Ne découvrez pas l'examen
le jour J

Réponse : Le matériel physique.
Explication : L’analyse TCO doit inclure tous les coûts matériels (serveurs, stockage, réseau, etc.) de l’infrastructure on-premise pour une comparaison équitable.

Réponse : Dedicated Hosts.
Explication : Les Dedicated Hosts sont conçus pour la conformité logicielle et le BYOL, permettant la gestion des licences personnalisées.

Réponse : On-Demand Instances. Pour une charge de travail de 2 mois avec zéro tolérance aux temps d'arrêt, les instances On-Demand sont les plus appropriées. Les Reserved Instances nécessitent des engagements de 1 à 3 ans ; les Spot Instances peuvent être interrompues. On-Demand offre un paiement à l'utilisation avec disponibilité garantie.

Réponse : Augmente la disponibilité de l’application.
Explication : Répliquer sur plusieurs AZ protège des pannes locales et maximise la disponibilité.

Réponse : Couplage faible (Loosely coupling).
Explication : Le couplage faible permet à chaque composant de fonctionner de manière indépendante, améliorant la résilience globale.

Réponse : AWS CloudTrail. Explication : AWS CloudTrail enregistre les appels API effectués aux services AWS, fournissant une piste d'audit complète de qui a fait quelle demande, d'où et quand. C'est l'outil principal pour la gouvernance, la conformité et l'audit de sécurité.

Réponse : Pas besoin d’estimer la capacité / Passage des dépenses d’investissement à des dépenses opérationnelles.
Explication : AWS évite le surdimensionnement initial et permet un paiement à l’usage, transformant les investissements en coûts d’exploitation variables.

Réponse : Région AWS. Explication : Une région AWS est un emplacement géographique physique contenant plusieurs zones de disponibilité. AWS dispose de régions en Amérique du Nord, Europe, Asie-Pacifique, Amérique du Sud et Moyen-Orient/Afrique.

Réponse : D) Implémenter des dépendances faiblement couplées. La rupture d'un monolithe en microservices est une application directe du principe du AWS Well-Architected de couplage faible. Les composants faiblement couplés peuvent être mis à l'échelle, mis à jour et mis en échec indépendamment, ce qui améliore considérablement la résilience, l'agilité et la maintenabilité de l'application.

Réponse : Amazon EC2 est considéré comme un service serverless.
Explication : Amazon EC2 fournit des serveurs virtuels, mais ce n’est pas du serverless (ex. Lambda l’est).

Embeddings multi-modaux : projettent texte et images dans un même espace vectoriel, permettant de comparer directement leur similarité sémantique. Contrairement aux embeddings texte uniquement (unimodaux) qui ignorent les images, ou aux générateurs/classificateurs qui ne produisent pas de vecteurs comparables, ce modèle capture les relations cross-modales essentielles pour la recherche hybride.

RAG (Retrieval Augmented Generation) : technique qui récupère dynamiquement les passages pertinents des PDFs avant génération, sans charger l'intégralité des documents. Contrairement au fine-tuning coûteux ou au zero-shot imprécis, RAG optimise coût/performance en enrichissant chaque requête avec contexte ciblé via Knowledge Base Bedrock.

Prompt engineering : technique d'optimisation du style et ton sans coûts additionnels. Les instructions précises (ex.: "réponds avec ton professionnel, 2 phrases max") contrôlent directement la génération. Contrairement au fine-tuning (coûteux) ou à la température (qui ajoute aléatoire), le prompt affinage itératif adapte le comportement du modèle existant efficacement.

L'IA générative transforme de nombreux processus métier. La génération de résumés automatiques de documents longs (contrats, rapports) réduit le temps d'analyse. Les chatbots intelligents pour le service client répondent de manière contextuelle. La génération de code accélère le développement logiciel. La maintenance prédictive classique ou la détection de fraude reposent généralement sur du ML supervisé, pas sur de la GenAI.

RAG (Retrieval-Augmented Generation) est une technique qui enrichit les réponses d'un LLM en récupérant des données pertinentes depuis une base de connaissances externe avant de générer la réponse. Elle permet de fournir des informations actualisées et spécifiques à l'entreprise sans réentraîner le modèle. Fine-tuning modifie les poids du modèle — plus coûteux. Prompt engineering structure uniquement l'entrée. Transfer learning adapte un modèle pré-entraîné à un nouveau domaine.

Recommandation personnalisée GenAI : Amazon Personalize combine collaborative filtering et contexte utilisateur. Intégration Bedrock génère descriptions recommandations hyper-personnalisées. Meilleur que GenAI seul car combine données structurées et génération.

Provisioned Throughput : modèle de facturation AWS Bedrock qui alloue une capacité de traitement dédiée et garantie pour vos modèles fine-tuned, assurant des performances prévisibles et une latence stable. Contrairement aux modèles standard (à la demande), les modèles personnalisés nécessitent cette réservation explicite de ressources. Les autres options (activation manuelle, endpoint SageMaker, Knowledge Base) ne sont pas des prérequis pour l'accès API aux modèles fine-tuned.

Amazon Bedrock Guardrails permet de définir des politiques de sécurité et d'utilisation acceptable pour les applications d'IA générative : filtrage de contenu nuisible (violence, discours haineux), sujets interdits, protection des données personnelles (PII), et hallucination contextuelle. Ils s'appliquent à la fois aux entrées (prompts utilisateur) et aux sorties (réponses du modèle). Ce n'est pas un système de chiffrement ni un outil de fine-tuning — c'est une couche de contrôle comportemental.

Vrai. Les Knowledge Bases (RAG) réduisent la taille du prompt et injectent uniquement les passages pertinents au moment de l’inférence.

Inference : phase d'utilisation d'un modèle entraîné pour générer des prédictions sur de nouvelles données (ici, analyser une image). À différencier de Training (apprentissage du modèle), Deployment (mise en production) et Bias correction (correction des biais). L'inference est l'exécution prédictive post-entraînement.

Daily Scrum Consistency: Holding the Daily Scrum at the same time and place creates a predictable routine that reduces organizational complexity. This consistency enables the Development Team to establish a habit, improves attendance, and minimizes logistical overhead. The Scrum Guide emphasizes this practice as essential for team synchronization and efficiency.

Sprint Review Timebox: The Scrum Guide establishes a 1-hour timebox per week of Sprint duration. For a one-month (4-week) Sprint, this equals 4 hours maximum. This allows adequate time for stakeholder inspection and feedback without excessive meetings. Shorter timeboxes (1-2 hours) insufficient for meaningful inspection; 8 hours violates Scrum's timeboxing principle.

Answer: Develop at least one piece of functionality; create an increment of potentially releasable software.
Explanation: The first Sprint must produce real working software — not just planning documents or architecture designs. Scrum requires a Done Increment from the very first Sprint.

Answer: They do not have to be there; they only need to ensure the Dev Team has a Daily Scrum.
Explanation: The Daily Scrum is owned by the Development Team. The Scrum Master's role is to ensure the event happens and that its time-box is respected, not to participate in or facilitate it.

Focus means the Scrum Team focuses on the work of the Sprint and the Sprint Goal. Declining work that would distract from the Sprint Goal demonstrates Focus. Commitment is about dedicating effort to achieving the Sprint Goal. Courage is about doing the right thing, including having difficult conversations. Respect is treating teammates as capable professionals. Focus protects the team from scope creep and enables predictable delivery.

Sprint Length Consistency: The Sprint duration, once established by the Scrum Team, must remain fixed to create predictable rhythm and enable reliable planning. Consistent cadence allows teams to develop sustainable pace, improve forecasting accuracy, and facilitate organizational rhythm. Changing mid-Sprint disrupts commitment; varying lengths prevent learning patterns; Product Owner doesn't unilaterally set it; two weeks isn't mandatory.

Scrum Master's Role with Product Owner: The Scrum Master facilitates effective Product Goal definition and backlog management techniques rather than making decisions. This coaching approach empowers the Product Owner while respecting their accountability. Unlike distractors (writing items, approving, prioritizing), the Scrum Master enables capability, not execution.

Answer: Lost inspection/adaptation opportunities; impediments resolved slower; Sprint plan becomes inaccurate.
Explanation: The Daily Scrum's daily cadence is essential for rapid adaptation. Less frequent meetings mean the team cannot quickly detect deviations, address blockers, or keep the Sprint plan current with reality.

Answer: As soon as possible after they are identified.
Explanation: The Sprint Backlog is a living plan. New tasks or decompositions are added by the Development Team as soon as they discover they are needed to achieve the Sprint Goal — there is no approval process required.

Key concept: Sprint Planning authority and capacity-driven selection. During Sprint Planning, the Developers—not the Product Owner, Scrum Master, or PMO—decide how many Product Backlog Items (PBIs) they will commit to based on their capacity, velocity, and Definition of Done. The PO presents prioritized items, but the Developers have the autonomy to pull items into the Sprint and determine the quantity based on realistic assessment of their capabilities. This self-organization principle is fundamental to Scrum: Developers own the commitment to the Sprint Goal and understand their sustainable pace better than external parties. While the PO influences what work matters most (prioritization), and the SM facilitates the process, only the Developers possess the technical insight and self-awareness to determine how much they can realistically complete.

Value is multidimensional and cannot be reduced to revenue alone. A product creates value through customer satisfaction, reduced risk, improved quality of life, operational efficiency, brand equity, and social impact. Scrum acknowledges this complexity — the Product Owner optimizes value holistically. Focusing solely on revenue leads to short-term decisions that harm long-term product health.

