Ne découvrez pas l'examen
le jour J

Réponse : Amazon Athena. Explication : Amazon Athena est un service de requête interactif sans serveur pour analyser les données dans S3 à l'aide de SQL standard. Il n'y a pas d'infrastructure à configurer — vous payez uniquement par requête en fonction des données analysées, ce qui le rend extrêmement rentable pour une analyse occasionnelle.

Réponse : Construire des architectures multi-régions / Utiliser des architectures serverless.
Explication : Les architectures multi-régions et serverless contribuent à l’efficacité et à la performance.

Réponse : B) Clés d'accès. Les clés d'accès AWS (composées d'un ID de clé d'accès et d'une clé d'accès secrète) fournissent un accès programmatique aux services AWS via AWS CLI et les kits SDK. Elles remplacent le nom d'utilisateur/mot de passe de la console pour les appels API authentifiés.

Réponse : Instances Spot. Explication : Les instances Spot sont idéales pour les charges de travail interruptibles comme les environnements de test. Elles offrent jusqu'à 90 % de réduction par rapport aux instances à la demande. Puisque l'application de test peut être interrompue et n'a pas besoin de disponibilité continue, Spot est le choix le plus économique.

Réponse : AWS CloudTrail.
Explication : AWS CloudTrail fournit l’audit des actions et identifie les utilisateurs ayant pris des mesures sur les ressources AWS.

Réponse : D) AWS Knowledge Center. Le AWS Knowledge Center contient les réponses aux questions les plus fréquemment posées sur la sécurité et d'autres sujets généraux, fournissant un référentiel consultable des conseils, des solutions de dépannage et des informations sur les meilleures pratiques AWS.

Réponse : A) AWS WAF. AWS WAF (Web Application Firewall) protège les applications web contre les exploits courants, notamment l'injection SQL et les attaques XSS. Les règles peuvent être configurées pour inspecter les requêtes HTTP/S et bloquer les modèles malveillants correspondants, offrant une protection au niveau applicatif.

Réponse : Accroître la disponibilité de l’application.
Explication : Répartir une application sur plusieurs AZ la rend plus résiliente en cas de panne locale (c’est un principe clé d’architecture cloud AWS).

Réponse : Amazon EC2 est considéré comme un service serverless.
Explication : Amazon EC2 fournit des serveurs virtuels, mais ce n’est pas du serverless (ex. Lambda l’est).

Réponse : C) Activer l'authentification multifacteur (MFA) pour une sécurité renforcée lors du processus de connexion. MFA est une meilleure pratique fondamentale de sécurité IAM qui ajoute un deuxième facteur (jeton matériel ou application d'authentification virtuelle) au processus de connexion, protégeant les comptes même si les mots de passe sont compromis.

Batch Transform : service optimisé pour traiter de grands volumes de données en mode asynchrone sans infrastructure endpoint persistante. Idéal pour l'inférence offline sur fichiers S3 stockés, car il scale automatiquement, réduit les coûts (pas de serveurs toujours actifs) et ne nécessite pas de latence faible. Contrairement aux Real-time Endpoints (interaction immédiate, coûteux 24/7) ou Serverless Endpoints (petits volumes, facturations à l'invocation), Batch Transform maximise l'efficacité économique et opérationnelle pour les traitements massifs non-interactifs.

Knowledge Base Bedrock : service managé qui indexe et stocke les documents externalement, puis injecte automatiquement dans le prompt uniquement les passages pertinents via RAG (Retrieval-Augmented Generation). Cela réduit drastiquement la taille des prompts comparé à inclure tous les PDF à chaque appel, limitant donc les tokens consommés et les coûts. Le fine-tuning sur tous les PDF serait coûteux en entraînement et peu flexible face aux mises à jour documentaires.

Workflow SageMaker Serverless Inference : L'artefact du modèle doit d'abord résider sur S3 (source obligatoire), ensuite vous créez la ressource modèle SageMaker qui référence cet artefact, puis la configuration d'endpoint serverless définit les paramètres de concurrence/mémoire, et enfin le déploiement instancie l'endpoint. Les autres options inversent cet ordre logique de dépendances.

Accuracy (exactitude) est la proportion de prédictions correctes parmi l'ensemble des prédictions : (Vrais Positifs + Vrais Négatifs) / Total. La Precision mesure la fiabilité des prédictions positives, le Recall la capacité à détecter tous les cas positifs, et le F1-Score est la moyenne harmonique de Precision et Recall — utile quand les classes sont déséquilibrées.

SageMaker Feature Store : référentiel centralisé stockant des features réutilisables pour entraînement (offline) et inférence (online). Contrairement à Data Wrangler (transformation), Processing (calcul) et Pipelines (orchestration), Feature Store assure gestion, versioning et accès rapide des features en production ML.

SageMaker Feature Store : repository centralisé qui stocke, version et partage des features engineered entre équipes et pipelines ML. Permet la réutilisation cohérente des features en offline (entraînement) et online (inférence). Data Wrangler prépare les données brutes, Clarify audite les biais, Model Cards documente les modèles—aucun ne gère le versioning et le partage de features à l'échelle.

Object detection : détecte et classe automatiquement les objets (animaux) dans les images sans annotation préalable, en localisant leurs positions via des boîtes englobantes. Contrairement à l'anomaly detection (qui identifie seulement les cas inhabituels), à la NER (qui extrait du texte) ou à l'inpainting (qui complète des images), seule la détection d'objets combine classification et segmentation spatiale pour catégoriser tous les animaux présents.

Apprentissage supervisé vs non supervisé : La classification supervisée nécessite des données étiquetées (labels) pour entraîner le modèle. Sans labels, on utilise l'apprentissage non supervisé comme le clustering (K-means, DBSCAN) pour découvrir des patterns cachés. C'est une distinction fondamentale en ML.

Amazon Comprehend : service NLP managé spécialisé dans l'analyse textuelle. Il détecte automatiquement les sentiments (positif/négatif), identifie les langues, extrait les entités nommées (personnes, lieux, organisations) et analyse la syntaxe. Contrairement à Lex (chatbots), Polly (synthèse vocale) ou Transcribe (transcription audio), Comprehend traite exclusivement le texte déjà disponible pour en extraire des insights.

Stable Diffusion XL : modèle de fondation spécialisé dans la génération d'images à partir de texte disponible sur Bedrock. Produit des images haute résolution, supporte les variantes détaillées et les styles personnalisés. Optimal pour la génération en masse d'assets marketing.

Sprint Backlog composition: The Sprint Backlog is a dynamic artifact containing three essential elements: the Sprint Goal (the purpose), selected Product Backlog Items (the scope), and a concrete plan for delivery (the execution strategy). This comprehensive structure ensures the Development Team understands not just what to build, but why and how, enabling self-organization and commitment to Sprint success.

Sprint Goal Definition: The Sprint Goal is the single, overarching objective that unifies all work during a Sprint. It provides focus for the Developers and allows flexibility in how they achieve it, distinguishing it from rigid task lists. This clarity prevents scope creep and aligns team efforts toward a shared outcome.

Scrum Master's Organizational Role: The Scrum Master serves the organization by leading and coaching it through Scrum adoption, helping teams and stakeholders understand Scrum principles and practices. This differs from operational tasks like sprint planning or budget management, which belong to other roles.

Scrum Values: Commitment, Courage, Focus, Openness, and Respect form the foundation of Scrum culture. These values enable trust, transparency, and effectiveness within teams. They guide behaviors and decisions, ensuring the Scrum framework achieves its purpose of delivering value through adaptive product development.

Answer: Inform PO and start the Sprint; remove or change selected items.
Explanation: When the Development Team realizes the workload exceeds capacity, they should inform the Product Owner and either start with what they can do or negotiate a reduction in scope — but the Sprint Goal must be preserved.

Artifact Commitments Framework: Each Scrum artifact has a commitment that provides direction and purpose. The Product Backlog's commitment is the Product Goal—a long-term objective describing the future state the product aims to achieve. This differs from the Sprint Goal (commitment of Sprint Backlog) and Definition of Done (quality standard), which are shorter-term or process-focused rather than strategic directional commitments.

Answer: Work remaining across time.
Explanation: Burndown charts track the amount of work remaining (on the Y-axis) over time (X-axis). They show whether the team is on track to complete the Sprint Backlog or Product Backlog by the target date.

Sprint Retrospective Purpose: Inspects the Sprint's process and outcomes to identify improvements. The team reflects on people, interactions, processes, and tools—not product features. Unlike Sprint Review (stakeholder feedback on Increment) or Sprint Planning (creating Sprint Backlog), Retrospective focuses on team performance and continuous process improvement.

Answer: True.
Explanation: The Scrum Guide explicitly states that the purpose of a Sprint is to deliver a Done, useful, and valuable product Increment every Sprint, creating a steady flow of value.

