Ne découvrez pas l'examen
le jour J

Réponse : AWS Auto Scaling.
Explication : AWS Auto Scaling ajuste dynamiquement le nombre d’instances EC2 en fonction de la charge réelle.

Réponse : AWS Organizations. Explication : AWS Organizations aide à gérer et gouverner de manière centralisée plusieurs comptes AWS sans frais supplémentaires. Les fonctionnalités incluent la facturation consolidée, les stratégies de contrôle des services (SCP) et les unités organisationnelles pour le regroupement des comptes.

Réponse : Amazon RDS. Explication : Amazon RDS (Relational Database Service) est un service géré qui prend en charge plusieurs moteurs de base de données, y compris PostgreSQL. Il gère l'approvisionnement, la correction, la sauvegarde, la récupération et le basculement, en prenant en charge les charges de travail OLTP.

Réponse : AWS CloudTrail / AWS Config.
Explication : AWS CloudTrail et AWS Config permettent d’auditer, tracer et surveiller les modifications de ressources dans le cloud AWS.

Réponse : AWS CloudTrail. Explication : AWS CloudTrail enregistre les appels API effectués aux services AWS, fournissant une piste d'audit complète de qui a fait quelle demande, d'où et quand. C'est l'outil principal pour la gouvernance, la conformité et l'audit de sécurité.

Réponse : Dans une autre région.
Explication : Sauvegarder dans une autre région AWS protège contre les catastrophes locales et assure la reprise après incident.

Réponse : B) Instances Spot. Les Instances Spot offrent jusqu'à 90 % de réduction par rapport à la tarification à la demande et sont idéales pour les charges de travail sans état et tolérantes aux pannes qui peuvent supporter les interruptions. Les simulations sans état et interruptibles constituent un cas d'usage parfait pour Spot, permettant à l'entreprise de réaliser des économies significatives tout en respectant les exigences de résilience.

Réponse : Amazon EBS.
Explication : Amazon RDS s’appuie sur Amazon EBS pour stocker les données des bases relationnelles, afin d’assurer durabilité et performance.

Réponse : Amazon Inspector. Explication : Amazon Inspector est un service automatisé de gestion des vulnérabilités qui analyse continuellement les instances EC2 pour détecter les vulnérabilités de logiciels et l'exposition réseau non intentionnelle. Il contrôle également le respect des bonnes pratiques de sécurité AWS.

Réponse : Activer Amazon EC2 Auto Scaling pour toutes vos charges de travail.
Explication : Auto Scaling ajuste dynamiquement le nombre d’instances selon la demande, limitant ainsi la facturation inutile.

Amazon Comprehend : service NLP entièrement géré qui analyse automatiquement les sentiments (positif/négatif/neutre) et extrait les entités dans du texte, sans nécessiter de ML expertise. Contrairement à Polly (synthèse vocale), Rekognition (vision) et Lex (chatbots), Comprehend se concentre spécifiquement sur l'analyse textuelle intelligente pour les avis, commentaires et documents.

Amazon Comprehend : service NLP managé spécialisé dans l'analyse textuelle. Il détecte automatiquement les sentiments (positif/négatif), identifie les langues, extrait les entités nommées (personnes, lieux, organisations) et analyse la syntaxe. Contrairement à Lex (chatbots), Polly (synthèse vocale) ou Transcribe (transcription audio), Comprehend traite exclusivement le texte déjà disponible pour en extraire des insights.

Orchestration conversationnelle : Amazon Lex gère les dialogues multi-tours, maintient le contexte et structure les intentions. Combiné à Bedrock pour la génération, il crée des chatbots sophistiqués avec mémorisation d'état.

Interprétabilité des arbres de décision : Les arbres de décision suivent un chemin linéaire de conditions (if-then) lisibles à chaque nœud, permettant de tracer exactement pourquoi une prédiction est faite. À l'inverse, les réseaux profonds (deep learning) fonctionnent comme des "boîtes noires" avec des milliers de paramètres non interprétables, rendant impossible d'expliquer chaque décision précisément.

Data augmentation ciblée : technique qui génère synthétiquement plus d'exemples des classes sous-représentées (rotation, zoom, flips) pour rééquilibrer le dataset et réduire le biais avant l'entraînement. Le monitoring post-production arrive trop tard ; RAG et watermarks sont hors-sujet.

AWS Artifact + Amazon SNS : AWS Artifact fournit les rapports de conformité (SOC, ISO), tandis qu'Amazon SNS gère les notifications par email automatiques lors de leur publication. SNS est le service de notification d'événements, contrairement à SES (envoi transactionnel), CloudTrail (audit d'API) ou EventBridge (routage d'événements métier).

RAG pour summarization juridique : combine récupération de documents pertinents + génération LLM pour résumer avec contexte métier. Contrairement au NER (simple extraction), RAG fournit des résumés cohérents et fidèles. Différent de la recommandation (suggestion, non synthèse) et de la traduction (pas d'adaptation juridique). Fine-tuning léger adapte le modèle aux termes légaux sans coûts computationnels excessifs.

L'IA générative transforme de nombreux processus métier. La génération de résumés automatiques de documents longs (contrats, rapports) réduit le temps d'analyse. Les chatbots intelligents pour le service client répondent de manière contextuelle. La génération de code accélère le développement logiciel. La maintenance prédictive classique ou la détection de fraude reposent généralement sur du ML supervisé, pas sur de la GenAI.

Amazon Personalize : service de recommandation full-managed utilisant le machine learning. Traite l'historique d'interaction client, crée des modèles prédictifs pour chaque utilisateur et retourne des listes personnalisées avec impact commercial mesurable en temps réel.

Inference : phase d'utilisation d'un modèle entraîné pour générer des prédictions sur de nouvelles données (ici, analyser une image). À différencier de Training (apprentissage du modèle), Deployment (mise en production) et Bias correction (correction des biais). L'inference est l'exécution prédictive post-entraînement.

Sprint Goal Immutability: The Sprint Goal is established during Sprint Planning and remains fixed throughout the Sprint. This commitment provides focus and direction for the Development Team, preventing scope creep. While the Product Owner can adjust the Product Backlog, the Sprint Goal itself—once agreed upon—cannot be unilaterally changed by any single role, ensuring team stability and predictability.

Five Scrum Values: Commitment, Courage, Focus, Openness, and Respect form the foundation of Scrum culture. These values enable trust, transparency, and effective collaboration within the team. They guide behaviors and decisions throughout Sprint execution, distinguishing Scrum from process frameworks focusing solely on ceremonies or metrics like velocity.

Answer: False.
Explanation: Scrum does not prescribe 'Release Sprints.' Every Sprint should produce a potentially releasable Increment. The concept of a dedicated release Sprint is an anti-pattern indicating the team is not maintaining a releasable state throughout development.

Why this answer is correct: The Developers are self-organizing and empowered to adapt their approach during the Sprint to protect the Sprint Goal. They should collaborate to find alternative solutions and update the Sprint Backlog to reflect their new plan, which is a core principle of Scrum's inspect-and-adapt framework.

Why the others are incorrect: Canceling the Sprint is only appropriate in extreme cases when the Sprint Goal becomes impossible or irrelevant—not simply because an approach needs adjustment. The Scrum Master doesn't have authority to cancel Sprints, and the Product Owner should not add items mid-Sprint as this undermines Sprint planning and team focus on the committed Sprint Goal.

Commitment in Scrum means each person commits to achieving the goals of the Scrum Team — not to a specific set of tasks, but to the Sprint Goal and the team's success. Commitment enables quality work and enables trust. Note: Scrum Teams commit to the Sprint Goal, not necessarily to completing every Sprint Backlog Item — they adapt their plan as they learn more.

