Ne découvrez pas l'examen
le jour J

Réponse : AWS Artifact.
Explication : AWS Artifact permet d’accéder à tous les documents de conformité, d’accord et d’audit avec AWS.

Réponse : Instances Spot.
Explication : Les Spot Instances sont les plus économiques pour les traitements batch ou flexibles, sans nécessité de disponibilité continue.

Réponse : B) Télécharger les rapports à partir d'AWS Artifact. AWS Artifact est la ressource centrale pour la documentation de conformité AWS, incluant les rapports SOC, les documents de conformité PCI DSS, les certifications ISO et autres rapports d'audit qui peuvent être téléchargés à la demande sans intervention manuelle.

Réponse : Facturation à la seconde, minimum une minute.
Explication : AWS facture les instances Linux EC2 à la seconde, après la première minute de lancement (pour une grande flexibilité budgétaire).

Réponse : Tous les comptes bénéficient de la remise horaire sur les instances réservées.
Explication : Grâce à la facturation consolidée, tous les comptes d’une organisation bénéficient des remises sur les instances réservées achetées.

Réponse : Contrôles environnementaux / Contrôles physiques.
Explication : AWS gère l’environnement physique et les contrôles associés, le client n’a pas à s’en soucier.

Réponse : Amazon Inspector. Explication : Amazon Inspector est un service automatisé de gestion des vulnérabilités qui analyse continuellement les instances EC2 pour détecter les vulnérabilités de logiciels et l'exposition réseau non intentionnelle. Il contrôle également le respect des bonnes pratiques de sécurité AWS.

Réponse : Amazon Aurora. Explication : Amazon Aurora est une base de données relationnelle entièrement gérée, compatible avec MySQL et PostgreSQL, conçue pour le cloud. Elle offre jusqu'à 5 fois la performance du MySQL standard avec la simplicité et la rentabilité des bases de données open source.

Réponse : On-Demand Instances. Pour une charge de travail de 2 mois avec zéro tolérance aux temps d'arrêt, les instances On-Demand sont les plus appropriées. Les Reserved Instances nécessitent des engagements de 1 à 3 ans ; les Spot Instances peuvent être interrompues. On-Demand offre un paiement à l'utilisation avec disponibilité garantie.

Réponse : AWS Direct Connect et AWS VPN.
Explication : Direct Connect et VPN sont utilisés pour connecter de manière sécurisée des réseaux sur site au cloud AWS dans une architecture hybride.

Amazon Titan Multimodal Embeddings via Bedrock : modèle spécialisé qui génère des vecteurs numériques unifiés à partir de texte ET d'images simultanément, permettant la recherche vectorielle cross-modal. Contrairement à Rekognition (détection d'objets), JumpStart (notebooks ML), ou OpenSearch Serverless (stockage vecteurs), Titan produit directement les embeddings multi-modaux nécessaires pour comparer texte et images dans un espace vectoriel commun.

Average Response Time : métrique mesurant la latence moyenne entre une requête et la réponse du modèle. Elle est critique en production car elle impacte directement l'expérience utilisateur et la viabilité économique (coûts infrastructure, satisfaction client). À différencier de l'accuracy (pertinence prédictions) : un modèle peut être précis mais trop lent.

Pipeline RAG - Ordre critique des étapes : L'ingestion précède le chunking (sinon pas de documents à traiter), suivi de l'embedding (conversion texte→vecteurs) et du stockage vectoriel (indexation pour recherche). Cet ordre est irréversible : on ne peut générer d'embeddings sans chunks ni les stocker sans les embeddings d'abord.

Asynchronous Inference : mode optimal pour payloads volumineux (jusqu'à 1 Go) et inférences longues (~1h). Le client soumet la requête et reçoit une URL S3 pour récupérer le résultat ultérieurement, sans timeout. Real-time suppose des réponses rapides, Serverless a des limites de durée (15 min), Batch Transform convient aux données statiques, pas aux requêtes en temps quasi-réel.

Accuracy (exactitude) est la proportion de prédictions correctes parmi l'ensemble des prédictions : (Vrais Positifs + Vrais Négatifs) / Total. La Precision mesure la fiabilité des prédictions positives, le Recall la capacité à détecter tous les cas positifs, et le F1-Score est la moyenne harmonique de Precision et Recall — utile quand les classes sont déséquilibrées.

Défense en profondeur contre l'injection de prompts : Les templates sécurisés et délimiteurs explicites créent une barrière structurelle entre instructions système et données utilisateur, empêchant leur fusion malveillante. L'IAM least-privilege limite les dégâts post-injection, mais ne prévient pas l'attaque elle-même. La température affecte la créativité, non la sécurité. L'accès public aux données aggrave les risques.

Textract + Knowledge Base/RAG : Textract extrait le texte des manuels PDF via OCR, tandis que RAG indexe ces données pour les récupérer intelligemment lors des requêtes. Cela évite de surcharger le prompt (inefficace) et permet des réponses précises sans zéro-shot systématique (contexte nécessaire).

Rekognition + Textract : Rekognition détecte et classifie les objets (étiquettes, codes-barres). Textract extrait le texte visible sur ces objets (numéros de série, prix, instructions). Workflow multimodal complet pour enrichir les données produit automatiquement.

SageMaker JumpStart : hub de modèles fondamentaux (FM) et solutions sectorielles pré-entraînés, déployables instantanément dans ton VPC avec code d'exemple intégré. Contrairement à PartyRock (playground sans VPC), JumpStart offre déploiement production sécurisé. À la différence de SageMaker Endpoints (configuration manuelle), JumpStart automatise l'infrastructure et fournit templates prêts à l'emploi pour ML/GenAI.

Les modèles Amazon Titan sont développés par AWS et disponibles nativement sur Bedrock. Titan Text génère et résume du texte en plusieurs langues. Titan Embeddings convertit du texte en vecteurs numériques pour la recherche sémantique et les pipelines RAG. Titan Image Generator crée des images depuis des descriptions textuelles. Titan n'inclut pas nativement de synthèse vocale (c'est Amazon Polly) ni de transcription (c'est Amazon Transcribe).

Sprint Increments: A Sprint can produce multiple potentially releasable Increments from different Product Backlog Items. Each completed item becomes an Increment; their combined sum represents the total Sprint output presented at the Sprint Review, not a single monolithic deliverable.

Answer: True.
Explanation: A single Product Backlog per product is a core Scrum principle. Multiple Scrum Teams working on the same product all draw from one ordered Product Backlog managed by one Product Owner.

Definition of Done as Quality Gate: The Definition of Done establishes mandatory quality standards that every Increment must meet before release. An Increment failing to meet these standards cannot be presented at Sprint Review or released, regardless of stakeholder requests or exceptions. This ensures product quality and prevents technical debt accumulation.

The Sprint Retrospective is the formal event for the Scrum Team to inspect itself — how they work together, their processes, tools, and relationships — and create a plan for improvements. Sprint Review focuses on inspecting the Increment and adapting the Product Backlog. Daily Scrum inspects progress toward the Sprint Goal. Sprint Planning establishes the Sprint Goal and plan.

Scrum Master's Organizational Role: The Scrum Master serves the organization by leading and coaching it through Scrum adoption, helping teams and stakeholders understand Scrum principles and practices. This differs from operational tasks like sprint planning or budget management, which belong to other roles.

Answer: Teach them it is their responsibility to work with other teams to create an integrated Increment.
Explanation: The Scrum Master coaches teams on self-management and integration. Multiple teams must coordinate to produce a single, integrated Increment; this is a team responsibility, not the SM's job to coordinate for them.

Answer: False.
Explanation: Every Increment must be potentially releasable (meeting the DoD), but the Product Owner decides whether to actually release. Release decisions are business decisions, not Sprint obligations.

Definition of Done: A formal checklist defining when an Increment meets quality standards. It ensures consistency, prevents incomplete work from being considered "done," and enables teams to maintain predictable velocity and product quality across sprints.

Answer: 15 minutes.
Explanation: The Daily Scrum is time-boxed to 15 minutes regardless of team size. This keeps the meeting focused on coordination for the next 24 hours rather than detailed problem-solving.

Product Goal Evolution Through Empiricism: The Product Goal is not static but represents the long-term vision that guides the product. As the Scrum Team inspects product increments, gathers stakeholder feedback, and learns about market conditions, user needs, and technical feasibility, the Product Goal can and should evolve. This reflects empiricism—one of Scrum's core pillars—where the team continuously adapts based on evidence and learning. However, the Product Goal provides strategic direction and should not change frivolously; meaningful changes occur when significant new knowledge emerges that justifies revisiting the vision. This distinguishes it from Sprint Goals, which remain fixed within a Sprint, and from the Product Backlog, which is refined continuously. Understanding that the Product Goal can evolve ensures teams remain responsive to reality while maintaining strategic focus.

