Ne découvrez pas l'examen
le jour J

Réponse : AWS Cloud Development Kit (AWS CDK). Explication : AWS CDK est un framework open-source de développement logiciel pour définir l'infrastructure cloud en utilisant des langages de programmation familiers (TypeScript, Python, Java, etc.). Il se synthétise en modèles CloudFormation pour le déploiement.

Réponse : Pas besoin d’estimer la capacité / Passage des dépenses d’investissement à des dépenses opérationnelles.
Explication : AWS évite le surdimensionnement initial et permet un paiement à l’usage, transformant les investissements en coûts d’exploitation variables.

Réponse : Dedicated Hosts.
Explication : Les Dedicated Hosts sont conçus pour la conformité logicielle et le BYOL, permettant la gestion des licences personnalisées.

Réponse : Infrastructure Event Management.
Explication : L’option Infrastructure Event Management offre des conseils spécialisés lors de pics d’activité ou de lancement importants.

Réponse : Virtual Private Cloud.
Explication : Un VPC permet d’isoler totalement la configuration réseau (IP, sous-réseaux, routes, ACL) pour chaque projet.

Réponse : Amazon EC2 / AWS Lambda.
Explication : Amazon EC2 et AWS Lambda offrent des ressources de calcul : EC2 pour des serveurs virtualisés, Lambda pour du serverless à la demande.

Réponse : Amazon S3 Intelligent-Tiering.
Explication : S3 Intelligent-Tiering adapte automatiquement la classe de stockage en fonction de la fréquence d’accès pour optimiser les coûts.

Réponse : Convertible RI.
Explication : Seules les Reserved Instances ‘Convertible’ permettent l’échange pour d’autres types ou tailles d’instances EC2 durant la période de réservation.

Réponse : AWS Cost & Usage Reports.
Explication : Les rapports Cost & Usage détaillent toute l’activité de facturation par service, y compris EC2, sur la période désirée.

Réponse : Les Edge Locations ne servent pas à répartir le trafic sur plusieurs instances pour réduire la latence.
Explication : Les Edge Locations servent à distribuer du contenu avec faible latence et à améliorer l’expérience utilisateur, mais ne répartissent pas directement le trafic entre instances.

RAG (Retrieval Augmented Generation) : technique qui récupère dynamiquement les passages pertinents des PDFs avant génération, sans charger l'intégralité des documents. Contrairement au fine-tuning coûteux ou au zero-shot imprécis, RAG optimise coût/performance en enrichissant chaque requête avec contexte ciblé via Knowledge Base Bedrock.

Instances EC2 Trn (Trainium) : accélérateurs spécialisés conçus par AWS pour l'entraînement de modèles de deep learning. Contrairement aux GPU P (polyvalents) ou G (graphique), Trainium offre un rendement énergétique supérieur grâce à son architecture dédiée au training, réduisant significativement coûts et empreinte carbone.

AWS PrivateLink (VPC Endpoint) : crée une interface réseau privée (ENI) dans le VPC pour accéder à Bedrock sans traverser Internet, respectant les contraintes réglementaires. Internet Gateway et NAT Gateway exposent le trafic publiquement. Transit Gateway ne sécurise pas l'accès aux services AWS.

Métrique d'erreur vs Classification : MSE (Mean Squared Error) mesure la distance numérique entre valeurs prédites et réelles, idéale pour la régression. En classification d'images, les étiquettes sont catégoriques (chat/chien), pas numériques continues. Les métriques appropriées sont Accuracy, Precision, Recall ou F1-score qui évaluent la correctness des prédictions catégoriques.

Extraction documentaire hybride : Textract excelle dans l'extraction de données structurées et texte OCR précis. GenAI via Bedrock post-traite pour validation logique, corretion d'erreurs OCR et enrichissement sémantique. Combinaison optimale coût/performance.

Température et stabilité des LLM : la température contrôle le caractère aléatoire de la génération. Une température basse (< 0.5) rend le modèle déterministe en favorisant les tokens les plus probables, idéal pour des tâches précises comme la classification de sentiments. À l'inverse, augmenter la température ou Top-K amplifie la diversité et l'imprévisibilité, inadapté ici. Les consignes systèmes structurent le comportement.

Capacités multimodales : Les modèles fondations récents traitent images ET texte simultanément. Bedrock offre accès à Claude 3 Vision et autres modèles capables de fusionner données visuelles et textuelles pour générer contenu cohérent.

Fenêtre de contexte vs température : La fenêtre de contexte définit le nombre maximum de tokens acceptés (input + output), limitant physiquement la taille du prompt. La température contrôle la variabilité des réponses (0=déterministe, 1=créatif), sans affecter la longueur. Confusion courante : croire que la température restreint le prompt.

Un modèle de base (ex. : Claude, Titan) est pré-entraîné sur des données générales et peut répondre à de nombreuses questions sans adaptation. Un modèle fine-tuné a été réentraîné sur des données spécifiques à un domaine ou une tâche, ce qui modifie ses poids pour optimiser ses performances dans ce contexte particulier (ex. : jargon médical, style de réponse spécifique). Le fine-tuning améliore la précision domain-specific mais peut réduire les capacités générales (catastrophic forgetting).

Amazon Textract : service spécialisé dans l'extraction de données structurées (champs, tableaux, paires clé/valeur) depuis documents PDF, images scannées et formulaires via OCR intelligent. Contrairement à Rekognition (détection d'objets visuels) et Comprehend (analyse NLP de texte brut), Textract préserve la structure spatiale des documents, essentielle pour traiter formulaires et factures.

Answer: False.
Explanation: Multiple Scrum Teams may have different Sprint start dates. While synchronized Sprints can simplify integration, Scrum does not require it. Teams should choose start dates that work best for their coordination needs.

Answer: Enough so the team can create its best forecast and start the first days.
Explanation: Sprint Planning does not need to fully decompose all Sprint Backlog items. The team needs enough detail to start work confidently and adapt the plan as they learn more during the Sprint.

Daily Scrum Duration: 15 minutes is the timeboxed length for this daily event. This fixed duration promotes focus and efficiency, preventing lengthy discussions. Developers synchronize on progress and impediments within this constraint, ensuring regular communication without disrupting workflow.

Answer: A framework within which complex products in complex environments are developed.
Explanation: Scrum is specifically designed for complex work where requirements and solutions emerge through collaboration. It is a lightweight framework, not a full methodology, prescription, or process for all types of work.

Answer: An increment of working software that is done.
Explanation: The Development Team's deliverable is a Done Increment — working software that meets the Definition of Done. Documentation, partial features, or test plans alone are not valid Sprint deliverables.

Answer: To inspect the product Increment with stakeholders and collect feedback on next steps.
Explanation: The Sprint Review is a collaborative working session where the Scrum Team and stakeholders inspect the Increment and adapt the Product Backlog based on what was learned.

Respect means Scrum Team members respect each other as capable, independent people. A Scrum Master who trusts Developers to manage their own work demonstrates Respect for their skills and autonomy. The Scrum Master's role is to enable, not control. Micromanagement violates the Respect value and undermines self-management, which is a core characteristic of Scrum Teams.

The Sprint Retrospective is a dedicated event for the Scrum Team to inspect their own processes and teamwork, not the product itself or stakeholder feedback. According to the Scrum Guide 2020, its purpose is to identify what went well, what didn't, and commit to actionable improvements for future Sprints. The other options describe activities from different Scrum events: the Sprint Review (stakeholder feedback), Sprint Planning (upcoming work), and Product Backlog refinement (backlog updates).

Answer: The event can take no more than a maximum amount of time.
Explanation: A time-box is a fixed maximum duration for a Scrum event. The event should end when its purpose is achieved, even if the maximum time has not been reached. It cannot be extended beyond the maximum.

Answer: Lost inspection/adaptation opportunities; impediments resolved slower; Sprint plan becomes inaccurate.
Explanation: The Daily Scrum's daily cadence is essential for rapid adaptation. Less frequent meetings mean the team cannot quickly detect deviations, address blockers, or keep the Sprint plan current with reality.

Answer: False.
Explanation: The Sprint Review's output adapts the Product Backlog. The Sprint Backlog belongs to the current Sprint which may already be over.

Key concept: Sprint Goal vs. Fixed Scope. In Scrum, Developers commit to achieving the Sprint Goal—a shared objective that provides flexibility—rather than a fixed, unchangeable list of Product Backlog Items. During the Sprint, the team may negotiate scope adjustments with the Product Owner to better serve the Sprint Goal while responding to new insights or impediments. This adaptive approach distinguishes Scrum from traditional waterfall methods. The Sprint Goal remains constant; the items supporting it may evolve, ensuring the team delivers maximum value while maintaining focus and accountability.

Answer: As soon as identified, to achieve the Sprint Goal.
Explanation: The Sprint Backlog evolves during the Sprint as Developers discover what is needed to achieve the Sprint Goal.

Answer: True.
Explanation: Collaboration with stakeholders is essential to the PO role for understanding needs and aligning the backlog with business value.

