Ne découvrez pas l'examen
le jour J

Réponse : Couplage faible (Loosely coupling).
Explication : Le couplage faible permet à chaque composant de fonctionner de manière indépendante, améliorant la résilience globale.

Réponse : Faire en sorte que l'instance EC2 assume un rôle pour obtenir les privilèges de téléchargement du fichier. Explication : Les rôles IAM attachés aux instances EC2 fournissent des identifiants temporaires, automatiquement renouvelés — la méthode la plus sûre. L'utilisation de rôles évite de coder en dur ou de gérer les clés d'accès à long terme sur les instances EC2.

Réponse : AWS CloudFormation. Explication : AWS CloudFormation est le service natif d'infrastructure en tant que code (IaC) d'AWS. Il vous permet de définir et d'approvisionner l'infrastructure AWS à l'aide de modèles YAML ou JSON, permettant des déploiements reproductibles et cohérents avec détection de dérives.

Réponse : Les AZ permettent de bâtir des architectures hautement résilientes et disponibles.
Explication : Multiplier les AZ dans une région accroît la résilience et la disponibilité applicative.

Réponse : Instances réservées ; Savings Plans. Explication : Les instances réservées et les Savings Plans exigent un engagement anticipé en échange de réductions significatives (jusqu'à 72%). Pour les charges de travail de production continues, ces options offrent les coûts à long terme les plus bas par rapport aux instances à la demande.

Réponse : Automatiser autant que possible pour faciliter l’expérimentation architecturale.
Explication : L’automatisation permet de tester et déployer rapidement, réduisant les erreurs humaines et favorisant l’innovation.

CloudTrail : enregistre tous les appels API effectués dans votre compte AWS avec détails (qui, quoi, quand). Essentiel pour la conformité et l'audit de sécurité des actions utilisateurs.

Réponse : AWS Security Token Service (AWS STS). Explication : AWS STS fournit des identifiants temporaires à privilèges limités pour les utilisateurs ou les rôles IAM, ainsi que pour les utilisateurs fédérés. Les identifiants temporaires sont plus sécurisés que les clés d'accès à long terme pour l'authentification inter-services.

Réponses : Détecter les ressources sous-utilisées pour économiser les coûts et améliorer la sécurité en surveillant de manière proactive l'environnement AWS. AWS Trusted Advisor fournit des conseils en temps réel dans cinq catégories : optimisation des coûts (détection des ressources inutilisées), sécurité, tolérance aux pannes, performance et limites de service, aidant les équipes à améliorer proactivement leur environnement AWS.

Réponse : Le type d’instance / La zone de disponibilité choisie.
Explication : Le prix dépend du type d’instance, de la région et AZ, mais pas du load balancing, ni du nombre de buckets/IP privés.

Partial Dependence Plots (PDPs) : visualisent l'effet marginal moyen d'une feature sur les prédictions en moyennant les autres variables. Ils isolent l'impact d'une seule variable indépendamment de ses interactions, permettant d'interpréter comment le modèle réagit aux changements de cette feature. Contrairement aux graphiques de dépendance individuelle (ICE plots) qui montrent des trajectoires par instance, les PDPs agrègent ces effets pour révéler la tendance globale du modèle.

RAG (Retrieval-Augmented Generation) est une technique qui enrichit les réponses d'un LLM en récupérant des données pertinentes depuis une base de connaissances externe avant de générer la réponse. Elle permet de fournir des informations actualisées et spécifiques à l'entreprise sans réentraîner le modèle. Fine-tuning modifie les poids du modèle — plus coûteux. Prompt engineering structure uniquement l'entrée. Transfer learning adapte un modèle pré-entraîné à un nouveau domaine.

Fenêtre de contexte vs température : La fenêtre de contexte définit le nombre maximum de tokens acceptés (input + output), limitant physiquement la taille du prompt. La température contrôle la variabilité des réponses (0=déterministe, 1=créatif), sans affecter la longueur. Confusion courante : croire que la température restreint le prompt.

Hallucinations LLM : les modèles génèrent du texte plausible et grammaticalement correct, mais factuellement inexact ou inventé. Cela survient car les LLM prédisent les tokens suivants sans vérifier la réalité. Contrairement aux erreurs de calcul (détectables), les hallucinations sont convaincantes. RAG et validation externe atténuent ce risque.

Knowledge Base + RAG : approche optimale qui injecte des données contextuelles pertinentes dans le prompt sans réentraîner le modèle. RAG (Retrieval-Augmented Generation) récupère dynamiquement l'information nécessaire, réduisant tokens utilisés et coûts API. Contrairement aux prompts géants (dépassement de limite, coûts élevés), au fine-tuning systématique (coûteux et chronophage), ou au zero-shot (précision insuffisante), cette méthode équilibre efficacité et économie.

SageMaker Model Monitor : service de surveillance continue détectant la dérive des données (data drift) et des prédictions en production. Contrairement à Debugger (analyse d'entraînement), Clarify (explicabilité) et Pipelines (orchestration), Model Monitor seul assure le monitoring post-déploiement en comparant distributions actuelles vs. historiques.

Accuracy (Exactitude) : métrique calculée comme (TP+TN)/(TP+TN+FP+FN), mesurant la proportion globale de prédictions correctes. Elle s'applique bien avec des données équilibrées. À ne pas confondre avec Precision (TP/(TP+FP), faux positifs) et Recall (TP/(TP+FN), faux négatifs) qui évaluent une classe spécifique.

SageMaker JumpStart : hub de modèles fondamentaux (FM) et solutions sectorielles pré-entraînés, déployables instantanément dans ton VPC avec code d'exemple intégré. Contrairement à PartyRock (playground sans VPC), JumpStart offre déploiement production sécurisé. À la différence de SageMaker Endpoints (configuration manuelle), JumpStart automatise l'infrastructure et fournit templates prêts à l'emploi pour ML/GenAI.

Data drift et réentraînement : la dérive de données survient quand les caractéristiques des données en production divergent du corpus d'entraînement. Augmenter le volume ET la diversité des données permet au modèle de capturer davantage de variations et de patterns réels, améliorant ainsi sa généralisation. Cependant, cela atténue mais ne résout pas complètement le drift—un monitoring continu et un pipeline de réentraînement régulier restent essentiels.

LLM texte-à-texte : modèle entraîné sur corpus massif (texte + code SQL) capable de traduire instructions naturelles en requêtes SQL exécutables via compréhension contextuelle. SVM/ResNet/WaveNet sont spécialisés en classification/vision/audio respectivement, inadaptés au text-to-SQL.

Self-organizing cross-functional teams: Scrum Teams possess autonomy in determining how to accomplish work and include members with diverse skills—engineering, design, product knowledge—needed to deliver value. This contrasts with command-and-control structures (option 1), complete isolation risks dependencies (option 2), and rigid hierarchies (option 4).

Sprint Backlog Ownership: The Sprint Backlog is exclusively owned and managed by Developers. While others (Product Owner, Scrum Master, stakeholders) may request changes, only Developers can directly modify it based on their evolving understanding of the work. This autonomy ensures the team maintains commitment and realistic planning throughout the Sprint.

Daily Scrum Purpose: The Daily Scrum is a 15-minute event for Developers to synchronize work and plan the day ahead. While the Product Owner may attend to answer questions, their presence is optional—not mandatory. They attend only when actively involved in Sprint work, not as a requirement.

Product Owner Accountability: The Product Owner is solely accountable for maximizing product value by managing the product backlog, defining priorities, and ensuring the Scrum Team builds what delivers the most value. While the Scrum Master facilitates process and Developers execute work, neither shares this value maximization responsibility. The organization provides context, but the Product Owner owns the value strategy.

Product Goal: a long-term objective describing the future state of the product that guides Sprint planning and team alignment. It persists across multiple Sprints, providing direction beyond individual increments, distinguishing it from shorter-term Sprint Goals which focus on specific Sprint outcomes.

Empiricism asserts that knowledge comes from experience and decisions are based on what is known. In Scrum, the team makes decisions based on observation and experimentation, not predefined plans or assumptions. This contrasts with a defined process approach, where the entire process can be planned and repeated precisely. Transparency, inspection, and adaptation are the three pillars that implement empirical process control in Scrum.

Sprint Backlog Ownership: The Developers own the Sprint Backlog—it's their commitment and self-management tool. They decide what work to include, how to accomplish it, and adjust it during the Sprint. This differs from the Product Backlog, owned by the Product Owner, ensuring Developers have autonomy in execution.

Sprint Success Metrics: A Sprint succeeds when the Sprint Goal is achieved and the Increment meets the Definition of Done. This focuses on outcome quality and goal alignment, not task completion. Completing all Sprint Backlog items without achieving the Goal, maximizing capacity, or satisfying all stakeholders does not constitute success—only delivering valuable, done work toward the Sprint Goal does.

