Ne découvrez pas l'examen
le jour J

Rôle d'instance : attaché à une instance EC2 via Instance Profile. Fournit des credentials temporaires sans stocker d'accès clés durables, améliorant la sécurité des applications.

Réponse : AWS Service Catalog. AWS Service Catalog permet aux organisations de créer et de gérer des catalogues de services IT approuvés en tant que modèles d'infrastructure as code. Il permet de gouverner les ressources qui peuvent être déployées tout en donnant aux équipes l'accès en libre-service aux configurations approuvées.

Réponse : D) Implémenter des dépendances faiblement couplées. La rupture d'un monolithe en microservices est une application directe du principe du AWS Well-Architected de couplage faible. Les composants faiblement couplés peuvent être mis à l'échelle, mis à jour et mis en échec indépendamment, ce qui améliore considérablement la résilience, l'agilité et la maintenabilité de l'application.

Réponse : Amazon S3 Intelligent-Tiering.
Explication : S3 Intelligent-Tiering adapte automatiquement la classe de stockage en fonction de la fréquence d’accès pour optimiser les coûts.

Réponse : AWS CloudTrail / AWS Config.
Explication : AWS CloudTrail et AWS Config permettent d’auditer, tracer et surveiller les modifications de ressources dans le cloud AWS.

Réponse : Instances Spot. Explication : Les instances Spot sont idéales pour les charges de travail interruptibles comme les environnements de test. Elles offrent jusqu'à 90 % de réduction par rapport aux instances à la demande. Puisque l'application de test peut être interrompue et n'a pas besoin de disponibilité continue, Spot est le choix le plus économique.

Réponse : Patch matériel / Sécurité de l’infrastructure physique mondiale.
Explication : AWS gère le patching matériel et l’infrastructure mondiale ; les autorisations d’accès et le chiffrement relèvent du client.

Réponse : AWS Security Token Service (AWS STS). Explication : AWS STS fournit des identifiants temporaires à privilèges limités pour les utilisateurs ou les rôles IAM, ainsi que pour les utilisateurs fédérés. Les identifiants temporaires sont plus sécurisés que les clés d'accès à long terme pour l'authentification inter-services.

Control Tower : orchestration pour multi-compte permettant l'application centralisée de politiques de sécurité (SCPs). Automatise la gouvernance et la conformité sur l'organisation entière.

Réponse : Les responsabilités varient selon les services utilisés.
Explication : Le modèle AWS de responsabilité partagée dépend du service utilisé (IaaS, PaaS, SaaS). Certaines responsabilités sont à la charge d’AWS, d’autres du client.

Les bases de données vectorielles (ex. : Amazon OpenSearch Service, Aurora pgvector, Pinecone) stockent les embeddings — représentations numériques de textes sous forme de vecteurs. Dans un pipeline RAG, les documents sont d'abord transformés en embeddings puis stockés. Lors d'une requête, la question de l'utilisateur est aussi transformée en embedding, et une recherche de similarité cosinus identifie les documents les plus pertinents à passer au LLM. Elles ne stockent pas les images directement ni les poids du modèle.

Traduction automatique neural : Amazon Translate utilise la traduction neuronale massive pour 15+ langues avec contexte préservé. Scalable en temps réel, moins cher et plus rapide que modèles fondations génériques pour ce cas d'usage spécifique.

Data drift et réentraînement : la dérive de données survient quand les caractéristiques des données en production divergent du corpus d'entraînement. Augmenter le volume ET la diversité des données permet au modèle de capturer davantage de variations et de patterns réels, améliorant ainsi sa généralisation. Cependant, cela atténue mais ne résout pas complètement le drift—un monitoring continu et un pipeline de réentraînement régulier restent essentiels.

Une Model Card est un document de référence qui décrit un modèle ML de manière transparente : son objectif, les données d'entraînement utilisées, les métriques de performance ventilées par sous-groupes, les limitations connues, et les cas d'usage recommandés ou déconseillés. Elle permet aux équipes d'évaluer si un modèle est adapté à leur contexte avant déploiement et facilite l'audit de conformité. C'est un outil de gouvernance et de transparence, pas un fichier de configuration technique.

CloudTrail vs Bedrock Invocation Logging : CloudTrail enregistre les appels API (qui a appelé, quand, statut), mais pas le contenu des prompts/réponses. Pour capturer le détail des interactions (prompts, réponses, tokens), vous devez activer explicitement l'invocation logging dans Bedrock. Ce sont deux couches de logging complémentaires, pas interchangeables.

Le biais en IA désigne des prédictions systématiquement incorrectes ou discriminatoires envers certains groupes (genre, ethnie, âge, etc.). Il survient principalement via les données d'entraînement qui reflètent des inégalités historiques ou sous-représentent certains groupes. Il peut aussi venir d'une mauvaise définition des métriques de performance ou d'un biais de sélection. Les biais dans un LLM pré-entraîné sur du texte internet reflètent les stéréotypes présents dans ce corpus.

Le watermarking (tatouage numérique) dans le contexte GenAI consiste à intégrer des signaux imperceptibles dans les contenus générés (texte, image, audio) pour identifier leur origine IA. Il répond au problème de la désinformation et des deepfakes — permettre à des tiers de vérifier si un contenu a été généré par une IA spécifique. Des organismes comme le NIST et des réglementations (EU AI Act) encouragent son adoption. Amazon Bedrock Guardrails inclut des options de watermarking de contenu généré.

Average Handle Time (AHT) : métrique mesurant le temps total (conversation + travail administratif) pour résoudre une demande. Quand un LLM répond plus vite qu'un humain, l'AHT diminue directement. FCR et CSAT peuvent augmenter (meilleure efficacité), ASA reste inchangé (délai initial de réponse).

Évaluation humaine contextuelle : Les préférences stylistiques (ton, clarté, pertinence métier) ne peuvent être mesurées par des métriques automatiques. Une équipe humaine avec des prompts personnalisés au contexte métier capture les nuances qualitatives. Les benchmarks publics par défaut manquent de spécificité métier, les leaderboards ne reflètent pas vos besoins réels, et la latence n'évalue pas la qualité du rendu.

GAN (Generative Adversarial Network) : réseau antagoniste composé d'un générateur (crée images) et d'un discriminateur (valide réalisme). Le générateur apprend la distribution des données pour synthétiser images plausibles. XGBoost est un classifieur, ResNet extrait features, WaveNet génère audio—seul GAN génère images réalistes synthétiques.

Réponse : Faux.
Explication : Chaque Increment doit être potentiellement livrable (en respectant le DoD), mais c'est le Product Owner qui décide de le livrer ou non effectivement. Les décisions de mise en production sont des décisions métier, et non des obligations du Sprint.

Autorité d'annulation d'un Sprint : Seul le Product Owner peut annuler un Sprint lorsque l'Objectif du Sprint devient obsolète ou que les circonstances changent fondamentalement. Cela protège la concentration de l'équipe tout en garantissant l'alignement avec les priorités métier. L'annulation est rare car elle génère du gaspillage, mais reste possible en cas de changements significatifs.

Autorité d'ordonnancement du Product Backlog : Le Product Owner ordonne exclusivement les éléments du Product Backlog en fonction de leur valeur, des risques et des dépendances — et non par ordre alphabétique ou par complexité technique. Cela garantit l'alignement avec les objectifs métier. Le Scrum Master n'ordonne pas le Backlog ; il facilite le processus et aide à supprimer les impediments.

Rôle de coaching du Scrum Master : Le Scrum Master est au service de l'équipe en accompagnant ses membres vers l'auto-gestion et la polyvalence, leur permettant d'organiser leur travail de manière autonome et de développer des compétences diversifiées. Cela se distingue d'un leadership de type commandement et contrôle. L'attribution des tâches, la gestion du Backlog et les rapports de performance relèvent des responsabilités du Product Owner ou du management, et non du Scrum Master.

Réponse : 15 minutes.
Explication : Le Daily Scrum est limité dans le temps à 15 minutes, quelle que soit la taille de l'équipe. Cela permet de maintenir la réunion centrée sur la coordination pour les 24 prochaines heures plutôt que sur la résolution détaillée des problèmes.

Réponse : La personne que la Development Team décide de désigner pour commencer.
Explication : Le Daily Scrum est auto-géré par la Development Team. C'est elle qui décide du format, de qui commence et de la façon dont elle le conduit. Le Scrum Master ne prescrit pas ces détails.

Cadre des engagements des artefacts : Chaque artefact Scrum possède un engagement qui lui confère une orientation et un sens. L'engagement du Product Backlog est le Product Goal — un objectif à long terme décrivant l'état futur que le produit cherche à atteindre. Cela le distingue du Sprint Goal (engagement du Sprint Backlog) et de la Definition of Done (standard de qualité), qui sont davantage orientés à court terme ou centrés sur les processus, plutôt que des engagements stratégiques directionnels.

Réponse : Les équipes existantes proposent une organisation ; les développeurs s'auto-organisent en équipes.
Explication : Scrum valorise l'auto-organisation. Les équipes doivent se former naturellement plutôt que d'être constituées par le management. Laisser les équipes existantes proposer une structure ou laisser les développeurs s'auto-organiser respecte tous deux le principe d'auto-gestion de Scrum.