Sprint Planning Timebox: The Scrum Guide defines maximum timeboxes for Scrum events that scale proportionally with Sprint length. For a one-month (4-week) Sprint, Sprint Planning is timeboxed at 8 hours maximum. This allows the Scrum Team sufficient time to discuss the Product Goal, select items from the Product Backlog, and create a realistic Sprint Goal and plan. Shorter Sprints have proportionally shorter timeboxes—for example, a two-week Sprint has a 4-hour timebox. The 8-hour limit ensures focused, productive planning without excessive deliberation, while \"no limit\" would violate Scrum\'s emphasis on timeboxing and efficiency.

Product Backlog Ordering: The PO is solely accountable for ordering items to maximize value delivery and team flow. This prioritization reflects stakeholder needs, product strategy, and dependencies—not technical concerns or team preferences. Ordering differs from estimation (team's role) and sprint planning (Scrum Team's role).

Sprint Planning requires a clear enough Product Backlog for the Developers to create a Sprint forecast they are confident in. If top-ordered items are vague, poorly sized, or have unclear acceptance criteria, Developers cannot reliably commit to a Sprint Goal. The Scrum Master should help prevent this through regular refinement — but canceling Sprint Planning is not standard practice; instead, the team should refine in the moment or pick items that are sufficiently clear.

Answer: The Developers.
Explanation: The Developers select the number of items based on their own assessment of their capacity and understanding of the work.

The Sprint Retrospective is specifically designed for the Scrum Team to inspect their processes and interactions, identifying what went well and what could be improved in future Sprints. This is the only answer that accurately describes the purpose of the Retrospective event. The other options describe different Scrum events or activities: demoing the Increment happens at the Sprint Review, the Product Owner manages backlog prioritization continuously (not during Retrospective), and the Scrum Master does not assign tasks—the Development Team self-organizes their work.

Answer: Inspection/adaptation opportunities are lost; Sprint Backlog becomes inaccurate; impediments raised more slowly.
Explanation: The Daily Scrum's daily cadence is essential for rapid adaptation in complex work. Longer gaps between inspections allow plans to drift from reality and impediments to compound before they are addressed.

Answer: The Product Backlog is ordered; it is available to all stakeholders.
Explanation: Transparency of the Product Backlog requires that it is properly ordered (so priorities are visible) and accessible to all stakeholders (so everyone can see what work is planned and in what order).

Scrum Framework Flexibility: The Scrum Guide prescribes roles, events, and artifacts but does not mandate specific tools like burndown charts. Product Owners may use burndown charts, burnup charts, or other metrics to track progress, depending on team needs and context. What matters is transparency and informed decision-making, not the tool itself.

Product Backlog Transparency: The Product Owner is solely accountable for maintaining a clear, well-organized, and understandable Product Backlog that all stakeholders—including the Scrum Team, executives, and customers—can comprehend. This transparency enables informed decision-making, reduces misunderstandings, and ensures alignment on priorities. While the Scrum Master facilitates Scrum processes and Developers implement items, neither bears responsibility for backlog clarity. The Product Owner must continuously refine, order, and communicate backlog items to create shared understanding of what will be built and why.

Réponse : Faciliter une discussion ouverte pour trouver une solution collaborative. Le rôle du chef de projet est de médiateur.

Gestion des changements formelle : Toute exigence supplémentaire doit être évaluée pour son impact sur la triple contrainte (délai, coût, qualité). L'analyse permet au comité de pilotage de prendre une décision éclairée : accepter le changement en ajustant les contraintes, ou le refuser. Cela évite les surcharges non contrôlées et protège le projet, contrairement à l'intégration immédiate qui génère des dérives ou au rejet brutal qui mécontente le client.

Tableau de bord avec KPI : outil centralisé affichant en temps réel les indicateurs de performance (délais, coûts, qualité, risques). Contrairement aux réunions improvisées (réactives, non structurées), aux emails non formalisés (manque de traçabilité) ou aux rapports financiers seuls (vision partielle), il offre transparence, visibilité globale et aide à la prise de décision stratégique continue.

Réponse : D. Assurer une intégration continue et fréquente. Cela permet un retour rapide et évite l’accumulation de problèmes.

Capitalisation des leçons apprises en clôture de projet : Les leçons apprises constituent un processus fondamental du PMBOK 7e édition, intégré dans la phase de clôture du projet. Il s'agit de documenter systématiquement les expériences, succès et échecs rencontrés pour créer une mémoire organisationnelle durable. Cette pratique permet d'identifier les bonnes pratiques qui ont fonctionné, de reconnaître les pièges à éviter et de constituer un référentiel d'expériences collectives. À travers cette capitalisation, l'organisation améliore progressivement sa maturité des processus, renforce ses capacités managériales et augmente le taux de réussite des projets futurs. Contrairement à l'option "augmenter automatiquement le budget", qui n'a aucun fondement logique, ou à une simple documentation passive, la vraie valeur réside dans la transformation active de l'expérience en amélioration continue. Cette approche s'aligne avec les principes agiles et lean de l'amélioration continue, créant un cycle vertueux où chaque projet contribue à l'excellence organisationnelle suivante.

Planification continue et adaptative dans le PMBOK 7 : Le PMBOK 7e édition représente une évolution majeure par rapport aux éditions précédentes en adoptant une approche plus flexible et itérative de la gestion de projet. Contrairement au modèle traditionnel en cascade où un plan détaillé était élaboré une seule fois au début du projet et devait être respecté rigidement, le PMBOK 7 reconnaît que les projets évoluent dans un environnement incertain et complexe. La planification est donc recommandée comme un processus continu tout au long du cycle de vie du projet, permettant d'ajuster les objectifs, les ressources et les stratégies en fonction des apprentissages et des changements de contexte. Cette approche s'aligne avec les principes agiles et hybrides, où la planification détaillée se fait par incrément ou itération, plutôt que de prévoir tous les détails à l'avance. Cela permet une meilleure réactivité face aux risques, aux opportunités et aux retours des parties prenantes, garantissant que le plan reste pertinent et réalisable.

Gestion interculturelle dans les projets internationaux : La sensibilité culturelle est la capacité à reconnaître, respecter et valoriser les différences de valeurs, normes et modes de communication entre les membres d'équipes multiculturelles. Dans le contexte du PMBOK 7e édition, qui insiste sur les performances et l'adaptabilité, cette approche est fondamentale pour créer un environnement de collaboration productive. L'inclusion active signifie impliquer tous les membres dans la prise de décision et valoriser leurs perspectives uniques, ce qui renforce l'engagement et la qualité des décisions. L'adaptation des méthodes de communication est cruciale : certaines cultures privilégient la communication directe tandis que d'autres préfèrent l'indirect ; certaines valorisent les réunions synchrones, d'autres nécessitent du temps pour la réflexion asynchrone. En reconnaissant ces différences et en ajustant les processus (horaires des réunions, formats de documentation, canaux de feedback), le chef de projet maximise la compréhension mutuelle et minimise les malentendus. Pourquoi cette réponse est correcte : Elle aligne avec les principes modernes de leadership serviteur et d'équipes distribuées du PMBOK 7. Elle crée un environnement psychologiquement sûr où chacun peut contribuer pleinement, amél

Approche adaptative (agile) en environnement incertain : En contexte hautement incertain, l'approche adaptative permet une gestion proactive de l'incertitude par des cycles itératifs courts (sprints), des réévaluations régulières des exigences et un feedback continu des parties prenantes. Contrairement à l'approche prédictive qui suppose une définition complète du scope en amont, l'adaptative accepte le changement comme normal et le capitalise pour améliorer continuellement le produit. Le PMBOK 7e édition reconnaît que les environnements complexes et imprévisibles requièrent une flexibilité accrue. Les itérations courtes réduisent le risque d'écart entre les attentes et la livraison, tandis que le feedback régulier permet d'ajuster rapidement les priorités. L'approche prédictive (réponse 2) impose un plan rigide inadapté à l'incertitude. L'approche hybride sans feedback (réponse 3) combine les avantages sans en tirer parti. L'absence de planification (réponse 4) crée du chaos. Seule l'approche adaptative structure l'incertitude en l'intégrant dès la conception du projet.

La valeur business correspond aux bénéfices mesurables (financiers ou non) que le projet apporte à l’organisation et aux parties prenantes.

