Ne découvrez pas l'examen
le jour J

Réponse : CloudTrail.
Explication : AWS CloudTrail enregistre toutes les actions sur les ressources AWS et facilite la conformité.

Réponse : Vous remplacez de gros investissements initiaux par de faibles paiements variables.
Explication : Le modèle pay-as-you-go d’AWS supprime l’investissement de départ et facture uniquement à l’utilisation.

Réponse : Couplage faible (Loosely coupling).
Explication : Le couplage faible permet à chaque composant de fonctionner de manière indépendante, améliorant la résilience globale.

Réponse : AWS Identity and Access Management (IAM). Explication : IAM est un service AWS gratuit — il n'y a aucun frais supplémentaire pour créer des utilisateurs, des groupes, des rôles ou des politiques. Vous ne payez que pour les ressources AWS auxquelles les utilisateurs authentifiés accèdent, pas pour IAM lui-même.

Réponse : Réduction du time-to-market / Remplacement du CAPEX par l’OPEX.
Explication : AWS permet d’aller plus vite sur le marché et de transformer des investissements lourds en coûts variables faibles.

Réponse : Amazon CloudWatch.
Explication : Amazon CloudWatch permet de surveiller l’état, la disponibilité et la performance des instances EC2.

Réponse : Une région AWS est un emplacement géographique regroupant plusieurs Zones de Disponibilité.
Explication : Une région AWS se compose de plusieurs AZ physiques, séparées, mais proches, pour la tolérance de panne et la redondance.

Réponse : Amazon EC2 / AWS Lambda.
Explication : Amazon EC2 et AWS Lambda offrent des ressources de calcul : EC2 pour des serveurs virtualisés, Lambda pour du serverless à la demande.

Réponse : AWS CloudTrail. Explication : AWS CloudTrail enregistre les appels API effectués aux services AWS, fournissant une piste d'audit complète de qui a fait quelle demande, d'où et quand. C'est l'outil principal pour la gouvernance, la conformité et l'audit de sécurité.

Réponse : Infrastructure Event Management.
Explication : L’option Infrastructure Event Management offre des conseils spécialisés lors de pics d’activité ou de lancement importants.

RAG (Retrieval Augmented Generation) : technique qui récupère dynamiquement les passages pertinents des PDFs avant génération, sans charger l'intégralité des documents. Contrairement au fine-tuning coûteux ou au zero-shot imprécis, RAG optimise coût/performance en enrichissant chaque requête avec contexte ciblé via Knowledge Base Bedrock.

SageMaker Clarify : outil spécialisé pour l'explicabilité et l'audit de modèles ML. Il génère des rapports détaillés sur l'interprétabilité des prédictions (SHAP, LIME) et quantifie les biais potentiels par démographie. Contrairement à Inspector (conformité infrastructure), Macie (données sensibles) et Rekognition (détection visuelle), Clarify cible spécifiquement l'évaluation et la transparence algorithmique en santé.

Pipeline RAG - Ordre critique des étapes : L'ingestion précède le chunking (sinon pas de documents à traiter), suivi de l'embedding (conversion texte→vecteurs) et du stockage vectoriel (indexation pour recherche). Cet ordre est irréversible : on ne peut générer d'embeddings sans chunks ni les stocker sans les embeddings d'abord.

Data drift et réentraînement : la dérive de données survient quand les caractéristiques des données en production divergent du corpus d'entraînement. Augmenter le volume ET la diversité des données permet au modèle de capturer davantage de variations et de patterns réels, améliorant ainsi sa généralisation. Cependant, cela atténue mais ne résout pas complètement le drift—un monitoring continu et un pipeline de réentraînement régulier restent essentiels.

Métrique d'erreur vs Classification : MSE (Mean Squared Error) mesure la distance numérique entre valeurs prédites et réelles, idéale pour la régression. En classification d'images, les étiquettes sont catégoriques (chat/chien), pas numériques continues. Les métriques appropriées sont Accuracy, Precision, Recall ou F1-score qui évaluent la correctness des prédictions catégoriques.

BLEU (Bilingual Evaluation Understudy) est la métrique standard pour évaluer la traduction automatique : elle compare les n-grammes de la traduction générée avec ceux des traductions humaines de référence. ROUGE est dédié à l'évaluation des résumés automatiques, METEOR est une alternative plus flexible à BLEU, et NIST est une variante améliorée de BLEU tenant compte de la fréquence des n-grammes.

BLEU (Bilingual Evaluation Understudy) : métrique standard en traduction automatique qui mesure la similitude entre la traduction générée et des références humaines via la comparaison de n-grammes. BLEU évalue la qualité globale en cherchant des correspondances de mots et phrases. Contrairement à ROUGE (résumé), METEOR (flexibilité) ou WER (taux d'erreur mot-à-mot), BLEU reste la métrique automatisée de référence pour l'évaluation systématique de la traduction.

Partial Dependence Plots (PDPs) : visualisent l'effet marginal moyen d'une feature sur les prédictions en moyennant les autres variables. Ils isolent l'impact d'une seule variable indépendamment de ses interactions, permettant d'interpréter comment le modèle réagit aux changements de cette feature. Contrairement aux graphiques de dépendance individuelle (ICE plots) qui montrent des trajectoires par instance, les PDPs agrègent ces effets pour révéler la tendance globale du modèle.

S’assurer que le rôle IAM assumé par Bedrock a s3:GetObject et les permissions de déchiffrement adéquates pour le mode de chiffrement utilisé.

Amazon Bedrock Invocation Logging : service dédié qui capture automatiquement chaque prompt envoyé et chaque réponse générée par les modèles. Contrairement à CloudTrail (logs API uniquement), EventBridge (routage d'événements) ou Trusted Advisor (optimisation), seul Bedrock Invocation Logging offre la traçabilité complète des contenus pour auditer, déboguer et améliorer la qualité des applications GenAI.

Pilier Inspection : Examen régulier des artefacts Scrum et de la progression vers les Objectifs de Sprint afin d'identifier rapidement les écarts. Cela permet une adaptation en temps opportun avant que les problèmes ne s'aggravent. Contrairement aux audits de code ou aux évaluations de performance (centrées sur l'individu), l'inspection met l'accent sur une mesure transparente et empirique du travail et des résultats de l'équipe.

Réponse : La productivité en pâtit ; les équipes feature génèrent moins de surcharge de communication ; la productivité par équipe est plus facile à mesurer.
Explication : La transition des équipes par composant vers des équipes feature entraîne une baisse temporaire de la productivité lors de la réorganisation des équipes. Cependant, les équipes feature réduisent la surcharge de coordination entre les couches et permettent une mesure plus claire de la productivité par fonctionnalité métier.

Continuité des Sprints : Les Sprints sont des événements consécutifs limités dans le temps, sans interruption entre eux. Dès qu'un Sprint se termine, le suivant commence immédiatement, assurant ainsi des cycles de livraison continus. Cela élimine les périodes d'inactivité et maintient la dynamique de l'équipe, sans pause pour la planification ou les transitions.

Responsabilité du Product Owner : Le Product Owner est seul responsable de la gestion du Product Backlog, notamment de sa création, de son ordonnancement et de son affinement. Ce rôle garantit l'alignement entre les objectifs métier et le travail de développement. Bien que les Développeurs réalisent les éléments et que le Scrum Master facilite le processus, aucun des deux ne partage la propriété du Backlog. Les parties prenantes influencent les priorités, mais n'ont pas de responsabilité formelle à ce titre.

Objectif de la Sprint Review : Un événement formel au cours duquel la Scrum Team inspecte l'Incrément et adapte le Product Backlog avec les parties prenantes. Le Product Owner invite les parties prenantes clés à fournir des retours, favorisant la transparence et la collaboration essentielles au succès du produit.

Réponse : Aucun travail restant au regard du DoD ; prêt à être livré aux utilisateurs finaux.
Explication : « Terminé » signifie que l'Increment satisfait pleinement la Definition of Done (tous les critères sont remplis) et se trouve dans un état tel que le Product Owner pourrait choisir de le livrer aux utilisateurs. Ces deux conditions réunies définissent l'exhaustivité.

Timebox de la Sprint Review : La Sprint Review a une durée maximale de 4 heures pour un Sprint d'un mois, proportionnellement réduite pour des Sprints plus courts (par exemple, 2 heures pour un Sprint de deux semaines). Cette timebox fixe garantit une inspection ciblée de l'Increment et évite des discussions interminables, préservant ainsi le rythme du Sprint et l'efficacité de l'équipe.

Réponse : Rappeler au PO que la priorité principale est le flux de valeur, reflété dans l'ordonnancement.
Explication : La responsabilité principale du Product Owner est d'ordonner le Product Backlog afin de maximiser la valeur. Le réordonnancement basé sur des dépendances externes (comme des retards fournisseurs) doit refléter des considérations de valeur, et non de simples contraintes de planification.

Réponse : Ils n'ont pas l'obligation d'y être ; ils doivent seulement s'assurer que l'équipe de développement tient un Daily Scrum.
Explication : Le Daily Scrum appartient à l'équipe de développement. Le rôle du Scrum Master est de veiller à ce que l'événement ait lieu et que sa durée limitée soit respectée, et non d'y participer ou de le faciliter.