Answer: Whoever the Development Team decides should start.
Explanation: The Daily Scrum is self-managed by the Development Team. They decide the format, who starts, and how they conduct it. The Scrum Master does not prescribe these details.

Sprint Goal as a Mandatory Commitment: A Sprint Goal is a mandatory artifact in Scrum that provides coherence, focus, and shared purpose to all Sprint work—regardless of the number of Product Backlog items selected. The quantity of items does not determine whether a Sprint Goal exists; instead, the Sprint Goal should guide which items are selected and how the Development Team collaborates to deliver value. Even a Sprint with few items or many items requires a clear, inspectable objective that transcends individual tasks. Without a Sprint Goal, the Sprint becomes a disconnected list of work rather than a unified commitment to meaningful value delivery, making this statement false.

Key concept: Velocity measures team productivity (work completed per sprint), not product value. As a Product Owner, you must distinguish between team capacity metrics and actual value delivery. Velocity tells you how fast your team works—essential for planning—but reveals nothing about whether that work creates customer satisfaction, generates revenue, increases usage, or achieves your Product Goal. Value metrics (NPS, usage rate, revenue) measure real-world business outcomes and customer impact. Confusing velocity with value leads to optimizing for speed rather than outcomes, potentially shipping features customers don\'t want faster. The PSPO framework emphasizes that product decisions must center on value realization through stakeholder and customer feedback, not team throughput.

Scrum Master Accountability: The Scrum Master is explicitly accountable for the Scrum Team's effectiveness by coaching the team, removing impediments, and fostering a culture of continuous improvement. This accountability extends across three domains: helping the Product Owner refine the backlog and maximize value delivery, supporting the Development Team in self-organization and technical excellence, and ensuring Scrum processes are properly understood and implemented. Unlike the Product Owner (who owns value and backlog priorities) or the Development Team (who own delivery), the Scrum Master's unique role is to optimize how the team operates, collaborate, and adheres to Scrum values and practices to achieve peak performance.

Answer: How the team collaborates; identifying high-priority process improvements for the next Sprint.
Explanation: The Sprint Retrospective focuses on the team's working relationships, processes, tools, and practices. The goal is to identify improvements that can be implemented in the next Sprint.

Sprint Goal crafting is a collaborative activity during Sprint Planning. The Product Owner brings a business objective — the 'why' behind the Sprint — while Developers contribute their technical perspective on what is feasible. The Product Owner does not define scope unilaterally, nor does she arrive with a pre-written Sprint Goal. This collaboration ensures the Sprint Goal reflects both business value and development reality.

Key concept: Sprint Goal vs. Fixed Scope. In Scrum, Developers commit to achieving the Sprint Goal—a shared objective that provides flexibility—rather than a fixed, unchangeable list of Product Backlog Items. During the Sprint, the team may negotiate scope adjustments with the Product Owner to better serve the Sprint Goal while responding to new insights or impediments. This adaptive approach distinguishes Scrum from traditional waterfall methods. The Sprint Goal remains constant; the items supporting it may evolve, ensuring the team delivers maximum value while maintaining focus and accountability.

Answer: Usable, conformant to the DoD, can be presented to stakeholders.
Explanation: An Increment may be partial but must be usable and meet the DoD. It does not need to include all originally planned features.

Answer: Product Backlog ordering, measuring product value, inviting stakeholders to the Review.
Explanation: These three are core PO responsibilities per the Scrum Guide 2020.

Ordering criteria should reflect factors that influence value delivery. Value of PBIs is the primary driver. Dependencies between items may require some items to precede others regardless of their individual value. External dependencies (other products, systems, teams) similarly constrain sequencing. Scrum Master availability is irrelevant to business value ordering — the SM facilitates process, not product decisions.

Answer: False.
Explanation: Scrum does not require complete acceptance criteria before Sprint Planning. The team needs sufficient understanding to make a commitment — detailed specifications can emerge through collaboration during the Sprint.

Réponse : Surveiller la performance et intervenir uniquement si elle baisse. Pas besoin de changer d’approche immédiatement.

Approche adaptative (agile) en environnement incertain : En contexte hautement incertain, l'approche adaptative permet une gestion proactive de l'incertitude par des cycles itératifs courts (sprints), des réévaluations régulières des exigences et un feedback continu des parties prenantes. Contrairement à l'approche prédictive qui suppose une définition complète du scope en amont, l'adaptative accepte le changement comme normal et le capitalise pour améliorer continuellement le produit. Le PMBOK 7e édition reconnaît que les environnements complexes et imprévisibles requièrent une flexibilité accrue. Les itérations courtes réduisent le risque d'écart entre les attentes et la livraison, tandis que le feedback régulier permet d'ajuster rapidement les priorités. L'approche prédictive (réponse 2) impose un plan rigide inadapté à l'incertitude. L'approche hybride sans feedback (réponse 3) combine les avantages sans en tirer parti. L'absence de planification (réponse 4) crée du chaos. Seule l'approche adaptative structure l'incertitude en l'intégrant dès la conception du projet.

Business case : document de justification commerciale présenté avant le lancement, décrivant les objectifs métier, bénéfices attendus et critères de succès. Contrairement à la charte (document officiel de démarrage du projet) et au plan de management (directives d'exécution), le business case répond à la question « pourquoi faire ce projet ? »

Code d'éthique et de conduite professionnelle du PMI : Le PMI établit quatre valeurs fondamentales (Responsabilité, Respect, Équité et Honnêteté) qui constituent le socle de la conduite professionnelle des chefs de projet. Agir avec intégrité signifie être honnête dans toutes les communications, respecter ses engagements et prendre des décisions basées sur les principes éthiques plutôt que sur des intérêts personnels. Respecter la confidentialité exige de protéger les informations sensibles de l'organisation et des parties prenantes, conformément aux accords légaux et contractuels. Éviter les conflits d'intérêts implique de déceler et de déclarer toute situation où vos intérêts personnels pourraient influencer votre jugement professionnel.

Pourquoi cette réponse est correcte : Ces trois comportements reflètent directement le cadre éthique du PMI. Un chef de projet intègre gagne la confiance de son équipe et des parties prenantes, fondamentale pour la réussite du projet. Le PMBOK 7e édition renforce cette approche en mettant l'accent sur la performance de domaine incluant l'éthique.

L’approche valeur-contraintes privilégie la re-priorisation basée sur la valeur (scope thinning), en préservant les éléments à plus forte valeur.

Indices de performance (CPI et SPI) : CPI = 1,2 signifie 20% d'économies de coûts (>1 = en avance), SPI = 0,9 indique 10% de retard calendaire (<1 = en retard). Le projet maîtrise ses dépenses mais accumule des délais, nécessitant une accélération sans surcharge budgétaire.

Approche Agile : méthodologie itérative basée sur des cycles courts (sprints) avec livraisons régulières et intégration continue du feedback client. Elle privilégie la collaboration directe et l'adaptation rapide aux changements, essentiels quand le client doit valider fréquemment le produit. Contrairement au modèle prédictif qui fige les exigences en amont, l'agile accueille l'évolution des besoins. Une méthodologie hybride ad hoc ou des rapports sans implication réelle du client ne garantissent pas cette collaboration critique au succès.

L'engagement des parties prenantes : processus de communication et de collaboration continue avec tous les individus ou groupes affectés par ou pouvant affecter le projet. Selon le PMBOK 7e édition, cet engagement est fondamental car il crée un environnement de confiance mutuelle où les attentes sont clarifiées dès le départ, les préoccupations sont adressées proactivement, et chaque partie prenante comprend sa contribution au succès du projet. En effet, un engagement authentique réduit les résistances au changement, minimise les conflits non gérés, renforce l'adhésion aux décisions prises collectivement, et mobilise les ressources nécessaires pour atteindre les objectifs. Cette approche dépasse largement la simple approbation formelle ou la limitation des changements—elle construit un véritable partenariat. Les autres options sont incorrectes : limiter les changements n'est pas l'objectif principal (certains changements sont justifiés), l'approbation formelle n'est qu'un aspect mineur du processus, et l'engagement n'est jamais optionnel mais essentiel dans tous les types de projets, qu'ils soient réglementés ou non.

Approche Agile pour un MVP : L'agilité privilégie les itérations courtes et la livraison progressive de valeur. Un MVP nécessite rapidité et adaptabilité face aux retours clients. L'approche prédictive demande planification exhaustive incompatible avec les délais serrés. L'hybride convient à projets complexes nécessitant phases prévisibles.

Cette question correspond à l’objectif d’apprentissage FL-4.3.1 (K2) – Expliquer le test des instructions.

