Ne découvrez pas l'examen
le jour J

Réponse : AWS CloudTrail. Explication : AWS CloudTrail enregistre les appels API effectués aux services AWS, fournissant une piste d'audit complète de qui a fait quelle demande, d'où et quand. C'est l'outil principal pour la gouvernance, la conformité et l'audit de sécurité.

Réponse : Amazon Aurora.
Explication : Amazon Aurora (dans Amazon RDS) fournit des sauvegardes automatisées et une haute disponibilité.

Réponse : AWS Identity and Access Management (IAM). Explication : IAM est un service AWS gratuit — il n'y a aucun frais supplémentaire pour créer des utilisateurs, des groupes, des rôles ou des politiques. Vous ne payez que pour les ressources AWS auxquelles les utilisateurs authentifiés accèdent, pas pour IAM lui-même.

CloudTrail : enregistre tous les appels API effectués dans votre compte AWS avec détails (qui, quoi, quand). Essentiel pour la conformité et l'audit de sécurité des actions utilisateurs.

Réponse : D) Implémenter des dépendances faiblement couplées. La rupture d'un monolithe en microservices est une application directe du principe du AWS Well-Architected de couplage faible. Les composants faiblement couplés peuvent être mis à l'échelle, mis à jour et mis en échec indépendamment, ce qui améliore considérablement la résilience, l'agilité et la maintenabilité de l'application.

Réponse : Augmente la disponibilité de l’application.
Explication : Répliquer sur plusieurs AZ protège des pannes locales et maximise la disponibilité.

Réponse : Amazon Inspector.
Explication : Amazon Inspector automatise l’analyse de sécurité des instances EC2 et détecte les vulnérabilités potentielles.

Réponse : Accroître la disponibilité de l’application.
Explication : Répartir une application sur plusieurs AZ la rend plus résiliente en cas de panne locale (c’est un principe clé d’architecture cloud AWS).

Réponse : Automatiser autant que possible. / Éliminer les points uniques de défaillance.
Explication : L’automatisation et l’élimination des SPOF sont des pratiques clés pour la robustesse et l’efficacité de l’architecture cloud.

Réponse : Des clés d’accès.
Explication : L’utilisation de la CLI nécessite l’authentification par des clés d’accès générées pour chaque utilisateur IAM.

SageMaker Serverless Inference : service AWS qui abstraits la gestion d'infrastructure en provisionnant et scalant automatiquement les ressources de calcul selon la demande. Contrairement aux endpoints traditionnels (gestion manuelle d'instances EC2), il offre un modèle de facturation à la demande sans serveurs à maintenir.

AWS SageMaker Feature Store : gestionnaire centralisé de features avec deux stores (online/offline). L'ordre logique est : d'abord définir le feature group (schéma, métadonnées), puis ingérer les données (avec versioning et gouvernance), ensuite requête offline pour training (historique complet), enfin servir online pour inférence (latence faible). Les distracteurs inversent cet ordre : ingérer avant de définir le groupe échouerait (pas de schéma), servir online avant l'ingestion manquerait de données.

Knowledge Base Bedrock : service managé qui indexe et stocke les documents externalement, puis injecte automatiquement dans le prompt uniquement les passages pertinents via RAG (Retrieval-Augmented Generation). Cela réduit drastiquement la taille des prompts comparé à inclure tous les PDF à chaque appel, limitant donc les tokens consommés et les coûts. Le fine-tuning sur tous les PDF serait coûteux en entraînement et peu flexible face aux mises à jour documentaires.

Amazon Bedrock Invocation Logging : service dédié qui capture automatiquement chaque prompt envoyé et chaque réponse générée par les modèles. Contrairement à CloudTrail (logs API uniquement), EventBridge (routage d'événements) ou Trusted Advisor (optimisation), seul Bedrock Invocation Logging offre la traçabilité complète des contenus pour auditer, déboguer et améliorer la qualité des applications GenAI.

GAN (Generative Adversarial Network) : réseau antagoniste composé d'un générateur (crée images) et d'un discriminateur (valide réalisme). Le générateur apprend la distribution des données pour synthétiser images plausibles. XGBoost est un classifieur, ResNet extrait features, WaveNet génère audio—seul GAN génère images réalistes synthétiques.

Amazon Q Business est conçu précisément pour ce cas d'usage : connecter les données internes d'une entreprise (SharePoint, Confluence, S3, Salesforce, etc.) via des connecteurs natifs, puis permettre aux employés d'interroger ces sources via un assistant IA. Il gère les permissions utilisateur (réponses filtrées selon les droits d'accès). Amazon Bedrock nécessite une architecture RAG custom. Amazon Kendra est une recherche sémantique mais sans chatbot intégré. Amazon Lex est pour les chatbots NLU basiques.

Les modèles Amazon Titan sont développés par AWS et disponibles nativement sur Bedrock. Titan Text génère et résume du texte en plusieurs langues. Titan Embeddings convertit du texte en vecteurs numériques pour la recherche sémantique et les pipelines RAG. Titan Image Generator crée des images depuis des descriptions textuelles. Titan n'inclut pas nativement de synthèse vocale (c'est Amazon Polly) ni de transcription (c'est Amazon Transcribe).

Average Call Duration (ACD) : métrique mesurant le temps total d'un appel. Avec un LLM, l'ACD diminue car le système automatise les tâches répétitives (recherche info, qualification) et permet aux agents de se concentrer sur les problèmes complexes. Contrairement à la CSR (éthique globale) ou à la conformité (exigence légale), l'ACD quantifie directement le gain d'efficacité opérationnelle recherché.

PDPs vs SHAP/LIME : Les Partial Dependence Plots montrent l'effet global moyen d'une variable sur les prédictions, idéaux pour comprendre les tendances générales. SHAP et LIME, méthodes locales, expliquent chaque prédiction individuelle en détaillant la contribution de chaque feature. PDPs ne révèlent pas les interactions complexes ni les explications instance-spécifiques que demandent les stakeholders pour auditer les décisions critiques.

Hallucinations LLM : les modèles génèrent du texte plausible et grammaticalement correct, mais factuellement inexact ou inventé. Cela survient car les LLM prédisent les tokens suivants sans vérifier la réalité. Contrairement aux erreurs de calcul (détectables), les hallucinations sont convaincantes. RAG et validation externe atténuent ce risque.

Developer Self-Organization: Developers autonomously determine how to accomplish Sprint work without external direction. This core Scrum principle empowers teams to make decisions about task breakdown, work methods, and collaboration patterns, fostering accountability and innovation while the Scrum Master removes impediments rather than directing work.

Self-Organization Principle: Developers autonomously decide task distribution and work allocation. The Scrum Master facilitates Sprint Planning but never assigns tasks—this undermines team ownership, accountability, and intrinsic motivation. The Scrum Master's role is coaching and removing impediments, not directing work.

Scrum Master Role Focus: The Scrum Master coaches the team in Scrum practices and frameworks, not technical implementation. Technical expertise belongs to Developers. The Scrum Master's value lies in removing impediments, facilitating events, and enabling self-organization—skills independent of technical knowledge.

Commitment in Scrum means each person commits to achieving the goals of the Scrum Team — not to a specific set of tasks, but to the Sprint Goal and the team's success. Commitment enables quality work and enables trust. Note: Scrum Teams commit to the Sprint Goal, not necessarily to completing every Sprint Backlog Item — they adapt their plan as they learn more.

Answer: The Scrum Team.
Explanation: Scrum Teams are self-managing. The team collectively ensures members fulfill their commitments. There is no individual 'supervisor' — accountability is shared across the whole team.

Transparency means that significant aspects of the process must be visible to those responsible for the outcome. The Scrum artifacts — Product Backlog, Sprint Backlog, and Increment — must be transparent to enable effective Inspection and Adaptation. Without transparency, decisions based on incomplete information lead to diminished value, increased risk, and false confidence.

Sprint Review Purpose: An inspection event where the Scrum Team and stakeholders examine completed work to gather feedback and identify adaptations for future Sprints. This differs from performance reviews (not the focus) or planning activities (separate events) and maintains the Definition of Done rather than updating it.

Answer: False.
Explanation: Multiple Scrum Teams may have different Sprint start dates. While synchronized Sprints can simplify integration, Scrum does not require it. Teams should choose start dates that work best for their coordination needs.

Answer: It is the Developers' plan for the Sprint.
Explanation: The Sprint Backlog is owned by the Development Team and represents their plan for achieving the Sprint Goal. It is highly visible and updated daily as new information emerges.

Why this answer is correct: In Scrum, the Product Owner is accountable for maximizing product value, which is measured through business outcomes like customer satisfaction, revenue impact, and market share—not merely output metrics. These outcomes reflect whether the product actually solves customer problems and delivers real business value.

Why the others are incorrect: Team velocity, number of features delivered, and Sprint completion rates are activity metrics that measure team output, not product success. A team can deliver many features quickly while failing to achieve meaningful business results or customer value, making these metrics poor indicators of true product success.

Answer: Whoever the Development Team decides should start.
Explanation: The Daily Scrum is owned by the Development Team. They decide the format and structure, including who opens the meeting, without guidance from the Scrum Master or Product Owner.

Answer: Prioritize based on value/risk/Product Goal, organize collaboration and clarity.
Explanation: The PO balances stakeholder needs by aligning priorities with the Product Goal and fostering transparent collaboration.