Answer: Customer conversion rate.
Explanation: EBM (Evidence-Based Management) focuses on outcomes and impacts rather than outputs. Conversion rate is an outcome metric.

Key concept: Value proxies measure actual customer impact and business outcomes, not internal activities or intermediate metrics. Number of hours logged is a poor proxy because it measures effort expended, not value delivered. A team can log many hours while producing low-impact features or waste. Similarly, velocity (story points completed per sprint) measures output capacity, not customer value—teams can maintain high velocity while building features nobody needs. In contrast, adoption rate reflects actual customer engagement with the product, and recurring revenue directly demonstrates monetized value. As a Product Owner, you must focus on outcome metrics (customer impact, business results) rather than activity or output metrics (hours, velocity) when assessing true value delivery and making backlog prioritization decisions.

Answer: Maximizing the value of the work the Scrum Team does.
Explanation: The Product Owner's core responsibility is value maximization — ensuring the team always works on the highest-value items and that the resulting product genuinely meets user and business needs.

Why this answer is correct: Product Backlog Items represent the "what" — the features, requirements, and user needs that provide value to the product. Sprint Backlog items represent the "how" — the detailed tasks and work breakdown created by Developers during Sprint Planning to accomplish the selected PBIs. This distinction reflects the separation of concerns between the Product Owner (defining what to build) and the Developers (planning how to build it).

Why the other answers are incorrect: PBIs and Sprint Backlog items are not identical or interchangeable. The Product Owner creates PBIs while Developers create Sprint Backlog tasks. Estimation differences also vary by organization, but story points typically estimate PBIs while hours may estimate tasks — not the reverse.

Answer: The PO (business context) in collaboration.
Explanation: The release decision is a business decision made by the PO, informed by transparency and organizational context.

Answer: Ordering Product Backlog items; developing and communicating the Product Goal.
Explanation: The PO may delegate operational activities like ordering and communicating the Product Goal, but remains fully accountable for these outcomes. Accountability cannot be delegated, only the work can.

Scrum Roles are Limited: Scrum framework defines exactly three roles—Product Owner, Scrum Master, and Developers—without prescribing specific job titles like Business Analyst or Tester. While individuals within the Developers team may perform testing or analysis work, Scrum intentionally keeps roles flexible to accommodate various organizational structures and team compositions.

Answer: False.
Explanation: The Sprint Review is a collaborative working session to inspect the Increment and adapt the Product Backlog — not a status report.

Chaîne critique (CCPM) : méthode qui identifie le chemin critique et ajoute des "tampons" (buffers) de temps pour protéger les activités critiques des retards externes. Contrairement à CPM (durées déterministes) ou PERT (estimation probabiliste), CCPM gère activement l'incertitude en insérant des protections temporelles aux points critiques, ce qui est idéal face aux dépendances externes imprévisibles. Monte Carlo évalue les risques mais n'offre pas de stratégie de protection active.

Matrice de traçabilité des exigences : document qui crée un lien bidirectionnel entre chaque exigence, sa source, priorité, statut et les livrables correspondants (WBS, tests). Elle assure que toute exigence est couverte et testée. Contrairement au plan de communication (canaux) ou au registre des risques (menaces), elle lie directement les exigences aux éléments de projet.

Le domaine Planification dans le PMBOK 7e édition : Ce domaine de performance englobe l'ensemble des activités permettant de définir clairement les objectifs du projet et de décomposer le travail en éléments gérables via la structure de répartition du travail (SRT/WBS). La planification constitue le fondement stratégique du projet en établissant quoi faire et comment le faire, avant l'exécution. Elle inclut la définition du périmètre, l'identification des livrables, la création du calendrier préliminaire et l'estimation des ressources. Cette réponse est correcte car elle capture l'essence même de la planification : transformer les exigences du projet en plans d'action concrets et mesurables. À la différence de l'option sur la "construction de plans détaillés" qui décrit un niveau d'exécution plus avancé (nécessitant des données de base), la planification démarre par la définition d'objectifs SMART et la décomposition hiérarchique du périmètre. L'option sur la "coordination entre domaines" relève davantage de l'intégration transversale, tandis que l'"exécution des tâches quotidiennes" appartient au domaine Exécution du travail, non à la planification. En contexte Agile, cette planification est itérative et adapt

Changement fondamental de paradigme du PMBOK7 : Le PMBOK7 représente une évolution majeure par rapport aux éditions précédentes en abandonnant le modèle des 49 processus organisés en 5 groupes de processus (Lancement, Planification, Exécution, Suivi-Contrôle, Clôture). Cette nouvelle approche repose sur 8 domaines de performance (Parties prenantes, Équipe, Développement et cycle de vie, Planification, Travail du projet, Livraison, Mesure et contrôle, Incertitude) et 12 principes fondamentaux qui guide-nt la gestion de projet de manière flexible et adaptée au contexte. Cette transformation reflète la reconnaissance que la gestion de projet moderne doit intégrer les approches prédictives ET adaptatives (Agile). Les domaines de performance transcendent la rigidité des groupes de processus séquentiels et offrent une vision holistique et itérative. Distinction des autres options : l'option 2 est fausse car le PMBOK7 a précisément éliminé cette structure de 49 processus ; l'option 3confond avec les sprints Agile purs ; l'option 4 est inexacte car la suppression ne concerne pas les techniques mais la structure organis

Processus systématique de résolution de conflit en gestion de projet : La résolution efficace de conflits suit une progression logique et méthodique qui reflète les meilleures pratiques du PMBOK et la gestion relationnelle moderne. Avant toute action, il faut d'abord identifier le conflit - reconnaître qu'une tension existe entre les parties prenantes, ce qui requiert de l'écoute active et de l'observation. Ensuite, l'analyse des causes permet de comprendre les racines profondes du problème : divergences d'objectifs, malentendus, ressources limitées, ou incompatibilités personnelles. C'est crucial car résoudre sans comprendre les causes génère des conflits récurrents. La discussion avec les parties impliquées crée un dialogue constructif où chacun exprime son point de vue, favorisant la compréhension mutuelle et l'identification de solutions acceptables par tous. Enfin, résoudre et vérifier consiste à mettre en œuvre la solution, confirmer son efficacité et assurer que le climat s'est amélioré. Cette séquence respecte la logique causale : on ne peut analyser sans identifier, on ne peut discuter utilement sans comprendre les causes, et on ne peut résoudre solidement sans discussion préalable. Les autres options échouent

Backlog produit dynamique : Artefact vivant et évolutif reflétant les priorités changeantes du produit. Contrairement à un plan figé, il s'adapte continuellement aux retours clients, découvertes techniques et ajustements stratégiques. Le Product Owner le gère activement, même pendant les sprints, assurant ainsi l'alignement avec les objectifs métier.

Intelligence émotionnelle : capacité à reconnaître et gérer les émotions (siennes et celles d'autrui). Avant d'agir, comprendre le ressenti et les causes réelles du désengagement permet des solutions adaptées et préserve la relation.

Gouvernance de projet : cadre de structure, de processus et de relations qui définit comment les décisions sont prises, qui détient l'autorité, et comment les résultats du projet s'alignent avec les objectifs stratégiques de l'organisation. Dans le PMBOK 7e édition, la gouvernance est transversale à tous les domaines de performance et constitue un élément fondamental qui s'applique à tous les projets, indépendamment de leur nature ou taille. La réponse correcte souligne deux dimensions essentielles : d'une part, la clarification des responsabilités décisionnelles (qui décide quoi, à quel niveau, avec quels pouvoirs) ; d'autre part, l'assurance de l'alignement stratégique (vérifier que le projet contribue réellement aux objectifs organisationnels et que les décisions restent cohérentes avec la vision globale). Pourquoi les autres réponses sont incorrectes : la deuxième option réduit la gouvernance à un rôle administratif du PMO uniquement, ce qui ignore que la gouvernance implique les sponsors, stakeholders et équipes à tous les niveaux. La troisième option limite la gouvernance à la validation des jalons, alors qu'elle est continue tout au long du projet et couvre bien au-delà des livrables (risques,

Diagramme de réseau (PERT/CPM) : Outil fondamental de planification qui représente graphiquement l'ensemble des activités du projet et leurs interdépendances logiques. Chaque activité est représentée par un nœud ou une flèche, reliée aux autres par des liens de dépendance (fin-début, début-début, fin-fin, début-fin). Ce diagramme permet d'identifier le chemin critique, les marges de manœuvre et la durée minimale du projet. C'est l'outil par excellence pour visualiser comment les activités s'enchaînent et s'influencent mutuellement.

Pourquoi les autres options sont incorrectes : Le diagramme de Pareto analyse la distribution des problèmes (loi 80/20), l'histogramme affiche les ressources ou données quantitatives dans le temps, et le diagramme d'Ishikawa (causes-effets) explore les causes de problèmes qualité. Aucun n'est conçu pour montrer les relations séquentielles entre activités. Selon le PMBOK 7e édition, le diagramme de réseau est le livrable clé du processus de planification de l'ordonnancement (Sequence Activities), indispensable pour la gestion efficace des dépendances et l'analyse du chemin critique.