Réponse : Les Developers.
Explication : Les Developers sont responsables de la création d'un Increment conforme à la Definition of Done. La DoD constitue leur engagement pour chaque Increment.

L'Ouverture et le Respect sont les valeurs correctes, car des décisions transparentes sur le Product Backlog témoignent d'ouverture en partageant clairement les informations avec l'équipe et les parties prenantes, et de respect en valorisant leurs contributions et leur compréhension des priorités. Bien que l'Engagement et la Focalisation soient des valeurs Scrum importantes, elles ne sont pas directement soutenues par la transparence en elle-même — la transparence est le fondement qui permet à ces valeurs de s'épanouir. Le Courage seul ne reflète pas la nature collaborative d'une prise de décision transparente.

Réponse : La Scrum Team (guidée par la DoD).
Explication : La qualité est une responsabilité partagée par l'ensemble de la Scrum Team. La Definition of Done guide les Developers dans la production d'Increments de qualité.

Réponse : Donner de la cohérence au Sprint.
Explication : L'Objectif du Sprint fournit un but unique qui guide le travail de l'équipe tout au long du Sprint, offrant ainsi une flexibilité dans la mise en œuvre.

Réponse : Taux de conversion, fidélisation des utilisateurs, satisfaction client (NPS).
Explication : L'EBM (Evidence-Based Management) se concentre sur les résultats : les métriques de conversion, de fidélisation et de satisfaction reflètent la valeur réelle du produit.

Réponse : Les Developers.
Explication : Le Daily Scrum est organisé pour et par les Developers. Le Product Owner et le Scrum Master peuvent y assister, mais ce n'est pas obligatoire.

Définition de l'Increment et standards de qualité : Un Increment représente une version concrète et fonctionnelle du produit qui intègre l'ensemble du travail accompli lors d'un Sprint. Chaque Increment — sans exception — doit satisfaire deux critères non négociables : il doit être utilisable (fonctionnellement opérationnel et générateur de valeur pour les parties prenantes) et doit être conforme à la Definition of Done (les standards de qualité explicites de l'équipe et les critères d'acceptation). Cette exigence s'applique quelle que soit la décision du Product Owner de le livrer immédiatement ou non. La Definition of Done garantit la cohérence, prévient l'accumulation de la dette technique et maintient l'intégrité du produit d'un Sprint à l'autre. Un élément du Product Backlog considéré comme terminé qui ne respecte pas ces standards ne peut pas être considéré comme faisant partie d'un Increment, ce qui préserve la transparence et permet des prévisions de vélocité fiables. Il s'agit d'un principe fondamental de Scrum qui protège à la fois la qualité du produit et la responsabilité de l'équipe.

Le Product Owner a l'autorité d'annuler un Sprint car il est responsable de la maximisation de la valeur du produit et de la gestion du Product Backlog. Bien que le Scrum Master facilite le processus et que les Developers exécutent le travail, seul le Product Owner dispose de l'autorité métier pour décider si le Sprint Goal n'est plus valide et justifier une annulation. Les Developers et le Scrum Master n'ont pas ce pouvoir de décision, bien qu'ils puissent soulever des préoccupations qui éclairent la décision du Product Owner.

Le Sprint Planning nécessite un Product Backlog suffisamment clair pour que les Developers puissent établir une prévision de Sprint en toute confiance. Si les éléments en tête de liste sont vagues, mal estimés ou ont des critères d'acceptation flous, les Developers ne peuvent pas s'engager de manière fiable sur un Sprint Goal. Le Scrum Master devrait contribuer à prévenir cette situation grâce à un refinement régulier — mais annuler le Sprint Planning n'est pas une pratique standard ; au contraire, l'équipe devrait affiner sur le moment ou choisir des éléments suffisamment clairs.

L'ordonnancement du Product Backlog est la responsabilité exclusive du Product Owner. Scrum ne prescrit pas de méthode d'ordonnancement spécifique — le PO utilise tout ce qui permet d'atteindre les objectifs du produit et d'optimiser la valeur livrée. Cela peut inclure le risque, la valeur d'apprentissage, les dépendances, le coût du délai, les retours des parties prenantes et des facteurs techniques. Ordonner uniquement par ROI, par effort ou selon les préférences des développeurs va à l'encontre de la responsabilité d'optimisation globale de la valeur qui incombe au PO.

Suivi continu des bénéfices : Le PMBOK 7e édition reconnaît que la création de valeur ne s'arrête pas à la livraison du projet. Le suivi des bénéfices est un processus stratégique qui commence dès les phases initiales du projet (identification et planification des bénéfices attendus) et se poursuit bien après la clôture, durant toute la phase opérationnelle. Cette approche permet de vérifier que les résultats livrés génèrent réellement la valeur promise et d'ajuster les stratégies si nécessaire.

Pourquoi cette réponse est correcte : Le PMBOK 7 adopte une perspective centrée sur la création de valeur commerciale durable. Le chef de projet participe activement à cet effort, notamment en définissant les indicateurs de bénéfices clés (KBIs) et en collaborant avec les parties prenantes pour assurer le suivi post-projet.

Distinction des autres options : Limiter le suivi à la clôture du projet (option 2) ignorerait les bénéfices réalisés en exploitation. Déléguer entièrement au commanditaire (option 3) contredit le rôle étendu du PM moderne. Restreindre aux projets avec ROI formalisé (option 4) ex

Processus de gestion de la qualité dans le PMBOK 7e édition : La gestion de la qualité suit une séquence logique et chronologique qui établit les fondations avant d'exécuter les contrôles. Planification de la qualité vient en premier car elle définit les standards, critères d'acceptation et métriques spécifiques au projet. Assurance qualité intervient ensuite pour auditer les processus et vérifier que les activités respectent les standards définis. Contrôle qualité suit immédiatement pour mesurer les livrables concrets contre les critères établis en phase de planification. Enfin, l'amélioration continue boucle le cycle en utilisant les données collectées pour optimiser les processus futurs. Cette séquence est irréversible : on ne peut pas contrôler sans avoir planifié, ni assurer la qualité sans standards préalables. Les autres options présentent des ordres illogiques (assurer la qualité avant de la planifier, ou contrôler avant de planifier) qui violent les principes fondamentaux du PMBOK. Cette approche s'aligne également avec les méthodologies agiles modernes qui intègrent la qualité dès le départ plutôt que de l'ajouter en fin de processus.

Facilitation de réunion : structure formelle plutôt que répression individuelle. Des tours de parole équitables, des questions adressées nommément et des normes de groupe explicites garantissent la participation égale et renforcent la qualité des décisions collectives.

Planification continue et adaptative dans le PMBOK 7 : Le PMBOK 7e édition représente une évolution majeure par rapport aux éditions précédentes en adoptant une approche plus flexible et itérative de la gestion de projet. Contrairement au modèle traditionnel en cascade où un plan détaillé était élaboré une seule fois au début du projet et devait être respecté rigidement, le PMBOK 7 reconnaît que les projets évoluent dans un environnement incertain et complexe. La planification est donc recommandée comme un processus continu tout au long du cycle de vie du projet, permettant d'ajuster les objectifs, les ressources et les stratégies en fonction des apprentissages et des changements de contexte. Cette approche s'aligne avec les principes agiles et hybrides, où la planification détaillée se fait par incrément ou itération, plutôt que de prévoir tous les détails à l'avance. Cela permet une meilleure réactivité face aux risques, aux opportunités et aux retours des parties prenantes, garantissant que le plan reste pertinent et réalisable.

Fast-tracking et crashing : Le fast-tracking parallélise les activités séquentielles pour réduire la durée sans ressources supplémentaires. Le crashing ajoute des ressources aux tâches critiques pour les accélérer. Contrairement aux distracteurs, ces techniques ne modifient ni le périmètre ni le budget global.

Valeur Acquise (EVM) : méthode intégrée combinant portée, calendrier et coûts pour mesurer la performance réelle du projet. Elle permet de comparer le travail réalisé (valeur acquise) au travail planifié (valeur planifiée) et aux coûts engagés, offrant une vision globale et objective de l'état du projet, contrairement aux approches isolées mesurant un seul paramètre.

Diagramme de Pareto : outil statistique appliquant le principe 80/20 pour identifier les causes majeures générant 80% des problèmes. Utilisant les données collectées, il classe les défauts par fréquence décroissante. Contrairement au diagramme d'Ishikawa (analyse structurée des causes) ou aux graphiques temporels, Pareto priorise les actions correctives en ciblant les causes principales.

Gestion des connaissances en projet (Knowledge Management) : processus structuré permettant de capturer, organiser, partager et utiliser les apprentissages pour améliorer la performance organisationnelle. Selon le PMBOK 7e édition et les bonnes pratiques de gestion de projet, cette démarche suit une séquence logique immuable.

