Ne découvrez pas l'examen
le jour J

Réponse : Instances Spot.
Explication : Les instances Spot offrent des économies importantes et sont adaptées aux charges tolérantes à l’interruption, comme le transcodage média.

Réponse : Le type d’instance / La zone de disponibilité choisie.
Explication : Le prix dépend du type d’instance, de la région et AZ, mais pas du load balancing, ni du nombre de buckets/IP privés.

Réponse : Maîtrise du cloud. Explication : La perspective des personnes du AWS CAF se concentre sur la gestion du changement organisationnel. La maîtrise du cloud — comprendre les concepts, les avantages et les modes de fonctionnement du cloud — est une capacité fondamentale de la perspective des personnes.

Réponse : Instances à la demande.
Explication : Les instances à la demande (On-demand) sont idéales pour une utilisation ponctuelle, sans engagement de durée.

Réponse : B) Instances Spot. Les Instances Spot offrent jusqu'à 90 % de réduction par rapport à la tarification à la demande et sont idéales pour les charges de travail sans état et tolérantes aux pannes qui peuvent supporter les interruptions. Les simulations sans état et interruptibles constituent un cas d'usage parfait pour Spot, permettant à l'entreprise de réaliser des économies significatives tout en respectant les exigences de résilience.

Réponse : Implémenter l’élasticité.
Explication : L’élasticité permet d’ajuster automatiquement les ressources selon la demande, ce qui réduit les coûts.

Réponse : Availability Zones / Elastic Load Balancing.
Explication : Répartir la charge sur plusieurs AZ et utiliser le load balancing sont des stratégies pour limiter l’impact d’une panne locale.

Réponse : Contrôles environnementaux / Contrôles physiques.
Explication : AWS gère l’environnement physique et les contrôles associés, le client n’a pas à s’en soucier.

Réponse : Networking as a Service (NaaS).
Explication : Les trois modèles principaux sont IaaS, PaaS et SaaS ; NaaS n’est pas un modèle AWS officiel.

Réponse : Calculatrice de tarification AWS. Explication : La calculatrice de tarification AWS est un outil web gratuit qui vous permet de créer des estimations de coûts pour les architectures AWS avant de déployer des ressources — ce qui aide à planifier les budgets et à comparer les configurations de services.

Async Inference : service AWS conçu spécifiquement pour traiter des payloads volumineux et des tâches longues asynchronement. Contrairement à Real-Time Inference limité par des timeouts (15 min max), Async permet des traitements sans contrainte temporelle, stocke les résultats dans S3, et optimise les coûts en ressources. Idéal pour batch processing, traitement d'images haute résolution ou modèles complexes.

Data Drift et Pipeline de Réentraînement : le data drift (décalage des données en production) est la cause principale de dégradation. Analyser ce décalage permet d'identifier où le modèle échoue, puis automatiser le réentraînement garantit une adaptation continue. Augmenter les données d'entraînement original (sans comprendre le drift) ou changer le taux d'apprentissage ne résout pas le problème fondamental de distribution différente en production.

Claude 3 + CodeWhisperer : Claude est un LLM hautement capable pour la génération de code structuré et documenté. CodeWhisperer complète avec des suggestions intelligentes en temps réel. Ensemble, ils couvrent la génération et l'amélioration du code source en production.

Vrai. Les Knowledge Bases (RAG) réduisent la taille du prompt et injectent uniquement les passages pertinents au moment de l’inférence.

SageMaker Model Monitor : service de surveillance continue détectant la dérive des données (data drift) et des prédictions en production. Contrairement à Debugger (analyse d'entraînement), Clarify (explicabilité) et Pipelines (orchestration), Model Monitor seul assure le monitoring post-déploiement en comparant distributions actuelles vs. historiques.

Data drift et réentraînement : la dérive de données survient quand les caractéristiques des données en production divergent du corpus d'entraînement. Augmenter le volume ET la diversité des données permet au modèle de capturer davantage de variations et de patterns réels, améliorant ainsi sa généralisation. Cependant, cela atténue mais ne résout pas complètement le drift—un monitoring continu et un pipeline de réentraînement régulier restent essentiels.

SageMaker Clarify : outil spécialisé pour l'explicabilité et l'audit de modèles ML. Il génère des rapports détaillés sur l'interprétabilité des prédictions (SHAP, LIME) et quantifie les biais potentiels par démographie. Contrairement à Inspector (conformité infrastructure), Macie (données sensibles) et Rekognition (détection visuelle), Clarify cible spécifiquement l'évaluation et la transparence algorithmique en santé.

AWS SageMaker Feature Store : gestionnaire centralisé de features avec deux stores (online/offline). L'ordre logique est : d'abord définir le feature group (schéma, métadonnées), puis ingérer les données (avec versioning et gouvernance), ensuite requête offline pour training (historique complet), enfin servir online pour inférence (latence faible). Les distracteurs inversent cet ordre : ingérer avant de définir le groupe échouerait (pas de schéma), servir online avant l'ingestion manquerait de données.

Température élevée sans contrôle : augmenter la température accroît l'aléa et la créativité du modèle, rendant les réponses moins prévisibles et plus susceptibles de générer du contenu indésirable ou malveillant. Contrairement aux autres pratiques qui renforcent la sécurité (templates robustes, least-privilege IAM, filtrage des entrées), cette approche aggrave les risques d'injection de prompt en réduisant la cohérence des protections.

Principle du Least Privilege : chaque équipe reçoit un rôle IAM dédié avec permissions minimales nécessaires pour Bedrock et S3. Cela limite les dégâts en cas de compromission. Contrairement à un rôle admin partagé (risque massif) ou l'accès public S3 (violation sécurité), cette approche segmente les droits par équipe organisationnelle.

Empiricism's Three Pillars: Transparency (making work visible), Inspection (examining progress), and Adaptation (adjusting based on findings). These enable Scrum teams to respond to change through facts rather than assumptions, distinguishing empirical from predictive approaches.

Daily Scrum Duration and Participants: The Daily Scrum is a 15-minute timeboxed event for Developers only, not 30 minutes for the entire Scrum Team. While the Product Owner and Scrum Master may attend, only Developers are required participants who discuss progress toward the Sprint Goal.

Sprint Goal Immutability: The Sprint Goal is a fixed commitment established during Sprint Planning and remains unchanged throughout the Sprint. While Developers can negotiate Sprint Backlog scope with the Product Owner when new information emerges, the Sprint Goal itself—the overarching objective—stays constant. This distinction prevents scope creep while allowing flexibility in implementation details.

Sprint Continuity: Sprints are consecutive time-boxed events with no gaps between them. Once a Sprint concludes, the next Sprint begins immediately, ensuring continuous delivery cycles. This eliminates idle periods and maintains team momentum without breaks for planning or transitions.

Sprint Review Timebox: The Scrum Guide establishes a 1-hour timebox per week of Sprint duration. For a one-month (4-week) Sprint, this equals 4 hours maximum. This allows adequate time for stakeholder inspection and feedback without excessive meetings. Shorter timeboxes (1-2 hours) insufficient for meaningful inspection; 8 hours violates Scrum's timeboxing principle.

Adaptation pillar: When process or product deviations are detected, immediate adjustments are required to stay within acceptable limits. This reactive responsiveness prevents small issues from compounding into larger problems, ensuring Scrum remains effective and product quality is maintained continuously.

Answer: Dev Team decides work; no titles for members; lightweight framework.
Explanation: Scrum promotes self-organization through: the Development Team choosing their own work, removing specialization titles to encourage cross-functionality, and being a framework (not a prescribed process) that allows teams to organize as needed.

Sprint Goal: A single, cohesive objective that guides the Sprint and provides purpose beyond individual Product Backlog items. It enables flexibility in how work is accomplished while maintaining focus, distinguishing it from a fixed list of tasks or velocity metrics.

Inspection as Empirical Pillar: Inspection is a core empirical practice requiring frequent examination of Scrum artifacts and progress to detect variances from goals. This enables timely adaptation, distinguishing Scrum from predictive approaches that rely on upfront planning without continuous monitoring.

Key concept: Developer autonomy in Sprint Planning. The Developers—not the Product Owner or stakeholders—have the authority to select which Product Backlog Items (PBIs) they commit to during Sprint Planning. While the Product Owner orders the backlog and presents priorities, Developers assess their capacity, velocity, technical dependencies, and skill distribution to determine which items they can realistically complete. This ensures accountability for the Sprint Goal and sustainable pace. The Product Owner cannot impose items; they can only clarify requirements and accept completed work. This distinction is critical: the PO influences backlog ordering and value sequencing, but Developers control selection and commitment, maintaining self-organization and preventing over-commitment.