Product Owner Accountability: The Product Owner holds sole responsibility for maximizing product value by managing the Product Backlog, defining requirements, and prioritizing work based on stakeholder needs and business goals. This is a core accountability that distinguishes the PO role from other Scrum Team members.

Self-managing means the Scrum Team internally decides who does what, when, and how — without being directed by an external authority. This replaces the traditional concept of the self-organizing team. The team chooses the best way to accomplish their work given the goals, constraints, and dependencies they face. Management outside the Scrum Team sets the overall direction, but the team decides how to achieve it. This is enabled by the Scrum values, especially Commitment, Courage, and Respect.

Sprint Planning Timebox: The Scrum Guide establishes 8 hours as the maximum duration for Sprint Planning in a one-month Sprint, with proportionally shorter timeboxes for shorter Sprints (e.g., 4 hours for two-week Sprints). This ensures sufficient time for the Development Team and Product Owner to discuss and commit to Sprint Goals without excessive planning overhead.

Answer: A valuable, useful set of product features.
Explanation: An Increment is an additive, integrated body of work that meets the Definition of Done and can be used by stakeholders. It must be functional and valuable — not documentation, a prototype, or a partial feature.

Answer: The Product Owner.
Explanation: The PO is accountable for maximizing the value of the product and ensuring the Product Backlog is managed effectively.

Answer: Sprint Goal, selected PBIs, plan to deliver the Increment.
Explanation: The Sprint Backlog consists of the Sprint Goal (why), the PBIs selected (what), and the plan to deliver the Increment (how).

Answer: Frequently.
Explanation: Customer satisfaction should be measured as often as practical — ideally every Sprint — to provide timely feedback on whether the product is delivering value. Infrequent measurement delays learning and course corrections.

Key concept: Single Product Backlog per Product: The Scrum Framework mandates exactly one Product Backlog for each product, regardless of team structure or organizational complexity. This unified backlog serves as the single source of truth for all work needed to achieve the Product Goal. Even when multiple Scrum Teams collaborate on the same product, they share and draw from this single ordered list. Multiple backlogs would create fragmentation, inconsistent prioritization, duplicate work, and conflicting definitions of done. The Product Owner maintains one coherent backlog to ensure transparency, eliminate dependencies confusion, and enable effective stakeholder communication. This principle prevents the anti-pattern of scattered work items across disconnected backlogs.

Answer: False.
Explanation: The Sprint Review is a collaborative working session to inspect the Increment and adapt the Product Backlog — not a status report.

A single Product Owner provides unambiguous accountability for product value. Multiple POs create conflicting priorities that confuse both the Scrum Team and stakeholders. Clear accountability ensures someone is always empowered to make product decisions quickly. Single point of contact for stakeholders reduces the coordination cost of managing product direction. Scrum Master backup is a logistics concern, not a strategic one.

Answer: Impact mapping, Kano, WSJF (weighted).
Explanation: Multiple prioritization techniques exist. Scrum does not prescribe any specific one — the PO chooses what best serves product value.

Answer: Enough so the PO is confident the Increment will meet the intended value.
Explanation: Scrum does not prescribe a fixed percentage of PO time. The PO must invest sufficient time to keep the Product Backlog ready, answer questions during Sprints, and ensure the team understands what constitutes value.

Key concept: Scrum Master as facilitator and servant-leader. The Scrum Master facilitates all Scrum events (Sprint Planning, Daily Standup, Sprint Review, Sprint Retrospective) and removes impediments to team progress. Unlike the Product Owner (who manages backlog and priorities), the manager (who may not exist in Scrum), or stakeholders (who participate but don\'t facilitate), the Scrum Master ensures Scrum framework implementation, coaches the team and organization on Scrum values, and creates an environment where the team can self-organize and deliver value effectively.

Contrat à prix forfaitaire (Fixed Price) : Le fournisseur assume tous les risques de coût pour une portée définie. Idéal pour activités critiques car le budget est garanti, contrairement aux contrats coût remboursable (risque client) ou temps et matériel (coûts variables imprévisibles).

Le principe d'adaptabilité dans le PMBOK 7e édition : L'adaptabilité est un principe fondamental du PMBOK 7 qui reconnaît que les projets opèrent dans des environnements complexes et changeants. Ce principe encourage les chefs de projet à évaluer régulièrement les pratiques, les processus et les approches utilisées pour s'assurer qu'ils restent pertinents et efficaces face à l'évolution du contexte du projet, des exigences des parties prenantes et des conditions externes. Contrairement au PMBOK 5e édition qui séparait les approches prédictives et adaptatives, la 7e édition reconnaît que la plupart des projets modernes bénéficient d'une combinaison d'approches. L'adaptabilité n'est pas un changement constant et impulsif, mais une révision réfléchie et régulière des stratégies de gestion. Elle s'applique à TOUS les types de projets, qu'ils soient traditionnels, agiles ou hybrides. Les autres réponses proposées sont incorrectes car : maintenir un plan initial rigide contredit directement ce principe ; limiter l'adaptabilité aux seuls projets Agile ignore que tous les projets modernes doivent s'adapter ; changer d'approche à chaque sprint sans justification va à l'encontre de la nature réfléchie

Processus décisionnel participatif selon le PMBOK 7e édition : Le cadre de gestion de projet moderne met en avant une approche collaborative et structurée pour la prise de décision. Le bon ordre des étapes repose sur une logique fondamentale : avant de décider, il faut d'abord clarifier le problème existant, puis explorer systématiquement les solutions possibles, et enfin créer un espace de dialogue collectif permettant à tous les stakeholders de contribuer à la décision finale. Cette séquence respecte les principes du leadership serviteur et de l'empowerment des équipes, au cœur de la philosophie PMBOK 7. L'étape d'identification du problème est cruciale car elle évite les décisions hâtives basées sur des symptômes plutôt que sur les causes réelles. L'analyse des options permet d'explorer les alternatives et leurs impacts potentiels. La discussion collective garantit l'adhésion et la légitimité de la décision auprès de l'équipe projet. Contrairement aux approches traditionnelles où le gestionnaire décidait seul, cette démarche participative favorise l'engagement, réduit les résistances au changement et améliore la qualité des décisions grâce aux perspectives diversifiées. Les autres options proposées inversent cet ordre logique : décider avant d'analyser serait contre-productif, tout comme analyser

Réponse : Ajouter le risque au registre et réévaluer avec l’équipe et les parties prenantes. La gestion des risques est itérative.

Analyse des écarts de performance : EV (100k) < PV (110k) indique un retard d'exécution. EV (100k) < AC (120k) révèle un dépassement budgétaire. Le projet consomme plus de ressources (120k) que la valeur produite (100k), confirmant une double dégradation par rapport au plan initial.

Gestion des changements formelle : Toute exigence supplémentaire doit être évaluée pour son impact sur la triple contrainte (délai, coût, qualité). L'analyse permet au comité de pilotage de prendre une décision éclairée : accepter le changement en ajustant les contraintes, ou le refuser. Cela évite les surcharges non contrôlées et protège le projet, contrairement à l'intégration immédiate qui génère des dérives ou au rejet brutal qui mécontente le client.

L’amélioration continue consiste à ajuster régulièrement les pratiques et processus pour accroître l’efficacité, la qualité et la valeur livrée.