Pourquoi cet ordre spécifique est optimal : D'abord, collecter les connaissances est l'étape fondatrice : elle implique d'identifier, documenter et capturer les informations pertinentes issues de l'expérience terrain, des leçons apprises, des décisions prises et des résultats obtenus. Sans cette collecte systématique, on perd les apprentissages critiques. Ensuite, structurer et organiser transforme les données brutes en information exploitable : création de taxonomies, classement par thèmes, formats standardisés, métadonnées claires. Cette organisation préalable est essentielle car elle rend la connaissance accessible et compréhensible. Puis, partager avec l'équipe diffuse ces connaissances structurées via des canaux appropriés (bases de données, wikis, réunions, formations, mentorat). Le partage doit intervenir après la structuration, sin

Démonstrations fréquentes en projets hybrides : pratique essentielle pour recueillir régulièrement le feedback client, valider l'adéquation des livrables aux attentes réelles et ajuster dynamiquement les priorités. Contrairement aux approches purement prédictives, cela réduit les risques de dérive et garantit une meilleure alignement produit-client.

Indice de performance des coûts (CPI) : ratio des valeurs acquises sur dépensées. CPI = 0,85 signifie 85 centimes de valeur pour chaque euro dépensé, donc dépassement budgétaire. Indice de performance du calendrier (SPI) : SPI = 1,0 indique une progression conforme au planning. Le projet avance à l'allure prévue malgré les surcoûts.

Cette question correspond à l’objectif FL-5.4.1 (K2) – Résumer la manière dont la gestion de configuration soutient les tests.
● a) Faux → Ce n’est pas un rôle de la configuration mais de la stratégie de test.
● b) Correct → Le cœur de la gestion de configuration, c’est le suivi des versions, des liens entre livrables et des artefacts.
● c) Faux → Ce n’est ni toujours souhaitable, ni une responsabilité de la configuration.
● d) Faux → Les spécifications sont sous contrôle de gestion produit.

Cette question correspond à l’objectif d’apprentissage FL-1.2.3 (K2) – Expliquer la relation entre erreur, défaut et défaillance.
● a) Faux → Une erreur est une faute humaine qui peut introduire un défaut, mais ce n’est pas une anomalie détectée en production.
● b) Faux → Un défaut peut exister sans être visible par l’utilisateur final.
● c) Correct → Une erreur humaine peut entraîner un défaut dans le logiciel, qui peut causer une défaillance en production
● d) Faux → Une défaillance est une anomalie observée lors de l’exécution, pas un problème directement présent dans le code source.

Cette question correspond à l’objectif d’apprentissage FL-1.5.3 (K2) – Distinguer les avantages et les inconvénients de l\'indépendance du test.

● a) Correct → Une équipe trop indépendante peut manquer d’informations essentielles sur le produit et son contexte d’utilisation.
● b) Faux → Une plus grande objectivité est un avantage, et non un inconvénient.
● c) Faux → Une séparation trop marquée peut au contraire augmenter les conflits entre testeurs et développeurs.
● d) Faux → Une équipe totalement indépendante n’accélère pas forcément les tests, cela dépend de l’organisation en place.

Cette question correspond à l’objectif d’apprentissage FL-1.4.3 (K2) – Différencier les composants du testware qui soutiennent les activités de test.
La bonne réponse est a) 1B, 2B, 3C, 4D

● 1A (Faux) → Le cahier des charges appartient à la documentation des exigences, car il définit les attentes des utilisateurs.
● 2B (Correct) → Les spécifications détaillées sont une partie de la documentation
des exigences, car elles précisent les aspects fonctionnels et non fonctionnels.
● 3C (Correct) → Le plan de test appartient à la documentation de test, car il définit la stratégie et l’organisation des tests.
● 4D (Correct) → Le rapport de test fait partie de la documentation des résultats, car il synthétise les observations et les anomalies détectées.

Cette question correspond à l’objectif d’apprentissage FL-1.2.2 (K1) – Rappeler la relation entre les tests et l’assurance qualité.
● a) Correct → Les tests font partie des activités d’assurance qualité, qui incluent également l’amélioration des processus, la documentation et le respect des normes.
● b) Faux → Les tests ne remplacent pas l’ensemble de l’assurance qualité, qui couvre un périmètre bien plus large (gestion des risques, validation des exigences, etc.).
● c) Faux → L’assurance qualité ne se limite pas aux tests, elle englobe des pratiques préventives et correctives.
● d) Faux → Les tests et l’assurance qualité sont liés : l’assurance qualité vise à améliorer la qualité globale du produit, et les tests en sont un des moyens.

Cette question correspond à l’objectif d’apprentissage FL-1.4.1 (K2) – Résumer les différentes activités et tâches de test.

La réponse correcte est a) 1A, 2B, 3C, 4D

● 1A (Correct) → Définir les critères d’entrée et de sortie fait partie de l’analyse des tests.
● 2B (Correct) → La conception des tests consiste à élaborer les cas de test à partir
des exigences et spécifications.
● 3C (Correct) → L’implémentation des tests inclut la préparation de l’environnement et des données de test.
● 4D (Correct) → La clôture des tests implique de vérifier l’exécution des tests et d’analyser les résultats.

Cette question correspond à l’objectif d’apprentissage FL-3.1.2 (K2) - Expliquer la valeur du test statique.
● a) Correct → Les tests statiques permettent d’identifier des défauts sans exécuter le logiciel, via des revues ou des analyses statiques.
● b) Faux → Tester le logiciel en l’exécutant relève des tests dynamiques.
● c) Faux → Tester la performance du logiciel sous charge relève des tests de performance, qui sont des tests dynamiques.
● d) Faux → Les tests statiques ne concernent pas l’implémentation des tests automatisés.

Cette question correspond à l\'objectif d\'apprentissage FL-4.1.1 (K2) - Distinguer les  techniques de test boîte noire, boîte blanche et basées sur l\'expérience.
● a) Faux - Cette combinaison mélange des techniques basées sur l\'expérience (tests exploratoires) avec des techniques de test boîte noire (analyses de valeurs limites et tests par paires). Les tests par paires et les analyses de valeurs limites sont des
techniques systématiques basées sur les spécifications, pas sur l\'expérience.
● b) Correct - Cette combinaison contient uniquement des techniques basées sur l\'expérience :

○ Tests basés sur l\'intuition : utilisation de l\'expérience et de l\'intuition du testeur pour identifier les zones problématiques
○ Tests exploratoires : apprentissage, conception et exécution des tests simultanément
○ Tests basés sur les check-lists : utilisation de listes de contrôle développées à partir de l\'expérience pour guider les tests
● c) Faux - Cette combinaison contient principalement des techniques de test boîte blanche (tests de chemins et tests de couverture d\'instructions), avec une technique basée sur l\'expérience (tests basés sur les défauts). Les tests de structure interne sont clairement des techniques boîte blanche.
● d) Faux - Cette combinaison mélange des techniques de test boîte noire (partitionnement d\'équivalence), des techniques basées sur l\'expérience (tests basés sur les risques), et des techniques de test boîte blanche (tests de structure de
contrôle). Ce n\'est donc pas une liste de techniques uniquement basées sur
l\'expérience.

Cette question correspond à l’objectif d’apprentissage FL-1.1.1 (K1) – Identifier les objectifs habituels du test.
● a) Faux → Il est impossible de démontrer qu’un logiciel est totalement exempt de défauts.
● b) Correct → Les tests réduisent le risque de défauts et augmentent la probabilité que le logiciel réponde aux exigences.
● c) Faux → Vérifier la conformité aux spécifications est une partie des tests, mais pas leur seul objectif.
● d) Faux → Les tests ne remplacent pas l’assurance qualité, qui inclut d’autres activités comme l’analyse des processus.

Cette question correspond à l’objectif d’apprentissage FL-1.4.1 (K2) – Résumer les différentes activités et tâches de test.
La bonne réponse est : d) 1C, 2B, 3D, 4A

● 1C) : Correct : La planification sert à préparer le cadre du test
● 2B) : Correct : La conception permet de définir les données, cas et conditions de test
● 3D) : Correct : L’exécution vérifie le résultat réel par rapport à l’attendu
● 4A) : Correct : Clôturer = évaluer, nettoyer, archiver, analyser les résultats

Les centres de données géographiquement dispersés avec réplication synchrone : la mise en miroir des données en temps réel sur des sites distants garantit un basculement immédiat si un site est endommagé par un séisme, éliminant ainsi la perte de données et minimisant les interruptions de service. Contrairement aux générateurs (alimentation électrique uniquement), aux sauvegardes hors site (délais de récupération), ou aux sites froids (délai d'activation), cette approche assure une disponibilité continue et une cohérence des données entre des installations physiquement séparées.

Réponse : Modifier le contenu de la formation récurrente.
Explication : La transition du télétravail vers le travail en présentiel introduit de nouvelles menaces à la sécurité physique (filature, navigation par-dessus l'épaule, sécurité des documents imprimés). Mettre à jour la formation récurrente de sensibilisation à la sécurité pour aborder les risques spécifiques au bureau constitue l'approche la plus ciblée et la plus efficace.