One for the entire product is correct because the Scrum Guide 2020 states that there is one Product Backlog per product, regardless of how many Scrum Teams are working on it. Multiple teams may work from the same Product Backlog, with the Product Owner responsible for ordering all items to maximize value across the entire product. Having separate backlogs per team, stakeholder group, or sprint would fragment the product vision and create conflicting priorities.

Answer: The Development Team.
Explanation: The Daily Scrum is held by and for the Development Team. The Product Owner and Scrum Master are not required to attend, though they may join when helpful.

Key concept: Velocity versus Product Value. Velocity is a descriptive metric that measures the amount of work (story points or items) a Scrum Team completes in a Sprint—it reflects output or capacity, not the value delivered. Product value encompasses business outcomes, customer satisfaction, revenue impact, and strategic goal achievement. A team might have high velocity while delivering low-value features, or lower velocity while delivering high-impact work. As a PSPO, you must distinguish between team throughput (velocity) and actual value delivery when making backlog prioritization decisions and communicating with stakeholders about product success.

Value metrics are outcome-based, not output-based. Time to market indicates how quickly the product can respond to customer needs and capture business opportunities. Customer satisfaction directly measures whether the product is achieving its purpose. Velocity measures team throughput (not value), and percentage of scope implemented measures plan compliance — neither indicates whether customers benefit from the product.

Key concept: Sprint Backlog ownership and purpose. The Sprint Backlog is owned by the Developers because they create it during Sprint Planning to define their work for the current Sprint. This artifact represents the Developers' commitment to achieving the Sprint Goal through selected Product Backlog items and the tasks required to complete them. The Developers maintain and update the Sprint Backlog throughout the Sprint, making it their plan, not management's or the Product Owner's mandate. This ownership ensures transparency, accountability, and autonomy—core Scrum principles. Unlike the Product Backlog (owned by the Product Owner) or the Increment (the outcome of their work), the Sprint Backlog is exclusively the Developers' working document.

Sprint Timebox Immutability: The Sprint duration is a fixed commitment established at Sprint Planning and remains constant throughout the entire Sprint. This is a cornerstone principle of Scrum—once a Sprint begins (typically 1-4 weeks), the timebox cannot be shortened, extended, or modified mid-Sprint. This constraint ensures predictability, allows teams to establish sustainable velocity metrics, and prevents scope creep from disrupting the Sprint cadence. While the Sprint Goal, tasks, or backlog items may be adjusted during the Sprint, the temporal boundary itself is sacrosanct. Only after the Sprint concludes can the team retrospectively decide to change Sprint length for future iterations. Maintaining this rigid timebox builds organizational discipline and enables reliable forecasting.

Answer: Re-work the selected Product Backlog items with the Developers to meet the Sprint Goal.
Explanation: When the Development Team forecasts they cannot complete all selected items, the PO collaborates with them to adjust scope while protecting the Sprint Goal. The Sprint Goal is the commitment; individual items can be renegotiated.

The Product Owner is explicitly accountable for maximizing the value of the product resulting from the work of the Scrum Team, as stated in the Scrum Guide 2020. The Scrum Master is accountable for the Scrum Team's effectiveness, the Developers are accountable for creating a potentially releasable increment, and stakeholders provide input but do not hold accountability within the Scrum Team structure. This accountability is a core responsibility of the Product Owner role and cannot be delegated.

Answer: Collaborate to define a Sprint Goal and clarify the content.
Explanation: The PO presents the objective of the product, proposes Sprint Goal(s), and collaborates with the team to clarify Product Backlog items and negotiate scope.

Concept clé - Suivi des risques bidimensionnel : Le suivi des risques est un processus continu qui englobe l'identification, l'analyse et la réaction face à TOUS les types de risques - menaces (événements négatifs) ET opportunités (événements positifs). Selon le PMBOK 7e édition, la gestion des risques n'est pas un exercice défensif limitant : elle reconnaît que les risques peuvent créer de la valeur. Un chef de projet doit surveiller activement tant les menaces (retards, surcoûts, défauts) que les opportunités (optimisations de coût, accélération des délais, amélioration de la qualité). Cette vigilance bidirectionnelle permet une prise de décision stratégique et une réallocation proactive des ressources. Pourquoi les autres options sont fausses : la deuxième ignore les opportunités et limite le suivi au démarrage (processus statique erroné) ; la troisième dénie la responsabilité partagée du chef de projet en gestion des risques ; la quatrième restreint le suivi à des moments ponctuels, alors qu'il doit être continu tout au long du projet, en intégration avec les revues d'avancement.

L’adaptation (tailoring) de l’approche à chaque flux de travail et la définition de règles de synchronisation entre sous-équipes relèvent du domaine Approche de développement et cycle de vie.

Suivi des performances du projet selon le PMBOK 7e édition : La mesure et le suivi constituent un domaine d'activité fondamental qui repose sur l'observation régulière des écarts entre le plan de base (scope, calendrier, coûts) et l'exécution réelle du projet. Ces écarts permettent au chef de projet d'identifier rapidement les dérives et de déclencher des actions correctives avant que les impacts ne deviennent critiques. Les indicateurs de performance clés (KPI) complètent cette analyse en fournissant des métriques quantifiables telles que l'indice de performance des coûts (IPC), l'indice de performance des délais (IPD), le taux de complétion ou la qualité des livrables. Cette combinaison permet une évaluation objective de la performance. La progression vers les bénéfices attendus, bien que importante, relève davantage du domaine de la Gestion de la valeur et de la livraison (Value Delivery Domain) en fin de projet. Le nombre de pages de rapports et la fréquence des réunions sont des métriques de processus, non de performance projet. Enfin, la satisfaction du sponsor sans ajustement du budget initial ignorerait les réalités du terrain et contredirait le principe d'amélioration continue du PMBOK.

Indice de performance des coûts (CPI) : ratio des valeurs acquises sur dépensées. CPI = 0,85 signifie 85 centimes de valeur pour chaque euro dépensé, donc dépassement budgétaire. Indice de performance du calendrier (SPI) : SPI = 1,0 indique une progression conforme au planning. Le projet avance à l'allure prévue malgré les surcoûts.

Suivi continu des bénéfices : Le PMBOK 7e édition reconnaît que la création de valeur ne s'arrête pas à la livraison du projet. Le suivi des bénéfices est un processus stratégique qui commence dès les phases initiales du projet (identification et planification des bénéfices attendus) et se poursuit bien après la clôture, durant toute la phase opérationnelle. Cette approche permet de vérifier que les résultats livrés génèrent réellement la valeur promise et d'ajuster les stratégies si nécessaire.

Pourquoi cette réponse est correcte : Le PMBOK 7 adopte une perspective centrée sur la création de valeur commerciale durable. Le chef de projet participe activement à cet effort, notamment en définissant les indicateurs de bénéfices clés (KBIs) et en collaborant avec les parties prenantes pour assurer le suivi post-projet.

Distinction des autres options : Limiter le suivi à la clôture du projet (option 2) ignorerait les bénéfices réalisés en exploitation. Déléguer entièrement au commanditaire (option 3) contredit le rôle étendu du PM moderne. Restreindre aux projets avec ROI formalisé (option 4) ex

Négociation intégrative : dépasser le « ou/ou » pour créer une valeur commune. Identifier les intérêts profonds (pas juste les positions) et explorer des options mutuellement bénéfiques renforce la relation et pérennise le partenariat.

Valeurs du Manifeste Agile : Le Manifeste Agile énonce 4 valeurs fondamentales, dont la première : valoriser les individus et interactions plutôt que les processus et outils. Cette priorité aux personnes reflète la flexibilité agile versus l'approche rigide du waterfall. Les autres options reflètent des malentendus : processus/outils (inverse), plan détaillé (waterfall), formalisme contractuel (non-agile).

Encourager l’apprentissage, accepter les erreurs comme sources d’amélioration et maintenir la cohésion renforcent la résilience de l’équipe.

Cette question correspond à l’objectif d’apprentissage FL-4.3.1 (K2) – Expliquer le test des instructions et le principe de couverture des instructions.

Pour couvrir 100% des instructions, nous avons besoin d\'au moins un cas de test qui parcourt chaque chemin.

La bonne réponse est donc c) score = 30, score = 75, score = 120

Cette question correspond à l’objectif d’apprentissage FL-1.1.1 (K1) – Identifier les objectifs habituels du test.
● a) Faux → Il est impossible de démontrer qu’un logiciel est totalement exempt de défauts.
● b) Correct → Les tests réduisent le risque de défauts et augmentent la probabilité que le logiciel réponde aux exigences.
● c) Faux → Vérifier la conformité aux spécifications est une partie des tests, mais pas leur seul objectif.
● d) Faux → Les tests ne remplacent pas l’assurance qualité, qui inclut d’autres activités comme l’analyse des processus.