Why this answer is correct: In Scrum, the Product Owner is accountable for maximizing product value, which is measured through business outcomes like customer satisfaction, revenue impact, and market share—not merely output metrics. These outcomes reflect whether the product actually solves customer problems and delivers real business value.

Why the others are incorrect: Team velocity, number of features delivered, and Sprint completion rates are activity metrics that measure team output, not product success. A team can deliver many features quickly while failing to achieve meaningful business results or customer value, making these metrics poor indicators of true product success.

Why this is correct: According to the Scrum Guide 2020, the Product Owner and Developers are equal members of the Scrum Team with distinct accountabilities but no hierarchical relationship. They collaborate as peers to understand requirements, refine the Product Backlog, and deliver valuable increments.

Why the others are incorrect: The Product Owner does not direct technical work—the Developers are self-managing in how they accomplish Sprint goals. The Product Owner has no formal authority over Developers in the organizational hierarchy within Scrum. Finally, the Product Owner is involved throughout the Sprint, not just at boundaries, working continuously with Developers on refinement and clarification.

Openness and Respect are the correct values because transparent Product Backlog decisions demonstrate openness by sharing information clearly with the team and stakeholders, and respect by valuing their input and understanding of priorities. While Commitment and Focus are important Scrum values, they are not directly supported by transparency itself—transparency is the foundation that enables these values to flourish. Courage alone does not capture the collaborative nature of transparent decision-making.

Answer: Sprint Goal becomes obsolete, major strategy change.
Explanation: A Sprint is cancelled only when the Sprint Goal no longer has value — for example due to a major strategic pivot.

Answer: Remove items not addressed in a long time; only fully describe items when likely to be implemented.
Explanation: Maintaining a lean Product Backlog reduces waste. Items unlikely to be implemented consume refinement effort. Progressive elaboration — detailing items only when they approach implementation — avoids specifying work that may never be done.

Answer: Coach Scrum adoption, advise on removing obstacles at scale.
Explanation: The SM serves the broader organization by coaching Scrum adoption and helping remove systemic impediments.

Answer: DoD = quality commitment for the Increment.
Explanation: The Definition of Done sets the quality standard for each Increment and ensures transparency about what \'Done\' means.

Answer: Usable, conformant to the DoD, can be presented to stakeholders.
Explanation: An Increment may be partial but must be usable and meet the DoD. It does not need to include all originally planned features.

Answer: To inspect the product Increment with stakeholders and collect feedback on next steps.
Explanation: The Sprint Review creates a feedback loop between the Scrum Team and stakeholders. By demonstrating the actual Increment, the team gains input that shapes future Product Backlog ordering and product direction.

Answer: How the team collaborates; identifying high-priority process improvements for the next Sprint.
Explanation: The Sprint Retrospective focuses on the team's working relationships, processes, tools, and practices. The goal is to identify improvements that can be implemented in the next Sprint.

Indices de Performance (SPI et CPI) : SPI = 1,2 (>1) indique une avance calendaire, tandis que CPI = 0,7 (<1) révèle un dépassement budgétaire. Le projet progresse plus vite que prévu mais consomme davantage de ressources financières par unité de travail réalisée.

Stratégie face à risque probable mais faible impact : Selon le PMBOK 7e, face à une probabilité élevée mais impact financier faible, la surveillance active combinée à des plans de contournement est optimale. Cette approche réduit la probabilité d'occurrence (contrairement à l'acceptation passive). L'évitement serait disproportionné, la transférence coûteuse. On privilégie donc l'atténuation du risque : surveiller activement permet d'intervenir rapidement si le risque se matérialise.

Analyser la cause racine, simuler des scénarios (crashing, fast-tracking) et mettre en œuvre l’option la plus favorable au couple délai/valeur, puis suivre l’effet.

Elle permet de comprendre les interactions et interdépendances entre différents éléments du projet et de l’organisation, évitant une vision en silos.

Le domaine Incertitude dans le PMBOK 7e édition : Ce domaine représente une évolution majeure par rapport aux éditions précédentes, passant d'une approche traditionnelle centrée uniquement sur les "risques négatifs" à une vision holistique de l'incertitude. L'incertitude englobe tous les événements ou conditions dont l'occurrence est imprévisible et qui peuvent affecter les objectifs du projet, qu'ils soient négatifs (menaces) ou positifs (opportunités). Cette approche reflète la réalité des projets modernes où les opportunités sont aussi importantes à gérer que les menaces. Par exemple, une avancée technologique inattendue peut créer une opportunité de réduire les délais, tout comme un fournisseur défaillant crée une menace. Les autres réponses sont incorrectes car : celle mentionnant "uniquement les menaces identifiées au démarrage" ignore les opportunités et limite la gestion des risques à une seule phase ; celle excluant les risques des parties prenantes externes contredit le principe d'inclusion totale de l'incertitude ; et celle se limitant aux risques techniques exclut les risques organisationnels, externes et autres dimensions critiques. Cette distinction est fondamentale pour l'examen PMP et la pratique professionnelle.

Concept clé : Le domaine de gestion des Parties prenantes est l'un des douze domaines de performance du PMBOK 7e édition. Son objectif principal consiste à identifier, analyser et impliquer activement les parties prenantes tout au long du cycle de vie du projet pour assurer sa réussite. Ce domaine reconnaît que les projets ne sont jamais menés en isolation : ils impliquent des individus et des organisations qui ont des intérêts, des attentes et une influence variables sur les résultats. En cartographiant systématiquement les parties prenantes (clients, sponsors, équipe, fournisseurs, régulateurs, etc.), en analysant leur niveau d'intérêt et de pouvoir, puis en développant des stratégies d'engagement adaptées, le chef de projet maximise les chances de mobilisation des soutiens nécessaires et de mitigation des résistances. Cette approche proactive s'oppose à une gestion réactive des conflits. Les autres options sont incorrectes car : gérer uniquement les membres de l'équipe ignore les parties prenantes externes ; définir les critères de qualité relève du domaine de la Qualité ; choisir l'approche et le cycle de vie correspond au domaine de Planification. Dans un contexte agile, cette gestion est continue et itérative, intégrant les retours des parties prenantes à chaque itération.

Approche adaptative (agile) en environnement incertain : En contexte hautement incertain, l'approche adaptative permet une gestion proactive de l'incertitude par des cycles itératifs courts (sprints), des réévaluations régulières des exigences et un feedback continu des parties prenantes. Contrairement à l'approche prédictive qui suppose une définition complète du scope en amont, l'adaptative accepte le changement comme normal et le capitalise pour améliorer continuellement le produit. Le PMBOK 7e édition reconnaît que les environnements complexes et imprévisibles requièrent une flexibilité accrue. Les itérations courtes réduisent le risque d'écart entre les attentes et la livraison, tandis que le feedback régulier permet d'ajuster rapidement les priorités. L'approche prédictive (réponse 2) impose un plan rigide inadapté à l'incertitude. L'approche hybride sans feedback (réponse 3) combine les avantages sans en tirer parti. L'absence de planification (réponse 4) crée du chaos. Seule l'approche adaptative structure l'incertitude en l'intégrant dès la conception du projet.

Gestion des attentes contradictoires via concertation structurée : En gestion de projet (PMBOK 7e édition), les parties prenantes possèdent des intérêts divergents et des objectifs souvent incompatibles. La première étape consiste à organiser une concertation structurée impliquant les stakeholders clés, le sponsor et la gouvernance du projet. Cette démarche permet de : (1) clarifier explicitement chaque attente sans jugement, (2) documenter les priorités et les contraintes associées, (3) identifier les zones de chevauchement et de conflit, (4) co-construire un consensus ou un compromis acceptable par tous. La gouvernance du projet joue un rôle d'arbitrage neutre lorsque les conflits persistent, en s'appuyant sur la stratégie métier, les objectifs stratégiques et les critères de succès du projet. Cette approche évite trois pièges majeurs : ignorer délibérément certaines attentes (créant de la frustration et des risques de non-acceptation), reporter indéfiniment la décision (paralysant l'exécution et accumulant l'ambiguïté), ou lancer le développement sans clarification (générant des rework massifs et des dérives de scope). La concertation structurée s'aligne sur les principes agiles du PMBOK 7 valorisant la collaboration

Code d'éthique et de conduite professionnelle du PMI : Le PMI établit quatre valeurs fondamentales (Responsabilité, Respect, Équité et Honnêteté) qui constituent le socle de la conduite professionnelle des chefs de projet. Agir avec intégrité signifie être honnête dans toutes les communications, respecter ses engagements et prendre des décisions basées sur les principes éthiques plutôt que sur des intérêts personnels. Respecter la confidentialité exige de protéger les informations sensibles de l'organisation et des parties prenantes, conformément aux accords légaux et contractuels. Éviter les conflits d'intérêts implique de déceler et de déclarer toute situation où vos intérêts personnels pourraient influencer votre jugement professionnel.

