Ne découvrez pas l'examen
le jour J

Réponse : AWS permet de provisionner des ressources en quelques minutes.
Explication : L’agilité du cloud AWS réside dans sa capacité à déployer et adapter des ressources quasi instantanément selon les besoins du client.

Réponse : Ressources élastiques / Réduction des coûts.
Explication : AWS permet d’adapter dynamiquement les ressources (élasticité) et de remplacer les gros investissements (capex) par des coûts variables plus faibles (opex).

Réponse : IaaS.
Explication : EC2 est une solution d’Infrastructure as a Service (IaaS) qui offre des ressources de calcul virtualisées.

Réponse : Amazon Inspector.
Explication : Amazon Inspector réalise des analyses de sécurité automatisées sur les instances EC2 pour détecter des failles potentielles.

Réponse : AWS CloudTrail.
Explication : AWS CloudTrail fournit l’audit des actions et identifie les utilisateurs ayant pris des mesures sur les ressources AWS.

Réponse : AWS Direct Connect et AWS VPN.
Explication : Direct Connect et VPN sont utilisés pour connecter de manière sécurisée des réseaux sur site au cloud AWS dans une architecture hybride.

Réponse : Amazon S3 peut exécuter tout type d’application ou backend / Amazon S3 peut être mis à l’échelle manuellement.
Explication : S3 ne sert pas à héberger des applications et sa scalabilité est automatique, pas manuelle.

Réponse : Gestion des correctifs / Gestion de la configuration.
Explication : La gestion des correctifs (Patch Management) et la gestion de la configuration sont des contrôles partagés entre AWS et le client selon le service utilisé.

Réponse : Le transfert de données de l'appareil Snowball Edge vers Amazon S3. Explication : AWS facture les jours d'utilisation de l'appareil Snowball Edge et les transferts de données sortant d'AWS, mais le transfert de données vers Amazon S3 à partir d'un appareil Snowball est gratuit. Cela rend les migrations de données volumineuses vers le cloud rentables.

Réponse : Amazon S3 Intelligent-Tiering.
Explication : S3 Intelligent-Tiering adapte automatiquement la classe de stockage en fonction de la fréquence d’accès pour optimiser les coûts.

Prompt engineering : c'est la technique qui contrôle directement le style, la longueur et la langue des réponses sans modifier le modèle. Une instruction explicite ("Réponds en 2 phrases, en français") guide la génération. À l'inverse, la température affecte la créativité (non la langue), Top-K modifie la diversité lexicale, et la taille du FM change le modèle entier.

Défense en profondeur contre l'injection de prompts : Les templates sécurisés et délimiteurs explicites créent une barrière structurelle entre instructions système et données utilisateur, empêchant leur fusion malveillante. L'IAM least-privilege limite les dégâts post-injection, mais ne prévient pas l'attaque elle-même. La température affecte la créativité, non la sécurité. L'accès public aux données aggrave les risques.

Instances EC2 Trn (Trainium) : accélérateurs spécialisés conçus par AWS pour l'entraînement de modèles de deep learning. Contrairement aux GPU P (polyvalents) ou G (graphique), Trainium offre un rendement énergétique supérieur grâce à son architecture dédiée au training, réduisant significativement coûts et empreinte carbone.

CloudTrail pour le contrôle d'accès Bedrock : CloudTrail enregistre toutes les appels API AWS (InvokeModel, CreateAgent, etc.) avec identité de l'appelant, timestamp et résultat. Cela permet de tracer les tentatives d'invocation non autorisées et de générer des alertes de sécurité. Contrairement à CloudWatch Logs (métriques de performance) ou IAM Policies (contrôle préventif), CloudTrail fournit l'audit rétrospectif nécessaire pour la conformité.

Guardrails for Amazon Bedrock : service natif qui filtre les entrées/sorties de modèles IA en temps réel pour détecter et bloquer les PII, contenu toxique et autres risques définis par des politiques de sûreté. Contrairement à Macie (audit S3 uniquement), CloudTrail (logs API) ou KMS (chiffrement), Guardrails intervient directement dans le pipeline d'inférence du modèle.

LLM texte-à-texte : modèle entraîné sur corpus massif (texte + code SQL) capable de traduire instructions naturelles en requêtes SQL exécutables via compréhension contextuelle. SVM/ResNet/WaveNet sont spécialisés en classification/vision/audio respectivement, inadaptés au text-to-SQL.

Vrai. Les Knowledge Bases (RAG) réduisent la taille du prompt et injectent uniquement les passages pertinents au moment de l’inférence.

Déploiement SageMaker Serverless Inference : L'ordre critique respecte les dépendances techniques. D'abord, l'artefact du modèle doit résider sur S3 (source de vérité). Ensuite, l'enregistrement dans Model Registry crée la traçabilité et le versioning. Puis, la configuration serverless définit les ressources (mémoire, concurrence). Enfin, la création d'endpoint déploie l'ensemble. Les réponses alternatives inversent S3/Registry ou configurent l'endpoint avant sa définition, ce qui causerait des erreurs de référence.

Un modèle de base (ex. : Claude, Titan) est pré-entraîné sur des données générales et peut répondre à de nombreuses questions sans adaptation. Un modèle fine-tuné a été réentraîné sur des données spécifiques à un domaine ou une tâche, ce qui modifie ses poids pour optimiser ses performances dans ce contexte particulier (ex. : jargon médical, style de réponse spécifique). Le fine-tuning améliore la précision domain-specific mais peut réduire les capacités générales (catastrophic forgetting).

Résumé génératif à grande échelle : Les modèles de fondation via Bedrock excellent dans la synthèse de contenu complexe et nuancé, bien mieux que les outils de classification. Scalable batch pour traiter des milliers de documents.

Focus means the Scrum Team focuses on the work of the Sprint and the Sprint Goal. Declining work that would distract from the Sprint Goal demonstrates Focus. Commitment is about dedicating effort to achieving the Sprint Goal. Courage is about doing the right thing, including having difficult conversations. Respect is treating teammates as capable professionals. Focus protects the team from scope creep and enables predictable delivery.

Scrum Team Attendance: The Sprint Retrospective requires the entire Scrum Team—Product Owner, Scrum Master, and Developers—to inspect and adapt their processes. All three roles bring essential perspectives: developers share technical insights, the PO provides business context, and the SM facilitates improvement. Stakeholders don't attend, keeping focus internal on team dynamics.

Inspect and Adapt Principle: When a Sprint Goal isn't met, the team uses the Sprint Retrospective—one of Scrum's formal inspection ceremonies—to analyze root causes and identify process improvements. This embodies Scrum's core value of continuous improvement. Unlike extending the Sprint (violates Scrum rules), penalizing teams (counterproductive), or reporting to management (escalation, not resolution), the Retrospective enables the team to own their challenges and drive sustainable change.

Answer: None. A new Sprint starts immediately following the end of the previous Sprint.
Explanation: There is no gap between Sprints in Scrum. The next Sprint begins the day after the previous one ends, maintaining a continuous development rhythm.

Answer: Monitor communications between them and facilitate direct collaboration.
Explanation: The Scrum Master facilitates direct communication between the PO and Development Team, ensuring clarity and reducing misunderstandings, rather than acting as an intermediary who filters or relays messages.

Answer: False.
Explanation: The Scrum Master is fundamentally different from a traditional PM. The SM is a servant-leader focused on enabling the team and protecting the Scrum process, not on directing work, managing resources, or holding authority over team members.

Scrum Guide Authorship: Ken Schwaber and Jeff Sutherland, Scrum's creators, are the official maintainers of the Scrum Guide. This ensures consistency and authority in Scrum's definition. The Guide is the single source of truth for Scrum practices, distinguishing it from other frameworks or interpretations.

Answer: False.
Explanation: Scrum is a framework, not a methodology. It does not prescribe specific engineering techniques or detailed processes for building software. Teams are free to choose their own practices within the Scrum framework.

The Product Backlog is the single source of truth for all work on the product — it is managed by (not exclusive to) the Product Owner, who keeps it ordered to optimize value. It is ordered by priority, value, dependencies, and risk — not maintained as a fixed scope list. It is not exhaustive upfront; it evolves continuously as new information emerges. Anyone on the Scrum Team can add items; only the Product Owner orders them.

Product Backlog refinement is an ongoing activity where the Product Owner collaborates with the team to clarify requirements, add estimates, and prioritize items so they are ready for future Sprints. This preparation enables the team to have productive Sprint Planning sessions with well-understood work. The other options are incorrect because refinement does not remove items (items are removed through product decisions, not refinement), does not create the Sprint Backlog (that happens during Sprint Planning), and does not require formal stakeholder approval of individual items.

Answer: The Developers.
Explanation: The Developers decide how many items they can take into the Sprint based on their capacity and the Definition of Done.

