Ne découvrez pas l'examen
le jour J

Réponse : Amazon Inspector. Explication : Amazon Inspector est un service automatisé de gestion des vulnérabilités qui analyse continuellement les instances EC2 pour détecter les vulnérabilités de logiciels et l'exposition réseau non intentionnelle. Il contrôle également le respect des bonnes pratiques de sécurité AWS.

Réponse : Convertible RI.
Explication : Seules les Reserved Instances ‘Convertible’ permettent l’échange pour d’autres types ou tailles d’instances EC2 durant la période de réservation.

Réponse : Amazon ElastiCache.
Explication : Amazon ElastiCache fournit un cache en mémoire (Redis ou Memcached) pour accélérer les accès aux données des applications gourmandes en lecture.

Réponse : Portée mondiale (Global reach).
Explication : La portée mondiale d’AWS permet de servir les utilisateurs partout dans le monde via de multiples régions et points d’accès.

Réponse : En provisionnant automatiquement les ressources AWS nécessaires selon la demande.
Explication : L’élasticité permet d’ajuster les ressources à la demande automatiquement, optimisant la performance et les coûts.

Réponse : Elle a conçu un système tolérant aux pannes.
Explication : La tolérance aux pannes garantit qu’un service reste disponible même en cas de défaillance partielle de l’infrastructure.

Réponse : Augmentation de la vitesse et de l’agilité, et sécurité physique prise en charge.
Explication : AWS offre une rapidité accrue pour déployer des applications et prend en charge la sécurité physique et réseau.

Réponse : Hybride.
Explication : Le modèle hybride combine les ressources sur site et cloud, permettant des architectures mixtes et évolutives.

Réponse : Amazon AppStream 2.0 ; Amazon WorkSpaces. Explication : Amazon WorkSpaces fournit des postes de travail virtuels Windows/Linux persistants entièrement gérés. Amazon AppStream 2.0 diffuse les applications de bureau sur n'importe quel appareil. Les deux offrent un accès à distance sécurisé sans VPN pour les employés mobiles.

Réponse : Amazon Aurora.
Explication : Amazon Aurora (dans Amazon RDS) fournit des sauvegardes automatisées et une haute disponibilité.

Instances EC2 Trn (Trainium) : accélérateurs spécialisés conçus par AWS pour l'entraînement de modèles de deep learning. Contrairement aux GPU P (polyvalents) ou G (graphique), Trainium offre un rendement énergétique supérieur grâce à son architecture dédiée au training, réduisant significativement coûts et empreinte carbone.

Orchestration conversationnelle : Amazon Lex gère les dialogues multi-tours, maintient le contexte et structure les intentions. Combiné à Bedrock pour la génération, il crée des chatbots sophistiqués avec mémorisation d'état.

Average Response Time : métrique mesurant le délai moyen entre la requête et la réponse du modèle en production. Elle évalue directement la performance opérationnelle et l'expérience utilisateur. Contrairement au temps d'entraînement (phase offline) ou au CSAT (satisfaction subjective), elle quantifie précisément la rapidité d'exécution du modèle déployé.

Pipeline RAG - Ordre critique des étapes : L'ingestion précède le chunking (sinon pas de documents à traiter), suivi de l'embedding (conversion texte→vecteurs) et du stockage vectoriel (indexation pour recherche). Cet ordre est irréversible : on ne peut générer d'embeddings sans chunks ni les stocker sans les embeddings d'abord.

Transcription audio → NLP : Amazon Transcribe convertit les appels audio en texte, étape indispensable avant tout traitement NLP. Sans cette conversion, les services NLP (Comprehend, Lex) ne peuvent traiter que du texte. C'est le pipeline standard : Audio → Transcribe → Texte → NLP/Analyse.

Le biais en IA désigne des prédictions systématiquement incorrectes ou discriminatoires envers certains groupes (genre, ethnie, âge, etc.). Il survient principalement via les données d'entraînement qui reflètent des inégalités historiques ou sous-représentent certains groupes. Il peut aussi venir d'une mauvaise définition des métriques de performance ou d'un biais de sélection. Les biais dans un LLM pré-entraîné sur du texte internet reflètent les stéréotypes présents dans ce corpus.

AWS Artifact : service centralisé pour accéder aux rapports de conformité certifiés par des tiers (SOC 2, ISO 27001, etc.) et gérer les abonnements aux notifications de mise à jour. Contrairement à Audit Manager (audits internes), Trusted Advisor (recommandations d'optimisation) ou Data Exchange (données tierces), Artifact fournit spécifiquement les documents de conformité officiels nécessaires pour valider la posture de sécurité et de gouvernance AWS.

Claude 3 + CodeWhisperer : Claude est un LLM hautement capable pour la génération de code structuré et documenté. CodeWhisperer complète avec des suggestions intelligentes en temps réel. Ensemble, ils couvrent la génération et l'amélioration du code source en production.

Amazon Personalize : service de recommandation full-managed utilisant le machine learning. Traite l'historique d'interaction client, crée des modèles prédictifs pour chaque utilisateur et retourne des listes personnalisées avec impact commercial mesurable en temps réel.

NLP médical spécialisé : Comprehend Medical reconnaît entités cliniques, médicaments, conditions avec vocabulaire médical. Bedrock post-traite pour évaluation risque, recommandations. Combinaison optimale compliance + génération pour cas d'usage santé complexe.

Progress in Scrum: The Scrum Guide defines the working Increment meeting the Definition of Done as the primary measure of progress—not velocity. Velocity is a helpful planning tool but isn't mentioned in the Guide as a formal progress measure.

Daily Scrum Purpose: The Daily Scrum is a 15-minute event for Developers to synchronize work and plan the day ahead. While the Product Owner may attend to answer questions, their presence is optional—not mandatory. They attend only when actively involved in Sprint work, not as a requirement.

Self-organizing cross-functional teams: Scrum Teams possess autonomy in determining how to accomplish work and include members with diverse skills—engineering, design, product knowledge—needed to deliver value. This contrasts with command-and-control structures (option 1), complete isolation risks dependencies (option 2), and rigid hierarchies (option 4).

The five Scrum values are Commitment, Courage, Focus, Openness, and Respect. These values give direction to the Scrum Team's work, actions, and behavior. When they are embodied and lived by the Scrum Team, the pillars of Transparency, Inspection, and Adaptation come to life and build trust. Without these values, Scrum is merely a set of events and artifacts without meaning.

Sprint Cancellation Authority: Only the Product Owner can cancel a Sprint when the Sprint Goal becomes obsolete or circumstances fundamentally change. This protects team focus while ensuring alignment with business priorities. Cancellation is rare because it wastes effort, but remains available for significant changes.

Answer: When it makes sense to release it.
Explanation: The Scrum Guide does not mandate a release schedule. The Product Owner decides when to release an Increment based on business value, user needs, and market conditions — not on a fixed Sprint-by-Sprint basis.

Answer: Minimizing dependencies between teams.
Explanation: When multiple teams work from the same Product Backlog, the primary coordination concern is minimizing cross-team dependencies that create bottlenecks, blocking work, and integration challenges.

Product Backlog Nature: The Product Backlog is a living, dynamic artifact that continuously evolves throughout the product's lifecycle. It's never "complete"—items are refined, reprioritized, and added as stakeholder needs and market conditions change. Sprint Planning uses the current state of the backlog, but refinement and updates continue beyond that point, making completeness a misconception about backlog characteristics.

Answer: False.
Explanation: Scrum is a framework, not a methodology. It does not prescribe specific engineering techniques or detailed processes for building software. Teams are free to choose their own practices within the Scrum framework.

Answer: Lost inspection/adaptation opportunities; impediments resolved slower; Sprint plan becomes inaccurate.
Explanation: The Daily Scrum's daily cadence is essential for rapid adaptation. Less frequent meetings mean the team cannot quickly detect deviations, address blockers, or keep the Sprint plan current with reality.

Key concept: Sprint cancellation authority rests exclusively with the Product Owner. The Product Owner holds the authority to cancel a Sprint when the Sprint Goal becomes obsolete or no longer aligned with business priorities. This ensures that the organization can pivot quickly when market conditions, stakeholder needs, or strategic direction change fundamentally. While the Scrum Master facilitates the process and coaches the team, and Developers execute the work, neither possesses cancellation authority. The PMO, as an external governance body, is not part of the Scrum framework's decision-making structure for individual Sprints. This concentrated authority prevents arbitrary cancellations while maintaining agility at the organizational level.

Key concept: Velocity is a descriptive metric, not a prescriptive target. The Product Owner cannot direct Developers to exceed their capacity to achieve a velocity goal because doing so violates core Scrum principles of self-management and sustainable pace. Developers own their capacity estimates and work planning. While the PO influences what gets built (through backlog prioritization and the Product Goal), the Developers determine how much they can commit to each Sprint. Artificially inflating velocity by overworking undermines team health, increases defects, and creates unsustainable practices that ultimately harm long-term delivery. Velocity should emerge naturally from the team's sustainable working pace and used only for forecasting, not as a performance target to chase.