Cette question correspond à l\'objectif d\'apprentissage FL-4.1.1 (K2) - Distinguer les  techniques de test boîte noire, boîte blanche et basées sur l\'expérience.
● a) Faux - Cette combinaison mélange des techniques basées sur l\'expérience (tests exploratoires) avec des techniques de test boîte noire (analyses de valeurs limites et tests par paires). Les tests par paires et les analyses de valeurs limites sont des
techniques systématiques basées sur les spécifications, pas sur l\'expérience.
● b) Correct - Cette combinaison contient uniquement des techniques basées sur l\'expérience :

○ Tests basés sur l\'intuition : utilisation de l\'expérience et de l\'intuition du testeur pour identifier les zones problématiques
○ Tests exploratoires : apprentissage, conception et exécution des tests simultanément
○ Tests basés sur les check-lists : utilisation de listes de contrôle développées à partir de l\'expérience pour guider les tests
● c) Faux - Cette combinaison contient principalement des techniques de test boîte blanche (tests de chemins et tests de couverture d\'instructions), avec une technique basée sur l\'expérience (tests basés sur les défauts). Les tests de structure interne sont clairement des techniques boîte blanche.
● d) Faux - Cette combinaison mélange des techniques de test boîte noire (partitionnement d\'équivalence), des techniques basées sur l\'expérience (tests basés sur les risques), et des techniques de test boîte blanche (tests de structure de
contrôle). Ce n\'est donc pas une liste de techniques uniquement basées sur
l\'expérience.

Cette question correspond à l’objectif d\'apprentissage FL-4.2.2 (K3) – Appliquer l’analyse des valeurs limites pour identifier les cas de test.
● a) Faux → 23 et 27 : limites extérieures uniquement
● b) Faux → 24 et 26 : limites valides, pas d’extérieures
● c) Correct → 23, 24, 26, 27 : couvre toutes les limites valides et invalides
● d) Faux → 22, 24, 26, 28 : trop éloigné des limites directes

Cette question correspond à l\'objectif d\'apprentissage FL-4.5.1 - Expliquer comment rédiger
des User Stories en collaboration avec des développeurs et des représentants du métier.
● a) Correct → Ce cas de test est directement aligné avec le besoin métier (voir les produits les mieux notés) et répond à un critère d’acceptation de la User Story (trivdécroissant).
● b) Faux → Ce changement de couleur n’est pas mentionné dans la User Story.
c) Faux → Le comportement sans JavaScript n’est pas un critère couvert, et relève de tests techniques spécifiques.
d) Faux → L’ouverture de la fiche produit n’est pas liée à la fonctionnalité de tri décrite dans la User Story

Cette question correspond à l’objectif d’apprentissage FL-3.2.1 (K1) – Identifier les
avantages d’un feedback précoce et fréquent de la part des parties prenantes.

● a) Faux → L’automatisation des tests est indépendante du moment où le feedback est reçu.
● b) Correct → Obtenir des retours rapides des parties prenantes permet d’identifier plus tôt les erreurs, les imprécisions ou les malentendus liés aux exigences ou aux spécifications → cela réduit le coût de correction.
● c) Faux → Le feedback n’a pas pour but de réduire le besoin d’exploration, mais d’améliorer la compréhension dès le début.
● d) Faux → Le retour d’information ne supprime pas les changements, mais facilite leur gestion en les identifiant plus tôt.

Cette question correspond à l’objectif d’apprentissage FL-1.5.2 (K1) – Rappeler les avantages de l’approche équipe intégrée.
● a) Faux → Une équipe intégrée favorise la collaboration, et non l’indépendance totale des testeurs.

● b) Correct → L’approche équipe intégrée facilite les échanges entre développeurs, testeurs et autres parties prenantes, améliorant ainsi la qualité du produit final.
● c) Faux → Même dans une équipe intégrée, la planification des tests reste essentielle pour garantir une couverture adéquate.
● d) Faux → Les tests de régression restent nécessaires pour s’assurer que les corrections n’ont pas introduit d’autres défauts.

Chaque condition a 2 résultats possibles → cela donne :
● Condition 1 : 2 branches
● Condition 2 : 2 branches

Total = 4 branches
La bonne réponse est la réponse c)

Cette question correspond à l\'objectif d\'apprentissage FL-2.2.3 (K2) – Distinguer les tests de confirmation des tests de régression.

La bonne réponse est c) 1A, 2B, 3A, 4B.

● 1A) Correct → Le test de confirmation (ou \"retest\") vérifie qu’un défaut corrigé est effectivement résolu.
● 2B) Correct → Le test de régression s’assure que la correction ou une nouvelle fonctionnalité n’a pas causé d’effets secondaires indésirables.
● 3A) Correct → Les tests de confirmation ciblent spécifiquement la correction appliquée et ne testent pas d’autres parties du système.
● 4B) Correct → Les tests de régression sont exécutés à une échelle plus large pourvérifier que le reste du système fonctionne toujours correctement.

Cette question correspond à l’objectif d\'apprentissage FL-1.4.5 (K2) – Comparer les rôles impliqués dans les tests.

La bonne réponse est d) 1A, 2B, 3C, 4D
● 1A) : Correct : Le testeur exécute, observe, consigne
● 2B) : Correct : L’analyste métier définit les attentes et exigences
● 3C) : Correct : Le développeur corrige les défauts
● 4D) : Correct : Le responsable planifie, suit, et coordonne

Cette question correspond à l\'objectif d\'apprentissage FL-4.4.1 (K2) - Expliquer l\'estimation d\'erreurs.

● a) Faux → Cette réponse simplifie excessivement l\'utilisation de l\'estimation d\'erreurs en appliquant un \"seuil standard\" arbitraire de 80%. L\'estimation d\'erreurs ne se limite pas à un pourcentage fixe et ne peut pas, à elle seule, déterminer si les tests doivent être arrêtés. De plus, le calcul ignore les 40 défauts supplémentaires découverts, ce qui porterait le total à 390 défauts identifiés.
● b) Faux → Ce n’est pas une conclusion fiable. Le fait de trouver 40 défauts en deux semaines n\'indique pas nécessairement une inefficacité des tests. La détection des défauts n\'est généralement pas linéaire, et le taux peut varier selon les phases de test.
● c) Faux → L’estimation d’erreurs donne une fourchette (ici 410–480), et les 40 nouveaux défauts sont encore dans cette fourchette. Le modèle reste valide, il faut juste le réévaluer progressivement, pas le rejeter
● d) Correct → Cette réponse reflète avec précision la valeur et les limites de l\'estimation d\'erreurs. L\'estimation fournit une base quantitative pour évaluer la progression des tests, mais ne doit pas être utilisée comme seul critère de décision pour arrêter les tests. D\'autres facteurs qualitatifs comme la sévérité des défauts restants, la couverture des risques métier, et les contraintes de projet doivent également être pris en compte. Cette approche équilibrée est particulièrement importante pour un système critique comme un système d\'information sur la santé.

Cette question correspond à l’objectif d’apprentissage FL-3.1.1 (K1) - Reconnaître les types de produits qui peuvent être examinés par les différentes techniques de test statique.

● a) Faux → La revue des exigences est une activité de test statique permettant d’identifier des incohérences dans les spécifications.
● b) Faux → L’analyse statique du code est une technique statique qui permet de détecter des erreurs sans exécuter le programme.
● c) Correct → L’exécution de tests unitaires est une activité dynamique, car elle nécessite de faire fonctionner le logiciel.
● d) Faux → L’inspection formelle est une technique statique qui permet de valider la conception avant l’implémentation.

Answer: WAF (Web Application Firewall).
Explanation: A WAF inspects HTTP/S traffic and filters requests that exploit application vulnerabilities like buffer overflows, SQL injection, and XSS. It protects web applications at layer 7, which traditional firewalls cannot address.

Réponse correcte : Une Autorité de Certification (CA) a pour rôle principal d'émettre et de gérer les certificats numériques qui valident l'identité des entités (serveurs, utilisateurs, etc.). Ces certificats sont essentiels pour établir la confiance dans les communications sécurisées.

Pourquoi les autres réponses sont incorrectes : La surveillance du trafic réseau relève des IDS/IPS, pas de la CA. Le chiffrement des données est assuré par les protocoles cryptographiques (TLS/SSL), pas par la CA elle-même. La gestion des mots de passe est fonction du système d'authentification, pas de la CA.

Answer: Create a change control request.
Explanation: Production system changes — even urgent patches — should follow the change management process. Creating a change control request ensures proper approval, documentation, rollback planning, and communication before applying the patch.

Defense-in-depth (also called layered security) uses multiple overlapping security controls so that if one layer fails, additional layers still protect the asset. Example layers: physical security → network firewall → IDS/IPS → host-based firewall → antivirus → application WAF → encryption → monitoring. This mirrors medieval castle design: walls, moat, drawbridge, guards, inner walls. No single control is perfect — layering ensures redundancy. It's the opposite of security through obscurity (relying on secrecy rather than robust controls).

Physical security control: Locking computers prevents unauthorized users from accessing sensitive data, systems, or accounts while the legitimate user is away. This is a fundamental access control measure. Unlike power saving (A) or startup speed (D), locking directly protects against unauthorized access. Activity logging (B) requires authentication first.

