Ne découvrez pas l'examen
le jour J

Réponse : AWS Identity and Access Management (IAM). Explication : IAM est un service AWS gratuit — il n'y a aucun frais supplémentaire pour créer des utilisateurs, des groupes, des rôles ou des politiques. Vous ne payez que pour les ressources AWS auxquelles les utilisateurs authentifiés accèdent, pas pour IAM lui-même.

Réponse : Couplage faible.
Explication : Le « loose coupling » consiste à isoler les modules pour garantir la robustesse et faciliter la maintenance.

Réponse : AWS Professional Services. AWS Professional Services est une équipe mondiale d'experts AWS qui aide les clients à atteindre leurs objectifs commerciaux et à migrer les charges de travail vers AWS. Ils apportent des compétences spécialisées et suivent les meilleures pratiques AWS pour les migrations.

Réponse : Amazon AppStream 2.0 ; Amazon WorkSpaces. Explication : Amazon WorkSpaces fournit des postes de travail virtuels Windows/Linux persistants entièrement gérés. Amazon AppStream 2.0 diffuse les applications de bureau sur n'importe quel appareil. Les deux offrent un accès à distance sécurisé sans VPN pour les employés mobiles.

Réponse : Activer Amazon EC2 Auto Scaling pour toutes vos charges de travail.
Explication : Auto Scaling ajuste dynamiquement le nombre d’instances selon la demande, limitant ainsi la facturation inutile.

Réponse : Contacter l’équipe AWS Abuse.
Explication : Pour signaler des abus, il faut contacter l’équipe AWS Abuse, même avec le support Basic.

Réponse : Networking as a Service (NaaS).
Explication : Les trois modèles principaux sont IaaS, PaaS et SaaS ; NaaS n’est pas un modèle AWS officiel.

Réponse : Hybride.
Explication : Le modèle hybride combine les ressources sur site et cloud, permettant des architectures mixtes et évolutives.

Réponse : AWS baisse les coûts au fur et à mesure que son volume augmente.
Explication : Les économies d’échelle sont réalisées grâce à la taille massive d’AWS, permettant de baisser les prix pour tous les clients.

Réponse : On-Demand Instances. Pour une charge de travail de 2 mois avec zéro tolérance aux temps d'arrêt, les instances On-Demand sont les plus appropriées. Les Reserved Instances nécessitent des engagements de 1 à 3 ans ; les Spot Instances peuvent être interrompues. On-Demand offre un paiement à l'utilisation avec disponibilité garantie.

Amazon Q Business est conçu précisément pour ce cas d'usage : connecter les données internes d'une entreprise (SharePoint, Confluence, S3, Salesforce, etc.) via des connecteurs natifs, puis permettre aux employés d'interroger ces sources via un assistant IA. Il gère les permissions utilisateur (réponses filtrées selon les droits d'accès). Amazon Bedrock nécessite une architecture RAG custom. Amazon Kendra est une recherche sémantique mais sans chatbot intégré. Amazon Lex est pour les chatbots NLU basiques.

Transcribe + Translate : Transcribe convertit l'audio en texte avec haute précision dans 99+ langues. Translate, service automatisé, traduit le texte résultant vers les 8 langues cibles. Pipeline coût-efficace et parallélisable pour traiter 50 heures rapidement.

Agents Bedrock + Translate : les agents appellent Translate pour convertir message client en langue de l'agent, traitent la logique métier avec Claude, puis retraduits la réponse. Architecture transparente pour support multilingue réel sans surcharge agents.

AWS CloudTrail : service de journalisation centralisée qui enregistre tous les appels API AWS, y compris les requêtes Bedrock autorisées et non autorisées. Pour l'audit de sécurité, CloudTrail capture l'identité de l'appelant, l'horodatage et le statut de chaque requête, permettant de détecter les accès non autorisés. Audit Manager gère la conformité réglementaire, Fraud Detector détecte les fraudes transactionnelles, et Trusted Advisor optimise les coûts—aucun n'assure l'audit des appels API.

AWS PrivateLink (VPC Endpoint) : crée une interface réseau privée (ENI) dans le VPC pour accéder à Bedrock sans traverser Internet, respectant les contraintes réglementaires. Internet Gateway et NAT Gateway exposent le trafic publiquement. Transit Gateway ne sécurise pas l'accès aux services AWS.

Prompting efficace : technique consistant à formuler des instructions claires et des exemples (few-shot) pour contrôler le style de génération sans modifier le modèle. Contrairement au fine-tuning ou au pré-entraînement coûteux, le prompting exploite les capacités existantes du modèle pré-entraîné. C'est la solution la plus économique pour adapter la voix et le ton marketing.

Workflow SageMaker Serverless Inference : L'artefact du modèle doit d'abord résider sur S3 (source obligatoire), ensuite vous créez la ressource modèle SageMaker qui référence cet artefact, puis la configuration d'endpoint serverless définit les paramètres de concurrence/mémoire, et enfin le déploiement instancie l'endpoint. Les autres options inversent cet ordre logique de dépendances.

L'IA générative transforme de nombreux processus métier. La génération de résumés automatiques de documents longs (contrats, rapports) réduit le temps d'analyse. Les chatbots intelligents pour le service client répondent de manière contextuelle. La génération de code accélère le développement logiciel. La maintenance prédictive classique ou la détection de fraude reposent généralement sur du ML supervisé, pas sur de la GenAI.

Prompt Engineering : technique de formulation précise des instructions au LLM pour contrôler directement longueur, langue et style de réponse. C'est l'action immédiate et efficace car elle ne requiert aucun changement d'infrastructure. Contrairement à augmenter la température (qui augmente l'aléatoire) ou Top-K (qui élargit les choix de tokens), ajuster le prompt cible spécifiquement vos contraintes. Changer la taille du modèle est coûteux et lent comparé à optimiser les instructions.

SageMaker Feature Store : référentiel centralisé pour stocker, versionner et partager les features (variables d'entraînement). Permet aux équipes de réutiliser les mêmes données préparées, garantissant cohérence entre entraînement et inférence. Data Wrangler prépare les données, Clarify détecte biais, Model Cards documente les modèles — aucun ne gère le versionning et partage de features.

Le Courage est la valeur Scrum qui demande aux membres de la Scrum Team de faire ce qui est juste et d'affronter les problèmes difficiles — notamment en soulevant ouvertement des préoccupations délicates, même lorsque cela est inconfortable. L'Engagement consiste à se consacrer pleinement au Sprint Goal et aux objectifs de l'équipe. La Focalisation consiste à se concentrer entièrement sur le travail du Sprint. Le Respect signifie traiter les membres de l'équipe comme des professionnels compétents et autonomes. Les cinq valeurs Scrum (Engagement, Courage, Focalisation, Ouverture, Respect) sont interdépendantes et se renforcent mutuellement.

Réponse : Participer en tant que membre de la Scrum Team.
Explication : La Sprint Retrospective est un événement impliquant toute l'équipe. Le Product Owner y participe en tant que membre à part entière de l'équipe pour réfléchir sur la collaboration, les processus et les relations — et non dans son rôle de Product Owner gérant le Backlog.

Le Sprint comme mini-projet : Chaque Sprint fonctionne comme une itération autonome avec des objectifs définis (Sprint Goal), un plan structuré (Sprint Backlog) et des livrables concrets (Increment). Ce conteneur à durée fixe reflète les caractéristiques d'un projet : durée déterminée, résultats clairs et progression mesurable. Comprendre les Sprints comme des projets aide les équipes à adopter une livraison itérative et à développer leur sens des responsabilités.

Continuité des Sprints : Les Sprints sont des événements consécutifs limités dans le temps, sans interruption entre eux. Dès qu'un Sprint se termine, le suivant commence immédiatement, assurant ainsi des cycles de livraison continus. Cela élimine les périodes d'inactivité et maintient la dynamique de l'équipe, sans pause pour la planification ou les transitions.

Timebox de la Sprint Retrospective : La Sprint Retrospective est limitée à un maximum de 3 heures pour un Sprint d'un mois, et non 4 heures. Le Guide Scrum spécifie des timeboxes précises en fonction de la durée du Sprint : les Sprints plus courts ont des rétrospectives proportionnellement plus courtes. Cela garantit une réflexion ciblée sans durée excessive.

Applicabilité universelle de Scrum : Scrum est un cadre de gestion du travail complexe et itératif, applicable dans tous les domaines — logiciel, marketing, développement de produits ou transformation organisationnelle. Ses principes fondamentaux (transparence, inspection, adaptation) s'appliquent partout où des équipes font face à l'incertitude et ont besoin de retours fréquents. Cette idée reçue provient des origines de Scrum dans le développement logiciel, mais méconnaît son caractère indépendant de tout domaine.

Double niveau de responsabilité du Scrum Master : Le Scrum Master intervient à deux niveaux — en interne, en soutenant l'auto-organisation de la Scrum Team, et en externe, en aidant l'organisation à adopter les pratiques Scrum. Cela distingue le Scrum Master d'un chef de projet traditionnel, dont le rôle se concentre uniquement sur la livraison.

Réponse : Fausses suppositions sur la capacité de livraison ; le système devient plus difficile à stabiliser au fil du temps.
Explication : La dette technique érode la transparence : les problèmes non résolus créent une complexité cachée qui rend l'état réel du système peu clair, amenant les équipes à croire à tort qu'un Increment est livrable alors qu'il comporte un risque caché significatif.