Concept clé : La transparence est un pilier fondamental de la gestion de projet moderne selon le PMBOK 7e édition, particulièrement dans l'approche orientée valeur et les principes agiles intégrés. Elle consiste à communiquer ouvertement et honnêtement l'état réel du projet, les risques, les défis et les opportunités à tous les parties prenantes, sans filtrage ni dissimulation. Cette transparence renforce la confiance entre l'équipe projet et les stakeholders en démontrant l'intégrité et la responsabilité. Elle facilite également les décisions éclairées car les dirigeants et commanditaires disposent d'informations précises et actualisées pour évaluer les enjeux et ajuster les stratégies. Enfin, elle permet une correction rapide des problèmes : en identifiant précocement les écarts, les risques émergents ou les obstacles, l'organisation peut réagir promptement plutôt que de découvrir des crises en fin de projet. Cette approche crée une culture de responsabilité partagée, contrairement à la deuxième option qui cherche à justifier des dépassements (attitude réactive), ou aux autres réponses qui réduisent la transparence à une simple obligation administrative. Le PMBOK 7 valorise la transparence comme vecteur d'agilité et d'efficacité organisationnelle.

Cette question correspond à l\'objectif d\'apprentissage FL-5.1.5 (K3) - Appliquer la priorisation des cas de test.

● TC1 couvre Fonc1, Fonc2, Fonc3 → 3 nouvelles fonctionnalités
● TC4 couvre Fonc5, Fonc6, Fonc7 → 3 autres nouvelles fonctionnalités

○ Après exécution de TC1 et TC4, 6 fonctionnalités sont déjà couvertes
● TC3 couvre Fonc3 (déjà couverte par TC1) + Fonc4 (nouvelle) → utile pour compléter la couverture à 100 %
○ Donc TC3 doit être exécuté avant la fin.
● TC2 ne couvre que Fonc4, qui est déjà couverte par TC3
○ TC2 est redondant, il n’apporte aucune nouvelle couverture
TC2 (Réponse b) a la couverture supplémentaire la plus faible, il devrait donc être exécuté en dernier.

Cette question correspond à l’objectif FL-5.3.3 (K2) – Donner des exemples de communication de l’état d’avancement des tests.
● a) Faux → Trop technique, inutile pour un suivi métier.
● b) Faux → La revue de code concerne la qualité du code, pas l’avancement des tests.
● c) Correct → Le burndown chart est un excellent moyen visuel de suivre la progression dans le temps.
● d) Faux → Les commits ne donnent pas de vue globale sur l’exécution des tests.

Cette question correspond à l’objectif d’apprentissage FL-1.4.4 (K2) – Expliquer la valeur du maintien de la traçabilité.
● a) Faux → La traçabilité ne vise pas à optimiser la performance du logiciel, mais à assurer une couverture de test complète.
● b) Correct → Le maintien de la traçabilité permet d’établir un lien entre les exigences, les tests et les défauts détectés, garantissant ainsi qu’aucune exigence n’a été oubliée.
● c) Faux → Même avec la traçabilité, la documentation des tests reste nécessaire pour assurer un suivi efficace et une justification des validations effectuées.
● d) Faux → Les rapports de test restent nécessaires, la traçabilité vient en complément pour s’assurer que les tests couvrent bien les exigences.

Cette question correspond à l’objectif d’apprentissage FL-1.1.1 (K1) – Identifier les objectifs habituels du test.
● a) Faux → Il est impossible de démontrer qu’un logiciel est totalement exempt de défauts.
● b) Correct → Les tests réduisent le risque de défauts et augmentent la probabilité que le logiciel réponde aux exigences.
● c) Faux → Vérifier la conformité aux spécifications est une partie des tests, mais pas leur seul objectif.
● d) Faux → Les tests ne remplacent pas l’assurance qualité, qui inclut d’autres activités comme l’analyse des processus.

Cette question correspond à l’objectif d\'apprentissage FL-2.1.2 (K1) – Rappeler les bonnes pratiques de test qui s\'appliquent à tous les cycles de vie du développement logiciel.

● a) Faux → Les tests doivent couvrir plusieurs niveaux (unitaires, intégration, système, acceptation), et pas uniquement l’interface utilisateur.
● b) Faux → Attendre la fin du développement pour tester expose le projet à un risque accru de corrections coûteuses en fin de cycle.
● c) Faux → La documentation des tests est essentielle pour assurer la traçabilité et la reproductibilité des tests.
● d) Correct → Tester tôt est une bonne pratique universelle, car plus un défaut est détecté tôt, moins il est coûteux à corriger.

Cette question correspond à l\'objectif d\'apprentissage FL-6.1.1 (K2) - Expliquer comment

différents types d\'outils de test soutiennent les tests.

● a) Correct → Cette combinaison associe correctement :
○ La conception des cas de test (1) aux outils de conception et
d\'implémentation de tests (A)
○ L\'exécution automatisée des tests (2) aux outils d\'exécution de tests (B)
○ La gestion des environnements de test (3) aux outils d\'infrastructure de test (D)
○ L\'analyse des résultats de test (4) aux outils de gestion des tests (C)
● b) Faux → Cette combinaison associe incorrectement la conception des cas de test (1) aux outils de gestion des tests (C) et l\'exécution automatisée des tests (2) aux outils de conception et d\'implémentation de tests (A).
● c) Faux → Cette combinaison associe incorrectement l\'exécution automatisée des tests (2) aux outils d\'infrastructure de test (D) et la gestion des environnements de test (3) aux outils d\'exécution de tests (B).
● d) Faux → Cette combinaison associe incorrectement la conception des cas de test (1) aux outils de gestion des tests (C) et la gestion des environnements de test (3)
aux outils de conception et d\'implémentation de tests (A).

Cette question correspond à l’objectif d’apprentissage FL-3.1.1 (K1) - Reconnaître les types de produits qui peuvent être examinés par les différentes techniques de test statique.

● a) Faux → La revue des exigences est une activité de test statique permettant d’identifier des incohérences dans les spécifications.
● b) Faux → L’analyse statique du code est une technique statique qui permet de détecter des erreurs sans exécuter le programme.
● c) Correct → L’exécution de tests unitaires est une activité dynamique, car elle nécessite de faire fonctionner le logiciel.
● d) Faux → L’inspection formelle est une technique statique qui permet de valider la conception avant l’implémentation.

Cette question correspond à l\'objectif d\'apprentissage FL-4.2.1 (K3) - Appliquer le partitionnement en classes d\'équivalence pour dériver des cas de test.

● a) Correct → Pour couvrir toutes les classes d\'équivalence valides, nous avons besoin de tester : (économique, pas de vue), (économique, vue partielle), (standard,
pas de vue), (standard, vue partielle), (luxe, pas de vue), (luxe, vue partielle), et (luxe, vue panoramique). Cependant, comme seuls les hôtels de luxe peuvent avoir une vue panoramique, et que le formulaire a une validation qui empêche les
combinaisons invalides, nous pouvons couvrir toutes les classes valides avec 3 cas de test : (économique, pas de vue), (standard, vue partielle), et (luxe, vue panoramique).
● b) Faux → Trois cas de test suffisent pour couvrir toutes les classes d\'équivalence valides.
● c) Faux → Trois cas de test suffisent pour couvrir toutes les classes d\'équivalence valides.
● d) Faux →. Trois cas de test suffisent pour couvrir toutes les classes d\'équivalencevalides.

Cette question correspond à l’objectif d’apprentissage FL-3.2.4 (K2) – Comparer et opposer les différents types de revues.
La bonne réponse est d) 1B, 2A, 3C, 4D
● 1B) Correct → Une revue informelle ne suit pas de processus strict.
● 2A) Correct → L’inspection est une revue très structurée avec un modérateur et des
checklists.
● 3C) Correct → Une revue technique implique des experts métier ou techniques pour
examiner un document.
● 4D) Correct → La revue par les pairs est une analyse collaborative des documents.

Cette question correspond à l’objectif d’apprentissage FL-1.4.2 (K2) – Expliquer l’impact du contexte sur le processus de test.
La bonne réponse est a) i, iii, iv reflètent correctement l’impact du contexte ; ii, v non

● i) Vrai – Le niveau de risque conditionne la profondeur des tests requis.
● ii) Faux – Il n’existe pas de processus unique applicable à tous les projets.
● iii) Vrai – En Agile, les tests sont intégrés dans des cycles courts.
● iv) Vrai – Les contraintes réglementaires (ex. médical, aéronautique) exigent une traçabilité et une documentation renforcées.
● v) Faux – Le contexte impacte aussi les objectifs (par ex. : conformité, performance critique...).

Answer: Non-repudiation.
Explanation: Non-repudiation ensures that a sender cannot deny sending a message. Digital signatures provide non-repudiation — they cryptographically bind a message to its sender's private key, proving authorship and preventing later denial.

Intrusion Prevention System (IPS): An IPS inspects network traffic in real-time, detecting and blocking exploit patterns like buffer overflow attacks before they reach the application. Unlike firewalls (which filter by IP/port) or application containers (which isolate processes), IPS uses signature and anomaly detection to stop attacks mid-stream.

Answer: Geolocation policy.
Explanation: A geolocation policy restricts access to applications based on the user's geographic location. By blocking access from high-risk countries at the network or application level, the company limits exposure without affecting legitimate users.

Administrative controls: policies and procedures that govern security practices. Password change requirements are administrative because they're implemented through organizational policy, not technology. Physical controls restrict access (badges), technical controls use technology (encryption), and detective controls identify incidents—none apply here.

Answer: Sanitization.
Explanation: Data sanitization involves securely wiping drives to prevent data recovery. Methods include overwriting, degaussing, or physical destruction. Sanitization policies ensure sensitive data cannot be recovered from decommissioned hardware.

