponses sont incorrectes :

• B. Litigation Hold (Exchange) → Concerne la conservation des emails, pas les journaux d’audit globaux.

• C. Sensitivity label retention → Gère la protection et la conservation des documents/emails, pas des logs d’audit.

• D. Azure Information Protection → Sert à classifier et protéger les données, pas à gérer la durée des logs d’audit.

🎯 À retenir pour l’examen MS-900 :

• Audit logs = Microsoft Purview (Audit log retention policy)

• Litigation Hold = emails

• Sensitivity labels = protection des données

• Viva Insights mesure des indicateurs de productivité et de bien-être :

  • Temps de concentration (Focus time hours)

  • Pauses après réunions (After-meeting breaks)

  • Indicateurs d’efficacité des réunions (Meeting effectiveness score)

• Le coût des licences Microsoft 365 n’est pas un indicateur suivi par Viva Insights, car il relève de la gestion financière et non de la productivité.

• Microsoft Secure Score se trouve dans le Microsoft 365 security center.

• Il permet de :

  • Voir le score actuel de sécurité de l’organisation

  • Accéder à des recommandations et actions pour améliorer la sécurité

• Les autres options ne donnent pas l’accès complet à Secure Score :

  • A : Azure AD Security montre certains paramètres, mais pas le score complet Microsoft 365.

  • C : Microsoft 365 admin center > Reports ne fournit pas le Secure Score détaillé.

  • D : Defender for Endpoint montre le posture de sécurité endpoints, pas le score global Microsoft 365.

Le portail My Account permet aux utilisateurs de :

• Voir leurs informations personnelles et licences attribuées

• Gérer leurs méthodes d’authentification (MFA)

• Se déconnecter des sessions actives

• Gérer leurs appareils

⚠️ En revanche, attribuer des licences à d’autres utilisateurs est une tâche administrative réservée aux administrateurs via le centre d’administration Microsoft 365.

❌ Pourquoi les autres réponses sont incorrectes :

• A. Viewing license assignments → Oui, les utilisateurs peuvent voir les licences qui leur sont attribuées.

• B. Updating phone number for MFA → Oui, ils peuvent modifier leurs informations de sécurité.

• D. Signing out of all sessions → Oui, ils peuvent se déconnecter de toutes leurs sessions.

🎯 À retenir pour l’examen MS-900 :

• My Account = gestion personnelle du compte

• Attribution de licences = rôle administrateur uniquement

• Purview Data Loss Prevention (DLP) permet :

  • De définir des politiques de protection des données basées sur le type de données sensibles (PII, informations financières, etc.)

  • D’utiliser des modèles réglementaires prédéfinis (Regulatory Templates) pour se conformer aux exigences locales :

    • GDPR → UE

    • CCPA → Californie

    • HIPAA → santé aux États-Unis, etc.

• Ces templates permettent de standardiser la classification et la protection des données selon la juridiction, tout en appliquant des règles de prévention de la perte de données adaptées à chaque région.

• GitHub Advanced Security permet de :

  • Analyser automatiquement les dépendances dans les projets (npm, NuGet, Maven, etc.)

  • Identifier les vulnérabilités à haute gravité

  • Proposer ou appliquer automatiquement les mises à jour de sécurité via Dependabot

• Cette approche préventive empêche que du code vulnérable atteigne les environnements de production.

Les comptes break-glass sont des comptes d’accès d’urgence utilisés uniquement lorsque :

• L’authentification normale est indisponible

• Les mécanismes MFA ou Conditional Access sont défaillants

• L’environnement est compromis (ex. attaque ransomware)

Les bonnes pratiques Microsoft recommandent :

• 🔐 Identifiants stockés dans un coffre-fort sécurisé hors ligne

• 🔄 Validation régulière (tests d’accès contrôlés)

• 🚨 Surveillance renforcée

• 🔒 Utilisation uniquement en cas d’urgence

Pourquoi hors ligne ?

En cas de ransomware ou compromission massive :

• Les systèmes en ligne (y compris SIEM) peuvent être impactés.

• Le coffre-fort hors ligne réduit le risque de compromission.