Valeurs Scrum : L'engagement, le courage, la concentration, l'ouverture et le respect constituent le fondement de la culture Scrum. Ces valeurs permettent d'instaurer la confiance, la transparence et l'efficacité au sein des équipes. Elles guident les comportements et les décisions, garantissant que le cadre Scrum atteint son objectif de livraison de valeur à travers un développement produit adaptatif.

Les cinq valeurs Scrum : l'Engagement, le Courage, la Concentration, l'Ouverture et le Respect constituent le fondement de la culture Scrum. Ces valeurs permettent d'instaurer la confiance, la transparence et une collaboration efficace au sein de l'équipe. Elles guident les comportements et les décisions tout au long de l'exécution du Sprint, distinguant ainsi Scrum des cadres de processus qui se concentrent uniquement sur les cérémonies ou les métriques telles que la vélocité.

Réponse : Ordonner le Product Backlog, mesurer la valeur du produit, inviter les parties prenantes à la Review.
Explication : Ces trois éléments constituent les responsabilités fondamentales du Product Owner selon le Scrum Guide 2020.

Réponse : La valeur, le risque, l'apprentissage.
Explication : Le Product Owner ordonne le Backlog afin de maximiser la livraison de valeur tout en gérant les risques et en intégrant les apprentissages issus des Sprints précédents.

Transparence du Product Backlog : Le Product Owner est seul responsable de la tenue d'un Product Backlog clair, bien organisé et compréhensible par toutes les parties prenantes — y compris l'équipe Scrum, les dirigeants et les clients. Cette transparence permet une prise de décision éclairée, réduit les malentendus et garantit l'alignement sur les priorités. Bien que le Scrum Master facilite les processus Scrum et que les Developers mettent en œuvre les éléments du Backlog, aucun des deux n'est responsable de la clarté de celui-ci. Le Product Owner doit continuellement affiner, ordonner et communiquer les éléments du Backlog afin de créer une compréhension partagée de ce qui sera construit et pour quelles raisons.

Un seul Product Owner garantit une responsabilité claire quant à la valeur du produit. Plusieurs POs créent des priorités conflictuelles qui désorienteront à la fois la Scrum Team et les parties prenantes. Une responsabilité clairement définie assure qu'une personne est toujours habilitée à prendre rapidement des décisions produit. Un point de contact unique pour les parties prenantes réduit le coût de coordination lié à la gestion de la direction produit. La question de la suppléance du Scrum Master relève de la logistique, non de la stratégie.

Concept clé : Le Product Backlog est un artefact dynamique et vivant qui évolue en permanence tout au long de la durée de vie du produit. Il n'est jamais « complet » car le développement produit est continu, les conditions du marché changent, les besoins des clients émergent et de nouvelles opportunités apparaissent. Le Product Backlog représente la compréhension actuelle de ce qui doit être construit, affiné collaborativement par le Product Owner et les parties prenantes. Tant que le produit existe et crée de la valeur, le Backlog nécessitera de nouveaux éléments, du raffinement et une repriorisation. Des distracteurs tels que « à la fin du projet » ou « après la première release » suggèrent incorrectement un point de terminaison fixe, tandis que « lorsque toutes les stories sont rédigées » traduit une mauvaise compréhension du fait que la complétude ne se mesure pas au nombre de stories — le Backlog est ordonné, raffiné et émerge en fonction des apprentissages et des retours, et non d'une planification exhaustive prédéfinie.

La livraison de valeur dans Scrum s'évalue à travers les résultats réels obtenus, et non les livrables produits. Le Product Owner doit surveiller : (1) l'adoption des fonctionnalités — dans quelle mesure les fonctionnalités du produit sont réellement utilisées ; (2) le délai de création de valeur — avec quelle facilité les clients peuvent s'approprier le produit et en tirer bénéfice ; (3) les retours directs des clients — les réactions concrètes à l'Increment. La vélocité et le taux de complétion du périmètre sont des indicateurs de production qui ne reflètent pas la valeur réelle apportée au client.

Réponse : Les story points.
Explication : Scrum prescrit des rôles, des événements et des artéfacts, mais ne prescrit aucune technique d'estimation, y compris les story points.

Réponse : Faux.
Explication : Un seul Product Owner gère le Product Backlog pour l'ensemble d'un produit, même lorsque plusieurs Scrum Teams y travaillent. Des Product Owners distincts par équipe créeraient des priorités contradictoires et une direction produit incohérente.

Réponse : Les outils et techniques.
Explication : Les critères d'ordre valides incluent : la valeur métier, le risque, les dépendances, la valeur d'apprentissage et le coût du délai. Les outils et techniques utilisés pour la livraison sont des détails d'implémentation et ne constituent pas des facteurs valides pour l'ordonnancement du Product Backlog.

Réponse : Ils amélioreront leur Definition of Done pour y inclure des critères plus rigoureux.
Explication : La maturité d'une équipe dans Scrum se manifeste par une élévation continue des standards de qualité. Une DoD plus stricte reflète une capacité améliorée, une réduction de la dette technique et une plus grande confiance dans chaque Increment.

Approche adaptative et émergence des exigences : Dans le PMBOK 7e édition, l'approche adaptative (Agile) reconnaît que les exigences ne peuvent pas être entièrement définies à l'avance, notamment dans des environnements complexes et incertains. Les exigences émergent progressivement à travers des cycles itératifs courts (sprints, itérations) où le feedback continu des parties prenantes, utilisateurs finaux et clients façonne l'évolution du produit. Ce mécanisme permet d'adapter le projet aux changements de besoins réels plutôt que de suivre un plan rigide établi initialement. Contrairement à l'approche prédictive où toutes les exigences sont gelées en amont, l'approche adaptative embrace le changement comme source de valeur. La deuxième option (exigences figées avant le sprint) caractérise une approche prédictive/Waterfall. La troisième option (refus des modifications) contredit totalement la philosophie adaptative qui valorise la flexibilité. La quatrième option (réservée à l'IT) est fausse : l'approche adaptative s'applique à tout type de projet complexe, au-delà de l'informatique (marketing, construction, recherche, etc.).

Le principe de pensée système incite à considérer les interdépendances et l\'environnement global du projet afin d\'éviter une vision en silos.

Prévenir les défauts tôt coûte moins cher que corriger tard ; intégrer des critères d’acceptation et des revues régulières diminue retouches et gaspillages.

Gouvernance de projet et alignement stratégique : La gouvernance de projet dans le PMBOK 7e édition est un système intégré de prise de décision qui garantit que chaque initiative est alignée avec les objectifs stratégiques de l'organisation. Elle établit les mécanismes, les rôles, les responsabilités et les processus décisionnels qui permettent au projet de rester cohérent avec la vision et la stratégie organisationnelle, tout en respectant les politiques, les risques acceptables et les ressources disponibles. Pourquoi cette affirmation est correcte : La gouvernance transcende la simple gestion opérationnelle ; elle fournit la structure de supervision et de prise de décision à tous les niveaux du projet. Elle n'est pas une responsabilité exclusive du chef de projet, mais implique un comité de gouvernance ou des organes de pilotage qui validant les décisions majeures. Distinction avec les autres options erronées : Contrairement à l'option 2, la gouvernance est une responsabilité partagée entre les cadres dirigeants et le chef de projet. L'option 3 est fausse car la gouvernance couvre bien plus que le budget (risques, changements, conformité, qualité). L'option 4 est inexacte car la gouvernance s'applique à tous les projets, indép

Code d'éthique et de conduite professionnelle du PMI : Le PMI établit quatre valeurs fondamentales (Responsabilité, Respect, Équité et Honnêteté) qui constituent le socle de la conduite professionnelle des chefs de projet. Agir avec intégrité signifie être honnête dans toutes les communications, respecter ses engagements et prendre des décisions basées sur les principes éthiques plutôt que sur des intérêts personnels. Respecter la confidentialité exige de protéger les informations sensibles de l'organisation et des parties prenantes, conformément aux accords légaux et contractuels. Éviter les conflits d'intérêts implique de déceler et de déclarer toute situation où vos intérêts personnels pourraient influencer votre jugement professionnel.

Pourquoi cette réponse est correcte : Ces trois comportements reflètent directement le cadre éthique du PMI. Un chef de projet intègre gagne la confiance de son équipe et des parties prenantes, fondamentale pour la réussite du projet. Le PMBOK 7e édition renforce cette approche en mettant l'accent sur la performance de domaine incluant l'éthique.