Cette question correspond à l’objectif d\'apprentissage FL-4.2.3 (K3) – Utiliser les tests par tables de décisions pour dériver les cas de test.

Les cas de tests proposés couvrent :
● CT1 (20 ans, abonnement actif, certificat valide) → couvre R1
● CT2 (17 ans, abonnement actif, certificat valide) → couvre R5
● CT3 (25 ans, abonnement inactif, certificat valide) → couvre R3
● CT4 (30 ans, abonnement actif, certificat expiré) → couvre R2
● CT5 (28 ans, abonnement inactif, certificat expiré) → couvre R4

● a) Faux → combinaison déjà couverte par CT5
● b) Faux →redondant avec CT1 (âge valide, tout valide)
● c) Correct → tous les attributs invalides → nouvelle combinaison (R8)
● d) Faux → car une nouvelle règle est testée en c)

Cette question correspond à l’objectif d’apprentissage FL-1.3.1 (K2) – Expliquer les sept principes du test.

● a) Faux → Les tests de régression restent nécessaires tout au long du cycle de vie du logiciel.
● b) Correct → Plus un défaut est détecté tôt, moins il est coûteux à corriger, car il est identifié avant qu’il ne se propage.
● c) Faux → Tester tôt ne garantit pas un produit exempt de défauts.
● d) Faux → Tester tôt ne signifie pas réduire le nombre total de tests nécessaires.

Cette question correspond à l’objectif d\'apprentissage FL-2.1.6 (K2) – Expliquer comment les rétrospectives peuvent être utilisées comme mécanisme d\'amélioration des processus.
● a) Faux → Supprimer une activité essentielle n’est pas une amélioration mais une régression.
● b) Faux → Agrandir les sprints ne règle pas le problème d’origine.
● c) Correct → La rétrospective permet d’analyser, comprendre et agir sur les causes racines, ce qui est une véritable démarche d’amélioration continue.
● d) Faux → Cela aggraverait le manque de communication, au lieu de résoudre le problème.

Cette question correspond à l’objectif d\'apprentissage FL-2.1.4 (K2) - Résumer la façon dont DevOps pourrait avoir un impact sur le test.

La bonne réponse est c) i, ii, iv ont une influence significative ; iii non.

● i) Correct → DevOps nécessite un équilibre entre tests automatisés et manuels.
● ii) Correct → Les cycles de livraison rapides imposent des tests rapides et efficaces.
● iii) Faux → DevOps ne se limite pas aux tests de non-régression, d’autres types de tests sont nécessaires.
● iv) Correct → Assurer la stabilité de l’environnement de test est crucial en intégration continue.

Cette question correspond à l’objectif d’apprentissage FL-4.3.1 (K2) – Expliquer le test des instructions.

Le test des instructions vérifie que chaque ligne de code est exécutée au moins une fois. Il y a 10 instructions conditionnelles, chaque ayant 2 branches, alors on peut avoir jusqu’à 20 instructions exécutables, mais pour les couvrir toutes, il suffira souvent de 2 cas de test bien choisis, par exemple :

● un cas qui passe toujours par les if
● un autre qui force les else
● a) Faux → 1 seul test ne garantit pas la couverture si des branches ne sont pas exécutées.
● b) Correct → 2 tests suffisent pour atteindre 100% de couverture.
● c) Faux →5 tests sont excessifs.
● d) Faux → 10 tests sont inutiles.

Cette question correspond à l’objectif d’apprentissage FL-3.2.1 (K1) – Identifier les
avantages d’un feedback précoce et fréquent de la part des parties prenantes.

● a) Faux → L’automatisation des tests est indépendante du moment où le feedback est reçu.
● b) Correct → Obtenir des retours rapides des parties prenantes permet d’identifier plus tôt les erreurs, les imprécisions ou les malentendus liés aux exigences ou aux spécifications → cela réduit le coût de correction.
● c) Faux → Le feedback n’a pas pour but de réduire le besoin d’exploration, mais d’améliorer la compréhension dès le début.
● d) Faux → Le retour d’information ne supprime pas les changements, mais facilite leur gestion en les identifiant plus tôt.

Cette question correspond à l’objectif d’apprentissage FL-5.5.1 (K3) – Préparer un rapport de défaut.

Les réponses correctes sont a) et b)
● a) Correct → La sévérité aide à prioriser la correction. Elle est essentielle dans un contexte bancaire.

● b) Correct → La version de l’application est critique pour reproduire et vérifier le défaut.

● c) Faux → Le testeur n’a pas besoin de savoir qui a codé : c’est un détail organisationnel, pas nécessaire dans le rapport.

● d) Faux → Le résultat attendu est bien présent

● e) Faux → Les références croisées sont utiles mais pas obligatoires, surtout si la
situation est bien décrite.

Cette question correspond à l’objectif d’apprentissage FL-5.1.2 (K1) – Reconnaître la valeur ajoutée d’un testeur dans la planification des itérations et des releases.
● a) Faux → La réécriture des exigences n’est pas une responsabilité directe du testeur.
● b) Faux → Le testeur contribue à l’estimation de l’effort de test, pas à celle des sprints de développement.
● c) Faux → Le testeur ne choisit pas comment le code est développé.
● d) Correct → Le testeur apporte une perspective qualité dès le début : il aide à identifier les risques, à définir ce qui doit être testé en priorité.

Spyware: malware that covertly monitors user activity, captures keystrokes, browsing habits, and personal data without consent. Unlike worms (self-replicating network threats), rootkits (privilege escalation tools), or botnets (command-controlled networks), spyware's primary function is silent surveillance and information theft.

Two-Factor Authentication (2FA): requires two independent verification methods (something you know like a password, plus something you have like a phone or token). This adds security layers—even if one factor is compromised, attackers need both to gain access. Unlike option C, 2FA requires passwords, not eliminates them. While it may reduce some phishing success, the primary purpose is layered security.

Network Segmentation: dividing a network into separate zones to contain security breaches. If one segment is compromised, the attack cannot easily spread to other segments, limiting lateral movement. This is distinct from bandwidth optimization (B), signal improvement (C), or encryption methods (D), which are separate network concerns.

Réponse correcte : Le penetration testing simule des attaques réelles pour identifier les vulnérabilités avant que des acteurs malveillants ne les exploitent. C'est un test proactif et contrôlé qui permet aux organisations de corriger les faiblesses de sécurité.

Pourquoi les autres réponses sont incorrectes : Le déploiement de patches concerne la remédiation (après identification), la surveillance du trafic réseau est du monitoring continu (non un test ponctuel), et tester la performance du matériel sous charge relève du testing de performance, non de sécurité.

Data Exfiltration via DNS Tunneling: Attackers encode stolen data into DNS queries to bypass firewalls, as DNS is typically allowed outbound. Large volumes of unusual queries during off-hours suggest automated data theft. DNS spoofing redirects traffic (not data theft), DNS poisoning corrupts DNS records (not exfiltration), and DoS causes service unavailability rather than covert data extraction.

Preventive controls: security measures implemented before incidents occur to stop threats. An acceptable use policy establishes rules and expectations upfront, preventing misuse. Unlike detective controls (identify incidents), corrective controls (fix damage), or compensating controls (alternative safeguards), preventive controls act proactively.

Answer: Compensating control.
Explanation: A compensating control provides alternative protection when the primary control cannot be implemented as intended. A legacy Linux system cannot be updated with modern security tools, so IP-allowlisting is implemented as a compensating control to restrict access.

Attack Surface Reduction: Disabling unnecessary services eliminates unused entry points before other hardening measures. Each running service represents potential vulnerability exposure. This foundational step should precede patches, firewalls, or passwords—removing unused services prevents attackers from exploiting them, while other options merely secure existing attack surfaces.

Legal Hold: A court-mandated directive requiring organizations to preserve all potentially relevant data and communications indefinitely until litigation concludes. This prevents evidence destruction and ensures compliance with discovery obligations. Unlike temporary retention (30 days) or selective deletion, legal holds apply comprehensively to all related materials regardless of employee involvement in the lawsuit.

OCSP (Online Certificate Status Protocol): a real-time mechanism that queries a certificate authority's OCSP responder to verify whether a digital certificate is valid, suspended, or revoked. Unlike CRL (Certificate Revocation List) which requires downloading entire lists, OCSP provides immediate revocation status checks. CSR is for certificate requests, CA is an entity, and CRC is a data integrity check—none validate certificate revocation status.

Dynamic Data Masking (DDM) limite l'exposition des données sensibles en masquant automatiquement les données pour les utilisateurs non autorisés — sans modifier les données stockées. Exemple : un numéro de carte bancaire 4532-1234-5678-9012 apparaît comme XXXX-XXXX-XXXX-9012 pour un agent de support, mais en clair pour un administrateur financier. Le masquage s'applique au moment de la requête. Les règles définissent quelles colonnes masquer et selon quel pattern (email, numéro de téléphone, texte aléatoire). C'est une protection complémentaire au RBAC, pas un remplacement du chiffrement.