Le test des instructions vérifie que chaque ligne de code est exécutée au moins une fois. Il y a 10 instructions conditionnelles, chaque ayant 2 branches, alors on peut avoir jusqu’à 20 instructions exécutables, mais pour les couvrir toutes, il suffira souvent de 2 cas de test bien choisis, par exemple :

● un cas qui passe toujours par les if
● un autre qui force les else
● a) Faux → 1 seul test ne garantit pas la couverture si des branches ne sont pas exécutées.
● b) Correct → 2 tests suffisent pour atteindre 100% de couverture.
● c) Faux →5 tests sont excessifs.
● d) Faux → 10 tests sont inutiles.

Cette question correspond à l\'objectif d\'apprentissage FL-2.1.3 (K1) – Rappeler des exemples d\'approches de développement piloté par les tests.
● a) Correct → Le TDD (Test-Driven Development) est une approche où les tests sont écrits avant l’implémentation du code.
● b) Faux → Le modèle en cascade ne suit pas un développement itératif avec des tests en amont.
● c) Faux → Le modèle en V inclut une phase de test bien définie, mais les tests ne sont pas écrits avant le développement du code.
● d) Faux → L’intégration continue permet d’exécuter régulièrement des tests, mais ce n’est pas une approche de développement piloté par les tests.

Cette question correspond à l\'objectif d\'apprentissage FL-4.3.3 (K2) - Expliquer la valeur des tests boîte blanche.

● a) Faux → Les tests boîte blanche ne remplacent pas les revues de code et les inspections formelles. Ce sont des activités complémentaires qui servent des
objectifs différents.
● b) Faux → Aucune technique de test ne peut garantir la détection de 100% des
défauts. Cette affirmation est excessive et trompeuse.
501
● c) Correct → Cette réponse capture la principale valeur ajoutée des tests boîte blanche : ils permettent d\'identifier les défauts dans des parties du code qui pourraient ne pas être facilement atteignables par les tests boîte noire.
● d) Faux → Les tests boîte blanche ne visent pas principalement à réduire la durée du cycle de développement ou à diminuer le nombre de tests fonctionnels. Au
contraire, ils représentent souvent un effort supplémentaire.

Cette question correspond à l’objectif d\'apprentissage FL-2.1.1 (K2) – Expliquer l\'impact du cycle de vie du développement logiciel choisi sur le test.

● a) Correct → Dans le modèle en V, les tests sont planifiés dès le début, mais ils ne sont exécutés qu’après la phase de développement.
● b) Faux → En Agile, les tests sont intégrés tout au long des sprints et ne sont pas uniquement réalisés en fin de projet.
● c) Faux → Dans un modèle en cascade, les tests sont généralement exécutés après la phase de développement, pas à tout moment.
● d) Faux → Le cycle de vie influence fortement la manière dont les tests sont planifiés, exécutés et intégrés au projet.

Cette question correspond à l’objectif d’apprentissage FL-3.2.5 (K1) – Rappeler les facteurs qui contribuent à la réussite d\'une revue.

● a) Correct → Impliquer activement les parties prenantes assure une meilleure
qualité des revues et des retours pertinents.
● b) Faux → Encourager la discussion permet d’identifier plus efficacement les problèmes.
● c) Faux → Un modérateur aide à structurer la revue et à maintenir son efficacité.
● d) Faux → Les revues formelles sont aussi importantes que les revues informelles.

Cette question correspond à l’objectif d’apprentissage FL-5.1.3 (K2) – Comparer et opposer
les critères d’entrée et les critères de sortie dans les tests.

● a) Faux → Ces critères sont inversés : l’exigence approuvée est un critère d’entrée.
● b) Faux → L’environnement de test est un critère d’entrée, pas de sortie.
● c) Correct → La disponibilité des données est bien une condition préalable (entrée), et le taux d’échec peut être utilisé comme condition de sortie (ex. : “moins de 5 % d’échecs”).
● d) Faux → Développement et revues ne sont pas liés directement aux phases
d’entrée/sortie du test.

Cette question correspond à l\'objectif d\'apprentissage FL-2.2.3 (K2) – Distinguer les tests de confirmation des tests de régression.

La bonne réponse est c) 1A, 2B, 3A, 4B.

● 1A) Correct → Le test de confirmation (ou \"retest\") vérifie qu’un défaut corrigé est effectivement résolu.
● 2B) Correct → Le test de régression s’assure que la correction ou une nouvelle fonctionnalité n’a pas causé d’effets secondaires indésirables.
● 3A) Correct → Les tests de confirmation ciblent spécifiquement la correction appliquée et ne testent pas d’autres parties du système.
● 4B) Correct → Les tests de régression sont exécutés à une échelle plus large pourvérifier que le reste du système fonctionne toujours correctement.

Cette question correspond à l’objectif d\'apprentissage FL-4.2.2 (K3) – Appliquer l’analyse des valeurs limites pour identifier les cas de test.
● a) Faux → 23 et 27 : limites extérieures uniquement
● b) Faux → 24 et 26 : limites valides, pas d’extérieures
● c) Correct → 23, 24, 26, 27 : couvre toutes les limites valides et invalides
● d) Faux → 22, 24, 26, 28 : trop éloigné des limites directes

Cette question correspond à l’objectif d’apprentissage FL-1.2.1 (K2)- Donner des exemples montrant la nécessité des tests.
● a) Faux → Les tests dynamiques détectent des défauts, mais ils ne garantissent pas qu’ils provoquent uniquement des comportements anormaux impossibles à reproduire par les utilisateurs.

● b) Correct → Les tests statiques permettent d’identifier des défauts dans le code source avant même l’exécution, ce qui réduit les coûts de correction.
● c) Faux → L’analyse statique ne garantit pas qu’un composant est prêt pour la production, elle identifie uniquement des erreurs structurelles.
● d) Faux → Les revues améliorent la qualité des spécifications, mais ne remplacent pas les tests

Cette question correspond à l’objectif d’apprentissage FL-4.5.2 (K2) – Classer les différentes options pour la rédaction des critères d’acceptation.
● a) Faux → Bien que la forme Given/When/Then soit très répandue et efficace, il n’existe pas d’obligation stricte dans les projets de test d’acceptation de toujours utiliser ce format.
● b) Correct → format dépend du contexte du projet, du public cible, et de la maturité de l’équipe. Selon la complexité du projet et les habitudes de l’organisation, on peut utiliser plusieurs formats.
● c) Faux → Les critères d’acceptation doivent généralement être élaborés en collaboration avec les parties prenantes clés : Product Owner, utilisateurs métiers, testeurs et développeurs. Se limiter à l’équipe de développement peut conduire à des critères trop techniques ou peu alignés sur les attentes métiers.
● d) Faux → Les critères d’acceptation peuvent effectivement comporter des exigences de performance, mais ils ne se limitent pas à cet aspect. Ils doivent également couvrir la fonctionnalité, la facilité d’utilisation, la sécurité, la fiabilité, etc.

Intrusion Detection System (IDS): A network security tool that monitors traffic in real time to identify suspicious patterns and potential intrusions. Unlike firewalls that block traffic, IDS passively analyzes network behavior to detect threats. Antivirus targets files, encryption protects data confidentiality—neither provides active threat monitoring.

Social Engineering: exploits human psychology rather than technical systems to manipulate users into revealing sensitive data, credentials, or access. Unlike firewalls (A) or malware (D), it targets the weakest link—people. Software exploits (C) are technical, not social manipulation.

Trojan Horse: Malware disguised as legitimate software that executes harmful actions when opened. Email attachments are classic delivery vectors because users trust file downloads. Unlike worms (self-replicating) or rootkits (kernel-level), Trojans require user interaction and don't spread independently.

Application Whitelisting: a security control that restricts execution to pre-approved applications only. This prevents malware installation regardless of user privilege level, as unauthorized programs—even by admins—cannot run. Unlike antivirus (reactive detection) or training (behavioral), whitelisting provides proactive enforcement at the system level.

Data classification categorizes data based on its sensitivity and the impact of its unauthorized disclosure (e.g., Public, Internal, Confidential, Top Secret / Restricted). Classification drives the appropriate security controls: public data needs minimal protection; classified data requires encryption, strict access controls, and logging. It ensures security resources are proportional to actual risk and supports compliance (GDPR requires identifying and protecting personal data). Common government classifications: Unclassified, Confidential, Secret, Top Secret.

Answer: FIM (File Integrity Monitoring).
Explanation: File Integrity Monitoring tracks cryptographic hashes of files and alerts when unauthorized changes occur. For server hardening, FIM detects tampering with configuration files, system binaries, and security policies, providing both detection and an audit trail.

Administrative Controls: policies and procedures that govern human behavior and access. Visitor sign-in and escort requirements are administrative controls because they establish rules for personnel conduct. Technical controls (encryption, firewalls) use technology; physical controls (locks, cameras) restrict physical access; compensating controls provide alternative protection when primary controls fail.