• Problème : les applications legacy utilisent souvent des protocoles d’authentification non sécurisés (ex : IMAP, POP3, SMTP Auth)

• Ces protocoles contournent Conditional Access, ce qui crée une surface d’attaque importante

• Solution Microsoft recommandée pour Zero Trust :

  • Bloquer la legacy authentication dans Conditional Access

  • Appliquer MFA et autres contrôles modernes uniquement sur les applications et utilisateurs qui supportent les protocoles modernes

  • Réduire considérablement le risque de compromission des identités

• Microsoft Entra Internet Access (EIA) : solution SSE qui fournit :

  • Filtrage d’accès Internet

  • Protection contre les applications non approuvées

  • Application des politiques d’usage acceptable

• Intégration avec Microsoft Defender for Cloud Apps :

  • Permet de détecter et contrôler l’usage des applications SaaS

  • Active les politiques Conditional Access pour :

    • Bloquer les connexions à des applications non sanctionnées

    • Appliquer des restrictions ou des alertes pour les applications approuvées

  • Assure visibilité, contrôle et gouvernance centralisée

• C’est la meilleure pratique Microsoft SSE pour sécuriser l’accès SaaS et Internet.

• Principe MCRA : « Protect data wherever it resides » → protéger les données indépendamment de l’endroit où elles sont stockées ou partagées.

• Microsoft Purview Information Protection (MIP) permet :

  • Classifier les données sensibles (PII, données financières, propriété intellectuelle…)

  • Appliquer des labels de sensibilité qui suivent les données, peu importe qu’elles soient stockées dans :

    • Azure Storage, SharePoint, OneDrive

    • Emails Microsoft 365

    • Applications tierces intégrées

• Ainsi, MIP fournit une protection centrée sur les données, alignée avec le principe MCRA.

• Objectif d’un tabletop exercise :

  • Identifier lacunes dans les procédures, rôles et responsabilités

  • Former les parties prenantes à la coordination et aux étapes critiques

• Observation : les chemins d’escalade ne sont pas clairs

  • Correctif immédiat = mettre à jour la documentation BCDR

  • Validation = planifier un nouvel exercice pour s’assurer que tous comprennent les procédures

• Cette approche :

  • Est non intrusive, sécurisée et pédagogique

  • Permet de corriger les processus sans risquer les systèmes en production

Pourquoi Purview Sensitivity Labels :

• Permet de classer et protéger les documents et emails

• Applique automatiquement :

  • Chiffrement au repos et en transit

  • Restrictions d’usage (ex. ne pas copier, ne pas imprimer, ne pas transférer) même lorsque le fichier est téléchargé ou partagé en externe

• Contrôle la protection persistante des fichiers, indépendamment du lieu où ils sont ouverts

Dans Microsoft Purview Insider Risk Management, la fonctionnalité de gestion des cas avec contrôles de confidentialité intégrés permet :

• De restreindre l’accès aux cas uniquement aux enquêteurs assignés

• D’anonymiser certains utilisateurs pendant l’analyse (selon la configuration)

• De garantir la confidentialité des investigations

• De limiter la visibilité des informations sensibles

Cette fonctionnalité est spécifiquement conçue pour répondre aux exigences de confidentialité et de conformité liées aux enquêtes internes.

👉 Elle va au-delà du simple RBAC général en offrant des mécanismes dédiés aux enquêtes Insider Risk.

Les Configuration Profiles dans Intune permettent :

• De configurer précisément FileVault

• De définir les exigences de mot de passe

• De configurer le pare-feu macOS

• D’appliquer des paramètres avancés de sécurité

• De cibler des groupes spécifiques (ex : développeurs)

Les profils de configuration sont le mécanisme direct permettant d’imposer ces paramètres.

Les clés primaires monotoniquement croissantes (comme des IDs auto-incrémentés ou des timestamps) créent des hotspots dans Cloud Spanner car toutes les nouvelles données vont vers le même split. Utiliser une clé distribuée (UUID, hash) élimine ce problème.

Un health check sur le port 443 (HTTPS) permet au MIG de détecter les instances défaillantes et de les recréer automatiquement. C'est la seule option qui configure réellement l'autohealing. Les labels et heartbeats ne font pas de recréation automatique.