Gestion des demandes de changement : Toute demande impactant délais/coûts/qualité doit suivre le processus formel. On évalue d'abord l'impact (analyse coûts-bénéfices), puis on soumet au comité de pilotage pour décision. Refuser sans analyse ignore les besoins client ; accepter directement contourne le contrôle de changement et risque de dérapages. Remplacer une exigence revient à modifier le scope sans autorisation.

Un tableau de bord axé valeur met l’accent sur bénéfices, adoption et jalons de valeur, pas sur des métriques d’activité peu corrélées.

Engagement et satisfaction des parties prenantes : Les enquêtes de satisfaction, feedback réguliers et interviews permettent de mesurer le contentement des parties prenantes tout au long du projet, pas seulement en fin. Contrairement aux indices de performance (CPI, SPI) qui mesurent les coûts et délais, ces méthodes qualitatives évaluent la perception et l'engagement, essentiels à la réussite du projet selon le PMBOK 7e.

Cette question correspond à l\'objectif d\'apprentissage FL-2.2.3 (K2) – Distinguer les tests de confirmation des tests de régression.
La bonne réponse est a) Seulement 4, 7, 8.
Analyse de chaque version :
Version 1.0 :
● T1 (1) : Succès → fonctionnalité opérationnelle
● T2 (2) : Échec → nécessite une correction
● T3 (3) : Échec → nécessite une correction

Version 1.1 :
● T1 (4) : Succès → test de régression pour vérifier que la fonctionnalité reste stable
● T2 (5) : Succès → test de confirmation pour vérifier la correction du défaut identifié
en (2)
● T3 (6) : Échec → test de confirmation pour vérifier la correction du défaut identifié
en (3), mais toujours en échec
Version 1.2 :
● T1 (7) : Échec → test de régression qui montre qu\'une modification a introduit un
problème dans une fonctionnalité qui fonctionnait
● T2 (8) : Succès → test de régression pour vérifier que la fonctionnalité corrigée reste stable
● T3 (9) : Succès → test de confirmation pour vérifier la correction du défaut identifié
en (6)
Par conséquent, les tests exécutés en régression sont : 4 (T1 dans la version 1.1), 7 (T1dans la version 1.2) et 8 (T2 dans la version 1.2).

La réponse correcte est donc a) Seulement 4, 7, 8.

Cette question correspond à l’objectif d’apprentissage FL-2.1.6 (K2) – Utiliser les rétrospectives pour améliorer le processus.
● a) Faux → Identifier le problème sans agir n’apporte aucune amélioration.
● b) Faux → Déplacer le problème ailleurs ne résout rien.
● c) Correct → Impliquer les testeurs plus tôt dans le processus est une amélioration concrète issue d’une réflexion collective.
● d) Faux → Ajouter des ressources sans changer le processus ne garantit pas de
résolution.

Cette question correspond à l\'objectif d\'apprentissage FL-5.1.7 (K2) - Résumer les quadrants du test et leurs relations avec les niveaux et les types de tests.

La bonne réponse est b) :

1. Test d\'accessibilité - Orienté métier, critique du produit (C)
2. Test unitaire - Orienté technologie, support à l\'équipe de développement (A)
3. Test d\'acceptation utilisateur - Orienté métier, critique du produit (C)
4. Test de performance - Orienté technologie, critique du produit (D)
● a) Faux → Le test d\'acceptation utilisateur est en C (orienté métier, critique du produit), pas en B.
● b) Correct → Toutes les correspondances sont correctes.
● c) Faux →- Le test d\'accessibilité est en C, pas en D, et le test de performance est en D, pas en B.
● d) Faux → Le test d\'accessibilité est en C, pas en D, et le test unitaire est en A, pas en B.

Chaque condition a 2 résultats possibles → cela donne :
● Condition 1 : 2 branches
● Condition 2 : 2 branches

Total = 4 branches
La bonne réponse est la réponse c)

Cette question correspond à l’objectif d\'apprentissage FL-4.2.3 (K3) – Utiliser les tests par tables de décisions pour dériver les cas de test.

Les cas de tests proposés couvrent :
● CT1 (20 ans, abonnement actif, certificat valide) → couvre R1
● CT2 (17 ans, abonnement actif, certificat valide) → couvre R5
● CT3 (25 ans, abonnement inactif, certificat valide) → couvre R3
● CT4 (30 ans, abonnement actif, certificat expiré) → couvre R2
● CT5 (28 ans, abonnement inactif, certificat expiré) → couvre R4

● a) Faux → combinaison déjà couverte par CT5
● b) Faux →redondant avec CT1 (âge valide, tout valide)
● c) Correct → tous les attributs invalides → nouvelle combinaison (R8)
● d) Faux → car une nouvelle règle est testée en c)

Cette question correspond à l\'objectif d\'apprentissage FL-4.2.1 (K3) – Utiliser les partitions d\'équivalence pour dériver les cas de test
● a) Correct → Les valeurs 9 € (juste en dessous du minimum), 10 € (minimum), 10 000 € (maximum) et 10 001 € (juste au-dessus du maximum) couvrent les limites inférieures et supérieures
● b) Faux → Les valeurs intermédiaires comme 5 000 € ne testent pas les limites.
● c) Faux → 0 € et 15 000 € sont en dehors des limites pertinentes.
● d) Faux → Tester uniquement les valeurs limites sans les valeurs juste en dehors des limites ne couvre pas tous les scénarios possibles.

Cette question correspond à l’objectif d’apprentissage FL-2.2.1 (K2) - Distinguer les différents niveaux de test.
La bonne réponse est a) 1A, 2C, 3B, 4A

● 1A) Correct → Les tests d’intégration vérifient comment les systèmes logicielsinteragissent entre eux.
● 2C) Correct → Les tests unitaires permettent de détecter des défauts techniques dans des unités de code isolées.
● 3B) Correct → Les tests système valident le comportement global du système dans un environnement réaliste.
● 4A) Correct → Les tests d’acceptation vérifient que le produit répond aux attentes
métiers et fonctionnelles.

Cette question correspond à l’objectif FL-5.3.3 (K2) – Donner des exemples de communication de l’état d’avancement des tests.
● a) Faux → Trop technique, inutile pour un suivi métier.
● b) Faux → La revue de code concerne la qualité du code, pas l’avancement des tests.
● c) Correct → Le burndown chart est un excellent moyen visuel de suivre la progression dans le temps.
● d) Faux → Les commits ne donnent pas de vue globale sur l’exécution des tests.

Cette question correspond à l\'objectif d\'apprentissage FL-4.2.4 - Utiliser les tests de transition d\'état pour dériver les cas de test..

Analysons les transitions possibles à partir de l\'état \"En attente\" :
● Disponible : En attente → Réservé
● Non Disponible : En attente → En attente
● Changer Véhicule : En attente → En attente
● Annuler : En attente → Terminé

À partir de l\'état \"Réservé\" :
● Disponible : Réservé → Réservé
● Non Disponible : Réservé → En attente
● Changer Véhicule : Réservé → Réservé
● Payer : Réservé → Confirmé
● Annuler : Réservé → Terminé

À partir de l\'état \"Confirmé\" :
● Changer Véhicule : Confirmé → Réservé
● Annuler : Confirmé → Terminé
Maintenant, analysons le chemin de chaque option en partant de l\'état \"

En attente\" :
a) Non Disponible, Disponible, Changer Véhicule, Non Disponible, Annuler : En attente →En attente → Réservé → Réservé → En attente → Terminé Couvre 5 transitions mais aucune transition depuis Réservé vers Confirmé ou depuis Confirmé vers Terminé

b) Disponible, Changer Véhicule, Non Disponible, Disponible, Payer : En attente → Réservé → Réservé → En attente → Réservé → Confirmé. Couvre 5 transitions incluant l\'état
Confirmé

c) Disponible, Changer Véhicule, Disponible, Changer Véhicule, Non Disponible : En attente → Réservé → Réservé → Réservé → Réservé → En attente Couvre seulement 3
transitions uniques

d) Non Disponible, Annuler, Changer Véhicule, Disponible, Payer : En attente → En attente → Terminé → (impossible de continuer car Terminé est un état final) Séquence invalide après la deuxième transition

L\'option b) offre la meilleure couverture car elle couvre 5 transitions et atteint l\'état \"Confirmé\", qui n\'est pas couvert par les autres options valides.