Answer: How the team collaborates; identifying high-priority process improvements for the next Sprint.
Explanation: The Sprint Retrospective focuses on the team's working relationships, processes, tools, and practices. The goal is to identify improvements that can be implemented in the next Sprint.

Key concept: The Daily Scrum is a Developers' synchronization event. The Daily Scrum is a 15-minute timeboxed event held every working day where Developers inspect progress toward the Sprint Goal and adapt their plan for the next 24 hours. While the Product Owner and Scrum Master may be present, the event is structured for and intended primarily for the Developers to self-organize their work. The entire organization does not attend, and customers are not part of this internal team coordination meeting. This distinction is critical: the Daily Scrum focuses on Developers' collaboration and tactical adjustments, not organizational updates or customer interaction.

Velocity is an internal planning tool, not a value metric. Measuring success by velocity creates perverse incentives: teams may inflate estimates, cut quality, or deliver low-value features quickly. True success is measured by customer outcomes — adoption rates, satisfaction scores, revenue impact, risk reduction. The Product Owner's accountability is to maximize the value of the product, not the speed of the team.

Answer: Sprint Goal, selected PBIs, plan to deliver the Increment.
Explanation: The Sprint Backlog consists of the Sprint Goal (why), the PBIs selected (what), and the plan to deliver the Increment (how).

Why this answer is correct: A new Product Owner must first establish a solid foundation by understanding the existing product vision, stakeholder expectations, and the current state of the Product Backlog. This enables informed decision-making and ensures continuity while identifying areas for improvement.

Why the other answers are incorrect: Redesigning the backlog from scratch ignores valuable existing work and context; canceling the current Sprint disrupts the Scrum framework and team momentum; and re-estimating all items is premature without first understanding the product direction and priorities.

Key concept: Sprint Planning's three-part structure aligns with fundamental product delivery questions. The event systematically addresses Why (establishing the Sprint Goal—the business objective and value focus for the increment), What (selecting Product Backlog Items that support that goal, creating commitment), and How (breaking work into tasks and defining the team's approach to delivering the Done Increment). This tripartite framework ensures alignment between organizational intent, product selection, and technical execution. Understanding this structure is critical for Product Owners, as it demonstrates how Sprint Planning connects strategic objectives (Why) to tactical execution (How), with product decisions (What) serving as the bridge. Misunderstanding any dimension—such as conflating the Sprint Goal with individual task assignments, or skipping deliberate scope negotiation—undermines the Scrum framework's effectiveness in delivering value.

Réponse : Faux. Le chemin critique est constitué des activités déterminant la durée totale du projet, pas nécessairement les plus coûteuses.

Pour une dépendance externe : mitigation (plan B, tampon), transfert contractuel, et escalade si hors contrôle de l’équipe. L’ignorance n’est jamais appropriée.

Charte du projet : document fondateur autorisant formellement le projet et définissant ses objectifs mesurables et critères de succès. Elle établit la vision globale et les attentes clés. Les parties prenantes, responsabilités détaillées et plans de communication appartiennent à des documents ultérieurs (registre des parties prenantes, plan de gestion de la communication), d'où leur exclusion ici.

Les contrats incitatifs, à temps et moyens avec plafonds, ou à jalons basés sur la valeur permettent d’absorber l’incertitude mieux qu’un forfait rigide.

Gouvernance de projet et rôles/responsabilités clairs : Selon le PMBOK 7e édition, la gouvernance de projet constitue le cadre qui guide, supervise et contrôle les initiatives de l'organisation. Un système de gouvernance efficace repose sur des fondations essentielles : des rôles et responsabilités clairement définis pour tous les intervenants (sponsor, chef de projet, équipe, comité de gouvernance). Cette clarté évite les chevauchements, les conflits de pouvoir et les ambiguïtés décisionnelles qui paralysent les projets. Bien que les mécanismes d'escalade et de décision soient importants, ils sont secondaires sans rôles explicites. L'alignement stratégique est crucial mais découle d'une gouvernance bien structurée avec responsabilités claires. La suppression de toute supervision du sponsor est dangereuse et contraire aux bonnes pratiques : le sponsor doit rester impliqué pour valider les décisions majeures et l'alignement. Le reporting uniquement en fin de projet viole le principe de gouvernance continue du PMBOK 7, qui exige une surveillance régulière. Les rôles et responsabilités explicites constituent donc le pilier fondateur sur lequel s'édifient tous les autres éléments d'

Gestion formelle des changements et orientation valeur : Selon le PMBOK 7e édition, la gestion des changements doit s'inscrire dans une démarche d'optimisation de la valeur. Tout changement demandé par un client doit être évalué rigoureusement à travers un processus formel (Contrôle intégré des modifications) pour déterminer son impact réel sur les objectifs du projet. Dans ce scénario, le changement augmente significativement les coûts sans apporter de valeur ajoutée, ce qui signifie qu'il crée du gaspillage au sens lean. La meilleure approche consiste donc à : (1) analyser le changement formellement en documentant ses impacts financiers et fonctionnels, (2) démontrer clairement au client l'absence de bénéfice commercial ou fonctionnel, (3) recommander explicitement le rejet tout en restant transparent. Cette approche respecte le principe de gouvernance et de gestion des parties prenantes, car elle maintient le contrôle du projet tout en impliquant le client dans une décision éclairée. Les trois autres options sont problématiques : accepter sans évaluation viole les principes de gouvernance, réduire la qualité ailleurs crée un risque de non-conformité, et implémenter sans communication rompt les contrats de transparence avec les parties prenantes. Le chef de projet d

Gestion du changement et de l'impact réglementaire : Dans le PMBOK 7e édition, la gestion du changement est un processus fondamental qui exige une évaluation rigoureuse avant toute action. Face à un changement réglementaire impactant les coûts, le chef de projet doit d'abord analyser précisément l'impact financier en quantifiant les surcoûts, en identifiant les domaines affectés et en évaluant les risques associés. Cette analyse sert de fondation à la décision. Ensuite, il est impératif de concerter les parties prenantes et le sponsor pour ajuster le plan de projet (délais, portée, ressources, budget), car ces décideurs détiennent l'autorité et la visibilité stratégique nécessaires. Cette approche respecte les principes de gouvernance, de transparence et de gestion proactive des risques. Ignorer le changement expose le projet à des non-conformités légales graves. Demander un budget supplémentaire sans justification manque de crédibilité et de rigueur. Arrêter le projet précipitamment est une surréaction sans évaluation des alternatives. Seule l'analyse suivi d'une concertation collaborative permet une adaptation intelligente et just

Gestion des demandes de changement : Toute demande impactant délais/coûts/qualité doit suivre le processus formel. On évalue d'abord l'impact (analyse coûts-bénéfices), puis on soumet au comité de pilotage pour décision. Refuser sans analyse ignore les besoins client ; accepter directement contourne le contrôle de changement et risque de dérapages. Remplacer une exigence revient à modifier le scope sans autorisation.

Concept clé : Le domaine Parties prenantes du PMBOK 7e édition est fondé sur la reconnaissance que le succès d'un projet dépend de la capacité à identifier qui sont les acteurs concernés et à comprendre leurs attentes, besoins et niveaux d'influence. Identifier les parties prenantes signifie dresser une liste exhaustive de tous les individus et organisations affectés par le projet ou capable de l'affecter (sponsors, clients, équipe, régulateurs, communautés, etc.). Comprendre leurs attentes implique d'analyser en profondeur ce qu'ils désirent du projet, leurs préoccupations, leurs priorités et leurs critères de succès. Ces deux objectifs sont inséparables et constituent la base de tout engagement efficace. Contrairement à l'option "Maintenir leur engagement", qui est une conséquence souhaitable mais pas un objectif premier du domaine, l'identification et la compréhension sont les activités initiales et fondamentales. Les options "Les exclure des réunions" et "Communiquer uniquement à la fin du projet" vont directement à l'encontre des principes modernes du PMBOK 7 qui promeut l'engagement continu et la communication transparente, particulièrement en contexte agile où les parties prenantes sont impliquées régulièrement pour adapter le projet à leurs besoins évolutifs.

Concept clé : La qualité comme principe holistique du PMBOK 7 : Dans le PMBOK 7e édition, la qualité n'est pas cantonnée aux seuls livrables finaux, mais s'étend à l'ensemble des processus de travail et de gestion de projet. Ce principe reconnaît que la qualité des résultats dépend directement de la qualité des méthodes, des processus et des interactions utilisées pour les produire. En d'autres termes, vous ne pouvez pas obtenir un excellent livrable à partir de processus défaillants ou mal gérés.

Pourquoi cette réponse est correcte : Le PMBOK 7 adopte une approche intégrative de la qualité, influencée par les méthodologies agiles et les bonnes pratiques modernes. La qualité s'applique à : (1) les processus de travail (planification rigoureuse, communication efficace, gestion des risques, collaboration d'équipe), (2) les livrables (fonctionnalités, spécifications, conformité aux normes). Cette dualité signifie qu'un chef de projet doit s'assurer que non seulement le produit final répond aux exigences, mais aussi que la façon dont on l'a produit respecte les standards de qualité. C

Cette question correspond à l’objectif d\'apprentissage FL-2.1.2 (K1) – Rappeler les bonnes pratiques de test qui s\'appliquent à tous les cycles de vie du développement logiciel.