Physical security control: Locking computers prevents unauthorized users from accessing sensitive data, systems, or accounts while the legitimate user is away. This is a fundamental access control measure. Unlike power saving (A) or startup speed (D), locking directly protects against unauthorized access. Activity logging (B) requires authentication first.

Supply Chain Risk: Third-party vendors introduce cascading vulnerabilities through their entire ecosystem—compromised suppliers, weak security practices, or breached dependencies can directly impact your systems. Unlike patching (manageable) or credentials (controllable), supply chain weaknesses exist beyond your security perimeter and require vendor vetting, not just network controls.

Tabletop Exercise: A structured discussion-based simulation where team members walk through incident response procedures without actually executing them. This cost-effective method improves incident response by identifying gaps, clarifying roles, and testing communication plans. Unlike Failover (system switching) and Recovery (restoration), Tabletop focuses on planning and preparedness rather than technical implementation.

Acceptable Use Policy (AUP): Establishes guidelines governing how employees must use company resources, including computers, networks, and internet access. It defines permitted and prohibited activities to protect organizational assets and maintain security. Unlike Privacy Policies (employee data handling), Security Policies (technical controls), or Confidentiality Policies (information protection), AUP directly addresses user behavior and resource utilization expectations.

Two-Factor Authentication (2FA): A security method requiring two different types of authentication factors from distinct categories—something you know (password), something you have (token/card), or something you are (biometric). This multi-layered approach significantly increases security. Unlike options A and D which use variations within the same category (knowledge-based), 2FA combines fundamentally different verification methods, making unauthorized access much harder even if one factor is compromised.

Azure SQL Managed Instance : service PaaS qui émule SQL Server on-premise avec compatibilité quasi-totale (T-SQL, Agent SQL, linked servers). Contrairement à Azure SQL Database qui impose des adaptations de code, Managed Instance accepte les bases existantes sans modification majeure, minimisant les risques et délais de migration. MySQL et Cosmos DB nécessitent une refonte complète de l'architecture.

Réponse : Accès aux dernières fonctionnalités ; effort administratif réduit pour la gestion de l'infrastructure serveur. Explication : Les bases de données PaaS comme Azure SQL Database fournissent des mises à jour automatiques avec les dernières fonctionnalités du moteur de base de données et gèrent toute l'infrastructure (correctifs, sauvegardes, haute disponibilité). Cela permet aux équipes de se concentrer sur le développement d'applications plutôt que sur l'administration des bases de données.

Réponse correcte : Dans un schéma en étoile, les tables de faits contiennent les mesures quantifiables (ventes, quantités, revenus) tandis que les tables de dimensions fournissent le contexte descriptif (dates, produits, régions) pour analyser ces mesures. Cette structure permet une analyse efficace des données d'entreprise. Pourquoi les autres réponses sont incorrectes : • Les tables de faits ne stockent pas nécessairement des données historiques uniquement ; elles peuvent contenir des données actuelles aussi. • Les deux types de tables servent principalement en OLAP, bien qu'elles puissent avoir des usages en OLTP. • L'indexation n'est pas une différence définitionnelle entre ces deux types de tables ; les deux peuvent être indexées.

Graphique en courbes : idéal pour visualiser l'évolution temporelle d'une mesure. Les points sont reliés par des lignes continues, permettant de percevoir immédiatement les tendances, hausses et baisses. À l'inverse, les diagrammes circulaires montrent des proportions, les nuages de points révèlent des corrélations entre variables, et les histogrammes comparent des catégories discrètes—tous inadaptés aux séries temporelles.

Un Data Lake stocke toutes les données brutes d'une organisation dans leur format natif (structuré, semi-structuré, non structuré) avant traitement. Azure Data Lake Storage Gen2 (ADLS Gen2) est construit sur Azure Blob Storage avec des fonctionnalités supplémentaires : système de fichiers hiérarchique (dossiers et sous-dossiers natifs), contrôle d'accès POSIX granulaire (ACLs par fichier/dossier), et performances optimisées pour les analytics massifs avec Spark, Hadoop, Azure Synapse. La différence clé : ADLS Gen2 supporte les opérations de répertoire atomiques manquantes dans Blob Storage.

La clé de partition est l'attribut utilisé par Cosmos DB pour distribuer les données sur plusieurs partitions physiques. Un bon choix est critique car : (1) il doit assurer une distribution uniforme des données et des requêtes pour éviter les partitions chaudes (hot partitions), (2) les requêtes sans la clé de partition sont des cross-partition queries — plus lentes et coûteuses. Idéalement, la clé de partition est souvent utilisée dans les filtres WHERE. Exemple : CustomerID pour une app e-commerce (millions de clients répartis uniformément).

INNER JOIN : jointure qui retourne uniquement les lignes ayant une correspondance dans les deux tables. C'est la plus restrictive car elle exclut tous les enregistrements sans équivalent. À l'inverse, LEFT JOIN conserve tous les enregistrements de la table gauche, et FULL OUTER JOIN inclut tous les enregistrements des deux tables, même sans correspondance.

Réponses : read-access geo-redundant storage (RA-GRS) et geo-redundant storage (GRS). Explication : GRS et RA-GRS répliquent tous deux les données vers une région secondaire en dehors de la région Azure primaire, satisfaisant ainsi à l'exigence de réplication automatique inter-régions. LRS et ZRS répliquent uniquement au sein d'une même région. RA-GRS ajoute l'accès en lecture à la région secondaire.

Données structurées : organisées dans un schéma fixe et prédéfini (tables relationnelles avec colonnes typées). Ex. : SQL Server, Excel. Données semi-structurées : ont une organisation partielle mais pas de schéma rigide. Ex. : JSON, XML, CSV. Données non structurées : sans schéma défini. Ex. : images, vidéos, emails, PDF. Azure propose des solutions adaptées à chaque type : SQL Database (structuré), Cosmos DB (semi-structuré), Azure Blob Storage (non structuré).

Données non structurées vs structurées : Les données non structurées n'ont pas de schéma prédéfini (vidéo, image, audio). Une vidéo de formation est un exemple parfait car elle combine contenus visuels et auditifs sans organisation tabulaire. À l'inverse, SQL et CSV imposent des lignes/colonnes (structurées), tandis que JSON possède une structure hiérarchique définie (semi-structuré).

Cost of Goods Sold (COGS) est la définition exacte du COGS posting en SAP S/4HANA. Lors d'une sortie de stock (goods issue), le système génère automatiquement une écriture comptable qui débite un compte de charge COGS et crédite le compte de stock, transférant ainsi la valeur de l'inventaire en dépense. Cost of Goods Supplied se réfère à un document fournisseur, Certificate of Goods Shipment est un document logistique de livraison, et Cost of General Services concerne une allocation périodique de centre de coûts. Aucune de ces options ne décrit le mécanisme automatique de comptabilisation déclenché par une sortie de stock.

ACDOCA est la table correcte car elle contient le Journal Universel (ou Journal Comptable) dans SAP S/4HANA, fusionnant tous les documents comptables en une seule vue unifiée. Les autres tables sont obsolètes ou utilisent une structure différente : BKPF contenait l'en-tête des documents (legacy), BSEG contenait les lignes de document comptable (legacy), et GLT0 est une table historique pour les soldes GL. SAP S/4HANA a consolidé ces structures dans ACDOCA pour simplifier la gestion comptable.

MIRO (Vérification Logistique de Facture) est la transaction SAP dédiée à la vérification et comptabilisation des factures fournisseur pour les marchandises reçues, complétant le cycle d'approvisionnement (commande → réception → facture). Elle crée un document comptable qui enregistre l'obligation de paiement. Les autres options sont incorrectes : les factures clients relèvent de la facturation (VFXX), l'amortissement d'actif utilise AFAB, et l'ouverture des périodes comptables se fait via MMRV ou les transactions de configuration de période, pas via MIRO.

La bonne réponse : Le compte de rapprochement GR/IR (Réception de Marchandises/Réception de Facture) est utilisé pour réconcilier les réceptions de marchandises contre les réceptions de factures, en éliminant les différences temporelles entre la livraison et la facturation. Lorsqu'une marchandise est reçue mais que la facture n'a pas encore été traitée, le compte GR/IR enregistre cette différence temporaire jusqu'à la réception de la facture. Pourquoi les autres réponses sont incorrectes : Les transactions inter-sociétés utilisent des comptes de compensation inter-sociétés spécifiques, pas le compte GR/IR. Les écritures de reclassement sont enregistrées directement au grand livre sans passer par GR/IR. Enfin, les revenus bruts sont gérés dans les comptes de ventes, pas dans un compte de rapprochement de réception.

La compensation (Clearing) est le processus qui rapproche et solde des postes ouverts (créances ou dettes) en les marquant comme « compensés ». Elle est déclenchée lorsqu'un paiement entrant (client) ou sortant (fournisseur) est reçu et rattaché à la facture correspondante. La compensation peut être automatique (programme F.13 ou app dunning) ou manuelle (F-32 client, F-44 fournisseur). Un poste compensé ne figure plus dans la liste des postes ouverts et le solde du compte collectif reflète l'encours réel.

Réponse : PMW s’appuie sur des formats de support de paiement ; DMEE permet de modéliser la structure du fichier ; PMW peut générer des fichiers SEPA XML selon le format cible.
Explication : PMW/DMEE forment le cadre de génération de supports bancaires pour F110.