Cette question correspond à l\'objectif d\'apprentissage FL-5.1.4 (K2) -

Utiliser des techniques d\'estimation pour calculer l\'effort de test requis.

● a) Correct → Pour calculer l\'estimation basée sur des ratios, il faut d\'abord calculer le ratio moyen entre le budget développement et le coût du testing pour tous les projets historiques:

○ Projet 1 : 300/2,500 = 0.12
○ Projet 2 : 270/1,800 = 0.15
○ Projet 3 : 560/3,200 = 0.175
○ Projet 4 : 430/2,700 = 0.159
○ Moyenne = (0.12+0.15+0.175+0.159)/4 = 0.16

Ensuite, on applique ce ratio au coût de recherche estimé: 2,400 k€ × 0.16 = 384 k€

● b) Faux→ Cette valeur semble être une simple approximation sans appliquer la technique d\'estimation par ratios.
● c) Faux → Ce résultat pourrait provenir d\'un calcul erroné utilisant un ratio approximatif de 0.156 plutôt que le ratio moyen exact.
● d) Faux → Cette réponse semble résulter d\'un calcul avec un ratio de 0.17, qui n\'est pas la moyenne exacte des ratios individuels.

Pour sécuriser des zones sensibles, il faut des contrôles physiques (portes, badges, gardes), qui empêchent l’accès physique direct.

Risk Transfer: Moving financial responsibility of potential losses to a third party through insurance or contracts. Cyber insurance shifts the burden of breach costs to an insurer rather than accepting, avoiding, or mitigating the risk internally. Unlike mitigation (reducing likelihood/impact) or acceptance (retaining the risk), transfer delegates monetary consequences to another entity.

Answer: Sensitive.
Explanation: Patient data (PHI — Protected Health Information) is classified as sensitive due to HIPAA requirements and patient privacy expectations. Sensitive data requires strict access controls, encryption, and audit logging.

Red Team Role: Represents adversarial attackers conducting penetration testing and social engineering to identify vulnerabilities. Red teams simulate real threats by attempting unauthorized access and exploitation. Blue teams defend; white teams referee; green teams focus on development security—only red teams actively attack systems.

A security policy is a formal, high-level document that defines an organization's security objectives, expectations, and rules. It states what must be done (not how). Examples: Acceptable Use Policy, Password Policy, Data Classification Policy. Policies form the foundation of an information security program — they drive procedures, standards, and guidelines. Without policies, there are no baseline expectations to measure compliance against, making enforcement and auditing impossible. Policies require senior management approval and must be communicated to all employees.

GDPR (General Data Protection Regulation) is the EU's comprehensive privacy law that applies to any organization processing personal data of EU residents — even if the organization is based outside the EU. Key requirements: lawful basis for processing, data minimization, right to access/erasure, breach notification within 72 hours, Data Protection Officer (DPO) appointment for high-risk processing, and Privacy by Design. HIPAA covers US healthcare data. PCI-DSS covers payment card data. SOX covers US financial reporting.

Un employé a cliqué sur un lien dans un e-mail frauduleux et a saisi ses identifiants sur un faux site. C’est typiquement une attaque de phishing, qui consiste à tromper la victime pour obtenir des informations sensibles via un site ou un message imitant une source légitime.

Change Management Framework: Formal change control procedures establish governance before modifications occur. Documentation creates an audit trail, enables rollback planning, and ensures stakeholder awareness—critical in production environments. While urgency exists, bypassing controls risks undocumented system states and compliance violations. Backup and user notification follow change approval, not precede it.

Data Loss Prevention (DLP): A security technology that monitors, detects, and blocks unauthorized transmission of sensitive data outside the network perimeter. DLP specifically targets data exfiltration through email, cloud storage, and removable media. Unlike encryption (protects data at rest/transit), VPN (provides secure connections), or antivirus (detects malware), DLP actively enforces data handling policies and prevents unauthorized removal.

Chain of Custody: A documented record tracking evidence possession, handling, and transfer from collection through analysis. Maintains integrity and admissibility by proving evidence wasn't tampered with. While forensic imaging, evidence tagging, and data hashing support the process, chain of custody is the overarching procedure documenting the entire evidence lifecycle.

Azure SQL Database est un service de base de données relationnelle complètement managé (PaaS) qui offre scalabilité automatique, sauvegardes intégrées et haute disponibilité sans gestion d'infrastructure. Contrairement à Azure Cosmos DB (NoSQL), Azure Data Lake (stockage big data) et Azure Files (partages fichiers), Azure SQL Database fournit un moteur SQL relationnel traditionnel avec ACID, idéal pour les applications métier structurées.

Azure Blob Storage (Binary Large Object) est le service de stockage objet d'Azure, optimisé pour les fichiers non structurés. Il propose trois niveaux d'accès : Hot (accès fréquent, coût stockage élevé), Cool (accès peu fréquent, coût moindre), Archive (stockage long terme, accès très rare, coût minimal). Il supporte jusqu'à 190 TB par blob et des milliards de blobs par compte de stockage. C'est la base du Data Lake Azure et des backups Azure.

Microsoft Power BI est la solution de Business Intelligence (BI) d'Azure qui permet de connecter de nombreuses sources de données (Azure SQL, Cosmos DB, Excel, Salesforce, etc.), de créer des rapports interactifs avec des visualisations (graphiques, cartes, KPIs), et de les partager via Power BI Service (cloud). Il existe en trois éditions : Desktop (gratuit, création), Pro (partage, collaboration), Premium (large diffusion, IA). Azure Synapse Analytics s'intègre directement avec Power BI pour des analyses en temps quasi-réel sur de grands volumes.

Réponse : Azure SQL Database. Explication : Azure SQL Database est un service de base de données relationnelle PaaS complètement géré, optimisé pour les charges de travail OLTP dans les applications SaaS. Il fournit la mise à l'échelle automatique, la haute disponibilité intégrée et la sécurité sans nécessiter de gestion d'infrastructure.

DROP TABLE : commande DDL (Data Definition Language) qui supprime définitivement une table, sa structure complète et toutes ses données. Contrairement à DELETE FROM (supprime uniquement les données, conserve la structure) et TRUNCATE TABLE (vide la table mais garde sa structure), DROP TABLE efface l'objet table lui-même de la base de données.

SELECT est la commande SQL fondamentale pour lire et extraire des données d'une base de données. Elle permet de récupérer les lignes et colonnes spécifiées selon des critères définis. Contrairement à INSERT (ajouter), UPDATE (modifier) et DELETE (supprimer), SELECT n'altère jamais les données : c'est une opération de lecture sécurisée et essentielle en analytics.

Azure SQL Auditing enregistre les événements de base de données (connexions, requêtes, modifications de schéma) dans un journal d'audit stocké dans Azure Blob Storage, Azure Monitor Logs ou Azure Event Hubs. Il permet de détecter les accès non autorisés, les requêtes suspectes et de satisfaire aux exigences de conformité (RGPD, HIPAA, PCI-DSS). Complémentairement, Microsoft Defender for SQL (anciennement Advanced Threat Protection) détecte les comportements anormaux (injections SQL, accès depuis des IPs inconnues). Azure Monitor surveille les métriques de performance.