Definition of Done : Une liste de contrôle formelle définissant à quel moment un Increment répond aux standards de qualité. Elle garantit la cohérence, empêche que des travaux incomplets soient considérés comme « terminés », et permet aux équipes de maintenir une vélocité prévisible ainsi qu'une qualité produit constante d'un Sprint à l'autre.

Renégociation du Sprint Backlog : Les Developers collaborent avec le Product Owner pour ajuster le périmètre du travail lorsque des contraintes de capacité apparaissent, en préservant l'Objectif du Sprint. Le Sprint se poursuit sans modification — une annulation n'est pas justifiée. Le Scrum Master n'ajuste pas unilatéralement les objectifs, et le management ne passe pas outre l'auto-organisation de l'équipe.

Réponse : Faux.
Explication : La Sprint Review est une session de travail collaborative visant à inspecter l'Increment et à adapter le Product Backlog — ce n'est pas un rapport d'avancement.

Réponse : Vrai.
Explication : Le Product Backlog contient tout ce qui est nécessaire pour améliorer le produit — fonctionnalités, bugs, travaux techniques, expérimentations et risques.

Réponse correcte : Rendre le Product Backlog ordonné visible et accessible à toutes les parties prenantes concernées est la meilleure approche, car la transparence est une valeur fondamentale de Scrum. Le Guide Scrum souligne que le Product Backlog doit être transparent et visible afin de permettre aux parties prenantes de comprendre les priorités, de fournir des retours et de rester alignées avec la direction du produit à tout moment.

Pourquoi les autres réponses sont incorrectes : Imprimer des copies est inefficace et devient rapidement obsolète ; envoyer des résumés par e-mail est passif et limite la visibilité du backlog ; et le fait que le Scrum Master rende compte de l'état du backlog ne relève pas de sa responsabilité — c'est le domaine du Product Owner. Seul un accès continu et direct au backlog réel garantit une véritable transparence, plutôt que des informations périodiques ou filtrées.

Concept clé : La Definition of Done (DoD) est l'engagement formel qui définit ce que signifie pour un Incrément d'être complet et potentiellement livrable. Selon le Guide Scrum 2020, chaque Incrément doit être conforme à la Definition of Done — une compréhension partagée entre l'Équipe de Développement et le Product Owner concernant les standards de qualité, les exigences de test et les critères d'acceptation. Cela garantit la cohérence, la transparence et la prévisibilité d'un Sprint à l'autre. La DoD protège la qualité du produit et permet aux parties prenantes de faire confiance au fait que le travail marqué « done » répond véritablement aux standards de l'équipe. Bien que le Product Goal fournisse une direction et que le Sprint Goal concentre un Sprint unique, aucun des deux ne constitue un engagement envers l'Incrément lui-même. Le Release Burnup suit la progression mais ne définit pas les critères de complétude.

Réponse : Faux.
Explication : La Sprint Review est une session de travail collaborative visant à inspecter l'Incrément et à adapter le Product Backlog — ce n'est pas un rapport d'avancement.

Définition et composition d'un Increment : Un Increment est une étape concrète vers le Product Goal, représentant l'ensemble des travaux terminés à la fin d'un Sprint et potentiellement livrable. Bien que chaque Sprint doive produire au moins un Increment, le cadre Scrum autorise explicitement la création de plusieurs Increments au sein d'un même Sprint ou sur des Sprints consécutifs. Ces Increments sont additifs — chaque nouvel Increment s'appuie sur les précédents, combinant l'ensemble des travaux réalisés en un tout cohérent. Cette flexibilité permet aux équipes de gérer des produits complexes dont les fonctionnalités peuvent s'étendre sur plusieurs Sprints, ou dans lesquels différents membres de l'équipe complètent des éléments de fonctionnalité distincts et livrables séparément. L'affirmation est Vraie car les Increments peuvent s'accumuler au-delà des frontières des Sprints, la production de chaque Sprint venant s'ajouter à l'ensemble des fonctionnalités livrables du produit.

Réponse : Vrai.
Explication : Tout ce qui contribue à maximiser la valeur du produit peut être inclus dans le Product Backlog, y compris les risques et les spikes exploratoires.

Pourquoi cette réponse est correcte : Le Guide Scrum 2020 stipule explicitement que le Product Owner est responsable de l'ordonnancement du Product Backlog en fonction de facteurs tels que la valeur, le risque, la priorité et les dépendances. Cela garantit que le backlog reflète les objectifs métier et maximise la livraison de valeur.

Pourquoi les autres réponses sont incorrectes : La complexité technique, l'ordre alphabétique et l'ordonnancement par les développeurs ne sont pas alignés avec les principes de Scrum. C'est le Product Owner — et non les Developers — qui est responsable des décisions d'ordonnancement du backlog, et cet ordonnancement doit être guidé par la valeur métier et les priorités stratégiques, et non par des considérations techniques ou administratives.

Réponse : Le Sprint Goal, les PBIs sélectionnés, le plan pour livrer l'Increment.
Explication : Le Sprint Backlog est composé du Sprint Goal (le pourquoi), des PBIs sélectionnés (le quoi), et du plan pour livrer l'Increment (le comment).

Réponse : Le Product Owner.
Explication : Le Product Owner est responsable de l'ordonnancement des éléments du Product Backlog afin d'atteindre au mieux les objectifs et les missions. Il peut déléguer ce travail, mais en reste accountable.

Intégration progressive et structurée des ressources humaines : L'onboarding efficace d'un nouveau membre suit une logique pédagogique et psychologique rigoureuse, alignée avec les principes de gestion des ressources humaines du PMBOK 7e édition. La séquence correcte commence par l'Accueil, qui établit un climat de confiance et d'appartenance essentiels à l'engagement du collaborateur. Vient ensuite la Présentation du contexte, permettant au nouvel arrivant de comprendre les objectifs du projet, sa stratégie, ses enjeux et sa position dans l'organisation. Cette compréhension du "pourquoi" est indispensable avant d'apprendre le "comment". La Formation aux outils intervient alors logiquement, car le nouvel membre dispose désormais du cadre intellectuel pour assimiler les technologies, méthodes et processus spécifiques. Enfin, l'Intégration aux activités concrétise cet apprentissage par une mise en pratique progressive, avec mentoring et suivi. Cette progression respecte la courbe d'apprentissage humaine et minimise la surcharge cognitive. Les autres options échouent car elles inversent cette logique : Former avant de contextualiser crée de la confusion ; commencer par les activités sans préparation

Artefacts Scrum : Les trois artefacts principaux sont le Backlog produit (liste ordonnée des exigences), le Backlog de sprint (tâches sélectionnées pour l'itération), et l'Incrément (livrable potentiellement utilisable). Le diagramme de Gantt est un outil de gestion traditionnelle, non Scrum. Ces artefacts assurent transparence et inspectabilité dans les processus agiles.

Les outputs sont les livrables produits (fonctionnalités, documents). Les outcomes sont les résultats et bénéfices obtenus (valeur, adoption, performance). Le PMBOK7 oriente le succès vers les outcomes.

Processus décisionnel participatif selon le PMBOK 7e édition : Le cadre de gestion de projet moderne met en avant une approche collaborative et structurée pour la prise de décision. Le bon ordre des étapes repose sur une logique fondamentale : avant de décider, il faut d'abord clarifier le problème existant, puis explorer systématiquement les solutions possibles, et enfin créer un espace de dialogue collectif permettant à tous les stakeholders de contribuer à la décision finale. Cette séquence respecte les principes du leadership serviteur et de l'empowerment des équipes, au cœur de la philosophie PMBOK 7. L'étape d'identification du problème est cruciale car elle évite les décisions hâtives basées sur des symptômes plutôt que sur les causes réelles. L'analyse des options permet d'explorer les alternatives et leurs impacts potentiels. La discussion collective garantit l'adhésion et la légitimité de la décision auprès de l'équipe projet. Contrairement aux approches traditionnelles où le gestionnaire décidait seul, cette démarche participative favorise l'engagement, réduit les résistances au changement et améliore la qualité des décisions grâce aux perspectives diversifiées. Les autres options proposées inversent cet ordre logique : décider avant d'analyser serait contre-productif, tout comme analyser

Management de l'Intégration - Rôle Unificateur du Projet : Le management de l'intégration est le domaine de connaissance fondamental qui garantit la cohérence et l'alignement entre tous les autres domaines (délais, coûts, qualité, ressources, communications, risques, etc.). Il assure que les décisions prises dans un domaine ne créent pas de conflits dans un autre. Le chef de projet est responsable de cette intégration holistique du projet du début à la fin. Cette approche s'oppose à une gestion en silos où chaque domaine fonctionnerait indépendamment. La deuxième option est fausse car l'intégration dépasse largement la coordination des plannings et budgets. La troisième option est incorrecte : bien que le PMO puisse soutenir, le chef de projet reste propriétaire de l'intégration du projet. La quatrième option est inexacte : l'intégration s'applique à TOUS les projets, indépendamment de leur durée. En contexte agile, cette intégration se manifeste par les itérations qui alignent continuellement le produit avec les objectifs métier.