Product Backlog Ordering: The PO is solely accountable for ordering items to maximize value delivery and team flow. This prioritization reflects stakeholder needs, product strategy, and dependencies—not technical concerns or team preferences. Ordering differs from estimation (team's role) and sprint planning (Scrum Team's role).

Answer: Tools and techniques.
Explanation: Valid ordering criteria include: business value, risk, dependencies, learning value, and cost of delay. Tools and techniques used for delivery are implementation details, not valid Product Backlog ordering factors.

Key concept: Product Owner accountability for stakeholder engagement. The Product Owner is explicitly responsible for inviting stakeholders to the Sprint Review because this event is a key inspection and adaptation opportunity for gathering feedback on the product increment. The Product Owner maintains the stakeholder relationships and determines who should attend based on relevance to the product, business value, and feedback needs. While the Scrum Master facilitates the event and Developers present their work, neither holds accountability for stakeholder invitation. Managers are not part of the Scrum framework and have no formal role in this decision.

Openness and Respect are the correct values because transparent Product Backlog decisions demonstrate openness by sharing information clearly with the team and stakeholders, and respect by valuing their input and understanding of priorities. While Commitment and Focus are important Scrum values, they are not directly supported by transparency itself—transparency is the foundation that enables these values to flourish. Courage alone does not capture the collaborative nature of transparent decision-making.

Key concept: Role separation and self-organization in Scrum. The Product Owner is accountable for the "what" and "why"—defining product goals, prioritizing the backlog, and clarifying business value. The Developers are accountable for the "how"—deciding technical approaches, architecture, and implementation details. The PO dictating technical solutions violates the Scrum principle of Developer self-organization, undermines their expertise, and creates dependencies that reduce agility. While the PO may request certain technical considerations for business reasons, the Developers retain autonomy to choose the best technical path forward. This separation ensures that business stakeholders and technical teams each focus on their domain of authority, leading to better decisions and higher-quality outcomes.

Answer: Assigning tasks to Developers, defining technical architecture.
Explanation: The PO focuses on what and why. How the work is done technically belongs to the Developers.

Gestion des risques réalisés et plans de contingence : Un risque réalisé est un événement d'incertitude qui s'est matérialisé et impacte le projet. Selon le PMBOK 7e édition, la gestion des risques inclut l'identification des risques potentiels lors de la planification, et la définition de plans de contingence (réponses préplanifiées). Lorsque la panne d'outil critique survient, c'est précisément le moment de déclencher le plan de contingence préalablement documenté. Cette approche proactive demontre une maîtrise disciplinée du projet : le chef de projet n'improvise pas, mais exécute une stratégie de réponse anticipée. Mettre en œuvre ce plan stabilise le projet et limite les dégâts. Parallèlement, informer les parties prenantes est obligatoire pour maintenir la transparence, gérer les attentes et préserver la confiance. Les autres options sont contre-productives : ignorer le problème (option 2) aggrave le retard sans le résoudre; accuser l'équipe (option 3) est une réaction émotionnelle qui ne corrige rien; arrêter le projet (option 4) est disproportionné sans exploration d'alternatives. La bonne réponse aligne donc planification des risques, exécution du plan d'action et communication stakeholder, trois

Valeurs du Manifeste Agile : Le Manifeste Agile énonce 4 valeurs fondamentales, dont la première : valoriser les individus et interactions plutôt que les processus et outils. Cette priorité aux personnes reflète la flexibilité agile versus l'approche rigide du waterfall. Les autres options reflètent des malentendus : processus/outils (inverse), plan détaillé (waterfall), formalisme contractuel (non-agile).

Un tableau de bord axé valeur met l’accent sur bénéfices, adoption et jalons de valeur, pas sur des métriques d’activité peu corrélées.

Indices de performance (CPI et SPI) : CPI = 1,2 signifie 20% d'économies de coûts (>1 = en avance), SPI = 0,9 indique 10% de retard calendaire (<1 = en retard). Le projet maîtrise ses dépenses mais accumule des délais, nécessitant une accélération sans surcharge budgétaire.

WIP (Work In Progress) : Kanban limite le nombre de tâches simultanées pour optimiser le flux. Cette contrainte réduit les changements de contexte et améliore la qualité. Contrairement à Scrum (sprints fixes), Kanban est fluide. Pas de Product Owner obligatoire ni de gel du backlog.

Réponse : Revoir le plan de réalisation des bénéfices avec les parties prenantes. C’est l’outil qui décrit la valeur attendue.

Concept clé - Suivi des risques bidimensionnel : Le suivi des risques est un processus continu qui englobe l'identification, l'analyse et la réaction face à TOUS les types de risques - menaces (événements négatifs) ET opportunités (événements positifs). Selon le PMBOK 7e édition, la gestion des risques n'est pas un exercice défensif limitant : elle reconnaît que les risques peuvent créer de la valeur. Un chef de projet doit surveiller activement tant les menaces (retards, surcoûts, défauts) que les opportunités (optimisations de coût, accélération des délais, amélioration de la qualité). Cette vigilance bidirectionnelle permet une prise de décision stratégique et une réallocation proactive des ressources. Pourquoi les autres options sont fausses : la deuxième ignore les opportunités et limite le suivi au démarrage (processus statique erroné) ; la troisième dénie la responsabilité partagée du chef de projet en gestion des risques ; la quatrième restreint le suivi à des moments ponctuels, alors qu'il doit être continu tout au long du projet, en intégration avec les revues d'avancement.

Gestion des attentes contradictoires via concertation structurée : En gestion de projet (PMBOK 7e édition), les parties prenantes possèdent des intérêts divergents et des objectifs souvent incompatibles. La première étape consiste à organiser une concertation structurée impliquant les stakeholders clés, le sponsor et la gouvernance du projet. Cette démarche permet de : (1) clarifier explicitement chaque attente sans jugement, (2) documenter les priorités et les contraintes associées, (3) identifier les zones de chevauchement et de conflit, (4) co-construire un consensus ou un compromis acceptable par tous. La gouvernance du projet joue un rôle d'arbitrage neutre lorsque les conflits persistent, en s'appuyant sur la stratégie métier, les objectifs stratégiques et les critères de succès du projet. Cette approche évite trois pièges majeurs : ignorer délibérément certaines attentes (créant de la frustration et des risques de non-acceptation), reporter indéfiniment la décision (paralysant l'exécution et accumulant l'ambiguïté), ou lancer le développement sans clarification (générant des rework massifs et des dérives de scope). La concertation structurée s'aligne sur les principes agiles du PMBOK 7 valorisant la collaboration

Transfert du risque : confier la responsabilité d'un risque à un tiers (prestataire, assureur) via contrat. L'externalisation transfère le risque au fournisseur, contrairement à l'atténuation (réduire l'impact) ou l'acceptation (tolérer le risque).

Alignement stratégique et création de valeur organisationnelle : Le PMBOK 7e édition place la création de valeur au cœur de la gestion de projet, dépassant la simple livraison de livrables. Augmenter la valeur organisationnelle signifie que chaque projet doit être directement connecté aux objectifs métier et aux bénéfices stratégiques attendus. Cette approche reconnaît que la gestion de projet n'est pas une fin en soi, mais un moyen d'accomplir la stratégie organisationnelle. En alignant les livrables et résultats sur les bénéfices attendus, on garantit que les ressources investies produisent un retour tangible : amélioration de la rentabilité, positionnement concurrentiel, satisfaction client ou transformation digitale. Cette perspective holistique contraste avec les trois autres options défaillantes : augmenter la documentation crée de la bureaucratie sans valeur ; réduire les interactions avec les parties prenantes détériore la compréhension des vrais besoins ; mesurer uniquement les délais et budgets ignore complètement l'impact réel du projet. Le PMBOK 7 souligne que l'excellence en gestion de projet réside dans la capacité à traduire la stratégie en résultats concrets et bénéfiques pour l'organisation, une philosophie alignée avec les approches

Cette question correspond à l\'objectif d\'apprentissage FL-4.4.2 (K2) - Expliquer le test exploratoire.

● a) Faux → Les tests basés sur des listes de contrôle nécessitent généralement que les exigences soient connues à l\'avance pour créer les listes appropriées.
● b) Faux → L\'estimation d\'erreur est utile pour anticiper les défauts basés sur l\'expérience, mais n\'est pas la meilleure approche dans cette situation où une couverture systématique est nécessaire rapidement.
● c) Correct → Les tests exploratoires sont idéaux quand le temps est limité et que les exigences ne sont pas complètement disponibles. Cette technique s\'appuie sur
les connaissances du domaine et les compétences analytiques du testeur pour explorer le système de manière structurée mais flexible.
● d) Faux → Les tests de branche sont une technique de test de structure \"boîte blanche\" qui nécessite l\'accès au code source, ce qui n\'est pas mentionné dans le scénario et ne résout pas le problème du manque d\'exigences.

Cette question correspond à l\'objectif d\'apprentissage FL-5.1.5 (K3) - Appliquer la priorisation des cas de test.