Answer: Honeypot.
Explanation: A honeypot is a decoy system designed to attract and observe attacker activity without affecting production servers. It provides threat intelligence about attacker methods, tools, and objectives while keeping real systems protected.

Two-Factor Authentication (2FA): requires two independent verification methods (something you know like a password, plus something you have like a phone or token). This adds security layers—even if one factor is compromised, attackers need both to gain access. Unlike option C, 2FA requires passwords, not eliminates them. While it may reduce some phishing success, the primary purpose is layered security.

Encryption: transforms data into unreadable ciphertext using cryptographic algorithms, ensuring confidentiality even if unauthorized parties gain physical access to cloud storage. Firewalls and antivirus protect network perimeter and systems but don't protect data confidentiality. Patching addresses vulnerabilities but not data exposure at rest.

SQL (Structured Query Language) : langage standard conçu spécifiquement pour interroger, modifier et gérer les données dans les bases relationnelles. Il utilise des commandes comme SELECT, INSERT, UPDATE et DELETE pour interagir avec les tables et leurs relations. Contrairement à HTML (langage de balisage), Python (langage de programmation généraliste) ou JSON (format de données), SQL est le seul optimisé pour les requêtes de bases de données relationnelles.

Azure Blob Storage : service cloud optimisé pour stocker des objets volumineux et non structurés (images, vidéos, documents). Contrairement à Azure SQL Database (données structurées), Azure Table Storage (données semi-structurées clé-valeur) ou Azure Files (partages réseau), Blob Storage offre une scalabilité massive et des coûts réduits pour les données multimédia non organisées en schémas rigides.

Azure Stream Analytics est un service de traitement de flux en temps réel qui permet d'analyser des millions d'événements par seconde. Il ingère des données de sources comme IoT Hub, Event Hubs ou Blob Storage, et les traite en temps réel pour déclencher des alertes, alimenter des tableaux de bord ou stocker des résultats dans SQL, Cosmos DB ou Power BI. Il s'agit d'un service PaaS entièrement géré, idéal pour la détection d'anomalies et la surveillance continue.

Azure Database for PostgreSQL : service entièrement managé par Microsoft qui héberge des bases de données PostgreSQL sans gestion d'infrastructure. Contrairement à Azure SQL Database (SQL Server), il prend en charge spécifiquement le moteur PostgreSQL open-source. Azure Cosmos DB est non-relationnel, Azure Blob Storage est du stockage d'objets.

Réponse correcte : Une clé étrangère (foreign key) est une colonne dans une table qui référence la clé primaire d'une autre table, créant ainsi une relation entre les deux tables et garantissant l'intégrité référentielle des données. Pourquoi les autres réponses sont incorrectes : • La première option confond la clé étrangère avec un mécanisme de gestion des secrets, ce qui n'a aucun rapport avec les relations entre tables. • La troisième option décrit un chiffrement de clé, pas une clé étrangère. • La quatrième option parle d'une clé composite, qui est un concept différent concernant une clé primaire composée de plusieurs colonnes au sein d'une même table.

Azure Data Lake Storage Gen2 est spécifiquement conçu pour stocker des volumes massifs de données dans un système de fichiers hiérarchique optimisé pour les workloads d'analyse big data, offrant scalabilité et performance pour le traitement analytique. Pourquoi les autres réponses sont incorrectes : « Héberger des bases de données relationnelles » décrit Azure SQL Database ou Cosmos DB, pas Data Lake Storage. « Fournir le streaming d'événements » est la fonction d'Azure Event Hubs ou IoT Hub. « Mettre en cache les résultats » correspond à des solutions de cache comme Azure Cache for Redis, non à Data Lake Storage qui est un système de stockage, pas un cache.

Données non structurées vs structurées : Les données non structurées n'ont pas de schéma prédéfini (vidéo, image, audio). Une vidéo de formation est un exemple parfait car elle combine contenus visuels et auditifs sans organisation tabulaire. À l'inverse, SQL et CSV imposent des lignes/colonnes (structurées), tandis que JSON possède une structure hiérarchique définie (semi-structuré).

OLTP (Online Transaction Processing) optimise les transactions rapides et fréquentes : insertions, mises à jour, suppressions d'enregistrements individuels (ex. : saisie d'une commande, retrait bancaire). Les requêtes sont simples et touchent peu de lignes. OLAP (Online Analytical Processing) optimise les requêtes analytiques complexes sur de grands volumes de données historiques : agrégations, tendances, dimensions multiples (ex. : ventes par région par trimestre). Azure SQL est adapté à l'OLTP ; Azure Synapse Analytics à l'OLAP (data warehouse).

Le schéma en étoile (Star Schema) est un modèle de données pour les entrepôts de données et OLAP. Il centre une table de faits (métriques mesurables : ventes, quantités, montants) entourée de tables de dimensions (contexte : date, produit, client, région). Cette structure dénormalisée (légère redondance intentionnelle) optimise les requêtes analytiques car les jointures sont simples et peu nombreuses. C'est le modèle favori de Power BI et Azure Synapse Analytics. Le schéma en flocon (Snowflake Schema) normalise davantage les dimensions mais complexifie les requêtes.

Charges analytiques (OLAP) : systèmes conçus pour analyser de grands volumes de données historiques et produire des rapports complexes. Contrairement aux charges transactionnelles (OLTP) qui traitent chaque transaction individuellement, l'OLAP agrège et synthétise les données pour déceler des tendances et patterns. Les distracteurs confondent OLTP (enregistrement de transactions) avec OLAP (analyse rétrospective).

Réponse : La méthode de valorisation.
Explication : Elle définit les comptes, clés et type de cours.

La société (Company Code) est l'entité juridique autonome pour laquelle une comptabilité complète est établie — elle dispose de son propre plan comptable, exercice fiscal et devise de référence. Le groupe de sociétés (Company) est une entité de consolidation regroupant plusieurs sociétés pour les reportings de groupe (consolidation légale). Dans S/4HANA, une Company Code appartient à exactement un Client (mandant) et peut être rattachée à une Company pour la consolidation. Controlling Area est distinct : il regroupe des Company Codes pour la comptabilité analytique (CO).

Réponse correcte : La 'Variante de Période de Saisie' contrôle précisément quelles périodes comptables sont ouvertes ou fermées pour la saisie d'écritures dans chaque société. C'est un mécanisme de contrôle d'accès aux périodes qui permet de bloquer les saisies dans certaines périodes tout en gardant d'autres ouvertes pour les ajustements ou corrections. Pourquoi les autres réponses sont incorrectes : L'assignation d'une variante d'exercice fiscal à une société est le rôle de la 'Variante d'Exercice Fiscal', non de la Variante de Période de Saisie. La définition de la séquence des activités de clôture concerne le processus de clôture lui-même, non cette variante. Enfin, le lien entre la société et la zone de contrôle de gestion s'établit dans la configuration organisationnelle, indépendamment de la Variante de Période de Saisie.

Réponse : En définissant le paramètre « identique » comme non activé dans la configuration de l'affectation des comptes. Explication : Lorsque le paramètre « identique » est désactivé pour un objet d'affectation des comptes, le système permet au centre de coûts dans l'exécution d'amortissement de différer de celui dans la fiche immobilisation, permettant la comptabilisation sur un centre de coûts différent.

Réponse correcte : Le « Dunning Level » est un compteur qui enregistre le nombre de lettres de relance envoyées à un client. Il permet d'escalader progressivement l'intensité des rappels (relance 1, 2, 3, etc.) selon une stratégie commerciale définie. Pourquoi les autres réponses sont incorrectes : Le Dunning Level n'est pas une classification de risque crédit (qui relève d'autres mécanismes), ni un seuil automatique déclenchant des actions légales, ni un critère d'allocation de paiement. C'est un outil purement administratif de gestion des relances de paiement.

Réponse : Valorisation devise ; Report de soldes ; Contrôle des comptes ; Publication états financiers.
Explication : Ces tâches garantissent la justesse des états.

Réponse : Ils reçoivent automatiquement les écritures miroir des sous-comptes BP ; Les écritures directes sont interdites ; La modification du compte de réconciliation en production doit suivre une procédure contrôlée.
Explication : Les comptes de réconciliation assurent l’intégrité entre sous-comptes et GL ; tout changement requiert précautions (soldes/postes).

Ordre correct clôture mensuelle FI :

1. OB52 : ouvrir la nouvelle période / fermer l'ancienne
2. Accruals/deferrals : écritures de régularisation
3. Valorisation de change : réévaluation des postes en devises
4. Nettoyage GR/IR (MR11) et lettrage OI (F.13)
5. Revue des comptes et publication des états

Réponse : Un transfert intra-société peut ajuster la base d’amortissement ; Un transfert inter-sociétés utilise un processus dédié ; L’historique des valeurs est conservé dans ACDOCA.
Explication : Les transferts déplacent la VNC/valeurs et préservent la traçabilité.