● a) Faux → Les tests doivent couvrir plusieurs niveaux (unitaires, intégration, système, acceptation), et pas uniquement l’interface utilisateur.
● b) Faux → Attendre la fin du développement pour tester expose le projet à un risque accru de corrections coûteuses en fin de cycle.
● c) Faux → La documentation des tests est essentielle pour assurer la traçabilité et la reproductibilité des tests.
● d) Correct → Tester tôt est une bonne pratique universelle, car plus un défaut est détecté tôt, moins il est coûteux à corriger.

Cette question correspond à l’objectif d’apprentissage FL-3.2.4 (K2) – Comparer et opposer les différents types de revues.
La bonne réponse est d) 1B, 2A, 3C, 4D
● 1B) Correct → Une revue informelle ne suit pas de processus strict.
● 2A) Correct → L’inspection est une revue très structurée avec un modérateur et des
checklists.
● 3C) Correct → Une revue technique implique des experts métier ou techniques pour
examiner un document.
● 4D) Correct → La revue par les pairs est une analyse collaborative des documents.

Cette question correspond à l’objectif d\'apprentissage FL-6.2.1 (K1) – Rappeler les avantages et les risques de l\'automatisation des tests.

● a) Faux → L’automatisation peut être coûteuse à mettre en place, mais cela dépend du contexte et du type de tests automatisés.
● b) Correct → Les tests exploratoires, UX et certains tests de validation métier nécessitent une prise de décision humaine et ne peuvent pas être automatisés.
● c) Faux → L’automatisation est justement idéale pour les tests de régression, car elle permet de les exécuter régulièrement.
● d) Faux → Les outils d’automatisation peuvent générer des rapports de test, mais cela ne signifie pas que l’automatisation remplace tous les tests manuels.

Cette question correspond à l’objectif d’apprentissage FL-1.4.2 (K2) – Expliquer l’impact du contexte sur le processus de test.
La bonne réponse est a) i, iii, iv reflètent correctement l’impact du contexte ; ii, v non

● i) Vrai – Le niveau de risque conditionne la profondeur des tests requis.
● ii) Faux – Il n’existe pas de processus unique applicable à tous les projets.
● iii) Vrai – En Agile, les tests sont intégrés dans des cycles courts.
● iv) Vrai – Les contraintes réglementaires (ex. médical, aéronautique) exigent une traçabilité et une documentation renforcées.
● v) Faux – Le contexte impacte aussi les objectifs (par ex. : conformité, performance critique...).

Cette question correspond à l’objectif d’apprentissage FL-1.4.1 (K2) – Résumer les différentes activités et tâches de test.
La bonne réponse est : d) 1C, 2B, 3D, 4A

● 1C) : Correct : La planification sert à préparer le cadre du test
● 2B) : Correct : La conception permet de définir les données, cas et conditions de test
● 3D) : Correct : L’exécution vérifie le résultat réel par rapport à l’attendu
● 4A) : Correct : Clôturer = évaluer, nettoyer, archiver, analyser les résultats

Cette question correspond à l’objectif d’apprentissage FL-1.5.3 (K2) – Distinguer les avantages et les inconvénients de l\'indépendance du test.

● a) Correct → Une équipe trop indépendante peut manquer d’informations essentielles sur le produit et son contexte d’utilisation.
● b) Faux → Une plus grande objectivité est un avantage, et non un inconvénient.
● c) Faux → Une séparation trop marquée peut au contraire augmenter les conflits entre testeurs et développeurs.
● d) Faux → Une équipe totalement indépendante n’accélère pas forcément les tests, cela dépend de l’organisation en place.

Cette question correspond à l’objectif d’apprentissage FL-1.2.1 (K2)- Donner des exemples montrant la nécessité des tests.
● a) Faux → Les tests dynamiques détectent des défauts, mais ils ne garantissent pas qu’ils provoquent uniquement des comportements anormaux impossibles à reproduire par les utilisateurs.

● b) Correct → Les tests statiques permettent d’identifier des défauts dans le code source avant même l’exécution, ce qui réduit les coûts de correction.
● c) Faux → L’analyse statique ne garantit pas qu’un composant est prêt pour la production, elle identifie uniquement des erreurs structurelles.
● d) Faux → Les revues améliorent la qualité des spécifications, mais ne remplacent pas les tests

Cette question correspond à l’objectif d’apprentissage FL-4.3.1 (K2) – Expliquer le test des instructions et le principe de couverture des instructions.

Pour couvrir 100% des instructions, nous avons besoin d\'au moins un cas de test qui parcourt chaque chemin.

La bonne réponse est donc c) score = 30, score = 75, score = 120

Cette question correspond à l\'objectif d\'apprentissage FL-5.1.4 (K3) - Utiliser des techniques d\'estimation pour calculer l\'effort de test requis.

L\'estimation à 3 points utilise la formule : (Optimiste + 4 × Plus probable + Pessimiste) ÷ 6

Donc : (6 + 4 × 15 + 24) ÷ 6 = (6 + 60 + 24) ÷ 6 = 90 ÷ 6 = 15

● a) Correct → 15 jours-personnes est le résultat correct de la formule d\'estimation à trois points.
● b) Faux → 16 jours-personnes n\'est pas le résultat correct.
● c) Faux → 17 jours-personnes n\'est pas le résultat correct.
● d) Faux →18 jours-personnes n\'est pas le résultat correct.

Cette question correspond à l\'objectif d\'apprentissage FL-4.1.1 (K2) - Distinguer les  techniques de test boîte noire, boîte blanche et basées sur l\'expérience.
● a) Faux - Cette combinaison mélange des techniques basées sur l\'expérience (tests exploratoires) avec des techniques de test boîte noire (analyses de valeurs limites et tests par paires). Les tests par paires et les analyses de valeurs limites sont des
techniques systématiques basées sur les spécifications, pas sur l\'expérience.
● b) Correct - Cette combinaison contient uniquement des techniques basées sur l\'expérience :

○ Tests basés sur l\'intuition : utilisation de l\'expérience et de l\'intuition du testeur pour identifier les zones problématiques
○ Tests exploratoires : apprentissage, conception et exécution des tests simultanément
○ Tests basés sur les check-lists : utilisation de listes de contrôle développées à partir de l\'expérience pour guider les tests
● c) Faux - Cette combinaison contient principalement des techniques de test boîte blanche (tests de chemins et tests de couverture d\'instructions), avec une technique basée sur l\'expérience (tests basés sur les défauts). Les tests de structure interne sont clairement des techniques boîte blanche.
● d) Faux - Cette combinaison mélange des techniques de test boîte noire (partitionnement d\'équivalence), des techniques basées sur l\'expérience (tests basés sur les risques), et des techniques de test boîte blanche (tests de structure de
contrôle). Ce n\'est donc pas une liste de techniques uniquement basées sur
l\'expérience.

Answer: Ease of recovery; responsiveness.
Explanation: High availability network design must consider: ease of recovery (how quickly systems can be restored after failure — MTTR) and responsiveness (whether the network maintains adequate performance under load and during partial failures).

A vulnerability is a weakness in a system (software bug, misconfiguration, design flaw) that could be leveraged to compromise security. An exploit is the actual code, technique, or procedure that takes advantage of a vulnerability to cause harm. Analogy: a vulnerability is an unlocked door; an exploit is the act of walking through it. Risk = Vulnerability × Threat × Impact. Patching eliminates vulnerabilities. Threat is the potential for harm. Risk is the probability × impact of a threat exploiting a vulnerability.

Réponse correcte : Le penetration testing simule des attaques réelles pour identifier les vulnérabilités avant que des acteurs malveillants ne les exploitent. C'est un test proactif et contrôlé qui permet aux organisations de corriger les faiblesses de sécurité.

Pourquoi les autres réponses sont incorrectes : Le déploiement de patches concerne la remédiation (après identification), la surveillance du trafic réseau est du monitoring continu (non un test ponctuel), et tester la performance du matériel sous charge relève du testing de performance, non de sécurité.

Answer: Honeypot.
Explanation: A honeypot is a decoy system designed to attract and observe attacker activity without affecting production servers. It provides threat intelligence about attacker methods, tools, and objectives while keeping real systems protected.

Answer: Password spraying.
Explanation: Password spraying attacks try a few common passwords against many accounts to avoid account lockout thresholds. The logs would show multiple accounts being tried with the same password(s) rather than many attempts against one account.

Zero Trust Data Plane: Microsegmentation divides networks into secure zones, enforcing granular access controls based on real-time user identity and device state verification. This prevents lateral movement within the data plane. Unlike RBAC (control plane), adaptive MFA (authentication boundary), or legacy removal (architecture), microsegmentation directly implements Zero Trust at the data layer where actual traffic flows.

Asset Inventory Foundation: A complete hardware and software inventory is the critical baseline for risk measurement. When a vulnerability is disclosed, analysts must know exactly what systems exist in the organization to determine exposure scope and impact. Without this inventory, risk assessment becomes speculative. System classifications, ownership records, and third-party assessments are valuable but secondary—they depend on knowing what assets exist first.

Answer: Compensating control.
Explanation: A compensating control provides alternative protection when the primary control cannot be implemented as intended. A legacy Linux system cannot be updated with modern security tools, so IP-allowlisting is implemented as a compensating control to restrict access.