Azure Databricks est une plateforme Spark managée développée en collaboration avec Databricks (créateurs de Delta Lake, MLflow). Elle excelle dans les cas avancés : ML/MLOps, feature engineering complexe, streaming Delta. Azure Synapse Analytics Spark est intégré dans le workspace Synapse, facilitant la collaboration entre SQL et Spark au sein d'un même outil. Databricks est souvent préféré pour les data scientists avancés ; Synapse Spark pour les équipes data engineering qui travaillent déjà dans l'écosystème Synapse. Les deux supportent Python, Scala et R.

Azure Synapse Analytics est une plateforme d'analyse intégrée qui combine l'entreposage de données (data warehouse) avec le traitement du big data, permettant d'analyser des volumes massifs de données de manière efficace. L'hébergement de microservices conteneurisés relève d'Azure Container Instances ou AKS, les transactions OLTP à forte concurrence sont gérées par Azure SQL Database, et le stockage de fichiers non structurés est assuré par Azure Blob Storage. Synapse Analytics se concentre exclusivement sur l'analytique à grande échelle, pas sur ces cas d'usage.

Une clé étrangère (Foreign Key) est une contrainte référentielle qui lie une colonne d'une table à la clé primaire d'une autre table. Elle garantit l'intégrité référentielle : on ne peut pas insérer une valeur dans la colonne FK si elle n'existe pas dans la table référencée, ni supprimer une ligne référencée sans gérer les dépendances. Exemple : une table Commandes avec un CustomerID (FK) référençant la table Clients (PK=CustomerID). Sans FK, on pourrait avoir des commandes orphelines sans client associé.

Azure Data Factory : service cloud d'orchestration ETL/ELT qui automatise le déplacement et la transformation de données entre sources et destinations. Il permet de créer des pipelines réutilisables avec planification et monitoring. Contrairement à Blob Storage (stockage), Monitor (surveillance) ou Power BI (visualisation), Data Factory est le seul outil d'orchestration complète des flux de données.

Réponse : Graphe. Explication : Les bases de données en graphe se caractérisent par l'utilisation de nœuds (représentant des entités) et d'arêtes (représentant les relations entre entités). Cette structure traite efficacement les données hautement connectées et les requêtes de relations complexes.

Clé primaire : colonne ou ensemble de colonnes garantissant l'unicité de chaque enregistrement dans une table relationnelle. Elle empêche les doublons et permet l'identification précise des données. Contrairement aux clés étrangères (qui créent des relations entre tables) ou aux index (qui optimisent les performances), la clé primaire est fondamentalement un mécanisme d'intégrité et de distinction des données.

Réponse : INSERT. Explication : INSERT est une instruction DML qui ajoute de nouvelles lignes à une table. Avec UPDATE, DELETE et SELECT, INSERT est une opération DML fondamentale qui modifie les valeurs de données en ajoutant de nouvelles lignes sans modifier les enregistrements existants.

Cohérence forte (Strong) : niveau maximal de cohérence dans Cosmos DB garantissant que toutes les lectures retournent immédiatement la dernière valeur écrite, sans délai. Contrairement à la cohérence éventuelle (délai avant synchronisation) ou de session (cohérence limitée à une session utilisateur), la cohérence forte impose une synchronisation instantanée entre réplicas, au coût d'une latence accrue.

Index dans une base relationnelle : structure de données qui organise les valeurs d'une ou plusieurs colonnes pour accélérer la localisation des enregistrements. Sans index, le moteur doit scanner chaque ligne (table scan). Avec un index, il utilise une structure optimisée (arbres B) pour retrouver les données en quelques accès disque seulement, d'où une amélioration drastique de performance. À ne pas confondre avec la suppression de redondance (normalization), l'unicité (contrainte unique) ou la sécurité (transactions ACID).

Réponse : Elle mappe les opérations AA (APC, amortissement, cession) vers des comptes GL via des clés configurées par classe d’actifs et zone.
Explication : La détermination des comptes pilote la comptabilisation automatique AA→GL.

Réponse : Les groupes de tolérance utilisateur peuvent limiter les écarts ; Les reason codes documentent la cause des différences ; Des comptes d’écart d’escompte/écriture de charge peuvent être déclenchés.
Explication : Les tolérances contrôlent la compensation et l’affectation des écarts aux comptes appropriés.

La clé d'imputation (Posting Key) est un code à 2 chiffres qui contrôle plusieurs attributs d'un poste de document comptable : (1) Débit ou crédit du poste, (2) Type de compte autorisé (G/L, client, fournisseur, actif, matériel), (3) Champs obligatoires/facultatifs à saisir dans le poste. Les clés standards incluent : 40 (débit G/L), 50 (crédit G/L), 01 (débit client = facture), 11 (crédit client = avoir), 31 (crédit fournisseur = facture fournisseur). Dans S/4HANA, les apps Fiori simplifient la saisie mais la clé d'imputation reste le mécanisme sous-jacent.

Le Domaine de Contrôle de Gestion est l'élément organisationnel qui relie directement FI et CO. Il regroupe plusieurs Sociétés et permet à la Comptabilité de Gestion (CO) de collecter et analyser les données comptables (FI) pour le contrôle de gestion et l'analyse de rentabilité. Le Centre de Profit est un élément CO utilisé pour l'analyse de rentabilité mais ne constitue pas un lien structurel entre FI et CO. Le Domaine d'Activité est un élément facultatif pour segmenter les données par secteur d'activité, pas un lien FI-CO. La Société est l'élément de base de FI mais ne relie pas directement les deux modules – plusieurs Sociétés peuvent appartenir au même Domaine de Contrôle de Gestion.

Réponse : Peuvent être vente ou mise au rebut ; impactent AA/GL/ACDOCA
Les cessions d'actifs (retirements) peuvent être de deux types : vente (avec produit de cession et calcul de plus/moins-value) ou mise au rebut (scrapping, sans produit). Les deux types génèrent des écritures dans AA, GL et ACDOCA pour refléter la sortie de l'actif du bilan.

Réponse correcte : La clôture de période dans SAP FI implique la finalisation des transactions en attente, l'enregistrement des provisions et la préparation des états financiers, ce qui reflète les activités essentielles de clôture comptable. Pourquoi les autres réponses sont incorrectes : Les comptes du grand livre ne sont jamais réinitialisés à zéro (ils conservent leurs soldes), l'archivage n'est pas automatique lors de la clôture, et les articles ouverts ne sont pas annulés mais plutôt provisionnés ou apurés pour assurer la continuité entre les périodes.

Réponse : F-53
La transaction F-53 (Post Outgoing Payments) permet d'enregistrer un paiement sortant manuel fournisseur et de lettrer le paiement avec les factures ouvertes correspondantes. Elle est utilisée pour les paiements individuels manuels, par opposition au run automatique F110.

Réponse : Le segment apparaît dans la configuration d'affectation supplémentaire des comptes ; le segment apparaît dans la disposition d'écran pour la fiche immobilisation. Explication : L'activation de la présentation par segment dans FI-AA ajoute le champ segment à deux zones : la configuration de l'affectation des comptes (pour la dérivation automatique du segment dans les comptabilisations) et la disposition d'écran de la fiche immobilisation (pour l'affectation manuelle ou l'affichage).

Réponse correcte : Les écritures de régularisation (Accrual) enregistrent les charges ou produits appartenant à la période actuelle même s'ils n'ont pas encore été facturés ou reçus, respectant ainsi le principe de rattachement des charges aux produits (matching principle) en comptabilité d'exercice. Pourquoi les autres réponses sont incorrectes : La première décrit une contrepassation, la troisième concerne le reclassement de comptes en fin d'exercice, et la quatrième s'agit de paiements d'avance aux fournisseurs, qui sont des opérations distinctes des régularisations comptables.

Réponse : Le Catalogue Fiori attaché au rôle.
Explication : Le catalogue liste les applications disponibles ; les espaces/pages organisent la présentation ; l’autorisation découle du rôle PFCG qui référence le catalogue.

Le coq gaulois est un symbole non officiel mais traditionnel de la France, hérité d'un jeu de mots latin entre « Gallus » (coq) et « Galli » (les Gaulois). Il incarne le courage, la vigilance et la fierté. On le retrouve sur les grilles de l'Élysée, les équipements sportifs des équipes de France (maillots, emblèmes), les pièces de monnaie historiques. Il est distinct du symbole officiel (Marianne, la devise, le drapeau tricolore) mais fait partie de l'imaginaire national français depuis le Moyen Âge.