Un data warehouse est spécifiquement conçu pour l'analyse OLAP (Online Analytical Processing), optimisant les requêtes de lecture sur de grands volumes de données historiques intégrées, ce qui en fait un outil d'intelligence décisionnelle. La première option décrit plutôt une base de données OLTP (transactions temps réel), la troisième caractérise un data lake (données brutes), et la quatrième une base de données NoSQL documentaire, qui sont des architectures de données différentes.

API Gremlin et modèle graphe : Gremlin est un langage de requête standardisé pour naviguer dans les bases de données graphes. Cosmos DB utilise ce modèle pour stocker des données sous forme de nœuds (entités) et d'arêtes (relations) entre eux, idéal pour représenter des réseaux complexes. Contrairement au modèle relationnel (tables), au modèle clé-valeur (paires simples) ou au modèle orienté colonnes (analytique), le graphe excelle pour explorer les connexions et chemins entre données interconnectées.

Une clé étrangère (Foreign Key) est une contrainte référentielle qui lie une colonne d'une table à la clé primaire d'une autre table. Elle garantit l'intégrité référentielle : on ne peut pas insérer une valeur dans la colonne FK si elle n'existe pas dans la table référencée, ni supprimer une ligne référencée sans gérer les dépendances. Exemple : une table Commandes avec un CustomerID (FK) référençant la table Clients (PK=CustomerID). Sans FK, on pourrait avoir des commandes orphelines sans client associé.

Réponse : Contrôle les champs obligatoires/optionnels lors de la saisie.
Explication : Définit la visibilité et l’obligation des champs par compte.

Ordre correct Procure-to-Pay :

1. Commande d'achat (ME21N) avec imputation
2. Réception de marchandises (MIGO/GR)
3. Réception de facture (MIRO)
4. Paiement via F110 (automatique) ou F-53 (manuel)

Le flux P2P génère des écritures automatiques dans FI à la réception de marchandises (débit stock/charges / crédit GR/IR) et lors de la facture (débit GR/IR / crédit fournisseur).

Réponse : Détermine la plage de numérotation et la nature d'opération
Le type de document (Document Type) définit la plage de numérotation des documents, les types de comptes autorisés (G/L, client, fournisseur) et la nature comptable de l'opération. Exemples : AB (actifs), SA (pièce comptable GL), KR (facture fournisseur), DR (facture client).

Réponse : F-53
Explication : F-53 enregistre un paiement sortant manuel et propose le lettrage des postes fournisseurs.

Réponse : Identifier et résoudre les écarts entre transactions réciproques des entités d’un même groupe.
Explication : L’ICR compare soldes/mouvements inter‑sociétés et trace le statut de résolution des divergences.

Réponse correcte : Les Versions de Situation Financière permettent de structurer les comptes du Grand Livre en nœuds hiérarchiques pour la présentation des bilans et comptes de résultats. Elles définissent comment les comptes G/L sont organisés et consolidés dans les états financiers. Pourquoi les autres réponses sont incorrectes : La première option décrit la gestion des versions de documents (Gestion des Documents), non les Versions de Situation Financière. La troisième confond avec les versions du plan comptable lui-même, tandis que la quatrième concerne le contrôle de la mise en page des rapports, qui concerne la configuration des rapports FI standard.

Réponse : Domaine d'activité ; secteur d'activité ; centre de profit. Explication : Les domaines d'activité, les secteurs d'activité et les centres de profit sont des unités organisationnelles qui peuvent être attribuées à plusieurs codes sociétés pour le reporting interentreprises. Ils ne sont pas liés à un seul code société, permettant une analyse financière de groupe entre les entités juridiques.

Réponse : La devise dans laquelle la comptabilité de la société est tenue par défaut (balances, états).
Explication : Elle est paramétrée au niveau du code société et coexiste avec d’autres devises parallèles selon le ledger.

Réponse : Réception de marchandises évaluée sur une commande d'achat avec affectation d'immobilisations ; règlement d'une commande d'investissement à une immobilisation en cours de construction. Explication : Le compte de clearing technique est utilisé lorsque les coûts des immobilisations sont comptabilisés en deux étapes : (1) lors de la réception de marchandises évaluée sur une commande d'achat avant la réception de la facture, et (2) lors du règlement des commandes d'investissement aux immobilisations en cours de construction, comblant la comptabilisation intermédiaire.

Réponse correcte : Les Conditions de Paiement dans SAP FI définissent les règles de calcul des dates d'échéance et des conditions d'escompte pour anticipation applicables aux factures. Cela détermine quand une facture doit être payée et quels rabais sont accordés pour paiement anticipé. Pourquoi les autres réponses sont incorrectes : Les coordonnées bancaires sont configurées séparément dans la configuration bancaire, la procédure de relance pour clients en retard est configurée dans la fonctionnalité Dunning, et le type de document utilisé pour les paiements est défini dans la configuration des Types de Document, non dans les Conditions de Paiement.

« Liberté, Égalité, Fraternité » est la devise officielle de la République française, inscrite dans la Constitution. Liberté : droit de chacun de faire ce que les lois permettent, sans nuire à autrui (Déclaration de 1789). Égalité : tous les citoyens sont égaux devant la loi, sans distinction d'origine, de race ou de religion. Fraternité : solidarité entre les membres de la nation, aide aux plus démunis. Cette devise est issue de la Révolution française et officialisée sous la IIIe République.

Pour toute naturalisation (par mariage ou par décret), un niveau de français B1 oral et écrit est exigé, conformément au décret n°2011-1265. Le candidat doit prouver sa maîtrise par un diplôme reconnu (DELF B1 ou supérieur) ou par un titre délivré en France après au moins 3 ans de scolarité en français. Le niveau A2 est insuffisant. Aucun niveau requis est faux — c'est une condition obligatoire depuis 2012.

La loi du 9 décembre 1905 sur la séparation des Églises et de l'État est le texte fondateur de la laïcité en France. Elle met fin au Concordat de 1801 et affirme que « la République ne reconnaît, ne salarie ni ne subventionne aucun culte ». La loi Falloux (1850) organisait l'enseignement religieux. La loi Jules Ferry (1881-1882) instaura l'école publique, gratuite, laïque et obligatoire. La loi Debré (1959) régit les rapports entre l'État et l'enseignement privé sous contrat.

Le drapeau français, appelé le Tricolore, présente les couleurs dans l'ordre bleu, blanc, rouge de gauche à droite. Adopté lors de la Révolution française, il symbolise la cocarde révolutionnaire née de la combinaison du bleu et rouge de Paris avec le blanc royal. Rouge, Blanc, Bleu est l'ordre du drapeau néerlandais ou luxembourgeois — attention à ne pas confondre. Le drapeau tricolore est protégé par la Constitution.

La laïcité à l'école publique signifie que l'enseignement est neutre, sans instruction religieuse obligatoire. Depuis la loi du 15 mars 2004, les élèves ne peuvent porter de signes religieux ostensibles (voile islamique, kippa, grande croix) dans les écoles, collèges et lycées publics. Les enseignants sont soumis à un devoir strict de neutralité depuis 1886. L'école laïque vise à former des citoyens libres, capables de raisonner indépendamment de toute influence religieuse. Les établissements privés sous contrat appliquent des règles différentes.