Preventive controls: security measures implemented before incidents occur to stop threats. An acceptable use policy establishes rules and expectations upfront, preventing misuse. Unlike detective controls (identify incidents), corrective controls (fix damage), or compensating controls (alternative safeguards), preventive controls act proactively.

Answer: Side loading.
Explanation: Side loading refers to installing applications from sources outside an official app store or manufacturer's approved repository. This bypasses security vetting processes and exposes devices to malware or tampered software.

Intrusion Prevention System (IPS): An IPS actively blocks known signature-based attacks in real-time by comparing network traffic against a database of known exploit signatures. Unlike IDS (which only detects and alerts), IPS takes immediate action to prevent malicious traffic from reaching systems. ACL and DLP address access control and data loss prevention respectively, not threat detection.

Hardware-specific vulnerabilities: flaws inherent to physical components and their firmware that cannot be patched through OS updates. Outdated firmware represents a hardware vulnerability because it affects the device's core operations directly. Unlike buffer overflow (application-level), SQL injection (database query), and XSS (web application), firmware issues require hardware manufacturer patches and affect all systems using that component.

Distributed Denial of Service (DDoS): An attack flooding a target with massive traffic from multiple sources, overwhelming resources and rendering services unavailable despite being operational. The sudden traffic surge matches DDoS characteristics. ARP poisoning targets network resolution, brute force attempts credentials, and buffer overflow exploits memory—none cause service unavailability through traffic volume alone.

Azure Database for PostgreSQL : service entièrement managé par Microsoft qui héberge des bases de données PostgreSQL sans gestion d'infrastructure. Contrairement à Azure SQL Database (SQL Server), il prend en charge spécifiquement le moteur PostgreSQL open-source. Azure Cosmos DB est non-relationnel, Azure Blob Storage est du stockage d'objets.

Entrepôt de données (Data Warehouse) : système optimisé pour stocker et analyser d'énormes volumes de données historiques via des requêtes complexes. Contrairement aux bases OLTP (transactionnelles, rapides mais limitées), un data warehouse comme Azure Synapse Analytics structure les données en schémas analytiques pour explorer des tendances. Le stockage Blob Archive convient au long terme mais pas à l'analyse interactive.

Azure Stream Analytics : service spécialisé dans le traitement en temps réel de flux d'événements continus (IoT, logs, données financières). Contrairement à Data Lake Storage (stockage), Data Factory (orchestration ETL) ou Synapse Analytics (entrepôt de données), Stream Analytics ingère et analyse les données à la volée sans les persister d'abord, idéal pour alertes et décisions instantanées.

Limites transactionnelles de Cosmos DB : bien que Cosmos DB supporte les transactions ACID au niveau de la partition, il n'excelle pas dans les scénarios avec nombreuses jointures multi-tables et calculs analytiques complexes typiques des systèmes financiers. SQL Server ou PostgreSQL sont mieux adaptés pour ces besoins. Cosmos DB brille inversement pour les données non-relationnelles distribuées globalement.

Microsoft Power BI est la solution de Business Intelligence (BI) d'Azure qui permet de connecter de nombreuses sources de données (Azure SQL, Cosmos DB, Excel, Salesforce, etc.), de créer des rapports interactifs avec des visualisations (graphiques, cartes, KPIs), et de les partager via Power BI Service (cloud). Il existe en trois éditions : Desktop (gratuit, création), Pro (partage, collaboration), Premium (large diffusion, IA). Azure Synapse Analytics s'intègre directement avec Power BI pour des analyses en temps quasi-réel sur de grands volumes.

Azure Cosmos DB est une base de données NoSQL distribuée mondialement qui accepte plusieurs modèles de données (documents, clé-valeur, graphes, etc.), ce qui la rend très flexible et scalable. Contrairement à une base de données relationnelle traditionnelle, elle n'utilise pas les tables SQL classiques. Ce n'est pas un entrepôt de données colonnaire (qui optimise les analyses OLAP) ni un simple stockage d'objets fichiers, mais plutôt une solution NoSQL haute performance pour applications transactionnelles distribuées.

Base NoSQL orientée documents : stocke des données semi-structurées (JSON, XML) sans schéma fixe, idéale pour les structures variables comme les profils utilisateurs. Contrairement aux bases relationnelles (rigides avec clés étrangères), elle offre flexibilité. Différente du stockage multimédia (Blob Storage) et des transactions bancaires (bases ACID relationnelles obligatoires).

Réponse correcte : Azure Blob Storage est spécialisé dans le stockage d'énormes volumes de données non structurées (fichiers, images, vidéos, sauvegardes) avec une scalabilité quasi-illimitée et un coût optimisé. Pourquoi les autres réponses sont incorrectes : • Exécuter des requêtes SQL : C'est le rôle d'Azure SQL Database ou Azure Synapse Analytics, pas du Blob Storage. • Cacher les résultats de requêtes : Azure Cache for Redis est conçu pour le caching de performances, pas le Blob Storage. • Orchestration de conteneurs : C'est la fonction d'Azure Kubernetes Service (AKS) ou Azure Container Instances, pas du Blob Storage.

ETL (Extract, Transform, Load) est le processus d'intégration de données : Extraction depuis les sources (bases opérationnelles, APIs, fichiers), Transformation (nettoyage, normalisation, agrégation, jointure), puis Chargement dans le système cible (data warehouse, lac de données). Azure Data Factory est le service ETL/ELT natif d'Azure : il orchestre les pipelines de données via des activités configurables sans code (ou avec du code pour les transformations complexes). Azure Synapse Analytics intègre aussi des capacités ETL.

Clé primaire : colonne ou ensemble de colonnes qui identifie de manière unique chaque enregistrement dans une table. Elle empêche les doublons et les valeurs NULL, garantissant l'intégrité des données. Contrairement à une clé étrangère (qui référence une autre table), à un index (qui accélère les recherches) ou à un trigger (qui exécute des actions), la clé primaire est la seule qui assure l'unicité absolue.

Réponse : Devise de tenue de comptes par défaut
La devise de code société (Company Code Currency) est la devise dans laquelle la comptabilité est tenue pour ce code société. C'est la devise de référence pour tous les états financiers légaux de cette entité. Elle est définie lors de la création du code société et ne peut pas être modifiée après coup.

Réponse : Faux
Les sociétés d'un même groupe n'ont pas besoin de partager la même variante d'exercice pour la clôture. Chaque code société peut avoir sa propre Fiscal Year Variant, permettant des exercices fiscaux différents (ex. exercice civil vs exercice décalé). La consolidation gère ces différences.

La compensation (Clearing) est le processus qui rapproche et solde des postes ouverts (créances ou dettes) en les marquant comme « compensés ». Elle est déclenchée lorsqu'un paiement entrant (client) ou sortant (fournisseur) est reçu et rattaché à la facture correspondante. La compensation peut être automatique (programme F.13 ou app dunning) ou manuelle (F-32 client, F-44 fournisseur). Un poste compensé ne figure plus dans la liste des postes ouverts et le solde du compte collectif reflète l'encours réel.

Réponse : L’ouverture/fermeture par type de compte au niveau société.
Explication : Elle s’assigne au code société et gère les périodes par type de compte.

Réponse correcte : Le programme de paiement automatique (F110) est conçu pour traiter les éléments ouverts en générant et en postant automatiquement les documents de paiement pour les fournisseurs et les clients, selon les critères de sélection définis. Pourquoi les autres réponses sont incorrectes : La première option concerne la création de factures (processus d'achat), pas le paiement. La troisième option décrit la réconciliation bancaire (transaction F110 ne le fait pas). La quatrième option concerne les écritures récurrentes, qui utilisent un autre mécanisme (REGKE ou F.14).

Réponse : Vrai
Explication : Chaque zone calcule des valeurs selon une méthode/base/taux et peut être reliée à un ledger/ledger group pour la comptabilisation.

Réponse : Doit être rapproché et apuré ; MR11 peut aider à régulariser des écarts ; Des écritures d’ajustement peuvent être passées en fin de période.
Explication : L’objectif est de refléter correctement les réceptions et factures en suspens et d’éviter des soldes obsolètes.

Réponse : Agréger des comptes pour bilan et compte de résultat.
Explication : FSV structure le reporting financier.

Réponse : Rapprochement périodique + MR11 pour régulariser
Le compte GR/IR (Goods Receipt/Invoice Receipt) est un compte de transition entre la réception de marchandises et la réception de facture. Il doit être rapproché périodiquement. La transaction MR11 permet de régulariser les écarts résiduels (réceptions sans facture et factures sans réception) en fin de période.