Pourquoi cette réponse est correcte : Ces trois comportements reflètent directement le cadre éthique du PMI. Un chef de projet intègre gagne la confiance de son équipe et des parties prenantes, fondamentale pour la réussite du projet. Le PMBOK 7e édition renforce cette approche en mettant l'accent sur la performance de domaine incluant l'éthique.

Cette question correspond à l’objectif d’apprentissage FL-3.2.2 (K2) – Résumer les activités typiques du processus de revue.

La réponse correcte est a) 1C, 2A, 3D, 4B

● 1C) Correcte : La planification sert à organiser le processus, choisir le type de revue, les rôles, etc.
● 2A) Correcte : L’examen consiste à analyser le document individuellement.
● 3D) Correcte : La réunion permet à l’équipe de discuter des anomalies ensemble.
● 4B) Correcte : Le rework est le moment où l’auteur corrige ce qui a été signalé.

Cette question correspond à l’objectif d\'apprentissage FL-4.2.2 (K3) – Appliquer l’analyse des valeurs limites pour identifier les cas de test.
● a) Faux → 23 et 27 : limites extérieures uniquement
● b) Faux → 24 et 26 : limites valides, pas d’extérieures
● c) Correct → 23, 24, 26, 27 : couvre toutes les limites valides et invalides
● d) Faux → 22, 24, 26, 28 : trop éloigné des limites directes

Cette question correspond à l’objectif d’apprentissage FL-3.1.2 (K2) – Expliquer la valeur du test statique.

La réponse correcte est a) 1A, 2B, 3C, 4D

● 1A) Correct : Moins de défauts en production = moins de coûts en fin de cycle.
● 2B) Correct : Le test statique permet d’identifier les erreurs avant que le code soit écrit.
● 3C) Correct : Les revues statiques aident l’équipe à mieux comprendre les exigences.
● 4 D) Correct : Le test statique n’exécute pas le code, il l’analyse.

Cette question correspond à l’objectif d’apprentissage FL-3.1.2 (K2) - Expliquer la valeur du test statique.
● a) Correct → Les tests statiques permettent d’identifier des défauts sans exécuter le logiciel, via des revues ou des analyses statiques.
● b) Faux → Tester le logiciel en l’exécutant relève des tests dynamiques.
● c) Faux → Tester la performance du logiciel sous charge relève des tests de performance, qui sont des tests dynamiques.
● d) Faux → Les tests statiques ne concernent pas l’implémentation des tests automatisés.

Cette question correspond à l’objectif d\'apprentissage FL-6.1.1 (K2) – Expliquer comment différents types d\'outils de test soutiennent les tests.

● a) Faux → Les outils d’exécution et de couverture des tests sont conçus pour automatiser et mesurer l’exécution des tests, mais ne gèrent pas l’organisation des cas de test et des défauts.
● b) Faux → Les outils de test de non-régression sont utilisés pour vérifier que les modifications apportées au code n’introduisent pas de nouveaux défauts, mais ils ne gèrent pas directement les cas de test et les défauts.
● c) Correct → Les outils de gestion des tests permettent de structurer, suivre et centraliser les cas de test, les défauts détectés et les configurations de test.
● d) Faux → Les outils d’analyse statique examinent le code source sans exécuter le programme, mais ne permettent pas de suivre la gestion des tests et des défauts.

Cette question correspond à l’objectif FL-5.3.3 (K2) – Donner des exemples de communication de l’état d’avancement des tests.
● a) Faux → Trop technique, inutile pour un suivi métier.
● b) Faux → La revue de code concerne la qualité du code, pas l’avancement des tests.
● c) Correct → Le burndown chart est un excellent moyen visuel de suivre la progression dans le temps.
● d) Faux → Les commits ne donnent pas de vue globale sur l’exécution des tests.

Cette question correspond à l’objectif d’apprentissage FL-1.3.1 (K2) – Expliquer les sept principes du test.

Réponse correcte : a) i, ii, iii, v ont une influence significative ; iv non.

● i) Correct → Il est impossible de tester toutes les combinaisons d’entrées, ce qui limite la couverture des tests.
● ii) Correct → Certains défauts peuvent être masqués par d’autres erreurs et ne se manifester que plus tard.
● iii) Correct → Les tests sont conçus selon les spécifications, mais ne couvrent pas tous les scénarios réels.
● iv) Faux → Les tests ne sont pas uniquement axés sur la performance, ils incluent aussi la recherche de défauts.
● v) Correct → Modifier le logiciel peut introduire de nouveaux défauts, nécessitant des tests de régression.

Cette question correspond à l’objectif d’apprentissage FL-1.5.3 (K2) – Distinguer les avantages et les inconvénients de l\'indépendance du test.

● a) Correct → Une équipe trop indépendante peut manquer d’informations essentielles sur le produit et son contexte d’utilisation.
● b) Faux → Une plus grande objectivité est un avantage, et non un inconvénient.
● c) Faux → Une séparation trop marquée peut au contraire augmenter les conflits entre testeurs et développeurs.
● d) Faux → Une équipe totalement indépendante n’accélère pas forcément les tests, cela dépend de l’organisation en place.

Cette question correspond à l\'objectif d\'apprentissage FL-4.1.1 (K2) - Distinguer les  techniques de test boîte noire, boîte blanche et basées sur l\'expérience.
● a) Faux - Cette combinaison mélange des techniques basées sur l\'expérience (tests exploratoires) avec des techniques de test boîte noire (analyses de valeurs limites et tests par paires). Les tests par paires et les analyses de valeurs limites sont des
techniques systématiques basées sur les spécifications, pas sur l\'expérience.
● b) Correct - Cette combinaison contient uniquement des techniques basées sur l\'expérience :

○ Tests basés sur l\'intuition : utilisation de l\'expérience et de l\'intuition du testeur pour identifier les zones problématiques
○ Tests exploratoires : apprentissage, conception et exécution des tests simultanément
○ Tests basés sur les check-lists : utilisation de listes de contrôle développées à partir de l\'expérience pour guider les tests
● c) Faux - Cette combinaison contient principalement des techniques de test boîte blanche (tests de chemins et tests de couverture d\'instructions), avec une technique basée sur l\'expérience (tests basés sur les défauts). Les tests de structure interne sont clairement des techniques boîte blanche.
● d) Faux - Cette combinaison mélange des techniques de test boîte noire (partitionnement d\'équivalence), des techniques basées sur l\'expérience (tests basés sur les risques), et des techniques de test boîte blanche (tests de structure de
contrôle). Ce n\'est donc pas une liste de techniques uniquement basées sur
l\'expérience.

Cette question correspond à l\'objectif d\'apprentissage FL-2.2.3 (K2) – Distinguer les tests de confirmation des tests de régression.

La bonne réponse est c) 1A, 2B, 3A, 4B.

● 1A) Correct → Le test de confirmation (ou \"retest\") vérifie qu’un défaut corrigé est effectivement résolu.
● 2B) Correct → Le test de régression s’assure que la correction ou une nouvelle fonctionnalité n’a pas causé d’effets secondaires indésirables.
● 3A) Correct → Les tests de confirmation ciblent spécifiquement la correction appliquée et ne testent pas d’autres parties du système.
● 4B) Correct → Les tests de régression sont exécutés à une échelle plus large pourvérifier que le reste du système fonctionne toujours correctement.

Tabletop Exercise: A structured discussion-based simulation where team members walk through incident response procedures without actually executing them. This cost-effective method improves incident response by identifying gaps, clarifying roles, and testing communication plans. Unlike Failover (system switching) and Recovery (restoration), Tabletop focuses on planning and preparedness rather than technical implementation.

Answer: Full disk encryption.
Explanation: Full disk encryption (FDE) protects all data on a laptop by encrypting the entire drive. If the laptop is lost or stolen, the data remains inaccessible without the decryption key, protecting sensitive corporate information.

Answer: SSO (Single Sign-On).
Explanation: SSO allows users to authenticate once with their existing domain credentials and gain access to multiple applications without re-entering credentials. This reduces credential proliferation and improves security through centralized authentication.

Incident Response Primary Goal: Minimize damage and recovery time when security breaches occur. Organizations cannot prevent all incidents, so IR focuses on containment, eradication, and restoration. Prevention (A) is proactive security; punishment (B) and reporting (C) are secondary actions following IR procedures.

Organized Crime Motivation: Cybercriminals operating in organized groups target financial systems, data theft, and ransomware for direct monetary gain. Unlike hacktivists (ideological), insider threats (access-based), or Shadow IT (operational workarounds), organized crime exclusively pursues profit through illegal cyber activities.

Vulnerability Scanning: An automated security tool that systematically scans systems to detect weaknesses, misconfigurations, and unpatched software before attackers exploit them. Unlike penetration testing (which simulates actual attacks) or packet sniffing (which captures network traffic), vulnerability scanning provides proactive identification of security gaps.