Changement fondamental de paradigme du PMBOK7 : Le PMBOK7 représente une évolution majeure par rapport aux éditions précédentes en abandonnant le modèle des 49 processus organisés en 5 groupes de processus (Lancement, Planification, Exécution, Suivi-Contrôle, Clôture). Cette nouvelle approche repose sur 8 domaines de performance (Parties prenantes, Équipe, Développement et cycle de vie, Planification, Travail du projet, Livraison, Mesure et contrôle, Incertitude) et 12 principes fondamentaux qui guide-nt la gestion de projet de manière flexible et adaptée au contexte. Cette transformation reflète la reconnaissance que la gestion de projet moderne doit intégrer les approches prédictives ET adaptatives (Agile). Les domaines de performance transcendent la rigidité des groupes de processus séquentiels et offrent une vision holistique et itérative. Distinction des autres options : l'option 2 est fausse car le PMBOK7 a précisément éliminé cette structure de 49 processus ; l'option 3confond avec les sprints Agile purs ; l'option 4 est inexacte car la suppression ne concerne pas les techniques mais la structure organis

Processus de gestion des risques selon le PMBOK 7e édition : La gestion des risques suit une séquence logique et incontournable qui garantit une couverture complète des menaces et opportunités du projet. Identification constitue l'étape fondatrice où l'équipe projet détecte systématiquement tous les risques potentiels (techniques, organisationnels, externes, internes) à partir de sources documentaires, d'experts et de données historiques. Vient ensuite l'Analyse qualitative et quantitative permettant d'évaluer la probabilité d'occurrence, l'impact potentiel et la criticité de chaque risque identifié, ce qui justifie l'importance de cette étape antérieure à toute réaction. La Planification des réponses ne peut intervenir qu'après cette analyse : elle consiste à définir des stratégies adaptées (acceptation, atténuation, évitement, transfert pour les menaces ; amplification, exploitation, partage, acceptation pour les opportunités). La Mise en œuvre ou exécution des réponses planifiées intervient durant l'exécution du projet selon les plans définis. Enfin, le Suivi assure le monitoring continu des risques, leur évolution, l'efficacité des réponses et

Réponse : D. Surveiller les performances et n’intervenir qu’en cas de baisse, afin de ne pas perturber inutilement l’équipe.

Réponse : Discuter avec le sponsor pour simplifier le rapport et s’assurer qu’il répond aux besoins réels de décision.

Cette question correspond à l\'objectif d\'apprentissage FL-5.1.7 (K2) - Résumer les quadrants du test et leurs relations avec les niveaux et les types de tests.

La bonne réponse est b) :

1. Test d\'accessibilité - Orienté métier, critique du produit (C)
2. Test unitaire - Orienté technologie, support à l\'équipe de développement (A)
3. Test d\'acceptation utilisateur - Orienté métier, critique du produit (C)
4. Test de performance - Orienté technologie, critique du produit (D)
● a) Faux → Le test d\'acceptation utilisateur est en C (orienté métier, critique du produit), pas en B.
● b) Correct → Toutes les correspondances sont correctes.
● c) Faux →- Le test d\'accessibilité est en C, pas en D, et le test de performance est en D, pas en B.
● d) Faux → Le test d\'accessibilité est en C, pas en D, et le test unitaire est en A, pas en B.

Cette question correspond à l\'objectif d\'apprentissage FL-4.4.1 (K2) – Expliquer les
techniques de test basées sur l\'expérience et leur utilisation.
● a) Faux → La rédaction de cas de test détaillés nécessite une documentation
complète, ce qui n\'est pas disponible ici.
● b) Correct → Les tests exploratoires permettent de découvrir rapidement des
défauts même en l\'absence de documentation détaillée.
● c) Faux → Attendre la documentation complète retarderait inutilement le processus
de test.
● d) Faux → L\'automatisation nécessite une connaissance préalable des cas de test et
du comportement attendu, ce qui n\'est pas possible sans documentation.

Cette question correspond à l\'objectif d\'apprentissage FL-2.1.3 (K1) – Rappeler des exemples d\'approches de développement piloté par les tests.
● a) Correct → Le TDD (Test-Driven Development) est une approche où les tests sont écrits avant l’implémentation du code.
● b) Faux → Le modèle en cascade ne suit pas un développement itératif avec des tests en amont.
● c) Faux → Le modèle en V inclut une phase de test bien définie, mais les tests ne sont pas écrits avant le développement du code.
● d) Faux → L’intégration continue permet d’exécuter régulièrement des tests, mais ce n’est pas une approche de développement piloté par les tests.

Cette question correspond à l’objectif d’apprentissage FL-1.1.1 (K1) – Identifier les objectifs habituels du test.
● a) Faux → Il est impossible de démontrer qu’un logiciel est totalement exempt de défauts.
● b) Correct → Les tests réduisent le risque de défauts et augmentent la probabilité que le logiciel réponde aux exigences.
● c) Faux → Vérifier la conformité aux spécifications est une partie des tests, mais pas leur seul objectif.
● d) Faux → Les tests ne remplacent pas l’assurance qualité, qui inclut d’autres activités comme l’analyse des processus.

Cette question correspond à l\'objectif d\'apprentissage FL-4.3.3 (K2) - Expliquer la valeur des tests boîte blanche.

● a) Faux → Les tests boîte blanche ne remplacent pas les revues de code et les inspections formelles. Ce sont des activités complémentaires qui servent des
objectifs différents.
● b) Faux → Aucune technique de test ne peut garantir la détection de 100% des
défauts. Cette affirmation est excessive et trompeuse.
501
● c) Correct → Cette réponse capture la principale valeur ajoutée des tests boîte blanche : ils permettent d\'identifier les défauts dans des parties du code qui pourraient ne pas être facilement atteignables par les tests boîte noire.
● d) Faux → Les tests boîte blanche ne visent pas principalement à réduire la durée du cycle de développement ou à diminuer le nombre de tests fonctionnels. Au
contraire, ils représentent souvent un effort supplémentaire.

Cette question correspond à l’objectif d’apprentissage FL-3.2.1 (K1) – Identifier les
avantages d’un feedback précoce et fréquent de la part des parties prenantes.

● a) Faux → L’automatisation des tests est indépendante du moment où le feedback est reçu.
● b) Correct → Obtenir des retours rapides des parties prenantes permet d’identifier plus tôt les erreurs, les imprécisions ou les malentendus liés aux exigences ou aux spécifications → cela réduit le coût de correction.
● c) Faux → Le feedback n’a pas pour but de réduire le besoin d’exploration, mais d’améliorer la compréhension dès le début.
● d) Faux → Le retour d’information ne supprime pas les changements, mais facilite leur gestion en les identifiant plus tôt.

Cette question correspond à FL-1.5.1 (K2) – Donner des exemples de compétences génériques requises pour le test.
● a) Faux → Trop spécifique, concerne plutôt les outils ou automatisation
● b) Correct → La communication claire est une compétence générique clé pour un testeur
● c) Faux → Optimisation du code = compétence de développement
● d) Faux → Réécriture d’exigences n’est pas une tâche standard du testeur

Cette question correspond à l’objectif d’apprentissage FL-2.1.2 (K1) – Rappeler les bonnes
pratiques de test applicables à tous les cycles de vie.
● a) Faux → Cela correspond à une approche tardive (type Waterfall rigide), et va àl’encontre des bonnes pratiques modernes.
● b) Faux → Les testeurs doivent être impliqués dès les phases d’analyse et de conception.
● c) Correct → Tester dès que possible (shift-left) est une bonne pratique universelle qui réduit les coûts de détection de défauts.
● d) Faux → Collaboration entre test et développement est essentielle, peu importe le cycle.

Cette question correspond à l’objectif d’apprentissage FL-5.2.4 (K2) – Expliquer les mesures qui peuvent être prises en réponse à l\'analyse des risques produit.

● a) Faux → Accepter un risque signifie ne rien faire et vivre avec la possibilité que cela se produise. Ici, des actions concrètes sont mises en place.
● b) Faux → Un plan de secours est un plan B qui s’active si le risque se produit. Ici, on agit avant pour éviter qu’il se réalise.
● c) Faux → Le transfert implique qu’une autre entité prend en charge le risque (ex : assurance ou sous-traitance), ce n’est pas le cas ici.
● d) Correct → Des tests de performance et des améliorations d’architecture sont des mesures proactives destinées à réduire la probabilité et/ou l’impact du risque → c’est exactement une mitigation.

Cette question correspond à l’objectif d’apprentissage FL-1.4.1 (K2) – Résumer les différentes activités et tâches de test.

La réponse correcte est a) 1A, 2B, 3C, 4D

● 1A (Correct) → Définir les critères d’entrée et de sortie fait partie de l’analyse des tests.
● 2B (Correct) → La conception des tests consiste à élaborer les cas de test à partir
des exigences et spécifications.
● 3C (Correct) → L’implémentation des tests inclut la préparation de l’environnement et des données de test.
● 4D (Correct) → La clôture des tests implique de vérifier l’exécution des tests et d’analyser les résultats.

Réponse : Tester la politique dans un environnement hors production avant de l'activer en production.
Explication : Les modifications de règles de pare-feu doivent toujours être testées dans un environnement hors production qui reproduit fidèlement la production. Cela permet d'éviter des interruptions de service inattendues causées par des règles bloquant du trafic légitime, comme cela s'est produit lorsque les serveurs sont devenus inaccessibles.

Automatisation : l'utilisation d'outils automatisés pour surveiller et auditer en continu les paramètres de sécurité garantit des vérifications quotidiennes cohérentes et reproductibles, sans erreur humaine. Les audits manuels manquent de cohérence ; les listes de contrôle de conformité sont des documents statiques ; l'attestation confirme des actions passées mais ne détecte pas automatiquement les modifications non autorisées.