Réponse : Une écriture d’ajustement de valeur en plus de l’amortissement planifié lorsque la valeur recouvrable diminue.
Explication : Elle corrige la valeur comptable indépendamment de la clé d’amortissement.

Réponse : Vrai
Explication : Le report est réexécutable pour refléter d’éventuels ajustements tardifs avant l’ouverture définitive de l’exercice suivant.

Réponse : La détermination des comptes (account determination) et des contrôles par défaut de l’actif.
Explication : La classe porte l’« account determination », les règles de numérotation et des attributs par défaut propagés aux actifs créés.

La création d'une réception de marchandises (GR) ou d'une sortie de stock déclenche automatiquement un document de comptabilité financière car ces mouvements modifient les stocks et les comptes de bilan. SAP enregistre immédiatement ces transactions dans le grand livre général. La création d'une commande d'achat, l'enregistrement d'un fournisseur et la libération d'une commande sont des étapes administratives qui ne génèrent pas de documents comptables, car elles ne représentent pas des mouvements physiques de marchandises affectant les actifs de l'entreprise.

La Loire est le plus long fleuve de France avec environ 1 006 km. Elle prend sa source au mont Gerbier-de-Jonc (Ardèche) et se jette dans l'Atlantique à Saint-Nazaire. Elle traverse les régions Auvergne-Rhône-Alpes, Centre-Val de Loire, Pays de la Loire. La Seine (775 km) traverse Paris. Le Rhône (812 km en France) est le plus important en débit. La Garonne (575 km) passe par Toulouse et Bordeaux.

Pour toute naturalisation (par mariage ou par décret), un niveau de français B1 oral et écrit est exigé, conformément au décret n°2011-1265. Le candidat doit prouver sa maîtrise par un diplôme reconnu (DELF B1 ou supérieur) ou par un titre délivré en France après au moins 3 ans de scolarité en français. Le niveau A2 est insuffisant. Aucun niveau requis est faux — c'est une condition obligatoire depuis 2012.

Oui, une condamnation pénale peut entraîner un refus de naturalisation. Selon le Code civil, n'est pas admis à acquérir la nationalité française par naturalisation quiconque a fait l'objet d'une condamnation à une peine d'au moins 6 mois d'emprisonnement sans sursis, ou de certaines infractions graves (terrorisme, crimes contre l'humanité). Un casier judiciaire B2 vierge est généralement exigé. Les contraventions et infractions mineures n'empêchent pas nécessairement la procédure.

Le 14 juillet 1789 : date fondatrice de la Révolution française marquée par la prise de la Bastille, forteresse-prison symbole du pouvoir absolu. Cet événement incarne la liberté retrouvée et l'abolition de l'arbitraire royal. Contrairement à la fête du Travail (1er mai) ou à la fin progressive de la monarchie (1870), le 14 juillet représente le moment décisif du passage à la République.

Conseil constitutionnel : instance qui garantit le respect de la Constitution française. Il contrôle que les lois votées par le Parlement sont conformes à la Constitution avant leur application, et valide la régularité des élections présidentielles et législatives. Contrairement au gouvernement (qui exécute) ou au Parlement (qui légifère), il joue un rôle de garde-fou démocratique.

Preuve de communauté de vie : Pour une naturalisation par mariage, l'administration exige des documents attestant que les époux vivent ensemble au même domicile. Un bail de logement au nom des deux époux et des factures communes (électricité, gaz, internet) constituent les preuves essentielles. Contrairement à la carte d'identité ou au livret de famille qui ne démontrent pas la cohabitation réelle, ces documents établissent objectivement l'existence d'une vie conjugale commune depuis la conclusion du mariage.

Projet de vie en France : il s'agit de démontrer une intention sincère de s'établir durablement et de participer activement à la vie économique et sociale française. Contrairement aux idées fausses, cela ne signifie pas une rupture avec le pays d'origine, ni l'obligation d'acheter un bien immobilier. C'est l'engagement à contribuer à la société française qui est évalué.

L'initiative législative : En France, deux acteurs peuvent proposer une loi. Le gouvernement présente des projets de loi, tandis que les parlementaires (députés et sénateurs) déposent des propositions de loi. Le Président ne propose pas directement les lois, il les promulgue. Les citoyens ne peuvent initier une loi que par pétition auprès du Parlement, pas par référendum législatif direct.

Depuis la réforme territoriale de 2015 (loi NOTRe, effective au 1er janvier 2016), la France métropolitaine compte 13 régions, contre 22 auparavant. Cette réforme a fusionné plusieurs régions pour créer des entités plus grandes (ex : Alsace + Champagne-Ardenne + Lorraine = Grand Est). En comptant les 5 régions et départements d'outre-mer (DROM), la France compte 18 régions au total. 22 régions était le découpage antérieur à 2016.

L'Allemagne est le pays le plus peuplé de l'Union européenne avec environ 84 millions d'habitants. C'est aussi la première économie de l'UE et l'une des premières mondiales. La France est au 2e rang européen (~68 millions). L'Italie est 3e (~60 millions). L'Espagne est 4e (~47 millions). La population totale de l'UE est d'environ 450 millions de personnes réparties dans 27 États membres.

Concept clé : Surveillance humaine dans l'éthique de l'AI. Les systèmes human-in-the-loop maintiennent la responsabilité et permettent l'intervention lorsque les décisions de l'AI pourraient causer du tort. Les tests doivent vérifier que les mécanismes de surveillance fonctionnent correctement et que les humains peuvent examiner et contester de manière significative les décisions avant qu'elles n'affectent les parties prenantes.

Réponse : La gestion des mises en production.
Explication : La gestion des mises en production a pour but de mettre à disposition des services et fonctionnalités nouveaux ou modifiés, en coordonnant le packaging et le déploiement des releases.

Réponse : protéger.
Explication : La pratique de gestion de la sécurité de l\'information a pour but de protéger les informations de l\'organisation contre les menaces, en assurant confidentialité, intégrité et disponibilité.

Réponse : Pour planifier les changements et éviter les conflits.
Explication : Le calendrier des changements sert principalement à planifier les changements et à prévenir les conflits entre eux, en offrant une vue consolidée de tous les changements prévus.

Réponse : les résultats.
Explication : Selon ITIL 4, un service est un moyen de co-créer de la valeur en facilitant les résultats que les clients souhaitent atteindre, sans qu\'ils aient à gérer les coûts et risques spécifiques.

Réponse : La gestion des niveaux de service.
Explication : La gestion des niveaux de service définit et suit les métriques reflétant l\'expérience réelle du client, en établissant des accords sur la qualité du service fourni.

Réponse : L\'utilisateur ou son représentant autorisé.
Explication : En ITIL 4, ce sont les utilisateurs (ou leurs représentants autorisés) qui soumettent des demandes de services, car ils sont les consommateurs directs des services fournis.

Réponse : Les coûts supprimés par le service et les coûts imposés par le service.
Explication : Le consommateur d\'un service doit évaluer les coûts supprimés (ce qu\'il n\'a plus à gérer) et les coûts imposés (ce qu\'il doit payer), pour déterminer si la valeur nette est positive.

Réponse : L\'amélioration continue.
Explication : L\'amélioration continue est la responsabilité de chacun dans l\'organisation, pas seulement d\'une équipe dédiée. Chaque employé doit contribuer à l\'identification et à la mise en oeuvre des améliorations.

Réponse : Commencer là où vous êtes.
Explication : Le principe \'Commencer là où vous êtes\' recommande d\'évaluer l\'existant avant de décider ce qui peut être réutilisé, plutôt que de repartir de zéro sans connaître ce qui fonctionne déjà.

Réponse : Rôles et responsabilités.
Explication : La dimension \'Information et technologie\' couvre les données, systèmes d\'information et outils. Les rôles et responsabilités appartiennent à la dimension \'Organisations et personnes\'.

Dans Microsoft Viva Goals, il est possible de contrôler la visibilité des objectifs (Goals) et des OKR en configurant des autorisations au niveau de l’équipe ou de l’objectif.

👉 Les contrôles d’accès basés sur l’équipe permettent :

• De limiter la visibilité d’un objectif à une équipe spécifique (par exemple : Finance)

• D’empêcher les autres utilisateurs de l’organisation d’y accéder

• De garantir la confidentialité des OKR sensibles

C’est la méthode appropriée pour gérer la visibilité directement dans Viva Goals.

• Avec le group-based licensing, les licences sont attribuées automatiquement via l’appartenance au groupe.

• Dès que l’utilisateur est retiré du groupe :

  • Les licences liées sont révoquées automatiquement

  • L’utilisateur perd l’accès aux services correspondant à ces licences

• Les autres options sont incorrectes :

  • A : Faux, la licence ne reste pas après suppression du groupe.

  • C : Faux, l’utilisateur peut se connecter à Microsoft 365 si d’autres licences sont présentes.

  • D : Faux, l’utilisateur n’est pas transformé en boîte aux lettres partagée automatiquement.

• Dans Microsoft Teams, une app setup policy (politique de configuration d’applications) permet :

  • De définir quelles applications apparaissent par défaut dans la barre d’applications Teams de chaque utilisateur.

  • D’ajouter, supprimer ou réorganiser les applications pour tous les utilisateurs ciblés.

• En configurant cette politique pour tous les utilisateurs, Forms sera automatiquement visible dans la barre d’applications, sans action supplémentaire de leur part.
  