Réponse : Threat hunting.
Explication : Le threat hunting est une recherche proactive et fondée sur des hypothèses visant à détecter des menaces ayant contourné les contrôles de sécurité existants. Lorsque de nouveaux TTPs (Tactiques, Techniques et Procédures) sont identifiés mais que les règles du SIEM n'ont pas encore été mises à jour, les analystes recherchent manuellement des traces de ces comportements.

Fonction principale d'un pare-feu : L'avantage principal d'un pare-feu est de contrôler le trafic entrant et sortant en filtrant les paquets de données selon des règles de sécurité prédéfinies. Cela crée une barrière entre les réseaux internes de confiance et les réseaux externes non fiables, empêchant ainsi les accès non autorisés. Contrairement au chiffrement (B), à la détection de logiciels malveillants (C) ou au blocage des spams (D), le contrôle du trafic est le mécanisme de sécurité fondamental que les pare-feux sont spécifiquement conçus pour assurer.

Mise en œuvre de l'authentification multifacteur (MFA) : Le MFA requiert trois facteurs d'authentification indépendants — quelque chose que vous savez (mot de passe), quelque chose que vous possédez (jeton d'authentification) et quelque chose que vous êtes (biométrie comme l'empreinte digitale). Cette combinaison offre une sécurité en couches en exigeant plusieurs méthodes de vérification. Les autres options échouent car elles combinent des facteurs de même type (les questions de sécurité répètent le facteur « savoir ») ou incluent des éléments non liés à l'authentification (noms de domaine, URLs).

Réponse : Non-répudiation.
Explication : La non-répudiation garantit qu'un expéditeur ne peut pas nier avoir envoyé un message. Les signatures numériques assurent la non-répudiation — elles lient cryptographiquement un message à la clé privée de son expéditeur, prouvant ainsi la paternité du message et empêchant tout déni ultérieur.

Prévention des pertes de données (DLP) : contrôle de sécurité qui surveille, détecte et bloque la transmission de données sensibles via les e-mails et autres canaux. Le DLP inspecte les communications sortantes en temps réel pour empêcher tout partage externe non autorisé. Contrairement à la gestion des correctifs (mises à jour système), aux antivirus (détection de logiciels malveillants) ou à la mise en liste blanche des applications (contrôle des exécutables), le DLP protège spécifiquement contre l'exfiltration intentionnelle ou accidentelle de données en appliquant des politiques de gestion des données.

Contrôle Détectif : Un contrôle qui identifie les incidents de sécurité après qu'ils se sont produits. Un système SIEM qui examine les journaux chaque semaine détecte les violations après l'événement. Contrairement aux contrôles préventifs (qui bloquent les menaces avant qu'elles ne surviennent) ou aux contrôles correctifs (qui réparent les dommages), les contrôles détectifs se concentrent sur la découverte et l'analyse des événements de sécurité qui se sont déjà produits.

Réponse : Créer une demande de contrôle des changements.
Explication : Les modifications apportées aux systèmes de production — même les correctifs urgents — doivent suivre le processus de gestion des changements. La création d'une demande de contrôle des changements garantit une approbation, une documentation, une planification du retour arrière et une communication appropriées avant l'application du correctif.

Réponse : Chargement latéral (side loading).
Explication : Le chargement latéral désigne l'installation d'applications provenant de sources extérieures à une boutique d'applications officielle ou au dépôt approuvé par le fabricant. Cette pratique contourne les processus de vérification de sécurité et expose les appareils à des logiciels malveillants ou à des logiciels altérés.

Données non structurées vs structurées : Les données non structurées n'ont pas de schéma prédéfini (vidéo, image, audio). Une vidéo de formation est un exemple parfait car elle combine contenus visuels et auditifs sans organisation tabulaire. À l'inverse, SQL et CSV imposent des lignes/colonnes (structurées), tandis que JSON possède une structure hiérarchique définie (semi-structuré).

Dynamic Data Masking (DDM) limite l'exposition des données sensibles en masquant automatiquement les données pour les utilisateurs non autorisés — sans modifier les données stockées. Exemple : un numéro de carte bancaire 4532-1234-5678-9012 apparaît comme XXXX-XXXX-XXXX-9012 pour un agent de support, mais en clair pour un administrateur financier. Le masquage s'applique au moment de la requête. Les règles définissent quelles colonnes masquer et selon quel pattern (email, numéro de téléphone, texte aléatoire). C'est une protection complémentaire au RBAC, pas un remplacement du chiffrement.

UPDATE : commande SQL qui modifie les données existantes dans une table. Elle permet de changer les valeurs de colonnes spécifiques pour un ou plusieurs enregistrements. À ne pas confondre avec INSERT (ajouter de nouvelles lignes), DELETE (supprimer des lignes) ou ALTER (modifier la structure de la table).

Azure Cosmos DB : base de données NoSQL native du cloud, conçue pour supporter plusieurs modèles de données (documents, clé-valeur, graphe, colonnes). Elle offre une réplication automatique et transparente across régions géographiques avec garanties de latence faible et haute disponibilité via SLA. Contrairement à PostgreSQL (relationnel), Blob Storage (objet) ou SQL Managed Instance (SQL traditionnel), Cosmos DB combine flexibilité multi-modèle et distribution mondiale.

Azure SQL Managed Instance offre la compatibilité la plus élevée avec SQL Server on-premises (surface d'API proche de 100%). Il prend en charge les fonctionnalités avancées comme SQL Agent, le Service Broker, les linked servers, et les CLR assemblies — fonctionnalités souvent indispensables aux applications existantes. Azure SQL Database offre moins de compatibilité mais plus d'élasticité. Azure Database Migration Service (DMS) est l'outil de migration (pas une base de données). Pour les migrations lift-and-shift, SQL MI est la cible recommandée.

Azure Stream Analytics est un service de traitement de flux en temps réel (streaming). Il ingère des données en continu depuis des sources comme Azure Event Hubs (millions d'événements/seconde), Azure IoT Hub (appareils connectés) ou Azure Blob Storage. Il applique des requêtes SQL-like sur les données en mouvement pour détecter des anomalies, calculer des agrégations temporelles (fenêtres temporelles : sliding, tumbling, session), et déclencher des alertes. Les résultats sont envoyés vers Power BI, Azure SQL, Cosmos DB ou Event Hubs. Cas d'usage : détection de fraude, monitoring IoT, analyse de logs en temps réel.

SELECT est la commande SQL fondamentale pour lire et extraire des données d'une base de données. Elle permet de récupérer les lignes et colonnes spécifiées selon des critères définis. Contrairement à INSERT (ajouter), UPDATE (modifier) et DELETE (supprimer), SELECT n'altère jamais les données : c'est une opération de lecture sécurisée et essentielle en analytics.

Réponse : sqlcmd. Explication : sqlcmd est l'utilitaire de ligne de commande pour se connecter et interroger SQL Server et les bases de données Azure SQL. Il supporte l'exécution de requêtes T-SQL, de scripts et de procédures stockées directement depuis la ligne de commande.

Azure Database for PostgreSQL : service entièrement managé par Microsoft qui héberge des bases de données PostgreSQL sans gestion d'infrastructure. Contrairement à Azure SQL Database (SQL Server), il prend en charge spécifiquement le moteur PostgreSQL open-source. Azure Cosmos DB est non-relationnel, Azure Blob Storage est du stockage d'objets.

Durabilité (D) : propriété garantissant que toute transaction validée est écrite de façon permanente en base de données et survit aux pannes matérielles, crashes système ou coupures électriques. Contrairement à l'atomicité (tout ou rien), l'isolation (pas d'interférence) ou la cohérence (validité des données), la durabilité protège spécifiquement les données après leur validation définitive.

Réponse : Code société. Explication : Un établissement permanent ayant ses propres exigences de reporting financier statutaire est représenté comme un code société distinct dans SAP. Cela fournit à l'entité juridique son propre bilan, compte de résultat et la capacité à produire des états financiers autonomes comme requis par la loi suisse.

Réponse : Assignez un ordre interne réel dans les données de base d'immobilisation et réglez périodiquement à deux centres de coûts. Explication : Pour répartir les coûts d'amortissement à plusieurs centres de coûts, utilisez un ordre interne comme collecteur intermédiaire dans les données de base d'immobilisation. L'ordre interne est ensuite réglé périodiquement à l'aide de règles de distribution pour allouer les coûts à chaque centre de coûts.

Réponse : Financial Statement Version (FSV)
La Financial Statement Version (FSV) structure la présentation des états financiers (bilan, compte de résultat) pour la clôture. Elle définit la hiérarchie des postes du bilan et du P&L en regroupant les comptes G/L selon les exigences légales et normatives.

Réponse : Un transfert intra-société peut ajuster la base d’amortissement ; Un transfert inter-sociétés utilise un processus dédié ; L’historique des valeurs est conservé dans ACDOCA.
Explication : Les transferts déplacent la VNC/valeurs et préservent la traçabilité.