Les journaux d'audit d'accès aux données pour Cloud Storage enregistrent toutes les opérations de lecture (GetObject, etc.) avec l'identité du demandeur, l'horodatage et les détails de l'objet accédé. C'est exactement ce qui est requis pour la conformité légale.

gcloud config list affiche la configuration active, incluant le projet actif qui a été utilisé pour le déploiement. Si le mauvais projet était configuré, cela explique le déploiement au mauvais endroit. C'est la première chose à vérifier.

La méthode correcte est de d'abord créer le projet avec gcloud, puis de déployer l'application dans ce projet. gcloud ne crée pas automatiquement un projet lors du déploiement, et 'copier' une application App Engine déployée n'est pas une fonctionnalité native.

Le Shared VPC (VPC partagé) est la solution GCP recommandée pour permettre à plusieurs projets de communiquer via le même réseau. Il nécessite une organisation GCP et permet une gestion centralisée du réseau.

La bonne pratique est d'utiliser des groupes Cloud Identity (facilement maintenables) et le rôle BigQuery jobUser (permet d'exécuter des requêtes). dataViewer seul ne permet pas d'exécuter des jobs. Gérer des entrées IAM individuelles est inefficace avec une équipe changeante.

Un Service LoadBalancer avec externalTrafficPolicy=Cluster expose l'application GKE via une IP externe, accessible depuis l'autre VPC. C'est la solution la plus simple : pas besoin de VPC peering, pas d'instance proxy intermédiaire.

MongoDB Atlas via Google Cloud Marketplace offre un environnement MongoDB entièrement géré avec SLA de support officiel. C'est la différence clé avec une installation manuelle : la gestion des mises à jour, des sauvegardes et du support est assurée par MongoDB.

Automatic Scaling avec min_idle_instances=3 répond exactement aux exigences : App Engine scale automatiquement selon le taux de requêtes ET maintient toujours au minimum 3 instances disponibles en attente. Basic Scaling n'a pas de paramètre min_instances.

Correct answers: Options 1, 2, and 4. Investigate scaling frameworks for dependency management (option 1). Enable cross-training and skill development within teams (option 2). Reorder the Product Backlog to optimize Nicole's utilization across sprints (option 4). These honor self-organization and adaptability. Options 0, 3, and 5 are either temporary band-aids or externalize the problem rather than helping the Scrum Teams manage dependencies through backlog prioritization.

Creating Product Backlog items for security concerns and/or adding security to the Definition of Done ensures security is transparent and continuously addressed throughout development, reflecting Scrum's empirical process. This approach integrates security into regular work rather than isolating it. Separate security sprints, external delegation, or waiting for specialists violate the principle of transparency and shared accountability within the Scrum Team.

All three factors impact Sprint outcomes. The Scrum Guide emphasizes that Sprint results depend on team composition, skills, working relationships, technology complexity, and requirement clarity. These are interdependent variables that collectively determine what a team can accomplish in a given Sprint.

Correct answer: Option 4. This approach, called backlog refinement, involves the Development Team helping clarify and estimate upcoming items during the Sprint. This ensures items are actionable and well-understood for Sprint Planning. Option 1 segregates knowledge from the team, Option 2 creates a false separation of concerns, and Option 3 violates the principle that the Development Team should focus on committed Sprint work first.

The Development Team ignored a new member's ideas and viewpoints, violating three Scrum Values: Respect (valuing individuals), Openness (welcoming different perspectives), and Courage (creating psychological safety to speak up). Commitment and Focus relate to the team's dedication to work, not interpersonal inclusion. Transparency concerns information visibility, not team dynamics.

Correct: Options 1, 2, and 3 - Hardening Sprints indicate the team hasn't achieved potentially shippable increments during regular Sprints, stemming from incomplete Definition of Done or accumulated technical debt. Option 4 is false—Scrum explicitly discourages hardening Sprints. Option 5 misrepresents customization; proper Scrum prevents this need.

Correct: Option 6 (All of the above) - Openness, a core Scrum value, permeates the entire framework: it improves collaboration, enables quality discussions, increases engagement, accelerates feedback loops affecting time to market, and builds stakeholder confidence. Each element depends on transparent, honest communication that openness enables.