Why this answer is correct: In Scrum, the Product Owner is accountable for maximizing product value, which is measured through business outcomes like customer satisfaction, revenue impact, and market share—not merely output metrics. These outcomes reflect whether the product actually solves customer problems and delivers real business value.

Why the others are incorrect: Team velocity, number of features delivered, and Sprint completion rates are activity metrics that measure team output, not product success. A team can deliver many features quickly while failing to achieve meaningful business results or customer value, making these metrics poor indicators of true product success.

Sprint Goal crafting is a collaborative activity during Sprint Planning. The Product Owner brings a business objective — the 'why' behind the Sprint — while Developers contribute their technical perspective on what is feasible. The Product Owner does not define scope unilaterally, nor does she arrive with a pre-written Sprint Goal. This collaboration ensures the Sprint Goal reflects both business value and development reality.

Key concept: Sprint cancellation authority and conditions. The Product Owner holds the exclusive authority to cancel a Sprint, though this power is exercised rarely and only under specific circumstances. A Sprint is cancelled when the Sprint Goal becomes obsolete—meaning it no longer aligns with organizational priorities, market conditions, or stakeholder needs. This might occur due to sudden strategic shifts, critical business changes, or fundamental shifts in product direction. While the PO can initiate cancellation, the decision typically involves consultation with stakeholders and the Scrum Team. Cancelled Sprints result in incomplete work being returned to the Product Backlog for re-prioritization. This distinguishes the PO's unique governance role: only they can cancel Sprints, not the Scrum Master, Development Team, or any other stakeholder, ensuring a single source of accountability for product direction and organizational alignment.

Key concept: Sprint commitment focuses on the Sprint Goal, not item completion. Developers commit to achieving the Sprint Goal through collaborative effort, which may require adjusting the scope of work during the Sprint. A fixed list of items creates inflexibility and prioritizes task completion over value delivery. The Product Owner and Developers negotiate scope dynamically to preserve the Sprint Goal while responding to emerging insights, dependencies, or impediments. This adaptive approach enables delivering maximum value rather than mechanically finishing predetermined items.

Key concept: The Definition of Done (DoD) is the formal commitment that defines what it means for an Increment to be complete and potentially releasable. Per the Scrum Guide 2020, every Increment must conform to the Definition of Done—a shared understanding between the Development Team and Product Owner about quality standards, testing requirements, and acceptance criteria. This ensures consistency, transparency, and predictability across Sprints. The DoD protects product quality and enables stakeholders to trust that work marked "done" truly meets the team's standards. While Product Goal provides direction and Sprint Goal focuses a single Sprint, neither commits to the Increment itself. Release Burnup tracks progress but doesn't define completion criteria.

Answer: Existing teams propose how to organize; developers come together and self-organize.
Explanation: Scrum Team formation should be driven by self-organization, not management diktat. Teams that choose their own composition build stronger working relationships and greater ownership of their commitments.

Answer: Conversion rate, user retention, customer satisfaction (NPS).
Explanation: EBM (Evidence-Based Management) focuses on outcomes: conversion, retention, and satisfaction metrics reflect real product value.

The Product Owner should add urgent requests to the Product Backlog rather than immediately modifying the Sprint. This protects the Sprint Goal and the Development Team's commitment, which are fundamental Scrum principles. While the change can be prioritized for the next Sprint Planning, adding it mid-Sprint or canceling the Sprint would disrupt the team's focus and violate Scrum's iterative nature. The Scrum Master supports the process but doesn't make prioritization decisions—that's the Product Owner's responsibility.

Gérance responsable (Stewardship) et transparence : La gérance responsable est le principe fondamental du PMBOK 7e édition qui établit explicitement une responsabilité éthique et fiduciaire envers les parties prenantes. Ce principe repose sur l'accountability, la transparence des décisions et des actions, ainsi que sur l'intégrité dans la gestion des ressources et des informations du projet. La confiance se construit directement par cette transparence : en communiquant ouvertement sur les progrès, les risques, les défis et les décisions, le chef de projet démontre qu'il agit dans l'intérêt collectif et non personnel. La gérance responsable impose également de rendre des comptes sur les résultats et d'assumer les conséquences de ses choix, ce qui renforce la crédibilité et la confiance auprès de tous les intervenants. Bien que le leadership respectueux et la pensée système soutiennent aussi indirectement ces valeurs, seule la gérance responsable les place au cœur même de son définition. La micro-gestion et la concentration sur le périmètre technique éloignent au contraire la transparence en fragmentant l'information et en marginalisant les parties prenantes, générant ainsi de la méfiance et des silos organisat

L’amélioration continue consiste à ajuster régulièrement les pratiques et processus pour accroître l’efficacité, la qualité et la valeur livrée.

CPI (Cost Performance Index) : ratio entre la valeur gagnée et le coût réel (EV/AC). Un CPI 1 indique une économie de coûts.

Processus de gestion des risques du PMBOK 7e édition : Le traitement d'un risque suit une séquence logique et progressive qui commence par l'identification, étape fondamentale où tous les risques potentiels du projet sont documentés et catalogués. Ensuite, l'analyse qualitative évalue la probabilité et l'impact de chaque risque identifié pour les classer par priorité, suivie optionnellement d'une analyse quantitative qui modélise les impacts numériques sur les objectifs du projet. Une fois analysés et hiérarchisés, les risques doivent être traités par la planification des réponses, où l'équipe définit des stratégies (atténuation, acceptation, transfert, escalade) pour chaque risque. La mise en œuvre consiste à exécuter ces plans d'action définis, tandis que la surveillance continue assure le suivi de l'évolution des risques identifiés et l'émergence de nouveaux risques. Cette séquence respecte les principes d'amélioration continue du PMBOK : vous ne pouvez pas analyser ce que vous n'avez pas identifié, ni planifier une réponse à un risque dont vous ignorez l'impact, ni surveiller efficacement sans avoir mis en place des stratégies de réponse. Les autres options violent cet ordre logique en inversant les étapes ou en plaçant la surveillance prématur

Concept clé : Le domaine de gestion des Parties prenantes est l'un des douze domaines de performance du PMBOK 7e édition. Son objectif principal consiste à identifier, analyser et impliquer activement les parties prenantes tout au long du cycle de vie du projet pour assurer sa réussite. Ce domaine reconnaît que les projets ne sont jamais menés en isolation : ils impliquent des individus et des organisations qui ont des intérêts, des attentes et une influence variables sur les résultats. En cartographiant systématiquement les parties prenantes (clients, sponsors, équipe, fournisseurs, régulateurs, etc.), en analysant leur niveau d'intérêt et de pouvoir, puis en développant des stratégies d'engagement adaptées, le chef de projet maximise les chances de mobilisation des soutiens nécessaires et de mitigation des résistances. Cette approche proactive s'oppose à une gestion réactive des conflits. Les autres options sont incorrectes car : gérer uniquement les membres de l'équipe ignore les parties prenantes externes ; définir les critères de qualité relève du domaine de la Qualité ; choisir l'approche et le cycle de vie correspond au domaine de Planification. Dans un contexte agile, cette gestion est continue et itérative, intégrant les retours des parties prenantes à chaque itération.

Chaîne critique et protection des ressources : La méthode CCPM protège les ressources critiques (chemin critique) via des tampons de temps. Ces tampons absorbent les variations sans affecter la date de fin. Contrairement aux activités non critiques qui ont une marge, les ressources critiques n'ont aucune flexibilité : tout délai les impacte directement.

Communication inclusive : créer un environnement où chacun se sent entendu. Le chef de projet régule la parole, valorise les contributions silencieuses et établit des normes de respect mutuel. Cela enrichit les décisions et renforce l'engagement collectif.

L’intégration de la qualité dans le flux (built-in quality), avec critères d’acceptation, revues régulières et vérifications précoces, réduit les défauts tardifs et facilite l’audit.

Tableau de bord avec KPI : outil centralisé affichant en temps réel les indicateurs de performance (délais, coûts, qualité, risques). Contrairement aux réunions improvisées (réactives, non structurées), aux emails non formalisés (manque de traçabilité) ou aux rapports financiers seuls (vision partielle), il offre transparence, visibilité globale et aide à la prise de décision stratégique continue.

Cette question correspond à l’objectif d’apprentissage FL-1.5.2 (K1) – Rappeler les avantages de l’approche intégrée.

● a) Faux → L’intégration réduit la séparation
● b) Correct → Une équipe intégrée = collaboration renforcée
● c) Faux → Le testeur reste essentiel même dans une équipe Agile
● d) Faux → La documentation existe, même si elle est plus légère

Cette question correspond à l’objectif d’apprentissage FL-3.1.1 (K1) - Reconnaître les types de produits qui peuvent être examinés par les différentes techniques de test statique.

● a) Faux → La revue des exigences est une activité de test statique permettant d’identifier des incohérences dans les spécifications.
● b) Faux → L’analyse statique du code est une technique statique qui permet de détecter des erreurs sans exécuter le programme.
● c) Correct → L’exécution de tests unitaires est une activité dynamique, car elle nécessite de faire fonctionner le logiciel.
● d) Faux → L’inspection formelle est une technique statique qui permet de valider la conception avant l’implémentation.