Réponse : Assignez un ordre interne réel dans les données de base d'immobilisation et réglez périodiquement à deux centres de coûts. Explication : Pour répartir les coûts d'amortissement à plusieurs centres de coûts, utilisez un ordre interne comme collecteur intermédiaire dans les données de base d'immobilisation. L'ordre interne est ensuite réglé périodiquement à l'aide de règles de distribution pour allouer les coûts à chaque centre de coûts.

Le rôle du maire : élu local, il représente l'État dans sa commune et gère ses affaires (état civil, urbanisme, écoles). Contrairement au préfet nommé par l'État, le maire est élu par les citoyens et n'a pas autorité sur les départements.

L'initiative législative : En France, deux acteurs peuvent proposer une loi. Le gouvernement présente des projets de loi, tandis que les parlementaires (députés et sénateurs) déposent des propositions de loi. Le Président ne propose pas directement les lois, il les promulgue. Les citoyens ne peuvent initier une loi que par pétition auprès du Parlement, pas par référendum législatif direct.

« Liberté, Égalité, Fraternité » est la devise officielle de la République française, inscrite dans la Constitution. Liberté : droit de chacun de faire ce que les lois permettent, sans nuire à autrui (Déclaration de 1789). Égalité : tous les citoyens sont égaux devant la loi, sans distinction d'origine, de race ou de religion. Fraternité : solidarité entre les membres de la nation, aide aux plus démunis. Cette devise est issue de la Révolution française et officialisée sous la IIIe République.

Composition de l'Union Européenne : L'UE compte 27 États membres depuis 2020, suite au Brexit (départ du Royaume-Uni). Ce nombre résulte des élargissements successifs, notamment en 2004 avec l'adhésion de 10 pays d'Europe centrale et orientale. Les distracteurs (28, 25, 30) correspondent à d'anciens effectifs ou à des confusions avec d'autres organisations internationales.

La Seconde Guerre mondiale a duré de 1939 à 1945. Elle débuta le 1er septembre 1939 avec l'invasion de la Pologne par l'Allemagne nazie, et se termina le 8 mai 1945 en Europe (capitulation allemande) et le 2 septembre 1945 dans le Pacifique (capitulation japonaise). La France fut occupée par l'Allemagne de juin 1940 à août 1944 (Libération). 1914-1918 correspond à la Première Guerre mondiale. Le 8 mai est un jour férié en France, commémorant la victoire des Alliés.

Constitue un critère d'inadmissibilité le fait d'être condamné à une peine d'emprisonnement sans sursis pour un crime ou certains délits graves (terrorisme, atteintes aux intérêts fondamentaux de la nation, trafic de stupéfiants…). La condamnation doit figurer au casier judiciaire B2. Un simple avertissement policier n'est pas une condamnation. Une infraction routière mineure (amende) ne figure pas au B2. Contester une décision administrative est un droit citoyen, sans impact sur la naturalisation.

Rôle du Premier ministre : Chef du gouvernement, il dirige l'administration et applique la politique nationale définie par le Président. Il n'est pas élu par les citoyens (contrairement aux distracteurs) mais nommé par le Président. Il ne préside pas le Sénat ni ne contrôle les juges.

Constitution de 1958 : texte fondamental qui organise les institutions de la République française et définit le fonctionnement des pouvoirs publics. Contrairement au Code civil (droit privé) ou au Code pénal (droit criminel), seule la Constitution établit la structure de l'État. La Déclaration des Droits de l'Homme énonce des principes, mais ne crée pas les institutions.

Clovis Ier se convertit au christianisme vers 498 (certains historiens disent 496) lors de la bataille de Tolbiac, selon la tradition rapportée par Grégoire de Tours. Cette conversion, sous l'influence de son épouse Clotilde, scelle l'alliance entre les rois francs et l'Église catholique. Clovis est considéré comme le fondateur de la France avec le premier royaume franc unifié. La date exacte varie selon les sources mais la fin du Ve siècle est universellement retenue.

Le Parlement est l'organe législatif composé de l'Assemblée nationale et du Sénat. Il détient le pouvoir de voter les lois en France. Le Président exécute les lois, le Conseil constitutionnel les contrôle, et le Conseil d'État donne des avis consultatifs.

Concept clé : Tests de discrimination en AI. Les testeurs doivent comparer les taux d'approbation entre les groupes démographiques en utilisant des profils financiers équivalents. Si les taux d'approbation diffèrent significativement entre des groupes ayant des références similaires, une discrimination est identifiée. Ce test axé sur l'équité garantit un traitement égal indépendamment des attributs protégés.

Réponse : Le centre de services.
Explication : Le centre de services est le point d\'entrée unique pour les utilisateurs. Il inclut la classification et la propriété de toutes les questions et demandes, qu\'il redirige vers les équipes appropriées.

Réponse : Commencer là où vous êtes.
Explication : Le principe \'Commencer là où vous êtes\' recommande d\'évaluer l\'existant avant de décider ce qui peut être réutilisé, plutôt que de repartir de zéro sans connaître ce qui fonctionne déjà.

Réponse : Comprendre comment chaque élément contribue à la création de valeur.
Explication : Le principe \'Opter pour la simplicité\' demande de comprendre comment chaque élément contribue à la valeur, en éliminant ce qui n\'en apporte pas et en évitant la complexité inutile.

Réponse : Pour planifier les changements et éviter les conflits.
Explication : Le calendrier des changements sert principalement à planifier les changements et à prévenir les conflits entre eux, en offrant une vue consolidée de tous les changements prévus.

Réponse : protéger.
Explication : La pratique de gestion de la sécurité de l\'information a pour but de protéger les informations de l\'organisation contre les menaces, en assurant confidentialité, intégrité et disponibilité.

Réponse : Assurance qu\'un produit ou service répondra aux exigences convenues.
Explication : La garantie est l\'assurance qu\'un produit ou service répondra aux exigences convenues. Elle couvre la disponibilité, la capacité, la continuité et la sécurité du service fourni.

Réponse : S\'assurer que les fournisseurs de l\'organisation et leurs performances sont gérés de manière appropriée afin de supporter l\'approvisionnement continu de produits et services de qualité.
Explication : La gestion des fournisseurs assure que les relations avec les fournisseurs externes sont correctement gérées pour garantir un approvisionnement continu en produits et services de qualité.

Réponse : Maximiser le nombre de changements informatiques réussis en vérifiant que les risques sont correctement évalués.
Explication : Maximiser les changements informatiques réussis en évaluant correctement les risques est un objectif central de la gestion des services, que le centre de services contribue à atteindre en coordonnant les demandes.

Réponse : Le problème conserve l\'état d\'erreur connue.
Explication : Lorsqu\'une solution de contournement devient permanente car le problème ne peut être résolu définitivement, le problème reste dans l\'état \'erreur connue\' : documenté mais non résolu.

Réponse : La gestion des mises en production.
Explication : La gestion des mises en production a pour but de mettre à disposition des services et fonctionnalités nouveaux ou modifiés, en coordonnant le packaging et le déploiement des releases.

• Dynamics 365 Sales est une solution SaaS conçue pour :

  • Gérer les prospects et clients

  • Suivre les opportunités commerciales

  • Centraliser les interactions avec les clients

• Elle ne nécessite pas de déploiement d’infrastructure, tout est géré dans le cloud par Microsoft.

  🎯 À retenir pour l’examen MS-900 :

  • Dynamics 365 Sales = SaaS pour la gestion commerciale complète

  • Azure SQL ou Functions = nécessitent une application personnalisée pour gérer les ventes.

  • Power BI = visualisation des données, pas gestion opérationnelle des ventes.

• Par défaut, les journaux d’audit Microsoft 365 ont une durée de conservation limitée.

• Pour les conserver plus longtemps (ex. 1 an ou plus), il faut configurer une Audit log retention policy dans Microsoft Purview.

• Cela permet de répondre aux exigences réglementaires et de conformité.

❌ Pourquoi les autres réponses sont incorrectes :

• B. Litigation Hold (Exchange) → Concerne la conservation des emails, pas les journaux d’audit globaux.

• C. Sensitivity label retention → Gère la protection et la conservation des documents/emails, pas des logs d’audit.

• D. Azure Information Protection → Sert à classifier et protéger les données, pas à gérer la durée des logs d’audit.

🎯 À retenir pour l’examen MS-900 :

• Audit logs = Microsoft Purview (Audit log retention policy)

• Litigation Hold = emails

• Sensitivity labels = protection des données

Microsoft 365 Apps propose différents canaux de mise à jour :

1. Current Channel (Canal actuel)

   • Reçoit les dernières fonctionnalités, correctifs et mises à jour de sécurité dès qu’elles sont publiées.