When multiple Scrum Teams work from a shared Product Backlog, coordination happens through self-organization and agreement, not top-down assignment. Teams should pull work in collaboration with the Product Owner and each other, respecting capacity and dependencies. The other options violate Scrum's emphasis on team self-organization and the Product Owner's authority over backlog ordering.

This statement is False. Scrum does not define a Project Manager role. The Scrum Master facilitates Scrum processes but is not a project manager. This distinction reflects Scrum's self-managing team model rather than traditional command-and-control management.

Correct answers: Options 1 and 3. Work not meeting the Definition of Done must not be included in the Increment (option 1), per the Scrum Guide. The remaining work should be estimated and returned to the Product Backlog (option 3) for the Product Owner to reprioritize. Options 0 and 2 violate the Definition of Done by including or splitting incomplete work, undermining transparency and quality.

Réponse : Les critères d\'entrée et de sortie pour chaque phase de test / Les techniques de conception de test à utiliser.
Explication : AC est correct car une stratégie de test défendable prescrit explicitement les techniques de conception de test pour atteindre la couverture et l\'atténuation des risques (C) et les critères d\'entrée/sortie qui gouvernent la progression des phases et les barrières qualité (A). Une stratégie de test robuste est un cadre décisionnel de haut niveau qui détermine comment les objectifs de test seront atteints et comment les risques informent la priorisation et la portée.

Réponse : Critère A = NON OK, critère B = NON OK, critère C = OK.
Explication : L\'évaluation des critères de test révèle que seul le critère C satisfait aux exigences de qualité. Les critères A et B présentent des défaillances qui nécessitent une correction avant d\'accepter le produit testé.

Réponse : Inspections.
Explication : Les inspections (B) sont les moins appropriées car c\'est une technique d\'examen statique, axée sur les défauts, destinée à trouver des non-conformités dans les produits de travail plutôt qu\'à identifier proactivement les risques projet et produit. Les inspections utilisent des listes de contrôle et une approche orientée détection de défauts, tandis que l\'identification des risques nécessite une exploration prospective des incertitudes futures.

Réponse : TMMi ne peut être utilisé qu\'avec le modèle V traditionnel, tandis que TPI peut être utilisé avec tous les types de cycles de vie logiciels..
Explication : D est incorrect car TMMi n\'est pas limité au modèle V ; il est indépendant du cycle de vie et applicable aux modèles V, itératifs et agiles. TPI l\'est aussi, contredisant l\'affirmation d\'une dichotomie entre les deux approches.

Réponse : 63.
Explication : Le Numéro de Priorité de Risque (NPR) est calculé en multipliant la probabilité d\'occurrence, la gravité de l\'impact et la détectabilité. Pour l\'élément de risque 2, ce calcul donne 63.

Réponse : Cela peut servir à renforcer leur confiance dans le système.
Explication : C est correct car impliquer les utilisateurs lors de l\'exécution renforce principalement leur confiance et leur acceptation en validant le comportement du système par rapport aux attentes opérationnelles réelles. D\'un point de vue avancé de gestion des tests, la participation des utilisateurs est une intervention d\'engagement des parties prenantes qui réduit le risque de déploiement.

Réponse : Les préoccupations concernant l\'interface utilisateur augmentent la probabilité d\'un risque dans ce domaine et augmentent la quantité d\'effort de test nécessaire pour l\'interface utilisateur, limitant ainsi l\'effort de test disponible pour d\'autres parties de l\'outil de gestion de test..
Explication : L\'option B est correcte car elle modifie explicitement à la fois la probabilité évaluée et l\'impact basé sur les ressources (couverture de test), ce qui altère l\'exposition au risque produit et force une réévaluation des priorités. Le risque augmente (probabilité × conséquence) avec la réallocation des ressources.

Réponse : Exécution des tests.
Explication : L\'exécution des tests représente la portion la plus importante et la moins prévisible de la variabilité (taux de découverte de défauts, disponibilité de l\'environnement, productivité humaine, boucles de rework). C\'est donc la partie la plus difficile à estimer.