Oui, une condamnation pénale peut entraîner un refus de naturalisation. Selon le Code civil, n'est pas admis à acquérir la nationalité française par naturalisation quiconque a fait l'objet d'une condamnation à une peine d'au moins 6 mois d'emprisonnement sans sursis, ou de certaines infractions graves (terrorisme, crimes contre l'humanité). Un casier judiciaire B2 vierge est généralement exigé. Les contraventions et infractions mineures n'empêchent pas nécessairement la procédure.

Naturalisation française : processus juridique accordant la nationalité française à un étranger, lui permettant d'exercer les droits civiques (vote, éligibilité) et politiques tout en acceptant les devoirs du citoyen. Contrairement aux idées reçues, elle ne vise pas l'accès aux allocations ni la double nationalité permanente, mais l'intégration civique complète.

L'Allemagne est le pays le plus peuplé de l'Union européenne avec environ 84 millions d'habitants. C'est aussi la première économie de l'UE et l'une des premières mondiales. La France est au 2e rang européen (~68 millions). L'Italie est 3e (~60 millions). L'Espagne est 4e (~47 millions). La population totale de l'UE est d'environ 450 millions de personnes réparties dans 27 États membres.

La Première République française fut proclamée le 21 septembre 1792, lors de la première réunion de la Convention nationale, au lendemain de la victoire de Valmy. Elle succédait à la monarchie constitutionnelle établie en 1791. 1789 = début de la Révolution (prise de la Bastille) et monarchie constitutionnelle. 1804 = proclamation du Premier Empire par Napoléon Bonaparte. La Première République prit fin en 1799 avec le coup d'État du 18 Brumaire.

Le rôle du maire : élu local, il représente l'État dans sa commune et gère ses affaires (état civil, urbanisme, écoles). Contrairement au préfet nommé par l'État, le maire est élu par les citoyens et n'a pas autorité sur les départements.

Concept clé : Transparence dans le test AI. Une documentation complète des capacités du modèle, de ses limitations et des sources d'entraînement permet aux parties prenantes de comprendre et d'évaluer les systèmes AI. Les testeurs doivent valider que tous les éléments de transparence requis sont correctement documentés et accessibles aux parties concernées.

Concept clé : Test de robustesse pour la sécurité. La robustesse désigne une performance cohérente dans des conditions variées. Pour les systèmes AI critiques pour la sécurité, les testeurs doivent valider la performance dans des conditions de pluie, de brouillard, de neige, en conditions nocturnes, ainsi que dans des cas limites et des scénarios inattendus, afin de s'assurer que le système reste sûr en déploiement réel.

Réponse : L\'amélioration continue.
Explication : L\'amélioration continue est la responsabilité de chacun dans l\'organisation, pas seulement d\'une équipe dédiée. Chaque employé doit contribuer à l\'identification et à la mise en oeuvre des améliorations.

Réponse : protéger.
Explication : La pratique de gestion de la sécurité de l\'information a pour but de protéger les informations de l\'organisation contre les menaces, en assurant confidentialité, intégrité et disponibilité.

Réponse : La gestion des niveaux de service.
Explication : La gestion des niveaux de service définit et suit les métriques reflétant l\'expérience réelle du client, en établissant des accords sur la qualité du service fourni.

Réponse : Résultats souhaités par une partie prenante.
Explication : Les résultats (outcomes) sont les effets souhaités par une partie prenante. Ils diffèrent des livrables (outputs) : le résultat est la valeur créée pour le consommateur, pas le produit livré.

Réponse : Le problème conserve l\'état d\'erreur connue.
Explication : Lorsqu\'une solution de contournement devient permanente car le problème ne peut être résolu définitivement, le problème reste dans l\'état \'erreur connue\' : documenté mais non résolu.

Réponse : les résultats.
Explication : Selon ITIL 4, un service est un moyen de co-créer de la valeur en facilitant les résultats que les clients souhaitent atteindre, sans qu\'ils aient à gérer les coûts et risques spécifiques.

Réponse : Les centres de services doivent comprendre l\'organisation dans son ensemble.
Explication : Les centres de services doivent avoir une compréhension globale de l\'organisation pour orienter correctement les utilisateurs, comprendre les impacts des incidents et prioriser les demandes.

Réponse : Elle permet de diriger l\'incident vers la zone de support appropriée.
Explication : La catégorisation des incidents permet de les acheminer rapidement vers la bonne équipe de support, ce qui accélère leur résolution et améliore l\'efficacité du processus.

Réponse : Il peut fournir un appariement automatisé des incidents aux problèmes ou aux erreurs connues.
Explication : Les outils ITSM peuvent automatiquement associer de nouveaux incidents aux problèmes ou erreurs connus, accélérant ainsi le diagnostic et permettant d\'appliquer des solutions de contournement documentées.

Réponse : S\'assurer que les fournisseurs de l\'organisation et leurs performances sont gérés de manière appropriée afin de supporter l\'approvisionnement continu de produits et services de qualité.
Explication : La gestion des fournisseurs assure que les relations avec les fournisseurs externes sont correctement gérées pour garantir un approvisionnement continu en produits et services de qualité.

L’application mobile OneDrive permet :

• D’accéder aux fichiers sur tablette et smartphone

• De rendre certains fichiers ou dossiers disponibles hors ligne

• De minimiser le stockage local, car seuls les fichiers sélectionnés sont téléchargés pour un accès hors ligne, le reste reste dans le cloud.

  🎯 À retenir pour l’examen MS-900 :

  • OneDrive mobile app + disponibilité hors ligne = accès aux fichiers sur appareils mobiles même sans connexion, avec stockage local limité.

  • Les autres solutions (navigateur, WebDAV, laptop) ne répondent pas au besoin mobile hors ligne.

DMARC (Domain-based Message Authentication, Reporting, and Conformance) est un protocole d’authentification des e-mails qui :

• S’appuie sur SPF (Sender Policy Framework) pour vérifier que l’expéditeur est autorisé à envoyer des e-mails pour un domaine donné.

• Utilise DKIM (DomainKeys Identified Mail) pour valider l’intégrité du message grâce à une signature numérique.

• Ajoute une politique (policy) permettant au propriétaire du domaine d’indiquer aux serveurs destinataires quoi faire si l’authentification échoue :

  • Ne rien faire (monitoring)

  • Mettre en quarantaine

  • Rejeter le message

👉 DMARC joue donc un rôle clé dans la lutte contre le phishing, l’usurpation d’identité (spoofing) et la fraude par e-mail.

• Une attaque Golden Ticket consiste à forger des Ticket Granting Tickets (TGT) pour obtenir un accès illimité aux services Active Directory.

• Defender for Identity déclenche une alerte spécifique Golden Ticket attack detection lorsqu’il détecte ce type de manipulation du compte KRBTGT.

• Les autres alertes :

  • Pass-the-Ticket detection : utilisation frauduleuse d’un ticket existant, pas sa création.

  • DCSync attack detection : vol des informations d’Active Directory via des requêtes LDAP sur le contrôleur de domaine.

  • Lateral movement path mapping : cartographie des déplacements latéraux dans le réseau, pas la création de tickets.

• Azure Virtual Desktop permet de configurer l’autoscaling des session host VMs selon la demande :

  • Réduire les VMs pendant les heures creuses

  • Augmenter automatiquement pendant les périodes de forte utilisation

• Les autres options ne fournissent pas d’autoscaling intégré :

  • B : Windows 365 Cloud PCs fournit des PC persistants, mais l’autoscaling n’est pas automatique.

  • C : Microsoft Endpoint Manager gère la configuration et les mises à jour, pas l’autoscaling.