One product = one Product Backlog. When multiple Scrum Teams work on a single product, they share a single ordered Product Backlog managed by one Product Owner. This ensures coherent prioritization and prevents teams from optimizing locally at the expense of the overall product. Separate backlogs would introduce coordination overhead, duplication, and potentially conflicting priorities — exactly what a single PO and single backlog prevent.

Answer: It is 15 minutes or less; location and time remain constant.
Explanation: The Daily Scrum is time-boxed to 15 minutes and held at the same time and place each day to reduce complexity and build the habit of daily inspection and adaptation.

Answer: Sprint Retrospective.
Explanation: The Sprint Retrospective is the event for the Scrum Team to inspect and adapt their process, interactions, and tools.

Answer: Whoever the Development Team decides should start.
Explanation: The Daily Scrum is owned by the Development Team. They decide the format and structure, including who opens the meeting, without guidance from the Scrum Master or Product Owner.

Answer: Yes, otherwise stakeholders cannot accurately inspect what is done.
Explanation: Integration every Sprint produces a single, coherent Increment. Without integration, stakeholders and Product Owners cannot get an accurate picture of the product's current state.

Answer: The Sprint Goal.
Explanation: The Sprint Goal is the single objective for the Sprint established during Sprint Planning. It gives the Development Team direction and flexibility in selecting how to achieve it.

Key concept: The Scrum Master\'s accountability for team effectiveness. The Scrum Master is accountable for the Scrum Team\'s effectiveness by removing impediments, facilitating Scrum events, coaching team members on self-organization, and fostering a culture of continuous improvement. While the Product Owner drives value delivery and stakeholders provide input, neither holds direct accountability for operational effectiveness. Managers external to Scrum teams have no formal role in Scrum. The Scrum Master\'s servant-leadership approach ensures the team functions optimally within the Scrum framework.

Concept clé - Le domaine Livraison dans le PMBOK 7 : Le domaine Livraison (Delivery) représente l'une des huit domaines de pratique fondamentaux du PMBOK 7e édition. Il se concentre spécifiquement sur la capacité à produire les livrables du projet tout en satisfaisant les critères d'acceptation définis et en générant des bénéfices mesurables pour l'organisation. Ce domaine englobe non seulement la création des produits ou services, mais aussi leur validation et leur contribution concrète à la réalisation de la valeur métier attendue.

Pourquoi cette réponse est correcte : La formulation "Respect des critères d'acceptation et production de bénéfices mesurables" capture précisément les deux piliers du domaine Livraison. D'une part, le respect des critères d'acceptation garantit que chaque livrable répond aux exigences qualitatives et quantitatives convenues avec les parties prenantes. D'autre part, la production de bénéfices mesurables renvoie à la notion fondamentale du PMBOK 7 selon laquelle un projet réussit non seulement en respectant le délai et le budget, mais surtout en créant une valeur tangible et quantifiable pour l'organisation. Cette approche alignée sur les résultats

Gestion du changement et de l'impact réglementaire : Dans le PMBOK 7e édition, la gestion du changement est un processus fondamental qui exige une évaluation rigoureuse avant toute action. Face à un changement réglementaire impactant les coûts, le chef de projet doit d'abord analyser précisément l'impact financier en quantifiant les surcoûts, en identifiant les domaines affectés et en évaluant les risques associés. Cette analyse sert de fondation à la décision. Ensuite, il est impératif de concerter les parties prenantes et le sponsor pour ajuster le plan de projet (délais, portée, ressources, budget), car ces décideurs détiennent l'autorité et la visibilité stratégique nécessaires. Cette approche respecte les principes de gouvernance, de transparence et de gestion proactive des risques. Ignorer le changement expose le projet à des non-conformités légales graves. Demander un budget supplémentaire sans justification manque de crédibilité et de rigueur. Arrêter le projet précipitamment est une surréaction sans évaluation des alternatives. Seule l'analyse suivi d'une concertation collaborative permet une adaptation intelligente et just

Diagramme de Gantt - Outil de visualisation temporelle du projet : Le diagramme de Gantt est un outil de planification et de suivi essentiel qui représente graphiquement l'échéancier du projet. Il affiche chaque tâche sous forme de barre horizontale sur un axe temporel, permettant de visualiser instantanément la chronologie des activités, leurs dépendances, les jalons critiques et la progression réelle par rapport au plan. Cet outil est particulièrement approprié pour répondre au besoin spécifique de suivi strict et visible des délais car il offre une représentation intuitive et accessible à tous les stakeholders.

Pourquoi cette réponse est correcte : Le Gantt remplit précisément les critères demandés : suivi des délais d'exécution (via les barres montrant progression vs planifié) et visibilité de la progression par rapport au calendrier planifié. Selon le PMBOK 7e édition, le Gantt figure parmi les outils principaux du processus "Développer le calendrier du projet" et "Maîtriser le calendrier du projet". Il permet de détecter rapidement les écarts d'échéancier et de prendre des mesures correctives.

Distinction avec les autres options : La matrice SWOT

Suivi et révision des coûts : processus continu de monitoring des dépenses réelles versus budgétées tout au long du projet. Cela permet de détecter les écarts de facturation (comme les factures tardives ou erronées) avant la clôture. Un suivi uniquement en fin de projet laisse peu de marge pour corriger les déviations de coûts.

Matrice de traçabilité des exigences : document qui établit des liens bidirectionnels entre chaque exigence et ses livrables correspondants. Elle garantit que toutes les exigences sont couvertes et que chaque livrable répond à une exigence identifiée. Contrairement à la charte (document de lancement) ou au plan de communication (diffusion d'informations), seule cette matrice assure la traçabilité complète requise.

Les quatre cérémonies Scrum obligatoires : Le framework Scrum définit quatre événements (ou cérémonies) qui sont tous obligatoires et constituent les piliers de la collaboration itérative. Le Sprint Planning lance chaque sprint en définissant les objectifs et en sélectionnant les éléments du backlog à réaliser. Le Daily Scrum (ou mêlée quotidienne) synchronise l'équipe chaque jour sur la progression, les obstacles et les ajustements tactiques. Le Sprint Review valide les livrables avec les parties prenantes et collecte leurs retours. Le Sprint Retrospective permet à l'équipe d'analyser son fonctionnement interne et d'identifier des améliorations continues. Contrairement à une compréhension erronée, tous ces quatre événements sont obligatoires dans un framework Scrum authentique. Aucun ne peut être omis sans compromettre l'efficacité du processus itératif. Le PMBOK 7e édition reconnaît Scrum comme un cycle de vie agile clé, et ces cérémonies structurent l'inspection, l'adaptation et la transparence—les trois piliers de l'agilité. Cette question teste votre compréhension du framework Scrum plutôt qu'une distinction entre événements optionn

Conformité réglementaire : exigences légales obligatoires dont le non-respect génère des sanctions financières. En gestion de projet, les contraintes réglementaires sont des facteurs critiques prioritaires. Contrairement aux améliorations internes ou développements commerciaux, ignorer la réglementation expose directement l'organisation à des risques légaux et financiers mesurables.

Ordre logique des processus de communication : Planifier d'abord (définir besoins et stratégie), puis Gérer (exécuter l'échange d'informations), enfin Surveiller (évaluer efficacité). Cette séquence suit la logique planifier-exécuter-contrôler du PMBOK. Les autres ordres inversent la planification ou la surveillance, rendant impossible une gestion efficace.

Cette question correspond à l’objectif d’apprentissage FL-4.2.3 (K3) - Utiliser les tests par tables de décisions pour dériver les cas de test.
● a) Faux → R4 : Possible – Un abonné Premium peut avoir accès anticipé aux films et recevoir un mois gratuit après 12 mois d’abonnement.
● b) Faux → R2 : Possible – Un abonné Premium ayant 12 mois d’abonnement actif reçoit un mois gratuit, sans contradiction.
● c) Faux → R6 : Possible – Cette règle concerne un non-abonné, il n’y a pas d’erreur.
● d) Correct → R8 : Impossible – Un non-abonné ne devrait pas recevoir un mois gratuit après 12 mois, car seuls les abonnés Premium y ont droit selon les règles
définies.

Cette question correspond à l’objectif d’apprentissage FL-5.1.3 (K2) – Comparer et opposer
les critères d\'entrée et les critères de sortie.
La bonne réponse est a) et c)
● a) Correct → L’exécution complète des cas de test prévus (comme ceux de non-régression) est un critère de sortie standard indiquant l’exhaustivité des tests.
● b) Faux → La validation de l’environnement de recette est une préparation au test et relève donc des critères d’entrée.
● c) Correct → Un seuil de couverture des exigences critiques est un indicateur objectif pour déterminer si les tests peuvent être considérés comme suffisants.
● d) Faux → L’approbation du plan de test concerne la préparation des activités de test, donc un critère d’entrée.
● e) Faux → L’outillage opérationnel est une condition préalable au bon déroulement des tests, donc là encore, un critère d’entrée.