  

  🎯 À retenir pour l’examen MS-900 :

  • App setup policy = déploiement automatique d’applications dans Teams

  • Catalogue ou Azure AD = visibilité et gestion, mais pas déploiement automatique dans la barre d’applications.

• Viva Insights mesure des indicateurs de productivité et de bien-être :

  • Temps de concentration (Focus time hours)

  • Pauses après réunions (After-meeting breaks)

  • Indicateurs d’efficacité des réunions (Meeting effectiveness score)

• Le coût des licences Microsoft 365 n’est pas un indicateur suivi par Viva Insights, car il relève de la gestion financière et non de la productivité.

Le portail My Account permet aux utilisateurs de :

• Voir leurs informations personnelles et licences attribuées

• Gérer leurs méthodes d’authentification (MFA)

• Se déconnecter des sessions actives

• Gérer leurs appareils

⚠️ En revanche, attribuer des licences à d’autres utilisateurs est une tâche administrative réservée aux administrateurs via le centre d’administration Microsoft 365.

❌ Pourquoi les autres réponses sont incorrectes :

• A. Viewing license assignments → Oui, les utilisateurs peuvent voir les licences qui leur sont attribuées.

• B. Updating phone number for MFA → Oui, ils peuvent modifier leurs informations de sécurité.

• D. Signing out of all sessions → Oui, ils peuvent se déconnecter de toutes leurs sessions.

🎯 À retenir pour l’examen MS-900 :

• My Account = gestion personnelle du compte

• Attribution de licences = rôle administrateur uniquement

• La section Token Usage :

  • Montre le nombre total de tokens AI utilisés par votre organisation sur une période donnée.

  • Permet de suivre l’utilisation et estimer les coûts liés à l’usage de Copilot.

• Les autres sections ne fournissent pas cette information :

  • User Engagement → suit l’activité des utilisateurs avec Copilot.

  • Prompt Library → contient les prompts enregistrés et réutilisables.

  • Security Insights → fournit des informations de sécurité et de conformité.

    🎯 À retenir pour l’examen MS-900 :

    • Token Usage = suivi de la consommation de tokens et des coûts Copilot

    • Les autres sections se concentrent sur activité utilisateur, sécurité ou prompts.

Le Service Health Dashboard dans le centre d’administration Microsoft 365 permet :

• De consulter l’état actuel des services (Exchange, SharePoint, Teams, etc.)

• De voir les incidents en cours

• D’obtenir des mises à jour en temps réel

• De recevoir des avis et recommandations

Il aide les administrateurs à comprendre si un problème vient de Microsoft ou de leur propre environnement.

❌ Pourquoi les autres réponses sont incorrectes :

• A. Configurer des SLA personnalisés → Impossible. Les SLA sont définis par Microsoft.

• C. Correction automatique des incidents → Le dashboard informe, mais ne corrige pas automatiquement.

• D. Rapports mensuels détaillés de conformité SLA → Ce n’est pas sa fonction principale. Il montre l’état des services, pas des rapports analytiques mensuels complets.

  🎯 À retenir pour l’examen MS-900 :

  • Service Health Dashboard = visibilité en temps réel sur l’état des services Microsoft 365

  • Il informe, mais ne configure pas de SLA ni ne corrige automatiquement les incidents.

• onditional Access + Intune compliance policies permet de :

  • Vérifier que les appareils respectent les règles de sécurité avant de leur donner accès aux services Microsoft 365 (Exchange, SharePoint, Teams, etc.)

• Cette fonctionnalité nécessite Microsoft 365 (E3/E5) avec Azure AD Premium P1, et n’est pas disponible dans un Office 365 standalone.

• Les autres options ne gèrent pas le contrôle d’accès basé sur la conformité des appareils :

  • A : DLP protège les données mais ne contrôle pas l’accès selon la conformité des appareils.

  • C : Gestion de base des apps mobiles ne couvre pas l’accès aux services cloud.

  • D : Multi-Geo gère la localisation des données, pas la conformité des appareils.

• Identity Protection sign-in risk policy permet :

  • Détecter automatiquement les connexions suspectes ou compromises

  • Appliquer des actions automatisées comme blocage d’accès ou réinitialisation de mot de passe selon le niveau de risque configuré

• Les autres options ne remplissent pas ce rôle spécifique :

  • A : Conditional Access contrôle l’accès basé sur les conditions, mais ne déclenche pas automatiquement en fonction du risque de connexion.

  • B : Smart Lockout protège contre les tentatives de mot de passe incorrectes, mais pas contre les risques détectés par analyse des sign-ins.

  • C : Password Protection empêche l’utilisation de mots de passe faibles ou compromis, mais ne réagit pas automatiquement à un risque de connexion.

Pour protéger l’accès aux données d’entreprise sur les appareils mobiles :

1. Intune App Protection Policies (politiques de protection d’application) :

   • Permettent de protéger les applications professionnelles (ex : Outlook, Teams) même sur des appareils personnels.

   • Restreignent l’accès aux applications si l’appareil ne respecte pas les règles de conformité (ex : pas de chiffrement, jailbreak détecté).

2. Conditional Access (Accès conditionnel) :

   • Applique des conditions pour accéder aux ressources cloud (ex : Exchange Online).

   • Peut bloquer l’accès aux e-mails si l’appareil est non conforme ou compromis selon les signaux d’Intune.

✅ Ensemble, ces deux fonctionnalités permettent de sécuriser l’accès aux e-mails sur mobiles sans recourir à des solutions tierces.

• Purview Data Loss Prevention (DLP) permet :

  • De définir des politiques de protection des données basées sur le type de données sensibles (PII, informations financières, etc.)

  • D’utiliser des modèles réglementaires prédéfinis (Regulatory Templates) pour se conformer aux exigences locales :

    • GDPR → UE

    • CCPA → Californie

    • HIPAA → santé aux États-Unis, etc.

• Ces templates permettent de standardiser la classification et la protection des données selon la juridiction, tout en appliquant des règles de prévention de la perte de données adaptées à chaque région.

• Intune Device Compliance Reports permettent de :

  • Voir exactement quelles règles ne sont pas respectées pour chaque appareil

  • Identifier si le problème vient de BitLocker, antivirus, ou autre

  • Prendre des mesures correctives précises plutôt que de contourner la politique

• Cette approche assure que :

  • La conformité et la sécurité restent intactes

  • Les utilisateurs bloqués obtiennent une explication et un correctif ciblé

Le pilier Performance Efficiency du Azure Well-Architected Framework concerne :

• La capacité d’un système à s’adapter aux variations de charge

• L’autoscaling

• L’optimisation des ressources

• Le dimensionnement dynamique

• L’utilisation de services PaaS et serverless pour ajuster automatiquement la capacité

Dans ce scénario :

• Il faut gérer des pics saisonniers

• Éviter le surprovisionnement

• Adapter automatiquement les ressources

👉 Cela correspond parfaitement au pilier Performance Efficiency.

• MCAS / Defender for Cloud Apps :

  • Fournit visibilité complète sur les applications SaaS connectées à Entra ID

  • Identifie les applications non approuvées ou risquées

  • Permet de :

    • Appliquer des politiques d’accès

    • Restreindre ou contrôler l’usage des applications

    • Surveiller les activités et détecter les risques liés aux utilisateurs et aux sessions

• C’est la solution Microsoft recommandée pour le Shadow IT et la gouvernance SaaS.

L’organisation demande :

• Visibilité centralisée et monitoring sur tous les environnements

• Alertes automatisées pour les ressources non conformes

Dans le Cloud Adoption Framework (CAF) pour Azure :

• Le domaine Management se concentre sur la supervision opérationnelle, le monitoring, la collecte de logs et la configuration d’alertes automatisées.

• Bien que la conformité et les standards fassent partie de la gouvernance, cette exigence met l’accent sur la gestion opérationnelle et la surveillance continue.

✅ Donc, le domaine CAF approprié pour cette exigence est : Management.

• Microsoft recommande pour les workloads AKS exposés aux APIs :

  • Multi-layer defense : défense en profondeur (defense-in-depth)

  • Azure Firewall pour contrôler le trafic réseau entrant/sortant

  • DDoS Protection Standard pour se protéger contre les attaques volumétriques sur le réseau

  • Application Gateway WAF pour inspecter et protéger les APIs contre :

    • SQL injection

    • Cross-site scripting

    • Autres attaques applicatives

• Cette approche est la baseline de sécurité recommandée pour AKS exposé à Internet.