Facilitation de réunion : structure formelle plutôt que répression individuelle. Des tours de parole équitables, des questions adressées nommément et des normes de groupe explicites garantissent la participation égale et renforcent la qualité des décisions collectives.

Conformité réglementaire obligatoire : Les exigences légales sont des contraintes non-négociables qui s'imposent au projet. Leur non-respect entraîne des amendes, sanctions légales et responsabilités pénales, dépassant tout objectif commercial. Contrairement aux améliorations durables ou processus internes (optionnels), la conformité est un critère d'acceptation incontournable du projet.

Earned Value Management (EVM) : technique de mesure de performance applicable à tous les types de projets. Bien que originellement conçue pour les projets prédictifs, l'EVM s'adapte aux approches Agile en ajustant les métriques (sprints, incrments). Contrairement aux idées reçues, l'EVM ne se limite pas au waterfall, ne demande pas une WBS complexe, et complète (ne remplace pas) le registre des risques.

Cette question correspond à l’objectif d’apprentissage FL-1.3.1 (K2) – Expliquer les sept principes du test.

● a) Faux → Les tests de régression restent nécessaires tout au long du cycle de vie du logiciel.
● b) Correct → Plus un défaut est détecté tôt, moins il est coûteux à corriger, car il est identifié avant qu’il ne se propage.
● c) Faux → Tester tôt ne garantit pas un produit exempt de défauts.
● d) Faux → Tester tôt ne signifie pas réduire le nombre total de tests nécessaires.

Cette question correspond à l’objectif d\'apprentissage FL-1.4.5 (K2) – Comparer les rôles impliqués dans les tests.

La bonne réponse est d) 1A, 2B, 3C, 4D
● 1A) : Correct : Le testeur exécute, observe, consigne
● 2B) : Correct : L’analyste métier définit les attentes et exigences
● 3C) : Correct : Le développeur corrige les défauts
● 4D) : Correct : Le responsable planifie, suit, et coordonne

Cette question correspond à l\'objectif d\'apprentissage FL-4.3.3 (K2) - Expliquer la valeur des tests boîte blanche.

● a) Faux → Les tests boîte blanche ne remplacent pas les revues de code et les inspections formelles. Ce sont des activités complémentaires qui servent des
objectifs différents.
● b) Faux → Aucune technique de test ne peut garantir la détection de 100% des
défauts. Cette affirmation est excessive et trompeuse.
501
● c) Correct → Cette réponse capture la principale valeur ajoutée des tests boîte blanche : ils permettent d\'identifier les défauts dans des parties du code qui pourraient ne pas être facilement atteignables par les tests boîte noire.
● d) Faux → Les tests boîte blanche ne visent pas principalement à réduire la durée du cycle de développement ou à diminuer le nombre de tests fonctionnels. Au
contraire, ils représentent souvent un effort supplémentaire.

Cette question correspond à l’objectif d’apprentissage FL-2.2.1 (K2) - Distinguer les différents niveaux de test.
La bonne réponse est a) 1A, 2C, 3B, 4A

● 1A) Correct → Les tests d’intégration vérifient comment les systèmes logicielsinteragissent entre eux.
● 2C) Correct → Les tests unitaires permettent de détecter des défauts techniques dans des unités de code isolées.
● 3B) Correct → Les tests système valident le comportement global du système dans un environnement réaliste.
● 4A) Correct → Les tests d’acceptation vérifient que le produit répond aux attentes
métiers et fonctionnelles.

Cette question correspond à l’objectif d’apprentissage FL-1.4.2 (K2) – Expliquer l’impact du contexte sur le processus de test.
La bonne réponse est a) i, iii, iv reflètent correctement l’impact du contexte ; ii, v non

● i) Vrai – Le niveau de risque conditionne la profondeur des tests requis.
● ii) Faux – Il n’existe pas de processus unique applicable à tous les projets.
● iii) Vrai – En Agile, les tests sont intégrés dans des cycles courts.
● iv) Vrai – Les contraintes réglementaires (ex. médical, aéronautique) exigent une traçabilité et une documentation renforcées.
● v) Faux – Le contexte impacte aussi les objectifs (par ex. : conformité, performance critique...).

Cette question correspond à l’objectif d’apprentissage FL-1.4.1 (K2) – Résumer les différentes activités et tâches de test.
La bonne réponse est : d) 1C, 2B, 3D, 4A

● 1C) : Correct : La planification sert à préparer le cadre du test
● 2B) : Correct : La conception permet de définir les données, cas et conditions de test
● 3D) : Correct : L’exécution vérifie le résultat réel par rapport à l’attendu
● 4A) : Correct : Clôturer = évaluer, nettoyer, archiver, analyser les résultats

Cette question correspond à l’objectif d’apprentissage FL-1.4.4 (K2) – Expliquer la valeur du maintien de la traçabilité.
● a) Faux → La traçabilité ne vise pas à optimiser la performance du logiciel, mais à assurer une couverture de test complète.
● b) Correct → Le maintien de la traçabilité permet d’établir un lien entre les exigences, les tests et les défauts détectés, garantissant ainsi qu’aucune exigence n’a été oubliée.
● c) Faux → Même avec la traçabilité, la documentation des tests reste nécessaire pour assurer un suivi efficace et une justification des validations effectuées.
● d) Faux → Les rapports de test restent nécessaires, la traçabilité vient en complément pour s’assurer que les tests couvrent bien les exigences.

Cette question correspond à l’objectif d’apprentissage FL-1.5.2 (K1) – Rappeler les avantages de l’approche équipe intégrée.
● a) Faux → Une équipe intégrée favorise la collaboration, et non l’indépendance totale des testeurs.

● b) Correct → L’approche équipe intégrée facilite les échanges entre développeurs, testeurs et autres parties prenantes, améliorant ainsi la qualité du produit final.
● c) Faux → Même dans une équipe intégrée, la planification des tests reste essentielle pour garantir une couverture adéquate.
● d) Faux → Les tests de régression restent nécessaires pour s’assurer que les corrections n’ont pas introduit d’autres défauts.

Cette question correspond à l’objectif d’apprentissage FL-5.1.3 (K2) – Comparer et opposer
les critères d’entrée et les critères de sortie dans les tests.

● a) Faux → Ces critères sont inversés : l’exigence approuvée est un critère d’entrée.
● b) Faux → L’environnement de test est un critère d’entrée, pas de sortie.
● c) Correct → La disponibilité des données est bien une condition préalable (entrée), et le taux d’échec peut être utilisé comme condition de sortie (ex. : “moins de 5 % d’échecs”).
● d) Faux → Développement et revues ne sont pas liés directement aux phases
d’entrée/sortie du test.

Cette question correspond à l\'objectif d\'apprentissage FL-4.2.1 (K3) - Appliquer le partitionnement en classes d\'équivalence pour dériver des cas de test.

● a) Correct → Pour couvrir toutes les classes d\'équivalence valides, nous avons besoin de tester : (économique, pas de vue), (économique, vue partielle), (standard,
pas de vue), (standard, vue partielle), (luxe, pas de vue), (luxe, vue partielle), et (luxe, vue panoramique). Cependant, comme seuls les hôtels de luxe peuvent avoir une vue panoramique, et que le formulaire a une validation qui empêche les
combinaisons invalides, nous pouvons couvrir toutes les classes valides avec 3 cas de test : (économique, pas de vue), (standard, vue partielle), et (luxe, vue panoramique).
● b) Faux → Trois cas de test suffisent pour couvrir toutes les classes d\'équivalence valides.
● c) Faux → Trois cas de test suffisent pour couvrir toutes les classes d\'équivalence valides.
● d) Faux →. Trois cas de test suffisent pour couvrir toutes les classes d\'équivalencevalides.

La tolérance au risque : le niveau maximum de risque qu'une organisation accepte consciemment dans la poursuite de ses objectifs. Ce seuil guide la prise de décision en matière d'investissements en sécurité et de choix opérationnels. Contrairement à l'appétit pour le risque (la volonté de l'organisation à saisir des opportunités), la tolérance au risque définit spécifiquement les limites de perte acceptables.

Contrôle Détectif : Un contrôle qui identifie les incidents de sécurité après qu'ils se sont produits. Un système SIEM qui examine les journaux chaque semaine détecte les violations après l'événement. Contrairement aux contrôles préventifs (qui bloquent les menaces avant qu'elles ne surviennent) ou aux contrôles correctifs (qui réparent les dommages), les contrôles détectifs se concentrent sur la découverte et l'analyse des événements de sécurité qui se sont déjà produits.

CVSS (Common Vulnerability Scoring System) : Un cadre numérique standardisé (échelle de 0 à 10) qui mesure quantitativement la sévérité des vulnérabilités en fonction de leur exploitabilité, de leur impact et de facteurs environnementaux. Le CVE identifie les vulnérabilités par leur nom, la CIA décrit des principes de sécurité, et le CERT est une organisation — aucun d'entre eux ne fournit une notation quantitative comme le fait le CVSS.