Data Loss Prevention (DLP): A security technology that monitors, detects, and blocks unauthorized transmission of sensitive data outside the network perimeter. DLP specifically targets data exfiltration through email, cloud storage, and removable media. Unlike encryption (protects data at rest/transit), VPN (provides secure connections), or antivirus (detects malware), DLP actively enforces data handling policies and prevents unauthorized removal.

Password Manager and Unique Complex Passwords: This solution directly addresses password reuse by enabling employees to maintain distinct, complex credentials across accounts without memorization burden. Regular enforcement ensures compromised passwords cannot persist. While disk encryption protects data at rest and antivirus defends against malware, neither prevents password reuse. Network segmentation controls lateral movement but doesn't mitigate credential compromise risks from reused passwords.

Spyware: malware that covertly monitors user activity, captures keystrokes, browsing habits, and personal data without consent. Unlike worms (self-replicating network threats), rootkits (privilege escalation tools), or botnets (command-controlled networks), spyware's primary function is silent surveillance and information theft.

Data Classification: a systematic process that categorizes information based on sensitivity and value to determine security controls. Organizations assign protection levels (public, internal, confidential, restricted) to ensure resources match actual risk. While compliance and cost reduction may result, the PRIMARY purpose is establishing appropriate safeguards—not identifying vulnerabilities or cutting expenses.

Azure Databricks : plateforme collaborative fondée sur Apache Spark, optimisée pour le traitement distribué de Big Data et le machine learning. Elle combine Spark (moteur de calcul puissant) avec un environnement notebook intégré et des outils ML. Contrairement à Azure Synapse Analytics (orientée data warehousing/SQL) ou Azure Machine Learning (ML spécialisé), Databricks excelle dans le traitement massif de données non structurées et les workflows Big Data collaboratifs.

Azure SQL Database : service PaaS qui offre une base de données relationnelle SQL entièrement managée. Microsoft gère les mises à jour, sauvegardes et haute disponibilité, vous concentrant sur les données. À distinguer de Cosmos DB (NoSQL documentaire), Blob Storage (stockage objet) et Files (partages réseau).

OLTP (Online Transaction Processing) optimise les transactions rapides et fréquentes : insertions, mises à jour, suppressions d'enregistrements individuels (ex. : saisie d'une commande, retrait bancaire). Les requêtes sont simples et touchent peu de lignes. OLAP (Online Analytical Processing) optimise les requêtes analytiques complexes sur de grands volumes de données historiques : agrégations, tendances, dimensions multiples (ex. : ventes par région par trimestre). Azure SQL est adapté à l'OLTP ; Azure Synapse Analytics à l'OLAP (data warehouse).

Un entrepôt de données (Data Warehouse) est un référentiel centralisé de données historiques optimisé pour les requêtes analytiques et le reporting. Différences avec une base opérationnelle : (1) Orientation : DW = sujets métier (ventes, clients) vs DB = processus (commandes, factures) ; (2) Temporalité : DW = données historiques sur plusieurs années vs DB = données courantes ; (3) Volumétrie : DW = téraoctets/pétaoctets vs DB = gigaoctets ; (4) Optimisation : DW = lectures complexes (OLAP) vs DB = lectures/écritures simples (OLTP). Azure Synapse SQL Pool est le DW natif d'Azure.

APIs natives d'Azure Cosmos DB : Cosmos DB supporte nativement 5 APIs : SQL Core, MongoDB, Cassandra, Gremlin et Table. MySQL n'en fait pas partie. Bien que Azure propose un service MySQL séparé (Azure Database for MySQL), Cosmos DB ne l'implémente pas. Les trois autres options (MongoDB, Cassandra, Gremlin) sont toutes supportées nativement par Cosmos DB pour différents modèles de données.

Azure Data Factory est un service cloud d'orchestration et d'automatisation conçu pour gérer des pipelines de mouvement et de transformation de données à grande échelle, permettant de créer des workflows complexes de traitement de données. Azure Cosmos DB fournit les services NoSQL, Azure SQL Database gère les bases de données relationnelles, et Azure Stream Analytics est spécialisé dans l'analyse de données IoT en temps réel. Azure Data Factory se concentre uniquement sur l'orchestration et l'automatisation des pipelines de données.

Azure Cosmos DB : base de données NoSQL native du cloud, conçue pour supporter plusieurs modèles de données (documents, clé-valeur, graphe, colonnes). Elle offre une réplication automatique et transparente across régions géographiques avec garanties de latence faible et haute disponibilité via SLA. Contrairement à PostgreSQL (relationnel), Blob Storage (objet) ou SQL Managed Instance (SQL traditionnel), Cosmos DB combine flexibilité multi-modèle et distribution mondiale.

Donnée structurée : données organisées selon un schéma fixe prédéfini, typiquement en lignes et colonnes (tables relationnelles). Cette structure permet une requête et une analyse rapides. Contrairement aux données non structurées (images, vidéos, textes libres) ou semi-structurées (JSON, XML), les données structurées ont des colonnes bien définies avec des types de données précis, facilitant le traitement et la gestion dans des bases de données comme SQL Server ou Azure SQL.

Entrepôt de données (Data Warehouse) : système optimisé pour stocker et analyser d'énormes volumes de données historiques via des requêtes complexes. Contrairement aux bases OLTP (transactionnelles, rapides mais limitées), un data warehouse comme Azure Synapse Analytics structure les données en schémas analytiques pour explorer des tendances. Le stockage Blob Archive convient au long terme mais pas à l'analyse interactive.

Le schéma en étoile (Star Schema) est un modèle de données pour les entrepôts de données et OLAP. Il centre une table de faits (métriques mesurables : ventes, quantités, montants) entourée de tables de dimensions (contexte : date, produit, client, région). Cette structure dénormalisée (légère redondance intentionnelle) optimise les requêtes analytiques car les jointures sont simples et peu nombreuses. C'est le modèle favori de Power BI et Azure Synapse Analytics. Le schéma en flocon (Snowflake Schema) normalise davantage les dimensions mais complexifie les requêtes.

Réponse : Vrai
Explication : Les éléments de coût sont intégrés aux comptes G/L : les primaires et secondaires existent comme comptes G/L avec une catégorie d’élément de coût.

Réponse : La Financial Statement Version (FSV).
Explication : La FSV agrège les comptes GL et calcule les sous‑totaux pour la publication des états.

Réponse : Vrai
Explication : Les espaces/pages offrent une navigation structurée par rôle et scénario ; les groupes sont considérés comme héritage et peuvent coexister durant la transition.

Le Journal Universel (stocké dans la table ACDOCA) est le cœur de S/4HANA qui consolide toutes les écritures comptables de la Finance (FI), du Contrôle de Gestion (CO) et de la Gestion d'Actifs dans une source unique unifiée, éliminant les transferts de données redondants. Les autres réponses sont incorrectes : le « Nouveau Module de Comptabilité d'Actifs » n'existe pas comme entité de consolidation centrale, le « Ledger Étendu » est une configuration additionnelle et non un point de consolidation principal, et la « Comptabilité des Centres de Profit » est un sous-module CO spécialisé, pas un point de consolidation global.

Réponse : Écritures périodiques (accruals/deferrals) ; Valorisation de change ; Nettoyage GR/IR ; Lettrage automatique F.13 ; Revue des comptes et justification des variations.
Explication : Ces actions sécurisent l’exhaustivité et la fiabilité des états financiers.

La compensation (Clearing) est le processus qui rapproche et solde des postes ouverts (créances ou dettes) en les marquant comme « compensés ». Elle est déclenchée lorsqu'un paiement entrant (client) ou sortant (fournisseur) est reçu et rattaché à la facture correspondante. La compensation peut être automatique (programme F.13 ou app dunning) ou manuelle (F-32 client, F-44 fournisseur). Un poste compensé ne figure plus dans la liste des postes ouverts et le solde du compte collectif reflète l'encours réel.

Réponse : Une écriture d’ajustement de valeur en plus de l’amortissement planifié lorsque la valeur recouvrable diminue.
Explication : Elle corrige la valeur comptable indépendamment de la clé d’amortissement.

La bonne réponse : Le compte de rapprochement GR/IR (Réception de Marchandises/Réception de Facture) est utilisé pour réconcilier les réceptions de marchandises contre les réceptions de factures, en éliminant les différences temporelles entre la livraison et la facturation. Lorsqu'une marchandise est reçue mais que la facture n'a pas encore été traitée, le compte GR/IR enregistre cette différence temporaire jusqu'à la réception de la facture. Pourquoi les autres réponses sont incorrectes : Les transactions inter-sociétés utilisent des comptes de compensation inter-sociétés spécifiques, pas le compte GR/IR. Les écritures de reclassement sont enregistrées directement au grand livre sans passer par GR/IR. Enfin, les revenus bruts sont gérés dans les comptes de ventes, pas dans un compte de rapprochement de réception.