Attaque de l'homme du milieu (MITM) : Un attaquant intercepte la communication entre deux parties afin d'espionner ou d'altérer les données en transit. Cela diffère du hameçonnage (ingénierie sociale), des rançongiciels (chiffrement/extorsion) et du DoS (interruption de service). L'attaque MITM cible spécifiquement la confidentialité des données lors de leur transmission.

Défense en Profondeur avec les Serveurs Rebonds : Un serveur rebond (hôte bastion) placé derrière un pare-feu sur un réseau segmenté, combiné à un accès via une passerelle VPN, crée plusieurs couches de sécurité. Cette approche limite l'exposition directe aux outils d'administration, obligeant les attaquants à compromettre plusieurs contrôles de manière séquentielle. Changer les ports ou utiliser des proxys ne fournit qu'une sécurité par l'obscurité (inefficace contre des menaces déterminées), tandis que les politiques de domaine seules ne permettent pas d'isoler le réseau. L'architecture VPN combinée à un serveur rebond met en œuvre des principes appropriés de segmentation et de contrôle des accès.

Réponse correcte : Le principe du moindre privilège (Least Privilege) signifie accorder aux utilisateurs uniquement les permissions minimales nécessaires pour accomplir leurs fonctions professionnelles, réduisant ainsi la surface d'attaque et limitant les dégâts en cas de compromission de compte.

Pourquoi les autres réponses sont incorrectes : Accorder tous les droits d'accès d'abord puis les retirer est inefficace et dangereux. Partager des comptes privilégiés entre plusieurs administrateurs viole la responsabilité individuelle et la traçabilité. Utiliser des comptes administrateur pour les activités quotidiennes expose l'organisation à des risques de sécurité majeurs en cas de malveillance ou d'erreur.

Fonction d'une DMZ : Une zone démilitarisée est un segment réseau qui isole les serveurs exposés au public (web, messagerie, DNS) du réseau interne, limitant ainsi l'impact d'une intrusion. En cas de compromission, les attaquants ne peuvent pas accéder directement aux ressources de l'entreprise. Contrairement à une connexion directe à Internet (A), au chiffrement (C) ou à l'accès invité (D), la DMZ offre une séparation architecturale grâce à des règles de pare-feu.

Réponse correcte : Le test d'intrusion (penetration testing) simule des attaques réelles pour identifier les vulnérabilités avant que des acteurs malveillants ne les exploitent. Il s'agit d'un test proactif et contrôlé qui permet aux organisations de corriger leurs failles de sécurité.

Pourquoi les autres réponses sont incorrectes : Le déploiement de correctifs (patches) concerne la remédiation (après identification des failles), la surveillance du trafic réseau relève du monitoring continu (et non d'un test ponctuel), et tester les performances du matériel sous charge appartient au domaine des tests de performance, et non de la sécurité.

La défense en profondeur (également appelée sécurité en couches) utilise plusieurs contrôles de sécurité superposés afin que, si une couche est compromise, les couches supplémentaires protègent toujours l'actif. Exemples de couches : sécurité physique → pare-feu réseau → IDS/IPS → pare-feu hôte → antivirus → WAF applicatif → chiffrement → supervision. Cette approche s'inspire de la conception des châteaux médiévaux : remparts, douves, pont-levis, gardes, enceintes intérieures. Aucun contrôle unique n'est parfait — la superposition assure la redondance. C'est l'opposé de la sécurité par l'obscurité (qui repose sur le secret plutôt que sur des contrôles robustes).

Contrôle de sécurité physique : le verrouillage des ordinateurs empêche les utilisateurs non autorisés d'accéder aux données sensibles, aux systèmes ou aux comptes pendant l'absence de l'utilisateur légitime. Il s'agit d'une mesure fondamentale de contrôle des accès. Contrairement à l'économie d'énergie (A) ou à la vitesse de démarrage (D), le verrouillage protège directement contre les accès non autorisés. La journalisation des activités (B) nécessite d'abord une authentification.

Moindre privilège : Les utilisateurs ne doivent disposer que des droits d'accès minimaux nécessaires à leur fonction. Lorsque des utilisateurs accèdent à des ressources non autorisées, cela indique que des permissions excessives ont été accordées, ce qui constitue une violation directe de ce principe. Contrairement à la séparation des tâches (répartition des responsabilités entre plusieurs personnes) ou à la défense en profondeur (sécurité par couches), le moindre privilège contrôle les niveaux d'accès individuels.

La clause WHERE : filtre les lignes d'une table selon des conditions spécifiques AVANT le regroupement. Elle s'applique aux enregistrements individuels. À ne pas confondre avec HAVING (filtre après regroupement), ORDER BY (tri des résultats) ou GROUP BY (agrégation de données).

Un Data Lake stocke toutes les données brutes d'une organisation dans leur format natif (structuré, semi-structuré, non structuré) avant traitement. Azure Data Lake Storage Gen2 (ADLS Gen2) est construit sur Azure Blob Storage avec des fonctionnalités supplémentaires : système de fichiers hiérarchique (dossiers et sous-dossiers natifs), contrôle d'accès POSIX granulaire (ACLs par fichier/dossier), et performances optimisées pour les analytics massifs avec Spark, Hadoop, Azure Synapse. La différence clé : ADLS Gen2 supporte les opérations de répertoire atomiques manquantes dans Blob Storage.

Atomicité : propriété garantissant qu'une transaction s'exécute entièrement ou est totalement annulée en cas d'erreur. Si une étape échoue, toutes les modifications sont révoquées, préservant l'intégrité des données. La cohérence valide les règles métier, l'isolation sépare les transactions concurrentes, et la durabilité persiste les données validées.

INSERT : commande SQL fondamentale pour ajouter de nouvelles lignes dans une table. Elle spécifie les colonnes et les valeurs à insérer. À distinguer de UPDATE (modifie des données existantes), SELECT (récupère des données) et ALTER (modifie la structure de la table, pas son contenu).

Azure Data Factory (ADF) est le service d'intégration de données cloud d'Azure. Il orchestre des pipelines de données visuellement (drag-and-drop) ou via code (ARM templates, SDK). Il propose plus de 90 connecteurs natifs vers des sources on-premises et cloud (SQL Server, Oracle, Salesforce, REST APIs, etc.). Les Triggers planifient l'exécution (schedulé, événementiel). Les Mapping Data Flows permettent des transformations sans code (ETL visuel). ADF s'intègre avec Azure Synapse, Databricks et Git pour le CI/CD des pipelines.

JSON (JavaScript Object Notation) : format texte léger basé sur des paires clé-valeur et structures imbriquées, idéal pour les données semi-structurées. Contrairement au CSV (données tabulaires strictes), JSON s'adapte aux structures variables et hiérarchiques. PNG et MP4 sont des formats binaires pour images et vidéos, non adaptés aux données d'échange applicatif. JSON est le standard REST/API moderne.

Azure Synapse Analytics : plateforme intégrée qui combine entrepôt de données (SQL Data Warehouse), analyses Big Data (Spark) et orchestration ETL. Contrairement à Data Lake Storage (stockage seul), Data Factory (intégration seule) ou Cosmos DB (base NoSQL), Synapse unifie ces trois capacités dans un écosystème cohérent pour analyser massivement les données.

Réponses : read-access geo-redundant storage (RA-GRS) et geo-redundant storage (GRS). Explication : GRS et RA-GRS répliquent tous deux les données vers une région secondaire en dehors de la région Azure primaire, satisfaisant ainsi à l'exigence de réplication automatique inter-régions. LRS et ZRS répliquent uniquement au sein d'une même région. RA-GRS ajoute l'accès en lecture à la région secondaire.

Index dans une base relationnelle : structure de données qui organise les valeurs d'une ou plusieurs colonnes pour accélérer la localisation des enregistrements. Sans index, le moteur doit scanner chaque ligne (table scan). Avec un index, il utilise une structure optimisée (arbres B) pour retrouver les données en quelques accès disque seulement, d'où une amélioration drastique de performance. À ne pas confondre avec la suppression de redondance (normalization), l'unicité (contrainte unique) ou la sécurité (transactions ACID).

OLTP (Online Transaction Processing) : système conçu pour traiter des opérations courantes, rapides et fréquentes modifiant les données en temps réel. Mettre à jour un solde bancaire illustre parfaitement : c'est une transaction atomique, immédiate et critique. À l'inverse, analyser les ventes sur 5 ans ou créer des modèles prédictifs relèvent de l'OLAP (analytics), qui examine des données historiques agrégées.

Réponse : Vrai
Explication : Les ledgers parallèles peuvent utiliser des variantes distinctes pour répondre à des normes différentes.

Réponse : GGB1 (Validations).
Explication : GGB1 gère les validations ; GGB0 gère les substitutions. Elles s’appliquent à des niveaux (document, poste) et domaines (FI, CO, etc.).

Réponse : Devise de tenue de comptes par défaut
La devise de code société (Company Code Currency) est la devise dans laquelle la comptabilité est tenue pour ce code société. C'est la devise de référence pour tous les états financiers légaux de cette entité. Elle est définie lors de la création du code société et ne peut pas être modifiée après coup.

Réponse : Niveaux de relance avec intervalles ; Montants minimum ; Textes par niveau ; Frais de relance éventuels.
Explication : Ces paramètres pilotent la génération et le contenu des relances.