● TC1 couvre Fonc1, Fonc2, Fonc3 → 3 nouvelles fonctionnalités
● TC4 couvre Fonc5, Fonc6, Fonc7 → 3 autres nouvelles fonctionnalités

○ Après exécution de TC1 et TC4, 6 fonctionnalités sont déjà couvertes
● TC3 couvre Fonc3 (déjà couverte par TC1) + Fonc4 (nouvelle) → utile pour compléter la couverture à 100 %
○ Donc TC3 doit être exécuté avant la fin.
● TC2 ne couvre que Fonc4, qui est déjà couverte par TC3
○ TC2 est redondant, il n’apporte aucune nouvelle couverture
TC2 (Réponse b) a la couverture supplémentaire la plus faible, il devrait donc être exécuté en dernier.

Cette question correspond à l’objectif d’apprentissage FL-4.5.2 (K2) – Classer les différentes options pour la rédaction des critères d’acceptation.
● a) Faux → Bien que la forme Given/When/Then soit très répandue et efficace, il n’existe pas d’obligation stricte dans les projets de test d’acceptation de toujours utiliser ce format.
● b) Correct → format dépend du contexte du projet, du public cible, et de la maturité de l’équipe. Selon la complexité du projet et les habitudes de l’organisation, on peut utiliser plusieurs formats.
● c) Faux → Les critères d’acceptation doivent généralement être élaborés en collaboration avec les parties prenantes clés : Product Owner, utilisateurs métiers, testeurs et développeurs. Se limiter à l’équipe de développement peut conduire à des critères trop techniques ou peu alignés sur les attentes métiers.
● d) Faux → Les critères d’acceptation peuvent effectivement comporter des exigences de performance, mais ils ne se limitent pas à cet aspect. Ils doivent également couvrir la fonctionnalité, la facilité d’utilisation, la sécurité, la fiabilité, etc.

Cette question correspond à l’objectif d’apprentissage FL-1.2.1 (K2)- Donner des exemples montrant la nécessité des tests.
● a) Faux → Les tests dynamiques détectent des défauts, mais ils ne garantissent pas qu’ils provoquent uniquement des comportements anormaux impossibles à reproduire par les utilisateurs.

● b) Correct → Les tests statiques permettent d’identifier des défauts dans le code source avant même l’exécution, ce qui réduit les coûts de correction.
● c) Faux → L’analyse statique ne garantit pas qu’un composant est prêt pour la production, elle identifie uniquement des erreurs structurelles.
● d) Faux → Les revues améliorent la qualité des spécifications, mais ne remplacent pas les tests

Cette question correspond à l\'objectif d\'apprentissage FL-2.2.3 (K2) – Distinguer les tests de confirmation des tests de régression.

La bonne réponse est c) 1A, 2B, 3A, 4B.

● 1A) Correct → Le test de confirmation (ou \"retest\") vérifie qu’un défaut corrigé est effectivement résolu.
● 2B) Correct → Le test de régression s’assure que la correction ou une nouvelle fonctionnalité n’a pas causé d’effets secondaires indésirables.
● 3A) Correct → Les tests de confirmation ciblent spécifiquement la correction appliquée et ne testent pas d’autres parties du système.
● 4B) Correct → Les tests de régression sont exécutés à une échelle plus large pourvérifier que le reste du système fonctionne toujours correctement.

Cette question correspond à l’objectif d’apprentissage FL-1.2.3 (K2) – Expliquer la relation entre erreur, défaut et défaillance.
● a) Faux → Une erreur est une faute humaine qui peut introduire un défaut, mais ce n’est pas une anomalie détectée en production.
● b) Faux → Un défaut peut exister sans être visible par l’utilisateur final.
● c) Correct → Une erreur humaine peut entraîner un défaut dans le logiciel, qui peut causer une défaillance en production
● d) Faux → Une défaillance est une anomalie observée lors de l’exécution, pas un problème directement présent dans le code source.

Cette question correspond à l’objectif d’apprentissage FL-1.2.2 (K1) – Rappeler la relation entre les tests et l’assurance qualité.
● a) Correct → Les tests font partie des activités d’assurance qualité, qui incluent également l’amélioration des processus, la documentation et le respect des normes.
● b) Faux → Les tests ne remplacent pas l’ensemble de l’assurance qualité, qui couvre un périmètre bien plus large (gestion des risques, validation des exigences, etc.).
● c) Faux → L’assurance qualité ne se limite pas aux tests, elle englobe des pratiques préventives et correctives.
● d) Faux → Les tests et l’assurance qualité sont liés : l’assurance qualité vise à améliorer la qualité globale du produit, et les tests en sont un des moyens.

Cette question correspond à l\'objectif d\'apprentissage FL-4.5.3 (K3) - Utiliser le développement piloté par les tests d\'acceptation (ATDD) pour dériver les cas de tests.

● a) Faux → Cette réponse reflète une confusion entre les tests d\'acceptation et les tests non-fonctionnels. L\'ATDD se concentre principalement sur les comportements fonctionnels et les critères d\'acceptation métier.
● b) Faux → Cette réponse contredit fondamentalement le principe de l\'ATDD. Dans
l\'ATDD, les scénarios sont développés collaborativement avec toutes les parties prenantes métier et développeurs compris qui sont les mieux placées pour définir les critères d\'acceptation.
● c) Correct → Cette réponse capture l\'essence de l\'ATDD. Les scénarios présentés suivent un bon format qui définit clairement les comportements attendus, mais ils restent un peu abstraits.
● d) Faux → Cette réponse va à l\'encontre des bonnes pratiques d\'ATDD. Les différents scénarios présentés capturent des variations importantes du comportement métier (médicaments standard vs contrôlés, suppression d\'alertes) qui doivent être explicitement testées au niveau des tests d\'acceptation, pas seulement au niveau unitaire..

Cette question correspond à l\'objectif d\'apprentissage FL-4.2.1 (K3) – Utiliser les partitions d\'équivalence pour dériver les cas de test
● a) Correct → Les valeurs 9 € (juste en dessous du minimum), 10 € (minimum), 10 000 € (maximum) et 10 001 € (juste au-dessus du maximum) couvrent les limites inférieures et supérieures
● b) Faux → Les valeurs intermédiaires comme 5 000 € ne testent pas les limites.
● c) Faux → 0 € et 15 000 € sont en dehors des limites pertinentes.
● d) Faux → Tester uniquement les valeurs limites sans les valeurs juste en dehors des limites ne couvre pas tous les scénarios possibles.

Cette question correspond à l\'objectif d\'apprentissage FL-4.2.1 (K3) - Utiliser les partitions d\'équivalence pour dériver les cas de test.
● a) Faux → car ne couvre pas la partition \"longueur incorrecte\".
● b) Correct → La réponse correcte est b) 12345, 123AB, 12A, A12.
○ \"12345\" couvre \"longueur correcte\" et \"nombre de chiffres correct\"
○ \"123AB\" couvre \"longueur correcte\" et \"nombre de chiffres correct\"
○ \"12A\" couvre \"longueur incorrecte\" et \"nombre de chiffres incorrect\"
○ \"A12\" couvre \"longueur incorrecte\" et \"nombre de chiffres incorrect\"
● c) Faux → car ne couvre pas la partition \"nombre de chiffres incorrect\".
● d) Faux → car ne couvre pas toutes les partitions.

Mandatory Access Control (MAC): A security model where the system administrator defines access rules based on security labels (classifications) assigned to both users and data. Access decisions are enforced by the system, not the data owner. Unlike DAC (owner-controlled) or RBAC (role-based permissions), MAC uses fixed classification levels making it ideal for high-security environments requiring strict control.

Physical security controls protect against unauthorized physical access to facilities and hardware. Mantraps (airlock entries) are double-door systems that trap intruders between doors — one door must close before the other opens, preventing tailgating. CCTV cameras provide visual monitoring and forensic evidence. Physical controls are distinct from technical (firewalls, encryption) and administrative (policies, training) controls. Biometric authentication can be physical or logical depending on context — physical when controlling door access.

Input validation: Using regular expressions to filter or remove dangerous special characters ($, |, ;, &, `, ?) from user input before processing prevents injection attacks like command injection and SQL injection. This technique inspects and sanitizes data at entry points. Unlike static code analysis (examining source code for vulnerabilities) or code debugging (finding execution errors), input validation actively controls what data the application accepts.

Access Control Lists (ACLs): Define granular permissions directly on resources, specifying which users/groups can access specific files. ACLs provide immediate restriction at the file level without requiring system-wide policy deployment. Unlike Group Policy (requires domain configuration time) or RBAC (needs role restructuring), ACLs enable fastest direct permission modifications. DLP prevents data exfiltration but doesn't restrict access itself.

Digital Signature: A cryptographic technique that uses asymmetric encryption to verify the sender's identity (authentication) and confirm the message hasn't been altered (integrity). The sender signs with their private key; recipients verify with the public key. Unlike encryption (which hides content), firewalls (network security), or 2FA (access control), digital signatures specifically prove origin and detect tampering.

Brute-force attack: A systematic attempt to gain unauthorized access by trying multiple password combinations repeatedly until successful. Multiple failed login attempts logged sequentially indicate automated credential guessing. This differs from a forgotten password (single user error), privilege escalation (post-authentication exploitation), or failed audits (compliance checks), all leaving distinct log signatures.