Réponse : Le segment apparaît dans la configuration d'affectation supplémentaire des comptes ; le segment apparaît dans la disposition d'écran pour la fiche immobilisation. Explication : L'activation de la présentation par segment dans FI-AA ajoute le champ segment à deux zones : la configuration de l'affectation des comptes (pour la dérivation automatique du segment dans les comptabilisations) et la disposition d'écran de la fiche immobilisation (pour l'affectation manuelle ou l'affichage).

Dans S/4HANA, l'intégration FI-AA est totale : chaque transaction d'actif (acquisition, cession, amortissement) génère simultanément un document d'immobilisation (dans le sous-module AA) ET un document comptable FI avec les écritures sur les comptes de bilan. Il n'y a plus de réconciliation périodique nécessaire comme en ECC — les deux modules sont synchronisés en temps réel. Le document d'immobilisation contient les données spécifiques (zone d'évaluation, clé d'amortissement) ; le document FI contient les imputations comptables.

L'Assemblée nationale française est composée de 577 députés, élus au suffrage universel direct pour 5 ans au scrutin uninominal majoritaire à deux tours. 348 est le nombre de sénateurs au Sénat (élus pour 6 ans par les grands électeurs). L'Assemblée nationale a le dernier mot sur le Sénat en cas de désaccord sur un texte de loi. Les 705 eurodéputés français (sur 720 au total) siègent au Parlement européen à Strasbourg.

Le rôle du maire : élu local, il représente l'État dans sa commune et gère ses affaires (état civil, urbanisme, écoles). Contrairement au préfet nommé par l'État, le maire est élu par les citoyens et n'a pas autorité sur les départements.

Le 14 juillet est la Fête nationale française, commémorant la prise de la Bastille le 14 juillet 1789, symbole du début de la Révolution française et de la fin de l'absolutisme royal. Cette date est fériée depuis la loi du 6 juillet 1880. Le 8 mai commémore la victoire des Alliés en Europe (1945). Le 11 novembre est l'armistice de 1918 (fin de la Première Guerre mondiale). Le 1er mai est la fête du Travail.

L'appel du 18 juin 1940 est un discours radiodiffusé depuis Londres par le général Charles de Gaulle sur les ondes de la BBC, appelant les Français à refuser la capitulation face à l'Allemagne nazie et à continuer le combat. Il marque la naissance de la France Libre. Le lendemain de l'armistice signé par le maréchal Pétain (22 juin 1940), de Gaulle refuse la défaite et incarne la Résistance depuis l'étranger. Il est considéré comme l'un des textes fondateurs de la République gaulliste et figure au patrimoine immatériel de l'UNESCO depuis 2005.

La Prise de la Bastille (14 juillet 1789) : cet événement symbolise le début de la Révolution française. La Bastille, forteresse-prison représentant l'absolutisme royal, est stormiée par le peuple parisien. Le 5 mai 1789 marque l'ouverture des États généraux (réunion consultative), et le 4 août 1789 correspond à l'abolition des privilèges féodaux. C'est le 14 juillet qui reste la date fondatrice, d'où son statut de fête nationale française.

Pour une naturalisation par mariage, la vie commune doit être continue et effective pendant la durée exigée (4 ans minimum). Une séparation temporaire peut remettre en cause la continuité et conduire au rejet du dossier. L'administration vérifie la réalité de la vie commune via des preuves concrètes : bail commun, factures, attestations. Une séparation de corps ou une procédure de divorce en cours est rédhibitoire.

La Norvège n'est pas membre de l'Union européenne. Elle a refusé l'adhésion par deux référendums (1972 et 1994). La Norvège fait partie de l'Espace économique européen (EEE) et de l'espace Schengen, mais n'est pas soumise aux décisions des institutions européennes. Portugal, Grèce et Slovaquie sont tous membres de l'UE. Autres non-membres notables : Suisse, Royaume-Uni (depuis le Brexit de 2020), Islande, Turquie.

La Première République française fut proclamée le 21 septembre 1792, lors de la première réunion de la Convention nationale, au lendemain de la victoire de Valmy. Elle succédait à la monarchie constitutionnelle établie en 1791. 1789 = début de la Révolution (prise de la Bastille) et monarchie constitutionnelle. 1804 = proclamation du Premier Empire par Napoléon Bonaparte. La Première République prit fin en 1799 avec le coup d'État du 18 Brumaire.

La Constitution du 4 octobre 1958 est la loi fondamentale de la Ve République. Elle définit les institutions, les pouvoirs du Président, du gouvernement et du Parlement. Son préambule renvoie à la Déclaration de 1789 et au préambule de 1946 (qui consacre les droits sociaux). La Constitution de 1946 était celle de la IVe République. La Déclaration de 1789 et le préambule de 1946 ont valeur constitutionnelle mais ne constituent pas à eux seuls la loi fondamentale actuelle.

Depuis la réforme constitutionnelle de 2000 (référendum), le mandat présidentiel est passé de 7 ans (septennat) à 5 ans (quinquennat). Cette réforme visait à aligner le mandat présidentiel avec celui des députés de l'Assemblée nationale et à réduire les risques de cohabitation prolongée. Le premier quinquennat fut celui de Jacques Chirac élu en 2002. Avant 2000, tous les présidents depuis de Gaulle avaient un mandat de 7 ans.

Réponse : Flux de valeur et processus.
Explication : La dimension \'Flux de valeur et processus\' se concentre sur les activités et leur coordination pour créer de la valeur. Elle définit comment les différentes parties d\'une organisation collaborent pour livrer des services.

Réponse : 1 et 4.
Explication : La résolution d\'un problème implique l\'amélioration continue (identifier et éliminer la cause) et le contrôle des changements (implémenter la correction de manière contrôlée et sécurisée).

Réponse : Habilitation des changements.
Explication : En ITIL 4, l\'habilitation des changements est responsable du déplacement des composants vers les environnements de production, garantissant que les changements sont correctement contrôlés et autorisés avant mise en production.

Réponse : Assurance qu\'un produit ou service répondra aux exigences convenues.
Explication : La garantie est l\'assurance qu\'un produit ou service répondra aux exigences convenues. Elle couvre la disponibilité, la capacité, la continuité et la sécurité du service fourni.

Réponse : Déterminer qui est le consommateur du service dans chaque situation.
Explication : Lors de l\'application du principe \'Privilégier la valeur\', la première étape est d\'identifier qui est le consommateur, car la valeur est toujours définie du point de vue du consommateur du service.

Réponse : Maximiser le nombre de changements informatiques réussis en vérifiant que les risques sont correctement évalués.
Explication : Maximiser les changements informatiques réussis en évaluant correctement les risques est un objectif central de la gestion des services, que le centre de services contribue à atteindre en coordonnant les demandes.

Réponse : Progresser par itérations avec des retours.
Explication : Le principe \'Progresser par itérations avec des retours\' recommande de diviser le travail en petites étapes gérables avec des boucles de feedback fréquentes pour s\'adapter et corriger rapidement.

Réponse : Résultats souhaités par une partie prenante.
Explication : Les résultats (outcomes) sont les effets souhaités par une partie prenante. Ils diffèrent des livrables (outputs) : le résultat est la valeur créée pour le consommateur, pas le produit livré.

Réponse : Elle permet de diriger l\'incident vers la zone de support appropriée.
Explication : La catégorisation des incidents permet de les acheminer rapidement vers la bonne équipe de support, ce qui accélère leur résolution et améliore l\'efficacité du processus.

Réponse : Il devrait y avoir au moins une petite équipe qui se consacre à la conduite des efforts d\'\"amélioration continue\".
Explication : ITIL 4 recommande qu\'une équipe dédiée, même réduite, pilote les efforts d\'amélioration continue pour maintenir le focus et la cohérence, sans que cela n\'empêche toute l\'organisation d\'y contribuer.

• Microsoft Secure Score se trouve dans le Microsoft 365 security center.

• Il permet de :

  • Voir le score actuel de sécurité de l’organisation

  • Accéder à des recommandations et actions pour améliorer la sécurité

• Les autres options ne donnent pas l’accès complet à Secure Score :

  • A : Azure AD Security montre certains paramètres, mais pas le score complet Microsoft 365.

  • C : Microsoft 365 admin center > Reports ne fournit pas le Secure Score détaillé.

  • D : Defender for Endpoint montre le posture de sécurité endpoints, pas le score global Microsoft 365.

• Les abonnements Microsoft 365 peuvent être renouvelés automatiquement avec des méthodes de paiement directes comme :

  • Carte de crédit

  • Prélèvement bancaire

  • PayPal

• La facturation par invoice (facture) nécessite un paiement manuel pour chaque période, donc le renouvellement automatique n’est pas possible.

Dans Microsoft Lists, la mise en forme de colonne (Column formatting) permet d’appliquer un style visuel conditionnel à une colonne spécifique.

👉 Elle permet notamment :

• De modifier la couleur d’arrière-plan

• De changer la couleur du texte

• D’ajouter des icônes

• D’appliquer des règles conditionnelles (ex : si la valeur < seuil → fond rouge)

Cette fonctionnalité utilise du JSON en arrière-plan, mais du point de vue fonctionnel, la capacité recherchée est bien la mise en forme de colonne.