Réponse : Permettre le lettrage poste par poste
La gestion des postes ouverts (OIM) permet de suivre individuellement chaque écriture débitrice et créditrice d'un compte, afin de les lettrer lors du paiement ou du règlement. Elle est activée sur les comptes bancaires, les comptes clients/fournisseurs via leurs comptes de réconciliation, et certains comptes GL spéciaux (GR/IR, par exemple).

Réponse : Ils se mettent à jour automatiquement via les sous-comptes BP
Les comptes de réconciliation (reconciliation accounts) sont des comptes G/L spéciaux qui ne peuvent pas être saisis directement. Ils sont alimentés automatiquement lors de la comptabilisation sur les comptes clients ou fournisseurs (sous-comptes Business Partner), assurant ainsi la cohérence entre les sous-livres et la comptabilité générale.

Réponse : Vrai
Pour exécuter un prélèvement SEPA (SDD - SEPA Direct Debit), un mandat SEPA actif doit être associé au Business Partner client. Ce mandat contient le numéro de mandat, les coordonnées bancaires et la date de signature. Sans mandat valide, le prélèvement ne peut pas être généré.

Réponse : Code société. Explication : Un établissement permanent ayant ses propres exigences de reporting financier statutaire est représenté comme un code société distinct dans SAP. Cela fournit à l'entité juridique son propre bilan, compte de résultat et la capacité à produire des états financiers autonomes comme requis par la loi suisse.

Réponse : Ils reçoivent automatiquement les écritures miroir des sous-comptes BP ; Les écritures directes sont interdites ; La modification du compte de réconciliation en production doit suivre une procédure contrôlée.
Explication : Les comptes de réconciliation assurent l’intégrité entre sous-comptes et GL ; tout changement requiert précautions (soldes/postes).

La compensation (Clearing) est le processus qui rapproche et solde des postes ouverts (créances ou dettes) en les marquant comme « compensés ». Elle est déclenchée lorsqu'un paiement entrant (client) ou sortant (fournisseur) est reçu et rattaché à la facture correspondante. La compensation peut être automatique (programme F.13 ou app dunning) ou manuelle (F-32 client, F-44 fournisseur). Un poste compensé ne figure plus dans la liste des postes ouverts et le solde du compte collectif reflète l'encours réel.

Concept clé : Test de conformité au RGPD. Le droit à l'oubli est une exigence fondamentale du RGPD. Les testeurs doivent valider que les systèmes AI gèrent correctement les demandes de suppression de données et que les informations personnelles sont réellement supprimées de l'ensemble des pipelines de traitement et des systèmes de stockage.

Réponse : Offre de service.
Explication : Une offre de service est un ensemble de produits et services proposé à un consommateur. Le package (ordinateur + logiciels + licences + support) constitue une offre de service complète et packagée.

Réponse : Habilitation des changements.
Explication : En ITIL 4, l\'habilitation des changements est responsable du déplacement des composants vers les environnements de production, garantissant que les changements sont correctement contrôlés et autorisés avant mise en production.

Réponse : Tout changement d\'état significatif pour la gestion d\'un service ou de tout autre élément de configuration.
Explication : Un événement est tout changement d\'état significatif pour la gestion d\'un service ou d\'un élément de configuration. Les événements peuvent déclencher des incidents, des problèmes ou des demandes.

Réponse : Commencer là où vous êtes.
Explication : Le principe \'Commencer là où vous êtes\' recommande d\'évaluer l\'existant avant de décider ce qui peut être réutilisé, plutôt que de repartir de zéro sans connaître ce qui fonctionne déjà.

Réponse : En choisissant quelques méthodes clés pour les types d\'améliorations gérées par l\'organisation.
Explication : Plutôt que d\'adopter toutes les méthodes existantes, une organisation doit sélectionner quelques approches adaptées aux types d\'améliorations qu\'elle gère, pour rester cohérente et efficace.

Réponse : Déterminer qui est le consommateur du service dans chaque situation.
Explication : Lors de l\'application du principe \'Privilégier la valeur\', la première étape est d\'identifier qui est le consommateur, car la valeur est toujours définie du point de vue du consommateur du service.

Réponse : Le centre de services.
Explication : Le centre de services constitue le point de contact unique (SPOC) entre le fournisseur de services et les utilisateurs pour toutes les communications, demandes et incidents.

Réponse : Elle permet de diriger l\'incident vers la zone de support appropriée.
Explication : La catégorisation des incidents permet de les acheminer rapidement vers la bonne équipe de support, ce qui accélère leur résolution et améliore l\'efficacité du processus.

Réponse : Résultats souhaités par une partie prenante.
Explication : Les résultats (outcomes) sont les effets souhaités par une partie prenante. Ils diffèrent des livrables (outputs) : le résultat est la valeur créée pour le consommateur, pas le produit livré.

Réponse : Des procédures détaillées pour diagnostiquer les incidents.
Explication : La gestion des incidents vise une résolution rapide, pas la documentation détaillée de procédures de diagnostic. Les procédures détaillées relèvent de la gestion des problèmes et de la base de connaissances.

• Le bloc-notes est stocké dans un site SharePoint d’équipe.

• L’URL correcte doit donc pointer vers :

  • Le tenant SharePoint principal (contoso.sharepoint.com)

  • Le site d’équipe (/sites/ProjectTeam)

  • Le dossier du bloc-notes

L’option B correspond à une URL SharePoint classique permettant :

• L’ouverture dans OneNote Desktop

• La synchronisation automatique

• Les mises à jour en temps réel pour tous les membres

❌ Pourquoi les autres réponses sont incorrectes :

• A et C → Utilisent contoso-my.sharepoint.com, qui correspond à OneDrive personnel, pas à un site SharePoint d’équipe.

• D → URL interne SharePoint (_layouts) utilisée pour l’interface web, pas pour un accès direct propre au bloc-notes.

🎯 À retenir pour l’examen MS-900 :

• tenant.sharepoint.com/sites/... = site d’équipe SharePoint

• tenant-my.sharepoint.com = OneDrive personnel

• Pour collaboration d’équipe → toujours utiliser l’URL du site SharePoint

💡 Explication :

• Defender for Cloud Apps permet de surveiller les activités des utilisateurs dans les applications SaaS.

• Avec une politique d’activité + règles de détection d’anomalies, vous pouvez :

  • Détecter des comportements inhabituels (ex : partage massif de fichiers)

  • Définir un seuil et déclencher une alerte automatique lorsque ce seuil est dépassé

    🎯 À retenir pour l’examen MS-900 :

    • Alertes automatiques sur activités SaaS = Activity policy + anomaly detection dans Defender for Cloud Apps.

    • L’accès conditionnel et Sentinel peuvent compléter, mais ne remplacent pas cette fonctionnalité.

• Lorsqu’une Power App est intégrée dans Teams, ses données sont stockées automatiquement dans un environnement Dataverse pour Teams.

• Cela permet :

  • Un stockage structuré et sécurisé

  • L’accès aux données uniquement aux membres de l’équipe Teams

• Les autres options ne sont pas utilisées par défaut pour les Power Apps dans Teams :

  • A : OneDrive for Business sert au stockage de fichiers personnels ou partagés.

  • C : Azure Blob Storage est un service de stockage cloud général, non utilisé par défaut.

  • D : SharePoint Online site library stocke des fichiers, pas les tables Dataverse des Power Apps.

• Les abonnements Microsoft 365 peuvent être renouvelés automatiquement avec des méthodes de paiement directes comme :

  • Carte de crédit

  • Prélèvement bancaire

  • PayPal

• La facturation par invoice (facture) nécessite un paiement manuel pour chaque période, donc le renouvellement automatique n’est pas possible.

• Microsoft Defender for Endpoint permet :

  • Détection automatique des menaces sur les endpoints

  • Investigation automatisée des incidents

  • Actions de remédiation automatiques pour contenir et corriger les menaces

• Les autres options ne gèrent pas directement l’investigation et la remédiation automatique :

  • A : PIM gère les rôles à privilèges temporaires.

  • B : Secure Score propose des recommandations de sécurité, pas de remédiation automatique.

  • D : Mailbox hold conserve les emails pour conformité, pas pour gérer des incidents de sécurité.

Dans Microsoft Lists, la mise en forme de colonne (Column formatting) permet d’appliquer un style visuel conditionnel à une colonne spécifique.

👉 Elle permet notamment :

• De modifier la couleur d’arrière-plan

• De changer la couleur du texte

• D’ajouter des icônes

• D’appliquer des règles conditionnelles (ex : si la valeur < seuil → fond rouge)

Cette fonctionnalité utilise du JSON en arrière-plan, mais du point de vue fonctionnel, la capacité recherchée est bien la mise en forme de colonne.

• Dans Microsoft Stream, on peut contrôler :

  • Qui peut regarder une vidéo (exiger l’authentification)

  • Si la vidéo peut être téléchargée (désactiver le téléchargement)

• Cette configuration garantit que seuls les employés authentifiés peuvent accéder au contenu et qu’aucun téléchargement n’est possible.

• Les autres options ne répondent pas au besoin :

  • A : OneDrive sync ne concerne pas Stream.

  • B : Désactiver l’accès invité protège l’ensemble du tenant, mais ne gère pas les vidéos internes.