Réponse correcte : Un DMZ crée une zone tampon sécurisée entre le réseau interne et Internet, permettant d'héberger les services accessibles publiquement (web, mail, DNS) tout en les isolant du cœur du réseau pour limiter les risques de compromission.

Pourquoi les autres réponses sont incorrectes : Les serveurs de bases de données internes ne doivent pas se trouver en DMZ mais protégés derrière des pare-feu supplémentaires. L'isolation des appareils sans fil des appareils filaires relève de la segmentation réseau, pas de la DMZ. Le stockage des sauvegardes chiffrées n'est pas la fonction primaire d'une DMZ.

WPA3 encryption: the latest Wi-Fi security standard providing advanced protection through Simultaneous Authentication of Equals (SAE) and individualized data encryption. It prevents unauthorized access more effectively than hiding SSIDs or MAC filtering, which are easily bypassed. WEP is obsolete and cryptographically broken.

Man-in-the-Middle (MitM) attacks occur when an attacker positions themselves between two communicating parties, intercepting and potentially modifying messages without detection. Common methods include ARP poisoning, rogue Wi-Fi hotspots, and SSL stripping. Defenses include certificate pinning, HTTPS with HSTS, and mutual TLS (mTLS). Replay attacks reuse captured credentials. Session hijacking steals an established session. Eavesdropping is passive MitM without modification.

Technical Controls: Security measures implemented through technology and systems that automatically enforce security policies. Firewalls are technical controls because they use hardware/software to actively filter and block network traffic based on predefined rules. Unlike administrative controls (policies/documents) or physical controls (guards/locks), technical controls operate automatically without human intervention, making them objective and consistently enforced across all network traffic.

TDE (Transparent Data Encryption) chiffre automatiquement les fichiers de données, journaux et sauvegardes d'une base de données Azure SQL au repos — sans nécessiter de modification de l'application. Le chiffrement utilise AES 256 bits. Il est activé par défaut sur toutes les nouvelles bases Azure SQL depuis 2017. Transparent = l'application ne voit aucune différence ; le chiffrement/déchiffrement est géré par le moteur SQL. La clé peut être gérée par Microsoft (service-managed) ou par le client (Bring Your Own Key via Azure Key Vault — BYOK).

ETL signifie « Extract, Transform, Load », un processus fondamental en ingénierie des données qui consiste à extraire les données de sources diverses, les transformer pour les nettoyer et les structurer selon les besoins, puis les charger dans un système cible comme un data warehouse. Les autres options sont incorrectes : « Transfer » n'est pas le terme utilisé (c'est « Transform »), « Launch » n'a aucun sens dans ce contexte, « Evaluate » et « Log » ne font pas partie de ce processus standardisé, et « Export » et « Translate » ne correspondent pas aux étapes réelles de l'ETL.

NoSQL signifie « Not Only SQL » et désigne une catégorie de bases de données non-relationnelles offrant des schémas flexibles pour stocker différents types de données (documents JSON, paires clé-valeur, graphes, colonnes), contrairement aux bases relationnelles rigides. Pourquoi les autres réponses sont incorrectes : NoSQL supporte bien les langages de requête (MongoDB Query Language, etc.) contrairement à la première option. La deuxième option est fausse car NoSQL gère tous types de données, pas seulement numériques. La dernière option est inexacte puisque NoSQL excelle autant en lecture qu'en écriture et supporte les workloads transactionnels.

Réponse : Prédictive. Explication : Le graphique du quatrième trimestre montre une prévision — projeter les valeurs futures en fonction des tendances historiques. L'analyse prédictive utilise des modèles statistiques et ML pour prévoir les résultats futurs, ce qui la distingue de l'analyse descriptive (ce qui s'est passé) et diagnostique (pourquoi cela s'est passé).

La gouvernance des données englobe les politiques, processus et standards garantissant la qualité, la sécurité, la confidentialité et la conformité des données d'une organisation. Microsoft Purview (anciennement Azure Purview) est le service unifié de gouvernance des données Azure : il découvre automatiquement les données (scan multi-cloud), crée un catalogue de données avec leur lignage (Data Lineage — d'où vient la donnée, comment elle a été transformée), classe les données sensibles (PII, financières), et gère les politiques d'accès. Il couvre Azure, AWS, GCP et les sources on-premises.

Modèle PaaS d'Azure SQL Database : Microsoft, en tant que fournisseur cloud, gère entièrement l'infrastructure, le moteur SQL et les mises à jour de sécurité. Le client ne s'occupe que des données et de l'application. Contrairement à un serveur on-premises, l'administrateur réseau n'intervient pas sur les patchs du moteur SQL.

Clé étrangère : colonne qui référence la clé primaire d'une autre table, créant ainsi une relation entre elles. Elle garantit l'intégrité référentielle en s'assurant que chaque valeur existe réellement dans la table liée. Contrairement à la clé primaire (identifie les enregistrements) ou à l'index (optimise les requêtes), la clé étrangère établit des liens logiques entre tables.

Un entrepôt de données (Data Warehouse) est un référentiel centralisé de données historiques optimisé pour les requêtes analytiques et le reporting. Différences avec une base opérationnelle : (1) Orientation : DW = sujets métier (ventes, clients) vs DB = processus (commandes, factures) ; (2) Temporalité : DW = données historiques sur plusieurs années vs DB = données courantes ; (3) Volumétrie : DW = téraoctets/pétaoctets vs DB = gigaoctets ; (4) Optimisation : DW = lectures complexes (OLAP) vs DB = lectures/écritures simples (OLTP). Azure Synapse SQL Pool est le DW natif d'Azure.

Réponse correcte : La normalisation est un processus de conception de base de données relationnelle qui organise les tables pour éliminer la redondance des données et améliorer l'intégrité. Elle suit des règles (formes normales) pour structurer les données de manière efficace. Pourquoi les autres réponses sont incorrectes : • Conversion de format : c'est une transformation de données, pas de la normalisation. • Chiffrement TDE : c'est une mesure de sécurité, complètement indépendante de la normalisation. • Création d'index : c'est une optimisation de performance, non une normalisation.

OLTP vs OLAP : OLTP (Online Transaction Processing) traite des transactions courtes et fréquentes (ventes, paiements) optimisées pour la vitesse. OLAP (Online Analytical Processing) analyse de grands volumes historiques pour le reporting et la décision. OLTP = écriture rapide, OLAP = lecture massive. Contrairement aux idées fausses, OLAP supporte SQL et n'est pas limité à l'IoT.

Réponse : Écritures périodiques (accruals/deferrals) ; Valorisation de change ; Nettoyage GR/IR ; Lettrage automatique F.13 ; Revue des comptes et justification des variations.
Explication : Ces actions sécurisent l’exhaustivité et la fiabilité des états financiers.

Réponse : Classe d'immobilisation ; détermination des comptes. Explication : Le compte de clearing technique peut être défini à deux niveaux : au niveau de la classe d'immobilisation (pour les comptes de clearing spécifiques à la classe) et au niveau de la détermination des comptes (pour une affectation plus généralisée à travers plusieurs classes d'immobilisations).

Réponse : Elle mappe les opérations AA (APC, amortissement, cession) vers des comptes GL via des clés configurées par classe d’actifs et zone.
Explication : La détermination des comptes pilote la comptabilisation automatique AA→GL.

Réponse : Un acompte (down payment)
Les Special G/L Indicators permettent de gérer des opérations spéciales AP/AR sur des comptes G/L séparés, sans affecter les comptes de réconciliation normaux. L'acompte (Down Payment) est l'exemple classique : il utilise un compte G/L spécial pour distinguer les acomptes versés des factures ouvertes ordinaires.

Réponse correcte : Le traitement des acomptes avec un indicateur G/L spécial permet l'enregistrement des acomptes sur un compte de réconciliation distinct, séparant les acomptes des clients/fournisseurs standard et facilitant leur suivi jusqu'à la facturation finale. Pourquoi les autres réponses sont incorrectes : Les acomptes ne créent pas automatiquement une commande d'achat (c'est un processus distinct), ne sont pas enregistrés directement sur des immobilisations, et n'affectent pas les limites de crédit du fournisseur — ils représentent simplement des fonds avancés à régulariser ultérieurement.

Le Domaine de Contrôle de Gestion est l'élément organisationnel qui relie directement FI et CO. Il regroupe plusieurs Sociétés et permet à la Comptabilité de Gestion (CO) de collecter et analyser les données comptables (FI) pour le contrôle de gestion et l'analyse de rentabilité. Le Centre de Profit est un élément CO utilisé pour l'analyse de rentabilité mais ne constitue pas un lien structurel entre FI et CO. Le Domaine d'Activité est un élément facultatif pour segmenter les données par secteur d'activité, pas un lien FI-CO. La Société est l'élément de base de FI mais ne relie pas directement les deux modules – plusieurs Sociétés peuvent appartenir au même Domaine de Contrôle de Gestion.

Réponse : Entreprise / Partenaire commercial. Explication : L'unité organisationnelle Entreprise (Partenaire commercial) dans SAP soutient directement l'élimination interentreprises dans la consolidation financière. Elle identifie l'entité juridique à l'origine des transactions interentreprises, permettant l'élimination automatisée des soldes interentreprises.