Le programme Cloud Solution Provider (CSP) permet aux organisations :

• D’acheter des licences Microsoft 365 via un partenaire Microsoft, qui gère la facturation et le support.

• De modifier le nombre de licences chaque mois (ajouter ou supprimer des utilisateurs) sans engagement annuel rigide.

• De bénéficier d’un accompagnement personnalisé via le partenaire.

Le Service Health Dashboard dans le centre d’administration Microsoft 365 permet :

• De consulter l’état actuel des services (Exchange, SharePoint, Teams, etc.)

• De voir les incidents en cours

• D’obtenir des mises à jour en temps réel

• De recevoir des avis et recommandations

Il aide les administrateurs à comprendre si un problème vient de Microsoft ou de leur propre environnement.

❌ Pourquoi les autres réponses sont incorrectes :

• A. Configurer des SLA personnalisés → Impossible. Les SLA sont définis par Microsoft.

• C. Correction automatique des incidents → Le dashboard informe, mais ne corrige pas automatiquement.

• D. Rapports mensuels détaillés de conformité SLA → Ce n’est pas sa fonction principale. Il montre l’état des services, pas des rapports analytiques mensuels complets.

  🎯 À retenir pour l’examen MS-900 :

  • Service Health Dashboard = visibilité en temps réel sur l’état des services Microsoft 365

  • Il informe, mais ne configure pas de SLA ni ne corrige automatiquement les incidents.

• La section Token Usage :

  • Montre le nombre total de tokens AI utilisés par votre organisation sur une période donnée.

  • Permet de suivre l’utilisation et estimer les coûts liés à l’usage de Copilot.

• Les autres sections ne fournissent pas cette information :

  • User Engagement → suit l’activité des utilisateurs avec Copilot.

  • Prompt Library → contient les prompts enregistrés et réutilisables.

  • Security Insights → fournit des informations de sécurité et de conformité.

    🎯 À retenir pour l’examen MS-900 :

    • Token Usage = suivi de la consommation de tokens et des coûts Copilot

    • Les autres sections se concentrent sur activité utilisateur, sécurité ou prompts.

• PaaS fournit un environnement cloud prêt à l’emploi pour développer, exécuter et gérer des applications ou traitements, sans gérer l’infrastructure sous-jacente (VM, stockage, réseau).

• Dans ce scénario :

  • L’équipe peut créer et exécuter des jobs big-data

  • Tout l’environnement est géré par le fournisseur (ex. Azure Synapse Analytics, Azure Databricks)
    
    

    🎯 À retenir pour l’examen MS-900 :

    • PaaS = plateforme gérée pour créer et exécuter des applications ou jobs sans gérer l’infrastructure

    • IaaS = gérer l’infrastructure

    • SaaS = utiliser l’application

    • Hybrid = combinaison cloud et on-prem

• La Timeline view (vue Chronologie) permet :

  • D’afficher les tâches ou phases sur une ligne de temps

  • De visualiser clairement les dates de début et de fin

  • D’avoir une vue simple et synthétique adaptée à un partage dans Teams

Elle est idéale pour donner une vue globale rapide du projet.

❌ Pourquoi les autres réponses sont incorrectes :

• A. Gantt Chart view → Plus détaillée et orientée gestion avancée (dépendances, planification complexe). Moins “simple” pour un aperçu rapide.

• B. Project Roadmap → Sert à consolider plusieurs projets, pas juste à afficher un planning simple d’un projet.

• D. Calendar view → Affiche les tâches par date dans un calendrier, mais ne donne pas une vision linéaire claire des phases.

🎯 À retenir pour l’examen MS-900 :

• Timeline view = vue simple et visuelle des dates de début et fin

• Gantt = gestion avancée

• Calendar = vue mensuelle/journalière
  Roadmap = consolidation multi-projets
  
  

• Dans un environnement hybride, vous continuez à utiliser votre infrastructure locale (CapEx) pour certains services ou serveurs AD.

• En parallèle, vous payez des abonnements cloud Azure AD Premium et éventuellement des services de synchronisation de données, ce qui constitue des dépenses d’exploitation (OpEx).

• Les autres options sont incorrectes :

  • A : Faux, le CapEx sur site reste nécessaire.

  • B : Faux, ce n’est pas un double paiement intégral.

  • C : Faux, l’utilisation d’Azure AD introduit bien des coûts OpEx.

• Co-authoring permet à plusieurs utilisateurs de :

  • Modifier un même fichier PowerPoint simultanément

  • Voir en temps réel les modifications des autres collaborateurs

• Les autres options ne permettent pas la collaboration en temps réel :

  • A : Presenter View sert à l’affichage du présentateur lors d’une présentation.

  • B : Version History permet de voir ou restaurer des versions précédentes, pas la coédition en temps réel.

  • D : Slide Show affiche le diaporama mais ne gère pas l’édition collaborative.

Pourquoi Purview Sensitivity Labels :

• Permet de classer et protéger les documents et emails

• Applique automatiquement :

  • Chiffrement au repos et en transit

  • Restrictions d’usage (ex. ne pas copier, ne pas imprimer, ne pas transférer) même lorsque le fichier est téléchargé ou partagé en externe

• Contrôle la protection persistante des fichiers, indépendamment du lieu où ils sont ouverts

Le pilier Performance Efficiency du Azure Well-Architected Framework concerne :

• La capacité d’un système à s’adapter aux variations de charge

• L’autoscaling

• L’optimisation des ressources

• Le dimensionnement dynamique

• L’utilisation de services PaaS et serverless pour ajuster automatiquement la capacité

Dans ce scénario :

• Il faut gérer des pics saisonniers

• Éviter le surprovisionnement

• Adapter automatiquement les ressources

👉 Cela correspond parfaitement au pilier Performance Efficiency.

• Microsoft indique officiellement que pour un RPO très court sur Blob Storage, il faut utiliser Azure Backup avec des snapshots fréquents (option D)

• Continuous backup est utile mais dans certains contextes / préversions, et n’est pas la configuration par défaut pour répondre aux SLA stricts d’entreprise.

• Immutable vaults (coffres immuables) dans Azure Backup :

  • Empêchent toute modification ou suppression des points de récupération pendant une période définie

  • Garantissent la récupération fiable après ransomware ou suppression accidentelle

  • Permettent de fournir une preuve de conformité aux audits et metrics MCSB

• Complément :

  • MCSB (Microsoft Cloud Security Benchmark) recommande des backups immuables pour les données critiques, en particulier pour le secteur de la santé

• Air-gapped backups : sauvegardes isolées du réseau principal pour empêcher toute attaque ransomware ou accès malveillant

• Recovery Services Vault dans une souscription séparée :

  • Sépare physiquement la gestion des backups de l’environnement de production

  • Permet RBAC strict et contrôle d’accès granulaire

  • Empêche les attaques réseau ou les utilisateurs compromis dans la souscription principale d’atteindre les sauvegardes

• Approche recommandée par Microsoft pour Protection contre ransomware et menaces internes sur les données critiques opérationnelles

• Problème : les applications legacy utilisent souvent des protocoles d’authentification non sécurisés (ex : IMAP, POP3, SMTP Auth)

• Ces protocoles contournent Conditional Access, ce qui crée une surface d’attaque importante

• Solution Microsoft recommandée pour Zero Trust :

  • Bloquer la legacy authentication dans Conditional Access

  • Appliquer MFA et autres contrôles modernes uniquement sur les applications et utilisateurs qui supportent les protocoles modernes

  • Réduire considérablement le risque de compromission des identités

Azure AD PIM permet de :

• Gérer les rôles Azure AD et Azure RBAC sensibles

• Fournir un accès Just-in-Time (JIT) pour limiter le temps pendant lequel un utilisateur a des privilèges élevés

• Exiger approbations ou vérifications périodiques pour l’accès aux rôles privilégiés

• Générer des logs d’audit et rapports pour le suivi des activités

Pourquoi c’est adapté :

• Le besoin est validation continue de l’accès privilégié

• PIM est la solution native Microsoft pour le contrôle et la gouvernance des comptes à privilèges élevés

• JIT réduit la fenêtre de risque en n’octroyant des droits qu’au moment nécessaire

• Internal VNet mode :

  • Le service API Management est accessible uniquement depuis le réseau virtuel Azure interne

  • Les API ne sont pas exposées sur Internet

  • Compatible avec les applications internes critiques, comme les applications financières

• External VNet mode :

  • Le service reste accessible depuis Internet, même s’il est connecté à un VNet

  • Ne répond pas à l’exigence de sécurité interne

• Developer portal avec accès public désactivé :

  • Protège uniquement le portail de développement, pas les API elles-mêmes

• Azure Monitor private endpoints :

  • Assure la collecte de télémétrie en privé

  • Ne limite pas l’accès aux APIs

• Intune Device Compliance Reports permettent de :

  • Voir exactement quelles règles ne sont pas respectées pour chaque appareil

  • Identifier si le problème vient de BitLocker, antivirus, ou autre

  • Prendre des mesures correctives précises plutôt que de contourner la politique

• Cette approche assure que :

  • La conformité et la sécurité restent intactes

  • Les utilisateurs bloqués obtiennent une explication et un correctif ciblé

• ISO 27001 exige, entre autres :

  • Le contrôle strict des privilèges élevés

  • L’auditabilité et la traçabilité de l’accès aux ressources sensibles

• Azure AD PIM :

  • Fournit un accès Just-in-Time aux rôles à privilèges élevés

  • Chaque activation est journalisée et auditable

  • Permet de réduire le risque de sur-privatisation et de répondre aux exigences ISO 27001 sur le contrôle d’accès

La solution la plus simple est de changer le compte de facturation de vos projets pour celui de l'entreprise. Cela redirige immédiatement tous les coûts vers la facture de l'entreprise sans configuration supplémentaire.