  • D : Azure Automation peut automatiser des tâches, mais nécessite une configuration manuelle pour l’autoscaling.

Dans Microsoft Viva Goals, il est possible de contrôler la visibilité des objectifs (Goals) et des OKR en configurant des autorisations au niveau de l’équipe ou de l’objectif.

👉 Les contrôles d’accès basés sur l’équipe permettent :

• De limiter la visibilité d’un objectif à une équipe spécifique (par exemple : Finance)

• D’empêcher les autres utilisateurs de l’organisation d’y accéder

• De garantir la confidentialité des OKR sensibles

C’est la méthode appropriée pour gérer la visibilité directement dans Viva Goals.

• Monthly Enterprise Channel (canal mensuel pour entreprises) :

  • Fournit les mises à jour de fonctionnalités mensuelles dès qu’elles sont disponibles pour le grand public.

  • Convient aux organisations qui veulent un équilibre entre rapidité et stabilité.

• Ce canal est idéal pour déployer rapidement de nouvelles fonctionnalités aux groupes pilotes ou à certaines machines, sans attendre les canaux plus longs comme le Semi-Annual Channel.

  🎯 À retenir pour l’examen MS-900 :

  • Monthly Enterprise Channel = mises à jour mensuelles officielles pour entreprises, avec déploiement rapide

  • Semi-Annual Channel = déploiement lent, deux fois par an

  • Insider / Default Channel = pas adapté pour un déploiement contrôlé en entreprise

• Cette méthode permet d’installer l’application sur les appareils Windows 10.

• Le Configuration Profile configure certains paramètres de l’appareil, mais ne garantit pas la configuration des paramètres internes spécifiques à l’application.

• Convient pour des applications MSI simples, mais pas pour des applications personnalisées nécessitant des paramètres préconfigurés.

✅ En résumé : C installe l’app, mais A est nécessaire pour installer + configurer les paramètres internes de l’application.

• Copilot Chat dans Microsoft Teams peut analyser les conversations et générer des tâches.

• Limitation actuelle : il peut créer des tâches dans Microsoft Planner, mais ne prend pas encore en charge la création directe de tâches dans Microsoft To Do.

• Cela signifie que si vous demandez à Copilot de convertir des éléments d’action en To Do, la commande ne fonctionnera pas directement.

• Reminder (Rappel) permet d’envoyer une notification à une heure précise, même si l’application n’est pas ouverte.

• C’est la fonctionnalité qui déclenche une alerte automatique à 8h chaque matin.

  🎯 À retenir pour l’examen MS-900 :

  • Reminder = notification à une heure précise

  • Recurrence = répétition de la tâche

  • Les deux peuvent être combinés, mais pour recevoir une alerte à 8h, il faut activer le rappel.

Dans Microsoft Lists, la mise en forme de colonne (Column formatting) permet d’appliquer un style visuel conditionnel à une colonne spécifique.

👉 Elle permet notamment :

• De modifier la couleur d’arrière-plan

• De changer la couleur du texte

• D’ajouter des icônes

• D’appliquer des règles conditionnelles (ex : si la valeur < seuil → fond rouge)

Cette fonctionnalité utilise du JSON en arrière-plan, mais du point de vue fonctionnel, la capacité recherchée est bien la mise en forme de colonne.

• Domain Controllers (DCs) sont des actifs critiques : si compromis, un ransomware peut propager des droits administratifs à l’ensemble de l’entreprise.

• Microsoft Best Practices pour la résilience AD / PIM recommandent :

  • Just-in-Time (JIT) access pour les comptes privilégiés

  • Activation temporaire uniquement lorsqu’un administrateur a besoin de se connecter au DC

  • Journalisation et audit de chaque activation

• Avantages :

  • Réduit la fenêtre d’exposition aux attaques

  • Garantit que les comptes administratifs ne sont pas toujours actifs

  • Conformité aux principes Zero Trust et moindre privilège

• Air-gapped backups : sauvegardes isolées du réseau principal pour empêcher toute attaque ransomware ou accès malveillant

• Recovery Services Vault dans une souscription séparée :

  • Sépare physiquement la gestion des backups de l’environnement de production

  • Permet RBAC strict et contrôle d’accès granulaire

  • Empêche les attaques réseau ou les utilisateurs compromis dans la souscription principale d’atteindre les sauvegardes

• Approche recommandée par Microsoft pour Protection contre ransomware et menaces internes sur les données critiques opérationnelles

Microsoft Defender for Cloud inclut un tableau de bord de conformité réglementaire qui permet :

• D’évaluer la conformité par rapport à des standards reconnus (comme le CIS Microsoft Azure Foundations Benchmark).

• D’afficher les contrôles conformes et non conformes.

• De fournir des recommandations de remédiation détaillées pour chaque contrôle non conforme.

• D’automatiser certaines corrections via Azure Policy.

Cela correspond exactement au besoin :
👉 valider la conformité ET obtenir les actions correctives associées.

• Problème : les applications legacy utilisent souvent des protocoles d’authentification non sécurisés (ex : IMAP, POP3, SMTP Auth)

• Ces protocoles contournent Conditional Access, ce qui crée une surface d’attaque importante

• Solution Microsoft recommandée pour Zero Trust :

  • Bloquer la legacy authentication dans Conditional Access

  • Appliquer MFA et autres contrôles modernes uniquement sur les applications et utilisateurs qui supportent les protocoles modernes

  • Réduire considérablement le risque de compromission des identités

• DLP (Data Loss Prevention) dans Microsoft Purview :

  • Permet d’identifier automatiquement les informations sensibles, y compris les PHI

  • Empêche le partage accidentel ou non autorisé dans Teams, SharePoint, OneDrive et Outlook

  • Fonctionne en temps réel, donc même si Copilot est utilisé, les données sensibles ne sont pas exposées

• C’est la solution la plus efficace pour protéger les données sensibles tout en autorisant l’usage normal de Copilot.

• Scenario : Zero Trust → contrôler l’accès en fonction de l’état de l’appareil, de l’identité et de la localisation.

• Intune + Conditional Access permet :

  • Vérifier si l’appareil est géré et conforme aux politiques de sécurité

  • Appliquer des conditions préalables à l’accès, comme :

    • BitLocker activé

    • Antivirus à jour

    • Correctifs appliqués

  • Bloquer l’accès depuis appareils non conformes

• C’est la méthode standard Microsoft pour protéger Microsoft 365 dans un contexte Zero Trust avec des partenaires externes.

• Azure Key Vault :

  • Permet de centraliser tous les certificats TLS/SSL

  • Offre intégration native avec certaines CA pour le renouvellement automatique

  • Réduit le risque de pannes ou interruptions liées à l’expiration

  • Fournit gestion centralisée du cycle de vie (création, renouvellement, révocation, suivi)

• C’est la solution recommandée pour des environnements à grande échelle avec de nombreux certificats, comme une plateforme e-commerce.

• Fusion detection :

  • Fonctionnalité native de Sentinel pour corréler automatiquement les alertes provenant de différentes sources

  • Regroupe des alertes apparemment indépendantes mais liées à un même incident ou attaquant

  • Réduit le bruit (alert fatigue) et facilite le triage rapide par les analystes SOC

• Avantages :

  • Détecte des attaques avancées persistantes (APT) et chaînes d’attaques multi-sources

  • Crée des incidents uniques regroupant plusieurs alertes, plutôt que d’avoir des centaines d’alertes isolées

• Scenario : appliquer MFA aux guests externes, sans dépendre de la configuration du tenant partenaire.