Réponse : In‑app key‑user (Custom Fields & Logic, adaptation UI) ; BAdI/API publiés (« released ») ; Side‑by‑side sur SAP BTP via services OData/événements.
Explication : Le clean core évite les modifications du standard : on favorise les extensions in‑app ou latérales via BTP et API stables.

Réponse : Valorisation devise, report de soldes, contrôles et publication
Les tâches de clôture GL incluent typiquement : la valorisation des devises étrangères (postes ouverts), la comptabilisation des abonnements/régularisations (accruals), le nettoyage des comptes GR/IR, le lettrage automatique (F.13), et enfin le report de soldes (FAGLGVTR) pour l'ouverture de l'exercice suivant.

Réponse : État des mouvements et soldes d'immobilisations
L'Asset History Sheet (AHS) est le rapport standard AA qui présente, pour chaque immobilisation, les valeurs de début de période, les acquisitions, les cessions, l'amortissement planifié et non planifié, et la valeur nette en fin de période. C'est le rapport de référence pour l'audit et la clôture.

Réponse : Stockage en colonnes ; Base de données in‑memory ; Forte compression ; Exécution des calculs côté base (push‑down).
Explication : HANA combine colonnes, compression et parallélisation ; les calculs sont poussés au moteur HANA via CDS/SQLScript pour des performances temps réel.

Réponse : App Fiori de type Analytical.
Explication : Les apps analytiques utilisent les vues CDS et les services d’analytique embarquée pour afficher KPIs/cartes et permettre du drill‑down.

Réponse : Comptes gérés en postes ouverts ; Critères d’égalité (montant/devise/date) ; Champs de correspondance (référence/assignation).
Explication : F.13 lettrent automatiquement selon règles et champs de correspondance.

Réponse : Penser et travailler de façon holistique.
Explication : Le principe \'Penser et travailler de façon holistique\' recommande de prendre en compte les quatre dimensions de la gestion des services pour éviter une vision en silos.

Réponse : En choisissant quelques méthodes clés pour les types d\'améliorations gérées par l\'organisation.
Explication : Plutôt que d\'adopter toutes les méthodes existantes, une organisation doit sélectionner quelques approches adaptées aux types d\'améliorations qu\'elle gère, pour rester cohérente et efficace.

Réponse : Déterminer qui est le consommateur du service dans chaque situation.
Explication : Lors de l\'application du principe \'Privilégier la valeur\', la première étape est d\'identifier qui est le consommateur, car la valeur est toujours définie du point de vue du consommateur du service.

Réponse : Habilitation des changements.
Explication : En ITIL 4, l\'habilitation des changements est responsable du déplacement des composants vers les environnements de production, garantissant que les changements sont correctement contrôlés et autorisés avant mise en production.

Réponse : Les centres de services doivent comprendre l\'organisation dans son ensemble.
Explication : Les centres de services doivent avoir une compréhension globale de l\'organisation pour orienter correctement les utilisateurs, comprendre les impacts des incidents et prioriser les demandes.

Réponse : Tout changement d\'état significatif pour la gestion d\'un service ou de tout autre élément de configuration.
Explication : Un événement est tout changement d\'état significatif pour la gestion d\'un service ou d\'un élément de configuration. Les événements peuvent déclencher des incidents, des problèmes ou des demandes.

Réponse : Le système de valeur des services.
Explication : Le système de valeur des services (SVS) est le concept ITIL 4 qui décrit comment tous les composants et activités, y compris la gouvernance, fonctionnent ensemble pour créer de la valeur.

Réponse : 1 et 4.
Explication : La résolution d\'un problème implique l\'amélioration continue (identifier et éliminer la cause) et le contrôle des changements (implémenter la correction de manière contrôlée et sécurisée).

Réponse : Pour planifier les changements et éviter les conflits.
Explication : Le calendrier des changements sert principalement à planifier les changements et à prévenir les conflits entre eux, en offrant une vue consolidée de tous les changements prévus.

Réponse : Le centre de services.
Explication : Le centre de services constitue le point de contact unique (SPOC) entre le fournisseur de services et les utilisateurs pour toutes les communications, demandes et incidents.

• Windows 365 Cloud PC fournit des PC persistants dans le cloud :

  • Chaque utilisateur obtient son propre environnement desktop

  • Les applications et paramètres sont conservés entre les sessions

  • Toujours disponible et indépendant des autres utilisateurs

• Les autres options ne répondent pas exactement au besoin :

  • A : Pooled session hosts partagent les sessions, donc l’environnement n’est pas persistant.

  • C : Single-session desktop dans AVD peut être persistant, mais nécessite plus de gestion et de configuration.

  • D : Azure App Service Web App héberge des applications web, pas un desktop complet persistant.

• Reminder (Rappel) permet d’envoyer une notification à une heure précise, même si l’application n’est pas ouverte.

• C’est la fonctionnalité qui déclenche une alerte automatique à 8h chaque matin.

  🎯 À retenir pour l’examen MS-900 :

  • Reminder = notification à une heure précise

  • Recurrence = répétition de la tâche

  • Les deux peuvent être combinés, mais pour recevoir une alerte à 8h, il faut activer le rappel.

Le Service Health Dashboard dans le centre d’administration Microsoft 365 permet :

• De consulter l’état actuel des services (Exchange, SharePoint, Teams, etc.)

• De voir les incidents en cours

• D’obtenir des mises à jour en temps réel

• De recevoir des avis et recommandations

Il aide les administrateurs à comprendre si un problème vient de Microsoft ou de leur propre environnement.

❌ Pourquoi les autres réponses sont incorrectes :

• A. Configurer des SLA personnalisés → Impossible. Les SLA sont définis par Microsoft.

• C. Correction automatique des incidents → Le dashboard informe, mais ne corrige pas automatiquement.

• D. Rapports mensuels détaillés de conformité SLA → Ce n’est pas sa fonction principale. Il montre l’état des services, pas des rapports analytiques mensuels complets.

  🎯 À retenir pour l’examen MS-900 :

  • Service Health Dashboard = visibilité en temps réel sur l’état des services Microsoft 365

  • Il informe, mais ne configure pas de SLA ni ne corrige automatiquement les incidents.

Microsoft 365 Apps propose différents canaux de mise à jour :

1. Current Channel (Canal actuel)

   • Reçoit les dernières fonctionnalités, correctifs et mises à jour de sécurité dès qu’elles sont publiées.

   • Idéal pour les utilisateurs qui veulent accéder rapidement aux nouveautés.

2. Monthly Enterprise Channel (Canal mensuel pour entreprises)

   • Regroupe les nouvelles fonctionnalités et correctifs dans une seule mise à jour mensuelle.

   • Fournit un rythme plus prévisible pour les équipes informatiques, tout en maintenant les correctifs de sécurité à jour.

• Hybrid cloud combine :

  • Une infrastructure locale (on-premises) pour les données sensibles

  • Des ressources cloud pour les environnements de test et développement accessibles globalement

• Les autres modèles ne répondent pas au besoin spécifique :

  • A : Public cloud seul placerait toutes les données dans le cloud, ce qui n’est pas conforme.

  • C : Private cloud est entièrement dédié mais limité aux ressources internes.

  • D : Community cloud est partagé entre organisations ayant des besoins similaires, pas adapté pour ce scénario mixte.

• Office 365 Message Encryption (OME) permet de :

  • Chiffrer automatiquement les emails selon des politiques définies

  • Protéger le contenu même si le destinataire n’utilise pas Office 365

• Les autres options ne répondent pas entièrement au besoin :

  • A : S/MIME nécessite que l’expéditeur configure manuellement le certificat et le chiffrement.

  • B : TLS sécurise la transmission, mais ne chiffre pas le contenu de manière persistante.

  • C : IRM contrôle l’utilisation et l’accès aux messages mais ne déclenche pas le chiffrement automatique basé sur des règles.

• La section Token Usage :

  • Montre le nombre total de tokens AI utilisés par votre organisation sur une période donnée.

  • Permet de suivre l’utilisation et estimer les coûts liés à l’usage de Copilot.

• Les autres sections ne fournissent pas cette information :

  • User Engagement → suit l’activité des utilisateurs avec Copilot.

  • Prompt Library → contient les prompts enregistrés et réutilisables.

  • Security Insights → fournit des informations de sécurité et de conformité.

    🎯 À retenir pour l’examen MS-900 :

    • Token Usage = suivi de la consommation de tokens et des coûts Copilot

    • Les autres sections se concentrent sur activité utilisateur, sécurité ou prompts.

• Pour pouvoir réclamer un crédit SLA, il est essentiel de documenter immédiatement toute interruption et de la comparer aux seuils définis dans le SLA.

• Sans preuves précises et horodatées, Microsoft peut rejeter la demande, même si le service a été interrompu.

• Les autres options ne résolvent pas le problème de suivi et documentation :

  • Automatiser les crédits (B) n’est pas possible.

  • Migrer vers un autre tenant (C) est excessif et non nécessaire.

  • Configurer des alertes (D) aide à la notification mais ne remplace pas la documentation des interruptions.