Réponse : Un document par principe comptable et un document pour tous les principes comptables. Explication : Dans SAP S/4HANA avec comptabilité parallèle, l'imputation d'une facture fournisseur pour l'acquisition d'une immobilisation génère : un document FI par principe comptable (pour les évaluations spécifiques au grand livre) plus un document universel couvrant tous les principes comptables.

Réponse : App Fiori de type Analytical.
Explication : Les apps analytiques utilisent les vues CDS et les services d’analytique embarquée pour afficher KPIs/cartes et permettre du drill‑down.

Ordre correct clôture AA :

1. Vérifier les acquisitions et cessions de la période
2. Traiter les AUC et les règlements d'ordres
3. Exécuter l'amortissement (AFAB)
4. Contrôler l'Asset History Sheet (AS02/S_ALR)
5. Justifier les écarts et effectuer les corrections si nécessaire

La Première République française fut proclamée le 21 septembre 1792, lors de la première réunion de la Convention nationale, au lendemain de la victoire de Valmy. Elle succédait à la monarchie constitutionnelle établie en 1791. 1789 = début de la Révolution (prise de la Bastille) et monarchie constitutionnelle. 1804 = proclamation du Premier Empire par Napoléon Bonaparte. La Première République prit fin en 1799 avec le coup d'État du 18 Brumaire.

La côte ouest de la France est bordée par l'océan Atlantique, de la Bretagne jusqu'au Pays Basque, en passant par la Normandie, les Pays de la Loire et l'Aquitaine. La Mer Méditerranée borde la côte sud (Provence, Languedoc). La Mer du Nord borde la côte nord-est (Pas-de-Calais). La France métropolitaine est ainsi baignée par deux mers et un océan, ce qui lui confère une position maritime stratégique en Europe.

La séparation des trois pouvoirs : fondement de la démocratie française établi par la Constitution. Le pouvoir législatif (Parlement) crée les lois, le pouvoir exécutif (Président, Gouvernement) les applique, et le pouvoir judiciaire (tribunaux) les interprète. Cette séparation empêche la concentration du pouvoir et protège les libertés individuelles. Deux, quatre ou cinq pouvoirs ne correspondent pas à la structure constitutionnelle française.

Le 14 juillet 1789 : date fondatrice de la Révolution française marquée par la prise de la Bastille, forteresse-prison symbole du pouvoir absolu. Cet événement incarne la liberté retrouvée et l'abolition de l'arbitraire royal. Contrairement à la fête du Travail (1er mai) ou à la fin progressive de la monarchie (1870), le 14 juillet représente le moment décisif du passage à la République.

Oui, une condamnation pénale peut entraîner un refus de naturalisation. Selon le Code civil, n'est pas admis à acquérir la nationalité française par naturalisation quiconque a fait l'objet d'une condamnation à une peine d'au moins 6 mois d'emprisonnement sans sursis, ou de certaines infractions graves (terrorisme, crimes contre l'humanité). Un casier judiciaire B2 vierge est généralement exigé. Les contraventions et infractions mineures n'empêchent pas nécessairement la procédure.

La Déclaration des droits de l'homme et du citoyen (DDHC) de 1789 proclame les droits naturels et imprescriptibles : liberté, propriété, sûreté, résistance à l'oppression. Elle affirme la souveraineté nationale et la séparation des pouvoirs. Sa valeur juridique est constitutionnelle : le préambule de la Constitution de 1958 y fait explicitement référence, et le Conseil constitutionnel la considère comme faisant partie du « bloc de constitutionnalité ». Elle peut donc être invoquée pour déclarer une loi inconstitutionnelle.

Le siège officiel du Parlement européen est à Strasbourg (France), où se tiennent les sessions plénières. Cependant, les commissions parlementaires siègent à Bruxelles, où est aussi basée la Commission européenne. Luxembourg abrite le Secrétariat général du Parlement et la Cour de justice de l'UE. Ce découpage fait l'objet de critiques pour son coût, mais est inscrit dans les traités européens.

Le coq gaulois est un symbole non officiel mais traditionnel de la France, hérité d'un jeu de mots latin entre « Gallus » (coq) et « Galli » (les Gaulois). Il incarne le courage, la vigilance et la fierté. On le retrouve sur les grilles de l'Élysée, les équipements sportifs des équipes de France (maillots, emblèmes), les pièces de monnaie historiques. Il est distinct du symbole officiel (Marianne, la devise, le drapeau tricolore) mais fait partie de l'imaginaire national français depuis le Moyen Âge.

Le Parlement est l'organe législatif composé de l'Assemblée nationale et du Sénat. Il détient le pouvoir de voter les lois en France. Le Président exécute les lois, le Conseil constitutionnel les contrôle, et le Conseil d'État donne des avis consultatifs.

Marianne est l'allégorie de la République française et son symbole officiel. Elle figure sur le buste officiel des mairies, sur les documents officiels (en-têtes des administrations), les timbres et pièces de monnaie. Représentée coiffée du bonnet phrygien (symbole de la liberté depuis la Rome antique), elle incarne les valeurs de Liberté, Égalité, Fraternité. Son visage change selon les époques (inspiré parfois de célébrités françaises). Elle apparaît sur le sceau de la République depuis la Révolution.

Concept clé : Test de confidentialité dans l'apprentissage fédéré. L'apprentissage fédéré vise à préserver la confidentialité en maintenant les données d'entraînement décentralisées. Les testeurs doivent valider que les données individuelles ne quittent jamais les appareils locaux et que seules les mises à jour agrégées du modèle sont transmises, prévenant ainsi toute exposition non autorisée des données pendant le processus d'apprentissage.

Réponse : Une autorité de changement doit être assignée pour chaque type et chaque modèle de changement.
Explication : Chaque type et modèle de changement doit avoir une autorité de changement désignée, garantissant une gouvernance claire et des décisions prises par les personnes appropriées selon le risque et l\'impact.

Réponse : Le système de valeur des services.
Explication : Le système de valeur des services (SVS) est le concept ITIL 4 qui décrit comment tous les composants et activités, y compris la gouvernance, fonctionnent ensemble pour créer de la valeur.

Réponse : Ajouter, modifier ou supprimer tout ce qui pourrait avoir un effet direct ou indirect sur les services.
Explication : En ITIL 4, un changement est l\'ajout, la modification ou la suppression de tout élément pouvant avoir un effet direct ou indirect sur les services, qu\'il soit matériel, logiciel ou organisationnel.

Réponse : Résultats souhaités par une partie prenante.
Explication : Les résultats (outcomes) sont les effets souhaités par une partie prenante. Ils diffèrent des livrables (outputs) : le résultat est la valeur créée pour le consommateur, pas le produit livré.

Réponse : En choisissant quelques méthodes clés pour les types d\'améliorations gérées par l\'organisation.
Explication : Plutôt que d\'adopter toutes les méthodes existantes, une organisation doit sélectionner quelques approches adaptées aux types d\'améliorations qu\'elle gère, pour rester cohérente et efficace.

Réponse : Commencer là où vous êtes.
Explication : Le principe \'Commencer là où vous êtes\' recommande d\'évaluer l\'existant avant de décider ce qui peut être réutilisé, plutôt que de repartir de zéro sans connaître ce qui fonctionne déjà.

Réponse : Le centre de services.
Explication : Le centre de services constitue le point de contact unique (SPOC) entre le fournisseur de services et les utilisateurs pour toutes les communications, demandes et incidents.

Réponse : S\'assurer que les fournisseurs de l\'organisation et leurs performances sont gérés de manière appropriée afin de supporter l\'approvisionnement continu de produits et services de qualité.
Explication : La gestion des fournisseurs assure que les relations avec les fournisseurs externes sont correctement gérées pour garantir un approvisionnement continu en produits et services de qualité.

Réponse : Déterminer qui est le consommateur du service dans chaque situation.
Explication : Lors de l\'application du principe \'Privilégier la valeur\', la première étape est d\'identifier qui est le consommateur, car la valeur est toujours définie du point de vue du consommateur du service.

Réponse : Offre de service.
Explication : Une offre de service est un ensemble de produits et services proposé à un consommateur. Le package (ordinateur + logiciels + licences + support) constitue une offre de service complète et packagée.

Le programme Cloud Solution Provider (CSP) permet aux organisations :

• D’acheter des licences Microsoft 365 via un partenaire Microsoft, qui gère la facturation et le support.

• De modifier le nombre de licences chaque mois (ajouter ou supprimer des utilisateurs) sans engagement annuel rigide.

• De bénéficier d’un accompagnement personnalisé via le partenaire.

• Viva Insights mesure des indicateurs de productivité et de bien-être :

  • Temps de concentration (Focus time hours)

  • Pauses après réunions (After-meeting breaks)

  • Indicateurs d’efficacité des réunions (Meeting effectiveness score)

• Le coût des licences Microsoft 365 n’est pas un indicateur suivi par Viva Insights, car il relève de la gestion financière et non de la productivité.