  • D : Une politique de rétention supprime des vidéos, ne contrôle pas l’accès ou le téléchargement.

Dans Microsoft Teams (Téléphonie Teams / Direct Routing) :

• Les voice routes définissent le chemin que les appels doivent suivre.

• Les PSTN usages permettent d’associer ces routes à des stratégies.

• Cependant, pour que les utilisateurs puissent réellement utiliser ces routes, il faut leur attribuer une stratégie de routage vocal (Voice Routing Policy).

👉 La stratégie de routage vocal est le composant qui associe les enregistrements d’utilisation PSTN aux utilisateurs.
Sans cette stratégie attribuée à l’utilisateur, les routes configurées ne seront pas accessibles, même si elles sont correctement définies dans le système.

• Microsoft Secure Score se trouve dans le Microsoft 365 security center.

• Il permet de :

  • Voir le score actuel de sécurité de l’organisation

  • Accéder à des recommandations et actions pour améliorer la sécurité

• Les autres options ne donnent pas l’accès complet à Secure Score :

  • A : Azure AD Security montre certains paramètres, mais pas le score complet Microsoft 365.

  • C : Microsoft 365 admin center > Reports ne fournit pas le Secure Score détaillé.

  • D : Defender for Endpoint montre le posture de sécurité endpoints, pas le score global Microsoft 365.

• Pour pouvoir réclamer un crédit SLA, il est essentiel de documenter immédiatement toute interruption et de la comparer aux seuils définis dans le SLA.

• Sans preuves précises et horodatées, Microsoft peut rejeter la demande, même si le service a été interrompu.

• Les autres options ne résolvent pas le problème de suivi et documentation :

  • Automatiser les crédits (B) n’est pas possible.

  • Migrer vers un autre tenant (C) est excessif et non nécessaire.

  • Configurer des alertes (D) aide à la notification mais ne remplace pas la documentation des interruptions.

• Prompt injection : manipulation du modèle via des entrées malveillantes → peut révéler des données sensibles ou modifier le comportement attendu.

• Data exfiltration : sortie involontaire de données sensibles dans les réponses du modèle.

• Microsoft recommande pour Azure OpenAI :

  • Placer API Management (APIM) devant le service OpenAI

  • Valider toutes les entrées (ex : rejeter caractères, commandes ou prompts suspects)

  • Filtrer et contrôler la sortie pour éviter l’exfiltration de données sensibles

• Cela fournit une barrière de sécurité en amont et en aval du modèle et suit la baseline Zero Trust et Microsoft Security.

• Microsoft Security Baselines pour VMs IaaS recommandent :

  • Endpoint protection activée (Microsoft Defender ou équivalent)

  • OS hardening : mots de passe complexes, journaux activés, configuration de sécurité renforcée

  • Chiffrement des disques (Azure Disk Encryption)

  • Application à grande échelle et cohérente via Azure Policy

• L’usage d’Azure Policy permet :

  • Déploiement automatique ou audit des configurations

  • Remédiation centralisée

  • Conformité avec les bonnes pratiques Microsoft et standards comme CIS

L’organisation demande :

• Visibilité centralisée et monitoring sur tous les environnements

• Alertes automatisées pour les ressources non conformes

Dans le Cloud Adoption Framework (CAF) pour Azure :

• Le domaine Management se concentre sur la supervision opérationnelle, le monitoring, la collecte de logs et la configuration d’alertes automatisées.

• Bien que la conformité et les standards fassent partie de la gouvernance, cette exigence met l’accent sur la gestion opérationnelle et la surveillance continue.

✅ Donc, le domaine CAF approprié pour cette exigence est : Management.

• Microsoft Entra Internet Access (EIA) : solution SSE qui fournit :

  • Filtrage d’accès Internet

  • Protection contre les applications non approuvées

  • Application des politiques d’usage acceptable

• Intégration avec Microsoft Defender for Cloud Apps :

  • Permet de détecter et contrôler l’usage des applications SaaS

  • Active les politiques Conditional Access pour :

    • Bloquer les connexions à des applications non sanctionnées

    • Appliquer des restrictions ou des alertes pour les applications approuvées

  • Assure visibilité, contrôle et gouvernance centralisée

• C’est la meilleure pratique Microsoft SSE pour sécuriser l’accès SaaS et Internet.

• Microsoft Sentinel Playbooks (basés sur Logic Apps) permettent de :

  • Automatiser la réponse aux incidents (SOAR – Security Orchestration, Automation, and Response)

  • Déclencher des workflows de restauration depuis les backups dès qu’un incident est détecté

  • Réagir rapidement et de manière cohérente face à un ransomware

• Cela offre un processus automatique de containment et de récupération, exactement ce que demande le SOC.

• Azure AD / Entra PIM distingue :

  • Attribution de rôle : l’administrateur se voit attribuer un rôle (souvent par IT ou via JIT)

  • Activation de rôle : l’utilisateur active le rôle pour l’utiliser

• Exiger MFA sur l’activation de rôle :

  • Garantit que chaque activation est sécurisée par MFA, indépendamment de l’état de session existant

  • Respecte le principe du moindre privilège et de Zero Trust pour les rôles privilégiés

• Sécurité renforcée pour les comptes administratifs, même avec sessions existantes

• Fusion detection :

  • Fonctionnalité native de Sentinel pour corréler automatiquement les alertes provenant de différentes sources

  • Regroupe des alertes apparemment indépendantes mais liées à un même incident ou attaquant

  • Réduit le bruit (alert fatigue) et facilite le triage rapide par les analystes SOC

• Avantages :

  • Détecte des attaques avancées persistantes (APT) et chaînes d’attaques multi-sources

  • Crée des incidents uniques regroupant plusieurs alertes, plutôt que d’avoir des centaines d’alertes isolées

• Scenario : Zero Trust → contrôler l’accès en fonction de l’état de l’appareil, de l’identité et de la localisation.

• Intune + Conditional Access permet :

  • Vérifier si l’appareil est géré et conforme aux politiques de sécurité

  • Appliquer des conditions préalables à l’accès, comme :

    • BitLocker activé

    • Antivirus à jour

    • Correctifs appliqués

  • Bloquer l’accès depuis appareils non conformes

• C’est la méthode standard Microsoft pour protéger Microsoft 365 dans un contexte Zero Trust avec des partenaires externes.

• DLP (Data Loss Prevention) dans Microsoft Purview :

  • Permet d’identifier automatiquement les informations sensibles, y compris les PHI

  • Empêche le partage accidentel ou non autorisé dans Teams, SharePoint, OneDrive et Outlook

  • Fonctionne en temps réel, donc même si Copilot est utilisé, les données sensibles ne sont pas exposées

• C’est la solution la plus efficace pour protéger les données sensibles tout en autorisant l’usage normal de Copilot.

BigQuery est la solution recommandée pour analyser les données de facturation GCP : il supporte nativement SQL standard, les fenêtres temporelles, et peut traiter les données de plusieurs projets. Cloud Storage ne permet pas de requêtes SQL directes.

Dans Cloud Run, le fractionnement du trafic se fait entre révisions du même service (pas entre services différents). Créer une nouvelle révision et diviser le trafic est la méthode native recommandée pour les déploiements canary sur Cloud Run.

La combinaison Redémarrage automatique = On (redémarre si crash) + Maintenance hôte = Migrer (live migration pendant maintenance) dans un MIG est la configuration recommandée pour une haute disponibilité maximale pendant les maintenances GCP.

La bonne pratique est d'utiliser un abonnement Pub/Sub en mode push vers Cloud Run avec un compte de service ayant le rôle Cloud Run Invoker. Cela évite la gestion d'un processus de pull et est la méthode officiellement recommandée par Google.

Le calculateur de prix GCP est l'outil officiel pour estimer les coûts mensuels sans provisionner réellement les ressources. Examiner les pages de tarification garantit d'utiliser les prix actuels et exacts pour chaque produit.

L'option --splits de App Engine permet le fractionnement du trafic (traffic splitting) entre plusieurs versions dans la même application, sans créer de nouvelle application. C'est la solution la plus simple et recommandée pour un déploiement canary.

La commande BigQuery dry-run estime les octets lus (scannés depuis les tables) sans exécuter la requête. Attention : la facturation est basée sur les octets lus, pas sur les octets retournés — une requête `SELECT *` sur une table de 1 To coûte la même chose qu'elle retourne 1 ligne ou 1 million. Le calculateur de prix convertit ensuite ce volume en dollars.

gcloud config list affiche la configuration active, incluant le projet actif qui a été utilisé pour le déploiement. Si le mauvais projet était configuré, cela explique le déploiement au mauvais endroit. C'est la première chose à vérifier.

La commande gcloud auth activate-service-account --key-file=chemin/vers/clé.json authentifie gcloud avec le compte de service. Toutes les commandes gcloud ultérieures s'exécutent sous l'identité de ce compte de service.

Le rôle roles/monitoring.viewer permet de surveiller les métriques et les alertes sans accéder aux données des tables Spanner. Les rôles databaseUser et databaseReader donnent accès aux données, ce qui est interdit ici.

Correct : Options 2, 3 et 5 - La Definition of Done guide la prévision, fournit une orientation en temps réel pendant le développement, et crée de la transparence lors de la Sprint Review concernant ce que « terminé » signifie réellement. L'option 1 la traite comme un outil de suivi de l'avancement (usage incorrect) ; l'option 4 contredit l'objectif de compléter le travail à chaque Sprint ; l'option 6 confond la Definition of Done avec la durée du Sprint.