A security policy is a formal, high-level document that defines an organization's security objectives, expectations, and rules. It states what must be done (not how). Examples: Acceptable Use Policy, Password Policy, Data Classification Policy. Policies form the foundation of an information security program — they drive procedures, standards, and guidelines. Without policies, there are no baseline expectations to measure compliance against, making enforcement and auditing impossible. Policies require senior management approval and must be communicated to all employees.

Hardware-specific vulnerabilities: flaws inherent to physical components and their firmware that cannot be patched through OS updates. Outdated firmware represents a hardware vulnerability because it affects the device's core operations directly. Unlike buffer overflow (application-level), SQL injection (database query), and XSS (web application), firmware issues require hardware manufacturer patches and affect all systems using that component.

Réponse : Graphe. Explication : Les bases de données en graphe se caractérisent par l'utilisation de nœuds (représentant des entités) et d'arêtes (représentant les relations entre entités). Cette structure traite efficacement les données hautement connectées et les requêtes de relations complexes.

Azure Cosmos DB est une base de données NoSQL distribuée mondialement qui accepte plusieurs modèles de données (documents, clé-valeur, graphes, etc.), ce qui la rend très flexible et scalable. Contrairement à une base de données relationnelle traditionnelle, elle n'utilise pas les tables SQL classiques. Ce n'est pas un entrepôt de données colonnaire (qui optimise les analyses OLAP) ni un simple stockage d'objets fichiers, mais plutôt une solution NoSQL haute performance pour applications transactionnelles distribuées.

Azure Table Storage est un service de stockage clé-valeur NoSQL simple et économique pour des données structurées sans jointures complexes. Il est préféré à Cosmos DB quand : (1) le budget est limité (coût bien inférieur), (2) les besoins de latence sont moins stricts, (3) la réplication multi-région n'est pas requise, (4) les données ont un accès prévisible par clé de partition et clé de ligne. Cosmos DB Table API offre les mêmes fonctionnalités avec plus de performance et de SLA, mais à un coût supérieur.

ACID désigne quatre propriétés garantissant la fiabilité des transactions : Atomicité (tout ou rien — la transaction réussit entièrement ou est annulée), Cohérence (la base reste dans un état valide avant et après), Isolation (les transactions concurrentes ne s'interfèrent pas), Durabilité (les données validées sont persistantes même après une panne). Ces propriétés sont critiques pour les systèmes financiers et transactionnels (OLTP). Les bases NoSQL privilégient souvent la disponibilité au détriment de la cohérence (BASE vs ACID).

Réponse : Graphe. Explication : Les bases de données en graphe stockent les données sous forme de nœuds (entités) et d'arêtes (relations). L'illustration montre des entités interconnectées avec des relations entre elles — la structure caractéristique d'un magasin de données en graphe, adapté aux réseaux sociaux, à la détection de fraude et aux moteurs de recommandation.

Azure Databricks : plateforme collaborative fondée sur Apache Spark, optimisée pour le traitement distribué de Big Data et le machine learning. Elle combine Spark (moteur de calcul puissant) avec un environnement notebook intégré et des outils ML. Contrairement à Azure Synapse Analytics (orientée data warehousing/SQL) ou Azure Machine Learning (ML spécialisé), Databricks excelle dans le traitement massif de données non structurées et les workflows Big Data collaboratifs.

Modèle PaaS d'Azure SQL Database : Microsoft, en tant que fournisseur cloud, gère entièrement l'infrastructure, le moteur SQL et les mises à jour de sécurité. Le client ne s'occupe que des données et de l'application. Contrairement à un serveur on-premises, l'administrateur réseau n'intervient pas sur les patchs du moteur SQL.

Azure Synapse Analytics est un service d'analytique intégré qui combine : (1) Data warehousing avec Synapse SQL (pools dédiés pour OLAP à grande échelle), (2) Big Data avec Apache Spark intégré, (3) ETL/ELT avec des pipelines intégrés (similaire à Azure Data Factory), (4) Exploration avec Synapse Link (requêtes directes sur Cosmos DB et Azure SQL sans ETL). Il offre un workspace unifié où data engineers, data scientists et analystes collaborent. C'est la solution analytique de bout en bout d'Azure.

Azure Queue Storage : service de messagerie asynchrone permettant le découplage entre producteurs et consommateurs de messages. Idéal pour les traitements différés et scalables. Les images (Blob Storage), données relationnelles (SQL Database) et graphes (Cosmos DB) nécessitent d'autres services spécialisés.

Une clé primaire est une colonne ou une combinaison de colonnes qui identifie uniquement chaque ligne d'une table. Elle garantit qu'aucune ligne ne peut avoir la même valeur de clé primaire, permettant de distinguer chaque enregistrement de manière unique. Pourquoi les autres réponses sont incorrectes : La première colonne n'est pas automatiquement une clé primaire - l'ordre de définition n'a aucune importance. Un champ chiffré concerne la sécurité des données, pas l'unicité des lignes. Un numéro auto-incrémenté peut être une clé primaire, mais ce n'est pas la définition de la clé primaire elle-même - seule l'unicité compte.

Réponse : Ils reçoivent automatiquement les écritures miroir des sous-comptes BP ; Les écritures directes sont interdites ; La modification du compte de réconciliation en production doit suivre une procédure contrôlée.
Explication : Les comptes de réconciliation assurent l’intégrité entre sous-comptes et GL ; tout changement requiert précautions (soldes/postes).

Réponse correcte : La dimension « Segment » dans SAP S/4HANA est spécifiquement conçue pour la présentation des rapports de segments conformément à la norme IFRS 8, permettant à l'entreprise de rapporter les performances de ses différents segments d'activité distincts. Pourquoi les autres réponses sont incorrectes : La classification géographique relève plutôt des dimensions d'organisation (zone de vente, région) ; le suivi des coûts par centre de profit est une fonction du centre de profit lui-même, pas du segment ; enfin, la distinction entre transactions manufacturières et de service ne correspond pas au concept de segment au sens d'IFRS 8.

Réponse : Scission de documents ; centres de profit ; secteurs d'activité. Explication : Le reporting de secteur IFRS nécessite : la scission de documents (pour allouer les postes du bilan aux secteurs), les centres de profit (comme base d'attribution de secteur) et les données maître de secteur. Ensemble, ces éléments produisent les états financiers au niveau du secteur conformes à IFRS 8.

Réponse : Variante d'exercice fiscal ; plan comptable d'exploitation. Explication : Pour que plusieurs sociétés partagent une zone de contrôle de gestion, elles doivent utiliser la même variante d'exercice fiscal (même calendrier financier) et le même plan comptable d'exploitation (même structure de compte du grand livre) pour assurer une présentation financière cohérente.

Réponse : Niveaux de relance avec intervalles ; Montants minimum ; Textes par niveau ; Frais de relance éventuels.
Explication : Ces paramètres pilotent la génération et le contenu des relances.

Réponse : Financial Closing Cockpit
Le Financial Closing Cockpit (FCC) est l'outil SAP qui permet de planifier, d'ordonner, d'automatiser et de suivre l'exécution des tâches de clôture financière. Il offre des modèles réutilisables (Task Lists), la gestion des dépendances entre tâches, les rôles et responsabilités, et un suivi en temps réel.

Réponse : Faux
Les sociétés d'un même groupe n'ont pas besoin de partager la même variante d'exercice pour la clôture. Chaque code société peut avoir sa propre Fiscal Year Variant, permettant des exercices fiscaux différents (ex. exercice civil vs exercice décalé). La consolidation gère ces différences.

FBL3N est la transaction d'affichage détaillé des postes de compte grand livre. Elle affiche tous les postes individuels (écritures) enregistrés pour un compte spécifique, qu'ils soient ouverts ou rapprochés, permettant une analyse ligne par ligne. Les autres options sont incorrectes : la première décrit la transaction FS10N (soldes résumés), la troisième concerne les écritures de régularisation (transactions comme F.32), et la quatrième correspond à la maintenance des données principales (FD10N).

Réponse : Vrai
En SAP S/4HANA, l'intégration FI-CO est complète : les éléments de coût primaires (ex. charges de personnel) et les éléments de coût secondaires (ex. affectations internes) sont désormais des comptes G/L dans le plan de comptes. L'ancienne table CSKA a été remplacée par SKA1.

Le groupe de tolérance fournisseur définit les limites acceptables pour le traitement automatique des différences lors du rapprochement des factures (MIRO) avec les bons de commande. Il paramètre : la tolérance absolue en montant (ex. : différence max 10 EUR), la tolérance en pourcentage, et le traitement des petites différences (comptabilisation automatique ou blocage). Sans groupe de tolérance, toute différence entre la facture et le bon de commande bloquerait le paiement automatique, nécessitant une intervention manuelle.

La Première Guerre mondiale (1914-1918) : conflit majeur opposant principalement les Alliés (France, Royaume-Uni, États-Unis) à l'Allemagne et l'Autriche-Hongrie. Elle a transformé la France et marqué profondément ses institutions. À ne pas confondre avec la Seconde Guerre mondiale (1939-1945).

La Constitution du 4 octobre 1958 est la loi fondamentale de la Ve République. Elle définit les institutions, les pouvoirs du Président, du gouvernement et du Parlement. Son préambule renvoie à la Déclaration de 1789 et au préambule de 1946 (qui consacre les droits sociaux). La Constitution de 1946 était celle de la IVe République. La Déclaration de 1789 et le préambule de 1946 ont valeur constitutionnelle mais ne constituent pas à eux seuls la loi fondamentale actuelle.