• Microsoft Defender for Endpoint permet :

  • Détection automatique des menaces sur les endpoints

  • Investigation automatisée des incidents

  • Actions de remédiation automatiques pour contenir et corriger les menaces

• Les autres options ne gèrent pas directement l’investigation et la remédiation automatique :

  • A : PIM gère les rôles à privilèges temporaires.

  • B : Secure Score propose des recommandations de sécurité, pas de remédiation automatique.

  • D : Mailbox hold conserve les emails pour conformité, pas pour gérer des incidents de sécurité.

• Reminder (Rappel) permet d’envoyer une notification à une heure précise, même si l’application n’est pas ouverte.

• C’est la fonctionnalité qui déclenche une alerte automatique à 8h chaque matin.

  🎯 À retenir pour l’examen MS-900 :

  • Reminder = notification à une heure précise

  • Recurrence = répétition de la tâche

  • Les deux peuvent être combinés, mais pour recevoir une alerte à 8h, il faut activer le rappel.

• La section Token Usage :

  • Montre le nombre total de tokens AI utilisés par votre organisation sur une période donnée.

  • Permet de suivre l’utilisation et estimer les coûts liés à l’usage de Copilot.

• Les autres sections ne fournissent pas cette information :

  • User Engagement → suit l’activité des utilisateurs avec Copilot.

  • Prompt Library → contient les prompts enregistrés et réutilisables.

  • Security Insights → fournit des informations de sécurité et de conformité.

    🎯 À retenir pour l’examen MS-900 :

    • Token Usage = suivi de la consommation de tokens et des coûts Copilot

    • Les autres sections se concentrent sur activité utilisateur, sécurité ou prompts.

Dans Exchange Online, Microsoft assure automatiquement :

• La haute disponibilité (High Availability) grâce à la réplication native des bases de données de boîtes aux lettres entre plusieurs serveurs et centres de données.

• La reprise après sinistre (Disaster Recovery) grâce à l’architecture distribuée et redondante de Microsoft 365.

Pour répondre aux exigences réglementaires de conservation :

• Litigation Hold permet de conserver les e-mails d’une boîte aux lettres, même s’ils sont supprimés par l’utilisateur.

• Cela garantit l’intégrité et la disponibilité des données à des fins légales ou réglementaires.

👉 Ensemble, ces fonctionnalités assurent la disponibilité continue et la conservation réglementaire des données.

Microsoft 365 Apps propose différents canaux de mise à jour :

1. Current Channel (Canal actuel)

   • Reçoit les dernières fonctionnalités, correctifs et mises à jour de sécurité dès qu’elles sont publiées.

   • Idéal pour les utilisateurs qui veulent accéder rapidement aux nouveautés.

2. Monthly Enterprise Channel (Canal mensuel pour entreprises)

   • Regroupe les nouvelles fonctionnalités et correctifs dans une seule mise à jour mensuelle.

   • Fournit un rythme plus prévisible pour les équipes informatiques, tout en maintenant les correctifs de sécurité à jour.

• Hybrid cloud combine :

  • Une infrastructure locale (on-premises) pour les données sensibles

  • Des ressources cloud pour les environnements de test et développement accessibles globalement

• Les autres modèles ne répondent pas au besoin spécifique :

  • A : Public cloud seul placerait toutes les données dans le cloud, ce qui n’est pas conforme.

  • C : Private cloud est entièrement dédié mais limité aux ressources internes.

  • D : Community cloud est partagé entre organisations ayant des besoins similaires, pas adapté pour ce scénario mixte.

• Avec le group-based licensing, les licences sont attribuées automatiquement via l’appartenance au groupe.

• Dès que l’utilisateur est retiré du groupe :

  • Les licences liées sont révoquées automatiquement

  • L’utilisateur perd l’accès aux services correspondant à ces licences

• Les autres options sont incorrectes :

  • A : Faux, la licence ne reste pas après suppression du groupe.

  • C : Faux, l’utilisateur peut se connecter à Microsoft 365 si d’autres licences sont présentes.

  • D : Faux, l’utilisateur n’est pas transformé en boîte aux lettres partagée automatiquement.

• PaaS fournit un environnement cloud prêt à l’emploi pour développer, exécuter et gérer des applications ou traitements, sans gérer l’infrastructure sous-jacente (VM, stockage, réseau).

• Dans ce scénario :

  • L’équipe peut créer et exécuter des jobs big-data

  • Tout l’environnement est géré par le fournisseur (ex. Azure Synapse Analytics, Azure Databricks)
    
    

    🎯 À retenir pour l’examen MS-900 :

    • PaaS = plateforme gérée pour créer et exécuter des applications ou jobs sans gérer l’infrastructure

    • IaaS = gérer l’infrastructure

    • SaaS = utiliser l’application

    • Hybrid = combinaison cloud et on-prem

• GitHub Advanced Security permet de :

  • Analyser automatiquement les dépendances dans les projets (npm, NuGet, Maven, etc.)

  • Identifier les vulnérabilités à haute gravité

  • Proposer ou appliquer automatiquement les mises à jour de sécurité via Dependabot

• Cette approche préventive empêche que du code vulnérable atteigne les environnements de production.

Dans Microsoft Purview Insider Risk Management, la fonctionnalité de gestion des cas avec contrôles de confidentialité intégrés permet :

• De restreindre l’accès aux cas uniquement aux enquêteurs assignés

• D’anonymiser certains utilisateurs pendant l’analyse (selon la configuration)

• De garantir la confidentialité des investigations

• De limiter la visibilité des informations sensibles

Cette fonctionnalité est spécifiquement conçue pour répondre aux exigences de confidentialité et de conformité liées aux enquêtes internes.

👉 Elle va au-delà du simple RBAC général en offrant des mécanismes dédiés aux enquêtes Insider Risk.

• Microsoft Intune Device Compliance Policies permet de :

  • Appliquer le chiffrement FileVault sur macOS

  • Contrôler l’exécution des applications via des règles de conformité et d’application

  • Reporter la posture de sécurité des endpoints à Microsoft Entra Conditional Access, permettant de bloquer l’accès aux ressources si le poste n’est pas conforme

• Cette solution couvre tous les objectifs de sécurité demandés pour les postes macOS.

• Scenario : appliquer MFA aux guests externes, sans dépendre de la configuration du tenant partenaire.

• Conditional Access (CA) permet de :

  • Créer une politique ciblant uniquement les utilisateurs invités (User type = Guest)

  • Exiger MFA avant l’accès à vos ressources Microsoft 365 ou Azure

  • Fonctionner indépendamment du tenant d’origine de l’utilisateur → aucun changement requis côté partenaire

• C’est la meilleure pratique Microsoft pour sécuriser l’accès externe tout en restant compatible avec Zero Trust.

• Internal VNet mode :

  • Le service API Management est accessible uniquement depuis le réseau virtuel Azure interne

  • Les API ne sont pas exposées sur Internet

  • Compatible avec les applications internes critiques, comme les applications financières

• External VNet mode :

  • Le service reste accessible depuis Internet, même s’il est connecté à un VNet

  • Ne répond pas à l’exigence de sécurité interne

• Developer portal avec accès public désactivé :

  • Protège uniquement le portail de développement, pas les API elles-mêmes

• Azure Monitor private endpoints :

  • Assure la collecte de télémétrie en privé

  • Ne limite pas l’accès aux APIs

• CIEM (Cloud Infrastructure Entitlement Management) se concentre sur :

  • Découverte des droits et rôles dans les environnements cloud (AWS, Azure, GCP)

  • Analyse de l’usage des permissions pour identifier :

    • Les comptes avec permissions inutilisées

    • Les droits à haut risque accumulés inutilement

• Cette approche permet de détecter la sur-privatisation et de prévenir les risques d’escalade de privilèges ou d’accès abusif, ce qui est exactement l’objectif de la question.

Les comptes break-glass sont des comptes d’accès d’urgence utilisés uniquement lorsque :

• L’authentification normale est indisponible

• Les mécanismes MFA ou Conditional Access sont défaillants

• L’environnement est compromis (ex. attaque ransomware)

Les bonnes pratiques Microsoft recommandent :

• 🔐 Identifiants stockés dans un coffre-fort sécurisé hors ligne

• 🔄 Validation régulière (tests d’accès contrôlés)

• 🚨 Surveillance renforcée

• 🔒 Utilisation uniquement en cas d’urgence

Pourquoi hors ligne ?

En cas de ransomware ou compromission massive :

• Les systèmes en ligne (y compris SIEM) peuvent être impactés.

• Le coffre-fort hors ligne réduit le risque de compromission.

• Prompt injection : manipulation du modèle via des entrées malveillantes → peut révéler des données sensibles ou modifier le comportement attendu.

• Data exfiltration : sortie involontaire de données sensibles dans les réponses du modèle.

• Microsoft recommande pour Azure OpenAI :

  • Placer API Management (APIM) devant le service OpenAI

  • Valider toutes les entrées (ex : rejeter caractères, commandes ou prompts suspects)

  • Filtrer et contrôler la sortie pour éviter l’exfiltration de données sensibles

• Cela fournit une barrière de sécurité en amont et en aval du modèle et suit la baseline Zero Trust et Microsoft Security.