Cette question correspond à l’objectif d’apprentissage FL-5.3.2 (K2) – Résumer les objectifs,le contenu et les destinataires des rapports de test.

● a) Faux → Le rapport ne vise pas à convaincre, mais à informer objectivement.
● b) Correct → C’est exactement ce que doit contenir un rapport de test clair et utile pour les parties prenantes.
● c) Faux → Ce rôle revient aux développeurs, pas aux testeurs.
● d) Faux → Le fonctionnement de l’outil n’est pas pertinent pour la majorité des destinataires

Cette question correspond à l\'objectif d\'apprentissage FL-4.5.3 (K3) - Utiliser le développement piloté par les tests d\'acceptation (ATDD) pour dériver les cas de tests.

● a) Faux → Cette approche confond les tests unitaires avec les tests d\'acceptation.
Dans l\'ATDD, l\'objectif est de créer des tests d\'acceptation automatisés qui valident les comportements attendus du point de vue de l\'utilisateur, pas de décomposer le scénario en tests unitaires.

● b) Faux → Ajouter des détails techniques d\'implémentation va à l\'encontre des principes de l\'ATDD. Les tests d\'acceptation doivent se concentrer sur le comportement observable et les critères d\'acceptation métier, pas sur les détails d\'implémentation technique.

● c) Correct → Cette approche est parfaitement alignée avec les principes de l\'ATDD.

Le scénario actuel est trop vague et ne fournit pas d\'exemples concrets permettant de déterminer si l\'implémentation est correcte. En ajoutant plusieurs exemples avec des valeurs d\'entrée spécifiques (différents niveaux de revenus, scores de crédit, valeurs de propriété) et les résultats attendus correspondants (éligible/non éligible),le scénario devient beaucoup plus clair.

d) Faux → Cette réponse contredit fondamentalement la nature collaborative de l\'ATDD. Dans l\'ATDD, l\'écriture et l\'automatisation des tests d\'acceptation font partie
intégrante du processus de développement et impliquent idéalement les développeurs, les testeurs ET les parties prenantes métier. Confier cette responsabilité uniquement aux testeurs après le développement revient à abandonner l\'approche \"piloté par les tests\" de l\'ATDD.

Cette question correspond à l’objectif d’apprentissage FL-5.1.2 (K1) – Reconnaître la valeur ajoutée d’un testeur dans la planification des itérations et des releases.
● a) Faux → La réécriture des exigences n’est pas une responsabilité directe du testeur.
● b) Faux → Le testeur contribue à l’estimation de l’effort de test, pas à celle des sprints de développement.
● c) Faux → Le testeur ne choisit pas comment le code est développé.
● d) Correct → Le testeur apporte une perspective qualité dès le début : il aide à identifier les risques, à définir ce qui doit être testé en priorité.

Cette question correspond à l\'objectif d\'apprentissage FL-4.2.1 (K3) - Appliquer le partitionnement en classes d\'équivalence pour dériver des cas de test.

● a) Correct → Pour couvrir toutes les classes d\'équivalence valides, nous avons besoin de tester : (économique, pas de vue), (économique, vue partielle), (standard,
pas de vue), (standard, vue partielle), (luxe, pas de vue), (luxe, vue partielle), et (luxe, vue panoramique). Cependant, comme seuls les hôtels de luxe peuvent avoir une vue panoramique, et que le formulaire a une validation qui empêche les
combinaisons invalides, nous pouvons couvrir toutes les classes valides avec 3 cas de test : (économique, pas de vue), (standard, vue partielle), et (luxe, vue panoramique).
● b) Faux → Trois cas de test suffisent pour couvrir toutes les classes d\'équivalence valides.
● c) Faux → Trois cas de test suffisent pour couvrir toutes les classes d\'équivalence valides.
● d) Faux →. Trois cas de test suffisent pour couvrir toutes les classes d\'équivalencevalides.

Cette question correspond à l’objectif d’apprentissage FL-3.2.3 (K1) – Rappeler quelles sont les responsabilités attribuées aux rôles principaux lors des revues.
● a) Faux → Le modérateur organise la revue, mais ne corrige pas les défauts.
● b) Correct → L’auteur est la personne qui a produit l’artefact analysé et qui doit corriger les défauts détectés.
● c) Faux → Le lecteur examine les documents, mais n’effectue pas de corrections.
● d) Faux → Le responsable qualité veille au respect du processus, mais n’intervient pas directement dans la correction des défauts.

Cette question correspond à l’objectif d’apprentissage FL-4.3.1 (K2) – Expliquer le test des instructions.

Le test des instructions vérifie que chaque ligne de code est exécutée au moins une fois. Il y a 10 instructions conditionnelles, chaque ayant 2 branches, alors on peut avoir jusqu’à 20 instructions exécutables, mais pour les couvrir toutes, il suffira souvent de 2 cas de test bien choisis, par exemple :

● un cas qui passe toujours par les if
● un autre qui force les else
● a) Faux → 1 seul test ne garantit pas la couverture si des branches ne sont pas exécutées.
● b) Correct → 2 tests suffisent pour atteindre 100% de couverture.
● c) Faux →5 tests sont excessifs.
● d) Faux → 10 tests sont inutiles.

Cette question correspond à l’objectif d’apprentissage FL-3.1.2 (K2) - Expliquer la valeur du test statique.
● a) Correct → Les tests statiques permettent d’identifier des défauts sans exécuter le logiciel, via des revues ou des analyses statiques.
● b) Faux → Tester le logiciel en l’exécutant relève des tests dynamiques.
● c) Faux → Tester la performance du logiciel sous charge relève des tests de performance, qui sont des tests dynamiques.
● d) Faux → Les tests statiques ne concernent pas l’implémentation des tests automatisés.

Cette question correspond à l’objectif d’apprentissage FL-1.5.2 (K1) – Rappeler les avantages de l’approche équipe intégrée.
● a) Faux → Une équipe intégrée favorise la collaboration, et non l’indépendance totale des testeurs.

● b) Correct → L’approche équipe intégrée facilite les échanges entre développeurs, testeurs et autres parties prenantes, améliorant ainsi la qualité du produit final.
● c) Faux → Même dans une équipe intégrée, la planification des tests reste essentielle pour garantir une couverture adéquate.
● d) Faux → Les tests de régression restent nécessaires pour s’assurer que les corrections n’ont pas introduit d’autres défauts.

RSA est correct car c'est un algorithme de chiffrement asymétrique qui utilise deux clés différentes : une clé publique pour chiffrer et une clé privée pour déchiffrer.

Les autres réponses sont toutes des algorithmes de chiffrement symétrique : AES-256, 3DES et Blowfish utilisent une seule clé secrète partagée pour les opérations de chiffrement et de déchiffrement.

Demander des identifiants via un e-mail prétendant venir d’un cadre est typique d’un BEC, car il exploite la confiance dans la hiérarchie.

Answer: Insider threat.
Explanation: An insider threat involves a current or former employee who has authorized access and misuses it to harm the organization. Remote after-hours access and unauthorized data exfiltration to a personal device is a classic insider threat indicator.

Tabletop Exercise: A structured discussion-based simulation where team members walk through incident response procedures without actually executing them. This cost-effective method improves incident response by identifying gaps, clarifying roles, and testing communication plans. Unlike Failover (system switching) and Recovery (restoration), Tabletop focuses on planning and preparedness rather than technical implementation.

WPA3 encryption: The latest Wi-Fi security standard providing strong encryption and protection against brute-force attacks through Simultaneous Authentication of Equals (SAE). Unlike WEP (outdated, cracked), hidden SSIDs (security through obscurity), or MAC filtering (easily spoofed), WPA3 offers robust cryptographic authentication meeting modern security requirements.

Service Level Agreement (SLA): A contractual document specifying measurable service performance metrics, including uptime percentages (99.99%), response times, and remedies for failures. It directly addresses the client's availability demands, unlike MOA (methods), SOW (scope/deliverables), or MOU (intent/understanding).

Phishing red flags: Urgent requests for sensitive information via email are hallmark phishing tactics designed to bypass rational decision-making. Attackers create artificial time pressure to prevent verification. Legitimate organizations never request passwords or credentials via email. Known senders (A) and secure links (B) indicate legitimacy, while password-protected documents (D) suggest security awareness.

Integrity: ensures data remains accurate and unaltered. Modifying data in transit violates this principle because the information is changed without authorization. Confidentiality protects secrecy, availability ensures access, and non-repudiation prevents denial of actions—none address unauthorized data modification.

GDPR (General Data Protection Regulation) is the EU's comprehensive privacy law that applies to any organization processing personal data of EU residents — even if the organization is based outside the EU. Key requirements: lawful basis for processing, data minimization, right to access/erasure, breach notification within 72 hours, Data Protection Officer (DPO) appointment for high-risk processing, and Privacy by Design. HIPAA covers US healthcare data. PCI-DSS covers payment card data. SOX covers US financial reporting.