Réponse : Les critères d\'entrée et de sortie sont un moyen principal d\'obtenir des ressources adéquates..
Explication : C est correct car les critères d\'entrée et de sortie sont des portes de qualité objectives pour les transitions de niveau et la prise de décision, non des mécanismes destinés à sécuriser les ressources. Ils spécifient des conditions mesurables soutenant les décisions arrêt/go et protègent les activités en aval.

Réponse : Créer une estimation basée sur la technique d\'analyse de points de fonction et l\'analyse de points de test.
Explication : La réponse A est correcte car l\'analyse de points de fonction combinée à l\'analyse de points de test produit une estimation précoce basée sur la taille, spécifique aux tests, indépendante de la disponibilité du code source. L\'APF fournit une métrique de taille fonctionnelle, l\'APT traduit cette taille en effort de test en appliquant les facteurs de testabilité et de qualité.

A. Verify that 97% accuracy meets requirements for all downstream systems that consume the extracted data. Incorrect. Important, but it doesn't ensure the confidence signal is reliable across different cases--it only checks overall acceptability. B. Analyze accuracy by document type and field to verify high-confidence extractions perform consistently across all segments, not just in aggregate. Correct. Aggregate accuracy can hide weak spots. You need to ensure confidence >90% is trustworthy across all segments, otherwise automation may introduce systematic errors. C. Compare accuracy at different confidence thresholds (85%, 90%, 95%) to find the optimal cutoff that maximizes automation while minimizing errors. Incorrect. Useful for tuning, but only after confirming the confidence signal is consistent and reliable across segments. D. Run a two-week pilot routing 25% of high-confidence extractions directly to downstream systems and monitor error reports. Incorrect. A pilot is valuable, but deploying without validating segment-level reliability first introduces avoidable risk.

A. Create a new "Focus" playlist with curated tracks and notify the user it's ready. Incorrect. This assumes intent and may do the wrong action, frustrating users. B. Ask one clarifying question about action type: play now or configure for later Correct. This minimizes friction while resolving ambiguity, enabling the assistant to take the right action quickly. C. Play popular focus tracks immediately and let the user redirect if needed Incorrect. Acts prematurely and may not match user intent. D. Start preference configuration by asking about genres, tempo, and artists Incorrect. Too heavy upfront--adds unnecessary friction before confirming intent.

A. The coordinator agent receives the web search agent's output and includes relevant findings in the prompt when invoking the document analysis agent. Correct. This follows the standard orchestration pattern where the coordinator manages all data flow, explicitly passing outputs between subagents. B. The agents communicate through an event-driven message queue, with the document analysis agent subscribing to web search completion events. Incorrect. This introduces unnecessary infrastructure complexity and is not the typical agent orchestration model. C. The web search agent directly invokes the document analysis agent, using the discovered sources as parameters. Incorrect. Subagents should not invoke each other directly; this breaks centralized control and observability. D. Both agents access a shared memory store where the web search agent writes findings and the document analysis agent reads them. Incorrect. While possible in advanced systems, this is not the standard or simplest approach; it adds complexity without clear necessity in typical pipelines.

A. Implement post-processing to detect and strip common greeting phrases from response beginnings Incorrect. This is a fragile fix and can accidentally remove useful or context-specific language. B. Add system prompt instructions specifying phrases to avoid, such as "Never begin responses with 'Certainly' or similar affirmations" Correct. This directly addresses the root cause by guiding generation behavior consistently across all turns. It prevents repetition before it happens, rather than cleaning it up afterward. C. Lower the temperature parameter to make response openings more deterministic and less variable Incorrect. Lower temperature reduces variability but often increases repetition patterns, not reduces them. D. Append a partial assistant message with a direct response opening that the model will continue from Incorrect. This can shape a single response style, but it does not reliably eliminate repetitive openings across an entire conversation.

A. Move all tool responses to a vector database with semantic indexing, retrieving relevant portions as the conversation continues Incorrect. This adds unnecessary infrastructure complexity for a short-lived conversational context problem. B. Extract only return-relevant fields (items, purchase date, return window, status) from each existing order response, removing verbose details Correct. This preserves the information needed for the current task while significantly reducing context bloat before additional lookups. C. Have the model generate a natural language summary of each order's key details, replacing structured responses with prose descriptions Incorrect. Natural language summaries are less compact and may omit structured details needed for accurate return handling. D. Proceed with additional lookups without modifying the existing tool output context Incorrect. This worsens context crowding and increases the risk of degraded performance.