La Marseillaise a été composée par Rouget de Lisle dans la nuit du 25 au 26 avril 1792 à Strasbourg, sur demande du maire Philippe-Frédéric de Dietrich. Elle s'intitulait initialement « Chant de guerre pour l'armée du Rhin » après la déclaration de guerre à l'Autriche. Elle est popularisée à Paris par les fédérés de Marseille (d'où son nom) lors de leur montée sur Paris en juillet 1792. Hymne national en 1795 sous la Ire République, puis à nouveau depuis 1879 sous la IIIe République. Son premier couplet et le refrain sont officiellement chantés.

En France, c'est le Parlement — composé de l'Assemblée nationale et du Sénat — qui adopte (vote) les lois. L'Assemblée nationale a le dernier mot en cas de désaccord avec le Sénat. Le Conseil d'État est le conseiller juridique du gouvernement et juge administratif suprême. Le Conseil constitutionnel contrôle la conformité des lois à la Constitution. Le gouvernement propose des projets de loi mais ne les vote pas.

Les femmes françaises obtiennent le droit de vote par l'ordonnance du 21 avril 1944 du Gouvernement provisoire de la République française (GPRF), signé par le général de Gaulle à Alger. Elles l'exercent pour la première fois lors des élections municipales d'avril 1945. La France fut l'un des derniers pays d'Europe occidentale à accorder ce droit, malgré les revendications suffragettes depuis le XIXe siècle. Simone de Beauvoir et d'autres intellectuelles avaient milité pour ce droit.

Preuve de communauté de vie : Pour une naturalisation par mariage, l'administration exige des documents attestant que les époux vivent ensemble au même domicile. Un bail de logement au nom des deux époux et des factures communes (électricité, gaz, internet) constituent les preuves essentielles. Contrairement à la carte d'identité ou au livret de famille qui ne démontrent pas la cohabitation réelle, ces documents établissent objectivement l'existence d'une vie conjugale commune depuis la conclusion du mariage.

Le mandat présidentiel est de 5 ans (quinquennat) depuis la révision constitutionnelle de 2000 (référendum approuvé par 73% des votants). Avant, il était de 7 ans (septennat). La Constitution limite à 2 mandats consécutifs (article 6), mais sans limitation des mandats non consécutifs (de Gaulle et Mitterrand ont exercé deux mandats). Le Président est élu au suffrage universel direct depuis 1962 (révision initiée par de Gaulle, adoptée par référendum). L'élection se fait en 2 tours si aucun candidat n'obtient la majorité absolue au premier tour.

Le drapeau tricolore (bleu, blanc, rouge) est adopté lors de la Révolution française. La tradition associe : Bleu et rouge — couleurs de Paris (portées par les révolutionnaires lors de la prise de la Bastille) ; Blanc — couleur de la royauté française (les Bourbons). La cocarde tricolore est portée le 17 juillet 1789 par Louis XVI, symbolisant la réconciliation entre le roi et le peuple. Depuis la Constitution de 1958, le drapeau bleu-blanc-rouge est officiellement le drapeau national (article 2). L'ordre des bandes est : bleu au mât, rouge flottant.

Constitution de 1958 : texte fondamental qui organise les institutions de la République française et définit le fonctionnement des pouvoirs publics. Contrairement au Code civil (droit privé) ou au Code pénal (droit criminel), seule la Constitution établit la structure de l'État. La Déclaration des Droits de l'Homme énonce des principes, mais ne crée pas les institutions.

Louis XVI était roi de France au début de la Révolution française. Couronné en 1774, il fut contraint de convoquer les États généraux en 1789 face à la crise financière, déclenchant ainsi la Révolution. Il fut arrêté en 1792, jugé par la Convention nationale et guillotiné le 21 janvier 1793. Louis XIV (le Roi Soleil) régna de 1643 à 1715. Napoléon Bonaparte prit le pouvoir après la Révolution (Consulat 1799, Empire 1804-1814/1815).

Concept clé : Explicabilité (XAI). Celle-ci fait référence à la transparence des processus de prise de décision. Les tests d'explicabilité consistent à vérifier que les parties prenantes peuvent comprendre pourquoi un système AI a pris une décision spécifique, ce qui est crucial pour l'éthique de l'AI et la conformité réglementaire, notamment dans les domaines à enjeux élevés tels que la santé et la justice pénale.

Concept clé : Détection des biais dans les données d'entraînement. L'analyse de parité démographique évalue si les résultats du modèle sont équitables entre les groupes démographiques. L'échantillonnage stratifié garantit la représentation de tous les attributs protégés, permettant aux testeurs d'identifier les problèmes d'équité avant le déploiement.

Concept clé : Test de confidentialité dans l'apprentissage fédéré. L'apprentissage fédéré vise à préserver la confidentialité en maintenant les données d'entraînement décentralisées. Les testeurs doivent valider que les données individuelles ne quittent jamais les appareils locaux et que seules les mises à jour agrégées du modèle sont transmises, prévenant ainsi toute exposition non autorisée des données pendant le processus d'apprentissage.

Réponse : Maximiser le nombre de changements informatiques réussis en vérifiant que les risques sont correctement évalués.
Explication : Maximiser les changements informatiques réussis en évaluant correctement les risques est un objectif central de la gestion des services, que le centre de services contribue à atteindre en coordonnant les demandes.

Réponse : La gestion des mises en production.
Explication : La gestion des mises en production a pour but de mettre à disposition des services et fonctionnalités nouveaux ou modifiés, en coordonnant le packaging et le déploiement des releases.

Réponse : L\'utilisateur ou son représentant autorisé.
Explication : En ITIL 4, ce sont les utilisateurs (ou leurs représentants autorisés) qui soumettent des demandes de services, car ils sont les consommateurs directs des services fournis.

Réponse : Rôles et responsabilités.
Explication : La dimension \'Information et technologie\' couvre les données, systèmes d\'information et outils. Les rôles et responsabilités appartiennent à la dimension \'Organisations et personnes\'.

Réponse : Planifier.
Explication : L\'activité \'Planifier\' de la chaîne de valeur veille à ce que toutes les parties comprennent la vision, le statut actuel et les orientations de l\'organisation pour tous les produits et services.

Réponse : Chaque activité de la chaîne de valeur contribue à la chaîne de valeur en transformant des entrées spécifiques en livrables.
Explication : Chaque activité de la chaîne de valeur transforme des entrées en livrables spécifiques. Les activités ne sont pas séquentielles mais s\'interconnectent selon les besoins pour créer de la valeur.

Réponse : S\'assurer que les fournisseurs de l\'organisation et leurs performances sont gérés de manière appropriée afin de supporter l\'approvisionnement continu de produits et services de qualité.
Explication : La gestion des fournisseurs assure que les relations avec les fournisseurs externes sont correctement gérées pour garantir un approvisionnement continu en produits et services de qualité.

Réponse : Ajouter, modifier ou supprimer tout ce qui pourrait avoir un effet direct ou indirect sur les services.
Explication : En ITIL 4, un changement est l\'ajout, la modification ou la suppression de tout élément pouvant avoir un effet direct ou indirect sur les services, qu\'il soit matériel, logiciel ou organisationnel.

Réponse : Déterminer qui est le consommateur du service dans chaque situation.
Explication : Lors de l\'application du principe \'Privilégier la valeur\', la première étape est d\'identifier qui est le consommateur, car la valeur est toujours définie du point de vue du consommateur du service.

Réponse : Les principes directeurs peuvent guider une organisation en toutes circonstances.
Explication : Les principes directeurs ITIL 4 sont universels et s\'appliquent en toutes circonstances, à toute organisation et tout type de projet ou initiative, quelle que soit la situation.

• Customer Key permet à une organisation de :

  • Utiliser et gérer ses propres clés de chiffrement

  • Contrôler le cycle de vie des clés (création, rotation, révocation)

  • Répondre aux exigences réglementaires strictes (comme le RGPD)

Cela donne un contrôle renforcé sur le chiffrement des données Microsoft 365.

❌ Pourquoi les autres réponses sont incorrectes :

• A. Azure PIM → Gère les rôles administratifs temporaires, pas les clés de chiffrement.

• B. Customer Lockbox → Permet de contrôler l’accès des ingénieurs Microsoft aux données, mais ne gère pas les clés de chiffrement.

• C. Azure Information Protection → Sert à classifier et protéger les documents, mais ne donne pas le contrôle des clés de chiffrement au niveau service.

🎯 À retenir pour l’examen MS-900 :

• Customer Key = contrôle des clés de chiffrement par le client

• Customer Lockbox = contrôle de l’accès support Microsoft

• PIM = gestion des privilèges

• AIP = classification et protection des données

• La Timeline view (vue Chronologie) permet :

  • D’afficher les tâches ou phases sur une ligne de temps

  • De visualiser clairement les dates de début et de fin

  • D’avoir une vue simple et synthétique adaptée à un partage dans Teams

Elle est idéale pour donner une vue globale rapide du projet.

❌ Pourquoi les autres réponses sont incorrectes :

• A. Gantt Chart view → Plus détaillée et orientée gestion avancée (dépendances, planification complexe). Moins “simple” pour un aperçu rapide.