L'OCSP (Online Certificate Status Protocol) : un mécanisme en temps réel qui interroge le répondeur OCSP d'une autorité de certification pour vérifier si un certificat numérique est valide, suspendu ou révoqué. Contrairement à la CRL (Certificate Revocation List) qui nécessite le téléchargement de listes complètes, l'OCSP fournit des vérifications immédiates du statut de révocation. Le CSR sert aux demandes de certificats, la CA est une entité, et le CRC est un contrôle d'intégrité des données — aucun de ces éléments ne valide le statut de révocation d'un certificat.

Réponse : Serveur rebond (jump server).
Explication : Un serveur rebond (hôte bastion) fournit un chemin contrôlé et audité pour accéder aux systèmes situés dans un segment réseau protégé. Les administrateurs de bases de données doivent d'abord se connecter au serveur rebond, puis aux serveurs de bases de données — empêchant ainsi tout accès direct depuis un poste de travail vers des systèmes sensibles.

Réponse : Le client.
Explication : Dans un modèle cloud IaaS, le client est responsable de la sécurisation de tout ce qui se trouve au-dessus de l'hyperviseur : le système d'exploitation, les logiciels de base de données, l'application, les données et les contrôles d'accès. Le fournisseur cloud sécurise l'infrastructure physique et l'hyperviseur.

Classification des données : Un processus systématique qui catégorise les informations en fonction de leur sensibilité et de leur valeur afin de déterminer les contrôles de sécurité appropriés. Les organisations attribuent des niveaux de protection (public, interne, confidentiel, restreint) pour s'assurer que les ressources correspondent au risque réel. Bien que la conformité et la réduction des coûts puissent en découler, l'objectif PRINCIPAL est d'établir des mesures de protection adéquates — et non d'identifier des vulnérabilités ou de réduire les dépenses.

Règles d'engagement : Document formel qui établit le périmètre, les limitations et les frontières de test autorisées entre une organisation et un testeur de pénétration tiers. Il précise quels systèmes peuvent être testés, les méthodes de test, les délais et les contacts d'urgence. Contrairement à l'analyse de la chaîne d'approvisionnement (évaluation des risques fournisseurs), aux clauses de droit d'audit (droits d'inspection) ou à la diligence raisonnable (vérification générale de la conformité), les Règles d'engagement régissent spécifiquement les termes et conditions des activités de test de sécurité actives.

Expiration des mots de passe : Un contrôle de sécurité qui oblige les utilisateurs à changer leurs mots de passe à intervalles réguliers (par exemple, tous les 90 jours). Cela limite la fenêtre d'exposition en cas de compromission des identifiants, car les anciens mots de passe deviennent invalides. La réutilisation des mots de passe empêche le recyclage des anciens mots de passe ; la complexité et la longueur définissent les exigences de robustesse des mots de passe — aucune de ces mesures ne concerne les changements basés sur le temps.

Réponse : Les réglementations locales en matière de protection des données.
Explication : L'expansion internationale d'un centre de données doit d'abord prendre en compte les lois locales relatives à la protection des données et à la vie privée (RGPD en Europe, PDPA en Asie, etc.). Le non-respect des réglementations locales peut entraîner des sanctions juridiques importantes et des restrictions opérationnelles.

Azure Table Storage : service NoSQL qui stocke des données structurées en paires clé-valeur (PartitionKey + RowKey) sans schéma rigide. Idéal pour les données semi-structurées et évolutives. Contrairement aux bases relationnelles (réponse 1) avec schémas fixes, ou aux Blob Storage (réponse 3) pour fichiers volumineux, Table Storage offre flexibilité et requêtes rapides sur des entités simples.

Graphique en courbes : idéal pour visualiser l'évolution temporelle d'une mesure. Les points sont reliés par des lignes continues, permettant de percevoir immédiatement les tendances, hausses et baisses. À l'inverse, les diagrammes circulaires montrent des proportions, les nuages de points révèlent des corrélations entre variables, et les histogrammes comparent des catégories discrètes—tous inadaptés aux séries temporelles.

Rôles des professionnels de la donnée : L'ingénieur de données conçoit et construit les pipelines ETL/ELT qui extraient, transforment et chargent les données. L'analyste de données exploite ces données préparées pour l'analyse et la visualisation. L'administrateur BD gère l'infrastructure et la sécurité, tandis que le développeur front-end crée les interfaces utilisateur. Seul l'ingénieur maîtrise l'architecture complète des flux de données.

Réponse : Azure Data Studio. Explication : Azure Data Studio est un outil de gestion de base de données multiplateforme qui supporte les notebooks SQL — combinant requêtes SQL, résultats, documentation textuelle et visualisations dans un seul document partageable, idéal pour le dépannage collaboratif et les runbooks.

Azure Stream Analytics est un service de traitement de flux en temps réel (streaming). Il ingère des données en continu depuis des sources comme Azure Event Hubs (millions d'événements/seconde), Azure IoT Hub (appareils connectés) ou Azure Blob Storage. Il applique des requêtes SQL-like sur les données en mouvement pour détecter des anomalies, calculer des agrégations temporelles (fenêtres temporelles : sliding, tumbling, session), et déclencher des alertes. Les résultats sont envoyés vers Power BI, Azure SQL, Cosmos DB ou Event Hubs. Cas d'usage : détection de fraude, monitoring IoT, analyse de logs en temps réel.

Azure Table Storage est un service de stockage clé-valeur NoSQL simple et économique pour des données structurées sans jointures complexes. Il est préféré à Cosmos DB quand : (1) le budget est limité (coût bien inférieur), (2) les besoins de latence sont moins stricts, (3) la réplication multi-région n'est pas requise, (4) les données ont un accès prévisible par clé de partition et clé de ligne. Cosmos DB Table API offre les mêmes fonctionnalités avec plus de performance et de SLA, mais à un coût supérieur.

Azure Databricks : plateforme collaborative fondée sur Apache Spark, optimisée pour le traitement distribué de Big Data et le machine learning. Elle combine Spark (moteur de calcul puissant) avec un environnement notebook intégré et des outils ML. Contrairement à Azure Synapse Analytics (orientée data warehousing/SQL) ou Azure Machine Learning (ML spécialisé), Databricks excelle dans le traitement massif de données non structurées et les workflows Big Data collaboratifs.

Données structurées : organisées dans un schéma fixe et prédéfini (tables relationnelles avec colonnes typées). Ex. : SQL Server, Excel. Données semi-structurées : ont une organisation partielle mais pas de schéma rigide. Ex. : JSON, XML, CSV. Données non structurées : sans schéma défini. Ex. : images, vidéos, emails, PDF. Azure propose des solutions adaptées à chaque type : SQL Database (structuré), Cosmos DB (semi-structuré), Azure Blob Storage (non structuré).

Microsoft Power BI est la solution de Business Intelligence (BI) d'Azure qui permet de connecter de nombreuses sources de données (Azure SQL, Cosmos DB, Excel, Salesforce, etc.), de créer des rapports interactifs avec des visualisations (graphiques, cartes, KPIs), et de les partager via Power BI Service (cloud). Il existe en trois éditions : Desktop (gratuit, création), Pro (partage, collaboration), Premium (large diffusion, IA). Azure Synapse Analytics s'intègre directement avec Power BI pour des analyses en temps quasi-réel sur de grands volumes.

Azure Cosmos DB : base de données NoSQL native du cloud, conçue pour supporter plusieurs modèles de données (documents, clé-valeur, graphe, colonnes). Elle offre une réplication automatique et transparente across régions géographiques avec garanties de latence faible et haute disponibilité via SLA. Contrairement à PostgreSQL (relationnel), Blob Storage (objet) ou SQL Managed Instance (SQL traditionnel), Cosmos DB combine flexibilité multi-modèle et distribution mondiale.

Réponse : FAGLGVTR (ou app Fiori équivalente).
Explication : Ce programme reporte les soldes GL de l’exercice N vers N+1.

Réponse : Le solde résiduel clôt l'original et crée un nouvel open item
En AR/AP SAP :

• Paiement partiel : conserve le document original ouvert, crée un paiement partiel séparé. Les deux restent ouverts.
• Solde résiduel : clôt le document original et crée un nouvel open item pour la différence. Une seule écriture ouverte subsiste.

Réponse : Vrai
Pour exécuter un prélèvement SEPA (SDD - SEPA Direct Debit), un mandat SEPA actif doit être associé au Business Partner client. Ce mandat contient le numéro de mandat, les coordonnées bancaires et la date de signature. Sans mandat valide, le prélèvement ne peut pas être généré.

Réponse : Variante d'exercice fiscal ; plan comptable d'exploitation. Explication : Pour que plusieurs sociétés partagent une zone de contrôle de gestion, elles doivent utiliser la même variante d'exercice fiscal (même calendrier financier) et le même plan comptable d'exploitation (même structure de compte du grand livre) pour assurer une présentation financière cohérente.