Preuve de communauté de vie : Pour une naturalisation par mariage, l'administration exige des documents attestant que les époux vivent ensemble au même domicile. Un bail de logement au nom des deux époux et des factures communes (électricité, gaz, internet) constituent les preuves essentielles. Contrairement à la carte d'identité ou au livret de famille qui ne démontrent pas la cohabitation réelle, ces documents établissent objectivement l'existence d'une vie conjugale commune depuis la conclusion du mariage.

Naturalisation par mariage : La loi française impose 4 ans de vie commune effective pour permettre au conjoint étranger de demander la naturalisation. Ce délai garantit la stabilité du mariage et l'intégration réelle. Les autres durées (2, 5 ou 1 an) ne correspondent pas au cadre légal actuel.

L'appel du 18 juin 1940 est un discours radiodiffusé depuis Londres par le général Charles de Gaulle sur les ondes de la BBC, appelant les Français à refuser la capitulation face à l'Allemagne nazie et à continuer le combat. Il marque la naissance de la France Libre. Le lendemain de l'armistice signé par le maréchal Pétain (22 juin 1940), de Gaulle refuse la défaite et incarne la Résistance depuis l'étranger. Il est considéré comme l'un des textes fondateurs de la République gaulliste et figure au patrimoine immatériel de l'UNESCO depuis 2005.

Autorité compétente en naturalisation : Le Ministère de l'Intérieur gère l'ensemble des demandes de naturalisation, y compris par mariage, via les préfectures locales qui instruisent les dossiers. La Justice intervient uniquement pour les décisions judiciaires, les Affaires étrangères pour les ressortissants à l'étranger, et la Préfecture de police pour Paris uniquement.

La séparation des trois pouvoirs : fondement de la démocratie française établi par la Constitution. Le pouvoir législatif (Parlement) crée les lois, le pouvoir exécutif (Président, Gouvernement) les applique, et le pouvoir judiciaire (tribunaux) les interprète. Cette séparation empêche la concentration du pouvoir et protège les libertés individuelles. Deux, quatre ou cinq pouvoirs ne correspondent pas à la structure constitutionnelle française.

Le 14 juillet est la Fête nationale française, commémorant la prise de la Bastille le 14 juillet 1789, symbole du début de la Révolution française et de la fin de l'absolutisme royal. Cette date est fériée depuis la loi du 6 juillet 1880. Le 8 mai commémore la victoire des Alliés en Europe (1945). Le 11 novembre est l'armistice de 1918 (fin de la Première Guerre mondiale). Le 1er mai est la fête du Travail.

La Constitution du 4 octobre 1958 est la loi fondamentale de la Ve République. Elle définit les institutions, les pouvoirs du Président, du gouvernement et du Parlement. Son préambule renvoie à la Déclaration de 1789 et au préambule de 1946 (qui consacre les droits sociaux). La Constitution de 1946 était celle de la IVe République. La Déclaration de 1789 et le préambule de 1946 ont valeur constitutionnelle mais ne constituent pas à eux seuls la loi fondamentale actuelle.

La Norvège n'est pas membre de l'Union européenne. Elle a refusé l'adhésion par deux référendums (1972 et 1994). La Norvège fait partie de l'Espace économique européen (EEE) et de l'espace Schengen, mais n'est pas soumise aux décisions des institutions européennes. Portugal, Grèce et Slovaquie sont tous membres de l'UE. Autres non-membres notables : Suisse, Royaume-Uni (depuis le Brexit de 2020), Islande, Turquie.

La laïcité à l'école publique signifie que l'enseignement est neutre, sans instruction religieuse obligatoire. Depuis la loi du 15 mars 2004, les élèves ne peuvent porter de signes religieux ostensibles (voile islamique, kippa, grande croix) dans les écoles, collèges et lycées publics. Les enseignants sont soumis à un devoir strict de neutralité depuis 1886. L'école laïque vise à former des citoyens libres, capables de raisonner indépendamment de toute influence religieuse. Les établissements privés sous contrat appliquent des règles différentes.

Réponse : 1 et 4.
Explication : La résolution d\'un problème implique l\'amélioration continue (identifier et éliminer la cause) et le contrôle des changements (implémenter la correction de manière contrôlée et sécurisée).

Réponse : S\'assurer que les fournisseurs de l\'organisation et leurs performances sont gérés de manière appropriée afin de supporter l\'approvisionnement continu de produits et services de qualité.
Explication : La gestion des fournisseurs assure que les relations avec les fournisseurs externes sont correctement gérées pour garantir un approvisionnement continu en produits et services de qualité.

Réponse : Des procédures détaillées pour diagnostiquer les incidents.
Explication : La gestion des incidents vise une résolution rapide, pas la documentation détaillée de procédures de diagnostic. Les procédures détaillées relèvent de la gestion des problèmes et de la base de connaissances.

Réponse : Résultats souhaités par une partie prenante.
Explication : Les résultats (outcomes) sont les effets souhaités par une partie prenante. Ils diffèrent des livrables (outputs) : le résultat est la valeur créée pour le consommateur, pas le produit livré.

Réponse : Les coûts supprimés par le service et les coûts imposés par le service.
Explication : Le consommateur d\'un service doit évaluer les coûts supprimés (ce qu\'il n\'a plus à gérer) et les coûts imposés (ce qu\'il doit payer), pour déterminer si la valeur nette est positive.

Réponse : Il devrait y avoir au moins une petite équipe qui se consacre à la conduite des efforts d\'\"amélioration continue\".
Explication : ITIL 4 recommande qu\'une équipe dédiée, même réduite, pilote les efforts d\'amélioration continue pour maintenir le focus et la cohérence, sans que cela n\'empêche toute l\'organisation d\'y contribuer.

Réponse : Pour planifier les changements et éviter les conflits.
Explication : Le calendrier des changements sert principalement à planifier les changements et à prévenir les conflits entre eux, en offrant une vue consolidée de tous les changements prévus.

Réponse : Chaque activité de la chaîne de valeur contribue à la chaîne de valeur en transformant des entrées spécifiques en livrables.
Explication : Chaque activité de la chaîne de valeur transforme des entrées en livrables spécifiques. Les activités ne sont pas séquentielles mais s\'interconnectent selon les besoins pour créer de la valeur.

Réponse : La gestion des niveaux de service.
Explication : La gestion des niveaux de service définit et suit les métriques reflétant l\'expérience réelle du client, en établissant des accords sur la qualité du service fourni.

Réponse : protéger.
Explication : La pratique de gestion de la sécurité de l\'information a pour but de protéger les informations de l\'organisation contre les menaces, en assurant confidentialité, intégrité et disponibilité.

• Dans Microsoft Stream, on peut contrôler :

  • Qui peut regarder une vidéo (exiger l’authentification)

  • Si la vidéo peut être téléchargée (désactiver le téléchargement)

• Cette configuration garantit que seuls les employés authentifiés peuvent accéder au contenu et qu’aucun téléchargement n’est possible.

• Les autres options ne répondent pas au besoin :

  • A : OneDrive sync ne concerne pas Stream.

  • B : Désactiver l’accès invité protège l’ensemble du tenant, mais ne gère pas les vidéos internes.

  • D : Une politique de rétention supprime des vidéos, ne contrôle pas l’accès ou le téléchargement.

Dans Microsoft Viva Goals, il est possible de contrôler la visibilité des objectifs (Goals) et des OKR en configurant des autorisations au niveau de l’équipe ou de l’objectif.

👉 Les contrôles d’accès basés sur l’équipe permettent :

• De limiter la visibilité d’un objectif à une équipe spécifique (par exemple : Finance)

• D’empêcher les autres utilisateurs de l’organisation d’y accéder

• De garantir la confidentialité des OKR sensibles

C’est la méthode appropriée pour gérer la visibilité directement dans Viva Goals.

• Rédiger avec Copilot permet de :

  • Analyser le message précédent

  • Générer automatiquement un email de réponse ou de refus poli

  • Accélérer la rédaction tout en restant professionnel

• Les autres options n’impliquent pas Copilot :

  • Réponse rapide → simplement un raccourci pour répondre rapidement

  • Focused Inbox → organise les emails, ne rédige rien

  • Schedule Send → planifie l’envoi, ne crée pas de contenu

    🎯 À retenir pour l’examen MS-900 :

    • Copilot dans Outlook = générer des brouillons intelligents basés sur le contexte du message

    • Tout ce qui est filtre, calendrier ou planification n’utilise pas Copilot.

Microsoft 365 Apps propose différents canaux de mise à jour :

1. Current Channel (Canal actuel)

   • Reçoit les dernières fonctionnalités, correctifs et mises à jour de sécurité dès qu’elles sont publiées.

   • Idéal pour les utilisateurs qui veulent accéder rapidement aux nouveautés.

2. Monthly Enterprise Channel (Canal mensuel pour entreprises)

   • Regroupe les nouvelles fonctionnalités et correctifs dans une seule mise à jour mensuelle.