• B. Project Roadmap → Sert à consolider plusieurs projets, pas juste à afficher un planning simple d’un projet.

• D. Calendar view → Affiche les tâches par date dans un calendrier, mais ne donne pas une vision linéaire claire des phases.

🎯 À retenir pour l’examen MS-900 :

• Timeline view = vue simple et visuelle des dates de début et fin

• Gantt = gestion avancée

• Calendar = vue mensuelle/journalière
  Roadmap = consolidation multi-projets
  
  

• Par défaut, les journaux d’audit Microsoft 365 ont une durée de conservation limitée.

• Pour les conserver plus longtemps (ex. 1 an ou plus), il faut configurer une Audit log retention policy dans Microsoft Purview.

• Cela permet de répondre aux exigences réglementaires et de conformité.

❌ Pourquoi les autres réponses sont incorrectes :

• B. Litigation Hold (Exchange) → Concerne la conservation des emails, pas les journaux d’audit globaux.

• C. Sensitivity label retention → Gère la protection et la conservation des documents/emails, pas des logs d’audit.

• D. Azure Information Protection → Sert à classifier et protéger les données, pas à gérer la durée des logs d’audit.

🎯 À retenir pour l’examen MS-900 :

• Audit logs = Microsoft Purview (Audit log retention policy)

• Litigation Hold = emails

• Sensitivity labels = protection des données

• Hybrid cloud combine :

  • Une infrastructure locale (on-premises) pour les données sensibles

  • Des ressources cloud pour les environnements de test et développement accessibles globalement

• Les autres modèles ne répondent pas au besoin spécifique :

  • A : Public cloud seul placerait toutes les données dans le cloud, ce qui n’est pas conforme.

  • C : Private cloud est entièrement dédié mais limité aux ressources internes.

  • D : Community cloud est partagé entre organisations ayant des besoins similaires, pas adapté pour ce scénario mixte.

• Office 365 Message Encryption (OME) permet de :

  • Chiffrer automatiquement les emails selon des politiques définies

  • Protéger le contenu même si le destinataire n’utilise pas Office 365

• Les autres options ne répondent pas entièrement au besoin :

  • A : S/MIME nécessite que l’expéditeur configure manuellement le certificat et le chiffrement.

  • B : TLS sécurise la transmission, mais ne chiffre pas le contenu de manière persistante.

  • C : IRM contrôle l’utilisation et l’accès aux messages mais ne déclenche pas le chiffrement automatique basé sur des règles.

• Azure SQL Managed Instance :

  • Fournit une compatibilité quasi totale avec SQL Server (fonctionnalités, T-SQL, logins, agent SQL).

  • Permet de déplacer des bases SQL Server existantes vers le cloud avec très peu de modifications d’applications.

• Les autres options :

  • Azure SQL Database / Hyperscale → PaaS “single database” ou “scale-out”, certaines fonctionnalités SQL Server ne sont pas supportées, ce qui peut nécessiter des changements.

  • Azure Database for PostgreSQL → Base de données différente, non compatible SQL Server.

Windows Autopatch est un service Microsoft qui automatise les mises à jour de Windows, Microsoft 365 Apps, Edge et Teams. Il requiert obligatoirement une licence Windows 10/11 Enterprise E3 ou E5 — incluse dans Microsoft 365 E3/E5 ou disponible séparément via Windows Enterprise E3/E5.

Microsoft 365 Business Premium ne contient pas de licence Windows Enterprise et ne donne pas accès à Autopatch. Intune seul permet la gestion des appareils mais n'active pas Autopatch. Windows Pro avec EMS E3 est insuffisant car Autopatch exige la version Enterprise, pas Pro.

• onditional Access + Intune compliance policies permet de :

  • Vérifier que les appareils respectent les règles de sécurité avant de leur donner accès aux services Microsoft 365 (Exchange, SharePoint, Teams, etc.)

• Cette fonctionnalité nécessite Microsoft 365 (E3/E5) avec Azure AD Premium P1, et n’est pas disponible dans un Office 365 standalone.

• Les autres options ne gèrent pas le contrôle d’accès basé sur la conformité des appareils :

  • A : DLP protège les données mais ne contrôle pas l’accès selon la conformité des appareils.

  • C : Gestion de base des apps mobiles ne couvre pas l’accès aux services cloud.

  • D : Multi-Geo gère la localisation des données, pas la conformité des appareils.

• Reminder (Rappel) permet d’envoyer une notification à une heure précise, même si l’application n’est pas ouverte.

• C’est la fonctionnalité qui déclenche une alerte automatique à 8h chaque matin.

  🎯 À retenir pour l’examen MS-900 :

  • Reminder = notification à une heure précise

  • Recurrence = répétition de la tâche

  • Les deux peuvent être combinés, mais pour recevoir une alerte à 8h, il faut activer le rappel.

• Viva Insights mesure des indicateurs de productivité et de bien-être :

  • Temps de concentration (Focus time hours)

  • Pauses après réunions (After-meeting breaks)

  • Indicateurs d’efficacité des réunions (Meeting effectiveness score)

• Le coût des licences Microsoft 365 n’est pas un indicateur suivi par Viva Insights, car il relève de la gestion financière et non de la productivité.

Microsoft Sentinel permet aux équipes SOC de :

• Collecter et centraliser les logs depuis Azure AD, endpoints, applications cloud, et plus

• Exécuter des requêtes de threat hunting personnalisées en Kusto Query Language (KQL)

• Identifier APT, comportements anormaux et attaques avancées avant qu’elles ne deviennent incidents critiques

Pourquoi c’est le bon choix :

• Le besoin est proactif (threat hunting), pas simplement la surveillance ou la gouvernance

• KQL dans Sentinel est l’outil natif pour rechercher, corréler et analyser les événements à grande échelle

Pour respecter PCI DSS (chiffrement des données au repos et en transit) :

• Azure Policy permet de :

  • Définir des règles obligatoires pour le chiffrement au repos (ex. Storage Service Encryption, SQL TDE)

  • Définir des règles pour le chiffrement en transit (ex. TLS obligatoire pour les services)

  • Appliquer ces règles à toutes les ressources Azure via des initiatives intégrées ou personnalisées

  • Auditer la conformité et générer des rapports

• Initiatives intégrées : Microsoft propose des initiatives prêtes à l’emploi pour le chiffrement et la sécurité des données, alignées avec PCI DSS, NIST et autres standards.

Les Configuration Profiles dans Intune permettent :

• De configurer précisément FileVault

• De définir les exigences de mot de passe

• De configurer le pare-feu macOS

• D’appliquer des paramètres avancés de sécurité

• De cibler des groupes spécifiques (ex : développeurs)

Les profils de configuration sont le mécanisme direct permettant d’imposer ces paramètres.

• CAF DevSecOps recommande d’intégrer la sécurité et la conformité dès la phase de conception et de déploiement.

• Azure Blueprints permet de :

  • Appliquer des politiques et des contrôles RBAC cohérents sur plusieurs souscriptions

  • Garantir que toutes les ressources déployées respectent les standards internes et réglementaires

  • Automatiser la conformité dès la création de l’infrastructure (Infrastructure as Code)

• Cela offre une remédiation et un contrôle centralisé, ce qui répond directement aux exigences de gouvernance DevSecOps.

• Mailbox Intelligence : analyse le comportement des utilisateurs pour identifier des emails suspects envoyés ou reçus

• Spoof Intelligence : détecte les tentatives d’usurpation d’identité (spoofing), notamment des domaines ou adresses similaires aux comptes internes

• Ensemble, ils permettent à Defender for Office 365 de :

  • Bloquer ou marquer les emails imitant des comptes internes ou exécutifs

  • Réduire les risques d’account takeover via phishing ciblé

• DLP (Data Loss Prevention) dans Microsoft Purview :

  • Permet d’identifier automatiquement les informations sensibles, y compris les PHI

  • Empêche le partage accidentel ou non autorisé dans Teams, SharePoint, OneDrive et Outlook

  • Fonctionne en temps réel, donc même si Copilot est utilisé, les données sensibles ne sont pas exposées

• C’est la solution la plus efficace pour protéger les données sensibles tout en autorisant l’usage normal de Copilot.

Microsoft Defender for IoT (anciennement Azure Defender for IoT) permet de :

• Surveiller passivement le trafic réseau des PLC et autres équipements industriels

• Détecter des anomalies de protocole, mouvements latéraux et comportements suspects

• Ne nécessite pas d’installation directe sur les PLC → aucune perturbation des lignes de production

• Utilise port mirroring sur les switchs pour analyser le trafic réseau de manière non intrusive

Pourquoi c’est adapté :

• Les PLC sont souvent systèmes propriétaires où l’installation d’agents est risquée ou impossible

• La surveillance passive permet de détecter les menaces sans interrompre la production

• Scenario : appliquer MFA aux guests externes, sans dépendre de la configuration du tenant partenaire.

• Conditional Access (CA) permet de :

  • Créer une politique ciblant uniquement les utilisateurs invités (User type = Guest)

  • Exiger MFA avant l’accès à vos ressources Microsoft 365 ou Azure

  • Fonctionner indépendamment du tenant d’origine de l’utilisateur → aucun changement requis côté partenaire

• C’est la meilleure pratique Microsoft pour sécuriser l’accès externe tout en restant compatible avec Zero Trust.