A. Claude's memory retention is limited to two conversational turns by default, requiring explicit configuration to extend it. Incorrect. There is no fixed "two-turn memory limit" like this; context is determined by what the application sends, not a built-in short memory window. B. The prompt lacks instructions telling Claude to remember information across multiple exchanges. Incorrect. System prompts don't control memory persistence. The model does not "forget" within context unless information is missing from input. C. The verification tool is clearing the agent's internal state after each successful validation step. Incorrect. Tools do not automatically reset conversational context unless explicitly designed to do so--and that would be an application-level bug, not the most likely general cause. D. The conversation history isn't being passed in subsequent API requests. Correct. This is the most likely cause. The model is stateless, so if prior messages aren't included in each request, it behaves as if earlier verification steps never happened--leading to repeated questions like asking for the name again.

A. Choosing from 18 tools instead of 4­5 relevant ones increases decision complexity beyond reliable selection thresholds. Correct. This is the core issue: as the number of available tools grows, especially across multiple unrelated domains, the model's tool selection accuracy degrades due to increased choice entropy and decision load. Even if each tool is well-described, having too many options in the same context makes it harder for the model to reliably pick the correct one, leading to cross-role tool misuse. Why the others are not correct: B. Role-description conflict Incorrect Role prompts influence behavior, but they don't inherently break tool selection when tools are available. C. Context window usage Incorrect There's no indication of truncation or missing tool definitions--this is a selection problem, not a capacity problem. D. Coordinator tracking issue Incorrect The failure happens at the subagent decision level, not because the coordinator lacks awareness of tools.

A. The model extracts "et al." for co-authors when the full list exists only in an external document not in the input Correct. Retries won't help because the required information is not present in the input context. The model cannot recover missing data through repeated attempts. B. The model extracts citation counts as locale-formatted strings ("1234") when the schema requires integers Incorrect. This is a formatting issue that can be corrected through retries with validation feedback. C. The model extracts dates as ISO 8601 datetime strings ("2003-03-15T00:00:00Z") when the schema requires only the date portion (YYYY-MM-DD) Incorrect. Also a format mismatch, which retries can fix easily. D. The model extracts keywords as a nested object organized by category when the schema requires a flat array of strings Incorrect. This is a structural mismatch that can typically be corrected with retry feedback.

A. Clear parameter descriptions explaining expected format, such as "user_id: UUID of the user to update (required)" Correct. Clear, human-readable descriptions are the most important guidance for helping Claude understand what values to provide and how parameters should be structured. B. Verbose parameter names encoding format hints, such as user_id_string_uuid_format Incorrect. Overly verbose names reduce readability and are less effective than proper descriptions. C. Strict JSON Schema type constraints marking user_id as required and defining fields_to_update as an object type Incorrect. Schema constraints help validation, but they don't sufficiently explain semantic expectations like the required UUID format. D. Detailed error responses explaining why invalid parameter values were rejected Incorrect. Helpful after failure, but not the most critical factor for preventing mistakes initially.

A. Add a user_acknowledged: boolean parameter that must be set true, with instructions for the agent to only set it after the user explicitly confirms they reviewed the details Incorrect. This relies on agent discipline and is easy to bypass or mis-handle; it doesn't guarantee users actually see or understand key details. B. Implement a 60-second hold before execution completes, allowing users time to review pending allocations and cancel if needed Incorrect. Delays alone don't improve understanding; they only slow execution and may frustrate users without ensuring informed approval. C. Add a detail_level parameter with options "minimal" or "comprehensive" that controls how much context the agent presents in confirmations Incorrect. This improves formatting flexibility but does not ensure critical cost and impact information is consistently surfaced before approval. D. Return structured data including cost estimate, target project, resource specifications, and impact summary in the tool response Correct. This ensures that every allocation includes explicit, structured, reviewable details, reducing uninformed approvals and enabling users to understand cost and impact before proceeding.