   • Fournit un rythme plus prévisible pour les équipes informatiques, tout en maintenant les correctifs de sécurité à jour.

• Microsoft Secure Score se trouve dans le Microsoft 365 security center.

• Il permet de :

  • Voir le score actuel de sécurité de l’organisation

  • Accéder à des recommandations et actions pour améliorer la sécurité

• Les autres options ne donnent pas l’accès complet à Secure Score :

  • A : Azure AD Security montre certains paramètres, mais pas le score complet Microsoft 365.

  • C : Microsoft 365 admin center > Reports ne fournit pas le Secure Score détaillé.

  • D : Defender for Endpoint montre le posture de sécurité endpoints, pas le score global Microsoft 365.

• Customer Key permet à une organisation de :

  • Utiliser et gérer ses propres clés de chiffrement

  • Contrôler le cycle de vie des clés (création, rotation, révocation)

  • Répondre aux exigences réglementaires strictes (comme le RGPD)

Cela donne un contrôle renforcé sur le chiffrement des données Microsoft 365.

❌ Pourquoi les autres réponses sont incorrectes :

• A. Azure PIM → Gère les rôles administratifs temporaires, pas les clés de chiffrement.

• B. Customer Lockbox → Permet de contrôler l’accès des ingénieurs Microsoft aux données, mais ne gère pas les clés de chiffrement.

• C. Azure Information Protection → Sert à classifier et protéger les documents, mais ne donne pas le contrôle des clés de chiffrement au niveau service.

🎯 À retenir pour l’examen MS-900 :

• Customer Key = contrôle des clés de chiffrement par le client

• Customer Lockbox = contrôle de l’accès support Microsoft

• PIM = gestion des privilèges

• AIP = classification et protection des données

• Dans Microsoft Teams, une app setup policy (politique de configuration d’applications) permet :

  • De définir quelles applications apparaissent par défaut dans la barre d’applications Teams de chaque utilisateur.

  • D’ajouter, supprimer ou réorganiser les applications pour tous les utilisateurs ciblés.

• En configurant cette politique pour tous les utilisateurs, Forms sera automatiquement visible dans la barre d’applications, sans action supplémentaire de leur part.
  
  

  🎯 À retenir pour l’examen MS-900 :

  • App setup policy = déploiement automatique d’applications dans Teams

  • Catalogue ou Azure AD = visibilité et gestion, mais pas déploiement automatique dans la barre d’applications.

• Co-authoring permet à plusieurs utilisateurs de :

  • Modifier un même fichier PowerPoint simultanément

  • Voir en temps réel les modifications des autres collaborateurs

• Les autres options ne permettent pas la collaboration en temps réel :

  • A : Presenter View sert à l’affichage du présentateur lors d’une présentation.

  • B : Version History permet de voir ou restaurer des versions précédentes, pas la coédition en temps réel.

  • D : Slide Show affiche le diaporama mais ne gère pas l’édition collaborative.

Le Service Health Dashboard dans le centre d’administration Microsoft 365 permet :

• De consulter l’état actuel des services (Exchange, SharePoint, Teams, etc.)

• De voir les incidents en cours

• D’obtenir des mises à jour en temps réel

• De recevoir des avis et recommandations

Il aide les administrateurs à comprendre si un problème vient de Microsoft ou de leur propre environnement.

❌ Pourquoi les autres réponses sont incorrectes :

• A. Configurer des SLA personnalisés → Impossible. Les SLA sont définis par Microsoft.

• C. Correction automatique des incidents → Le dashboard informe, mais ne corrige pas automatiquement.

• D. Rapports mensuels détaillés de conformité SLA → Ce n’est pas sa fonction principale. Il montre l’état des services, pas des rapports analytiques mensuels complets.

  🎯 À retenir pour l’examen MS-900 :

  • Service Health Dashboard = visibilité en temps réel sur l’état des services Microsoft 365

  • Il informe, mais ne configure pas de SLA ni ne corrige automatiquement les incidents.

• Proactive Remediations permet de :

  • Détecter les appareils affectés par un problème spécifique (via des scripts de détection)

  • Appliquer automatiquement des scripts de correction ou empêcher l’installation d’un pilote problématique

• Les autres options ne bloquent pas activement les mises à jour problématiques :

  • A : Startup Performance report analyse les temps de démarrage, pas les pilotes

  • C : Health Metrics fournit des scores de santé des appareils mais ne permet pas de remediation proactive

  • D : Recommended Actions exporte des suggestions, mais ne bloque rien automatiquement

• Contexte : en cas de panne régionale Azure, les utilisateurs critiques ne peuvent plus s’authentifier via Entra ID.

• Break-glass accounts (comptes de secours) :

  • Comptes hors des dépendances normales d’Azure AD

  • Permettent aux administrateurs et opérateurs critiques d’accéder aux systèmes essentiels

  • Généralement cloud-only, non soumis aux politiques Conditional Access complexes

  • Doivent être audités, sécurisés et testés régulièrement

• C’est une bonne pratique Microsoft pour la continuité et la résilience :

  • Garantit que les opérations critiques peuvent continuer même si Entra ID ou Azure rencontre une panne

Microsoft Defender for IoT (anciennement Azure Defender for IoT) permet de :

• Surveiller passivement le trafic réseau des PLC et autres équipements industriels

• Détecter des anomalies de protocole, mouvements latéraux et comportements suspects

• Ne nécessite pas d’installation directe sur les PLC → aucune perturbation des lignes de production

• Utilise port mirroring sur les switchs pour analyser le trafic réseau de manière non intrusive

Pourquoi c’est adapté :

• Les PLC sont souvent systèmes propriétaires où l’installation d’agents est risquée ou impossible

• La surveillance passive permet de détecter les menaces sans interrompre la production

• Business Impact Analysis (BIA) classe les risques en fonction de :

  • L’impact financier, réglementaire et opérationnel

  • La criticité des actifs pour le fonctionnement de l’organisation

• Dans cet exemple :

  • La divulgation des EHR entraîne des amendes HIPAA jusqu’à 2M$ → impact financier élevé et conformité critique

  • Une simple interruption n’a pas le même impact → faible perte opérationnelle

• Donc, pour la menace de divulgation, l’impact est élevé (High Business Impact)

Pourquoi Purview Sensitivity Labels :

• Permet de classer et protéger les documents et emails

• Applique automatiquement :

  • Chiffrement au repos et en transit

  • Restrictions d’usage (ex. ne pas copier, ne pas imprimer, ne pas transférer) même lorsque le fichier est téléchargé ou partagé en externe

• Contrôle la protection persistante des fichiers, indépendamment du lieu où ils sont ouverts

Le pilier Performance Efficiency du Azure Well-Architected Framework concerne :

• La capacité d’un système à s’adapter aux variations de charge

• L’autoscaling

• L’optimisation des ressources

• Le dimensionnement dynamique

• L’utilisation de services PaaS et serverless pour ajuster automatiquement la capacité

Dans ce scénario :

• Il faut gérer des pics saisonniers

• Éviter le surprovisionnement

• Adapter automatiquement les ressources

👉 Cela correspond parfaitement au pilier Performance Efficiency.

• Air-gapped backups : sauvegardes isolées du réseau principal pour empêcher toute attaque ransomware ou accès malveillant

• Recovery Services Vault dans une souscription séparée :

  • Sépare physiquement la gestion des backups de l’environnement de production

  • Permet RBAC strict et contrôle d’accès granulaire

  • Empêche les attaques réseau ou les utilisateurs compromis dans la souscription principale d’atteindre les sauvegardes

• Approche recommandée par Microsoft pour Protection contre ransomware et menaces internes sur les données critiques opérationnelles

• Principe MCRA : « Protect data wherever it resides » → protéger les données indépendamment de l’endroit où elles sont stockées ou partagées.

• Microsoft Purview Information Protection (MIP) permet :

  • Classifier les données sensibles (PII, données financières, propriété intellectuelle…)

  • Appliquer des labels de sensibilité qui suivent les données, peu importe qu’elles soient stockées dans :

    • Azure Storage, SharePoint, OneDrive

    • Emails Microsoft 365

    • Applications tierces intégrées

• Ainsi, MIP fournit une protection centrée sur les données, alignée avec le principe MCRA.

• Microsoft Intune Device Compliance Policies permet de :

  • Appliquer le chiffrement FileVault sur macOS

  • Contrôler l’exécution des applications via des règles de conformité et d’application

  • Reporter la posture de sécurité des endpoints à Microsoft Entra Conditional Access, permettant de bloquer l’accès aux ressources si le poste n’est pas conforme

• Cette solution couvre tous les objectifs de sécurité demandés pour les postes macOS.