Cette question correspond à l’objectif d’apprentissage FL-4.3.1 (K2) – Expliquer le test des instructions.

Le test des instructions vérifie que chaque ligne de code est exécutée au moins une fois. Il y a 10 instructions conditionnelles, chaque ayant 2 branches, alors on peut avoir jusqu’à 20 instructions exécutables, mais pour les couvrir toutes, il suffira souvent de 2 cas de test bien choisis, par exemple :

● un cas qui passe toujours par les if
● un autre qui force les else
● a) Faux → 1 seul test ne garantit pas la couverture si des branches ne sont pas exécutées.
● b) Correct → 2 tests suffisent pour atteindre 100% de couverture.
● c) Faux →5 tests sont excessifs.
● d) Faux → 10 tests sont inutiles.

Cette question correspond à l’objectif d’apprentissage FL-5.2.4 (K2) – Expliquer les mesures qui peuvent être prises en réponse à l\'analyse des risques produit.

● a) Faux → Accepter un risque signifie ne rien faire et vivre avec la possibilité que cela se produise. Ici, des actions concrètes sont mises en place.
● b) Faux → Un plan de secours est un plan B qui s’active si le risque se produit. Ici, on agit avant pour éviter qu’il se réalise.
● c) Faux → Le transfert implique qu’une autre entité prend en charge le risque (ex : assurance ou sous-traitance), ce n’est pas le cas ici.
● d) Correct → Des tests de performance et des améliorations d’architecture sont des mesures proactives destinées à réduire la probabilité et/ou l’impact du risque → c’est exactement une mitigation.

Cette question correspond à l\'objectif d\'apprentissage FL-4.4.1 (K2) – Expliquer les
techniques de test basées sur l\'expérience et leur utilisation.
● a) Faux → La rédaction de cas de test détaillés nécessite une documentation
complète, ce qui n\'est pas disponible ici.
● b) Correct → Les tests exploratoires permettent de découvrir rapidement des
défauts même en l\'absence de documentation détaillée.
● c) Faux → Attendre la documentation complète retarderait inutilement le processus
de test.
● d) Faux → L\'automatisation nécessite une connaissance préalable des cas de test et
du comportement attendu, ce qui n\'est pas possible sans documentation.

Cette question correspond à l\'objectif d\'apprentissage FL-5.1.4 (K3) - Utiliser des techniques d\'estimation pour calculer l\'effort de test requis.

L\'estimation à 3 points utilise la formule : (Optimiste + 4 × Plus probable + Pessimiste) ÷ 6

Donc : (6 + 4 × 15 + 24) ÷ 6 = (6 + 60 + 24) ÷ 6 = 90 ÷ 6 = 15

● a) Correct → 15 jours-personnes est le résultat correct de la formule d\'estimation à trois points.
● b) Faux → 16 jours-personnes n\'est pas le résultat correct.
● c) Faux → 17 jours-personnes n\'est pas le résultat correct.
● d) Faux →18 jours-personnes n\'est pas le résultat correct.

Cette question correspond à l’objectif d’apprentissage FL-5.1.3 (K2) – Comparer et opposer
les critères d’entrée et les critères de sortie dans les tests.

● a) Faux → Ces critères sont inversés : l’exigence approuvée est un critère d’entrée.
● b) Faux → L’environnement de test est un critère d’entrée, pas de sortie.
● c) Correct → La disponibilité des données est bien une condition préalable (entrée), et le taux d’échec peut être utilisé comme condition de sortie (ex. : “moins de 5 % d’échecs”).
● d) Faux → Développement et revues ne sont pas liés directement aux phases
d’entrée/sortie du test.

Cette question correspond à l’objectif d’apprentissage FL-1.4.1 (K2) – Résumer les différentes activités et tâches de test.
La bonne réponse est : d) 1C, 2B, 3D, 4A

● 1C) : Correct : La planification sert à préparer le cadre du test
● 2B) : Correct : La conception permet de définir les données, cas et conditions de test
● 3D) : Correct : L’exécution vérifie le résultat réel par rapport à l’attendu
● 4A) : Correct : Clôturer = évaluer, nettoyer, archiver, analyser les résultats

Cette question correspond à l’objectif d\'apprentissage FL-2.1.2 (K1) – Rappeler les bonnes pratiques de test qui s\'appliquent à tous les cycles de vie du développement logiciel.

● a) Faux → Les tests doivent couvrir plusieurs niveaux (unitaires, intégration, système, acceptation), et pas uniquement l’interface utilisateur.
● b) Faux → Attendre la fin du développement pour tester expose le projet à un risque accru de corrections coûteuses en fin de cycle.
● c) Faux → La documentation des tests est essentielle pour assurer la traçabilité et la reproductibilité des tests.
● d) Correct → Tester tôt est une bonne pratique universelle, car plus un défaut est détecté tôt, moins il est coûteux à corriger.

Cette question correspond à l’objectif d’apprentissage FL-1.1.1 (K1) – Identifier les objectifs habituels du test.
● a) Faux → Il est impossible de démontrer qu’un logiciel est totalement exempt de défauts.
● b) Correct → Les tests réduisent le risque de défauts et augmentent la probabilité que le logiciel réponde aux exigences.
● c) Faux → Vérifier la conformité aux spécifications est une partie des tests, mais pas leur seul objectif.
● d) Faux → Les tests ne remplacent pas l’assurance qualité, qui inclut d’autres activités comme l’analyse des processus.

Physical security controls protect against unauthorized physical access to facilities and hardware. Mantraps (airlock entries) are double-door systems that trap intruders between doors — one door must close before the other opens, preventing tailgating. CCTV cameras provide visual monitoring and forensic evidence. Physical controls are distinct from technical (firewalls, encryption) and administrative (policies, training) controls. Biometric authentication can be physical or logical depending on context — physical when controlling door access.

Role-Based Access Control (RBAC): A centralized model that groups permissions by job roles rather than individual users. Users inherit all permissions associated with their assigned role, simplifying management at scale. Unlike ACLs (granular per-resource) or Directory groups (implementation tools), RBAC provides the strategic framework for role-based permission inheritance.

Acceptable Use Policy (AUP): Establishes guidelines governing how employees must use company resources, including computers, networks, and internet access. It defines permitted and prohibited activities to protect organizational assets and maintain security. Unlike Privacy Policies (employee data handling), Security Policies (technical controls), or Confidentiality Policies (information protection), AUP directly addresses user behavior and resource utilization expectations.

Application Whitelisting: a security control that restricts execution to pre-approved applications only. This prevents malware installation regardless of user privilege level, as unauthorized programs—even by admins—cannot run. Unlike antivirus (reactive detection) or training (behavioral), whitelisting provides proactive enforcement at the system level.

IDS (Intrusion Detection System) monitors traffic and alerts on suspicious activity but takes no action — it is passive. IPS (Intrusion Prevention System) is inline and can actively block malicious traffic in real time. IDS generates alerts that humans must act on (risk: alert fatigue). IPS can block threats automatically (risk: false positives blocking legitimate traffic). A NIDS monitors network traffic; a HIDS monitors a single host's logs and files. Modern solutions often combine both as IDPS (Intrusion Detection and Prevention System).

Integrity: ensures data remains accurate and unaltered. Modifying data in transit violates this principle because the information is changed without authorization. Confidentiality protects secrecy, availability ensures access, and non-repudiation prevents denial of actions—none address unauthorized data modification.

Ransomware: malware that encrypts victim files and restricts access, demanding payment (ransom) for decryption keys. Unlike trojans (deceptive delivery), viruses (self-replicating), or spyware (data theft), ransomware's defining characteristic is extortion through encryption.

Answer: Geolocation policy.
Explanation: A geolocation policy restricts access to applications based on the user's geographic location. By blocking access from high-risk countries at the network or application level, the company limits exposure without affecting legitimate users.

Réponse correcte : Le principe du moindre privilège (Least Privilege) signifie accorder aux utilisateurs uniquement les permissions minimales nécessaires pour accomplir leurs fonctions professionnelles, réduisant ainsi la surface d'attaque et limitant les dégâts en cas de compromission de compte.

Pourquoi les autres réponses sont incorrectes : Accorder tous les droits d'accès d'abord puis les retirer est inefficace et dangereux. Partager des comptes privilégiés entre plusieurs administrateurs viole la responsabilité individuelle et la traçabilité. Utiliser des comptes administrateur pour les activités quotidiennes expose l'organisation à des risques de sécurité majeurs en cas de malveillance ou d'erreur.

Biometric Authentication: A fingerprint is a biometric factor—a unique physical characteristic inherent to your body. Unlike "something you know" (passwords) or "something you have" (tokens), biometrics cannot be forgotten or lost. "Somewhere you are" refers to location-based authentication, making it the weakest distractor here.

Un index est une structure de données auxiliaire qui accélère les opérations de lecture (SELECT, WHERE) en permettant au moteur SQL de localiser rapidement les lignes sans scanner toute la table. Les index clustered et non-clustered optimisent différents types de requêtes. Inconvénient : les index ralentissent les opérations d'écriture (INSERT, UPDATE, DELETE) car ils doivent être mis à jour à chaque modification. Ils consomment aussi de l'espace disque. Un équilibre entre index de lecture et performance d'écriture est nécessaire.