   • Idéal pour les utilisateurs qui veulent accéder rapidement aux nouveautés.

2. Monthly Enterprise Channel (Canal mensuel pour entreprises)

   • Regroupe les nouvelles fonctionnalités et correctifs dans une seule mise à jour mensuelle.

   • Fournit un rythme plus prévisible pour les équipes informatiques, tout en maintenant les correctifs de sécurité à jour.

• Avec le group-based licensing, les licences sont attribuées automatiquement via l’appartenance au groupe.

• Dès que l’utilisateur est retiré du groupe :

  • Les licences liées sont révoquées automatiquement

  • L’utilisateur perd l’accès aux services correspondant à ces licences

• Les autres options sont incorrectes :

  • A : Faux, la licence ne reste pas après suppression du groupe.

  • C : Faux, l’utilisateur peut se connecter à Microsoft 365 si d’autres licences sont présentes.

  • D : Faux, l’utilisateur n’est pas transformé en boîte aux lettres partagée automatiquement.

• Proactive Remediations permet de :

  • Détecter les appareils affectés par un problème spécifique (via des scripts de détection)

  • Appliquer automatiquement des scripts de correction ou empêcher l’installation d’un pilote problématique

• Les autres options ne bloquent pas activement les mises à jour problématiques :

  • A : Startup Performance report analyse les temps de démarrage, pas les pilotes

  • C : Health Metrics fournit des scores de santé des appareils mais ne permet pas de remediation proactive

  • D : Recommended Actions exporte des suggestions, mais ne bloque rien automatiquement

• Une Conditional Access policy peut :

  • Restreindre l’accès aux rôles administratifs Azure AD

  • Exiger que l’appareil soit hybride Azure AD-joined et conforme aux politiques Intune

  • Réduire le risque de mouvements latéraux depuis des appareils non sécurisés

• Les autres options ne remplissent pas ce rôle spécifique :

  • A : Identity Protection gère les risques liés aux utilisateurs et aux sign-ins, pas directement l’accès aux rôles administratifs depuis des appareils spécifiques

  • B : Defender for Endpoint peut isoler un appareil compromis, mais ne bloque pas l’accès aux rôles administratifs par défaut

• Lorsqu’une Power App est intégrée dans Teams, ses données sont stockées automatiquement dans un environnement Dataverse pour Teams.

• Cela permet :

  • Un stockage structuré et sécurisé

  • L’accès aux données uniquement aux membres de l’équipe Teams

• Les autres options ne sont pas utilisées par défaut pour les Power Apps dans Teams :

  • A : OneDrive for Business sert au stockage de fichiers personnels ou partagés.

  • C : Azure Blob Storage est un service de stockage cloud général, non utilisé par défaut.

  • D : SharePoint Online site library stocke des fichiers, pas les tables Dataverse des Power Apps.

• Lorsqu’une application PaaS comme Azure App Service présente des problèmes de connectivité intermittents, il est important de vérifier d’abord la connectivité côté client et réseau interne :

  • Problèmes avec le réseau de l’entreprise ou l’ISP peuvent provoquer des interruptions intermittentes.

• Microsoft support intervient si le problème vient de la plateforme Azure elle-même.

• Commencer par le réseau interne permet de localiser rapidement la source avant de contacter Microsoft.

• Copilot Chat dans Microsoft Teams peut analyser les conversations et générer des tâches.

• Limitation actuelle : il peut créer des tâches dans Microsoft Planner, mais ne prend pas encore en charge la création directe de tâches dans Microsoft To Do.

• Cela signifie que si vous demandez à Copilot de convertir des éléments d’action en To Do, la commande ne fonctionnera pas directement.

DMARC (Domain-based Message Authentication, Reporting, and Conformance) est un protocole d’authentification des e-mails qui :

• S’appuie sur SPF (Sender Policy Framework) pour vérifier que l’expéditeur est autorisé à envoyer des e-mails pour un domaine donné.

• Utilise DKIM (DomainKeys Identified Mail) pour valider l’intégrité du message grâce à une signature numérique.

• Ajoute une politique (policy) permettant au propriétaire du domaine d’indiquer aux serveurs destinataires quoi faire si l’authentification échoue :

  • Ne rien faire (monitoring)

  • Mettre en quarantaine

  • Rejeter le message

👉 DMARC joue donc un rôle clé dans la lutte contre le phishing, l’usurpation d’identité (spoofing) et la fraude par e-mail.

Azure AD PIM permet de :

• Gérer les rôles Azure AD et Azure RBAC sensibles

• Fournir un accès Just-in-Time (JIT) pour limiter le temps pendant lequel un utilisateur a des privilèges élevés

• Exiger approbations ou vérifications périodiques pour l’accès aux rôles privilégiés

• Générer des logs d’audit et rapports pour le suivi des activités

Pourquoi c’est adapté :

• Le besoin est validation continue de l’accès privilégié

• PIM est la solution native Microsoft pour le contrôle et la gouvernance des comptes à privilèges élevés

• JIT réduit la fenêtre de risque en n’octroyant des droits qu’au moment nécessaire

• Microsoft indique officiellement que pour un RPO très court sur Blob Storage, il faut utiliser Azure Backup avec des snapshots fréquents (option D)

• Continuous backup est utile mais dans certains contextes / préversions, et n’est pas la configuration par défaut pour répondre aux SLA stricts d’entreprise.

• Microsoft recommande pour les workloads AKS exposés aux APIs :

  • Multi-layer defense : défense en profondeur (defense-in-depth)

  • Azure Firewall pour contrôler le trafic réseau entrant/sortant

  • DDoS Protection Standard pour se protéger contre les attaques volumétriques sur le réseau

  • Application Gateway WAF pour inspecter et protéger les APIs contre :

    • SQL injection

    • Cross-site scripting

    • Autres attaques applicatives

• Cette approche est la baseline de sécurité recommandée pour AKS exposé à Internet.

• Microsoft Intune Device Compliance Policies permet de :

  • Appliquer le chiffrement FileVault sur macOS

  • Contrôler l’exécution des applications via des règles de conformité et d’application

  • Reporter la posture de sécurité des endpoints à Microsoft Entra Conditional Access, permettant de bloquer l’accès aux ressources si le poste n’est pas conforme

• Cette solution couvre tous les objectifs de sécurité demandés pour les postes macOS.

• Purview Data Loss Prevention (DLP) permet :

  • De définir des politiques de protection des données basées sur le type de données sensibles (PII, informations financières, etc.)

  • D’utiliser des modèles réglementaires prédéfinis (Regulatory Templates) pour se conformer aux exigences locales :

    • GDPR → UE

    • CCPA → Californie

    • HIPAA → santé aux États-Unis, etc.

• Ces templates permettent de standardiser la classification et la protection des données selon la juridiction, tout en appliquant des règles de prévention de la perte de données adaptées à chaque région.

• DLP (Data Loss Prevention) dans Microsoft Purview :

  • Permet d’identifier automatiquement les informations sensibles, y compris les PHI

  • Empêche le partage accidentel ou non autorisé dans Teams, SharePoint, OneDrive et Outlook

  • Fonctionne en temps réel, donc même si Copilot est utilisé, les données sensibles ne sont pas exposées

• C’est la solution la plus efficace pour protéger les données sensibles tout en autorisant l’usage normal de Copilot.

Azure Key Vault est un composant critique pour la sécurité :

• Il stocke des clés cryptographiques, certificats et secrets essentiels pour le chiffrement des données et la sécurité des transactions.

• Le vecteur de menace le plus critique est l’accès non autorisé :

  • Si un attaquant obtient l’accès à Key Vault, il peut récupérer les clés et décrypter les données sensibles ou signer des transactions frauduleuses.

• La protection contre ce vecteur repose sur :

  • Des politiques d’accès strictes (RBAC ou policies Key Vault)

  • L’activation de Azure AD Conditional Access

  • L’utilisation du principle du moindre privilège

Microsoft Sentinel permet aux équipes SOC de :

• Collecter et centraliser les logs depuis Azure AD, endpoints, applications cloud, et plus

• Exécuter des requêtes de threat hunting personnalisées en Kusto Query Language (KQL)

• Identifier APT, comportements anormaux et attaques avancées avant qu’elles ne deviennent incidents critiques

Pourquoi c’est le bon choix :

• Le besoin est proactif (threat hunting), pas simplement la surveillance ou la gouvernance

• KQL dans Sentinel est l’outil natif pour rechercher, corréler et analyser les événements à grande échelle

Microsoft Defender for Cloud inclut un tableau de bord de conformité réglementaire qui permet :

• D’évaluer la conformité par rapport à des standards reconnus (comme le CIS Microsoft Azure Foundations Benchmark).

• D’afficher les contrôles conformes et non conformes.