L’exigence clé est :
✔ Reporting cohérent
✔ Multi-cloud (Azure, AWS, GCP)
✔ Outil déjà en place : Microsoft Sentinel

Microsoft Sentinel est un SIEM/SOAR cloud-native capable d’ingérer des logs provenant de multiples environnements (Azure, AWS, GCP, on-premises).

En configurant :

• L’ingestion des journaux d’audit de sauvegarde (backup audit logs)

• Azure Monitor comme couche de collecte

• Des workbooks / dashboards unifiés dans Sentinel

👉 L’entreprise obtient une vision centralisée et normalisée de la conformité des sauvegardes sur tous les clouds, sans migration complexe.

Cela correspond parfaitement à une approche Zero Trust et multi-cloud moderne, attendue au niveau SC-100.

• Scenario : appliquer MFA aux guests externes, sans dépendre de la configuration du tenant partenaire.

• Conditional Access (CA) permet de :

  • Créer une politique ciblant uniquement les utilisateurs invités (User type = Guest)

  • Exiger MFA avant l’accès à vos ressources Microsoft 365 ou Azure

  • Fonctionner indépendamment du tenant d’origine de l’utilisateur → aucun changement requis côté partenaire

• C’est la meilleure pratique Microsoft pour sécuriser l’accès externe tout en restant compatible avec Zero Trust.

Une VM CE standard démarrée/arrêtée selon les besoins est optimale ici : la tâche dure 30 heures (plus longue que la durée max préemptible de 24h), et elle doit être redémarrée si interrompue. Les VMs préemptibles ne conviennent pas pour un job aussi long.

Lier directement les projets de la société acquise au compte de facturation de votre entreprise est la méthode la plus rapide (dès demain). La migration de projets entre organisations est un processus long qui ne peut pas se faire aussi rapidement.

Deployment Manager est l'outil GCP d'Infrastructure as Code qui permet de définir des ressources GCP dans des fichiers de configuration YAML/JSON/Python et de les provisionner dynamiquement. C'est la solution recommandée par Google pour ce cas d'usage.

Data Catalog est le service GCP de découverte et de gestion des métadonnées. Une simple recherche de 'employee_ssn' trouve instantanément toutes les tables contenant cette colonne dans tous les projets, sans écrire de scripts.

La bonne méthode est de créer deux configurations (une par compte/région) puis d'activer la configuration appropriée avant de lancer les commandes. gcloud configurations list affiche seulement les configurations sans les activer.

La fonction Arrêter le projet (Shut down) désactive immédiatement tous les services du projet en une seule opération. Il faut le rôle Project Owner (pas Organizational Administrator). Supprimer les ressources individuellement prendrait beaucoup plus d'étapes.

Pour du point-in-time recovery avec Cloud SQL MySQL, il faut activer la journalisation binaire (binary logging) qui enregistre toutes les modifications de la base de données. Cloud Spanner est surdimensionné et trop coûteux pour un petit ensemble de données local.

Un job d'export Cloud SQL (planifié le premier du mois) écrit un fichier SQL/CSV dans Cloud Storage Archive — la classe la moins chère pour des données conservées 3 ans avec accès très rare. Les sauvegardes automatiques Cloud SQL ne peuvent pas être conservées 3 ans.

La bonne pratique Google est d'attribuer les rôles IAM à des groupes plutôt qu'à des individus. Le rôle spanner.databaseUser permet la lecture et l'écriture des données. spanner.viewer est en lecture seule.

Dans GCP, un même VPC peut avoir des sous-réseaux dans plusieurs régions. Les instances du même VPC peuvent communiquer directement via IPs privées sans VPN ni peering. C'est la solution la plus simple et recommandée.

The Development Team ignored a new member's ideas and viewpoints, violating three Scrum Values: Respect (valuing individuals), Openness (welcoming different perspectives), and Courage (creating psychological safety to speak up). Commitment and Focus relate to the team's dedication to work, not interpersonal inclusion. Transparency concerns information visibility, not team dynamics.

Creating Product Backlog items for security concerns and/or adding security to the Definition of Done ensures security is transparent and continuously addressed throughout development, reflecting Scrum's empirical process. This approach integrates security into regular work rather than isolating it. Separate security sprints, external delegation, or waiting for specialists violate the principle of transparency and shared accountability within the Scrum Team.

Doing your best and supporting teammates embodies the Scrum value of Commitment—pledging to achieve the Sprint Goal and support the team. While this may contribute to performance, the question asks which value it demonstrates most directly, which is commitment to excellence and team success.

Correct answers: Options 1 and 3. Work not meeting the Definition of Done must not be included in the Increment (option 1), per the Scrum Guide. The remaining work should be estimated and returned to the Product Backlog (option 3) for the Product Owner to reprioritize. Options 0 and 2 violate the Definition of Done by including or splitting incomplete work, undermining transparency and quality.

This statement is False. Scrum does not define a Project Manager role. The Scrum Master facilitates Scrum processes but is not a project manager. This distinction reflects Scrum's self-managing team model rather than traditional command-and-control management.

The correct Scrum Team roles are Development Team, Scrum Master, and Product Owner (option 1). These three roles are explicitly defined in the Scrum Guide. Other options introduce non-Scrum roles like Project Manager, Business Analyst, or distinguish Stakeholders as a role—stakeholders are external to the Scrum Team.

The immediate impact on the original team's productivity is likely to decrease (option 1). Adding new teams introduces communication overhead, potential dependencies, and knowledge fragmentation. While multiple teams may increase overall product throughput over time, the original team faces disruption initially—a well-documented principle in scaling Scrum.

All four options (0, 1, 2, 3) are correct. The Scrum Guide identifies that Scrum helps teams address: complexity and unpredictability of requirements (A), technology stability and complexity (B), team skills and relationships (C), and work timescale (D). Options E and F are not Scrum-addressed risks—governance structures and HR incentives fall outside Scrum's scope.

False. The Scrum Guide does not restrict stakeholder interaction to Sprint Reviews only. In fact, transparency and collaboration are Scrum values. Stakeholders can engage with the Scrum Team throughout the Sprint; the Sprint Review is simply the formal opportunity for feedback and inspection.

Correct: Options 1 and 3 - These boundaries enable self-organization: timeboxed events create regular inspection and adaptation opportunities, while the requirement to produce a potentially shippable Increment each Sprint forces integration and completeness. Option 2 contradicts self-organization by creating functional silos; Option 4, while good practice, doesn't explicitly define self-organization boundaries.

Réponse : En fournissant un atelier sur les techniques de conception de tests.
Explication : Un atelier sur les techniques de conception de tests remédie directement à la faible efficacité de détection des défauts en dotant les testeurs de méthodes systématiques et répétables pour dériver des cas de test de meilleure qualité. Les techniques pratiques (partitionnement des équivalences, analyse des valeurs limites, tables de décision, transitions d\'état, techniques d\'appairage) améliorent la couverture et augmentent la probabilité de détection des défauts.

Réponse : Les préoccupations concernant l\'interface utilisateur augmentent la probabilité d\'un risque dans ce domaine et augmentent la quantité d\'effort de test nécessaire pour l\'interface utilisateur, limitant ainsi l\'effort de test disponible pour d\'autres parties de l\'outil de gestion de test..
Explication : L\'option B est correcte car elle modifie explicitement à la fois la probabilité évaluée et l\'impact basé sur les ressources (couverture de test), ce qui altère l\'exposition au risque produit et force une réévaluation des priorités. Le risque augmente (probabilité × conséquence) avec la réallocation des ressources.

Réponse : Un aperçu détaillé de l\'approche de test basée sur les risques utilisée pour assurer la réalisation des critères de sortie..
Explication : D est correct car les cadres supérieurs non-spécialistes ont besoin d\'informations concises et orientées résultats, non d\'une exposition détaillée opérationnelle de l\'approche basée sur les risques. Un rapport doit prioriser l\'état versus objectifs, risques clés et atténuations, tendances et actions managériales recommandées pour décisions efficaces.

Réponse : Organiser une réunion avec la direction générale pour qu\'elle aborde l\'importance d\'une bonne qualité de test pour ce projet.
Explication : D est correct car l\'appui visible de la direction générale élève la priorité organisationnelle des tests, fournit une reconnaissance et supprime les obstacles systémiques. Cela augmente la signification de la tâche et aligne l\'effort individuel avec les objectifs organisationnels, motivant durablement l\'équipe.

Réponse : Chaque niveau de test a des objectifs de test spécifiques à ce niveau..
Explication : C est correct car la définition d\'objectifs de test pour chaque niveau de test garantit que les tests sont intentionnels, mesurables et traçables aux risques correspondants. Le bon test dans tout modèle de cycle de vie exige que les activités de test soient planifiées et exécutées avec des objectifs spécifiques au niveau.