Network segmentation with a DMZ (Demilitarized Zone) or VLANs with ACLs isolates sensitive systems. A firewall or router enforces which traffic can cross between segments. This limits lateral movement — an attacker who compromises a workstation cannot directly reach the financial database. Air-gapping provides complete isolation but no communication. NAT hides internal IPs but doesn't enforce access controls. VPN secures remote access, not internal segmentation.

Power BI : plateforme Microsoft dédiée à la business intelligence, permettant de transformer des données brutes en visualisations interactives et tableaux de bord partageables. Contrairement à Excel (outil bureautique) ou Azure Monitor (surveillance d'infrastructure), Power BI excelle dans l'analyse métier et la décision data-driven en temps réel.

Réponse : Azure SQL Database. Explication : Azure SQL Database est un service de base de données relationnelle PaaS complètement géré, optimisé pour les charges de travail OLTP dans les applications SaaS. Il fournit la mise à l'échelle automatique, la haute disponibilité intégrée et la sécurité sans nécessiter de gestion d'infrastructure.

Cohérence : propriété garantissant que la base de données passe d'un état valide à un autre état valide après chaque transaction. Elle vérifie que toutes les contraintes d'intégrité (clés primaires, clés étrangères, règles métier) sont respectées. Contrairement à l'atomicité (tout ou rien), l'isolation (concurrence) ou la durabilité (persistance), la cohérence assure la validité logique des données.

Azure Blob Storage : service cloud optimisé pour stocker des objets volumineux et non structurés (images, vidéos, documents). Contrairement à Azure SQL Database (données structurées), Azure Table Storage (données semi-structurées clé-valeur) ou Azure Files (partages réseau), Blob Storage offre une scalabilité massive et des coûts réduits pour les données multimédia non organisées en schémas rigides.

API Gremlin et modèle graphe : Gremlin est un langage de requête standardisé pour naviguer dans les bases de données graphes. Cosmos DB utilise ce modèle pour stocker des données sous forme de nœuds (entités) et d'arêtes (relations) entre eux, idéal pour représenter des réseaux complexes. Contrairement au modèle relationnel (tables), au modèle clé-valeur (paires simples) ou au modèle orienté colonnes (analytique), le graphe excelle pour explorer les connexions et chemins entre données interconnectées.

OLTP vs OLAP : OLTP (Online Transaction Processing) traite des transactions courtes et fréquentes (ventes, paiements) optimisées pour la vitesse. OLAP (Online Analytical Processing) analyse de grands volumes historiques pour le reporting et la décision. OLTP = écriture rapide, OLAP = lecture massive. Contrairement aux idées fausses, OLAP supporte SQL et n'est pas limité à l'IoT.

Microsoft Power BI est la solution de Business Intelligence (BI) d'Azure qui permet de connecter de nombreuses sources de données (Azure SQL, Cosmos DB, Excel, Salesforce, etc.), de créer des rapports interactifs avec des visualisations (graphiques, cartes, KPIs), et de les partager via Power BI Service (cloud). Il existe en trois éditions : Desktop (gratuit, création), Pro (partage, collaboration), Premium (large diffusion, IA). Azure Synapse Analytics s'intègre directement avec Power BI pour des analyses en temps quasi-réel sur de grands volumes.

INSERT : commande SQL fondamentale pour ajouter de nouvelles lignes dans une table. Elle spécifie les colonnes et les valeurs à insérer. À distinguer de UPDATE (modifie des données existantes), SELECT (récupère des données) et ALTER (modifie la structure de la table, pas son contenu).

Base NoSQL orientée documents : stocke des données semi-structurées (JSON, XML) sans schéma fixe, idéale pour les structures variables comme les profils utilisateurs. Contrairement aux bases relationnelles (rigides avec clés étrangères), elle offre flexibilité. Différente du stockage multimédia (Blob Storage) et des transactions bancaires (bases ACID relationnelles obligatoires).

Réponse : Pour automatiser la création d'un groupe de ressources Azure interdépendantes de manière reproductible. Explication : Les modèles Azure Resource Manager (ARM) définissent l'infrastructure en tant que code JSON. Ils automatisent la création et la configuration des ressources Azure interdépendantes de manière déclarative, reproductible et idempotente — permettant des déploiements cohérents dans différents environnements.

La bonne réponse est « Au niveau du Code société » car le plan de comptes est assigné au niveau du code société, permettant à chaque entité juridique d'avoir sa propre structure comptable adaptée à ses besoins. Les autres réponses sont incorrectes : le plan de comptes n'est pas partagé au niveau Client (qui est un niveau supérieur), n'est pas assigné à la Zone de contrôle (qui gère les centres de coûts), et n'est pas lié à l'Usine (qui est un concept de logistique, non de finance).

Réponse : OBYC
Explication : OBYC paramètre les comptes G/L utilisés par les processus MM (mouvements de stock, réception de facture, écarts).

Le Rappel est un processus de gestion des encaissements qui envoie des rappels de paiement de plus en plus urgents aux clients ayant des soldes impayés. Cette réponse décrit précisément la fonction de rappel dans SAP AR. Les autres réponses sont incorrectes : le lettrage automatique des factures ouvertes relève du lettrage, la création de factures en lot correspond à la facturation batch, et le calcul des escomptes relève de la configuration des conditions commerciales, pas du rappel.

L'amortissement ordinaire (planned depreciation) est calculé automatiquement selon la clé d'amortissement, la durée de vie utile et la valeur d'acquisition de l'actif — il suit un plan prédéfini (mensuel, annuel). L'amortissement non planifié (unplanned depreciation) est saisi manuellement pour des dépréciations exceptionnelles : détérioration soudaine, obsolescence technologique, sinistre. Il est comptabilisé via la transaction ABAA ou l'app Fiori équivalente. Ces deux types se cumulent dans le calcul de la valeur nette comptable.

Réponse : Vrai
Le Journal Universel (ACDOCA) est la pierre angulaire de S/4HANA Finance. Il centralise FI, CO et AA dans une seule table, éliminant la réconciliation entre les anciens tableaux BSEG, COEP et ANEK. Cela garantit la cohérence des données en temps réel.

Société est l'unité organisationnelle centrale pour la Comptabilité Financière car elle représente une entité légale indépendante avec son propre bilan et compte de résultat. C'est au niveau de la Société que les transactions financières sont enregistrées et que les états financiers obligatoires sont générés. Établissement est une unité de production/logistique, Domaine de contrôle est dédié au contrôle de gestion interne (non comptabilité financière), et Domaine d'activité est utilisé pour la segmentation interne des résultats. Aucune de ces unités ne constitue le niveau fondamental pour la tenue des comptes financiers.

KR (Kreditorenrechnung) est le code de type de document SAP utilisé pour les factures fournisseurs en Comptabilité Créditeurs. Ce type de document enregistre les obligations de paiement envers les créanciers. Les autres options sont incorrectes : SA correspond aux factures clients (Debitoren), DR aux avoirs clients (Debit note), et AB à l'ordre d'achat, qui n'est pas un document comptable de facturation.

Réponse correcte : Le programme de paiement automatique (F110) est conçu pour traiter les éléments ouverts en générant et en postant automatiquement les documents de paiement pour les fournisseurs et les clients, selon les critères de sélection définis. Pourquoi les autres réponses sont incorrectes : La première option concerne la création de factures (processus d'achat), pas le paiement. La troisième option décrit la réconciliation bancaire (transaction F110 ne le fait pas). La quatrième option concerne les écritures récurrentes, qui utilisent un autre mécanisme (REGKE ou F.14).

Réponse : GGB1
La transaction GGB1 (Validations) permet de définir des règles de validation qui vérifient les données saisies dans les documents comptables avant leur enregistrement. Par exemple : bloquer une écriture si un compte de charges est utilisé avec un centre de profit non autorisé. C'est un outil de contrôle de saisie en temps réel.

Réponse : FBZP
La transaction FBZP (Maintain Payment Program Configuration) est l'interface centrale de configuration du programme de paiement automatique. Elle permet de définir les sociétés, les méthodes de paiement, les banques payantes, les délais de valeur et les déductions d'escompte.

La Seconde Guerre mondiale a duré de 1939 à 1945. Elle débuta le 1er septembre 1939 avec l'invasion de la Pologne par l'Allemagne nazie, et se termina le 8 mai 1945 en Europe (capitulation allemande) et le 2 septembre 1945 dans le Pacifique (capitulation japonaise). La France fut occupée par l'Allemagne de juin 1940 à août 1944 (Libération). 1914-1918 correspond à la Première Guerre mondiale. Le 8 mai est un jour férié en France, commémorant la victoire des Alliés.

La Déclaration des droits de l'homme et du citoyen (DDHC) de 1789 proclame les droits naturels et imprescriptibles : liberté, propriété, sûreté, résistance à l'oppression. Elle affirme la souveraineté nationale et la séparation des pouvoirs. Sa valeur juridique est constitutionnelle : le préambule de la Constitution de 1958 y fait explicitement référence, et le Conseil constitutionnel la considère comme faisant partie du « bloc de constitutionnalité ». Elle peut donc être invoquée pour déclarer une loi inconstitutionnelle.