La gouvernance des données englobe les politiques, processus et standards garantissant la qualité, la sécurité, la confidentialité et la conformité des données d'une organisation. Microsoft Purview (anciennement Azure Purview) est le service unifié de gouvernance des données Azure : il découvre automatiquement les données (scan multi-cloud), crée un catalogue de données avec leur lignage (Data Lineage — d'où vient la donnée, comment elle a été transformée), classe les données sensibles (PII, financières), et gère les politiques d'accès. Il couvre Azure, AWS, GCP et les sources on-premises.

Réponse : ALTER. Explication : ALTER est une instruction DDL (Data Definition Language) utilisée pour modifier les objets de base de données existants. ALTER TABLE permet d'ajouter, de supprimer ou de modifier des colonnes dans une vue existante ou une table — utilisée ici pour ajouter une nouvelle colonne à une définition de vue existante.

Rôles des professionnels de la donnée : L'ingénieur de données conçoit et construit les pipelines ETL/ELT qui extraient, transforment et chargent les données. L'analyste de données exploite ces données préparées pour l'analyse et la visualisation. L'administrateur BD gère l'infrastructure et la sécurité, tandis que le développeur front-end crée les interfaces utilisateur. Seul l'ingénieur maîtrise l'architecture complète des flux de données.

Données structurées : organisées dans un schéma fixe et prédéfini (tables relationnelles avec colonnes typées). Ex. : SQL Server, Excel. Données semi-structurées : ont une organisation partielle mais pas de schéma rigide. Ex. : JSON, XML, CSV. Données non structurées : sans schéma défini. Ex. : images, vidéos, emails, PDF. Azure propose des solutions adaptées à chaque type : SQL Database (structuré), Cosmos DB (semi-structuré), Azure Blob Storage (non structuré).

NoSQL signifie « Not Only SQL » et désigne une catégorie de bases de données non-relationnelles offrant des schémas flexibles pour stocker différents types de données (documents JSON, paires clé-valeur, graphes, colonnes), contrairement aux bases relationnelles rigides. Pourquoi les autres réponses sont incorrectes : NoSQL supporte bien les langages de requête (MongoDB Query Language, etc.) contrairement à la première option. La deuxième option est fausse car NoSQL gère tous types de données, pas seulement numériques. La dernière option est inexacte puisque NoSQL excelle autant en lecture qu'en écriture et supporte les workloads transactionnels.

Cohérence forte (Strong) : niveau maximal de cohérence dans Cosmos DB garantissant que toutes les lectures retournent immédiatement la dernière valeur écrite, sans délai. Contrairement à la cohérence éventuelle (délai avant synchronisation) ou de session (cohérence limitée à une session utilisateur), la cohérence forte impose une synchronisation instantanée entre réplicas, au coût d'une latence accrue.

Azure RBAC (Role-Based Access Control) contrôle qui peut accéder à quelles ressources Azure et avec quels droits. Pour les services de données : un Data Reader peut lire des données mais pas les modifier ; un Storage Blob Data Contributor peut lire et écrire dans Blob Storage ; un Owner gère tout. Dans ADLS Gen2, les ACLs POSIX complètent le RBAC avec des contrôles granulaires au niveau des fichiers et dossiers. Le principe de moindre privilège (Least Privilege) s'applique : donner uniquement les droits nécessaires à chaque rôle.

Azure SQL Managed Instance : service PaaS qui émule SQL Server on-premise avec compatibilité quasi-totale (T-SQL, Agent SQL, linked servers). Contrairement à Azure SQL Database qui impose des adaptations de code, Managed Instance accepte les bases existantes sans modification majeure, minimisant les risques et délais de migration. MySQL et Cosmos DB nécessitent une refonte complète de l'architecture.

SQL (Structured Query Language) : langage standard conçu spécifiquement pour interroger, modifier et gérer les données dans les bases relationnelles. Il utilise des commandes comme SELECT, INSERT, UPDATE et DELETE pour interagir avec les tables et leurs relations. Contrairement à HTML (langage de balisage), Python (langage de programmation généraliste) ou JSON (format de données), SQL est le seul optimisé pour les requêtes de bases de données relationnelles.

Les codes de motif dans SAP S/4HANA sont utilisés lors du rapprochement bancaire et du traitement des paiements pour documenter et justifier les écarts de paiement. Ils vous permettent de décider si l'écart doit être écrit, posté sur un compte de provision ou laissé ouvert pour un traitement ultérieur. Pourquoi les autres réponses sont incorrectes : la première option concerne le classement des propositions de paiement par urgence, non les raisons des écarts. La troisième concerne la sélection de la méthode de paiement pour les fournisseurs. La quatrième concerne l'assignation aux comptes bancaires. Aucune de ces fonctions ne représente le rôle des codes de motif.

Réponse : Ils reçoivent automatiquement les écritures miroir des sous-comptes BP ; Les écritures directes sont interdites ; La modification du compte de réconciliation en production doit suivre une procédure contrôlée.
Explication : Les comptes de réconciliation assurent l’intégrité entre sous-comptes et GL ; tout changement requiert précautions (soldes/postes).

Réponse : Un plan de comptes opérationnel
Pour créer et étendre des comptes G/L, chaque code société doit être associé à un plan de comptes opérationnel (Operating Chart of Accounts). C'est l'affectation indispensable qui détermine quels comptes sont disponibles pour ce code société.

Réponse : Identifier et résoudre les écarts inter-sociétés
L'Intercompany Reconciliation (ICR) est le processus visant à identifier et réconcilier les écarts entre les transactions inter-sociétés. En clôture, les créances/dettes et produits/charges inter-sociétés doivent s'équilibrer pour permettre la consolidation. L'ICR dans S/4HANA automatise cette réconciliation.

ACDOCA est la table correcte car elle contient le Journal Universel (ou Journal Comptable) dans SAP S/4HANA, fusionnant tous les documents comptables en une seule vue unifiée. Les autres tables sont obsolètes ou utilisent une structure différente : BKPF contenait l'en-tête des documents (legacy), BSEG contenait les lignes de document comptable (legacy), et GLT0 est une table historique pour les soldes GL. SAP S/4HANA a consolidé ces structures dans ACDOCA pour simplifier la gestion comptable.

Réponse : Vrai
Une zone de dépréciation (Depreciation Area) représente un référentiel comptable indépendant pour la valorisation des immobilisations. Par exemple : zone 01 (IFRS), zone 15 (GAAP local), zone 30 (fiscal). Chaque zone peut avoir sa propre méthode d'amortissement et durée de vie.

Le programme de relance (Dunning) identifie automatiquement les postes clients en retard de paiement et génère des lettres de relance graduées (niveau 1 = rappel poli, niveau 4 = mise en demeure avant action légale). Le principal paramètre est le niveau de relance (Dunning Level), qui détermine la sévérité du message selon le nombre de jours de retard dépassé. La procédure de relance (Dunning Procedure) définit également les intervalles entre relances, les frais applicables et les intérêts de retard. Elle est exécutée via F150 ou l'app Fiori équivalente.

Le groupe de tolérance fournisseur définit les limites acceptables pour le traitement automatique des différences lors du rapprochement des factures (MIRO) avec les bons de commande. Il paramètre : la tolérance absolue en montant (ex. : différence max 10 EUR), la tolérance en pourcentage, et le traitement des petites différences (comptabilisation automatique ou blocage). Sans groupe de tolérance, toute différence entre la facture et le bon de commande bloquerait le paiement automatique, nécessitant une intervention manuelle.

Réponse : On‑premise ; Cloud Private Edition ; Cloud Public (multi‑tenant).
Explication : S/4HANA existe en plusieurs modes de déploiement officiels : on‑premise, cloud public et cloud private edition. Les offres non‑SAP ou appliances IoT ne constituent pas des déploiements S/4HANA.

Ordre correct Order-to-Cash :

1. Commande client (VA01)
2. Livraison (VL01N)
3. Sortie de marchandises / PGI (VL02N)
4. Facturation client (VF01)
5. Encaissement et lettrage (F-28)

Le flux O2C génère des écritures comptables automatiques à la sortie de marchandises (débit CMV / crédit stock) et lors de la facturation (débit client / crédit produits).

« Liberté, Égalité, Fraternité » est la devise officielle de la République française, inscrite dans la Constitution. Liberté : droit de chacun de faire ce que les lois permettent, sans nuire à autrui (Déclaration de 1789). Égalité : tous les citoyens sont égaux devant la loi, sans distinction d'origine, de race ou de religion. Fraternité : solidarité entre les membres de la nation, aide aux plus démunis. Cette devise est issue de la Révolution française et officialisée sous la IIIe République.