La bonne pratique GCP est d'utiliser les comptes de service comme filtres source/cible dans les règles de pare-feu plutôt que des plages IP, ce qui permet un contrôle plus précis. Les règles doivent autoriser uniquement TCP 8080, pas tout le trafic.

Accorder le rôle Storage Object Creator directement au compte de service de la VM sur le bucket cible (corp-aggregate-reports-storage) est la méthode la plus simple. La VM peut alors écrire dans ce bucket cross-projet sans configuration réseau supplémentaire.

Créer un nouveau projet séparé est la seule façon de garantir qu'il n'y a aucune route réseau entre les environnements (les projets séparés sont isolés par défaut). Un Shared VPC créerait justement des routes entre projets, violant l'exigence de sécurité.

Créer une instance sans adresse IP publique garantit qu'elle n'est pas accessible directement depuis Internet. Elle reste accessible via le VPN depuis le réseau on-premises. Private Google Access permet l'accès aux APIs Google, pas la suppression de l'IP publique.

gcloud iam roles copy avec le projet de destination est la méthode la plus rapide pour copier exactement les rôles IAM d'un projet à un autre en une seule commande, sans recréer manuellement chaque rôle.

Les uploads composites parallèles (parallel composite uploads) de gsutil divisent le fichier en morceaux et les uploadent simultanément, saturant ainsi la bande passante disponible. Avec 1 Gbps dédié, c'est la méthode la plus rapide pour un gros fichier.

Cloud Storage est la source de données native pour Cloud Dataflow et le staging recommandé pour les pipelines ETL GCP. gsutil gère efficacement les uploads de données non structurées. BigQuery est pour les données structurées, Cloud SQL/Spanner ne conviennent pas à des données hétérogènes.

Le flux correct est : build image Docker → push vers Container Registry → créer YAML Deployment → kubectl apply. Container Registry est le registre d'images GCP. Cloud Storage ne peut pas servir d'images Docker. kubectl ne déploie pas directement des Dockerfiles.

Pour utiliser un SSO externe (IdP tiers) avec Cloud Identity, il faut configurer Cloud Identity comme fournisseur de services (SP) et votre SSO d'entreprise comme fournisseur d'identité (IdP) tiers. C'est l'intégration SAML standard.

The Scrum Master should investigate why the team wants this change, coach them on the Daily Scrum's importance, and work to improve the event. This is servant-leadership and coaching—not rubber-stamping without understanding root causes. The Daily Scrum is a cornerstone of inspection and adaptation; removing it masks problems rather than solving them.

The best response shares relevant transparency: the Product Backlog and release projections allow Peter to understand progress toward objectives. This demonstrates the Scrum pillar of transparency and addresses his concerns constructively. P&L reports, impediment lists, or status reports are less relevant to productivity and progress concerns.

Correct answers: Options 1 and 3. Work not meeting the Definition of Done must not be included in the Increment (option 1), per the Scrum Guide. The remaining work should be estimated and returned to the Product Backlog (option 3) for the Product Owner to reprioritize. Options 0 and 2 violate the Definition of Done by including or splitting incomplete work, undermining transparency and quality.

The Daily Scrum is a timeboxed event essential for team synchronization, not optional. Options A and C are correct: Steven should coach the team on the Daily Scrum's purpose for self-organization and Sprint plan updates (A), and help them understand that reduced communication frequency increases disconnect (C). Options B and D are inappropriate—voting doesn't validate Scrum principles, and simply accepting the proposal abdicates the Scrum Master's coaching responsibility.

Correct: Option 3 - Self-organization is a core Scrum value that requires Development Teams to autonomously determine how best to accomplish their work within clear boundaries. Options 1 and 2 represent command-and-control approaches where management allocates resources, which undermines the team's self-organizing capability and violates Scrum principles.

True. The Scrum Guide specifies only these three roles and no other preconditions to start the first Sprint. While a Product Backlog is essential, it only requires enough items for the first Sprint. Everything else (tools, documentation, infrastructure) can be determined by the Development Team.

Correct answers: Options 2 and 4. Option 2 correctly identifies self-organization: creativity and exploration flourish when teams own decisions. Option 4 correctly shows self-organization: teams resolve internal conflicts without external intervention, maintaining momentum. Option 1 reflects command-and-control management, not self-organization. Option 3 is incomplete—knowing what to do is necessary but not sufficient for true self-organization.

Correct answer: Option 1. Postponing UAT until project end violates Scrum's transparency pillar and extends feedback loops dangerously, preventing early course correction. The Increment should meet Definition of Done (which includes UAT readiness) every Sprint. Option 2 ignores that DoD should include quality standards, Option 3 misunderstands self-organization, and Option 4 promotes the anti-pattern of hardening Sprints contrary to Scrum principles.

Arranging a triage meeting with project managers would be the least helpful because it removes decision-making from the Scrum Team and the organization's proper governance. The Scrum Master should instead consult the Development Team, prioritize impediments, and escalate to management about impact—keeping accountability within the Scrum Team first.

All answers apply. Merely adopting Scrum terminology without understanding and embodying Scrum principles will produce minimal organizational change. Teams will maintain familiar (often dysfunctional) behaviors, vocabulary becomes meaningless, management may feel comfortable due to unchanged dynamics, and the true benefits of Scrum—inspection, transparency, and adaptation—remain unrealized.

Réponse : Qualité d\'entrée inconnue due au développement par un tiers.
Explication : D est correct car la qualité d\'entrée inconnue provenant du développement par un tiers crée le plus grand risque d\'estimateur : variance élevée des taux de défauts, comportements d\'intégration imprévisibles et efforts de vérification imprévisibles qui gonflent directement les estimations de temps et ressources. Les hypothèses quantifiées deviennent invalides avec les entrées tierces.

Réponse : Pourcentage de couverture des exigences.
Explication : B est correct car le pourcentage de couverture des exigences quantifie directement l\'adéquation des tests par rapport à l\'objectif déclaré de valider que le système satisfait ses exigences. L\'efficacité du test dans un contexte piloté par les exigences repose sur la mesure objective de la complétude de la couverture des exigences et de la détection des non-conformités.

Réponse : L\'approche de test qui sera appliquée aux tests d\'intégration système..
Explication : C est correct car le plan directeur de test est un document au niveau du programme qui spécifie l\'approche de test de haut niveau pour les principaux niveaux de test, y compris les tests d\'intégration système. Le plan directeur communique la portée, les objectifs, l\'approche générale de test aux parties prenantes, tandis que les détails d\'exécution relèvent des plans subordonnés.

Réponse : Un aperçu détaillé de l\'approche de test basée sur les risques utilisée pour assurer la réalisation des critères de sortie..
Explication : D est correct car les cadres supérieurs non-spécialistes ont besoin d\'informations concises et orientées résultats, non d\'une exposition détaillée opérationnelle de l\'approche basée sur les risques. Un rapport doit prioriser l\'état versus objectifs, risques clés et atténuations, tendances et actions managériales recommandées pour décisions efficaces.

Réponse : Les critères d\'entrée et de sortie sont un moyen principal d\'obtenir des ressources adéquates..
Explication : C est correct car les critères d\'entrée et de sortie sont des portes de qualité objectives pour les transitions de niveau et la prise de décision, non des mécanismes destinés à sécuriser les ressources. Ils spécifient des conditions mesurables soutenant les décisions arrêt/go et protègent les activités en aval.

Réponse : La qualité de l\'estimation du développement peut être médiocre. / Utiliser le même pourcentage chaque fois ne tient pas compte du niveau de risque de l\'application à tester. / La maturité de l\'organisation, par exemple la qualité de la base de test, la qualité des tests de développement, la gestion de configuration, la disponibilité des outils de test, influencent également l\'effort requis pour le test..
Explication : Les réponses A, D et E désignent des sources distinctes de variance qu\'un simple pourcentage du développement ne peut pas capturer. A: les estimations de développement peuvent être inexactes, propageant l\'erreur d\'estimation. D: un pourcentage fixe ignore le risque spécifique, la criticité métier et les profils d\'impact des défauts. E: la maturité organisationnelle (qualité de la base de test, tests unitaires du développement, gestion de configuration, outils disponibles) influence directement l\'effort de test.