• CAF DevSecOps recommande d’intégrer la sécurité et la conformité dès la phase de conception et de déploiement.

• Azure Blueprints permet de :

  • Appliquer des politiques et des contrôles RBAC cohérents sur plusieurs souscriptions

  • Garantir que toutes les ressources déployées respectent les standards internes et réglementaires

  • Automatiser la conformité dès la création de l’infrastructure (Infrastructure as Code)

• Cela offre une remédiation et un contrôle centralisé, ce qui répond directement aux exigences de gouvernance DevSecOps.

• Zero Trust – Least Privilege :

  • Les utilisateurs ne doivent avoir que les droits nécessaires et uniquement lorsqu’ils en ont besoin

  • Les privilèges permanents ou excessifs sont contraires au principe Zero Trust

• PIM avec JIT :

  • Les développeurs n’activent le rôle que lorsqu’ils ont besoin d’accéder à la base de données de production

  • Chaque activation est journalisée et auditable

  • Les droits sont révoqués automatiquement après usage → sécurité maximale et conformité

La façon recommandée est de spécifier le compte de service lors de la création de chaque instance. Une fois créée, l'instance utilise ce compte de service pour toutes les appels APIs. Les métadonnées ne définissent pas le compte de service actif.

Les alertes budgétaires GCP s'appliquent au projet entier, pas à un seul serveur. La seule solution pour cibler les coûts réseau d'un serveur spécifique est d'exporter la facturation vers BigQuery et d'interroger les données avec une Cloud Function planifiée.

Cloud Run fully managed avec minimum d'instances à zéro scale automatiquement à zéro quand il n'y a pas de trafic — aucun coût en dehors des heures d'utilisation. Cloud Run for Anthos nécessite un cluster GKE toujours actif. App Engine flexible minimum est 1 instance.

Pour créer des budgets et alertes sur un compte de facturation, il faut être administrateur de facturation du projet (project billing administrator). Le budget peut être filtré par projet et par service (Compute Engine), ce qui permet l'alerte spécifique demandée.

Le rôle storage.objectCreator est le plus approprié : il permet uniquement la création d'objets dans le bucket (principe du moindre privilège). storage.objectAdmin donnerait trop de permissions (lecture, modification, suppression). Les scopes d'accès sont une ancienne méthode non recommandée.

Ajouter un nouveau node pool n2-highmem-16 au cluster existant est la solution sans temps d'arrêt. Les pods existants continuent de tourner sur les noeuds n1-standard-2 pendant que les nouveaux pods sont schedulés sur le nouveau node pool.

Ajouter un node pool GPU au cluster existant minimise les coûts (GPU uniquement pour l'équipe ML) et l'effort (pas de nouveau cluster). Le nodeSelector garantit que seuls les pods ML sont schedulés sur les noeuds GPU.

La bonne approche est de créer deux configurations gcloud (une par projet/compte), puis un script qui active chaque configuration et exécute gcloud compute instances list. gsutil est pour Cloud Storage, pas pour les instances Compute Engine.

Dans Cloud Run, le fractionnement du trafic se fait entre révisions du même service (pas entre services différents). Créer une nouvelle révision et diviser le trafic est la méthode native recommandée pour les déploiements canary sur Cloud Run.

La section IAM dans la console GCP affiche tous les membres (utilisateurs, groupes, comptes de service) et leurs rôles attribués dans le projet. gcloud iam roles list affiche les rôles disponibles, pas les attributions. gcloud iam service-accounts list ne montre que les comptes de service.

This statement is True. Technical debt compounds over time—accumulated shortcuts and poor design choices make future changes increasingly difficult and costly. This slows velocity and violates sustainable pace, one of the core Scrum principles.

To help a new Scrum Team start effectively, the Scrum Master should focus on team introduction, product education, and establishing the Definition of Done. Option 1 is wrong because personality compatibility and rewards systems are not the Scrum Master's concern; the team self-organizes based on capability and commitment to Scrum values.

When multiple Scrum Teams work from a shared Product Backlog, coordination happens through self-organization and agreement, not top-down assignment. Teams should pull work in collaboration with the Product Owner and each other, respecting capacity and dependencies. The other options violate Scrum's emphasis on team self-organization and the Product Owner's authority over backlog ordering.

The Development Team ignored a new member's ideas and viewpoints, violating three Scrum Values: Respect (valuing individuals), Openness (welcoming different perspectives), and Courage (creating psychological safety to speak up). Commitment and Focus relate to the team's dedication to work, not interpersonal inclusion. Transparency concerns information visibility, not team dynamics.

The Scrum Master teaches and facilitates—helping external stakeholders understand Scrum interactions and coaching the team on timebox discipline. Option 1 is wrong because the Scrum Master doesn't assign tasks; option 3 is wrong because they don't manage the board or resolve conflicts; option 4 is wrong because the Development Team demonstrates at the Sprint Review, not the Scrum Master.

Management's role in Scrum is to create an enabling environment, not to micromanage or monitor individual performance. According to the Scrum Guide, management should provide insights and resources that support Scrum Teams. Options about removing people, monitoring skill levels, or tracking velocity represent command-and-control behaviors that undermine Scrum's empirical and self-organizing principles.

The Scrum Master coordinates by removing impediments and facilitating inspection and adaptation, not through direct task assignment or conflict escalation to management. This servant-leadership approach enables teams to self-organize and solve problems. The Scrum Master coaches teams on dependencies and collaboration rather than commanding coordination, respecting Scrum's self-organizing values.

All four options (0, 1, 2, 3) are correct. The Scrum Guide identifies that Scrum helps teams address: complexity and unpredictability of requirements (A), technology stability and complexity (B), team skills and relationships (C), and work timescale (D). Options E and F are not Scrum-addressed risks—governance structures and HR incentives fall outside Scrum's scope.

A self-organizing Development Team collaboratively decides how to accomplish their work and owns the creation of their Sprint Backlog reflecting the Definition of Done. Options C and E are correct: Option C shows collaborative re-planning throughout the Sprint (self-organization), and Option E demonstrates the team creating their own Sprint Backlog with DoD compliance. Option A reflects role-based silos (not self-organizing), Option B involves management optimization (external direction), and Option D introduces external people (undermining autonomy).

The immediate impact on the original team's productivity is likely to decrease (option 1). Adding new teams introduces communication overhead, potential dependencies, and knowledge fragmentation. While multiple teams may increase overall product throughput over time, the original team faces disruption initially—a well-documented principle in scaling Scrum.

Réponse : Définir les attentes concernant les tâches et les livrables / Canaux de communication clairs / Cultures possiblement différentes.
Explication : BCD est correct. L\'externalisation introduit des ambiguïtés contractuelles sur les livrables, nécessite des canaux de communication robustes et expose le projet à des différences culturelles. La définition précise des attentes, des critères d\'acceptation et des SLA est essentielle pour éviter les dérives de périmètre et les litiges.

Réponse : La qualité de l\'estimation du développement peut être médiocre. / Utiliser le même pourcentage chaque fois ne tient pas compte du niveau de risque de l\'application à tester. / La maturité de l\'organisation, par exemple la qualité de la base de test, la qualité des tests de développement, la gestion de configuration, la disponibilité des outils de test, influencent également l\'effort requis pour le test..
Explication : Les réponses A, D et E désignent des sources distinctes de variance qu\'un simple pourcentage du développement ne peut pas capturer. A: les estimations de développement peuvent être inexactes, propageant l\'erreur d\'estimation. D: un pourcentage fixe ignore le risque spécifique, la criticité métier et les profils d\'impact des défauts. E: la maturité organisationnelle (qualité de la base de test, tests unitaires du développement, gestion de configuration, outils disponibles) influence directement l\'effort de test.

Réponse : Les critères d\'entrée et de sortie sont un moyen principal d\'obtenir des ressources adéquates..
Explication : C est correct car les critères d\'entrée et de sortie sont des portes de qualité objectives pour les transitions de niveau et la prise de décision, non des mécanismes destinés à sécuriser les ressources. Ils spécifient des conditions mesurables soutenant les décisions arrêt/go et protègent les activités en aval.

Réponse : Une approche des tests de régression.
Explication : Le plan directeur de test est un document stratégique de haut niveau qui définit l\'approche globale, la portée, les objectifs et les risques. L\'approche des tests de régression est une décision stratégique appropriée à couvrir en détail, contrairement aux détails tactiques comme les valeurs limites ou l\'organisation des cas de test.

Réponse : Pourcentage de couverture des exigences.
Explication : B est correct car le pourcentage de couverture des exigences quantifie directement l\'adéquation des tests par rapport à l\'objectif déclaré de valider que le système satisfait ses exigences. L\'efficacité du test dans un contexte piloté par les exigences repose sur la mesure objective de la complétude de la couverture des exigences et de la détection des non-conformités.