La Loire est le plus long fleuve de France avec environ 1 006 km. Elle prend sa source au mont Gerbier-de-Jonc (Ardèche) et se jette dans l'Atlantique à Saint-Nazaire. Elle traverse les régions Auvergne-Rhône-Alpes, Centre-Val de Loire, Pays de la Loire. La Seine (775 km) traverse Paris. Le Rhône (812 km en France) est le plus important en débit. La Garonne (575 km) passe par Toulouse et Bordeaux.

Oui, une condamnation pénale peut entraîner un refus de naturalisation. Selon le Code civil, n'est pas admis à acquérir la nationalité française par naturalisation quiconque a fait l'objet d'une condamnation à une peine d'au moins 6 mois d'emprisonnement sans sursis, ou de certaines infractions graves (terrorisme, crimes contre l'humanité). Un casier judiciaire B2 vierge est généralement exigé. Les contraventions et infractions mineures n'empêchent pas nécessairement la procédure.

La Déclaration des droits de l'homme et du citoyen du 26 août 1789 est le texte fondateur des droits fondamentaux en France. Elle affirme les droits naturels et imprescriptibles : liberté, propriété, sûreté, résistance à l'oppression. Incorporée au préambule de la Constitution de 1958, elle a valeur constitutionnelle. La Constitution de 1958 organise les institutions. Le Traité de Maastricht (1992) fonde l'Union européenne. La Charte des droits fondamentaux de l'UE date de 2000.

Constitution de 1958 : texte fondamental qui organise les institutions de la République française et définit le fonctionnement des pouvoirs publics. Contrairement au Code civil (droit privé) ou au Code pénal (droit criminel), seule la Constitution établit la structure de l'État. La Déclaration des Droits de l'Homme énonce des principes, mais ne crée pas les institutions.

Constitue un critère d'inadmissibilité le fait d'être condamné à une peine d'emprisonnement sans sursis pour un crime ou certains délits graves (terrorisme, atteintes aux intérêts fondamentaux de la nation, trafic de stupéfiants…). La condamnation doit figurer au casier judiciaire B2. Un simple avertissement policier n'est pas une condamnation. Une infraction routière mineure (amende) ne figure pas au B2. Contester une décision administrative est un droit citoyen, sans impact sur la naturalisation.

Organisation territoriale de la France : La France métropolitaine est divisée en 13 régions depuis la réforme de 2016, qui a fusionné certaines régions pour améliorer l'efficacité administrative. Les distracteurs (12, 18, 22) correspondent à d'anciens découpages ou à des comptages incluant les collectivités d'outre-mer.

Les femmes françaises obtiennent le droit de vote par l'ordonnance du 21 avril 1944 du Gouvernement provisoire de la République française (GPRF), signé par le général de Gaulle à Alger. Elles l'exercent pour la première fois lors des élections municipales d'avril 1945. La France fut l'un des derniers pays d'Europe occidentale à accorder ce droit, malgré les revendications suffragettes depuis le XIXe siècle. Simone de Beauvoir et d'autres intellectuelles avaient milité pour ce droit.

Le drapeau tricolore (bleu, blanc, rouge) est adopté lors de la Révolution française. La tradition associe : Bleu et rouge — couleurs de Paris (portées par les révolutionnaires lors de la prise de la Bastille) ; Blanc — couleur de la royauté française (les Bourbons). La cocarde tricolore est portée le 17 juillet 1789 par Louis XVI, symbolisant la réconciliation entre le roi et le peuple. Depuis la Constitution de 1958, le drapeau bleu-blanc-rouge est officiellement le drapeau national (article 2). L'ordre des bandes est : bleu au mât, rouge flottant.

L'Édit de Nantes (13 avril 1598) accorde aux protestants (huguenots) la liberté de conscience et le droit de pratiquer leur religion dans des lieux définis, ainsi que des garanties politiques et militaires (places de sûreté). C'est le premier grand acte de tolérance religieuse en France, mettant fin aux guerres de Religion. Il sera révoqué en 1685 par Louis XIV (Édit de Fontainebleau), forçant des centaines de milliers de protestants à l'exil. Henri IV fut assassiné en 1610 par Ravaillac.

Concept clé : Test de conformité au RGPD. Le droit à l'oubli est une exigence fondamentale du RGPD. Les testeurs doivent valider que les systèmes AI gèrent correctement les demandes de suppression de données et que les informations personnelles sont réellement supprimées de l'ensemble des pipelines de traitement et des systèmes de stockage.

Réponse : Résultats souhaités par une partie prenante.
Explication : Les résultats (outcomes) sont les effets souhaités par une partie prenante. Ils diffèrent des livrables (outputs) : le résultat est la valeur créée pour le consommateur, pas le produit livré.

Réponse : Ajouter, modifier ou supprimer tout ce qui pourrait avoir un effet direct ou indirect sur les services.
Explication : En ITIL 4, un changement est l\'ajout, la modification ou la suppression de tout élément pouvant avoir un effet direct ou indirect sur les services, qu\'il soit matériel, logiciel ou organisationnel.

Réponse : L\'amélioration continue.
Explication : L\'amélioration continue est la responsabilité de chacun dans l\'organisation, pas seulement d\'une équipe dédiée. Chaque employé doit contribuer à l\'identification et à la mise en oeuvre des améliorations.

Réponse : Planifier.
Explication : L\'activité \'Planifier\' de la chaîne de valeur veille à ce que toutes les parties comprennent la vision, le statut actuel et les orientations de l\'organisation pour tous les produits et services.

Réponse : Offre de service.
Explication : Une offre de service est un ensemble de produits et services proposé à un consommateur. Le package (ordinateur + logiciels + licences + support) constitue une offre de service complète et packagée.

Réponse : Une demande d\'un utilisateur concernant quelque chose qui fait partie intégrante de la fourniture normale des services.
Explication : La gestion des demandes de services prend en charge les demandes standard faisant partie de la fourniture normale des services, comme une réinitialisation de mot de passe ou la commande d\'un équipement.

Réponse : La gestion des niveaux de service.
Explication : La gestion des niveaux de service définit et suit les métriques reflétant l\'expérience réelle du client, en établissant des accords sur la qualité du service fourni.

Réponse : Maximiser le nombre de changements informatiques réussis en vérifiant que les risques sont correctement évalués.
Explication : Maximiser les changements informatiques réussis en évaluant correctement les risques est un objectif central de la gestion des services, que le centre de services contribue à atteindre en coordonnant les demandes.

Réponse : Les principes directeurs peuvent guider une organisation en toutes circonstances.
Explication : Les principes directeurs ITIL 4 sont universels et s\'appliquent en toutes circonstances, à toute organisation et tout type de projet ou initiative, quelle que soit la situation.

Réponse : Chaque activité de la chaîne de valeur contribue à la chaîne de valeur en transformant des entrées spécifiques en livrables.
Explication : Chaque activité de la chaîne de valeur transforme des entrées en livrables spécifiques. Les activités ne sont pas séquentielles mais s\'interconnectent selon les besoins pour créer de la valeur.

• Dans Microsoft Stream, on peut contrôler :

  • Qui peut regarder une vidéo (exiger l’authentification)

  • Si la vidéo peut être téléchargée (désactiver le téléchargement)

• Cette configuration garantit que seuls les employés authentifiés peuvent accéder au contenu et qu’aucun téléchargement n’est possible.

• Les autres options ne répondent pas au besoin :

  • A : OneDrive sync ne concerne pas Stream.

  • B : Désactiver l’accès invité protège l’ensemble du tenant, mais ne gère pas les vidéos internes.

  • D : Une politique de rétention supprime des vidéos, ne contrôle pas l’accès ou le téléchargement.

• Identity Protection sign-in risk policy permet :

  • Détecter automatiquement les connexions suspectes ou compromises

  • Appliquer des actions automatisées comme blocage d’accès ou réinitialisation de mot de passe selon le niveau de risque configuré

• Les autres options ne remplissent pas ce rôle spécifique :

  • A : Conditional Access contrôle l’accès basé sur les conditions, mais ne déclenche pas automatiquement en fonction du risque de connexion.

  • B : Smart Lockout protège contre les tentatives de mot de passe incorrectes, mais pas contre les risques détectés par analyse des sign-ins.

  • C : Password Protection empêche l’utilisation de mots de passe faibles ou compromis, mais ne réagit pas automatiquement à un risque de connexion.

• Microsoft Secure Score se trouve dans le Microsoft 365 security center.

• Il permet de :

  • Voir le score actuel de sécurité de l’organisation

  • Accéder à des recommandations et actions pour améliorer la sécurité

• Les autres options ne donnent pas l’accès complet à Secure Score :

  • A : Azure AD Security montre certains paramètres, mais pas le score complet Microsoft 365.

  • C : Microsoft 365 admin center > Reports ne fournit pas le Secure Score détaillé.

  • D : Defender for Endpoint montre le posture de sécurité endpoints, pas le score global Microsoft 365.

• Rédiger avec Copilot permet de :

  • Analyser le message précédent

  • Générer automatiquement un email de réponse ou de refus poli

  • Accélérer la rédaction tout en restant professionnel

• Les autres options n’impliquent pas Copilot :

  • Réponse rapide → simplement un raccourci pour répondre rapidement

  • Focused Inbox → organise les emails, ne rédige rien

  • Schedule Send → planifie l’envoi, ne crée pas de contenu

    🎯 À retenir pour l’examen MS-900 :

    • Copilot dans Outlook = générer des brouillons intelligents basés sur le contexte du message

    • Tout ce qui est filtre, calendrier ou planification n’utilise pas Copilot.