Le Conseil constitutionnel est la juridiction constitutionnelle française. Il contrôle la conformité des lois à la Constitution (avant promulgation sur saisine, ou après via la QPC — Question Prioritaire de Constitutionnalité depuis 2008). Il valide aussi les élections et référendums. Il est composé de 9 membres nommés pour 9 ans non renouvelables : 3 nommés par le Président de la République, 3 par le Président de l'Assemblée nationale, 3 par le Président du Sénat. Les anciens Présidents de la République en sont membres de droit à vie.

« Liberté, Égalité, Fraternité » est la devise officielle de la République française, inscrite dans la Constitution. Liberté : droit de chacun de faire ce que les lois permettent, sans nuire à autrui (Déclaration de 1789). Égalité : tous les citoyens sont égaux devant la loi, sans distinction d'origine, de race ou de religion. Fraternité : solidarité entre les membres de la nation, aide aux plus démunis. Cette devise est issue de la Révolution française et officialisée sous la IIIe République.

L'initiative législative : En France, deux acteurs peuvent proposer une loi. Le gouvernement présente des projets de loi, tandis que les parlementaires (députés et sénateurs) déposent des propositions de loi. Le Président ne propose pas directement les lois, il les promulgue. Les citoyens ne peuvent initier une loi que par pétition auprès du Parlement, pas par référendum législatif direct.

Statut de l'UE : La Norvège, bien que située en Europe et étroitement liée à l'UE par l'Espace économique européen, n'en est pas membre. Elle a refusé l'adhésion par référendum. Portugal, Grèce et Slovaquie sont tous des États membres de l'Union Européenne.

L'euro : monnaie officielle de 20 États membres de l'Union Européenne depuis 2002. Symbole d'intégration économique et politique européenne, l'euro facilite les échanges commerciaux et les voyages. Le franc français et la livre sterling sont des monnaies nationales (disparue ou non-euro), le dollar américain appartient aux États-Unis.

L'Édit de Nantes (13 avril 1598) accorde aux protestants (huguenots) la liberté de conscience et le droit de pratiquer leur religion dans des lieux définis, ainsi que des garanties politiques et militaires (places de sûreté). C'est le premier grand acte de tolérance religieuse en France, mettant fin aux guerres de Religion. Il sera révoqué en 1685 par Louis XIV (Édit de Fontainebleau), forçant des centaines de milliers de protestants à l'exil. Henri IV fut assassiné en 1610 par Ravaillac.

Le rôle du maire : élu local, il représente l'État dans sa commune et gère ses affaires (état civil, urbanisme, écoles). Contrairement au préfet nommé par l'État, le maire est élu par les citoyens et n'a pas autorité sur les départements.

La séparation des trois pouvoirs : fondement de la démocratie française établi par la Constitution. Le pouvoir législatif (Parlement) crée les lois, le pouvoir exécutif (Président, Gouvernement) les applique, et le pouvoir judiciaire (tribunaux) les interprète. Cette séparation empêche la concentration du pouvoir et protège les libertés individuelles. Deux, quatre ou cinq pouvoirs ne correspondent pas à la structure constitutionnelle française.

Concept clé : Surveillance humaine dans l'éthique de l'AI. Les systèmes human-in-the-loop maintiennent la responsabilité et permettent l'intervention lorsque les décisions de l'AI pourraient causer du tort. Les tests doivent vérifier que les mécanismes de surveillance fonctionnent correctement et que les humains peuvent examiner et contester de manière significative les décisions avant qu'elles n'affectent les parties prenantes.

Concept clé : Détection des biais dans les données d'entraînement. L'analyse de parité démographique évalue si les résultats du modèle sont équitables entre les groupes démographiques. L'échantillonnage stratifié garantit la représentation de tous les attributs protégés, permettant aux testeurs d'identifier les problèmes d'équité avant le déploiement.

Réponse : Offre de service.
Explication : Une offre de service est un ensemble de produits et services proposé à un consommateur. Le package (ordinateur + logiciels + licences + support) constitue une offre de service complète et packagée.

Réponse : Assurance qu\'un produit ou service répondra aux exigences convenues.
Explication : La garantie est l\'assurance qu\'un produit ou service répondra aux exigences convenues. Elle couvre la disponibilité, la capacité, la continuité et la sécurité du service fourni.

Réponse : Le système de valeur des services.
Explication : Le système de valeur des services (SVS) est le concept ITIL 4 qui décrit comment tous les composants et activités, y compris la gouvernance, fonctionnent ensemble pour créer de la valeur.

Réponse : Rôles et responsabilités.
Explication : La dimension \'Information et technologie\' couvre les données, systèmes d\'information et outils. Les rôles et responsabilités appartiennent à la dimension \'Organisations et personnes\'.

Réponse : Tout changement d\'état significatif pour la gestion d\'un service ou de tout autre élément de configuration.
Explication : Un événement est tout changement d\'état significatif pour la gestion d\'un service ou d\'un élément de configuration. Les événements peuvent déclencher des incidents, des problèmes ou des demandes.

Réponse : Commencer là où vous êtes.
Explication : Le principe \'Commencer là où vous êtes\' recommande d\'évaluer l\'existant avant de décider ce qui peut être réutilisé, plutôt que de repartir de zéro sans connaître ce qui fonctionne déjà.

Réponse : Ajouter, modifier ou supprimer tout ce qui pourrait avoir un effet direct ou indirect sur les services.
Explication : En ITIL 4, un changement est l\'ajout, la modification ou la suppression de tout élément pouvant avoir un effet direct ou indirect sur les services, qu\'il soit matériel, logiciel ou organisationnel.

Réponse : les résultats.
Explication : Selon ITIL 4, un service est un moyen de co-créer de la valeur en facilitant les résultats que les clients souhaitent atteindre, sans qu\'ils aient à gérer les coûts et risques spécifiques.

Réponse : Un changement préautorisé qui est bien compris et intégralement documenté.
Explication : Un changement standard est préautorisé, bien compris et intégralement documenté. Son faible risque lui permet d\'être implémenté sans passer par le processus d\'approbation habituel.

Réponse : Progresser par itérations avec des retours.
Explication : Le principe \'Progresser par itérations avec des retours\' recommande de diviser le travail en petites étapes gérables avec des boucles de feedback fréquentes pour s\'adapter et corriger rapidement.

• Copilot Chat dans Microsoft Teams peut analyser les conversations et générer des tâches.

• Limitation actuelle : il peut créer des tâches dans Microsoft Planner, mais ne prend pas encore en charge la création directe de tâches dans Microsoft To Do.

• Cela signifie que si vous demandez à Copilot de convertir des éléments d’action en To Do, la commande ne fonctionnera pas directement.

Dans Microsoft Entra ID (Azure AD) :

• Cloud-only identity : L’utilisateur est créé directement dans Azure AD. Aucun lien avec l’AD local, mot de passe géré dans le cloud.

• Synced identity (Identité synchronisée) :

  • Les comptes utilisateurs et les mots de passe (hashs) sont synchronisés depuis Active Directory on-premises via Azure AD Connect.

  • L’authentification se fait dans le cloud, mais les identités sont gérées depuis l’AD local.

• Federated identity (Identité fédérée) :

  • Utilise des services comme AD FS pour l’authentification directe auprès de l’AD local. Les mots de passe ne sont pas synchronisés vers le cloud.

• On-prem delegated identity : Terme moins courant, utilisé pour certaines configurations hybrides spécifiques, mais pas standard pour la synchronisation cloud.

👉 La synchronisation des comptes et des mots de passe via Azure AD Connect correspond donc à une identité synchronisée (Synced identity).

Dans Microsoft Lists, la mise en forme de colonne (Column formatting) permet d’appliquer un style visuel conditionnel à une colonne spécifique.

👉 Elle permet notamment :

• De modifier la couleur d’arrière-plan

• De changer la couleur du texte

• D’ajouter des icônes

• D’appliquer des règles conditionnelles (ex : si la valeur < seuil → fond rouge)

Cette fonctionnalité utilise du JSON en arrière-plan, mais du point de vue fonctionnel, la capacité recherchée est bien la mise en forme de colonne.

• Cette méthode permet d’installer l’application sur les appareils Windows 10.

• Le Configuration Profile configure certains paramètres de l’appareil, mais ne garantit pas la configuration des paramètres internes spécifiques à l’application.

• Convient pour des applications MSI simples, mais pas pour des applications personnalisées nécessitant des paramètres préconfigurés.

✅ En résumé : C installe l’app, mais A est nécessaire pour installer + configurer les paramètres internes de l’application.