Réponse : L'élément WBS ne peut pas être modifié une fois l'immobilisation capitalisée ; il est disponible pour la saisie dans la fiche immobilisation. Explication : L'activation de l'élément WBS avec les paramètres « bilan » et « identique » signifie que le WBS devient une affectation permanente des comptes pour la présentation au bilan. Une fois qu'une immobilisation est capitalisée, l'élément WBS est verrouillé pour assurer la cohérence de l'intégrité des rapports.

Le 14 juillet est la Fête nationale française, commémorant la prise de la Bastille le 14 juillet 1789, symbole du début de la Révolution française et de la fin de l'absolutisme royal. Cette date est fériée depuis la loi du 6 juillet 1880. Le 8 mai commémore la victoire des Alliés en Europe (1945). Le 11 novembre est l'armistice de 1918 (fin de la Première Guerre mondiale). Le 1er mai est la fête du Travail.

Conseil constitutionnel : instance qui garantit le respect de la Constitution française. Il contrôle que les lois votées par le Parlement sont conformes à la Constitution avant leur application, et valide la régularité des élections présidentielles et législatives. Contrairement au gouvernement (qui exécute) ou au Parlement (qui légifère), il joue un rôle de garde-fou démocratique.

Le Conseil constitutionnel est la juridiction constitutionnelle française. Il contrôle la conformité des lois à la Constitution (avant promulgation sur saisine, ou après via la QPC — Question Prioritaire de Constitutionnalité depuis 2008). Il valide aussi les élections et référendums. Il est composé de 9 membres nommés pour 9 ans non renouvelables : 3 nommés par le Président de la République, 3 par le Président de l'Assemblée nationale, 3 par le Président du Sénat. Les anciens Présidents de la République en sont membres de droit à vie.

La Ve République a été fondée le 4 octobre 1958, date à laquelle la nouvelle Constitution — rédigée sous l'impulsion du général de Gaulle — est entrée en vigueur. Cette Constitution renforçait le pouvoir exécutif et l'autorité présidentielle, répondant à l'instabilité de la IVe République. 1944 = libération de Paris, 1945 = fin de la Seconde Guerre mondiale, 1962 = indépendance de l'Algérie et élection du Président au suffrage universel direct.

Depuis la réforme territoriale de 2015 (loi NOTRe, effective au 1er janvier 2016), la France métropolitaine compte 13 régions, contre 22 auparavant. Cette réforme a fusionné plusieurs régions pour créer des entités plus grandes (ex : Alsace + Champagne-Ardenne + Lorraine = Grand Est). En comptant les 5 régions et départements d'outre-mer (DROM), la France compte 18 régions au total. 22 régions était le découpage antérieur à 2016.

Le siège officiel du Parlement européen est à Strasbourg (France), où se tiennent les sessions plénières. Cependant, les commissions parlementaires siègent à Bruxelles, où est aussi basée la Commission européenne. Luxembourg abrite le Secrétariat général du Parlement et la Cour de justice de l'UE. Ce découpage fait l'objet de critiques pour son coût, mais est inscrit dans les traités européens.

Projet de vie en France : il s'agit de démontrer une intention sincère de s'établir durablement et de participer activement à la vie économique et sociale française. Contrairement aux idées fausses, cela ne signifie pas une rupture avec le pays d'origine, ni l'obligation d'acheter un bien immobilier. C'est l'engagement à contribuer à la société française qui est évalué.

Le Président de la République : chef de l'État qui incarne la continuité institutionnelle et nomme le Premier ministre pour diriger le gouvernement. Contrairement au Premier ministre qui exécute les politiques, le Président représente la nation et garantit le fonctionnement des institutions. Il ne vote pas les lois (rôle du Parlement) ni ne contrôle directement le Sénat.

Composition de l'Union Européenne : L'UE compte 27 États membres depuis 2020, suite au Brexit (départ du Royaume-Uni). Ce nombre résulte des élargissements successifs, notamment en 2004 avec l'adhésion de 10 pays d'Europe centrale et orientale. Les distracteurs (28, 25, 30) correspondent à d'anciens effectifs ou à des confusions avec d'autres organisations internationales.

Autorité compétente en naturalisation : Le Ministère de l'Intérieur gère l'ensemble des demandes de naturalisation, y compris par mariage, via les préfectures locales qui instruisent les dossiers. La Justice intervient uniquement pour les décisions judiciaires, les Affaires étrangères pour les ressortissants à l'étranger, et la Préfecture de police pour Paris uniquement.

Concept clé : Test de robustesse pour la sécurité. La robustesse désigne une performance cohérente dans des conditions variées. Pour les systèmes AI critiques pour la sécurité, les testeurs doivent valider la performance dans des conditions de pluie, de brouillard, de neige, en conditions nocturnes, ainsi que dans des cas limites et des scénarios inattendus, afin de s'assurer que le système reste sûr en déploiement réel.

Concept clé : Test de conformité au RGPD. Le droit à l'oubli est une exigence fondamentale du RGPD. Les testeurs doivent valider que les systèmes AI gèrent correctement les demandes de suppression de données et que les informations personnelles sont réellement supprimées de l'ensemble des pipelines de traitement et des systèmes de stockage.

Concept clé : Audit d'équité pour la détection de biais. Les audits d'équité comparent les résultats entre catégories de genre pour des candidats ayant des qualifications équivalentes. Les testeurs doivent analyser systématiquement si le système recommande les candidats masculins et féminins ayant des qualifications équivalentes à des taux similaires, en identifiant un biais de genre si des disparités sont constatées.

Réponse : Chaque activité de la chaîne de valeur contribue à la chaîne de valeur en transformant des entrées spécifiques en livrables.
Explication : Chaque activité de la chaîne de valeur transforme des entrées en livrables spécifiques. Les activités ne sont pas séquentielles mais s\'interconnectent selon les besoins pour créer de la valeur.

Réponse : Tout changement d\'état significatif pour la gestion d\'un service ou de tout autre élément de configuration.
Explication : Un événement est tout changement d\'état significatif pour la gestion d\'un service ou d\'un élément de configuration. Les événements peuvent déclencher des incidents, des problèmes ou des demandes.

Réponse : La gestion des mises en production.
Explication : La gestion des mises en production a pour but de mettre à disposition des services et fonctionnalités nouveaux ou modifiés, en coordonnant le packaging et le déploiement des releases.

Réponse : les résultats.
Explication : Selon ITIL 4, un service est un moyen de co-créer de la valeur en facilitant les résultats que les clients souhaitent atteindre, sans qu\'ils aient à gérer les coûts et risques spécifiques.

Réponse : Progresser par itérations avec des retours.
Explication : Le principe \'Progresser par itérations avec des retours\' recommande de diviser le travail en petites étapes gérables avec des boucles de feedback fréquentes pour s\'adapter et corriger rapidement.

Réponse : Commencer là où vous êtes.
Explication : Le principe \'Commencer là où vous êtes\' recommande d\'évaluer l\'existant avant de décider ce qui peut être réutilisé, plutôt que de repartir de zéro sans connaître ce qui fonctionne déjà.

Réponse : Une demande d\'un utilisateur concernant quelque chose qui fait partie intégrante de la fourniture normale des services.
Explication : La gestion des demandes de services prend en charge les demandes standard faisant partie de la fourniture normale des services, comme une réinitialisation de mot de passe ou la commande d\'un équipement.

Réponse : Pour planifier les changements et éviter les conflits.
Explication : Le calendrier des changements sert principalement à planifier les changements et à prévenir les conflits entre eux, en offrant une vue consolidée de tous les changements prévus.

Réponse : Ajouter, modifier ou supprimer tout ce qui pourrait avoir un effet direct ou indirect sur les services.
Explication : En ITIL 4, un changement est l\'ajout, la modification ou la suppression de tout élément pouvant avoir un effet direct ou indirect sur les services, qu\'il soit matériel, logiciel ou organisationnel.

Réponse : Maximiser le nombre de changements informatiques réussis en vérifiant que les risques sont correctement évalués.
Explication : Maximiser les changements informatiques réussis en évaluant correctement les risques est un objectif central de la gestion des services, que le centre de services contribue à atteindre en coordonnant les demandes.

• Une attaque Golden Ticket consiste à forger des Ticket Granting Tickets (TGT) pour obtenir un accès illimité aux services Active Directory.

• Defender for Identity déclenche une alerte spécifique Golden Ticket attack detection lorsqu’il détecte ce type de manipulation du compte KRBTGT.

• Les autres alertes :

  • Pass-the-Ticket detection : utilisation frauduleuse d’un ticket existant, pas sa création.

  • DCSync attack detection : vol des informations d’Active Directory via des requêtes LDAP sur le contrôleur de domaine.

  • Lateral movement path mapping : cartographie des déplacements latéraux dans le réseau, pas la création de tickets.

• Monthly Enterprise Channel (canal mensuel pour entreprises) :

  • Fournit les mises à jour de fonctionnalités mensuelles dès qu’elles sont disponibles pour le grand public.