• Customer Key permet à une organisation de :

  • Utiliser et gérer ses propres clés de chiffrement

  • Contrôler le cycle de vie des clés (création, rotation, révocation)

  • Répondre aux exigences réglementaires strictes (comme le RGPD)

Cela donne un contrôle renforcé sur le chiffrement des données Microsoft 365.

❌ Pourquoi les autres réponses sont incorrectes :

• A. Azure PIM → Gère les rôles administratifs temporaires, pas les clés de chiffrement.

• B. Customer Lockbox → Permet de contrôler l’accès des ingénieurs Microsoft aux données, mais ne gère pas les clés de chiffrement.

• C. Azure Information Protection → Sert à classifier et protéger les documents, mais ne donne pas le contrôle des clés de chiffrement au niveau service.

🎯 À retenir pour l’examen MS-900 :

• Customer Key = contrôle des clés de chiffrement par le client

• Customer Lockbox = contrôle de l’accès support Microsoft

• PIM = gestion des privilèges

• AIP = classification et protection des données

• Les abonnements Microsoft 365 peuvent être renouvelés automatiquement avec des méthodes de paiement directes comme :

  • Carte de crédit

  • Prélèvement bancaire

  • PayPal

• La facturation par invoice (facture) nécessite un paiement manuel pour chaque période, donc le renouvellement automatique n’est pas possible.

• Hybrid cloud combine :

  • Une infrastructure locale (on-premises) pour les données sensibles

  • Des ressources cloud pour les environnements de test et développement accessibles globalement

• Les autres modèles ne répondent pas au besoin spécifique :

  • A : Public cloud seul placerait toutes les données dans le cloud, ce qui n’est pas conforme.

  • C : Private cloud est entièrement dédié mais limité aux ressources internes.

  • D : Community cloud est partagé entre organisations ayant des besoins similaires, pas adapté pour ce scénario mixte.

L’application mobile OneDrive permet :

• D’accéder aux fichiers sur tablette et smartphone

• De rendre certains fichiers ou dossiers disponibles hors ligne

• De minimiser le stockage local, car seuls les fichiers sélectionnés sont téléchargés pour un accès hors ligne, le reste reste dans le cloud.

  🎯 À retenir pour l’examen MS-900 :

  • OneDrive mobile app + disponibilité hors ligne = accès aux fichiers sur appareils mobiles même sans connexion, avec stockage local limité.

  • Les autres solutions (navigateur, WebDAV, laptop) ne répondent pas au besoin mobile hors ligne.

• Device compliance policies dans Intune permettent de définir :

  • Les exigences pour qu’un appareil soit considéré conforme (ex : chiffrement, mot de passe, version OS minimale).

• Combinées avec Azure AD Conditional Access, elles permettent de bloquer l’accès aux services cloud (comme SharePoint Online) si l’appareil n’est pas conforme.

  🎯 À retenir pour l’examen MS-900 :

  • Conformité des appareils + Azure AD Conditional Access = accès sécurisé aux services cloud

  • Profils de configuration ou Autopilot = configuration d’appareils, pas contrôle d’accès basé sur la conformité.

• Dynamics 365 Sales est une solution SaaS conçue pour :

  • Gérer les prospects et clients

  • Suivre les opportunités commerciales

  • Centraliser les interactions avec les clients

• Elle ne nécessite pas de déploiement d’infrastructure, tout est géré dans le cloud par Microsoft.

  🎯 À retenir pour l’examen MS-900 :

  • Dynamics 365 Sales = SaaS pour la gestion commerciale complète

  • Azure SQL ou Functions = nécessitent une application personnalisée pour gérer les ventes.

  • Power BI = visualisation des données, pas gestion opérationnelle des ventes.

• Business Impact Analysis (BIA) classe les risques en fonction de :

  • L’impact financier, réglementaire et opérationnel

  • La criticité des actifs pour le fonctionnement de l’organisation

• Dans cet exemple :

  • La divulgation des EHR entraîne des amendes HIPAA jusqu’à 2M$ → impact financier élevé et conformité critique

  • Une simple interruption n’a pas le même impact → faible perte opérationnelle

• Donc, pour la menace de divulgation, l’impact est élevé (High Business Impact)

Pour assurer la conformité de toutes les ressources Azure avec le CIS Benchmark :

• Azure Policy permet de définir et appliquer des règles sur les ressources Azure.

• Une initiative (initiative definition) regroupe plusieurs policies liées à un objectif, ici : le CIS Benchmark.

• Déployer cette initiative au niveau du Management Group :

  • Assure que toutes les souscriptions enfants héritent des règles

  • Centralise la gouvernance

• Cette approche est scalable et alignée avec les Azure Landing Zones et le Cloud Adoption Framework (CAF).

• MCAS / Defender for Cloud Apps :

  • Fournit visibilité complète sur les applications SaaS connectées à Entra ID

  • Identifie les applications non approuvées ou risquées

  • Permet de :

    • Appliquer des politiques d’accès

    • Restreindre ou contrôler l’usage des applications

    • Surveiller les activités et détecter les risques liés aux utilisateurs et aux sessions

• C’est la solution Microsoft recommandée pour le Shadow IT et la gouvernance SaaS.

Les comptes break-glass sont des comptes d’accès d’urgence utilisés uniquement lorsque :

• L’authentification normale est indisponible

• Les mécanismes MFA ou Conditional Access sont défaillants

• L’environnement est compromis (ex. attaque ransomware)

Les bonnes pratiques Microsoft recommandent :

• 🔐 Identifiants stockés dans un coffre-fort sécurisé hors ligne

• 🔄 Validation régulière (tests d’accès contrôlés)

• 🚨 Surveillance renforcée

• 🔒 Utilisation uniquement en cas d’urgence

Pourquoi hors ligne ?

En cas de ransomware ou compromission massive :

• Les systèmes en ligne (y compris SIEM) peuvent être impactés.

• Le coffre-fort hors ligne réduit le risque de compromission.

L’exigence clé est :
✔ Reporting cohérent
✔ Multi-cloud (Azure, AWS, GCP)
✔ Outil déjà en place : Microsoft Sentinel

Microsoft Sentinel est un SIEM/SOAR cloud-native capable d’ingérer des logs provenant de multiples environnements (Azure, AWS, GCP, on-premises).

En configurant :

• L’ingestion des journaux d’audit de sauvegarde (backup audit logs)

• Azure Monitor comme couche de collecte

• Des workbooks / dashboards unifiés dans Sentinel

👉 L’entreprise obtient une vision centralisée et normalisée de la conformité des sauvegardes sur tous les clouds, sans migration complexe.

Cela correspond parfaitement à une approche Zero Trust et multi-cloud moderne, attendue au niveau SC-100.

• Purview Data Loss Prevention (DLP) permet :

  • De définir des politiques de protection des données basées sur le type de données sensibles (PII, informations financières, etc.)

  • D’utiliser des modèles réglementaires prédéfinis (Regulatory Templates) pour se conformer aux exigences locales :

    • GDPR → UE

    • CCPA → Californie

    • HIPAA → santé aux États-Unis, etc.

• Ces templates permettent de standardiser la classification et la protection des données selon la juridiction, tout en appliquant des règles de prévention de la perte de données adaptées à chaque région.

Pour respecter PCI DSS (chiffrement des données au repos et en transit) :

• Azure Policy permet de :

  • Définir des règles obligatoires pour le chiffrement au repos (ex. Storage Service Encryption, SQL TDE)

  • Définir des règles pour le chiffrement en transit (ex. TLS obligatoire pour les services)

  • Appliquer ces règles à toutes les ressources Azure via des initiatives intégrées ou personnalisées

  • Auditer la conformité et générer des rapports

• Initiatives intégrées : Microsoft propose des initiatives prêtes à l’emploi pour le chiffrement et la sécurité des données, alignées avec PCI DSS, NIST et autres standards.

Microsoft Defender for Cloud inclut un tableau de bord de conformité réglementaire qui permet :

• D’évaluer la conformité par rapport à des standards reconnus (comme le CIS Microsoft Azure Foundations Benchmark).

• D’afficher les contrôles conformes et non conformes.

• De fournir des recommandations de remédiation détaillées pour chaque contrôle non conforme.

• D’automatiser certaines corrections via Azure Policy.

Cela correspond exactement au besoin :
👉 valider la conformité ET obtenir les actions correctives associées.

L’organisation demande :

• Visibilité centralisée et monitoring sur tous les environnements

• Alertes automatisées pour les ressources non conformes

Dans le Cloud Adoption Framework (CAF) pour Azure :

• Le domaine Management se concentre sur la supervision opérationnelle, le monitoring, la collecte de logs et la configuration d’alertes automatisées.

• Bien que la conformité et les standards fassent partie de la gouvernance, cette exigence met l’accent sur la gestion opérationnelle et la surveillance continue.