Réponse : Le plan de test du soumissionnaire décrit une mise en œuvre par phases avec des dates de livraison ultérieures à confirmer et indique que les livrables de test seront développés en utilisant la norme IEEE 829 comme guide..
Explication : D est correct car il démontre une réponse appropriée, centrée sur la gestion de test : un plan de livraison par phases réaliste associé à l\'engagement de développer les livrables de test selon un cadre documentaire reconnu (IEEE 829), sans imposer de dates inflexibles ni de processus propriétaires.

Réponse : 63.
Explication : Le Numéro de Priorité de Risque (NPR) est calculé en multipliant la probabilité d\'occurrence, la gravité de l\'impact et la détectabilité. Pour l\'élément de risque 2, ce calcul donne 63.

Réponse : Les développeurs perdent le sens des responsabilités et les testeurs indépendants peuvent devenir un goulot d\'étranglement..
Explication : Le test indépendant sépare la vérification du développement, ce qui peut diminuer le sens de la responsabilité des développeurs tandis que la coordination des tests et le triage des incidents se concentrent dans une équipe distincte qui peut devenir un goulot d\'étranglement processus.

Réponse : Critère A = NON OK, critère B = NON OK, critère C = OK.
Explication : L\'évaluation des critères de test révèle que seul le critère C satisfait aux exigences de qualité. Les critères A et B présentent des défaillances qui nécessitent une correction avant d\'accepter le produit testé.

Réponse : Exécution des tests.
Explication : L\'exécution des tests représente la portion la plus importante et la moins prévisible de la variabilité (taux de découverte de défauts, disponibilité de l\'environnement, productivité humaine, boucles de rework). C\'est donc la partie la plus difficile à estimer.

A. Log the error server-side and return an empty result to avoid confusing the model Incorrect. This hides critical failure information, making it impossible for the agent to distinguish "no data" from "system failure." B. Throw an exception from the tool handler so the agent framework can catch and log it Incorrect. Exceptions are useful internally, but the agent still needs a structured tool response; raw exceptions don't reliably propagate useful context to the model. C. Return the error message in the tool result content with the isError flag set to true Correct. This is the proper MCP pattern: the tool explicitly signals failure using isError: true, while still providing a readable error message so the agent can decide whether to retry, escalate, or inform the user. D. Return a success response with a "status" field indicating the error type Incorrect. This is misleading because it treats failures as successful responses, which confuses downstream reasoning and tool orchestration. Thank you Thank you for being so interested in the If you have any feedback or thoughts on the bumps, I would love to hear them. Your insights can help me improve our writing and better understand our readers. Best of Luck You have worked hard to get to this point, and you are well-prepared for the exam Keep your head up, stay positive, and go show that exam what you're made of! Feedback More Papers Total: 85 Questions Link:

A. Implement semantic deduplication to identify and remove redundant information across the accumulated RAG results and conversation turns Incorrect. This reduces redundancy but doesn't solve the core issue of unbounded accumulation of RAG context. B. Implement a sliding window for RAG results from the last 2­3 queries while preserving conversation history Correct. This directly addresses context crowding by limiting RAG growth while keeping conversation continuity intact. C. Shift context budget to favor RAG results while reducing conversation history allocation Incorrect. This worsens coherence by sacrificing conversation context. D. Compress all RAG results into a consolidated summary document that updates incrementally after each retrieval Incorrect. This can introduce information loss and summary drift, especially across many turns.

A. URLs that users can click to open the document in their browser. Incorrect. URLs are useful for users, but not ideal for agents performing multi-step workflows that require reliable referencing and further operations. B. Structured data containing document IDs and metadata for each result. Correct. This enables the agent to programmatically reference specific documents (via IDs) across multiple steps, making workflows like follow-up queries or document retrieval precise and reliable. C. A JSON array of document titles extracted from the search results. Incorrect. Titles alone are ambiguous and not stable identifiers, making it difficult for agents to reliably act on specific documents. D. More detailed human-readable descriptions including the size and authors. Incorrect. Helpful for users, but still unstructured and not suitable for precise multi-step agent operations.

A. Set temperature to 0 to eliminate output variability and ensure consistent formatting Incorrect. This reduces randomness but won't fix systematic extraction errors like misinterpreting ranges ("2 to 3"). B. Send a follow-up request including the validation error, asking the model to correct its output Correct. Providing specific validation feedback allows the model to correct the exact issue (e.g., convert "2 to 3" into a valid float), making recovery highly effective. C. Pre-process source documents to standardize problematic formats before sending them for extraction Incorrect. Helpful in some cases, but not scalable or sufficient for diverse real-world variations. D. Implement a secondary pipeline using a larger model tier to reprocess documents that fail validation Incorrect. More expensive and not necessary--targeted correction is more efficient and effective.

A. Verify that 97% accuracy meets requirements for all downstream systems that consume the extracted data. Incorrect. Important, but it doesn't ensure the confidence signal is reliable across different cases--it only checks overall acceptability. B. Analyze accuracy by document type and field to verify high-confidence extractions perform consistently across all segments, not just in aggregate. Correct. Aggregate accuracy can hide weak spots. You need to ensure confidence >90% is trustworthy across all segments, otherwise automation may introduce systematic errors. C. Compare accuracy at different confidence thresholds (85%, 90%, 95%) to find the optimal cutoff that maximizes automation while minimizing errors. Incorrect. Useful for tuning, but only after confirming the confidence signal is consistent and reliable across segments. D. Run a two-week pilot routing 25% of high-confidence extractions directly to downstream systems and monitor error reports. Incorrect. A pilot is valuable, but deploying without validating segment-level reliability first introduces avoidable risk.

A. Choosing from 18 tools instead of 4­5 relevant ones increases decision complexity beyond reliable selection thresholds. Correct. This is the core issue: as the number of available tools grows, especially across multiple unrelated domains, the model's tool selection accuracy degrades due to increased choice entropy and decision load. Even if each tool is well-described, having too many options in the same context makes it harder for the model to reliably pick the correct one, leading to cross-role tool misuse. Why the others are not correct: B. Role-description conflict Incorrect Role prompts influence behavior, but they don't inherently break tool selection when tools are available. C. Context window usage Incorrect There's no indication of truncation or missing tool definitions--this is a selection problem, not a capacity problem. D. Coordinator tracking issue Incorrect The failure happens at the subagent decision level, not because the coordinator lacks awareness of tools.

A. Provide the subagent with tool definitions that allow it to request outputs from other subagents via callbacks. Incorrect. This introduces unnecessary coupling and complexity. Subagents shouldn't need to actively fetch data from others. B. Include the complete findings from both subagents directly in the synthesis subagent's prompt. Incorrect. While simple, this approach does not scale well for large outputs and can exceed context limits, reducing efficiency. C. Pass reference identifiers and configure the subagent with read access to a shared memory store where other subagents deposited their results. Correct. This is the most scalable and production-ready approach. It preserves information fidelity while avoiding context bloat, allowing the synthesis agent to retrieve exactly what it needs. D. Spawn the subagent with only a brief task description, relying on automatic context inheritance from the coordinator. Incorrect. There is no automatic context inheritance--without explicit data access, the synthesis agent cannot function properly.

A. Move all tool responses to a vector database with semantic indexing, retrieving relevant portions as the conversation continues Incorrect. This adds unnecessary infrastructure complexity for a short-lived conversational context problem. B. Extract only return-relevant fields (items, purchase date, return window, status) from each existing order response, removing verbose details Correct. This preserves the information needed for the current task while significantly reducing context bloat before additional lookups. C. Have the model generate a natural language summary of each order's key details, replacing structured responses with prose descriptions Incorrect. Natural language summaries are less compact and may omit structured details needed for accurate return handling. D. Proceed with additional lookups without modifying the existing tool output context Incorrect. This worsens context crowding and increases the risk of degraded performance.

A. Your system prompt needs explicit instructions telling Claude to remember information from earlier turns. Incorrect. Instructions alone don't give the model memory--context must be provided with each request. B. You're not including prior messages in each API request--the stateless API doesn't retain conversation history. Correct. Claude is stateless. If earlier messages aren't passed in the request, it has no awareness of prior vocabulary. C. You need to enable conversation persistence by passing a session ID parameter with each API call. Incorrect. There's no required session ID--memory is handled by including past messages. D. The model's context window has filled up, causing earlier conversation content to be dropped. Incorrect. This would only happen in very long conversations, not typical early testing scenarios.

A. Enable the document analysis subagent to spawn its own specialized subagents dynamically when it encounters cases with many citations. Incorrect. This decentralizes orchestration and makes the system harder to monitor and debug. The coordinator loses visibility into dynamically spawned agents. B. Implement a message queue where precedent analysis tasks are processed asynchronously by a pool of worker agents. Incorrect. While this improves scalability, it introduces infrastructure complexity and reduces transparency for debugging at the coordinator level. C. Create a recursive agent hierarchy where analysis agents subdivide work among child agents until reaching single-precedent granularity. Incorrect. This further complicates the architecture and makes tracing execution paths difficult, reducing observability and control. D. Have the coordinator spawn parallel document analysis subagents, each handling a subset of precedents, then aggregate results before synthesis. Correct. This enables parallel processing to reduce latency while keeping orchestration centralized. The coordinator retains full visibility, making monitoring and debugging easier.