Réponse : Clôture du projet de test.
Explication : D est correct car la phase de clôture du projet de test produit le rapport de synthèse formelle, les artefacts de retours d\'expérience et les métriques consolidées qui constituent les principales entrées utilisées pour piloter et prioriser l\'amélioration du processus de test.

Réponse : Test de composant: test de décision; Test système: test de table de décision.
Explication : B est correct car il combine une technique structurelle à haute sensibilité au niveau composant (test de décision) avec une technique de spécification combinatoire axée sur les exigences au niveau système (test de table de décision), maximisant ainsi la détection des défauts logiques et des interactions complexes de règles métier.

Réponse : Les développeurs perdent le sens des responsabilités et les testeurs indépendants peuvent devenir un goulot d\'étranglement..
Explication : Le test indépendant sépare la vérification du développement, ce qui peut diminuer le sens de la responsabilité des développeurs tandis que la coordination des tests et le triage des incidents se concentrent dans une équipe distincte qui peut devenir un goulot d\'étranglement processus.

Réponse : Les métriques enregistrées lors du test de l\'outil de capture-rejouer..
Explication : C est correct car les métriques mesurées de l\'outil de capture-rejouer fournissent les données empiriques directes (taux d\'exécution, temps de création et maintenance des scripts, taux de faux positifs/négatifs, surcharge de configuration/nettoyage) nécessaires pour convertir les tâches de test spécifiées en estimations temporelles fiables et réduire l\'incertitude.

Réponse : Pourcentage des exigences métier exercées.
Explication : La mesure la plus appropriée de couverture de test pour un rapport de progression métier hebdomadaire est le pourcentage des exigences métier exercées. Cette métrique s\'aligne directement avec les priorités métier : valider que le logiciel remplit son objectif et fournit une valeur tangible aux parties prenantes.

A. Clear parameter descriptions explaining expected format, such as "user_id: UUID of the user to update (required)" Correct. Clear, human-readable descriptions are the most important guidance for helping Claude understand what values to provide and how parameters should be structured. B. Verbose parameter names encoding format hints, such as user_id_string_uuid_format Incorrect. Overly verbose names reduce readability and are less effective than proper descriptions. C. Strict JSON Schema type constraints marking user_id as required and defining fields_to_update as an object type Incorrect. Schema constraints help validation, but they don't sufficiently explain semantic expectations like the required UUID format. D. Detailed error responses explaining why invalid parameter values were rejected Incorrect. Helpful after failure, but not the most critical factor for preventing mistakes initially.

A. In the first assistant message, instructing Claude to follow these guidelines going forward Incorrect. Assistant messages don't reliably control future behavior and can be overridden by later context. B. Prepended to each user message before sending to the API Incorrect. User messages carry less authority than system-level instructions and are less reliable for enforcing behavior. C. In the system prompt Correct. The system prompt is the highest-priority instruction layer, making it the most reliable place to enforce consistent tone, reasoning style, and questioning behavior. D. In environmental variables that your application passes to the API client Incorrect. Environment variables are not part of the model's context and have no effect on behavior unless explicitly included in the prompt.

A. Structured JSON consumes significantly fewer tokens than natural language, substantially reducing API costs. Incorrect. Token usage depends on the content; JSON is not inherently more compact than text and may sometimes use more tokens. B. The agent can reliably extract specific values without parsing free form text, reducing errors in subsequent operations. Correct. Structured output provides clear, predictable fields, making it easy for the agent to use the data accurately in downstream steps. C. Structured JSON is processed deterministically by the model, significantly improving accuracy when extracting values. Incorrect. The model is still probabilistic; JSON improves structure, but not deterministic processing. D. JSON schemas automatically validate that the underlying API returned correct data before the agent processes it. Incorrect. Schemas define structure, but they do not guarantee correctness of the actual data returned by the API.

A. The model's context window has been exceeded by the conversation length Incorrect. This would only happen in very long conversations, and the issue appears early within just a few turns. B. The Claude API requires a session_id parameter that you haven't configured Incorrect. There is no required session_id--context must be explicitly managed by the application. C. Claude requires a vector database connection to maintain conversation memory Incorrect. A vector database is optional for retrieval, not required for basic conversation memory. D. Your application isn't including prior messages in the messages array Correct. Claude does not retain memory between calls--if previous messages aren't included, it cannot recall earlier user preferences.

A. Enable the document analysis subagent to spawn its own specialized subagents dynamically when it encounters cases with many citations. Incorrect. This decentralizes orchestration and makes the system harder to monitor and debug. The coordinator loses visibility into dynamically spawned agents. B. Implement a message queue where precedent analysis tasks are processed asynchronously by a pool of worker agents. Incorrect. While this improves scalability, it introduces infrastructure complexity and reduces transparency for debugging at the coordinator level. C. Create a recursive agent hierarchy where analysis agents subdivide work among child agents until reaching single-precedent granularity. Incorrect. This further complicates the architecture and makes tracing execution paths difficult, reducing observability and control. D. Have the coordinator spawn parallel document analysis subagents, each handling a subset of precedents, then aggregate results before synthesis. Correct. This enables parallel processing to reduce latency while keeping orchestration centralized. The coordinator retains full visibility, making monitoring and debugging easier.

A. Set temperature to 0 to eliminate output variability and ensure consistent formatting Incorrect. This reduces randomness but won't fix systematic extraction errors like misinterpreting ranges ("2 to 3"). B. Send a follow-up request including the validation error, asking the model to correct its output Correct. Providing specific validation feedback allows the model to correct the exact issue (e.g., convert "2 to 3" into a valid float), making recovery highly effective. C. Pre-process source documents to standardize problematic formats before sending them for extraction Incorrect. Helpful in some cases, but not scalable or sufficient for diverse real-world variations. D. Implement a secondary pipeline using a larger model tier to reprocess documents that fail validation Incorrect. More expensive and not necessary--targeted correction is more efficient and effective.

A. Add a user_acknowledged: boolean parameter that must be set true, with instructions for the agent to only set it after the user explicitly confirms they reviewed the details Incorrect. This relies on agent discipline and is easy to bypass or mis-handle; it doesn't guarantee users actually see or understand key details. B. Implement a 60-second hold before execution completes, allowing users time to review pending allocations and cancel if needed Incorrect. Delays alone don't improve understanding; they only slow execution and may frustrate users without ensuring informed approval. C. Add a detail_level parameter with options "minimal" or "comprehensive" that controls how much context the agent presents in confirmations Incorrect. This improves formatting flexibility but does not ensure critical cost and impact information is consistently surfaced before approval. D. Return structured data including cost estimate, target project, resource specifications, and impact summary in the tool response Correct. This ensures that every allocation includes explicit, structured, reviewable details, reducing uninformed approvals and enabling users to understand cost and impact before proceeding.

A. The synthesis agent needs tools that can fetch results directly from the other agents' conversation histories. Incorrect. Agents do not require direct access to each other's histories. Proper orchestration passes outputs explicitly via prompts. B. The synthesis agent's context window is not large enough to hold the combined outputs from both previous agents. Incorrect. If this were the issue, the agent would receive truncated data, not no data at all. The error indicates missing inputs entirely. C. The subagents need to share a single API connection to enable automatic context sharing between invocations. Incorrect. Agent communication does not depend on shared API connections. Context must be explicitly passed by the coordinator. D. The coordinator did not include the outputs from the previous agents in the synthesis agent's prompt. Correct. The synthesis agent can only act on the information provided in its prompt. If prior outputs are not passed, it will report missing research findings.

A. Implement semantic deduplication to identify and remove redundant information across the accumulated RAG results and conversation turns Incorrect. This reduces redundancy but doesn't solve the core issue of unbounded accumulation of RAG context. B. Implement a sliding window for RAG results from the last 2­3 queries while preserving conversation history Correct. This directly addresses context crowding by limiting RAG growth while keeping conversation continuity intact. C. Shift context budget to favor RAG results while reducing conversation history allocation Incorrect. This worsens coherence by sacrificing conversation context. D. Compress all RAG results into a consolidated summary document that updates incrementally after each retrieval Incorrect. This can introduce information loss and summary drift, especially across many turns.

A. Move all tool responses to a vector database with semantic indexing, retrieving relevant portions as the conversation continues Incorrect. This adds unnecessary infrastructure complexity for a short-lived conversational context problem. B. Extract only return-relevant fields (items, purchase date, return window, status) from each existing order response, removing verbose details Correct. This preserves the information needed for the current task while significantly reducing context bloat before additional lookups. C. Have the model generate a natural language summary of each order's key details, replacing structured responses with prose descriptions Incorrect. Natural language summaries are less compact and may omit structured details needed for accurate return handling. D. Proceed with additional lookups without modifying the existing tool output context Incorrect. This worsens context crowding and increases the risk of degraded performance.