Ordre correct clôture mensuelle FI :

1. OB52 : ouvrir la nouvelle période / fermer l'ancienne
2. Accruals/deferrals : écritures de régularisation
3. Valorisation de change : réévaluation des postes en devises
4. Nettoyage GR/IR (MR11) et lettrage OI (F.13)
5. Revue des comptes et publication des états

Réponse : In‑app key‑user (Custom Fields & Logic, adaptation UI) ; BAdI/API publiés (« released ») ; Side‑by‑side sur SAP BTP via services OData/événements.
Explication : Le clean core évite les modifications du standard : on favorise les extensions in‑app ou latérales via BTP et API stables.

Réponse : Dans la personnalisation FBZP.
Explication : FBZP centralise les paramètres nécessaires à F110 (méthodes, banques propres, détermination des comptes, tolérances).

Réponse : Contrôle les champs obligatoires/optionnels lors de la saisie.
Explication : Définit la visibilité et l’obligation des champs par compte.

Réponse : Scission de documents ; centres de profit ; secteurs d'activité. Explication : Le reporting de secteur IFRS nécessite : la scission de documents (pour allouer les postes du bilan aux secteurs), les centres de profit (comme base d'attribution de secteur) et les données maître de secteur. Ensemble, ces éléments produisent les états financiers au niveau du secteur conformes à IFRS 8.

Réponse : La méthode de valorisation
En fin de période, la valorisation des devises étrangères sur les postes ouverts est pilotée par la méthode de valorisation (Valuation Method), qui définit le type de cours de change à utiliser et les comptes d'écart à créditer/débiter.

Réponse : Les centres de services doivent comprendre l\'organisation dans son ensemble.
Explication : Les centres de services doivent avoir une compréhension globale de l\'organisation pour orienter correctement les utilisateurs, comprendre les impacts des incidents et prioriser les demandes.

Réponse : Le centre de services.
Explication : Le centre de services constitue le point de contact unique (SPOC) entre le fournisseur de services et les utilisateurs pour toutes les communications, demandes et incidents.

Réponse : Il peut fournir un appariement automatisé des incidents aux problèmes ou aux erreurs connues.
Explication : Les outils ITSM peuvent automatiquement associer de nouveaux incidents aux problèmes ou erreurs connus, accélérant ainsi le diagnostic et permettant d\'appliquer des solutions de contournement documentées.

Réponse : Ajouter, modifier ou supprimer tout ce qui pourrait avoir un effet direct ou indirect sur les services.
Explication : En ITIL 4, un changement est l\'ajout, la modification ou la suppression de tout élément pouvant avoir un effet direct ou indirect sur les services, qu\'il soit matériel, logiciel ou organisationnel.

Réponse : Commencer là où vous êtes.
Explication : Le principe \'Commencer là où vous êtes\' recommande d\'évaluer l\'existant avant de décider ce qui peut être réutilisé, plutôt que de repartir de zéro sans connaître ce qui fonctionne déjà.

Réponse : Comprendre comment chaque élément contribue à la création de valeur.
Explication : Le principe \'Opter pour la simplicité\' demande de comprendre comment chaque élément contribue à la valeur, en éliminant ce qui n\'en apporte pas et en évitant la complexité inutile.

Réponse : Le problème conserve l\'état d\'erreur connue.
Explication : Lorsqu\'une solution de contournement devient permanente car le problème ne peut être résolu définitivement, le problème reste dans l\'état \'erreur connue\' : documenté mais non résolu.

Réponse : Assurance qu\'un produit ou service répondra aux exigences convenues.
Explication : La garantie est l\'assurance qu\'un produit ou service répondra aux exigences convenues. Elle couvre la disponibilité, la capacité, la continuité et la sécurité du service fourni.

Réponse : Planifier.
Explication : L\'activité \'Planifier\' de la chaîne de valeur veille à ce que toutes les parties comprennent la vision, le statut actuel et les orientations de l\'organisation pour tous les produits et services.

Réponse : Les coûts supprimés par le service et les coûts imposés par le service.
Explication : Le consommateur d\'un service doit évaluer les coûts supprimés (ce qu\'il n\'a plus à gérer) et les coûts imposés (ce qu\'il doit payer), pour déterminer si la valeur nette est positive.

• Dans Viva Connections, le menu de navigation global est alimenté par la navigation du site d’accueil SharePoint.

• En configurant un mega menu dans les paramètres du site, vous permettez aux employés de naviguer facilement vers les ressources importantes de l’entreprise.

• Les autres options ne créent pas de navigation globale :

  • A : List view web part affiche simplement une liste, pas un menu de navigation.

  • C : News web part affiche des actualités, pas des liens de navigation.

  • D : Quick links ne fournit qu’une section de liens sur la page, pas un menu global accessible depuis toutes les pages.

• Microsoft Secure Score se trouve dans le Microsoft 365 security center.

• Il permet de :

  • Voir le score actuel de sécurité de l’organisation

  • Accéder à des recommandations et actions pour améliorer la sécurité

• Les autres options ne donnent pas l’accès complet à Secure Score :

  • A : Azure AD Security montre certains paramètres, mais pas le score complet Microsoft 365.

  • C : Microsoft 365 admin center > Reports ne fournit pas le Secure Score détaillé.

  • D : Defender for Endpoint montre le posture de sécurité endpoints, pas le score global Microsoft 365.

Dans Microsoft Teams (Téléphonie Teams / Direct Routing) :

• Les voice routes définissent le chemin que les appels doivent suivre.

• Les PSTN usages permettent d’associer ces routes à des stratégies.

• Cependant, pour que les utilisateurs puissent réellement utiliser ces routes, il faut leur attribuer une stratégie de routage vocal (Voice Routing Policy).

👉 La stratégie de routage vocal est le composant qui associe les enregistrements d’utilisation PSTN aux utilisateurs.
Sans cette stratégie attribuée à l’utilisateur, les routes configurées ne seront pas accessibles, même si elles sont correctement définies dans le système.

• Co-authoring permet à plusieurs utilisateurs de :

  • Modifier un même fichier PowerPoint simultanément

  • Voir en temps réel les modifications des autres collaborateurs

• Les autres options ne permettent pas la collaboration en temps réel :

  • A : Presenter View sert à l’affichage du présentateur lors d’une présentation.

  • B : Version History permet de voir ou restaurer des versions précédentes, pas la coédition en temps réel.

  • D : Slide Show affiche le diaporama mais ne gère pas l’édition collaborative.

Windows Autopatch est un service Microsoft qui automatise les mises à jour de Windows, Microsoft 365 Apps, Edge et Teams. Il requiert obligatoirement une licence Windows 10/11 Enterprise E3 ou E5 — incluse dans Microsoft 365 E3/E5 ou disponible séparément via Windows Enterprise E3/E5.

Microsoft 365 Business Premium ne contient pas de licence Windows Enterprise et ne donne pas accès à Autopatch. Intune seul permet la gestion des appareils mais n'active pas Autopatch. Windows Pro avec EMS E3 est insuffisant car Autopatch exige la version Enterprise, pas Pro.

Dans Exchange Online, Microsoft assure automatiquement :

• La haute disponibilité (High Availability) grâce à la réplication native des bases de données de boîtes aux lettres entre plusieurs serveurs et centres de données.

• La reprise après sinistre (Disaster Recovery) grâce à l’architecture distribuée et redondante de Microsoft 365.

Pour répondre aux exigences réglementaires de conservation :

• Litigation Hold permet de conserver les e-mails d’une boîte aux lettres, même s’ils sont supprimés par l’utilisateur.

• Cela garantit l’intégrité et la disponibilité des données à des fins légales ou réglementaires.

👉 Ensemble, ces fonctionnalités assurent la disponibilité continue et la conservation réglementaire des données.

• Pour pouvoir réclamer un crédit SLA, il est essentiel de documenter immédiatement toute interruption et de la comparer aux seuils définis dans le SLA.

• Sans preuves précises et horodatées, Microsoft peut rejeter la demande, même si le service a été interrompu.

• Les autres options ne résolvent pas le problème de suivi et documentation :

  • Automatiser les crédits (B) n’est pas possible.

  • Migrer vers un autre tenant (C) est excessif et non nécessaire.

  • Configurer des alertes (D) aide à la notification mais ne remplace pas la documentation des interruptions.

• Cette méthode permet d’installer l’application sur les appareils Windows 10.

• Le Configuration Profile configure certains paramètres de l’appareil, mais ne garantit pas la configuration des paramètres internes spécifiques à l’application.

• Convient pour des applications MSI simples, mais pas pour des applications personnalisées nécessitant des paramètres préconfigurés.

✅ En résumé : C installe l’app, mais A est nécessaire pour installer + configurer les paramètres internes de l’application.

Le Service Health Dashboard dans le centre d’administration Microsoft 365 permet :

• De consulter l’état actuel des services (Exchange, SharePoint, Teams, etc.)

• De voir les incidents en cours

• D’obtenir des mises à jour en temps réel

• De recevoir des avis et recommandations

Il aide les administrateurs à comprendre si un problème vient de Microsoft ou de leur propre environnement.

❌ Pourquoi les autres réponses sont incorrectes :

• A. Configurer des SLA personnalisés → Impossible. Les SLA sont définis par Microsoft.

• C. Correction automatique des incidents → Le dashboard informe, mais ne corrige pas automatiquement.