• Viva Insights mesure des indicateurs de productivité et de bien-être :

  • Temps de concentration (Focus time hours)

  • Pauses après réunions (After-meeting breaks)

  • Indicateurs d’efficacité des réunions (Meeting effectiveness score)

• Le coût des licences Microsoft 365 n’est pas un indicateur suivi par Viva Insights, car il relève de la gestion financière et non de la productivité.

• Dans Viva Connections, le menu de navigation global est alimenté par la navigation du site d’accueil SharePoint.

• En configurant un mega menu dans les paramètres du site, vous permettez aux employés de naviguer facilement vers les ressources importantes de l’entreprise.

• Les autres options ne créent pas de navigation globale :

  • A : List view web part affiche simplement une liste, pas un menu de navigation.

  • C : News web part affiche des actualités, pas des liens de navigation.

  • D : Quick links ne fournit qu’une section de liens sur la page, pas un menu global accessible depuis toutes les pages.

• CAF DevSecOps recommande d’intégrer la sécurité et la conformité dès la phase de conception et de déploiement.

• Azure Blueprints permet de :

  • Appliquer des politiques et des contrôles RBAC cohérents sur plusieurs souscriptions

  • Garantir que toutes les ressources déployées respectent les standards internes et réglementaires

  • Automatiser la conformité dès la création de l’infrastructure (Infrastructure as Code)

• Cela offre une remédiation et un contrôle centralisé, ce qui répond directement aux exigences de gouvernance DevSecOps.

• Scenario : appliquer MFA aux guests externes, sans dépendre de la configuration du tenant partenaire.

• Conditional Access (CA) permet de :

  • Créer une politique ciblant uniquement les utilisateurs invités (User type = Guest)

  • Exiger MFA avant l’accès à vos ressources Microsoft 365 ou Azure

  • Fonctionner indépendamment du tenant d’origine de l’utilisateur → aucun changement requis côté partenaire

• C’est la meilleure pratique Microsoft pour sécuriser l’accès externe tout en restant compatible avec Zero Trust.

Dans Microsoft Purview Insider Risk Management, la fonctionnalité de gestion des cas avec contrôles de confidentialité intégrés permet :

• De restreindre l’accès aux cas uniquement aux enquêteurs assignés

• D’anonymiser certains utilisateurs pendant l’analyse (selon la configuration)

• De garantir la confidentialité des investigations

• De limiter la visibilité des informations sensibles

Cette fonctionnalité est spécifiquement conçue pour répondre aux exigences de confidentialité et de conformité liées aux enquêtes internes.

👉 Elle va au-delà du simple RBAC général en offrant des mécanismes dédiés aux enquêtes Insider Risk.

• Immutable vaults (coffres immuables) dans Azure Backup :

  • Empêchent toute modification ou suppression des points de récupération pendant une période définie

  • Garantissent la récupération fiable après ransomware ou suppression accidentelle

  • Permettent de fournir une preuve de conformité aux audits et metrics MCSB

• Complément :

  • MCSB (Microsoft Cloud Security Benchmark) recommande des backups immuables pour les données critiques, en particulier pour le secteur de la santé

• Microsoft Intune Device Compliance Policies permet de :

  • Appliquer le chiffrement FileVault sur macOS

  • Contrôler l’exécution des applications via des règles de conformité et d’application

  • Reporter la posture de sécurité des endpoints à Microsoft Entra Conditional Access, permettant de bloquer l’accès aux ressources si le poste n’est pas conforme

• Cette solution couvre tous les objectifs de sécurité demandés pour les postes macOS.

• Problème : les applications legacy utilisent souvent des protocoles d’authentification non sécurisés (ex : IMAP, POP3, SMTP Auth)

• Ces protocoles contournent Conditional Access, ce qui crée une surface d’attaque importante

• Solution Microsoft recommandée pour Zero Trust :

  • Bloquer la legacy authentication dans Conditional Access

  • Appliquer MFA et autres contrôles modernes uniquement sur les applications et utilisateurs qui supportent les protocoles modernes

  • Réduire considérablement le risque de compromission des identités

• Objectif d’un tabletop exercise :

  • Identifier lacunes dans les procédures, rôles et responsabilités

  • Former les parties prenantes à la coordination et aux étapes critiques

• Observation : les chemins d’escalade ne sont pas clairs

  • Correctif immédiat = mettre à jour la documentation BCDR

  • Validation = planifier un nouvel exercice pour s’assurer que tous comprennent les procédures

• Cette approche :

  • Est non intrusive, sécurisée et pédagogique

  • Permet de corriger les processus sans risquer les systèmes en production

Pourquoi Purview Sensitivity Labels :

• Permet de classer et protéger les documents et emails

• Applique automatiquement :

  • Chiffrement au repos et en transit

  • Restrictions d’usage (ex. ne pas copier, ne pas imprimer, ne pas transférer) même lorsque le fichier est téléchargé ou partagé en externe

• Contrôle la protection persistante des fichiers, indépendamment du lieu où ils sont ouverts

• Azure Key Vault :

  • Permet de centraliser tous les certificats TLS/SSL

  • Offre intégration native avec certaines CA pour le renouvellement automatique

  • Réduit le risque de pannes ou interruptions liées à l’expiration

  • Fournit gestion centralisée du cycle de vie (création, renouvellement, révocation, suivi)

• C’est la solution recommandée pour des environnements à grande échelle avec de nombreux certificats, comme une plateforme e-commerce.

Microsoft Defender for Cloud inclut un tableau de bord de conformité réglementaire qui permet :

• D’évaluer la conformité par rapport à des standards reconnus (comme le CIS Microsoft Azure Foundations Benchmark).

• D’afficher les contrôles conformes et non conformes.

• De fournir des recommandations de remédiation détaillées pour chaque contrôle non conforme.

• D’automatiser certaines corrections via Azure Policy.

Cela correspond exactement au besoin :
👉 valider la conformité ET obtenir les actions correctives associées.

La bonne pratique GCP est d'utiliser les comptes de service comme filtres source/cible dans les règles de pare-feu plutôt que des plages IP, ce qui permet un contrôle plus précis. Les règles doivent autoriser uniquement TCP 8080, pas tout le trafic.

Les deux méthodes efficaces sont : les quotas personnalisés (limitent les octets traités par utilisateur/projet) et le passage au modèle forfaitaire avec slots (coût fixe prévisible). Créer des copies multiples augmenterait les coûts de stockage.

gVisor est un sandbox kernel qui isole les conteneurs du système hôte via un kernel applicatif intercalé. Pour du code arbitraire client, c'est l'isolation la plus forte disponible dans GKE, bien supérieure à la simple isolation des conteneurs standard.

Dans Cloud Run, le fractionnement du trafic se fait entre révisions du même service (pas entre services différents). Créer une nouvelle révision et diviser le trafic est la méthode native recommandée pour les déploiements canary sur Cloud Run.

Pour créer un nouveau compte de facturation ET le lier à un projet, il faut être Project Billing Manager sur le projet. Cette option crée bien un nouveau compte de facturation (comme demandé) et le lie au projet existant.

La cause d'échec est généralement un conflit de noms entre les instances et les disques persistants existants. Créer un nouveau template valide et supprimer les disques conflictuels résout le problème sans over-engineering supplémentaire.

L'export de facturation vers BigQuery est automatique et inclut les nouvelles données en quasi-temps réel. Data Studio peut se connecter à BigQuery pour créer des visualisations dynamiques couvrant tous les projets et comptes de facturation en une seule vue.

Le rôle storage.objectCreator est le plus approprié : il permet uniquement la création d'objets dans le bucket (principe du moindre privilège). storage.objectAdmin donnerait trop de permissions (lecture, modification, suppression). Les scopes d'accès sont une ancienne méthode non recommandée.

Puisque le workload est tolérant aux pannes, les VMs préemptibles sont idéales (jusqu'à 80% moins chères). Le test avec des événements de maintenance simulés valide la tolérance aux interruptions avant de basculer en production.

L'option --preview de Deployment Manager permet de valider les dépendances et de visualiser les ressources qui seraient créées/modifiées sans réellement les déployer, offrant ainsi le retour le plus rapide dans le même projet.

Une équipe de développement auto-organisée décide collectivement de la manière d'accomplir son travail et est responsable de la création de son Sprint Backlog en tenant compte de la Définition of Done. Les options C et E sont correctes : L'option C illustre une replanification collaborative tout au long du Sprint (auto-organisation), et l'option E montre l'équipe créant son propre Sprint Backlog en respectant la Definition of Done. L'option A reflète des silos basés sur les rôles (absence d'auto-organisation), l'option B implique une optimisation par le management (direction externe), et l'option D introduit des personnes extérieures (ce qui nuit à l'autonomie de l'équipe).

Réponse correcte : Faux. Le Guide Scrum exige un Incrément unique et intégré à la fin de chaque Sprint, même dans les environnements à grande échelle. Des branches séparées par équipe nuisent à cette transparence et créent un risque d'intégration. Chaque équipe doit œuvrer à la réalisation d'un seul Incrément livrable qui démontre une progression continue vers l'objectif du produit.