  • Convient aux organisations qui veulent un équilibre entre rapidité et stabilité.

• Ce canal est idéal pour déployer rapidement de nouvelles fonctionnalités aux groupes pilotes ou à certaines machines, sans attendre les canaux plus longs comme le Semi-Annual Channel.

  🎯 À retenir pour l’examen MS-900 :

  • Monthly Enterprise Channel = mises à jour mensuelles officielles pour entreprises, avec déploiement rapide

  • Semi-Annual Channel = déploiement lent, deux fois par an

  • Insider / Default Channel = pas adapté pour un déploiement contrôlé en entreprise

💡 Explication :

• Defender for Cloud Apps permet de surveiller les activités des utilisateurs dans les applications SaaS.

• Avec une politique d’activité + règles de détection d’anomalies, vous pouvez :

  • Détecter des comportements inhabituels (ex : partage massif de fichiers)

  • Définir un seuil et déclencher une alerte automatique lorsque ce seuil est dépassé

    🎯 À retenir pour l’examen MS-900 :

    • Alertes automatiques sur activités SaaS = Activity policy + anomaly detection dans Defender for Cloud Apps.

    • L’accès conditionnel et Sentinel peuvent compléter, mais ne remplacent pas cette fonctionnalité.

Windows Autopatch est un service Microsoft qui automatise les mises à jour de Windows, Microsoft 365 Apps, Edge et Teams. Il requiert obligatoirement une licence Windows 10/11 Enterprise E3 ou E5 — incluse dans Microsoft 365 E3/E5 ou disponible séparément via Windows Enterprise E3/E5.

Microsoft 365 Business Premium ne contient pas de licence Windows Enterprise et ne donne pas accès à Autopatch. Intune seul permet la gestion des appareils mais n'active pas Autopatch. Windows Pro avec EMS E3 est insuffisant car Autopatch exige la version Enterprise, pas Pro.

• Reminder (Rappel) permet d’envoyer une notification à une heure précise, même si l’application n’est pas ouverte.

• C’est la fonctionnalité qui déclenche une alerte automatique à 8h chaque matin.

  🎯 À retenir pour l’examen MS-900 :

  • Reminder = notification à une heure précise

  • Recurrence = répétition de la tâche

  • Les deux peuvent être combinés, mais pour recevoir une alerte à 8h, il faut activer le rappel.

• Le bloc-notes est stocké dans un site SharePoint d’équipe.

• L’URL correcte doit donc pointer vers :

  • Le tenant SharePoint principal (contoso.sharepoint.com)

  • Le site d’équipe (/sites/ProjectTeam)

  • Le dossier du bloc-notes

L’option B correspond à une URL SharePoint classique permettant :

• L’ouverture dans OneNote Desktop

• La synchronisation automatique

• Les mises à jour en temps réel pour tous les membres

❌ Pourquoi les autres réponses sont incorrectes :

• A et C → Utilisent contoso-my.sharepoint.com, qui correspond à OneDrive personnel, pas à un site SharePoint d’équipe.

• D → URL interne SharePoint (_layouts) utilisée pour l’interface web, pas pour un accès direct propre au bloc-notes.

🎯 À retenir pour l’examen MS-900 :

• tenant.sharepoint.com/sites/... = site d’équipe SharePoint

• tenant-my.sharepoint.com = OneDrive personnel

• Pour collaboration d’équipe → toujours utiliser l’URL du site SharePoint

• Avec le group-based licensing, les licences sont attribuées automatiquement via l’appartenance au groupe.

• Dès que l’utilisateur est retiré du groupe :

  • Les licences liées sont révoquées automatiquement

  • L’utilisateur perd l’accès aux services correspondant à ces licences

• Les autres options sont incorrectes :

  • A : Faux, la licence ne reste pas après suppression du groupe.

  • C : Faux, l’utilisateur peut se connecter à Microsoft 365 si d’autres licences sont présentes.

  • D : Faux, l’utilisateur n’est pas transformé en boîte aux lettres partagée automatiquement.

• e contrôle Require multi-factor authentication (MFA) oblige l’utilisateur à :

  • Fournir son mot de passe

  • Puis valider un second facteur (code SMS, application Authenticator, notification push, etc.)

Cela correspond exactement à une vérification en deux étapes avant d’accéder aux services Microsoft 365.

🎯 À retenir pour l’examen MS-900 :

• MFA = authentification en deux étapes

• Conditional Access peut combiner plusieurs contrôles (MFA + conformité appareil), mais pour la double vérification, la réponse est toujours Require multi-factor authentication.

• Copilot Chat dans Microsoft Teams peut analyser les conversations et générer des tâches.

• Limitation actuelle : il peut créer des tâches dans Microsoft Planner, mais ne prend pas encore en charge la création directe de tâches dans Microsoft To Do.

• Cela signifie que si vous demandez à Copilot de convertir des éléments d’action en To Do, la commande ne fonctionnera pas directement.

• Windows 365 Cloud PC fournit des PC persistants dans le cloud :

  • Chaque utilisateur obtient son propre environnement desktop

  • Les applications et paramètres sont conservés entre les sessions

  • Toujours disponible et indépendant des autres utilisateurs

• Les autres options ne répondent pas exactement au besoin :

  • A : Pooled session hosts partagent les sessions, donc l’environnement n’est pas persistant.

  • C : Single-session desktop dans AVD peut être persistant, mais nécessite plus de gestion et de configuration.

  • D : Azure App Service Web App héberge des applications web, pas un desktop complet persistant.

• Customer-Managed Keys (CMK) pour Cosmos DB :

  • Permet de chiffrer les données au repos en utilisant vos propres clés stockées dans Azure Key Vault

  • Offre contrôle total sur la gestion et la rotation des clés

  • Supporte les exigences de conformité et réglementaires (HIPAA, GDPR, etc.)

• Différence avec les autres options :

A. Client-side encryption

• Chiffrement côté client → les données sont chiffrées avant envoi à Cosmos DB

• Plus complexe à gérer, mais pas nécessaire si vous voulez CMK au repos côté service

C. Transparent Data Encryption (TDE) avec service-managed keys

• Chiffrement automatique par le service

• Vous ne contrôlez pas les clés → ne répond pas à l’exigence de CMK

D. Column-level Always Encrypted

• Disponible pour SQL Server / Azure SQL Database

• Pas applicable à Cosmos DB

Microsoft Defender for Cloud inclut un tableau de bord de conformité réglementaire qui permet :

• D’évaluer la conformité par rapport à des standards reconnus (comme le CIS Microsoft Azure Foundations Benchmark).

• D’afficher les contrôles conformes et non conformes.

• De fournir des recommandations de remédiation détaillées pour chaque contrôle non conforme.

• D’automatiser certaines corrections via Azure Policy.

Cela correspond exactement au besoin :
👉 valider la conformité ET obtenir les actions correctives associées.

• Microsoft Sentinel Playbooks (basés sur Logic Apps) permettent de :

  • Automatiser la réponse aux incidents (SOAR – Security Orchestration, Automation, and Response)

  • Déclencher des workflows de restauration depuis les backups dès qu’un incident est détecté

  • Réagir rapidement et de manière cohérente face à un ransomware

• Cela offre un processus automatique de containment et de récupération, exactement ce que demande le SOC.

• GitHub Advanced Security permet de :

  • Analyser automatiquement les dépendances dans les projets (npm, NuGet, Maven, etc.)

  • Identifier les vulnérabilités à haute gravité

  • Proposer ou appliquer automatiquement les mises à jour de sécurité via Dependabot

• Cette approche préventive empêche que du code vulnérable atteigne les environnements de production.

Azure AD PIM permet de :

• Gérer les rôles Azure AD et Azure RBAC sensibles

• Fournir un accès Just-in-Time (JIT) pour limiter le temps pendant lequel un utilisateur a des privilèges élevés

• Exiger approbations ou vérifications périodiques pour l’accès aux rôles privilégiés

• Générer des logs d’audit et rapports pour le suivi des activités

Pourquoi c’est adapté :

• Le besoin est validation continue de l’accès privilégié

• PIM est la solution native Microsoft pour le contrôle et la gouvernance des comptes à privilèges élevés

• JIT réduit la fenêtre de risque en n’octroyant des droits qu’au moment nécessaire

• App Service Authentication / Authorization (Easy Auth) :

  • Permet de forcer l’authentification Azure AD sans modifier le code de l’application

  • Prend en charge MFA, Conditional Access et Single Sign-On

  • Fonctionne pour tous les utilisateurs qui accèdent à l’application

• Avantages :

  • Aucun développement requis → répond à la contrainte “sans modifier le code”

  • Intégration directe avec Azure AD

  • Compatible avec politiques MFA et Conditional Access

Pour respecter PCI DSS (chiffrement des données au repos et en transit) :

• Azure Policy permet de :

  • Définir des règles obligatoires pour le chiffrement au repos (ex. Storage Service Encryption, SQL TDE)

  • Définir des règles pour le chiffrement en transit (ex. TLS obligatoire pour les services)

  • Appliquer ces règles à toutes les ressources Azure via des initiatives intégrées ou personnalisées

  • Auditer la conformité et générer des rapports

• Initiatives intégrées : Microsoft propose des initiatives prêtes à l’emploi pour le chiffrement et la sécurité des données, alignées avec PCI DSS, NIST et autres standards.