• D. Rapports mensuels détaillés de conformité SLA → Ce n’est pas sa fonction principale. Il montre l’état des services, pas des rapports analytiques mensuels complets.

  🎯 À retenir pour l’examen MS-900 :

  • Service Health Dashboard = visibilité en temps réel sur l’état des services Microsoft 365

  • Il informe, mais ne configure pas de SLA ni ne corrige automatiquement les incidents.

• Les abonnements Microsoft 365 peuvent être renouvelés automatiquement avec des méthodes de paiement directes comme :

  • Carte de crédit

  • Prélèvement bancaire

  • PayPal

• La facturation par invoice (facture) nécessite un paiement manuel pour chaque période, donc le renouvellement automatique n’est pas possible.

External Attack Surface Management (EASM) permet de :

• Identifier les actifs exposés à Internet

• Détecter les vulnérabilités ou configurations non sécurisées

• Prioriser les risques externes

Pourquoi Microsoft Sentinel est le meilleur choix pour le pipeline de remédiation :

• Sentinel centralise tous les logs et alertes de sécurité

• Permet de corréler les découvertes EASM avec d’autres événements (Azure AD, endpoints, cloud apps)

• Fournit des playbooks et automatisations (Logic Apps) pour la remédiation rapide

• Facilite la réponse proactive et le suivi des incidents

• Fusion detection :

  • Fonctionnalité native de Sentinel pour corréler automatiquement les alertes provenant de différentes sources

  • Regroupe des alertes apparemment indépendantes mais liées à un même incident ou attaquant

  • Réduit le bruit (alert fatigue) et facilite le triage rapide par les analystes SOC

• Avantages :

  • Détecte des attaques avancées persistantes (APT) et chaînes d’attaques multi-sources

  • Crée des incidents uniques regroupant plusieurs alertes, plutôt que d’avoir des centaines d’alertes isolées

• Microsoft Defender for Cosmos DB fournit :

  • Détection en temps réel des activités suspectes sur les bases Cosmos DB

  • Alertes pour :

    • Accès depuis des localisations géographiques inhabituelles

    • Tentatives de connexion ou d’exfiltration de données

    • Activités anormales des comptes ou clés d’accès

• Avantages clés :

  • Intégration avec Microsoft Sentinel pour investigations et réponses automatisées

  • Complète les mesures de chiffrement et d’accès, mais ajoute la détection comportementale

• Microsoft Entra Internet Access (EIA) : solution SSE qui fournit :

  • Filtrage d’accès Internet

  • Protection contre les applications non approuvées

  • Application des politiques d’usage acceptable

• Intégration avec Microsoft Defender for Cloud Apps :

  • Permet de détecter et contrôler l’usage des applications SaaS

  • Active les politiques Conditional Access pour :

    • Bloquer les connexions à des applications non sanctionnées

    • Appliquer des restrictions ou des alertes pour les applications approuvées

  • Assure visibilité, contrôle et gouvernance centralisée

• C’est la meilleure pratique Microsoft SSE pour sécuriser l’accès SaaS et Internet.

• Domain Controllers (DCs) sont des actifs critiques : si compromis, un ransomware peut propager des droits administratifs à l’ensemble de l’entreprise.

• Microsoft Best Practices pour la résilience AD / PIM recommandent :

  • Just-in-Time (JIT) access pour les comptes privilégiés

  • Activation temporaire uniquement lorsqu’un administrateur a besoin de se connecter au DC

  • Journalisation et audit de chaque activation

• Avantages :

  • Réduit la fenêtre d’exposition aux attaques

  • Garantit que les comptes administratifs ne sont pas toujours actifs

  • Conformité aux principes Zero Trust et moindre privilège

• Scenario : Zero Trust → contrôler l’accès en fonction de l’état de l’appareil, de l’identité et de la localisation.

• Intune + Conditional Access permet :

  • Vérifier si l’appareil est géré et conforme aux politiques de sécurité

  • Appliquer des conditions préalables à l’accès, comme :

    • BitLocker activé

    • Antivirus à jour

    • Correctifs appliqués

  • Bloquer l’accès depuis appareils non conformes

• C’est la méthode standard Microsoft pour protéger Microsoft 365 dans un contexte Zero Trust avec des partenaires externes.

• Business Impact Analysis (BIA) classe les risques en fonction de :

  • L’impact financier, réglementaire et opérationnel

  • La criticité des actifs pour le fonctionnement de l’organisation

• Dans cet exemple :

  • La divulgation des EHR entraîne des amendes HIPAA jusqu’à 2M$ → impact financier élevé et conformité critique

  • Une simple interruption n’a pas le même impact → faible perte opérationnelle

• Donc, pour la menace de divulgation, l’impact est élevé (High Business Impact)

Les comptes break-glass sont des comptes d’accès d’urgence utilisés uniquement lorsque :

• L’authentification normale est indisponible

• Les mécanismes MFA ou Conditional Access sont défaillants

• L’environnement est compromis (ex. attaque ransomware)

Les bonnes pratiques Microsoft recommandent :

• 🔐 Identifiants stockés dans un coffre-fort sécurisé hors ligne

• 🔄 Validation régulière (tests d’accès contrôlés)

• 🚨 Surveillance renforcée

• 🔒 Utilisation uniquement en cas d’urgence

Pourquoi hors ligne ?

En cas de ransomware ou compromission massive :

• Les systèmes en ligne (y compris SIEM) peuvent être impactés.

• Le coffre-fort hors ligne réduit le risque de compromission.

• GitHub Advanced Security permet de :

  • Analyser automatiquement les dépendances dans les projets (npm, NuGet, Maven, etc.)

  • Identifier les vulnérabilités à haute gravité

  • Proposer ou appliquer automatiquement les mises à jour de sécurité via Dependabot

• Cette approche préventive empêche que du code vulnérable atteigne les environnements de production.

Les Configuration Profiles dans Intune permettent :

• De configurer précisément FileVault

• De définir les exigences de mot de passe

• De configurer le pare-feu macOS

• D’appliquer des paramètres avancés de sécurité

• De cibler des groupes spécifiques (ex : développeurs)

Les profils de configuration sont le mécanisme direct permettant d’imposer ces paramètres.

Cloud Memorystore for Redis est un service de cache en mémoire géré qui répond exactement au besoin : cache 30 Go + 2 Go overhead = 32 Go. Il est nettement moins cher qu'une VM n1-highmem-32 (32 Go RAM) car il ne facture que la capacité mémoire, sans vCPU inutilisés — le proxy consommant quasi-zéro CPU.

La combinaison Service NodePort + Ingress est la méthode recommandée pour exposer une application GKE en HTTPS via un Cloud Load Balancer. L'Ingress gère le certificat SSL/TLS et l'IP publique. ClusterIP n'est accessible qu'en interne au cluster.

La bonne pratique est d'attribuer les rôles à des groupes (pas à des individus) et d'utiliser le rôle roles/accessapproval.approver qui permet d'approuver/refuser les accès du support Google. IAM roleAdmin donne des permissions trop larges.

Le rôle roles/logging.privateLogViewer inclut l'accès aux journaux d'audit d'administration ET aux journaux d'accès aux données. Diriger l'auditeur vers les journaux de modifications IAM compète la vue complète. Pas besoin d'export — l'accès direct suffit.

Stackdriver Monitoring (Cloud Monitoring) collecte nativement les métriques CPU des instances CE. La politique d'alerte avec seuil de 90% sur 15 minutes + canal email répond exactement au besoin, sans scripts ni métriques personnalisées.

La protection contre la suppression (deletion protection) empêche la suppression accidentelle d'une instance, même par des utilisateurs ayant des droits d'administration sur le projet. C'est la fonctionnalité précisément conçue pour ce cas d'usage.

Créer un espace de travail Stackdriver Monitoring sous un projet A et y ajouter B et C crée une vue unifiée de tous les projets dans un seul tableau de bord. C'est l'approche recommandée pour la surveillance multi-projets.

Automatic Scaling avec min_idle_instances=3 répond exactement aux exigences : App Engine scale automatiquement selon le taux de requêtes ET maintient toujours au minimum 3 instances disponibles en attente. Basic Scaling n'a pas de paramètre min_instances.

La commande gcloud deployment-manager deployments update met à jour un déploiement existant de manière incrémentale, en ne modifiant que les ressources qui ont changé, ce qui évite les interruptions de service inutiles.

Les uploads composites parallèles (parallel composite uploads) de gsutil divisent le fichier en morceaux et les uploadent simultanément, saturant ainsi la bande passante disponible. Avec 1 Gbps dédié, c'est la méthode la plus rapide pour un gros fichier.

Toutes les réponses s'appliquent. Le simple fait d'adopter la terminologie Scrum sans comprendre ni incarner ses principes produira un changement organisationnel minime. Les équipes conserveront leurs comportements habituels (souvent dysfonctionnels), le vocabulaire perdra tout son sens, le management pourra se sentir à l'aise en raison de dynamiques inchangées, et les véritables bénéfices de Scrum — inspection, transparence et adaptation — resteront inexploités.