Bonne réponse : Option 2. Le Scrum Master doit faciliter la découverte en invitant l'équipe à réfléchir sur la valeur et les risques liés à une participation complète, lui permettant ainsi de s'auto-organiser et de décider par elle-même. Cette approche consiste à accompagner plutôt qu'à ordonner. L'option 0 (imposer) est autoritaire. L'option 1 (culpabiliser) est manipulatrice. L'option 3 (abdiquer ses responsabilités) ignore le rôle du Scrum Master, qui est d'aider l'équipe à comprendre les pratiques Scrum et leurs bénéfices.

Lorsque plusieurs Scrum Teams travaillent à partir d'un Product Backlog partagé, la coordination s'effectue par auto-organisation et concertation, et non par une assignation descendante. Les équipes doivent sélectionner le travail en collaboration avec le Product Owner et entre elles, en respectant les capacités et les dépendances. Les autres options vont à l'encontre de l'accent mis par Scrum sur l'auto-organisation des équipes et l'autorité du Product Owner sur l'ordre du backlog.

Correct : Options 2, 3 et 5 - Les Scrum Masters efficaces utilisent le coaching, la formation et la sensibilisation des parties prenantes pour aider les organisations à adopter Scrum de manière durable. L'option 1 viole les principes de conduite du changement ; l'option 4 contredit les valeurs collaboratives de Scrum ; l'option 6 prolonge les événements au-delà de leur objectif initial, ce qui dilue leur efficacité.

Correct : Option 3 - L'auto-organisation est une valeur fondamentale de Scrum qui exige que les équipes de développement déterminent de manière autonome la meilleure façon d'accomplir leur travail dans des limites clairement définies. Les options 1 et 2 représentent des approches de commandement et de contrôle dans lesquelles la direction alloue les ressources, ce qui nuit à la capacité d'auto-organisation de l'équipe et viole les principes de Scrum.

Le Scrum Master enseigne et facilite — il aide les parties prenantes externes à comprendre les interactions Scrum et accompagne l'équipe dans le respect de la discipline du timebox. L'option 1 est incorrecte car le Scrum Master n'assigne pas les tâches ; l'option 3 est incorrecte car il ne gère pas le tableau ni ne résout les conflits ; l'option 4 est incorrecte car c'est le Development Team qui fait la démonstration lors de la Sprint Review, et non le Scrum Master.

Le rôle du management dans Scrum est de créer un environnement favorable, et non de microgérer ou de surveiller les performances individuelles. Selon le Guide Scrum, le management doit fournir des informations et des ressources qui soutiennent les Scrum Teams. Les options concernant le renvoi de personnes, la surveillance des niveaux de compétences ou le suivi de la vélocité représentent des comportements de type commande-et-contrôle qui vont à l'encontre des principes empiriques et auto-organisationnels de Scrum.

Un Scrum Master est un servant-leader qui gère le processus Scrum (la façon dont il est compris et mis en œuvre), la manière dont Scrum est appliqué au sein de l'organisation, et supprime les impediments qui bloquent la progression de l'équipe. Le Scrum Master ne gère PAS la capacité individuelle, ne rend pas compte des performances du Sprint, et ne gère pas le Product Backlog ni le Sprint Backlog — ces responsabilités incombent au Product Owner et à l'équipe de développement selon le Guide Scrum.

Correct : Options 1, 2 et 3 - Les Sprints de stabilisation indiquent que l'équipe n'a pas produit d'incréments potentiellement livrables lors des Sprints normaux, ce qui résulte d'une Definition of Done incomplète ou d'une dette technique accumulée. L'option 4 est fausse — Scrum décourage explicitement les Sprints de stabilisation. L'option 5 donne une fausse image de la personnalisation ; un Scrum correctement appliqué évite ce besoin.

Réponse : Le pourcentage de couverture de décision atteint durant les tests unitaires. / La disponibilité de la dernière version de l\'outil d\'enregistrement-rejoue (pour tester l\'interface avec le nouvel outil de gestion des tests)..
Explication : Les critères d\'entrée sont des conditions préalables concrètes et vérifiables avant l\'exécution. La couverture de décision des tests unitaires (A) et la disponibilité des outils requis (B) sont des critères d\'entrée classiques, mesurables et directs pour l\'intégration.

Réponse : Clôture du projet de test.
Explication : D est correct car la phase de clôture du projet de test produit le rapport de synthèse formelle, les artefacts de retours d\'expérience et les métriques consolidées qui constituent les principales entrées utilisées pour piloter et prioriser l\'amélioration du processus de test.

Réponse : Les métriques enregistrées lors du test de l\'outil de capture-rejouer..
Explication : C est correct car les métriques mesurées de l\'outil de capture-rejouer fournissent les données empiriques directes (taux d\'exécution, temps de création et maintenance des scripts, taux de faux positifs/négatifs, surcharge de configuration/nettoyage) nécessaires pour convertir les tâches de test spécifiées en estimations temporelles fiables et réduire l\'incertitude.

Réponse : Inspections.
Explication : Les inspections (B) sont les moins appropriées car c\'est une technique d\'examen statique, axée sur les défauts, destinée à trouver des non-conformités dans les produits de travail plutôt qu\'à identifier proactivement les risques projet et produit. Les inspections utilisent des listes de contrôle et une approche orientée détection de défauts, tandis que l\'identification des risques nécessite une exploration prospective des incertitudes futures.

Réponse : Prévoir un environnement de test de secours en cas de défaillance de l\'environnement existant pendant les tests.
Explication : C est correct car prévoir un environnement de test de secours est une mesure d\'atténuation proactive et au niveau du projet qui réduit la probabilité et l\'impact d\'une défaillance d\'environnement. L\'atténuation des risques projet consiste en actions anticipées et délibérées réduisant l\'exposition aux menaces identifiées. Un environnement redondant est une mesure classique car une défaillance d\'environnement est un point de défaillance unique fréquent pouvant arrêter complètement les tests et augmenter les coûts.

Réponse : Portabilité.
Explication : C est correct car la portabilité est un attribut non-fonctionnel de faible priorité pour un système de surveillance médicale critique pour la sécurité, normalement lié à des piles matériel/système d\'exploitation certifiées. La disponibilité, la sécurité et la fiabilité ont un impact direct sur le risque patient et les preuves réglementaires.

Réponse : Les développeurs perdent le sens des responsabilités et les testeurs indépendants peuvent devenir un goulot d\'étranglement..
Explication : Le test indépendant sépare la vérification du développement, ce qui peut diminuer le sens de la responsabilité des développeurs tandis que la coordination des tests et le triage des incidents se concentrent dans une équipe distincte qui peut devenir un goulot d\'étranglement processus.

Réponse : En fournissant un atelier sur les techniques de conception de tests.
Explication : Un atelier sur les techniques de conception de tests remédie directement à la faible efficacité de détection des défauts en dotant les testeurs de méthodes systématiques et répétables pour dériver des cas de test de meilleure qualité. Les techniques pratiques (partitionnement des équivalences, analyse des valeurs limites, tables de décision, transitions d\'état, techniques d\'appairage) améliorent la couverture et augmentent la probabilité de détection des défauts.

Réponse : Les critères d\'entrée et de sortie sont un moyen principal d\'obtenir des ressources adéquates..
Explication : C est correct car les critères d\'entrée et de sortie sont des portes de qualité objectives pour les transitions de niveau et la prise de décision, non des mécanismes destinés à sécuriser les ressources. Ils spécifient des conditions mesurables soutenant les décisions arrêt/go et protègent les activités en aval.

Réponse : Une approche des tests de régression.
Explication : Le plan directeur de test est un document stratégique de haut niveau qui définit l\'approche globale, la portée, les objectifs et les risques. L\'approche des tests de régression est une décision stratégique appropriée à couvrir en détail, contrairement aux détails tactiques comme les valeurs limites ou l\'organisation des cas de test.

A. Enregistrer l'erreur côté serveur et retourner un résultat vide pour ne pas perturber le modèle — Incorrect. Cela masque les informations critiques sur l'échec, rendant impossible pour l'agent de distinguer « aucune donnée » d'une « défaillance système ». B. Lever une exception depuis le gestionnaire d'outil afin que le framework agent puisse la capturer et la journaliser — Incorrect. Les exceptions sont utiles en interne, mais l'agent a toujours besoin d'une réponse structurée de l'outil ; les exceptions brutes ne propagent pas de manière fiable un contexte utile au modèle. C. Retourner le message d'erreur dans le contenu du résultat de l'outil avec le flag isError défini à true — Correct. Il s'agit du modèle MCP approprié : l'outil signale explicitement l'échec en utilisant isError: true, tout en fournissant un message d'erreur lisible afin que l'agent puisse décider de réessayer, d'escalader ou d'informer l'utilisateur. D. Retourner une réponse de succès avec un champ « status » indiquant le type d'erreur — Incorrect. Cela est trompeur car cela traite les échecs comme des réponses réussies, ce qui perturbe le raisonnement en aval et l'orchestration des outils.