• De fournir des recommandations de remédiation détaillées pour chaque contrôle non conforme.

• D’automatiser certaines corrections via Azure Policy.

Cela correspond exactement au besoin :
👉 valider la conformité ET obtenir les actions correctives associées.

Le pilier Performance Efficiency du Azure Well-Architected Framework concerne :

• La capacité d’un système à s’adapter aux variations de charge

• L’autoscaling

• L’optimisation des ressources

• Le dimensionnement dynamique

• L’utilisation de services PaaS et serverless pour ajuster automatiquement la capacité

Dans ce scénario :

• Il faut gérer des pics saisonniers

• Éviter le surprovisionnement

• Adapter automatiquement les ressources

👉 Cela correspond parfaitement au pilier Performance Efficiency.

Les clés primaires monotoniquement croissantes (comme des IDs auto-incrémentés ou des timestamps) créent des hotspots dans Cloud Spanner car toutes les nouvelles données vont vers le même split. Utiliser une clé distribuée (UUID, hash) élimine ce problème.

Le rôle roles/monitoring.viewer permet de surveiller les métriques et les alertes sans accéder aux données des tables Spanner. Les rôles databaseUser et databaseReader donnent accès aux données, ce qui est interdit ici.

Le flux correct est : snapshot → image personnalisée → instances. Une image personnalisée est portable, versionnée et réutilisable pour créer plusieurs instances identiques. Les instances ne se créent pas directement à partir d'images d'images ni directement à partir de snapshots.

La région d'une application App Engine est immuable après la création. Il n'est pas possible de changer la région d'une application existante ni d'avoir plusieurs applications App Engine dans le même projet. La seule solution est de créer un nouveau projet GCP.

Les Kubernetes Secrets sont conçus pour stocker des informations sensibles comme les mots de passe. Ils sont encodés en base64 et peuvent être montés comme variables d'environnement. Les ConfigMaps sont pour les données de configuration non sensibles.

Activer l'autoscaling avec min=1 et max=1 garantit qu'une seule instance tourne en permanence et qu'elle sera automatiquement recréée si elle tombe en panne. Avec autoscaling Off, la réparation automatique n'est pas activée de la même manière.

La bonne pratique est de créer un rôle personnalisé (principe du moindre privilège), l'attribuer à un groupe (pas à des individus). Cela facilite la gestion et empêche précisément les suppressions accidentelles.

L'option --preview de Deployment Manager permet de valider les dépendances et de visualiser les ressources qui seraient créées/modifiées sans réellement les déployer, offrant ainsi le retour le plus rapide dans le même projet.

Créer une instance sans adresse IP publique garantit qu'elle n'est pas accessible directement depuis Internet. Elle reste accessible via le VPN depuis le réseau on-premises. Private Google Access permet l'accès aux APIs Google, pas la suppression de l'IP publique.

La fenêtre d'ingestion des journaux Stackdriver permet de désactiver des sources de journaux spécifiques (comme les containers GKE) en quelques clics, sans recréer le cluster. C'est la solution la plus rapide et sans interruption de service.

The Scrum Master should investigate why the team wants this change, coach them on the Daily Scrum's importance, and work to improve the event. This is servant-leadership and coaching—not rubber-stamping without understanding root causes. The Daily Scrum is a cornerstone of inspection and adaptation; removing it masks problems rather than solving them.

The Development Team ignored a new member's ideas and viewpoints, violating three Scrum Values: Respect (valuing individuals), Openness (welcoming different perspectives), and Courage (creating psychological safety to speak up). Commitment and Focus relate to the team's dedication to work, not interpersonal inclusion. Transparency concerns information visibility, not team dynamics.

Version control tools alone cannot resolve collaboration and dependency issues; these are fundamentally organizational and process problems requiring communication, planning, and proper backlog refinement. Technology is a tool, not a solution for human collaboration challenges in Scrum.

The Scrum Master teaches and facilitates—helping external stakeholders understand Scrum interactions and coaching the team on timebox discipline. Option 1 is wrong because the Scrum Master doesn't assign tasks; option 3 is wrong because they don't manage the board or resolve conflicts; option 4 is wrong because the Development Team demonstrates at the Sprint Review, not the Scrum Master.

Options A and D are correct. Option A reflects empiricism: the team forecasts likely items based on the business objective and continues discovering/refining during the Sprint. Option D ensures learning from the challenge occurs in the Retrospective. Option B violates the timebox principle, and Option C wastes time in planning paralysis when the team can discover during the Sprint.

Options B and C correctly describe Sprint Goals. The Goal is collaboratively crafted during Sprint Planning and provides focus and flexibility for implementation. Goals can evolve with new insights but remain grounded in a stable business objective. Option A is false—Goals are defined during Planning, not at Sprint's end. Option D is misleading; while implementation approaches adapt, the Goal itself should remain stable unless the business objective changes.

Unsure—observe first is correct because a Daily Scrum exceeding 15 minutes indicates root causes (unclear goals, poor communication, unresolved impediments, or scope issues) rather than team size alone. Dividing the team without diagnosis may fragment collaboration and miss the real problem. Observation and coaching are needed before making structural changes.

Correct answers: Options 1, 2, and 4. Investigate scaling frameworks for dependency management (option 1). Enable cross-training and skill development within teams (option 2). Reorder the Product Backlog to optimize Nicole's utilization across sprints (option 4). These honor self-organization and adaptability. Options 0, 3, and 5 are either temporary band-aids or externalize the problem rather than helping the Scrum Teams manage dependencies through backlog prioritization.

A trendline on a release burndown chart projects when work will be completed based on the current rate of progress, assuming the Product Backlog and team capacity remain constant. Option 2 is correct because it reflects this conditional projection. Option 1 is incorrect—burndowns don't trigger new product backlogs. Option 3 oversimplifies by ignoring the conditional nature. Option 4 is unrelated to burndown mechanics.

Scrum is based on empiricism—the philosophy that knowledge comes from actual experience and observation. Scrum embraces complexity through its three pillars: transparency, inspection, and adaptation. This contrasts with defined processes that assume predictability in complex environments.

Réponse : L\'approche de test qui sera appliquée aux tests d\'intégration système..
Explication : C est correct car le plan directeur de test est un document au niveau du programme qui spécifie l\'approche de test de haut niveau pour les principaux niveaux de test, y compris les tests d\'intégration système. Le plan directeur communique la portée, les objectifs, l\'approche générale de test aux parties prenantes, tandis que les détails d\'exécution relèvent des plans subordonnés.

Réponse : Définir les attentes concernant les tâches et les livrables / Canaux de communication clairs / Cultures possiblement différentes.
Explication : BCD est correct. L\'externalisation introduit des ambiguïtés contractuelles sur les livrables, nécessite des canaux de communication robustes et expose le projet à des différences culturelles. La définition précise des attentes, des critères d\'acceptation et des SLA est essentielle pour éviter les dérives de périmètre et les litiges.

Réponse : Un aperçu détaillé de l\'approche de test basée sur les risques utilisée pour assurer la réalisation des critères de sortie..
Explication : D est correct car les cadres supérieurs non-spécialistes ont besoin d\'informations concises et orientées résultats, non d\'une exposition détaillée opérationnelle de l\'approche basée sur les risques. Un rapport doit prioriser l\'état versus objectifs, risques clés et atténuations, tendances et actions managériales recommandées pour décisions efficaces.

Réponse : TMMi ne peut être utilisé qu\'avec le modèle V traditionnel, tandis que TPI peut être utilisé avec tous les types de cycles de vie logiciels..
Explication : D est incorrect car TMMi n\'est pas limité au modèle V ; il est indépendant du cycle de vie et applicable aux modèles V, itératifs et agiles. TPI l\'est aussi, contredisant l\'affirmation d\'une dichotomie entre les deux approches.

Réponse : Les préoccupations concernant l\'interface utilisateur augmentent la probabilité d\'un risque dans ce domaine et augmentent la quantité d\'effort de test nécessaire pour l\'interface utilisateur, limitant ainsi l\'effort de test disponible pour d\'autres parties de l\'outil de gestion de test..
Explication : L\'option B est correcte car elle modifie explicitement à la fois la probabilité évaluée et l\'impact basé sur les ressources (couverture de test), ce qui altère l\'exposition au risque produit et force une réévaluation des priorités. Le risque augmente (probabilité × conséquence) avec la réallocation des ressources.

Réponse : Pourcentage des exigences métier exercées.
Explication : La mesure la plus appropriée de couverture de test pour un rapport de progression métier hebdomadaire est le pourcentage des exigences métier exercées. Cette métrique s\'aligne directement avec les priorités métier : valider que le logiciel remplit son objectif et fournit une valeur tangible aux parties prenantes.