Réponse : 720.
Explication : Avec un taux de défaut constant et tous les retests réussis, le calcul du nombre de tests restants tient compte de la densité de défauts. Sur 800 tests initiaux avec 10% de défauts, 80 tests échouent. Après correction et retest réussi, 720 tests restent à exécuter pour atteindre la couverture complète.

Réponse : Inspections.
Explication : Les inspections (B) sont les moins appropriées car c\'est une technique d\'examen statique, axée sur les défauts, destinée à trouver des non-conformités dans les produits de travail plutôt qu\'à identifier proactivement les risques projet et produit. Les inspections utilisent des listes de contrôle et une approche orientée détection de défauts, tandis que l\'identification des risques nécessite une exploration prospective des incertitudes futures.

Réponse : Définir les attentes concernant les tâches et les livrables / Canaux de communication clairs / Cultures possiblement différentes.
Explication : BCD est correct. L\'externalisation introduit des ambiguïtés contractuelles sur les livrables, nécessite des canaux de communication robustes et expose le projet à des différences culturelles. La définition précise des attentes, des critères d\'acceptation et des SLA est essentielle pour éviter les dérives de périmètre et les litiges.

Réponse : Organiser une réunion avec la direction générale pour qu\'elle aborde l\'importance d\'une bonne qualité de test pour ce projet.
Explication : D est correct car l\'appui visible de la direction générale élève la priorité organisationnelle des tests, fournit une reconnaissance et supprime les obstacles systémiques. Cela augmente la signification de la tâche et aligne l\'effort individuel avec les objectifs organisationnels, motivant durablement l\'équipe.

A. Immediately send an API request with the update as a synthetic user message, generating an unsolicited assistant response. Incorrect. This creates an unsolicited interruption, which can feel unnatural and confusing in an active conversation. B. Append the status update as a prefix to the next user message before calling the API. Incorrect. This pollutes the user message and mixes system state with user intent, which can lead to misinterpretation. C. Configure the assistant to call a get_order_status tool at the start of every response. Incorrect. This is inefficient and unnecessary, especially when you already have the update via webhook. D. Add the current shipping status to the system prompt before the next API call. Correct. This cleanly injects up-to-date system state into context, allowing the assistant to naturally incorporate it into the next response without disrupting the conversation flow.

A. URLs that users can click to open the document in their browser. Incorrect. URLs are useful for users, but not ideal for agents performing multi-step workflows that require reliable referencing and further operations. B. Structured data containing document IDs and metadata for each result. Correct. This enables the agent to programmatically reference specific documents (via IDs) across multiple steps, making workflows like follow-up queries or document retrieval precise and reliable. C. A JSON array of document titles extracted from the search results. Incorrect. Titles alone are ambiguous and not stable identifiers, making it difficult for agents to reliably act on specific documents. D. More detailed human-readable descriptions including the size and authors. Incorrect. Helpful for users, but still unstructured and not suitable for precise multi-step agent operations.

A. Log the error server-side and return an empty result to avoid confusing the model Incorrect. This hides critical failure information, making it impossible for the agent to distinguish "no data" from "system failure." B. Throw an exception from the tool handler so the agent framework can catch and log it Incorrect. Exceptions are useful internally, but the agent still needs a structured tool response; raw exceptions don't reliably propagate useful context to the model. C. Return the error message in the tool result content with the isError flag set to true Correct. This is the proper MCP pattern: the tool explicitly signals failure using isError: true, while still providing a readable error message so the agent can decide whether to retry, escalate, or inform the user. D. Return a success response with a "status" field indicating the error type Incorrect. This is misleading because it treats failures as successful responses, which confuses downstream reasoning and tool orchestration. Thank you Thank you for being so interested in the If you have any feedback or thoughts on the bumps, I would love to hear them. Your insights can help me improve our writing and better understand our readers. Best of Luck You have worked hard to get to this point, and you are well-prepared for the exam Keep your head up, stay positive, and go show that exam what you're made of! Feedback More Papers Total: 85 Questions Link:

A. The synthesis agent needs tools that can fetch results directly from the other agents' conversation histories. Incorrect. Agents do not require direct access to each other's histories. Proper orchestration passes outputs explicitly via prompts. B. The synthesis agent's context window is not large enough to hold the combined outputs from both previous agents. Incorrect. If this were the issue, the agent would receive truncated data, not no data at all. The error indicates missing inputs entirely. C. The subagents need to share a single API connection to enable automatic context sharing between invocations. Incorrect. Agent communication does not depend on shared API connections. Context must be explicitly passed by the coordinator. D. The coordinator did not include the outputs from the previous agents in the synthesis agent's prompt. Correct. The synthesis agent can only act on the information provided in its prompt. If prior outputs are not passed, it will report missing research findings.

A. Implement post-processing to detect and strip common greeting phrases from response beginnings Incorrect. This is a fragile fix and can accidentally remove useful or context-specific language. B. Add system prompt instructions specifying phrases to avoid, such as "Never begin responses with 'Certainly' or similar affirmations" Correct. This directly addresses the root cause by guiding generation behavior consistently across all turns. It prevents repetition before it happens, rather than cleaning it up afterward. C. Lower the temperature parameter to make response openings more deterministic and less variable Incorrect. Lower temperature reduces variability but often increases repetition patterns, not reduces them. D. Append a partial assistant message with a direct response opening that the model will continue from Incorrect. This can shape a single response style, but it does not reliably eliminate repetitive openings across an entire conversation.

A. Create separate search products and fetch more results tools for pagination. Incorrect. This exposes pagination mechanics to the agent, increasing complexity and coupling tool usage with control flow. B. Implement server-side relevance ranking and return only the top 50 most relevant items. Incorrect. While this reduces latency, it removes access to the full result set, limiting flexibility when more results are actually needed. C. Add a max pages parameter (default: 2) that controls how many pages are fetched internally. Incorrect. This is an improvement over fetching everything, but it still hides pagination control inside the tool and may fetch unnecessary data. D. Return the first page with total match count and cursor for additional pages. Correct. This enables lazy loading and explicit control, allowing the agent to fetch more results only when needed-- balancing performance and completeness.

A. Structured JSON consumes significantly fewer tokens than natural language, substantially reducing API costs. Incorrect. Token usage depends on the content; JSON is not inherently more compact than text and may sometimes use more tokens. B. The agent can reliably extract specific values without parsing free form text, reducing errors in subsequent operations. Correct. Structured output provides clear, predictable fields, making it easy for the agent to use the data accurately in downstream steps. C. Structured JSON is processed deterministically by the model, significantly improving accuracy when extracting values. Incorrect. The model is still probabilistic; JSON improves structure, but not deterministic processing. D. JSON schemas automatically validate that the underlying API returned correct data before the agent processes it. Incorrect. Schemas define structure, but they do not guarantee correctness of the actual data returned by the API.

A. In the first assistant message, instructing Claude to follow these guidelines going forward Incorrect. Assistant messages don't reliably control future behavior and can be overridden by later context. B. Prepended to each user message before sending to the API Incorrect. User messages carry less authority than system-level instructions and are less reliable for enforcing behavior. C. In the system prompt Correct. The system prompt is the highest-priority instruction layer, making it the most reliable place to enforce consistent tone, reasoning style, and questioning behavior. D. In environmental variables that your application passes to the API client Incorrect. Environment variables are not part of the model's context and have no effect on behavior unless explicitly included in the prompt.

A. Persist the complete conversation and tool response history to a database, then call escalate_to_human with a reference ID. Incorrect. Useful operationally, but the human agent still needs a concise, actionable summary rather than raw logs alone. B. Call escalate_to_human passing only the customer's original message. Incorrect. This loses the investigation work already completed and forces the human agent to repeat steps. C. Attempt the refund with process_refund anyway, escalating only if the system rejects the transaction. Incorrect. This violates authorization boundaries and business policy. D. Compile a structured handoff with customer details, order info, and the identified issue before calling escalate_to_human. Correct. A structured handoff preserves context, reduces repetition, and enables efficient continuation by the human agent.

A. Implement semantic deduplication to identify and remove redundant information across the accumulated RAG results and conversation turns Incorrect. This reduces redundancy but doesn't solve the core issue of unbounded accumulation of RAG context. B. Implement a sliding window for RAG results from the last 2­3 queries while preserving conversation history Correct. This directly addresses context crowding by limiting RAG growth while keeping conversation continuity intact. C. Shift context budget to favor RAG results while reducing conversation history allocation Incorrect. This worsens coherence by sacrificing conversation context. D. Compress all RAG results into a consolidated summary document that updates incrementally after each retrieval Incorrect. This can introduce information loss and summary drift, especially across many turns.