Ces trois facteurs ont un impact sur les résultats du Sprint. Le Guide Scrum souligne que les résultats d'un Sprint dépendent de la composition de l'équipe, des compétences, des relations de travail, de la complexité technologique et de la clarté des exigences. Ce sont des variables interdépendantes qui déterminent collectivement ce qu'une équipe peut accomplir au cours d'un Sprint donné.

Correct : Options 1 et 2 - Scrum permet une budgétisation empirique en livrant des incréments fonctionnels à chaque Sprint, ce qui permet aux parties prenantes de mesurer la valeur par rapport à l'investissement et d'ajuster le financement en fonction des résultats réels. L'option 2 illustre comment les releases s'étendent sur plusieurs Sprints avec une livraison de valeur continue. Les options 3 et 4 sont incorrectes car les coûts opérationnels existent bel et bien et les budgets sont souvent nécessaires — Scrum change simplement la manière dont ils sont gérés.

Le Scrum Master maintient la productivité de l'équipe en supprimant les obstacles et en facilitant les décisions, et non en gérant les tâches ou en contrôlant les processus. Les autres options décrivent des comportements de type commande-et-contrôle ou des tâches administratives qui détournent de son rôle fondamental de leader au service de l'équipe. Selon le Guide Scrum, le Scrum Master sert le Development Team en supprimant les blocages et en favorisant l'auto-organisation.

Organiser une réunion de triage avec les chefs de projet serait le moins utile, car cela retire la prise de décision à la Scrum Team et à la gouvernance appropriée de l'organisation. Le Scrum Master devrait plutôt consulter le Development Team, prioriser les obstacles et escalader auprès de la direction concernant l'impact — en maintenant d'abord la responsabilité au sein de la Scrum Team.

Le Scrum Master doit permettre au Development Team de s'auto-gérer et de résoudre lui-même le problème de configuration. Cela respecte la valeur Scrum d'auto-organisation et reconnaît l'autorité de l'équipe sur la manière dont elle conduit ses événements. Le Scrum Master supprime les obstacles, mais ne résout pas chaque problème à la place de l'équipe.

Correct : Vrai - Le Guide Scrum stipule explicitement que, quelle que soit l'échelle ou la configuration des équipes, tous les artefacts, événements et rôles Scrum doivent être maintenus afin de préserver l'intégrité du cadre de travail. Plusieurs équipes travaillant sur le même Product Backlog constituent toujours Scrum et doivent se conformer au Guide Scrum.

Cette affirmation est Fausse. Scrum ne définit pas de rôle de Project Manager. Le Scrum Master facilite les processus Scrum, mais n'est pas un chef de projet. Cette distinction reflète le modèle d'équipe auto-organisée de Scrum, plutôt qu'un management traditionnel de type commande et contrôle.

Une équipe de développement auto-organisée décide collectivement de la manière d'accomplir son travail et est responsable de la création de son Sprint Backlog en tenant compte de la Définition of Done. Les options C et E sont correctes : L'option C illustre une replanification collaborative tout au long du Sprint (auto-organisation), et l'option E montre l'équipe créant son propre Sprint Backlog en respectant la Definition of Done. L'option A reflète des silos basés sur les rôles (absence d'auto-organisation), l'option B implique une optimisation par le management (direction externe), et l'option D introduit des personnes extérieures (ce qui nuit à l'autonomie de l'équipe).

Correct : Options 2, 3 et 5 - Les Scrum Masters efficaces utilisent le coaching, la formation et la sensibilisation des parties prenantes pour aider les organisations à adopter Scrum de manière durable. L'option 1 viole les principes de conduite du changement ; l'option 4 contredit les valeurs collaboratives de Scrum ; l'option 6 prolonge les événements au-delà de leur objectif initial, ce qui dilue leur efficacité.

Réponse : Portabilité.
Explication : C est correct car la portabilité est un attribut non-fonctionnel de faible priorité pour un système de surveillance médicale critique pour la sécurité, normalement lié à des piles matériel/système d\'exploitation certifiées. La disponibilité, la sécurité et la fiabilité ont un impact direct sur le risque patient et les preuves réglementaires.

Réponse : Prévoir un environnement de test de secours en cas de défaillance de l\'environnement existant pendant les tests.
Explication : C est correct car prévoir un environnement de test de secours est une mesure d\'atténuation proactive et au niveau du projet qui réduit la probabilité et l\'impact d\'une défaillance d\'environnement. L\'atténuation des risques projet consiste en actions anticipées et délibérées réduisant l\'exposition aux menaces identifiées. Un environnement redondant est une mesure classique car une défaillance d\'environnement est un point de défaillance unique fréquent pouvant arrêter complètement les tests et augmenter les coûts.

Réponse : En fournissant un atelier sur les techniques de conception de tests.
Explication : Un atelier sur les techniques de conception de tests remédie directement à la faible efficacité de détection des défauts en dotant les testeurs de méthodes systématiques et répétables pour dériver des cas de test de meilleure qualité. Les techniques pratiques (partitionnement des équivalences, analyse des valeurs limites, tables de décision, transitions d\'état, techniques d\'appairage) améliorent la couverture et augmentent la probabilité de détection des défauts.

Réponse : Les préoccupations concernant l\'interface utilisateur augmentent la probabilité d\'un risque dans ce domaine et augmentent la quantité d\'effort de test nécessaire pour l\'interface utilisateur, limitant ainsi l\'effort de test disponible pour d\'autres parties de l\'outil de gestion de test..
Explication : L\'option B est correcte car elle modifie explicitement à la fois la probabilité évaluée et l\'impact basé sur les ressources (couverture de test), ce qui altère l\'exposition au risque produit et force une réévaluation des priorités. Le risque augmente (probabilité × conséquence) avec la réallocation des ressources.

Réponse : Organiser une réunion avec la direction générale pour qu\'elle aborde l\'importance d\'une bonne qualité de test pour ce projet.
Explication : D est correct car l\'appui visible de la direction générale élève la priorité organisationnelle des tests, fournit une reconnaissance et supprime les obstacles systémiques. Cela augmente la signification de la tâche et aligne l\'effort individuel avec les objectifs organisationnels, motivant durablement l\'équipe.

Réponse : Les développeurs perdent le sens des responsabilités et les testeurs indépendants peuvent devenir un goulot d\'étranglement..
Explication : Le test indépendant sépare la vérification du développement, ce qui peut diminuer le sens de la responsabilité des développeurs tandis que la coordination des tests et le triage des incidents se concentrent dans une équipe distincte qui peut devenir un goulot d\'étranglement processus.

Réponse : Cela peut servir à renforcer leur confiance dans le système.
Explication : C est correct car impliquer les utilisateurs lors de l\'exécution renforce principalement leur confiance et leur acceptation en validant le comportement du système par rapport aux attentes opérationnelles réelles. D\'un point de vue avancé de gestion des tests, la participation des utilisateurs est une intervention d\'engagement des parties prenantes qui réduit le risque de déploiement.

Réponse : Les critères d\'entrée et de sortie pour chaque phase de test / Les techniques de conception de test à utiliser.
Explication : AC est correct car une stratégie de test défendable prescrit explicitement les techniques de conception de test pour atteindre la couverture et l\'atténuation des risques (C) et les critères d\'entrée/sortie qui gouvernent la progression des phases et les barrières qualité (A). Une stratégie de test robuste est un cadre décisionnel de haut niveau qui détermine comment les objectifs de test seront atteints et comment les risques informent la priorisation et la portée.

Réponse : Pourcentage de couverture des exigences.
Explication : B est correct car le pourcentage de couverture des exigences quantifie directement l\'adéquation des tests par rapport à l\'objectif déclaré de valider que le système satisfait ses exigences. L\'efficacité du test dans un contexte piloté par les exigences repose sur la mesure objective de la complétude de la couverture des exigences et de la détection des non-conformités.

Réponse : Le plan de test du soumissionnaire décrit une mise en œuvre par phases avec des dates de livraison ultérieures à confirmer et indique que les livrables de test seront développés en utilisant la norme IEEE 829 comme guide..
Explication : D est correct car il démontre une réponse appropriée, centrée sur la gestion de test : un plan de livraison par phases réaliste associé à l\'engagement de développer les livrables de test selon un cadre documentaire reconnu (IEEE 829), sans imposer de dates inflexibles ni de processus propriétaires.

A. Votre invite système doit contenir des instructions explicites demandant à Claude de mémoriser les informations des échanges précédents. Incorrect. Les instructions seules ne confèrent pas de mémoire au modèle — le contexte doit être fourni à chaque requête. B. Vous n'incluez pas les messages précédents dans chaque requête API — l'API sans état ne conserve pas l'historique de la conversation. Correct. Claude est sans état. Si les messages précédents ne sont pas transmis dans la requête, il n'a aucune connaissance du vocabulaire antérieur. C. Vous devez activer la persistance de la conversation en transmettant un paramètre d'identifiant de session à chaque appel API. Incorrect. Il n'existe pas d'identifiant de session requis — la mémoire est gérée en incluant les messages passés. D. La fenêtre de contexte du modèle est saturée, ce qui entraîne la perte du contenu des échanges précédents. Incorrect. Cela ne se produirait que lors de conversations très longues, et non dans des scénarios de tests initiaux classiques.