• Co-authoring permet à plusieurs utilisateurs de :

  • Modifier un même fichier PowerPoint simultanément

  • Voir en temps réel les modifications des autres collaborateurs

• Les autres options ne permettent pas la collaboration en temps réel :

  • A : Presenter View sert à l’affichage du présentateur lors d’une présentation.

  • B : Version History permet de voir ou restaurer des versions précédentes, pas la coédition en temps réel.

  • D : Slide Show affiche le diaporama mais ne gère pas l’édition collaborative.

• Monthly Enterprise Channel (canal mensuel pour entreprises) :

  • Fournit les mises à jour de fonctionnalités mensuelles dès qu’elles sont disponibles pour le grand public.

  • Convient aux organisations qui veulent un équilibre entre rapidité et stabilité.

• Ce canal est idéal pour déployer rapidement de nouvelles fonctionnalités aux groupes pilotes ou à certaines machines, sans attendre les canaux plus longs comme le Semi-Annual Channel.

  🎯 À retenir pour l’examen MS-900 :

  • Monthly Enterprise Channel = mises à jour mensuelles officielles pour entreprises, avec déploiement rapide

  • Semi-Annual Channel = déploiement lent, deux fois par an

  • Insider / Default Channel = pas adapté pour un déploiement contrôlé en entreprise

• La Timeline view (vue Chronologie) permet :

  • D’afficher les tâches ou phases sur une ligne de temps

  • De visualiser clairement les dates de début et de fin

  • D’avoir une vue simple et synthétique adaptée à un partage dans Teams

Elle est idéale pour donner une vue globale rapide du projet.

❌ Pourquoi les autres réponses sont incorrectes :

• A. Gantt Chart view → Plus détaillée et orientée gestion avancée (dépendances, planification complexe). Moins “simple” pour un aperçu rapide.

• B. Project Roadmap → Sert à consolider plusieurs projets, pas juste à afficher un planning simple d’un projet.

• D. Calendar view → Affiche les tâches par date dans un calendrier, mais ne donne pas une vision linéaire claire des phases.

🎯 À retenir pour l’examen MS-900 :

• Timeline view = vue simple et visuelle des dates de début et fin

• Gantt = gestion avancée

• Calendar = vue mensuelle/journalière
  Roadmap = consolidation multi-projets
  
  

• Customer Key permet à une organisation de :

  • Utiliser et gérer ses propres clés de chiffrement

  • Contrôler le cycle de vie des clés (création, rotation, révocation)

  • Répondre aux exigences réglementaires strictes (comme le RGPD)

Cela donne un contrôle renforcé sur le chiffrement des données Microsoft 365.

❌ Pourquoi les autres réponses sont incorrectes :

• A. Azure PIM → Gère les rôles administratifs temporaires, pas les clés de chiffrement.

• B. Customer Lockbox → Permet de contrôler l’accès des ingénieurs Microsoft aux données, mais ne gère pas les clés de chiffrement.

• C. Azure Information Protection → Sert à classifier et protéger les documents, mais ne donne pas le contrôle des clés de chiffrement au niveau service.

🎯 À retenir pour l’examen MS-900 :

• Customer Key = contrôle des clés de chiffrement par le client

• Customer Lockbox = contrôle de l’accès support Microsoft

• PIM = gestion des privilèges

• AIP = classification et protection des données

• Les abonnements Microsoft 365 peuvent être renouvelés automatiquement avec des méthodes de paiement directes comme :

  • Carte de crédit

  • Prélèvement bancaire

  • PayPal

• La facturation par invoice (facture) nécessite un paiement manuel pour chaque période, donc le renouvellement automatique n’est pas possible.

• Lorsqu’une Power App est intégrée dans Teams, ses données sont stockées automatiquement dans un environnement Dataverse pour Teams.

• Cela permet :

  • Un stockage structuré et sécurisé

  • L’accès aux données uniquement aux membres de l’équipe Teams

• Les autres options ne sont pas utilisées par défaut pour les Power Apps dans Teams :

  • A : OneDrive for Business sert au stockage de fichiers personnels ou partagés.

  • C : Azure Blob Storage est un service de stockage cloud général, non utilisé par défaut.

  • D : SharePoint Online site library stocke des fichiers, pas les tables Dataverse des Power Apps.

Pourquoi Purview Sensitivity Labels :

• Permet de classer et protéger les documents et emails

• Applique automatiquement :

  • Chiffrement au repos et en transit

  • Restrictions d’usage (ex. ne pas copier, ne pas imprimer, ne pas transférer) même lorsque le fichier est téléchargé ou partagé en externe

• Contrôle la protection persistante des fichiers, indépendamment du lieu où ils sont ouverts

• Microsoft Intune Device Compliance Policies permet de :

  • Appliquer le chiffrement FileVault sur macOS

  • Contrôler l’exécution des applications via des règles de conformité et d’application

  • Reporter la posture de sécurité des endpoints à Microsoft Entra Conditional Access, permettant de bloquer l’accès aux ressources si le poste n’est pas conforme

• Cette solution couvre tous les objectifs de sécurité demandés pour les postes macOS.

• Objectif d’un tabletop exercise :

  • Identifier lacunes dans les procédures, rôles et responsabilités

  • Former les parties prenantes à la coordination et aux étapes critiques

• Observation : les chemins d’escalade ne sont pas clairs

  • Correctif immédiat = mettre à jour la documentation BCDR

  • Validation = planifier un nouvel exercice pour s’assurer que tous comprennent les procédures

• Cette approche :

  • Est non intrusive, sécurisée et pédagogique

  • Permet de corriger les processus sans risquer les systèmes en production

L’exigence clé est :
✔ Reporting cohérent
✔ Multi-cloud (Azure, AWS, GCP)
✔ Outil déjà en place : Microsoft Sentinel

Microsoft Sentinel est un SIEM/SOAR cloud-native capable d’ingérer des logs provenant de multiples environnements (Azure, AWS, GCP, on-premises).

En configurant :

• L’ingestion des journaux d’audit de sauvegarde (backup audit logs)

• Azure Monitor comme couche de collecte

• Des workbooks / dashboards unifiés dans Sentinel

👉 L’entreprise obtient une vision centralisée et normalisée de la conformité des sauvegardes sur tous les clouds, sans migration complexe.

Cela correspond parfaitement à une approche Zero Trust et multi-cloud moderne, attendue au niveau SC-100.

• Microsoft recommande pour les workloads AKS exposés aux APIs :

  • Multi-layer defense : défense en profondeur (defense-in-depth)

  • Azure Firewall pour contrôler le trafic réseau entrant/sortant

  • DDoS Protection Standard pour se protéger contre les attaques volumétriques sur le réseau

  • Application Gateway WAF pour inspecter et protéger les APIs contre :

    • SQL injection

    • Cross-site scripting

    • Autres attaques applicatives

• Cette approche est la baseline de sécurité recommandée pour AKS exposé à Internet.

• Principe MCRA : « Protect data wherever it resides » → protéger les données indépendamment de l’endroit où elles sont stockées ou partagées.

• Microsoft Purview Information Protection (MIP) permet :

  • Classifier les données sensibles (PII, données financières, propriété intellectuelle…)

  • Appliquer des labels de sensibilité qui suivent les données, peu importe qu’elles soient stockées dans :

    • Azure Storage, SharePoint, OneDrive

    • Emails Microsoft 365

    • Applications tierces intégrées

• Ainsi, MIP fournit une protection centrée sur les données, alignée avec le principe MCRA.

• MCAS / Defender for Cloud Apps :

  • Fournit visibilité complète sur les applications SaaS connectées à Entra ID

  • Identifie les applications non approuvées ou risquées

  • Permet de :

    • Appliquer des politiques d’accès

    • Restreindre ou contrôler l’usage des applications

    • Surveiller les activités et détecter les risques liés aux utilisateurs et aux sessions

• C’est la solution Microsoft recommandée pour le Shadow IT et la gouvernance SaaS.

• Air-gapped backups : sauvegardes isolées du réseau principal pour empêcher toute attaque ransomware ou accès malveillant

• Recovery Services Vault dans une souscription séparée :

  • Sépare physiquement la gestion des backups de l’environnement de production

  • Permet RBAC strict et contrôle d’accès granulaire

  • Empêche les attaques réseau ou les utilisateurs compromis dans la souscription principale d’atteindre les sauvegardes

• Approche recommandée par Microsoft pour Protection contre ransomware et menaces internes sur les données critiques opérationnelles

• Problème : les applications legacy utilisent souvent des protocoles d’authentification non sécurisés (ex : IMAP, POP3, SMTP Auth)

• Ces protocoles contournent Conditional Access, ce qui crée une surface d’attaque importante

• Solution Microsoft recommandée pour Zero Trust :

  • Bloquer la legacy authentication dans Conditional Access

  • Appliquer MFA et autres contrôles modernes uniquement sur les applications et utilisateurs qui supportent les protocoles modernes

  • Réduire considérablement le risque de compromission des identités

• CIEM (Cloud Infrastructure Entitlement Management) se concentre sur :

  • Découverte des droits et rôles dans les environnements cloud (AWS, Azure, GCP)

  • Analyse de l’usage des permissions pour identifier :

    • Les comptes avec permissions inutilisées

    • Les droits à haut risque accumulés inutilement

• Cette approche permet de détecter la sur-privatisation et de prévenir les risques d’escalade de privilèges ou d’accès abusif, ce qui est exactement l’objectif de la question.