• Customer-Managed Keys (CMK) pour Cosmos DB :

  • Permet de chiffrer les données au repos en utilisant vos propres clés stockées dans Azure Key Vault

  • Offre contrôle total sur la gestion et la rotation des clés

  • Supporte les exigences de conformité et réglementaires (HIPAA, GDPR, etc.)

• Différence avec les autres options :

A. Client-side encryption

• Chiffrement côté client → les données sont chiffrées avant envoi à Cosmos DB

• Plus complexe à gérer, mais pas nécessaire si vous voulez CMK au repos côté service

C. Transparent Data Encryption (TDE) avec service-managed keys

• Chiffrement automatique par le service

• Vous ne contrôlez pas les clés → ne répond pas à l’exigence de CMK

D. Column-level Always Encrypted

• Disponible pour SQL Server / Azure SQL Database

• Pas applicable à Cosmos DB

External Attack Surface Management (EASM) permet de :

• Identifier les actifs exposés à Internet

• Détecter les vulnérabilités ou configurations non sécurisées

• Prioriser les risques externes

Pourquoi Microsoft Sentinel est le meilleur choix pour le pipeline de remédiation :

• Sentinel centralise tous les logs et alertes de sécurité

• Permet de corréler les découvertes EASM avec d’autres événements (Azure AD, endpoints, cloud apps)

• Fournit des playbooks et automatisations (Logic Apps) pour la remédiation rapide

• Facilite la réponse proactive et le suivi des incidents

La création d'un compte de service est une opération administrative qui apparaît dans le journal d'activité sous la catégorie Configuration. Le filtre sur le type de ressource Compte de service permet de retrouver précisément l'événement de création.

Un SSD local offre un débit de lecture jusqu'à 3 Go/s contre ~240 Mo/s pour un SSD persistant zonal de 350 Go — soit 12x plus rapide. Augmenter la taille du disque persistant améliore le débit mais reste limité. Ajouter des vCPU n'impacte pas les I/O disque. Le SSD régional est plus cher et n'apporte pas plus de débit.

Pour créer des budgets et alertes sur un compte de facturation, il faut être administrateur de facturation du projet (project billing administrator). Le budget peut être filtré par projet et par service (Compute Engine), ce qui permet l'alerte spécifique demandée.

kubectl config use-context bascule vers le contexte de la configuration inactive, puis kubectl config view affiche les détails du cluster GKE associé, sans avoir à activer la configuration gcloud globalement.

Dans App Engine, router 100% du trafic vers une version précédente dans la page Versions est la méthode la plus rapide pour revenir en arrière. La commande 'gcloud app restore' n'existe pas. Les versions précédentes sont conservées et peuvent être réactivées instantanément.

Créer un espace de travail Stackdriver Monitoring sous un projet A et y ajouter B et C crée une vue unifiée de tous les projets dans un seul tableau de bord. C'est l'approche recommandée pour la surveillance multi-projets.

La bonne pratique est d'accorder les permissions sur la ressource cible (crm-databases-proj) au compte de service de la source (web-applications). Donner bigquery.dataViewer dans crm-databases-proj permet l'accès en lecture aux datasets. Project Owner donne trop de permissions.

Un Deployment Kubernetes par microservice permet de gérer indépendamment le cycle de vie, les réplicas et l'autoscaling de chaque microservice. Les Deployments sont le standard Kubernetes pour les applications sans état qui nécessitent un scaling individuel.

La bonne pratique est que le partenaire crée un compte de service dans son propre projet (il le contrôle) et que vous lui accordez l'accès au dataset BigQuery dans votre projet. Vous gardez le contrôle de qui accède à vos données.

Quand le Cloud SDK est installé depuis le dépôt Ubuntu de Google (apt), les composants supplémentaires doivent être installés avec apt get install (pas gcloud components install). La commande correcte est : sudo apt-get install google-cloud-sdk-datastore-emulator.

Sponsor dissatisfaction stems from inadequate stakeholder engagement at Sprint Reviews, poor communication from the Product Owner, and lack of transparency about actual progress and changes. The Daily Scrum is not designed for stakeholder tracking, and rigid adherence to an initial project plan contradicts Scrum's empirical, iterative nature. These factors undermine inspect-and-adapt cycles essential to Scrum.

Correct: Options 1 and 3 - These boundaries enable self-organization: timeboxed events create regular inspection and adaptation opportunities, while the requirement to produce a potentially shippable Increment each Sprint forces integration and completeness. Option 2 contradicts self-organization by creating functional silos; Option 4, while good practice, doesn't explicitly define self-organization boundaries.

Correct answers: Options 1 and 3. Work not meeting the Definition of Done must not be included in the Increment (option 1), per the Scrum Guide. The remaining work should be estimated and returned to the Product Backlog (option 3) for the Product Owner to reprioritize. Options 0 and 2 violate the Definition of Done by including or splitting incomplete work, undermining transparency and quality.

Options A and D are correct. Option A reflects empiricism: the team forecasts likely items based on the business objective and continues discovering/refining during the Sprint. Option D ensures learning from the challenge occurs in the Retrospective. Option B violates the timebox principle, and Option C wastes time in planning paralysis when the team can discover during the Sprint.

Correct answers: Options 2 and 3. The Definition of Done describes work needed to produce a potentially releasable Increment (option 2), and encompasses all work performed as defined in it (option 3). Options 0-1 are too restrictive (mentioning specific testing phases). Option 4 is incorrect because the Definition of Done is a team commitment, not limited by current skills. The Scrum Guide emphasizes Done means the product is ready for release.

Typical Scrum Master activities focus on removing impediments and facilitating inspection and adaptation. The Scrum Master does not assign tasks (that's the Development Team's role) or escalate conflicts to line managers (that undermines team empowerment). Instead, they coach the team to resolve obstacles and continuously improve, supporting Scrum's values of courage and commitment to excellence.

Correct: Options 1, 2, and 3 - Hardening Sprints indicate the team hasn't achieved potentially shippable increments during regular Sprints, stemming from incomplete Definition of Done or accumulated technical debt. Option 4 is false—Scrum explicitly discourages hardening Sprints. Option 5 misrepresents customization; proper Scrum prevents this need.

The Daily Scrum is a timeboxed event essential for team synchronization, not optional. Options A and C are correct: Steven should coach the team on the Daily Scrum's purpose for self-organization and Sprint plan updates (A), and help them understand that reduced communication frequency increases disconnect (C). Options B and D are inappropriate—voting doesn't validate Scrum principles, and simply accepting the proposal abdicates the Scrum Master's coaching responsibility.

Correct: Option 2 - Adding a second team typically causes the original team's velocity to drop initially due to increased communication overhead, context-switching, and coordination complexity as they integrate with the new team. Velocity measures the team's capacity, which is often strained by scaling effects before improvement occurs.

Correct answer: Option 2. The Scrum Master should facilitate discovery by asking the team to reflect on the value and risks of full attendance, enabling them to self-organize and decide. This coaches rather than commands. Option 0 (mandating) is authoritarian. Option 1 (guilt-tripping) is manipulative. Option 3 (abdicating responsibility) ignores the Scrum Master's role to help the team understand Scrum practices and their benefits.

Réponse : L\'approche de test qui sera appliquée aux tests d\'intégration système..
Explication : C est correct car le plan directeur de test est un document au niveau du programme qui spécifie l\'approche de test de haut niveau pour les principaux niveaux de test, y compris les tests d\'intégration système. Le plan directeur communique la portée, les objectifs, l\'approche générale de test aux parties prenantes, tandis que les détails d\'exécution relèvent des plans subordonnés.

Réponse : Critère A = NON OK, critère B = NON OK, critère C = OK.
Explication : L\'évaluation des critères de test révèle que seul le critère C satisfait aux exigences de qualité. Les critères A et B présentent des défaillances qui nécessitent une correction avant d\'accepter le produit testé.

Réponse : Les critères d\'entrée et de sortie pour chaque phase de test / Les techniques de conception de test à utiliser.
Explication : AC est correct car une stratégie de test défendable prescrit explicitement les techniques de conception de test pour atteindre la couverture et l\'atténuation des risques (C) et les critères d\'entrée/sortie qui gouvernent la progression des phases et les barrières qualité (A). Une stratégie de test robuste est un cadre décisionnel de haut niveau qui détermine comment les objectifs de test seront atteints et comment les risques informent la priorisation et la portée.

Réponse : Exécution des tests.
Explication : L\'exécution des tests représente la portion la plus importante et la moins prévisible de la variabilité (taux de découverte de défauts, disponibilité de l\'environnement, productivité humaine, boucles de rework). C\'est donc la partie la plus difficile à estimer.

Réponse : Inspections.
Explication : Les inspections (B) sont les moins appropriées car c\'est une technique d\'examen statique, axée sur les défauts, destinée à trouver des non-conformités dans les produits de travail plutôt qu\'à identifier proactivement les risques projet et produit. Les inspections utilisent des listes de contrôle et une approche orientée détection de défauts, tandis que l\'identification des risques nécessite une exploration prospective des incertitudes futures.

Réponse : Pourcentage de couverture des exigences.
Explication : B est correct car le pourcentage de couverture des exigences quantifie directement l\'adéquation des tests par rapport à l\'objectif déclaré de valider que le système satisfait ses exigences. L\'efficacité du test dans un contexte piloté par les exigences repose sur la mesure objective de la complétude de la couverture des exigences et de la détection des non-conformités.