Les outils de gestion de versions seuls ne peuvent pas résoudre les problèmes de collaboration et de dépendances ; ce sont fondamentalement des problèmes organisationnels et de processus qui nécessitent de la communication, de la planification et un affinage approprié du Backlog. La technologie est un outil, pas une solution aux défis de collaboration humaine dans Scrum.

Un Scrum Master est un servant-leader qui gère le processus Scrum (la façon dont il est compris et mis en œuvre), la manière dont Scrum est appliqué au sein de l'organisation, et supprime les impediments qui bloquent la progression de l'équipe. Le Scrum Master ne gère PAS la capacité individuelle, ne rend pas compte des performances du Sprint, et ne gère pas le Product Backlog ni le Sprint Backlog — ces responsabilités incombent au Product Owner et à l'équipe de développement selon le Guide Scrum.

Réponses correctes : Options 0 et 4. Un Scrum Master doit accompagner l'équipe de développement à s'auto-organiser et à résoudre les problèmes de manière collaborative (option 0), et coacher individuellement la personne concernée sur l'objectif du Daily Scrum — la synchronisation — et non les discussions techniques approfondies (option 4). Escalader le problème à la direction (option 1) contourne l'autonomisation de l'équipe. Imposer des règles strictes de timeboxing (options 2 et 3) constitue des solutions imposées plutôt qu'un accompagnement de l'équipe vers l'auto-gestion. Le Scrum Master facilite, il ne dicte pas.

Toutes les réponses s'appliquent. Le simple fait d'adopter la terminologie Scrum sans comprendre ni incarner ses principes produira un changement organisationnel minime. Les équipes conserveront leurs comportements habituels (souvent dysfonctionnels), le vocabulaire perdra tout son sens, le management pourra se sentir à l'aise en raison de dynamiques inchangées, et les véritables bénéfices de Scrum — inspection, transparence et adaptation — resteront inexploités.

Réponses correctes : Options 2 et 4. L'option 2 identifie correctement l'auto-organisation : la créativité et l'exploration s'épanouissent lorsque les équipes s'approprient les décisions. L'option 4 illustre correctement l'auto-organisation : les équipes résolvent leurs conflits internes sans intervention externe, maintenant ainsi leur dynamique. L'option 1 reflète un management de type commande-et-contrôle, et non l'auto-organisation. L'option 3 est incomplète — savoir quoi faire est nécessaire mais pas suffisant pour une véritable auto-organisation.

Les quatre options (0, 1, 2, 3) sont correctes. Le Guide Scrum identifie que Scrum aide les équipes à faire face à : la complexité et l'imprévisibilité des exigences (A), la stabilité et la complexité technologiques (B), les compétences et les relations au sein de l'équipe (C), ainsi que le calendrier de réalisation des travaux (D). Les options E et F ne correspondent pas à des risques adressés par Scrum — les structures de gouvernance et les incitations RH sont en dehors du périmètre de Scrum.

Le Scrum Master doit enseigner aux équipes à s'auto-organiser avec les compétences nécessaires pour créer des Incréments intégrés de manière autonome. Le Scrum Master ne coordonne pas le travail directement ; il facilite plutôt les conditions permettant aux équipes de se coordonner elles-mêmes. Les options A, C et D centralisent de manière inappropriée la coordination ou créent une synchronisation artificielle, violant ainsi le principe d'auto-organisation de Scrum.

Correct : Options 1 et 3 - Ces limites favorisent l'auto-organisation : les événements timeboxés créent des opportunités régulières d'inspection et d'adaptation, tandis que l'exigence de produire un Increment potentiellement livrable à chaque Sprint impose l'intégration et la complétude. L'option 2 contredit l'auto-organisation en créant des silos fonctionnels ; l'option 4, bien que constituant une bonne pratique, ne définit pas explicitement les limites de l'auto-organisation.

Les principaux bénéfices de l'auto-organisation sont une créativité accrue, la responsabilité individuelle et l'engagement (option 4). Les équipes auto-organisées ressentent un sentiment d'appartenance et d'autonomie, ce qui favorise l'innovation et la motivation intrinsèque. Les options 1 à 3 mettent l'accent sur la conformité ou les résultats, qui sont des effets secondaires et non des bénéfices primaires. L'auto-organisation s'appuie fondamentalement sur les valeurs Scrum que sont l'engagement et le focus.

Réponse : Les critères d\'entrée et de sortie sont un moyen principal d\'obtenir des ressources adéquates..
Explication : C est correct car les critères d\'entrée et de sortie sont des portes de qualité objectives pour les transitions de niveau et la prise de décision, non des mécanismes destinés à sécuriser les ressources. Ils spécifient des conditions mesurables soutenant les décisions arrêt/go et protègent les activités en aval.

Réponse : En fournissant un atelier sur les techniques de conception de tests.
Explication : Un atelier sur les techniques de conception de tests remédie directement à la faible efficacité de détection des défauts en dotant les testeurs de méthodes systématiques et répétables pour dériver des cas de test de meilleure qualité. Les techniques pratiques (partitionnement des équivalences, analyse des valeurs limites, tables de décision, transitions d\'état, techniques d\'appairage) améliorent la couverture et augmentent la probabilité de détection des défauts.

Réponse : Inspections.
Explication : Les inspections (B) sont les moins appropriées car c\'est une technique d\'examen statique, axée sur les défauts, destinée à trouver des non-conformités dans les produits de travail plutôt qu\'à identifier proactivement les risques projet et produit. Les inspections utilisent des listes de contrôle et une approche orientée détection de défauts, tandis que l\'identification des risques nécessite une exploration prospective des incertitudes futures.

Réponse : Organiser une réunion avec la direction générale pour qu\'elle aborde l\'importance d\'une bonne qualité de test pour ce projet.
Explication : D est correct car l\'appui visible de la direction générale élève la priorité organisationnelle des tests, fournit une reconnaissance et supprime les obstacles systémiques. Cela augmente la signification de la tâche et aligne l\'effort individuel avec les objectifs organisationnels, motivant durablement l\'équipe.

Réponse : Pourcentage de couverture des exigences.
Explication : B est correct car le pourcentage de couverture des exigences quantifie directement l\'adéquation des tests par rapport à l\'objectif déclaré de valider que le système satisfait ses exigences. L\'efficacité du test dans un contexte piloté par les exigences repose sur la mesure objective de la complétude de la couverture des exigences et de la détection des non-conformités.

Réponse : Portabilité.
Explication : C est correct car la portabilité est un attribut non-fonctionnel de faible priorité pour un système de surveillance médicale critique pour la sécurité, normalement lié à des piles matériel/système d\'exploitation certifiées. La disponibilité, la sécurité et la fiabilité ont un impact direct sur le risque patient et les preuves réglementaires.

Réponse : Les développeurs perdent le sens des responsabilités et les testeurs indépendants peuvent devenir un goulot d\'étranglement..
Explication : Le test indépendant sépare la vérification du développement, ce qui peut diminuer le sens de la responsabilité des développeurs tandis que la coordination des tests et le triage des incidents se concentrent dans une équipe distincte qui peut devenir un goulot d\'étranglement processus.

Réponse : Clôture du projet de test.
Explication : D est correct car la phase de clôture du projet de test produit le rapport de synthèse formelle, les artefacts de retours d\'expérience et les métriques consolidées qui constituent les principales entrées utilisées pour piloter et prioriser l\'amélioration du processus de test.

Réponse : Pourcentage des exigences métier exercées.
Explication : La mesure la plus appropriée de couverture de test pour un rapport de progression métier hebdomadaire est le pourcentage des exigences métier exercées. Cette métrique s\'aligne directement avec les priorités métier : valider que le logiciel remplit son objectif et fournit une valeur tangible aux parties prenantes.

Réponse : Cela peut servir à renforcer leur confiance dans le système.
Explication : C est correct car impliquer les utilisateurs lors de l\'exécution renforce principalement leur confiance et leur acceptation en validant le comportement du système par rapport aux attentes opérationnelles réelles. D\'un point de vue avancé de gestion des tests, la participation des utilisateurs est une intervention d\'engagement des parties prenantes qui réduit le risque de déploiement.

A. Enregistrer l'erreur côté serveur et retourner un résultat vide pour ne pas perturber le modèle — Incorrect. Cela masque les informations critiques sur l'échec, rendant impossible pour l'agent de distinguer « aucune donnée » d'une « défaillance système ». B. Lever une exception depuis le gestionnaire d'outil afin que le framework agent puisse la capturer et la journaliser — Incorrect. Les exceptions sont utiles en interne, mais l'agent a toujours besoin d'une réponse structurée de l'outil ; les exceptions brutes ne propagent pas de manière fiable un contexte utile au modèle. C. Retourner le message d'erreur dans le contenu du résultat de l'outil avec le flag isError défini à true — Correct. Il s'agit du modèle MCP approprié : l'outil signale explicitement l'échec en utilisant isError: true, tout en fournissant un message d'erreur lisible afin que l'agent puisse décider de réessayer, d'escalader ou d'informer l'utilisateur. D. Retourner une réponse de succès avec un champ « status » indiquant le type d'erreur — Incorrect. Cela est trompeur car cela traite les échecs comme des réponses réussies, ce qui perturbe le raisonnement en aval et l'orchestration des outils.