Réponse : Les développeurs perdent le sens des responsabilités et les testeurs indépendants peuvent devenir un goulot d\'étranglement..
Explication : Le test indépendant sépare la vérification du développement, ce qui peut diminuer le sens de la responsabilité des développeurs tandis que la coordination des tests et le triage des incidents se concentrent dans une équipe distincte qui peut devenir un goulot d\'étranglement processus.

Réponse : Les critères d\'entrée et de sortie sont un moyen principal d\'obtenir des ressources adéquates..
Explication : C est correct car les critères d\'entrée et de sortie sont des portes de qualité objectives pour les transitions de niveau et la prise de décision, non des mécanismes destinés à sécuriser les ressources. Ils spécifient des conditions mesurables soutenant les décisions arrêt/go et protègent les activités en aval.

Réponse : 720.
Explication : Avec un taux de défaut constant et tous les retests réussis, le calcul du nombre de tests restants tient compte de la densité de défauts. Sur 800 tests initiaux avec 10% de défauts, 80 tests échouent. Après correction et retest réussi, 720 tests restent à exécuter pour atteindre la couverture complète.

Réponse : Les métriques enregistrées lors du test de l\'outil de capture-rejouer..
Explication : C est correct car les métriques mesurées de l\'outil de capture-rejouer fournissent les données empiriques directes (taux d\'exécution, temps de création et maintenance des scripts, taux de faux positifs/négatifs, surcharge de configuration/nettoyage) nécessaires pour convertir les tâches de test spécifiées en estimations temporelles fiables et réduire l\'incertitude.

A. The model extracts "et al." for co-authors when the full list exists only in an external document not in the input Correct. Retries won't help because the required information is not present in the input context. The model cannot recover missing data through repeated attempts. B. The model extracts citation counts as locale-formatted strings ("1234") when the schema requires integers Incorrect. This is a formatting issue that can be corrected through retries with validation feedback. C. The model extracts dates as ISO 8601 datetime strings ("2003-03-15T00:00:00Z") when the schema requires only the date portion (YYYY-MM-DD) Incorrect. Also a format mismatch, which retries can fix easily. D. The model extracts keywords as a nested object organized by category when the schema requires a flat array of strings Incorrect. This is a structural mismatch that can typically be corrected with retry feedback.

A. Provide the subagent with tool definitions that allow it to request outputs from other subagents via callbacks. Incorrect. This introduces unnecessary coupling and complexity. Subagents shouldn't need to actively fetch data from others. B. Include the complete findings from both subagents directly in the synthesis subagent's prompt. Incorrect. While simple, this approach does not scale well for large outputs and can exceed context limits, reducing efficiency. C. Pass reference identifiers and configure the subagent with read access to a shared memory store where other subagents deposited their results. Correct. This is the most scalable and production-ready approach. It preserves information fidelity while avoiding context bloat, allowing the synthesis agent to retrieve exactly what it needs. D. Spawn the subagent with only a brief task description, relying on automatic context inheritance from the coordinator. Incorrect. There is no automatic context inheritance--without explicit data access, the synthesis agent cannot function properly.

A. Submit all documents to the Batch API with custom ids for tracking. When results arrive, immediately process urgent documents and trigger delayed alerts for exceptions. Incorrect. Batch processing introduces delays that can exceed the 30-minute requirement, making it unsuitable for urgent reports. B. Submit all documents to the real-time Messages API to ensure consistent processing latency across document types. Incorrect. This meets latency needs but is unnecessarily expensive for standard reports that don't require real-time processing. C. Queue all documents and submit hourly batches, flagging urgent documents for expedited handling when batch results return. Incorrect. Hourly batching further increases delay and cannot meet urgent processing requirements. D. Route standard reports to the Batch API for 50% cost savings, and route urgent exception reports to the real-time Messages API. Correct. This balances cost efficiency and latency requirements, ensuring urgent reports are processed quickly while optimizing cost for non-urgent ones.

A. Immediately send an API request with the update as a synthetic user message, generating an unsolicited assistant response. Incorrect. This creates an unsolicited interruption, which can feel unnatural and confusing in an active conversation. B. Append the status update as a prefix to the next user message before calling the API. Incorrect. This pollutes the user message and mixes system state with user intent, which can lead to misinterpretation. C. Configure the assistant to call a get_order_status tool at the start of every response. Incorrect. This is inefficient and unnecessary, especially when you already have the update via webhook. D. Add the current shipping status to the system prompt before the next API call. Correct. This cleanly injects up-to-date system state into context, allowing the assistant to naturally incorporate it into the next response without disrupting the conversation flow.

A. Create separate search products and fetch more results tools for pagination. Incorrect. This exposes pagination mechanics to the agent, increasing complexity and coupling tool usage with control flow. B. Implement server-side relevance ranking and return only the top 50 most relevant items. Incorrect. While this reduces latency, it removes access to the full result set, limiting flexibility when more results are actually needed. C. Add a max pages parameter (default: 2) that controls how many pages are fetched internally. Incorrect. This is an improvement over fetching everything, but it still hides pagination control inside the tool and may fetch unnecessary data. D. Return the first page with total match count and cursor for additional pages. Correct. This enables lazy loading and explicit control, allowing the agent to fetch more results only when needed-- balancing performance and completeness.

A. The model's context window has been exceeded by the conversation length Incorrect. This would only happen in very long conversations, and the issue appears early within just a few turns. B. The Claude API requires a session_id parameter that you haven't configured Incorrect. There is no required session_id--context must be explicitly managed by the application. C. Claude requires a vector database connection to maintain conversation memory Incorrect. A vector database is optional for retrieval, not required for basic conversation memory. D. Your application isn't including prior messages in the messages array Correct. Claude does not retain memory between calls--if previous messages aren't included, it cannot recall earlier user preferences.

A. Your system prompt needs explicit instructions telling Claude to remember information from earlier turns. Incorrect. Instructions alone don't give the model memory--context must be provided with each request. B. You're not including prior messages in each API request--the stateless API doesn't retain conversation history. Correct. Claude is stateless. If earlier messages aren't passed in the request, it has no awareness of prior vocabulary. C. You need to enable conversation persistence by passing a session ID parameter with each API call. Incorrect. There's no required session ID--memory is handled by including past messages. D. The model's context window has filled up, causing earlier conversation content to be dropped. Incorrect. This would only happen in very long conversations, not typical early testing scenarios.

A. Claude's memory retention is limited to two conversational turns by default, requiring explicit configuration to extend it. Incorrect. There is no fixed "two-turn memory limit" like this; context is determined by what the application sends, not a built-in short memory window. B. The prompt lacks instructions telling Claude to remember information across multiple exchanges. Incorrect. System prompts don't control memory persistence. The model does not "forget" within context unless information is missing from input. C. The verification tool is clearing the agent's internal state after each successful validation step. Incorrect. Tools do not automatically reset conversational context unless explicitly designed to do so--and that would be an application-level bug, not the most likely general cause. D. The conversation history isn't being passed in subsequent API requests. Correct. This is the most likely cause. The model is stateless, so if prior messages aren't included in each request, it behaves as if earlier verification steps never happened--leading to repeated questions like asking for the name again.

A. Log the error server-side and return an empty result to avoid confusing the model Incorrect. This hides critical failure information, making it impossible for the agent to distinguish "no data" from "system failure." B. Throw an exception from the tool handler so the agent framework can catch and log it Incorrect. Exceptions are useful internally, but the agent still needs a structured tool response; raw exceptions don't reliably propagate useful context to the model. C. Return the error message in the tool result content with the isError flag set to true Correct. This is the proper MCP pattern: the tool explicitly signals failure using isError: true, while still providing a readable error message so the agent can decide whether to retry, escalate, or inform the user. D. Return a success response with a "status" field indicating the error type Incorrect. This is misleading because it treats failures as successful responses, which confuses downstream reasoning and tool orchestration. Thank you Thank you for being so interested in the If you have any feedback or thoughts on the bumps, I would love to hear them. Your insights can help me improve our writing and better understand our readers. Best of Luck You have worked hard to get to this point, and you are well-prepared for the exam Keep your head up, stay positive, and go show that exam what you're made of! Feedback More Papers Total: 85 Questions Link:

A. Persist the complete conversation and tool response history to a database, then call escalate_to_human with a reference ID. Incorrect. Useful operationally, but the human agent still needs a concise, actionable summary rather than raw logs alone. B. Call escalate_to_human passing only the customer's original message. Incorrect. This loses the investigation work already completed and forces the human agent to repeat steps. C. Attempt the refund with process_refund anyway, escalating only if the system rejects the transaction. Incorrect. This violates authorization boundaries and business policy. D. Compile a structured handoff with customer details, order info, and the identified issue before calling escalate_to_human. Correct. A structured handoff preserves context, reduces repetition, and enables efficient continuation by the human agent.