Réponse : Les métriques enregistrées lors du test de l\'outil de capture-rejouer..
Explication : C est correct car les métriques mesurées de l\'outil de capture-rejouer fournissent les données empiriques directes (taux d\'exécution, temps de création et maintenance des scripts, taux de faux positifs/négatifs, surcharge de configuration/nettoyage) nécessaires pour convertir les tâches de test spécifiées en estimations temporelles fiables et réduire l\'incertitude.

Réponse : Cela peut servir à renforcer leur confiance dans le système.
Explication : C est correct car impliquer les utilisateurs lors de l\'exécution renforce principalement leur confiance et leur acceptation en validant le comportement du système par rapport aux attentes opérationnelles réelles. D\'un point de vue avancé de gestion des tests, la participation des utilisateurs est une intervention d\'engagement des parties prenantes qui réduit le risque de déploiement.

Réponse : En fournissant un atelier sur les techniques de conception de tests.
Explication : Un atelier sur les techniques de conception de tests remédie directement à la faible efficacité de détection des défauts en dotant les testeurs de méthodes systématiques et répétables pour dériver des cas de test de meilleure qualité. Les techniques pratiques (partitionnement des équivalences, analyse des valeurs limites, tables de décision, transitions d\'état, techniques d\'appairage) améliorent la couverture et augmentent la probabilité de détection des défauts.

Réponse : Prévoir un environnement de test de secours en cas de défaillance de l\'environnement existant pendant les tests.
Explication : C est correct car prévoir un environnement de test de secours est une mesure d\'atténuation proactive et au niveau du projet qui réduit la probabilité et l\'impact d\'une défaillance d\'environnement. L\'atténuation des risques projet consiste en actions anticipées et délibérées réduisant l\'exposition aux menaces identifiées. Un environnement redondant est une mesure classique car une défaillance d\'environnement est un point de défaillance unique fréquent pouvant arrêter complètement les tests et augmenter les coûts.

A. Set temperature to 0 to eliminate output variability and ensure consistent formatting Incorrect. This reduces randomness but won't fix systematic extraction errors like misinterpreting ranges ("2 to 3"). B. Send a follow-up request including the validation error, asking the model to correct its output Correct. Providing specific validation feedback allows the model to correct the exact issue (e.g., convert "2 to 3" into a valid float), making recovery highly effective. C. Pre-process source documents to standardize problematic formats before sending them for extraction Incorrect. Helpful in some cases, but not scalable or sufficient for diverse real-world variations. D. Implement a secondary pipeline using a larger model tier to reprocess documents that fail validation Incorrect. More expensive and not necessary--targeted correction is more efficient and effective.

A. Add a user_acknowledged: boolean parameter that must be set true, with instructions for the agent to only set it after the user explicitly confirms they reviewed the details Incorrect. This relies on agent discipline and is easy to bypass or mis-handle; it doesn't guarantee users actually see or understand key details. B. Implement a 60-second hold before execution completes, allowing users time to review pending allocations and cancel if needed Incorrect. Delays alone don't improve understanding; they only slow execution and may frustrate users without ensuring informed approval. C. Add a detail_level parameter with options "minimal" or "comprehensive" that controls how much context the agent presents in confirmations Incorrect. This improves formatting flexibility but does not ensure critical cost and impact information is consistently surfaced before approval. D. Return structured data including cost estimate, target project, resource specifications, and impact summary in the tool response Correct. This ensures that every allocation includes explicit, structured, reviewable details, reducing uninformed approvals and enabling users to understand cost and impact before proceeding.

A. Create separate search products and fetch more results tools for pagination. Incorrect. This exposes pagination mechanics to the agent, increasing complexity and coupling tool usage with control flow. B. Implement server-side relevance ranking and return only the top 50 most relevant items. Incorrect. While this reduces latency, it removes access to the full result set, limiting flexibility when more results are actually needed. C. Add a max pages parameter (default: 2) that controls how many pages are fetched internally. Incorrect. This is an improvement over fetching everything, but it still hides pagination control inside the tool and may fetch unnecessary data. D. Return the first page with total match count and cursor for additional pages. Correct. This enables lazy loading and explicit control, allowing the agent to fetch more results only when needed-- balancing performance and completeness.

A. Structured JSON consumes significantly fewer tokens than natural language, substantially reducing API costs. Incorrect. Token usage depends on the content; JSON is not inherently more compact than text and may sometimes use more tokens. B. The agent can reliably extract specific values without parsing free form text, reducing errors in subsequent operations. Correct. Structured output provides clear, predictable fields, making it easy for the agent to use the data accurately in downstream steps. C. Structured JSON is processed deterministically by the model, significantly improving accuracy when extracting values. Incorrect. The model is still probabilistic; JSON improves structure, but not deterministic processing. D. JSON schemas automatically validate that the underlying API returned correct data before the agent processes it. Incorrect. Schemas define structure, but they do not guarantee correctness of the actual data returned by the API.

A. Provide the subagent with tool definitions that allow it to request outputs from other subagents via callbacks. Incorrect. This introduces unnecessary coupling and complexity. Subagents shouldn't need to actively fetch data from others. B. Include the complete findings from both subagents directly in the synthesis subagent's prompt. Incorrect. While simple, this approach does not scale well for large outputs and can exceed context limits, reducing efficiency. C. Pass reference identifiers and configure the subagent with read access to a shared memory store where other subagents deposited their results. Correct. This is the most scalable and production-ready approach. It preserves information fidelity while avoiding context bloat, allowing the synthesis agent to retrieve exactly what it needs. D. Spawn the subagent with only a brief task description, relying on automatic context inheritance from the coordinator. Incorrect. There is no automatic context inheritance--without explicit data access, the synthesis agent cannot function properly.

A. The model extracts "et al." for co-authors when the full list exists only in an external document not in the input Correct. Retries won't help because the required information is not present in the input context. The model cannot recover missing data through repeated attempts. B. The model extracts citation counts as locale-formatted strings ("1234") when the schema requires integers Incorrect. This is a formatting issue that can be corrected through retries with validation feedback. C. The model extracts dates as ISO 8601 datetime strings ("2003-03-15T00:00:00Z") when the schema requires only the date portion (YYYY-MM-DD) Incorrect. Also a format mismatch, which retries can fix easily. D. The model extracts keywords as a nested object organized by category when the schema requires a flat array of strings Incorrect. This is a structural mismatch that can typically be corrected with retry feedback.

A. Log the error server-side and return an empty result to avoid confusing the model Incorrect. This hides critical failure information, making it impossible for the agent to distinguish "no data" from "system failure." B. Throw an exception from the tool handler so the agent framework can catch and log it Incorrect. Exceptions are useful internally, but the agent still needs a structured tool response; raw exceptions don't reliably propagate useful context to the model. C. Return the error message in the tool result content with the isError flag set to true Correct. This is the proper MCP pattern: the tool explicitly signals failure using isError: true, while still providing a readable error message so the agent can decide whether to retry, escalate, or inform the user. D. Return a success response with a "status" field indicating the error type Incorrect. This is misleading because it treats failures as successful responses, which confuses downstream reasoning and tool orchestration. Thank you Thank you for being so interested in the If you have any feedback or thoughts on the bumps, I would love to hear them. Your insights can help me improve our writing and better understand our readers. Best of Luck You have worked hard to get to this point, and you are well-prepared for the exam Keep your head up, stay positive, and go show that exam what you're made of! Feedback More Papers Total: 85 Questions Link:

A. Immediately send an API request with the update as a synthetic user message, generating an unsolicited assistant response. Incorrect. This creates an unsolicited interruption, which can feel unnatural and confusing in an active conversation. B. Append the status update as a prefix to the next user message before calling the API. Incorrect. This pollutes the user message and mixes system state with user intent, which can lead to misinterpretation. C. Configure the assistant to call a get_order_status tool at the start of every response. Incorrect. This is inefficient and unnecessary, especially when you already have the update via webhook. D. Add the current shipping status to the system prompt before the next API call. Correct. This cleanly injects up-to-date system state into context, allowing the assistant to naturally incorporate it into the next response without disrupting the conversation flow.

A. In the first assistant message, instructing Claude to follow these guidelines going forward Incorrect. Assistant messages don't reliably control future behavior and can be overridden by later context. B. Prepended to each user message before sending to the API Incorrect. User messages carry less authority than system-level instructions and are less reliable for enforcing behavior. C. In the system prompt Correct. The system prompt is the highest-priority instruction layer, making it the most reliable place to enforce consistent tone, reasoning style, and questioning behavior. D. In environmental variables that your application passes to the API client Incorrect. Environment variables are not part of the model's context and have no effect on behavior unless explicitly included in the prompt.

B. The order details are added to the conversation and the model reasons about which action to take. Correct. In an agentic loop, tool results (like "purchased 45 days ago") are fed back into the model's context, and the model re-evaluates the situation dynamically. It then decides whether to proceed with process_refund, escalate to a human, or take another action based on policy and the updated information. Why the others are not correct: A. Fixed tool sequence planned at the start Incorrect Agentic systems are not static workflows; they adapt after each observation. C. Pre-configured decision tree Incorrect This is rule-based automation, not LLM-driven reasoning. D. Orchestration layer automatically routes next tool call Incorrect That removes the model's reasoning role and turns it into deterministic routing.