Microsoft Sentinel permet aux équipes SOC de :

• Collecter et centraliser les logs depuis Azure AD, endpoints, applications cloud, et plus

• Exécuter des requêtes de threat hunting personnalisées en Kusto Query Language (KQL)

• Identifier APT, comportements anormaux et attaques avancées avant qu’elles ne deviennent incidents critiques

Pourquoi c’est le bon choix :

• Le besoin est proactif (threat hunting), pas simplement la surveillance ou la gouvernance

• KQL dans Sentinel est l’outil natif pour rechercher, corréler et analyser les événements à grande échelle

• Problème : les applications legacy utilisent souvent des protocoles d’authentification non sécurisés (ex : IMAP, POP3, SMTP Auth)

• Ces protocoles contournent Conditional Access, ce qui crée une surface d’attaque importante

• Solution Microsoft recommandée pour Zero Trust :

  • Bloquer la legacy authentication dans Conditional Access

  • Appliquer MFA et autres contrôles modernes uniquement sur les applications et utilisateurs qui supportent les protocoles modernes

  • Réduire considérablement le risque de compromission des identités

• Zero Trust – Least Privilege :

  • Les utilisateurs ne doivent avoir que les droits nécessaires et uniquement lorsqu’ils en ont besoin

  • Les privilèges permanents ou excessifs sont contraires au principe Zero Trust

• PIM avec JIT :

  • Les développeurs n’activent le rôle que lorsqu’ils ont besoin d’accéder à la base de données de production

  • Chaque activation est journalisée et auditable

  • Les droits sont révoqués automatiquement après usage → sécurité maximale et conformité

• Fusion detection :

  • Fonctionnalité native de Sentinel pour corréler automatiquement les alertes provenant de différentes sources

  • Regroupe des alertes apparemment indépendantes mais liées à un même incident ou attaquant

  • Réduit le bruit (alert fatigue) et facilite le triage rapide par les analystes SOC

• Avantages :

  • Détecte des attaques avancées persistantes (APT) et chaînes d’attaques multi-sources

  • Crée des incidents uniques regroupant plusieurs alertes, plutôt que d’avoir des centaines d’alertes isolées

10.0.0.0/8 est la plus grande plage d'adresses IP privées utilisables dans GCP (16 millions d'adresses). 0.0.0.0/0 n'est pas une plage valide pour un sous-réseau VPC. Les plages 172.16.0.0/12 et 192.168.0.0/16 sont plus petites.

Puisque le workload est tolérant aux pannes, les VMs préemptibles sont idéales (jusqu'à 80% moins chères). Le test avec des événements de maintenance simulés valide la tolérance aux interruptions avant de basculer en production.

Pour des IOPS élevées, il faut sélectionner SSD local. Puisque des snapshots sont également utilisés, il faut aussi renseigner le stockage disque persistant et le stockage de snapshots. Les GPUs ne sont pas mentionnés dans les exigences.

Un SSD local offre un débit de lecture jusqu'à 3 Go/s contre ~240 Mo/s pour un SSD persistant zonal de 350 Go — soit 12x plus rapide. Augmenter la taille du disque persistant améliore le débit mais reste limité. Ajouter des vCPU n'impacte pas les I/O disque. Le SSD régional est plus cher et n'apporte pas plus de débit.

La méthode recommandée est de spécifier le compte de service lors de la création de la VM via la section 'Identité et accès à l'API'. Cela utilise l'authentification native sans gérer des clés JSON, conformément aux bonnes pratiques de sécurité GCP.

Accorder le rôle Compute Storage Admin dans le projet proj-vm au compte de service de proj-sa lui donne les permissions nécessaires pour créer des snapshots. C'est la méthode recommandée : pas de clés privées à gérer, les permissions sont données au niveau IAM.

Dans GCP, un même VPC peut avoir des sous-réseaux dans plusieurs régions. Les instances du même VPC peuvent communiquer directement via IPs privées sans VPN ni peering. C'est la solution la plus simple et recommandée.

gVisor est un sandbox kernel qui isole les conteneurs du système hôte via un kernel applicatif intercalé. Pour du code arbitraire client, c'est l'isolation la plus forte disponible dans GKE, bien supérieure à la simple isolation des conteneurs standard.

Cloud Run fully managed avec minimum d'instances à zéro scale automatiquement à zéro quand il n'y a pas de trafic — aucun coût en dehors des heures d'utilisation. Cloud Run for Anthos nécessite un cluster GKE toujours actif. App Engine flexible minimum est 1 instance.

Cloud Storage est la source de données native pour Cloud Dataflow et le staging recommandé pour les pipelines ETL GCP. gsutil gère efficacement les uploads de données non structurées. BigQuery est pour les données structurées, Cloud SQL/Spanner ne conviennent pas à des données hétérogènes.

Correct answer: Option 1. Postponing UAT until project end violates Scrum's transparency pillar and extends feedback loops dangerously, preventing early course correction. The Increment should meet Definition of Done (which includes UAT readiness) every Sprint. Option 2 ignores that DoD should include quality standards, Option 3 misunderstands self-organization, and Option 4 promotes the anti-pattern of hardening Sprints contrary to Scrum principles.

The Scrum Master teaches and facilitates—helping external stakeholders understand Scrum interactions and coaching the team on timebox discipline. Option 1 is wrong because the Scrum Master doesn't assign tasks; option 3 is wrong because they don't manage the board or resolve conflicts; option 4 is wrong because the Development Team demonstrates at the Sprint Review, not the Scrum Master.

Version control tools alone cannot resolve collaboration and dependency issues; these are fundamentally organizational and process problems requiring communication, planning, and proper backlog refinement. Technology is a tool, not a solution for human collaboration challenges in Scrum.

Correct answers: Options 2 and 3. Option 2 correctly redirects focus to value delivery—the Product Owner's role—maintaining Scrum's empirical control. Option 3 correctly demonstrates servant leadership by de-escalating conflict and creating space for rational discussion. Option 1 defends budgets outside the Scrum Master's scope, Option 4 abdicates responsibility, and Option 5 uses busy-work, which wastes inspection and adaptation opportunities.

Options A and D are correct. Option A reflects empiricism: the team forecasts likely items based on the business objective and continues discovering/refining during the Sprint. Option D ensures learning from the challenge occurs in the Retrospective. Option B violates the timebox principle, and Option C wastes time in planning paralysis when the team can discover during the Sprint.

Correct: Option 2 - Adding a second team typically causes the original team's velocity to drop initially due to increased communication overhead, context-switching, and coordination complexity as they integrate with the new team. Velocity measures the team's capacity, which is often strained by scaling effects before improvement occurs.

The three pillars of empiricism in Scrum are Transparency, Inspection, and Adaptation. These enable evidence-based decision-making in complex environments. Planning, Demonstration, and Retrospective are Sprint events; Respect For People and Kaizen come from Lean—not Scrum's foundational pillars.

The correct answer (option 2) identifies that lack of transparency from the Scrum Master and Product Owner, combined with stakeholder disengagement from Sprint Reviews, led to misaligned expectations. Scrum's transparency pillar requires regular stakeholder inspection through Sprint Reviews. The other options misattribute responsibility or focus on irrelevant factors like velocity or Gantt charts.

True. The Scrum Guide specifies only these three roles and no other preconditions to start the first Sprint. While a Product Backlog is essential, it only requires enough items for the first Sprint. Everything else (tools, documentation, infrastructure) can be determined by the Development Team.

False—Adding resources does not proportionally increase value in Scrum due to communication overhead, onboarding time, and team dynamics. The Scrum Guide emphasizes small, cross-functional teams; scaling requires structural changes and coordination, not just headcount increases.

Réponse : Test de composant: test de décision; Test système: test de table de décision.
Explication : B est correct car il combine une technique structurelle à haute sensibilité au niveau composant (test de décision) avec une technique de spécification combinatoire axée sur les exigences au niveau système (test de table de décision), maximisant ainsi la détection des défauts logiques et des interactions complexes de règles métier.

Réponse : Les critères d\'entrée et de sortie sont un moyen principal d\'obtenir des ressources adéquates..
Explication : C est correct car les critères d\'entrée et de sortie sont des portes de qualité objectives pour les transitions de niveau et la prise de décision, non des mécanismes destinés à sécuriser les ressources. Ils spécifient des conditions mesurables soutenant les décisions arrêt/go et protègent les activités en aval.

Réponse : TMMi ne peut être utilisé qu\'avec le modèle V traditionnel, tandis que TPI peut être utilisé avec tous les types de cycles de vie logiciels..
Explication : D est incorrect car TMMi n\'est pas limité au modèle V ; il est indépendant du cycle de vie et applicable aux modèles V, itératifs et agiles. TPI l\'est aussi, contredisant l\'affirmation d\'une dichotomie entre les deux approches.

Réponse : Les préoccupations concernant l\'interface utilisateur augmentent la probabilité d\'un risque dans ce domaine et augmentent la quantité d\'effort de test nécessaire pour l\'interface utilisateur, limitant ainsi l\'effort de test disponible pour d\'autres parties de l\'outil de gestion de test..
Explication : L\'option B est correcte car elle modifie explicitement à la fois la probabilité évaluée et l\'impact basé sur les ressources (couverture de test), ce qui altère l\'exposition au risque produit et force une réévaluation des priorités. Le risque augmente (probabilité × conséquence) avec la réallocation des ressources.

Réponse : La qualité de l\'estimation du développement peut être médiocre. / Utiliser le même pourcentage chaque fois ne tient pas compte du niveau de risque de l\'application à tester. / La maturité de l\'organisation, par exemple la qualité de la base de test, la qualité des tests de développement, la gestion de configuration, la disponibilité des outils de test, influencent également l\'effort requis pour le test..
Explication : Les réponses A, D et E désignent des sources distinctes de variance qu\'un simple pourcentage du développement ne peut pas capturer. A: les estimations de développement peuvent être inexactes, propageant l\'erreur d\'estimation. D: un pourcentage fixe ignore le risque spécifique, la criticité métier et les profils d\'impact des défauts. E: la maturité organisationnelle (qualité de la base de test, tests unitaires du développement, gestion de configuration, outils disponibles) influence directement l\'effort de test.

Réponse : Prévoir un environnement de test de secours en cas de défaillance de l\'environnement existant pendant les tests.
Explication : C est correct car prévoir un environnement de test de secours est une mesure d\'atténuation proactive et au niveau du projet qui réduit la probabilité et l\'impact d\'une défaillance d\'environnement. L\'atténuation des risques projet consiste en actions anticipées et délibérées réduisant l\'exposition aux menaces identifiées. Un environnement redondant est une mesure classique car une défaillance d\'environnement est un point de défaillance unique fréquent pouvant arrêter complètement les tests et augmenter les coûts.