✅ Donc, le domaine CAF approprié pour cette exigence est : Management.

La fenêtre d'ingestion des journaux Stackdriver permet de désactiver des sources de journaux spécifiques (comme les containers GKE) en quelques clics, sans recréer le cluster. C'est la solution la plus rapide et sans interruption de service.

Deployment Manager est l'outil GCP d'Infrastructure as Code qui permet de définir des ressources GCP dans des fichiers de configuration YAML/JSON/Python et de les provisionner dynamiquement. C'est la solution recommandée par Google pour ce cas d'usage.

La création d'un compte de service est une opération administrative qui apparaît dans le journal d'activité sous la catégorie Configuration. Le filtre sur le type de ressource Compte de service permet de retrouver précisément l'événement de création.

OS Login avec enable-oslogin=true + rôle compute.osLogin permet un accès SSH granulaire par instance, lié aux comptes Google. C'est plus sécurisé que la gestion manuelle de clés SSH : accès révocable individuellement et auditable.

La bonne pratique est que le partenaire crée un compte de service dans son propre projet (il le contrôle) et que vous lui accordez l'accès au dataset BigQuery dans votre projet. Vous gardez le contrôle de qui accède à vos données.

Cloud Memorystore for Redis est un service de cache en mémoire géré qui répond exactement au besoin : cache 30 Go + 2 Go overhead = 32 Go. Il est nettement moins cher qu'une VM n1-highmem-32 (32 Go RAM) car il ne facture que la capacité mémoire, sans vCPU inutilisés — le proxy consommant quasi-zéro CPU.

La bonne pratique est d'ajouter un tag réseau à l'instance puis de créer une règle de pare-feu ingress qui autorise UDP 636 sur ce tag. Simplement ajouter un tag sans règle de pare-feu n'ouvre aucun port. Les routes ne contrôlent pas les ports.

Les API GCP doivent être explicitement activées avant utilisation. L'activation automatique n'existe pas pour les comptes de service. La bonne pratique est d'activer l'API Cloud Pub/Sub manuellement dans la console GCP avant de déployer l'application.

kubectl config use-context bascule vers le contexte de la configuration inactive, puis kubectl config view affiche les détails du cluster GKE associé, sans avoir à activer la configuration gcloud globalement.

Le rôle roles/monitoring.viewer permet de surveiller les métriques et les alertes sans accéder aux données des tables Spanner. Les rôles databaseUser et databaseReader donnent accès aux données, ce qui est interdit ici.

Correct answers: Options 1, 2, and 4. Investigate scaling frameworks for dependency management (option 1). Enable cross-training and skill development within teams (option 2). Reorder the Product Backlog to optimize Nicole's utilization across sprints (option 4). These honor self-organization and adaptability. Options 0, 3, and 5 are either temporary band-aids or externalize the problem rather than helping the Scrum Teams manage dependencies through backlog prioritization.

The Scrum Master coordinates by removing impediments and facilitating inspection and adaptation, not through direct task assignment or conflict escalation to management. This servant-leadership approach enables teams to self-organize and solve problems. The Scrum Master coaches teams on dependencies and collaboration rather than commanding coordination, respecting Scrum's self-organizing values.

Doing your best and supporting teammates embodies the Scrum value of Commitment—pledging to achieve the Sprint Goal and support the team. While this may contribute to performance, the question asks which value it demonstrates most directly, which is commitment to excellence and team success.

Option A is FALSE because the Sprint Goal is not a forecast that changes during the Sprint. While the Development Team may discover better implementation approaches, the Sprint Goal itself remains stable as a commitment. The Scrum Guide states the Goal guides the team throughout the Sprint and should only change if circumstances fundamentally shift the business objective.

All of the above. Trust forms the foundation of all five Scrum values: Respect (trust in team members' capabilities), Courage (trust to take risks), Commitment (trust in goals), Openness (trust to communicate honestly), and Focus (trust in priorities). Without trust, none of these values can flourish.

All three factors impact Sprint outcomes. The Scrum Guide emphasizes that Sprint results depend on team composition, skills, working relationships, technology complexity, and requirement clarity. These are interdependent variables that collectively determine what a team can accomplish in a given Sprint.

Sponsor dissatisfaction stems from inadequate stakeholder engagement at Sprint Reviews, poor communication from the Product Owner, and lack of transparency about actual progress and changes. The Daily Scrum is not designed for stakeholder tracking, and rigid adherence to an initial project plan contradicts Scrum's empirical, iterative nature. These factors undermine inspect-and-adapt cycles essential to Scrum.

Correct answer: Option 4. This approach, called backlog refinement, involves the Development Team helping clarify and estimate upcoming items during the Sprint. This ensures items are actionable and well-understood for Sprint Planning. Option 1 segregates knowledge from the team, Option 2 creates a false separation of concerns, and Option 3 violates the principle that the Development Team should focus on committed Sprint work first.

Correct answers: Options 0 and 1. The Scrum Master should first observe whether the issue surfaces in the Retrospective, creating a safe space for discussion (option 0), and facilitate full-team conflict resolution (option 1). Both approaches respect the team's autonomy and psychology. Option 2 (deference to seniority) stifles healthy debate. Option 4 (team building without addressing substance) ignores the real issue. Private coaching (option 3) alone skips collective learning.

Correct: Options 1 and 2 - Scrum enables empirical budgeting by delivering working increments each Sprint, allowing stakeholders to measure value against investment and adjust funding based on actual outcomes. Option 2 shows how releases span multiple Sprints with continuous value delivery. Options 3 and 4 are incorrect because operational costs exist and budgets are often necessary—Scrum just changes how they're managed.

Réponse : 63.
Explication : Le Numéro de Priorité de Risque (NPR) est calculé en multipliant la probabilité d\'occurrence, la gravité de l\'impact et la détectabilité. Pour l\'élément de risque 2, ce calcul donne 63.

Réponse : Un aperçu détaillé de l\'approche de test basée sur les risques utilisée pour assurer la réalisation des critères de sortie..
Explication : D est correct car les cadres supérieurs non-spécialistes ont besoin d\'informations concises et orientées résultats, non d\'une exposition détaillée opérationnelle de l\'approche basée sur les risques. Un rapport doit prioriser l\'état versus objectifs, risques clés et atténuations, tendances et actions managériales recommandées pour décisions efficaces.

Réponse : Créer une estimation basée sur la technique d\'analyse de points de fonction et l\'analyse de points de test.
Explication : La réponse A est correcte car l\'analyse de points de fonction combinée à l\'analyse de points de test produit une estimation précoce basée sur la taille, spécifique aux tests, indépendante de la disponibilité du code source. L\'APF fournit une métrique de taille fonctionnelle, l\'APT traduit cette taille en effort de test en appliquant les facteurs de testabilité et de qualité.

Réponse : Prévoir un environnement de test de secours en cas de défaillance de l\'environnement existant pendant les tests.
Explication : C est correct car prévoir un environnement de test de secours est une mesure d\'atténuation proactive et au niveau du projet qui réduit la probabilité et l\'impact d\'une défaillance d\'environnement. L\'atténuation des risques projet consiste en actions anticipées et délibérées réduisant l\'exposition aux menaces identifiées. Un environnement redondant est une mesure classique car une défaillance d\'environnement est un point de défaillance unique fréquent pouvant arrêter complètement les tests et augmenter les coûts.

Réponse : Les préoccupations concernant l\'interface utilisateur augmentent la probabilité d\'un risque dans ce domaine et augmentent la quantité d\'effort de test nécessaire pour l\'interface utilisateur, limitant ainsi l\'effort de test disponible pour d\'autres parties de l\'outil de gestion de test..
Explication : L\'option B est correcte car elle modifie explicitement à la fois la probabilité évaluée et l\'impact basé sur les ressources (couverture de test), ce qui altère l\'exposition au risque produit et force une réévaluation des priorités. Le risque augmente (probabilité × conséquence) avec la réallocation des ressources.

Réponse : Les métriques enregistrées lors du test de l\'outil de capture-rejouer..
Explication : C est correct car les métriques mesurées de l\'outil de capture-rejouer fournissent les données empiriques directes (taux d\'exécution, temps de création et maintenance des scripts, taux de faux positifs/négatifs, surcharge de configuration/nettoyage) nécessaires pour convertir les tâches de test spécifiées en estimations temporelles fiables et réduire l\'incertitude.

Réponse : TMMi ne peut être utilisé qu\'avec le modèle V traditionnel, tandis que TPI peut être utilisé avec tous les types de cycles de vie logiciels..
Explication : D est incorrect car TMMi n\'est pas limité au modèle V ; il est indépendant du cycle de vie et applicable aux modèles V, itératifs et agiles. TPI l\'est aussi, contredisant l\'affirmation d\'une dichotomie entre les deux approches.

Réponse : Portabilité.
Explication : C est correct car la portabilité est un attribut non-fonctionnel de faible priorité pour un système de surveillance médicale critique pour la sécurité, normalement lié à des piles matériel/système d\'exploitation certifiées. La disponibilité, la sécurité et la fiabilité ont un impact direct sur le risque patient et les preuves réglementaires.