A. L'agent coordinateur reçoit la sortie de l'agent de recherche web et inclut les résultats pertinents dans le prompt lors de l'invocation de l'agent d'analyse de documents. Correct. Cela suit le modèle d'orchestration standard où le coordinateur gère tous les flux de données, en transmettant explicitement les sorties entre les sous-agents. B. Les agents communiquent via une file de messages orientée événements, l'agent d'analyse de documents s'abonnant aux événements de fin de recherche web. Incorrect. Cela introduit une complexité d'infrastructure inutile et ne correspond pas au modèle d'orchestration d'agents habituel. C. L'agent de recherche web invoque directement l'agent d'analyse de documents, en utilisant les sources découvertes comme paramètres. Incorrect. Les sous-agents ne doivent pas s'invoquer directement entre eux ; cela rompt le contrôle centralisé et la traçabilité. D. Les deux agents accèdent à un espace mémoire partagé où l'agent de recherche web écrit les résultats et l'agent d'analyse de documents les lit. Incorrect. Bien que cela soit possible dans des systèmes avancés, ce n'est pas l'approche standard ou la plus simple ; cela ajoute de la complexité sans nécessité évidente dans les pipelines classiques.

A. Des descriptions de paramètres claires expliquant le format attendu, par exemple « user_id : UUID de l'utilisateur à mettre à jour (obligatoire) » — Correct. Des descriptions claires et lisibles sont le facteur le plus important pour aider Claude à comprendre quelles valeurs fournir et comment les paramètres doivent être structurés. B. Des noms de paramètres verbeux encodant des indications de format, comme user_id_string_uuid_format — Incorrect. Des noms excessivement verbeux réduisent la lisibilité et sont moins efficaces que des descriptions appropriées. C. Des contraintes de type JSON Schema strictes marquant user_id comme obligatoire et définissant fields_to_update comme type objet — Incorrect. Les contraintes de schéma facilitent la validation, mais n'expliquent pas suffisamment les attentes sémantiques comme le format UUID requis. D. Des réponses d'erreur détaillées expliquant pourquoi des valeurs de paramètres invalides ont été rejetées — Incorrect. Utiles après un échec, mais pas le facteur le plus critique pour prévenir les erreurs en amont.

A. Définir la température à 0 pour éliminer la variabilité des sorties et garantir un formatage cohérent — Incorrect. Cela réduit l'aléatoire mais ne corrige pas les erreurs d'extraction systématiques comme la mauvaise interprétation des plages (« 2 à 3 »). B. Envoyer une requête de suivi incluant l'erreur de validation, en demandant au modèle de corriger sa sortie — Correct. Fournir un retour de validation précis permet au modèle de corriger le problème exact (par exemple, convertir « 2 à 3 » en un nombre flottant valide), rendant la récupération très efficace. C. Pré-traiter les documents sources pour standardiser les formats problématiques avant de les envoyer à l'extraction — Incorrect. Utile dans certains cas, mais pas évolutif ni suffisant pour gérer la diversité des variations du monde réel. D. Mettre en place un pipeline secondaire utilisant un modèle de niveau supérieur pour retraiter les documents qui échouent à la validation — Incorrect. Plus coûteux et inutile — la correction ciblée est plus efficace et plus performante.

A. La fenêtre de contexte du modèle a été dépassée par la longueur de la conversation — Incorrect. Cela ne se produirait que lors de conversations très longues, alors que le problème apparaît dès les premiers échanges. B. L'API Claude nécessite un paramètre session_id que vous n'avez pas configuré — Incorrect. Il n'existe pas de session_id obligatoire ; le contexte doit être géré explicitement par l'application. C. Claude nécessite une connexion à une base de données vectorielle pour maintenir la mémoire de la conversation — Incorrect. Une base de données vectorielle est optionnelle pour la récupération d'informations, elle n'est pas requise pour la mémoire conversationnelle de base. D. Votre application n'inclut pas les messages précédents dans le tableau messages — Correct. Claude ne conserve aucune mémoire entre les appels ; si les messages précédents ne sont pas inclus, il ne peut pas se souvenir des préférences exprimées antérieurement par l'utilisateur.

A. Des URLs sur lesquelles les utilisateurs peuvent cliquer pour ouvrir le document dans leur navigateur. Incorrect. Les URLs sont utiles pour les utilisateurs, mais ne sont pas idéales pour les agents effectuant des workflows en plusieurs étapes nécessitant un référencement fiable et des opérations supplémentaires. B. Des données structurées contenant les identifiants de documents et les métadonnées pour chaque résultat. Correct. Cela permet à l'agent de référencer de manière programmatique des documents spécifiques (via des identifiants) à travers plusieurs étapes, rendant les workflows tels que les requêtes de suivi ou la récupération de documents précis et fiables. C. Un tableau JSON de titres de documents extraits des résultats de recherche. Incorrect. Les titres seuls sont ambigus et ne constituent pas des identifiants stables, ce qui rend difficile pour les agents d'agir de manière fiable sur des documents spécifiques. D. Des descriptions plus détaillées et lisibles par l'humain, incluant la taille et les auteurs. Incorrect. Utile pour les utilisateurs, mais toujours non structuré et non adapté à des opérations précises d'agents en plusieurs étapes.

A. Mettre en œuvre une déduplication sémantique pour identifier et supprimer les informations redondantes dans les résultats RAG accumulés et les tours de conversation — Incorrect. Cela réduit la redondance, mais ne résout pas le problème central de l'accumulation non bornée du contexte RAG. B. Mettre en œuvre une fenêtre glissante pour les résultats RAG des 2 à 3 dernières requêtes tout en préservant l'historique de la conversation — Correct. Cela répond directement au problème de saturation du contexte en limitant la croissance du RAG tout en maintenant la continuité de la conversation. C. Réaffecter le budget de contexte en faveur des résultats RAG tout en réduisant l'allocation de l'historique de conversation — Incorrect. Cela détériore la cohérence en sacrifiant le contexte conversationnel. D. Compresser tous les résultats RAG en un document de synthèse consolidé qui se met à jour de manière incrémentielle après chaque récupération — Incorrect. Cela peut entraîner une perte d'informations et une dérive du résumé, en particulier sur de nombreux tours de conversation.

A. Créer une nouvelle playlist « Focus » avec des titres sélectionnés et notifier l'utilisateur qu'elle est prête. Incorrecte. Cette option suppose une intention et risque d'effectuer la mauvaise action, ce qui frustre les utilisateurs. B. Poser une question de clarification sur le type d'action : écouter maintenant ou configurer pour plus tard. Correcte. Cela minimise les frictions tout en résolvant l'ambiguïté, permettant à l'assistant d'effectuer rapidement la bonne action. C. Lancer immédiatement des titres populaires de concentration et laisser l'utilisateur rediriger si nécessaire. Incorrecte. Agit prématurément et peut ne pas correspondre à l'intention de l'utilisateur. D. Démarrer la configuration des préférences en posant des questions sur les genres, le tempo et les artistes. Incorrecte. Trop lourd en amont — ajoute des frictions inutiles avant de confirmer l'intention.

B. Les détails de la commande sont ajoutés à la conversation et le modèle raisonne sur l'action à entreprendre. Correct. Dans une boucle agentique, les résultats des outils (comme « acheté il y a 45 jours ») sont réinjectés dans le contexte du modèle, et celui-ci réévalue la situation de manière dynamique. Il décide ensuite s'il convient de procéder avec process_refund, d'escalader vers un humain, ou d'entreprendre une autre action en fonction de la politique et des informations mises à jour. Pourquoi les autres réponses sont incorrectes : A. Séquence d'outils fixe planifiée dès le départ — Incorrect. Les systèmes agentiques ne sont pas des flux de travail statiques ; ils s'adaptent après chaque observation. C. Arbre de décision préconfiguré — Incorrect. Il s'agit d'une automatisation basée sur des règles, et non d'un raisonnement piloté par un LLM. D. La couche d'orchestration achemine automatiquement le prochain appel d'outil — Incorrect. Cela supprime le rôle de raisonnement du modèle et le transforme en un routage déterministe.

A. Persister l'intégralité de l'historique de conversation et des réponses aux outils dans une base de données, puis appeler escalate_to_human avec un identifiant de référence — Incorrect. Utile sur le plan opérationnel, mais l'agent humain a tout de même besoin d'un résumé concis et exploitable plutôt que de simples journaux bruts. B. Appeler escalate_to_human en ne transmettant que le message original du client — Incorrect. Cela perd le travail d'investigation déjà effectué et oblige l'agent humain à répéter les étapes. C. Tenter le remboursement avec process_refund quoi qu'il arrive, en escaladant uniquement si le système rejette la transaction — Incorrect. Cela viole les limites d'autorisation et la politique métier. D. Compiler une passation de contexte structurée incluant les détails du client, les informations de commande et le problème identifié avant d'appeler escalate_to_human — Correct. Une passation structurée préserve le contexte, réduit les répétitions et permet à l'agent humain de continuer efficacement.