L'option --splits de App Engine permet le fractionnement du trafic (traffic splitting) entre plusieurs versions dans la même application, sans créer de nouvelle application. C'est la solution la plus simple et recommandée pour un déploiement canary.

La méthode correcte est de d'abord créer le projet avec gcloud, puis de déployer l'application dans ce projet. gcloud ne crée pas automatiquement un projet lors du déploiement, et 'copier' une application App Engine déployée n'est pas une fonctionnalité native.

La bonne pratique est d'ajouter un tag réseau à l'instance puis de créer une règle de pare-feu ingress qui autorise UDP 636 sur ce tag. Simplement ajouter un tag sans règle de pare-feu n'ouvre aucun port. Les routes ne contrôlent pas les ports.

La fenêtre d'ingestion des journaux Stackdriver permet de désactiver des sources de journaux spécifiques (comme les containers GKE) en quelques clics, sans recréer le cluster. C'est la solution la plus rapide et sans interruption de service.

Une VM CE standard démarrée/arrêtée selon les besoins est optimale ici : la tâche dure 30 heures (plus longue que la durée max préemptible de 24h), et elle doit être redémarrée si interrompue. Les VMs préemptibles ne conviennent pas pour un job aussi long.

Google Cloud Marketplace permet de déployer Jenkins entièrement configuré en quelques clics, sans installation manuelle. C'est la méthode la plus rapide et la plus simple — tout est automatisé, y compris la création de la VM et la configuration initiale.

La commande gsutil rsync synchronise automatiquement les nouveaux fichiers entre le stockage local et Cloud Storage. Planifiée comme cron job, c'est la solution la plus simple pour automatiser l'upload des nouvelles images médicales.

La bonne pratique est d'attribuer les rôles à des groupes (pas à des individus) et d'utiliser le rôle roles/accessapproval.approver qui permet d'approuver/refuser les accès du support Google. IAM roleAdmin donne des permissions trop larges.

Ajouter un node pool GPU au cluster existant minimise les coûts (GPU uniquement pour l'équipe ML) et l'effort (pas de nouveau cluster). Le nodeSelector garantit que seuls les pods ML sont schedulés sur les noeuds GPU.

gcloud config list affiche la configuration active, incluant le projet actif qui a été utilisé pour le déploiement. Si le mauvais projet était configuré, cela explique le déploiement au mauvais endroit. C'est la première chose à vérifier.

Creating Product Backlog items for security concerns and/or adding security to the Definition of Done ensures security is transparent and continuously addressed throughout development, reflecting Scrum's empirical process. This approach integrates security into regular work rather than isolating it. Separate security sprints, external delegation, or waiting for specialists violate the principle of transparency and shared accountability within the Scrum Team.

The correct Scrum Team roles are Development Team, Scrum Master, and Product Owner (option 1). These three roles are explicitly defined in the Scrum Guide. Other options introduce non-Scrum roles like Project Manager, Business Analyst, or distinguish Stakeholders as a role—stakeholders are external to the Scrum Team.

All answers apply. Merely adopting Scrum terminology without understanding and embodying Scrum principles will produce minimal organizational change. Teams will maintain familiar (often dysfunctional) behaviors, vocabulary becomes meaningless, management may feel comfortable due to unchanged dynamics, and the true benefits of Scrum—inspection, transparency, and adaptation—remain unrealized.

All four options (0, 1, 2, 3) are correct. The Scrum Guide identifies that Scrum helps teams address: complexity and unpredictability of requirements (A), technology stability and complexity (B), team skills and relationships (C), and work timescale (D). Options E and F are not Scrum-addressed risks—governance structures and HR incentives fall outside Scrum's scope.

Option D is correct. The Scrum Master should facilitate collaboration between the Product Owner and Development Team on strengthening the Definition of Done to address performance concerns. Option A delays action unnecessarily, Option B inappropriately directs the team, and Option C is defensive and dismisses stakeholder feedback. The DoD is a shared responsibility evolving through collaboration.

Arranging a triage meeting with project managers would be the least helpful because it removes decision-making from the Scrum Team and the organization's proper governance. The Scrum Master should instead consult the Development Team, prioritize impediments, and escalate to management about impact—keeping accountability within the Scrum Team first.

The Scrum Master should facilitate a discussion with all three teams to collaboratively solve the shared resource challenge rather than managing schedules or reassigning people. This empowers the teams to self-organize solutions—whether shared Dan's time, pulling work differently, or hiring—while maintaining their autonomy and fostering ownership of the outcome.

The Daily Scrum is a timeboxed event essential for team synchronization, not optional. Options A and C are correct: Steven should coach the team on the Daily Scrum's purpose for self-organization and Sprint plan updates (A), and help them understand that reduced communication frequency increases disconnect (C). Options B and D are inappropriate—voting doesn't validate Scrum principles, and simply accepting the proposal abdicates the Scrum Master's coaching responsibility.

Options A and D are correct. Option A reflects empiricism: the team forecasts likely items based on the business objective and continues discovering/refining during the Sprint. Option D ensures learning from the challenge occurs in the Retrospective. Option B violates the timebox principle, and Option C wastes time in planning paralysis when the team can discover during the Sprint.

Correct: Options 1 and 2 - Scrum enables empirical budgeting by delivering working increments each Sprint, allowing stakeholders to measure value against investment and adjust funding based on actual outcomes. Option 2 shows how releases span multiple Sprints with continuous value delivery. Options 3 and 4 are incorrect because operational costs exist and budgets are often necessary—Scrum just changes how they're managed.

Réponse : 720.
Explication : Avec un taux de défaut constant et tous les retests réussis, le calcul du nombre de tests restants tient compte de la densité de défauts. Sur 800 tests initiaux avec 10% de défauts, 80 tests échouent. Après correction et retest réussi, 720 tests restent à exécuter pour atteindre la couverture complète.

Réponse : Exécution des tests.
Explication : L\'exécution des tests représente la portion la plus importante et la moins prévisible de la variabilité (taux de découverte de défauts, disponibilité de l\'environnement, productivité humaine, boucles de rework). C\'est donc la partie la plus difficile à estimer.

Réponse : L\'approche de test qui sera appliquée aux tests d\'intégration système..
Explication : C est correct car le plan directeur de test est un document au niveau du programme qui spécifie l\'approche de test de haut niveau pour les principaux niveaux de test, y compris les tests d\'intégration système. Le plan directeur communique la portée, les objectifs, l\'approche générale de test aux parties prenantes, tandis que les détails d\'exécution relèvent des plans subordonnés.

Réponse : Les critères d\'entrée et de sortie pour chaque phase de test / Les techniques de conception de test à utiliser.
Explication : AC est correct car une stratégie de test défendable prescrit explicitement les techniques de conception de test pour atteindre la couverture et l\'atténuation des risques (C) et les critères d\'entrée/sortie qui gouvernent la progression des phases et les barrières qualité (A). Une stratégie de test robuste est un cadre décisionnel de haut niveau qui détermine comment les objectifs de test seront atteints et comment les risques informent la priorisation et la portée.

Réponse : Les métriques enregistrées lors du test de l\'outil de capture-rejouer..
Explication : C est correct car les métriques mesurées de l\'outil de capture-rejouer fournissent les données empiriques directes (taux d\'exécution, temps de création et maintenance des scripts, taux de faux positifs/négatifs, surcharge de configuration/nettoyage) nécessaires pour convertir les tâches de test spécifiées en estimations temporelles fiables et réduire l\'incertitude.

Réponse : Les développeurs perdent le sens des responsabilités et les testeurs indépendants peuvent devenir un goulot d\'étranglement..
Explication : Le test indépendant sépare la vérification du développement, ce qui peut diminuer le sens de la responsabilité des développeurs tandis que la coordination des tests et le triage des incidents se concentrent dans une équipe distincte qui peut devenir un goulot d\'étranglement processus.

Réponse : Organiser une réunion avec la direction générale pour qu\'elle aborde l\'importance d\'une bonne qualité de test pour ce projet.
Explication : D est correct car l\'appui visible de la direction générale élève la priorité organisationnelle des tests, fournit une reconnaissance et supprime les obstacles systémiques. Cela augmente la signification de la tâche et aligne l\'effort individuel avec les objectifs organisationnels, motivant durablement l\'équipe.