A. La fenêtre de contexte du modèle a été dépassée par la longueur de la conversation — Incorrect. Cela ne se produirait que lors de conversations très longues, alors que le problème apparaît dès les premiers échanges. B. L'API Claude nécessite un paramètre session_id que vous n'avez pas configuré — Incorrect. Il n'existe pas de session_id obligatoire ; le contexte doit être géré explicitement par l'application. C. Claude nécessite une connexion à une base de données vectorielle pour maintenir la mémoire de la conversation — Incorrect. Une base de données vectorielle est optionnelle pour la récupération d'informations, elle n'est pas requise pour la mémoire conversationnelle de base. D. Votre application n'inclut pas les messages précédents dans le tableau messages — Correct. Claude ne conserve aucune mémoire entre les appels ; si les messages précédents ne sont pas inclus, il ne peut pas se souvenir des préférences exprimées antérieurement par l'utilisateur.

B. Les détails de la commande sont ajoutés à la conversation et le modèle raisonne sur l'action à entreprendre. Correct. Dans une boucle agentique, les résultats des outils (comme « acheté il y a 45 jours ») sont réinjectés dans le contexte du modèle, et celui-ci réévalue la situation de manière dynamique. Il décide ensuite s'il convient de procéder avec process_refund, d'escalader vers un humain, ou d'entreprendre une autre action en fonction de la politique et des informations mises à jour. Pourquoi les autres réponses sont incorrectes : A. Séquence d'outils fixe planifiée dès le départ — Incorrect. Les systèmes agentiques ne sont pas des flux de travail statiques ; ils s'adaptent après chaque observation. C. Arbre de décision préconfiguré — Incorrect. Il s'agit d'une automatisation basée sur des règles, et non d'un raisonnement piloté par un LLM. D. La couche d'orchestration achemine automatiquement le prochain appel d'outil — Incorrect. Cela supprime le rôle de raisonnement du modèle et le transforme en un routage déterministe.

A. L'agent coordinateur reçoit la sortie de l'agent de recherche web et inclut les résultats pertinents dans le prompt lors de l'invocation de l'agent d'analyse de documents. Correct. Cela suit le modèle d'orchestration standard où le coordinateur gère tous les flux de données, en transmettant explicitement les sorties entre les sous-agents. B. Les agents communiquent via une file de messages orientée événements, l'agent d'analyse de documents s'abonnant aux événements de fin de recherche web. Incorrect. Cela introduit une complexité d'infrastructure inutile et ne correspond pas au modèle d'orchestration d'agents habituel. C. L'agent de recherche web invoque directement l'agent d'analyse de documents, en utilisant les sources découvertes comme paramètres. Incorrect. Les sous-agents ne doivent pas s'invoquer directement entre eux ; cela rompt le contrôle centralisé et la traçabilité. D. Les deux agents accèdent à un espace mémoire partagé où l'agent de recherche web écrit les résultats et l'agent d'analyse de documents les lit. Incorrect. Bien que cela soit possible dans des systèmes avancés, ce n'est pas l'approche standard ou la plus simple ; cela ajoute de la complexité sans nécessité évidente dans les pipelines classiques.

A. Des URLs sur lesquelles les utilisateurs peuvent cliquer pour ouvrir le document dans leur navigateur. Incorrect. Les URLs sont utiles pour les utilisateurs, mais ne sont pas idéales pour les agents effectuant des workflows en plusieurs étapes nécessitant un référencement fiable et des opérations supplémentaires. B. Des données structurées contenant les identifiants de documents et les métadonnées pour chaque résultat. Correct. Cela permet à l'agent de référencer de manière programmatique des documents spécifiques (via des identifiants) à travers plusieurs étapes, rendant les workflows tels que les requêtes de suivi ou la récupération de documents précis et fiables. C. Un tableau JSON de titres de documents extraits des résultats de recherche. Incorrect. Les titres seuls sont ambigus et ne constituent pas des identifiants stables, ce qui rend difficile pour les agents d'agir de manière fiable sur des documents spécifiques. D. Des descriptions plus détaillées et lisibles par l'humain, incluant la taille et les auteurs. Incorrect. Utile pour les utilisateurs, mais toujours non structuré et non adapté à des opérations précises d'agents en plusieurs étapes.

A. Définir la température à 0 pour éliminer la variabilité des sorties et garantir un formatage cohérent — Incorrect. Cela réduit l'aléatoire mais ne corrige pas les erreurs d'extraction systématiques comme la mauvaise interprétation des plages (« 2 à 3 »). B. Envoyer une requête de suivi incluant l'erreur de validation, en demandant au modèle de corriger sa sortie — Correct. Fournir un retour de validation précis permet au modèle de corriger le problème exact (par exemple, convertir « 2 à 3 » en un nombre flottant valide), rendant la récupération très efficace. C. Pré-traiter les documents sources pour standardiser les formats problématiques avant de les envoyer à l'extraction — Incorrect. Utile dans certains cas, mais pas évolutif ni suffisant pour gérer la diversité des variations du monde réel. D. Mettre en place un pipeline secondaire utilisant un modèle de niveau supérieur pour retraiter les documents qui échouent à la validation — Incorrect. Plus coûteux et inutile — la correction ciblée est plus efficace et plus performante.

A. Mettre en œuvre une déduplication sémantique pour identifier et supprimer les informations redondantes dans les résultats RAG accumulés et les tours de conversation — Incorrect. Cela réduit la redondance, mais ne résout pas le problème central de l'accumulation non bornée du contexte RAG. B. Mettre en œuvre une fenêtre glissante pour les résultats RAG des 2 à 3 dernières requêtes tout en préservant l'historique de la conversation — Correct. Cela répond directement au problème de saturation du contexte en limitant la croissance du RAG tout en maintenant la continuité de la conversation. C. Réaffecter le budget de contexte en faveur des résultats RAG tout en réduisant l'allocation de l'historique de conversation — Incorrect. Cela détériore la cohérence en sacrifiant le contexte conversationnel. D. Compresser tous les résultats RAG en un document de synthèse consolidé qui se met à jour de manière incrémentielle après chaque récupération — Incorrect. Cela peut entraîner une perte d'informations et une dérive du résumé, en particulier sur de nombreux tours de conversation.

A. Retourner une liste de vols vide comme si la recherche avait réussi mais n'avait trouvé aucun vol correspondant. Incorrect. Cela masque l'échec et induit le système en erreur en lui faisant croire qu'aucun vol n'existe, ce qui peut conduire à des conclusions incorrectes. B. Enregistrer l'erreur en interne et retourner une réponse vide, laissant le modèle continuer sans les données de vols. Incorrect. Cela supprime également le signal d'échec, empêchant l'agent de prendre des mesures correctives. C. Retourner un message d'erreur dans le résultat de l'outil expliquant que le service est temporairement indisponible. Incorrect. Bien que transparent, cela ne tente pas à lui seul une récupération et peut dégrader inutilement l'expérience utilisateur. D. Réessayer automatiquement la requête jusqu'à cinq fois avec un backoff exponentiel avant de retourner les résultats à l'agent. Correct. Il s'agit de l'approche la plus efficace : elle gère les pannes transitoires de manière élégante, améliore la fiabilité et ne remonte les erreurs que si les tentatives échouent.

A. Votre invite système doit contenir des instructions explicites demandant à Claude de mémoriser les informations des échanges précédents. Incorrect. Les instructions seules ne confèrent pas de mémoire au modèle — le contexte doit être fourni à chaque requête. B. Vous n'incluez pas les messages précédents dans chaque requête API — l'API sans état ne conserve pas l'historique de la conversation. Correct. Claude est sans état. Si les messages précédents ne sont pas transmis dans la requête, il n'a aucune connaissance du vocabulaire antérieur. C. Vous devez activer la persistance de la conversation en transmettant un paramètre d'identifiant de session à chaque appel API. Incorrect. Il n'existe pas d'identifiant de session requis — la mémoire est gérée en incluant les messages passés. D. La fenêtre de contexte du modèle est saturée, ce qui entraîne la perte du contenu des échanges précédents. Incorrect. Cela ne se produirait que lors de conversations très longues, et non dans des scénarios de tests initiaux classiques.

A. Créer une nouvelle playlist « Focus » avec des titres sélectionnés et notifier l'utilisateur qu'elle est prête. Incorrecte. Cette option suppose une intention et risque d'effectuer la mauvaise action, ce qui frustre les utilisateurs. B. Poser une question de clarification sur le type d'action : écouter maintenant ou configurer pour plus tard. Correcte. Cela minimise les frictions tout en résolvant l'ambiguïté, permettant à l'assistant d'effectuer rapidement la bonne action. C. Lancer immédiatement des titres populaires de concentration et laisser l'utilisateur rediriger si nécessaire. Incorrecte. Agit prématurément et peut ne pas correspondre à l'intention de l'utilisateur. D. Démarrer la configuration des préférences en posant des questions sur les genres, le tempo et les artistes. Incorrecte. Trop lourd en amont — ajoute des frictions inutiles avant de confirmer l'intention.