A. Retourner une liste de vols vide comme si la recherche avait réussi mais n'avait trouvé aucun vol correspondant. Incorrect. Cela masque l'échec et induit le système en erreur en lui faisant croire qu'aucun vol n'existe, ce qui peut conduire à des conclusions incorrectes. B. Enregistrer l'erreur en interne et retourner une réponse vide, laissant le modèle continuer sans les données de vols. Incorrect. Cela supprime également le signal d'échec, empêchant l'agent de prendre des mesures correctives. C. Retourner un message d'erreur dans le résultat de l'outil expliquant que le service est temporairement indisponible. Incorrect. Bien que transparent, cela ne tente pas à lui seul une récupération et peut dégrader inutilement l'expérience utilisateur. D. Réessayer automatiquement la requête jusqu'à cinq fois avec un backoff exponentiel avant de retourner les résultats à l'agent. Correct. Il s'agit de l'approche la plus efficace : elle gère les pannes transitoires de manière élégante, améliore la fiabilité et ne remonte les erreurs que si les tentatives échouent.

A. La fenêtre de contexte du modèle a été dépassée par la longueur de la conversation — Incorrect. Cela ne se produirait que lors de conversations très longues, alors que le problème apparaît dès les premiers échanges. B. L'API Claude nécessite un paramètre session_id que vous n'avez pas configuré — Incorrect. Il n'existe pas de session_id obligatoire ; le contexte doit être géré explicitement par l'application. C. Claude nécessite une connexion à une base de données vectorielle pour maintenir la mémoire de la conversation — Incorrect. Une base de données vectorielle est optionnelle pour la récupération d'informations, elle n'est pas requise pour la mémoire conversationnelle de base. D. Votre application n'inclut pas les messages précédents dans le tableau messages — Correct. Claude ne conserve aucune mémoire entre les appels ; si les messages précédents ne sont pas inclus, il ne peut pas se souvenir des préférences exprimées antérieurement par l'utilisateur.

A. L'agent de synthèse a besoin d'outils capables de récupérer les résultats directement depuis l'historique des conversations des autres agents. Incorrect. Les agents n'ont pas besoin d'accéder directement aux historiques des autres. Une orchestration correcte transmet les sorties explicitement via des prompts. B. La fenêtre de contexte de l'agent de synthèse n'est pas suffisamment large pour contenir les sorties combinées des deux agents précédents. Incorrect. Si c'était le problème, l'agent recevrait des données tronquées, et non une absence totale de données. L'erreur indique que les entrées sont entièrement manquantes. C. Les sous-agents doivent partager une seule connexion API pour permettre le partage automatique du contexte entre les invocations. Incorrect. La communication entre agents ne dépend pas de connexions API partagées. Le contexte doit être explicitement transmis par le coordinateur. D. Le coordinateur n'a pas inclus les sorties des agents précédents dans le prompt de l'agent de synthèse. Correct. L'agent de synthèse ne peut agir que sur les informations fournies dans son prompt. Si les sorties précédentes ne sont pas transmises, il signalera l'absence des résultats de recherche.

A. Définir la température à 0 pour éliminer la variabilité des sorties et garantir un formatage cohérent — Incorrect. Cela réduit l'aléatoire mais ne corrige pas les erreurs d'extraction systématiques comme la mauvaise interprétation des plages (« 2 à 3 »). B. Envoyer une requête de suivi incluant l'erreur de validation, en demandant au modèle de corriger sa sortie — Correct. Fournir un retour de validation précis permet au modèle de corriger le problème exact (par exemple, convertir « 2 à 3 » en un nombre flottant valide), rendant la récupération très efficace. C. Pré-traiter les documents sources pour standardiser les formats problématiques avant de les envoyer à l'extraction — Incorrect. Utile dans certains cas, mais pas évolutif ni suffisant pour gérer la diversité des variations du monde réel. D. Mettre en place un pipeline secondaire utilisant un modèle de niveau supérieur pour retraiter les documents qui échouent à la validation — Incorrect. Plus coûteux et inutile — la correction ciblée est plus efficace et plus performante.

B. Les détails de la commande sont ajoutés à la conversation et le modèle raisonne sur l'action à entreprendre. Correct. Dans une boucle agentique, les résultats des outils (comme « acheté il y a 45 jours ») sont réinjectés dans le contexte du modèle, et celui-ci réévalue la situation de manière dynamique. Il décide ensuite s'il convient de procéder avec process_refund, d'escalader vers un humain, ou d'entreprendre une autre action en fonction de la politique et des informations mises à jour. Pourquoi les autres réponses sont incorrectes : A. Séquence d'outils fixe planifiée dès le départ — Incorrect. Les systèmes agentiques ne sont pas des flux de travail statiques ; ils s'adaptent après chaque observation. C. Arbre de décision préconfiguré — Incorrect. Il s'agit d'une automatisation basée sur des règles, et non d'un raisonnement piloté par un LLM. D. La couche d'orchestration achemine automatiquement le prochain appel d'outil — Incorrect. Cela supprime le rôle de raisonnement du modèle et le transforme en un routage déterministe.

A. Persister l'intégralité de l'historique de conversation et des réponses aux outils dans une base de données, puis appeler escalate_to_human avec un identifiant de référence — Incorrect. Utile sur le plan opérationnel, mais l'agent humain a tout de même besoin d'un résumé concis et exploitable plutôt que de simples journaux bruts. B. Appeler escalate_to_human en ne transmettant que le message original du client — Incorrect. Cela perd le travail d'investigation déjà effectué et oblige l'agent humain à répéter les étapes. C. Tenter le remboursement avec process_refund quoi qu'il arrive, en escaladant uniquement si le système rejette la transaction — Incorrect. Cela viole les limites d'autorisation et la politique métier. D. Compiler une passation de contexte structurée incluant les détails du client, les informations de commande et le problème identifié avant d'appeler escalate_to_human — Correct. Une passation structurée préserve le contexte, réduit les répétitions et permet à l'agent humain de continuer efficacement.

A. Fournir au sous-agent des définitions d'outils lui permettant de demander des résultats à d'autres sous-agents via des callbacks. Incorrect. Cette approche introduit un couplage et une complexité inutiles. Les sous-agents ne devraient pas avoir besoin de récupérer activement des données auprès des autres. B. Inclure directement les résultats complets des deux sous-agents dans le prompt du sous-agent de synthèse. Incorrect. Bien que simple, cette approche ne passe pas bien à l'échelle pour des résultats volumineux et peut dépasser les limites de contexte, réduisant ainsi l'efficacité. C. Transmettre des identifiants de référence et configurer le sous-agent avec un accès en lecture à un espace mémoire partagé où les autres sous-agents ont déposé leurs résultats. Correct. Il s'agit de l'approche la plus évolutive et prête pour la production. Elle préserve la fidélité des informations tout en évitant la surcharge du contexte, permettant à l'agent de synthèse de récupérer exactement ce dont il a besoin. D. Instancier le sous-agent avec seulement une brève description de tâche, en s'appuyant sur un héritage automatique du contexte depuis le coordinateur. Incorrect. Il n'existe pas d'héritage automatique du contexte — sans accès explicite aux données, l'agent de synthèse ne peut pas fonctionner correctement.

A. Des URLs sur lesquelles les utilisateurs peuvent cliquer pour ouvrir le document dans leur navigateur. Incorrect. Les URLs sont utiles pour les utilisateurs, mais ne sont pas idéales pour les agents effectuant des workflows en plusieurs étapes nécessitant un référencement fiable et des opérations supplémentaires. B. Des données structurées contenant les identifiants de documents et les métadonnées pour chaque résultat. Correct. Cela permet à l'agent de référencer de manière programmatique des documents spécifiques (via des identifiants) à travers plusieurs étapes, rendant les workflows tels que les requêtes de suivi ou la récupération de documents précis et fiables. C. Un tableau JSON de titres de documents extraits des résultats de recherche. Incorrect. Les titres seuls sont ambigus et ne constituent pas des identifiants stables, ce qui rend difficile pour les agents d'agir de manière fiable sur des documents spécifiques. D. Des descriptions plus détaillées et lisibles par l'humain, incluant la taille et les auteurs. Incorrect. Utile pour les utilisateurs, mais toujours non structuré et non adapté à des opérations précises d'agents en plusieurs étapes.

A. Créer une nouvelle playlist « Focus » avec des titres sélectionnés et notifier l'utilisateur qu'elle est prête. Incorrecte. Cette option suppose une intention et risque d'effectuer la mauvaise action, ce qui frustre les utilisateurs. B. Poser une question de clarification sur le type d'action : écouter maintenant ou configurer pour plus tard. Correcte. Cela minimise les frictions tout en résolvant l'ambiguïté, permettant à l'assistant d'effectuer rapidement la bonne action. C. Lancer immédiatement des titres populaires de concentration et laisser l'utilisateur rediriger si nécessaire. Incorrecte. Agit prématurément et peut ne pas correspondre à l'intention de l'utilisateur. D. Démarrer la configuration des préférences en posant des questions sur les genres, le tempo et les artistes. Incorrecte. Trop lourd en amont — ajoute des frictions inutiles avant de confirmer l'intention.