Réponse : Le plan de test du soumissionnaire décrit une mise en œuvre par phases avec des dates de livraison ultérieures à confirmer et indique que les livrables de test seront développés en utilisant la norme IEEE 829 comme guide..
Explication : D est correct car il démontre une réponse appropriée, centrée sur la gestion de test : un plan de livraison par phases réaliste associé à l\'engagement de développer les livrables de test selon un cadre documentaire reconnu (IEEE 829), sans imposer de dates inflexibles ni de processus propriétaires.

Réponse : Pourcentage des exigences métier exercées.
Explication : La mesure la plus appropriée de couverture de test pour un rapport de progression métier hebdomadaire est le pourcentage des exigences métier exercées. Cette métrique s\'aligne directement avec les priorités métier : valider que le logiciel remplit son objectif et fournit une valeur tangible aux parties prenantes.

Réponse : En fournissant un atelier sur les techniques de conception de tests.
Explication : Un atelier sur les techniques de conception de tests remédie directement à la faible efficacité de détection des défauts en dotant les testeurs de méthodes systématiques et répétables pour dériver des cas de test de meilleure qualité. Les techniques pratiques (partitionnement des équivalences, analyse des valeurs limites, tables de décision, transitions d\'état, techniques d\'appairage) améliorent la couverture et augmentent la probabilité de détection des défauts.

A. Add a user_acknowledged: boolean parameter that must be set true, with instructions for the agent to only set it after the user explicitly confirms they reviewed the details Incorrect. This relies on agent discipline and is easy to bypass or mis-handle; it doesn't guarantee users actually see or understand key details. B. Implement a 60-second hold before execution completes, allowing users time to review pending allocations and cancel if needed Incorrect. Delays alone don't improve understanding; they only slow execution and may frustrate users without ensuring informed approval. C. Add a detail_level parameter with options "minimal" or "comprehensive" that controls how much context the agent presents in confirmations Incorrect. This improves formatting flexibility but does not ensure critical cost and impact information is consistently surfaced before approval. D. Return structured data including cost estimate, target project, resource specifications, and impact summary in the tool response Correct. This ensures that every allocation includes explicit, structured, reviewable details, reducing uninformed approvals and enabling users to understand cost and impact before proceeding.

A. Verify that 97% accuracy meets requirements for all downstream systems that consume the extracted data. Incorrect. Important, but it doesn't ensure the confidence signal is reliable across different cases--it only checks overall acceptability. B. Analyze accuracy by document type and field to verify high-confidence extractions perform consistently across all segments, not just in aggregate. Correct. Aggregate accuracy can hide weak spots. You need to ensure confidence >90% is trustworthy across all segments, otherwise automation may introduce systematic errors. C. Compare accuracy at different confidence thresholds (85%, 90%, 95%) to find the optimal cutoff that maximizes automation while minimizing errors. Incorrect. Useful for tuning, but only after confirming the confidence signal is consistent and reliable across segments. D. Run a two-week pilot routing 25% of high-confidence extractions directly to downstream systems and monitor error reports. Incorrect. A pilot is valuable, but deploying without validating segment-level reliability first introduces avoidable risk.

A. Structured JSON consumes significantly fewer tokens than natural language, substantially reducing API costs. Incorrect. Token usage depends on the content; JSON is not inherently more compact than text and may sometimes use more tokens. B. The agent can reliably extract specific values without parsing free form text, reducing errors in subsequent operations. Correct. Structured output provides clear, predictable fields, making it easy for the agent to use the data accurately in downstream steps. C. Structured JSON is processed deterministically by the model, significantly improving accuracy when extracting values. Incorrect. The model is still probabilistic; JSON improves structure, but not deterministic processing. D. JSON schemas automatically validate that the underlying API returned correct data before the agent processes it. Incorrect. Schemas define structure, but they do not guarantee correctness of the actual data returned by the API.

B. The order details are added to the conversation and the model reasons about which action to take. Correct. In an agentic loop, tool results (like "purchased 45 days ago") are fed back into the model's context, and the model re-evaluates the situation dynamically. It then decides whether to proceed with process_refund, escalate to a human, or take another action based on policy and the updated information. Why the others are not correct: A. Fixed tool sequence planned at the start Incorrect Agentic systems are not static workflows; they adapt after each observation. C. Pre-configured decision tree Incorrect This is rule-based automation, not LLM-driven reasoning. D. Orchestration layer automatically routes next tool call Incorrect That removes the model's reasoning role and turns it into deterministic routing.

A. URLs that users can click to open the document in their browser. Incorrect. URLs are useful for users, but not ideal for agents performing multi-step workflows that require reliable referencing and further operations. B. Structured data containing document IDs and metadata for each result. Correct. This enables the agent to programmatically reference specific documents (via IDs) across multiple steps, making workflows like follow-up queries or document retrieval precise and reliable. C. A JSON array of document titles extracted from the search results. Incorrect. Titles alone are ambiguous and not stable identifiers, making it difficult for agents to reliably act on specific documents. D. More detailed human-readable descriptions including the size and authors. Incorrect. Helpful for users, but still unstructured and not suitable for precise multi-step agent operations.

A. The coordinator agent receives the web search agent's output and includes relevant findings in the prompt when invoking the document analysis agent. Correct. This follows the standard orchestration pattern where the coordinator manages all data flow, explicitly passing outputs between subagents. B. The agents communicate through an event-driven message queue, with the document analysis agent subscribing to web search completion events. Incorrect. This introduces unnecessary infrastructure complexity and is not the typical agent orchestration model. C. The web search agent directly invokes the document analysis agent, using the discovered sources as parameters. Incorrect. Subagents should not invoke each other directly; this breaks centralized control and observability. D. Both agents access a shared memory store where the web search agent writes findings and the document analysis agent reads them. Incorrect. While possible in advanced systems, this is not the standard or simplest approach; it adds complexity without clear necessity in typical pipelines.

A. Define a tool with your target schema as input parameters and have Claude call it with the extracted data. Correct. Tool use enforces strict schema compliance at generation time, ensuring valid, structured JSON that downstream systems can reliably consume. B. Pre-fill Claude's response with an opening brace to force JSON output, then complete and parse the response. Incorrect. This is a fragile workaround and does not guarantee valid or schema-compliant JSON. C. Append instructions like "Output only valid JSON matching the schema exactly" and implement retry logic to re-prompt when JSON parsing fails. Incorrect. Helpful but not reliable--models can still produce malformed or non-conformant JSON. D. Include detailed JSON formatting instructions and the target schema in your prompt, then parse Claude's text response as JSON. Incorrect. Prompt-based formatting alone cannot guarantee strict compliance, especially in edge cases.

A. Provide the subagent with tool definitions that allow it to request outputs from other subagents via callbacks. Incorrect. This introduces unnecessary coupling and complexity. Subagents shouldn't need to actively fetch data from others. B. Include the complete findings from both subagents directly in the synthesis subagent's prompt. Incorrect. While simple, this approach does not scale well for large outputs and can exceed context limits, reducing efficiency. C. Pass reference identifiers and configure the subagent with read access to a shared memory store where other subagents deposited their results. Correct. This is the most scalable and production-ready approach. It preserves information fidelity while avoiding context bloat, allowing the synthesis agent to retrieve exactly what it needs. D. Spawn the subagent with only a brief task description, relying on automatic context inheritance from the coordinator. Incorrect. There is no automatic context inheritance--without explicit data access, the synthesis agent cannot function properly.

A. Enable the document analysis subagent to spawn its own specialized subagents dynamically when it encounters cases with many citations. Incorrect. This decentralizes orchestration and makes the system harder to monitor and debug. The coordinator loses visibility into dynamically spawned agents. B. Implement a message queue where precedent analysis tasks are processed asynchronously by a pool of worker agents. Incorrect. While this improves scalability, it introduces infrastructure complexity and reduces transparency for debugging at the coordinator level. C. Create a recursive agent hierarchy where analysis agents subdivide work among child agents until reaching single-precedent granularity. Incorrect. This further complicates the architecture and makes tracing execution paths difficult, reducing observability and control. D. Have the coordinator spawn parallel document analysis subagents, each handling a subset of precedents, then aggregate results before synthesis. Correct. This enables parallel processing to reduce latency while keeping orchestration centralized. The coordinator retains full visibility, making monitoring and debugging easier.

A. The synthesis agent needs tools that can fetch results directly from the other agents' conversation histories. Incorrect. Agents do not require direct access to each other's histories. Proper orchestration passes outputs explicitly via prompts. B. The synthesis agent's context window is not large enough to hold the combined outputs from both previous agents. Incorrect. If this were the issue, the agent would receive truncated data, not no data at all. The error indicates missing inputs entirely. C. The subagents need to share a single API connection to enable automatic context sharing between invocations. Incorrect. Agent communication does not depend on shared API connections. Context must be explicitly passed by the coordinator. D. The coordinator did not include the outputs from the previous agents in the synthesis agent's prompt. Correct. The synthesis agent can only act on the information provided in its prompt. If prior outputs are not passed, it will report missing research findings.