• Air-gapped backups : sauvegardes isolées du réseau principal pour empêcher toute attaque ransomware ou accès malveillant

• Recovery Services Vault dans une souscription séparée :

  • Sépare physiquement la gestion des backups de l’environnement de production

  • Permet RBAC strict et contrôle d’accès granulaire

  • Empêche les attaques réseau ou les utilisateurs compromis dans la souscription principale d’atteindre les sauvegardes

• Approche recommandée par Microsoft pour Protection contre ransomware et menaces internes sur les données critiques opérationnelles

• Hotpatch :

  • Fonctionnalité Azure-only pour Windows Server

  • Applique les mises à jour de sécurité critiques sans redémarrage complet

  • Réduit les interruptions de service pour les workloads sensibles (ex : santé, finance)

  • Permet un contrôle administratif, mais avec automatisation pour les correctifs critiques

• Cette approche est le compromis idéal entre patching manuel (risque faible mais effort élevé) et automatisation complète (risque de redémarrage inattendu).

La bonne approche est de créer deux configurations gcloud (une par projet/compte), puis un script qui active chaque configuration et exécute gcloud compute instances list. gsutil est pour Cloud Storage, pas pour les instances Compute Engine.

Cloud Storage est la source de données native pour Cloud Dataflow et le staging recommandé pour les pipelines ETL GCP. gsutil gère efficacement les uploads de données non structurées. BigQuery est pour les données structurées, Cloud SQL/Spanner ne conviennent pas à des données hétérogènes.

kubectl config use-context bascule vers le contexte de la configuration inactive, puis kubectl config view affiche les détails du cluster GKE associé, sans avoir à activer la configuration gcloud globalement.

Les Kubernetes Secrets sont conçus pour stocker des informations sensibles comme les mots de passe. Ils sont encodés en base64 et peuvent être montés comme variables d'environnement. Les ConfigMaps sont pour les données de configuration non sensibles.

Ajouter un nouveau node pool n2-highmem-16 au cluster existant est la solution sans temps d'arrêt. Les pods existants continuent de tourner sur les noeuds n1-standard-2 pendant que les nouveaux pods sont schedulés sur le nouveau node pool.

Créer un espace de travail Stackdriver Monitoring sous un projet A et y ajouter B et C crée une vue unifiée de tous les projets dans un seul tableau de bord. C'est l'approche recommandée pour la surveillance multi-projets.

La commande BigQuery dry-run estime les octets lus (scannés depuis les tables) sans exécuter la requête. Attention : la facturation est basée sur les octets lus, pas sur les octets retournés — une requête `SELECT *` sur une table de 1 To coûte la même chose qu'elle retourne 1 ligne ou 1 million. Le calculateur de prix convertit ensuite ce volume en dollars.

Les noeuds préemptibles peuvent être supprimés à tout moment par Google. Si un noeud est préempté après le scheduling du pod, ce pod passe en PENDING pendant que GKE crée un nouveau noeud pour le rescheduler. C'est le comportement normal avec des noeuds préemptibles.

L'option --splits de App Engine permet le fractionnement du trafic (traffic splitting) entre plusieurs versions dans la même application, sans créer de nouvelle application. C'est la solution la plus simple et recommandée pour un déploiement canary.

Le rôle roles/logging.privateLogViewer inclut l'accès aux journaux d'audit d'administration ET aux journaux d'accès aux données. Diriger l'auditeur vers les journaux de modifications IAM compète la vue complète. Pas besoin d'export — l'accès direct suffit.

Correct: Option 6 (All of the above) - Openness, a core Scrum value, permeates the entire framework: it improves collaboration, enables quality discussions, increases engagement, accelerates feedback loops affecting time to market, and builds stakeholder confidence. Each element depends on transparent, honest communication that openness enables.

Correct answers: Options 2 and 3. The Definition of Done describes work needed to produce a potentially releasable Increment (option 2), and encompasses all work performed as defined in it (option 3). Options 0-1 are too restrictive (mentioning specific testing phases). Option 4 is incorrect because the Definition of Done is a team commitment, not limited by current skills. The Scrum Guide emphasizes Done means the product is ready for release.

The correct answer (option 3) states that a Scrum Team must have both a Product Owner and Scrum Master, and their participation directly impacts team outcomes. While not always full-time, both roles are mandatory per the Scrum Guide. Option 1 is false—Scrum Masters are essential, not optional. Option 2 is too restrictive about full-time status. Option 4 is false—Business Analysts cannot replace the Product Owner's accountability.

Options B and C correctly describe Sprint Goals. The Goal is collaboratively crafted during Sprint Planning and provides focus and flexibility for implementation. Goals can evolve with new insights but remain grounded in a stable business objective. Option A is false—Goals are defined during Planning, not at Sprint's end. Option D is misleading; while implementation approaches adapt, the Goal itself should remain stable unless the business objective changes.

All three factors impact Sprint outcomes. The Scrum Guide emphasizes that Sprint results depend on team composition, skills, working relationships, technology complexity, and requirement clarity. These are interdependent variables that collectively determine what a team can accomplish in a given Sprint.

Correct: Options 2, 3, and 5 - Effective Scrum Masters use coaching, training, and stakeholder education to help organizations adopt Scrum sustainably. Option 1 violates change management principles; Option 4 contradicts Scrum's collaborative values; Option 6 extends events beyond their intended purpose, diluting their effectiveness.

This statement is True. Technical debt compounds over time—accumulated shortcuts and poor design choices make future changes increasingly difficult and costly. This slows velocity and violates sustainable pace, one of the core Scrum principles.

The three pillars of empiricism in Scrum are Transparency, Inspection, and Adaptation. These enable evidence-based decision-making in complex environments. Planning, Demonstration, and Retrospective are Sprint events; Respect For People and Kaizen come from Lean—not Scrum's foundational pillars.

Option A is FALSE because the Sprint Goal is not a forecast that changes during the Sprint. While the Development Team may discover better implementation approaches, the Sprint Goal itself remains stable as a commitment. The Scrum Guide states the Goal guides the team throughout the Sprint and should only change if circumstances fundamentally shift the business objective.

Focus and productivity improve when team members work full-time on a single Scrum Team, and a well-structured Product Backlog minimizes context-switching across teams. Customizing core Scrum is not necessary for scale—proper backlog management and team composition address these issues while maintaining framework integrity.

Réponse : Chaque niveau de test a des objectifs de test spécifiques à ce niveau..
Explication : C est correct car la définition d\'objectifs de test pour chaque niveau de test garantit que les tests sont intentionnels, mesurables et traçables aux risques correspondants. Le bon test dans tout modèle de cycle de vie exige que les activités de test soient planifiées et exécutées avec des objectifs spécifiques au niveau.

Réponse : Cela peut servir à renforcer leur confiance dans le système.
Explication : C est correct car impliquer les utilisateurs lors de l\'exécution renforce principalement leur confiance et leur acceptation en validant le comportement du système par rapport aux attentes opérationnelles réelles. D\'un point de vue avancé de gestion des tests, la participation des utilisateurs est une intervention d\'engagement des parties prenantes qui réduit le risque de déploiement.

Réponse : Gestion et pilotage de projet.
Explication : B est correct car la gestion et le pilotage de projet sont des préoccupations transversales à tous les cycles de vie, non spécifiques au test en RAD. Les attributs distinctifs du RAD—prototypage itératif, exigences évolutives, délais serrés—créent des problèmes centrés sur le test : exigences instables, régressions fréquentes, cycles de test compressés.

Réponse : Une approche des tests de régression.
Explication : Le plan directeur de test est un document stratégique de haut niveau qui définit l\'approche globale, la portée, les objectifs et les risques. L\'approche des tests de régression est une décision stratégique appropriée à couvrir en détail, contrairement aux détails tactiques comme les valeurs limites ou l\'organisation des cas de test.

Réponse : Organiser une réunion avec la direction générale pour qu\'elle aborde l\'importance d\'une bonne qualité de test pour ce projet.
Explication : D est correct car l\'appui visible de la direction générale élève la priorité organisationnelle des tests, fournit une reconnaissance et supprime les obstacles systémiques. Cela augmente la signification de la tâche et aligne l\'effort individuel avec les objectifs organisationnels, motivant durablement l\'équipe.