Réponse : En fournissant un atelier sur les techniques de conception de tests.
Explication : Un atelier sur les techniques de conception de tests remédie directement à la faible efficacité de détection des défauts en dotant les testeurs de méthodes systématiques et répétables pour dériver des cas de test de meilleure qualité. Les techniques pratiques (partitionnement des équivalences, analyse des valeurs limites, tables de décision, transitions d\'état, techniques d\'appairage) améliorent la couverture et augmentent la probabilité de détection des défauts.

Réponse : Les critères d\'entrée et de sortie pour chaque phase de test / Les techniques de conception de test à utiliser.
Explication : AC est correct car une stratégie de test défendable prescrit explicitement les techniques de conception de test pour atteindre la couverture et l\'atténuation des risques (C) et les critères d\'entrée/sortie qui gouvernent la progression des phases et les barrières qualité (A). Une stratégie de test robuste est un cadre décisionnel de haut niveau qui détermine comment les objectifs de test seront atteints et comment les risques informent la priorisation et la portée.

A. Submit all documents to the Batch API with custom ids for tracking. When results arrive, immediately process urgent documents and trigger delayed alerts for exceptions. Incorrect. Batch processing introduces delays that can exceed the 30-minute requirement, making it unsuitable for urgent reports. B. Submit all documents to the real-time Messages API to ensure consistent processing latency across document types. Incorrect. This meets latency needs but is unnecessarily expensive for standard reports that don't require real-time processing. C. Queue all documents and submit hourly batches, flagging urgent documents for expedited handling when batch results return. Incorrect. Hourly batching further increases delay and cannot meet urgent processing requirements. D. Route standard reports to the Batch API for 50% cost savings, and route urgent exception reports to the real-time Messages API. Correct. This balances cost efficiency and latency requirements, ensuring urgent reports are processed quickly while optimizing cost for non-urgent ones.

A. Enable the document analysis subagent to spawn its own specialized subagents dynamically when it encounters cases with many citations. Incorrect. This decentralizes orchestration and makes the system harder to monitor and debug. The coordinator loses visibility into dynamically spawned agents. B. Implement a message queue where precedent analysis tasks are processed asynchronously by a pool of worker agents. Incorrect. While this improves scalability, it introduces infrastructure complexity and reduces transparency for debugging at the coordinator level. C. Create a recursive agent hierarchy where analysis agents subdivide work among child agents until reaching single-precedent granularity. Incorrect. This further complicates the architecture and makes tracing execution paths difficult, reducing observability and control. D. Have the coordinator spawn parallel document analysis subagents, each handling a subset of precedents, then aggregate results before synthesis. Correct. This enables parallel processing to reduce latency while keeping orchestration centralized. The coordinator retains full visibility, making monitoring and debugging easier.

A. Claude's memory retention is limited to two conversational turns by default, requiring explicit configuration to extend it. Incorrect. There is no fixed "two-turn memory limit" like this; context is determined by what the application sends, not a built-in short memory window. B. The prompt lacks instructions telling Claude to remember information across multiple exchanges. Incorrect. System prompts don't control memory persistence. The model does not "forget" within context unless information is missing from input. C. The verification tool is clearing the agent's internal state after each successful validation step. Incorrect. Tools do not automatically reset conversational context unless explicitly designed to do so--and that would be an application-level bug, not the most likely general cause. D. The conversation history isn't being passed in subsequent API requests. Correct. This is the most likely cause. The model is stateless, so if prior messages aren't included in each request, it behaves as if earlier verification steps never happened--leading to repeated questions like asking for the name again.

A. Verify that 97% accuracy meets requirements for all downstream systems that consume the extracted data. Incorrect. Important, but it doesn't ensure the confidence signal is reliable across different cases--it only checks overall acceptability. B. Analyze accuracy by document type and field to verify high-confidence extractions perform consistently across all segments, not just in aggregate. Correct. Aggregate accuracy can hide weak spots. You need to ensure confidence >90% is trustworthy across all segments, otherwise automation may introduce systematic errors. C. Compare accuracy at different confidence thresholds (85%, 90%, 95%) to find the optimal cutoff that maximizes automation while minimizing errors. Incorrect. Useful for tuning, but only after confirming the confidence signal is consistent and reliable across segments. D. Run a two-week pilot routing 25% of high-confidence extractions directly to downstream systems and monitor error reports. Incorrect. A pilot is valuable, but deploying without validating segment-level reliability first introduces avoidable risk.

B. The order details are added to the conversation and the model reasons about which action to take. Correct. In an agentic loop, tool results (like "purchased 45 days ago") are fed back into the model's context, and the model re-evaluates the situation dynamically. It then decides whether to proceed with process_refund, escalate to a human, or take another action based on policy and the updated information. Why the others are not correct: A. Fixed tool sequence planned at the start Incorrect Agentic systems are not static workflows; they adapt after each observation. C. Pre-configured decision tree Incorrect This is rule-based automation, not LLM-driven reasoning. D. Orchestration layer automatically routes next tool call Incorrect That removes the model's reasoning role and turns it into deterministic routing.

A. The coordinator agent receives the web search agent's output and includes relevant findings in the prompt when invoking the document analysis agent. Correct. This follows the standard orchestration pattern where the coordinator manages all data flow, explicitly passing outputs between subagents. B. The agents communicate through an event-driven message queue, with the document analysis agent subscribing to web search completion events. Incorrect. This introduces unnecessary infrastructure complexity and is not the typical agent orchestration model. C. The web search agent directly invokes the document analysis agent, using the discovered sources as parameters. Incorrect. Subagents should not invoke each other directly; this breaks centralized control and observability. D. Both agents access a shared memory store where the web search agent writes findings and the document analysis agent reads them. Incorrect. While possible in advanced systems, this is not the standard or simplest approach; it adds complexity without clear necessity in typical pipelines.

A. Provide the subagent with tool definitions that allow it to request outputs from other subagents via callbacks. Incorrect. This introduces unnecessary coupling and complexity. Subagents shouldn't need to actively fetch data from others. B. Include the complete findings from both subagents directly in the synthesis subagent's prompt. Incorrect. While simple, this approach does not scale well for large outputs and can exceed context limits, reducing efficiency. C. Pass reference identifiers and configure the subagent with read access to a shared memory store where other subagents deposited their results. Correct. This is the most scalable and production-ready approach. It preserves information fidelity while avoiding context bloat, allowing the synthesis agent to retrieve exactly what it needs. D. Spawn the subagent with only a brief task description, relying on automatic context inheritance from the coordinator. Incorrect. There is no automatic context inheritance--without explicit data access, the synthesis agent cannot function properly.

A. Log the error server-side and return an empty result to avoid confusing the model Incorrect. This hides critical failure information, making it impossible for the agent to distinguish "no data" from "system failure." B. Throw an exception from the tool handler so the agent framework can catch and log it Incorrect. Exceptions are useful internally, but the agent still needs a structured tool response; raw exceptions don't reliably propagate useful context to the model. C. Return the error message in the tool result content with the isError flag set to true Correct. This is the proper MCP pattern: the tool explicitly signals failure using isError: true, while still providing a readable error message so the agent can decide whether to retry, escalate, or inform the user. D. Return a success response with a "status" field indicating the error type Incorrect. This is misleading because it treats failures as successful responses, which confuses downstream reasoning and tool orchestration. Thank you Thank you for being so interested in the If you have any feedback or thoughts on the bumps, I would love to hear them. Your insights can help me improve our writing and better understand our readers. Best of Luck You have worked hard to get to this point, and you are well-prepared for the exam Keep your head up, stay positive, and go show that exam what you're made of! Feedback More Papers Total: 85 Questions Link:

A. Move all tool responses to a vector database with semantic indexing, retrieving relevant portions as the conversation continues Incorrect. This adds unnecessary infrastructure complexity for a short-lived conversational context problem. B. Extract only return-relevant fields (items, purchase date, return window, status) from each existing order response, removing verbose details Correct. This preserves the information needed for the current task while significantly reducing context bloat before additional lookups. C. Have the model generate a natural language summary of each order's key details, replacing structured responses with prose descriptions Incorrect. Natural language summaries are less compact and may omit structured details needed for accurate return handling. D. Proceed with additional lookups without modifying the existing tool output context Incorrect. This worsens context crowding and increases the risk of degraded performance.

A. Choosing from 18 tools instead of 4­5 relevant ones increases decision complexity beyond reliable selection thresholds. Correct. This is the core issue: as the number of available tools grows, especially across multiple unrelated domains, the model's tool selection accuracy degrades due to increased choice entropy and decision load. Even if each tool is well-described, having too many options in the same context makes it harder for the model to reliably pick the correct one, leading to cross-role tool misuse. Why the others are not correct: B. Role-description conflict Incorrect Role prompts influence behavior, but they don't inherently break tool selection when tools are available. C. Context window usage Incorrect There's no indication of truncation or missing tool definitions--this is a selection problem, not a capacity problem. D. Coordinator tracking issue Incorrect The failure happens at the subagent decision level, not because the coordinator lacks awareness of tools.