Réponse : Définir les attentes concernant les tâches et les livrables / Canaux de communication clairs / Cultures possiblement différentes.
Explication : BCD est correct. L\'externalisation introduit des ambiguïtés contractuelles sur les livrables, nécessite des canaux de communication robustes et expose le projet à des différences culturelles. La définition précise des attentes, des critères d\'acceptation et des SLA est essentielle pour éviter les dérives de périmètre et les litiges.

Réponse : Pourcentage de couverture des exigences.
Explication : B est correct car le pourcentage de couverture des exigences quantifie directement l\'adéquation des tests par rapport à l\'objectif déclaré de valider que le système satisfait ses exigences. L\'efficacité du test dans un contexte piloté par les exigences repose sur la mesure objective de la complétude de la couverture des exigences et de la détection des non-conformités.

Réponse : Les développeurs perdent le sens des responsabilités et les testeurs indépendants peuvent devenir un goulot d\'étranglement..
Explication : Le test indépendant sépare la vérification du développement, ce qui peut diminuer le sens de la responsabilité des développeurs tandis que la coordination des tests et le triage des incidents se concentrent dans une équipe distincte qui peut devenir un goulot d\'étranglement processus.

Réponse : Créer une estimation basée sur la technique d\'analyse de points de fonction et l\'analyse de points de test.
Explication : La réponse A est correcte car l\'analyse de points de fonction combinée à l\'analyse de points de test produit une estimation précoce basée sur la taille, spécifique aux tests, indépendante de la disponibilité du code source. L\'APF fournit une métrique de taille fonctionnelle, l\'APT traduit cette taille en effort de test en appliquant les facteurs de testabilité et de qualité.

A. The synthesis agent needs tools that can fetch results directly from the other agents' conversation histories. Incorrect. Agents do not require direct access to each other's histories. Proper orchestration passes outputs explicitly via prompts. B. The synthesis agent's context window is not large enough to hold the combined outputs from both previous agents. Incorrect. If this were the issue, the agent would receive truncated data, not no data at all. The error indicates missing inputs entirely. C. The subagents need to share a single API connection to enable automatic context sharing between invocations. Incorrect. Agent communication does not depend on shared API connections. Context must be explicitly passed by the coordinator. D. The coordinator did not include the outputs from the previous agents in the synthesis agent's prompt. Correct. The synthesis agent can only act on the information provided in its prompt. If prior outputs are not passed, it will report missing research findings.

A. Provide the subagent with tool definitions that allow it to request outputs from other subagents via callbacks. Incorrect. This introduces unnecessary coupling and complexity. Subagents shouldn't need to actively fetch data from others. B. Include the complete findings from both subagents directly in the synthesis subagent's prompt. Incorrect. While simple, this approach does not scale well for large outputs and can exceed context limits, reducing efficiency. C. Pass reference identifiers and configure the subagent with read access to a shared memory store where other subagents deposited their results. Correct. This is the most scalable and production-ready approach. It preserves information fidelity while avoiding context bloat, allowing the synthesis agent to retrieve exactly what it needs. D. Spawn the subagent with only a brief task description, relying on automatic context inheritance from the coordinator. Incorrect. There is no automatic context inheritance--without explicit data access, the synthesis agent cannot function properly.

A. Structured JSON consumes significantly fewer tokens than natural language, substantially reducing API costs. Incorrect. Token usage depends on the content; JSON is not inherently more compact than text and may sometimes use more tokens. B. The agent can reliably extract specific values without parsing free form text, reducing errors in subsequent operations. Correct. Structured output provides clear, predictable fields, making it easy for the agent to use the data accurately in downstream steps. C. Structured JSON is processed deterministically by the model, significantly improving accuracy when extracting values. Incorrect. The model is still probabilistic; JSON improves structure, but not deterministic processing. D. JSON schemas automatically validate that the underlying API returned correct data before the agent processes it. Incorrect. Schemas define structure, but they do not guarantee correctness of the actual data returned by the API.

A. Clear parameter descriptions explaining expected format, such as "user_id: UUID of the user to update (required)" Correct. Clear, human-readable descriptions are the most important guidance for helping Claude understand what values to provide and how parameters should be structured. B. Verbose parameter names encoding format hints, such as user_id_string_uuid_format Incorrect. Overly verbose names reduce readability and are less effective than proper descriptions. C. Strict JSON Schema type constraints marking user_id as required and defining fields_to_update as an object type Incorrect. Schema constraints help validation, but they don't sufficiently explain semantic expectations like the required UUID format. D. Detailed error responses explaining why invalid parameter values were rejected Incorrect. Helpful after failure, but not the most critical factor for preventing mistakes initially.

A. Set temperature to 0 to eliminate output variability and ensure consistent formatting Incorrect. This reduces randomness but won't fix systematic extraction errors like misinterpreting ranges ("2 to 3"). B. Send a follow-up request including the validation error, asking the model to correct its output Correct. Providing specific validation feedback allows the model to correct the exact issue (e.g., convert "2 to 3" into a valid float), making recovery highly effective. C. Pre-process source documents to standardize problematic formats before sending them for extraction Incorrect. Helpful in some cases, but not scalable or sufficient for diverse real-world variations. D. Implement a secondary pipeline using a larger model tier to reprocess documents that fail validation Incorrect. More expensive and not necessary--targeted correction is more efficient and effective.

A. Add a user_acknowledged: boolean parameter that must be set true, with instructions for the agent to only set it after the user explicitly confirms they reviewed the details Incorrect. This relies on agent discipline and is easy to bypass or mis-handle; it doesn't guarantee users actually see or understand key details. B. Implement a 60-second hold before execution completes, allowing users time to review pending allocations and cancel if needed Incorrect. Delays alone don't improve understanding; they only slow execution and may frustrate users without ensuring informed approval. C. Add a detail_level parameter with options "minimal" or "comprehensive" that controls how much context the agent presents in confirmations Incorrect. This improves formatting flexibility but does not ensure critical cost and impact information is consistently surfaced before approval. D. Return structured data including cost estimate, target project, resource specifications, and impact summary in the tool response Correct. This ensures that every allocation includes explicit, structured, reviewable details, reducing uninformed approvals and enabling users to understand cost and impact before proceeding.

A. Implement post-processing to detect and strip common greeting phrases from response beginnings Incorrect. This is a fragile fix and can accidentally remove useful or context-specific language. B. Add system prompt instructions specifying phrases to avoid, such as "Never begin responses with 'Certainly' or similar affirmations" Correct. This directly addresses the root cause by guiding generation behavior consistently across all turns. It prevents repetition before it happens, rather than cleaning it up afterward. C. Lower the temperature parameter to make response openings more deterministic and less variable Incorrect. Lower temperature reduces variability but often increases repetition patterns, not reduces them. D. Append a partial assistant message with a direct response opening that the model will continue from Incorrect. This can shape a single response style, but it does not reliably eliminate repetitive openings across an entire conversation.

A. Regenerate summaries of existing conversations using the new prompt and replace the stored histories to align past context with current behavior. Incorrect. This rewrites history and can distort or erase what users actually said, creating continuity risks and potential inaccuracies. B. Add a transition message when sessions resume explaining that the assistant has been updated and behavior may differ. Incorrect. This improves transparency but does not solve the core problem of inconsistent behavior across sessions. C. Version system prompts and associate each conversation with the prompt version under which it started, applying updates only to new conversations. Correct. This is the most robust solution because it preserves behavioral consistency within a conversation over time, avoiding contradictions caused by mid-stream prompt changes. D. Add instructions to the new system prompt directing the assistant to maintain consistency with any prior statements in the conversation history. Incorrect. This helps slightly, but it cannot reliably override changes in underlying behavior introduced by prompt updates.

A. The coordinator agent receives the web search agent's output and includes relevant findings in the prompt when invoking the document analysis agent. Correct. This follows the standard orchestration pattern where the coordinator manages all data flow, explicitly passing outputs between subagents. B. The agents communicate through an event-driven message queue, with the document analysis agent subscribing to web search completion events. Incorrect. This introduces unnecessary infrastructure complexity and is not the typical agent orchestration model. C. The web search agent directly invokes the document analysis agent, using the discovered sources as parameters. Incorrect. Subagents should not invoke each other directly; this breaks centralized control and observability. D. Both agents access a shared memory store where the web search agent writes findings and the document analysis agent reads them. Incorrect. While possible in advanced systems, this is not the standard or simplest approach; it adds complexity without clear necessity in typical pipelines.

A. Claude's memory retention is limited to two conversational turns by default, requiring explicit configuration to extend it. Incorrect. There is no fixed "two-turn memory limit" like this; context is determined by what the application sends, not a built-in short memory window. B. The prompt lacks instructions telling Claude to remember information across multiple exchanges. Incorrect. System prompts don't control memory persistence. The model does not "forget" within context unless information is missing from input. C. The verification tool is clearing the agent's internal state after each successful validation step. Incorrect. Tools do not automatically reset conversational context unless explicitly designed to do so--and that would be an application-level bug, not the most likely general cause. D. The conversation history isn't being passed in subsequent API requests. Correct. This is the most likely cause. The model is stateless, so if prior messages aren't included in each request, it behaves as if earlier verification steps never happened--leading to repeated questions like asking for the name again.