Réponse : En fournissant un atelier sur les techniques de conception de tests.
Explication : Un atelier sur les techniques de conception de tests remédie directement à la faible efficacité de détection des défauts en dotant les testeurs de méthodes systématiques et répétables pour dériver des cas de test de meilleure qualité. Les techniques pratiques (partitionnement des équivalences, analyse des valeurs limites, tables de décision, transitions d\'état, techniques d\'appairage) améliorent la couverture et augmentent la probabilité de détection des défauts.

Réponse : 63.
Explication : Le Numéro de Priorité de Risque (NPR) est calculé en multipliant la probabilité d\'occurrence, la gravité de l\'impact et la détectabilité. Pour l\'élément de risque 2, ce calcul donne 63.

Réponse : Qualité d\'entrée inconnue due au développement par un tiers.
Explication : D est correct car la qualité d\'entrée inconnue provenant du développement par un tiers crée le plus grand risque d\'estimateur : variance élevée des taux de défauts, comportements d\'intégration imprévisibles et efforts de vérification imprévisibles qui gonflent directement les estimations de temps et ressources. Les hypothèses quantifiées deviennent invalides avec les entrées tierces.

Réponse : TMMi ne peut être utilisé qu\'avec le modèle V traditionnel, tandis que TPI peut être utilisé avec tous les types de cycles de vie logiciels..
Explication : D est incorrect car TMMi n\'est pas limité au modèle V ; il est indépendant du cycle de vie et applicable aux modèles V, itératifs et agiles. TPI l\'est aussi, contredisant l\'affirmation d\'une dichotomie entre les deux approches.

Réponse : Test de composant: test de décision; Test système: test de table de décision.
Explication : B est correct car il combine une technique structurelle à haute sensibilité au niveau composant (test de décision) avec une technique de spécification combinatoire axée sur les exigences au niveau système (test de table de décision), maximisant ainsi la détection des défauts logiques et des interactions complexes de règles métier.

A. Structured JSON consumes significantly fewer tokens than natural language, substantially reducing API costs. Incorrect. Token usage depends on the content; JSON is not inherently more compact than text and may sometimes use more tokens. B. The agent can reliably extract specific values without parsing free form text, reducing errors in subsequent operations. Correct. Structured output provides clear, predictable fields, making it easy for the agent to use the data accurately in downstream steps. C. Structured JSON is processed deterministically by the model, significantly improving accuracy when extracting values. Incorrect. The model is still probabilistic; JSON improves structure, but not deterministic processing. D. JSON schemas automatically validate that the underlying API returned correct data before the agent processes it. Incorrect. Schemas define structure, but they do not guarantee correctness of the actual data returned by the API.

B. The order details are added to the conversation and the model reasons about which action to take. Correct. In an agentic loop, tool results (like "purchased 45 days ago") are fed back into the model's context, and the model re-evaluates the situation dynamically. It then decides whether to proceed with process_refund, escalate to a human, or take another action based on policy and the updated information. Why the others are not correct: A. Fixed tool sequence planned at the start Incorrect Agentic systems are not static workflows; they adapt after each observation. C. Pre-configured decision tree Incorrect This is rule-based automation, not LLM-driven reasoning. D. Orchestration layer automatically routes next tool call Incorrect That removes the model's reasoning role and turns it into deterministic routing.

A. Create a new "Focus" playlist with curated tracks and notify the user it's ready. Incorrect. This assumes intent and may do the wrong action, frustrating users. B. Ask one clarifying question about action type: play now or configure for later Correct. This minimizes friction while resolving ambiguity, enabling the assistant to take the right action quickly. C. Play popular focus tracks immediately and let the user redirect if needed Incorrect. Acts prematurely and may not match user intent. D. Start preference configuration by asking about genres, tempo, and artists Incorrect. Too heavy upfront--adds unnecessary friction before confirming intent.

A. Provide the subagent with tool definitions that allow it to request outputs from other subagents via callbacks. Incorrect. This introduces unnecessary coupling and complexity. Subagents shouldn't need to actively fetch data from others. B. Include the complete findings from both subagents directly in the synthesis subagent's prompt. Incorrect. While simple, this approach does not scale well for large outputs and can exceed context limits, reducing efficiency. C. Pass reference identifiers and configure the subagent with read access to a shared memory store where other subagents deposited their results. Correct. This is the most scalable and production-ready approach. It preserves information fidelity while avoiding context bloat, allowing the synthesis agent to retrieve exactly what it needs. D. Spawn the subagent with only a brief task description, relying on automatic context inheritance from the coordinator. Incorrect. There is no automatic context inheritance--without explicit data access, the synthesis agent cannot function properly.

A. Add a confirmation step that requires users to type "CONFIRM DELETE" before delete_file executes. Incorrect. This prevents accidental execution but does not improve the agent's tool selection decision. B. Implement server-side validation that rejects delete_file calls for files tagged as backups, returning an error message suggesting archive_file. Incorrect. This enforces policy after the wrong choice is made but does not directly improve initial selection. C. Expand tool descriptions to clarify use cases, adding guidance like "Do not use for backup files" to delete_file. Correct. Clear, specific descriptions directly influence the agent's tool selection reasoning, making it less likely to choose the wrong tool. D. Add few-shot examples to the system prompt demonstrating that requests involving "backup" or "old" should use archive_file. Incorrect. Helpful, but less direct and less reliable than improving the tool descriptions themselves.

A. Create separate search products and fetch more results tools for pagination. Incorrect. This exposes pagination mechanics to the agent, increasing complexity and coupling tool usage with control flow. B. Implement server-side relevance ranking and return only the top 50 most relevant items. Incorrect. While this reduces latency, it removes access to the full result set, limiting flexibility when more results are actually needed. C. Add a max pages parameter (default: 2) that controls how many pages are fetched internally. Incorrect. This is an improvement over fetching everything, but it still hides pagination control inside the tool and may fetch unnecessary data. D. Return the first page with total match count and cursor for additional pages. Correct. This enables lazy loading and explicit control, allowing the agent to fetch more results only when needed-- balancing performance and completeness.

A. The synthesis agent needs tools that can fetch results directly from the other agents' conversation histories. Incorrect. Agents do not require direct access to each other's histories. Proper orchestration passes outputs explicitly via prompts. B. The synthesis agent's context window is not large enough to hold the combined outputs from both previous agents. Incorrect. If this were the issue, the agent would receive truncated data, not no data at all. The error indicates missing inputs entirely. C. The subagents need to share a single API connection to enable automatic context sharing between invocations. Incorrect. Agent communication does not depend on shared API connections. Context must be explicitly passed by the coordinator. D. The coordinator did not include the outputs from the previous agents in the synthesis agent's prompt. Correct. The synthesis agent can only act on the information provided in its prompt. If prior outputs are not passed, it will report missing research findings.

A. Return an empty flight list as if the search succeeded but found no matching flights. Incorrect. This hides the failure and misleads the system into thinking no flights exist, which can lead to incorrect conclusions. B. Log the error internally and return an empty response, letting the model continue without the flight data. Incorrect. This still suppresses the failure signal, preventing the agent from taking corrective action. C. Return an error message in the tool result explaining the service is temporarily unavailable. Incorrect. While transparent, this alone doesn't attempt recovery and may degrade user experience unnecessarily. D. Automatically retry the request up to five times with exponential backoff before returning results to the agent. Correct. This is the most effective approach--handles transient failures gracefully, improves reliability, and only surfaces errors if retries fail.

A. In the first assistant message, instructing Claude to follow these guidelines going forward Incorrect. Assistant messages don't reliably control future behavior and can be overridden by later context. B. Prepended to each user message before sending to the API Incorrect. User messages carry less authority than system-level instructions and are less reliable for enforcing behavior. C. In the system prompt Correct. The system prompt is the highest-priority instruction layer, making it the most reliable place to enforce consistent tone, reasoning style, and questioning behavior. D. In environmental variables that your application passes to the API client Incorrect. Environment variables are not part of the model's context and have no effect on behavior unless explicitly included in the prompt.

A. Claude's memory retention is limited to two conversational turns by default, requiring explicit configuration to extend it. Incorrect. There is no fixed "two-turn memory limit" like this; context is determined by what the application sends, not a built-in short memory window. B. The prompt lacks instructions telling Claude to remember information across multiple exchanges. Incorrect. System prompts don't control memory persistence. The model does not "forget" within context unless information is missing from input. C. The verification tool is clearing the agent's internal state after each successful validation step. Incorrect. Tools do not automatically reset conversational context unless explicitly designed to do so--and that would be an application-level bug, not the most likely general cause. D. The conversation history isn't being passed in subsequent API requests. Correct. This is the most likely cause. The model is stateless, so if prior messages aren't included in each request, it behaves as if earlier verification steps never happened--leading to repeated questions like asking for the name again.