• Conditional Access (CA) permet de :

  • Créer une politique ciblant uniquement les utilisateurs invités (User type = Guest)

  • Exiger MFA avant l’accès à vos ressources Microsoft 365 ou Azure

  • Fonctionner indépendamment du tenant d’origine de l’utilisateur → aucun changement requis côté partenaire

• C’est la meilleure pratique Microsoft pour sécuriser l’accès externe tout en restant compatible avec Zero Trust.

• Le pilier Security du WAF couvre :

  • La protection des données (chiffrement au repos et en transit)

  • La gestion des identités et des accès

  • La rotation et protection des clés

  • La gestion des vulnérabilités et la gouvernance des configurations

• Ici :

  • L’absence de rotation de clés et de chiffrement au repos constitue un manquement direct aux pratiques de sécurité recommandées par Microsoft

La bonne méthode est de créer deux configurations (une par compte/région) puis d'activer la configuration appropriée avant de lancer les commandes. gcloud configurations list affiche seulement les configurations sans les activer.

Dans App Engine, router 100% du trafic vers une version précédente dans la page Versions est la méthode la plus rapide pour revenir en arrière. La commande 'gcloud app restore' n'existe pas. Les versions précédentes sont conservées et peuvent être réactivées instantanément.

Créer un nouveau projet séparé est la seule façon de garantir qu'il n'y a aucune route réseau entre les environnements (les projets séparés sont isolés par défaut). Un Shared VPC créerait justement des routes entre projets, violant l'exigence de sécurité.

Les instances préemptibles sont jusqu'à 80% moins chères que les instances standard. Pour des jobs nocturnes de 2 heures (tolérants aux interruptions puisqu'ils s'exécutent la nuit), c'est la solution la plus économique. Les instances micro ont des performances insuffisantes pour du batch processing.

Les clés primaires monotoniquement croissantes (comme des IDs auto-incrémentés ou des timestamps) créent des hotspots dans Cloud Spanner car toutes les nouvelles données vont vers le même split. Utiliser une clé distribuée (UUID, hash) élimine ce problème.

Lier directement les projets de la société acquise au compte de facturation de votre entreprise est la méthode la plus rapide (dès demain). La migration de projets entre organisations est un processus long qui ne peut pas se faire aussi rapidement.

OS Login avec enable-oslogin=true + rôle compute.osLogin permet un accès SSH granulaire par instance, lié aux comptes Google. C'est plus sécurisé que la gestion manuelle de clés SSH : accès révocable individuellement et auditable.

Un DaemonSet garantit qu'exactement un pod s'exécute sur chaque noeud du cluster, y compris les nouveaux noeuds créés par l'autoscaling. C'est la ressource Kubernetes conçue pour les agents de surveillance per-noeud.

La bonne pratique est que le partenaire crée un compte de service dans son propre projet (il le contrôle) et que vous lui accordez l'accès au dataset BigQuery dans votre projet. Vous gardez le contrôle de qui accède à vos données.

Dans Cloud Run, le fractionnement du trafic se fait entre révisions du même service (pas entre services différents). Créer une nouvelle révision et diviser le trafic est la méthode native recommandée pour les déploiements canary sur Cloud Run.

Correct answer: Option 4. This approach, called backlog refinement, involves the Development Team helping clarify and estimate upcoming items during the Sprint. This ensures items are actionable and well-understood for Sprint Planning. Option 1 segregates knowledge from the team, Option 2 creates a false separation of concerns, and Option 3 violates the principle that the Development Team should focus on committed Sprint work first.

The Scrum Master teaches and facilitates—helping external stakeholders understand Scrum interactions and coaching the team on timebox discipline. Option 1 is wrong because the Scrum Master doesn't assign tasks; option 3 is wrong because they don't manage the board or resolve conflicts; option 4 is wrong because the Development Team demonstrates at the Sprint Review, not the Scrum Master.

Correct answers: Options 2 and 4. Option 2 correctly explains that time-boxes empower those closest to problems to make best decisions within constraints—a core self-organization principle. Option 4 correctly shows time-boxes align focus and shared understanding across the team. Option 1 confuses commitment with enforcement, and Option 3 misrepresents time-boxing's purpose in forecasting planning.

Focus and productivity improve when team members work full-time on a single Scrum Team, and a well-structured Product Backlog minimizes context-switching across teams. Customizing core Scrum is not necessary for scale—proper backlog management and team composition address these issues while maintaining framework integrity.

Per the Scrum Guide, the Development Team decides where to hold the Daily Scrum. The location should support their communication needs, not be mandated by management, Scrum Masters, or fixed locations. This reflects the team's autonomy and self-organization.

Correct: Option 6 (All of the above) - Openness, a core Scrum value, permeates the entire framework: it improves collaboration, enables quality discussions, increases engagement, accelerates feedback loops affecting time to market, and builds stakeholder confidence. Each element depends on transparent, honest communication that openness enables.

Creating Product Backlog items for security concerns and/or adding security to the Definition of Done ensures security is transparent and continuously addressed throughout development, reflecting Scrum's empirical process. This approach integrates security into regular work rather than isolating it. Separate security sprints, external delegation, or waiting for specialists violate the principle of transparency and shared accountability within the Scrum Team.

Correct: Options 1, 2, and 3 - Hardening Sprints indicate the team hasn't achieved potentially shippable increments during regular Sprints, stemming from incomplete Definition of Done or accumulated technical debt. Option 4 is false—Scrum explicitly discourages hardening Sprints. Option 5 misrepresents customization; proper Scrum prevents this need.

Option A is FALSE because the Sprint Goal is not a forecast that changes during the Sprint. While the Development Team may discover better implementation approaches, the Sprint Goal itself remains stable as a commitment. The Scrum Guide states the Goal guides the team throughout the Sprint and should only change if circumstances fundamentally shift the business objective.

Correct: Options 2, 3, and 5 - Definition of Done guides forecasting, provides real-time guidance during development, and creates transparency at the Sprint Review regarding what 'done' truly means. Option 1 treats it as a progress tracker (incorrect usage); Option 4 contradicts the goal of completing work each Sprint; Option 6 confuses Definition of Done with Sprint length.

Réponse : 63.
Explication : Le Numéro de Priorité de Risque (NPR) est calculé en multipliant la probabilité d\'occurrence, la gravité de l\'impact et la détectabilité. Pour l\'élément de risque 2, ce calcul donne 63.

Réponse : TMMi ne peut être utilisé qu\'avec le modèle V traditionnel, tandis que TPI peut être utilisé avec tous les types de cycles de vie logiciels..
Explication : D est incorrect car TMMi n\'est pas limité au modèle V ; il est indépendant du cycle de vie et applicable aux modèles V, itératifs et agiles. TPI l\'est aussi, contredisant l\'affirmation d\'une dichotomie entre les deux approches.

Réponse : Clôture du projet de test.
Explication : D est correct car la phase de clôture du projet de test produit le rapport de synthèse formelle, les artefacts de retours d\'expérience et les métriques consolidées qui constituent les principales entrées utilisées pour piloter et prioriser l\'amélioration du processus de test.

Réponse : Les préoccupations concernant l\'interface utilisateur augmentent la probabilité d\'un risque dans ce domaine et augmentent la quantité d\'effort de test nécessaire pour l\'interface utilisateur, limitant ainsi l\'effort de test disponible pour d\'autres parties de l\'outil de gestion de test..
Explication : L\'option B est correcte car elle modifie explicitement à la fois la probabilité évaluée et l\'impact basé sur les ressources (couverture de test), ce qui altère l\'exposition au risque produit et force une réévaluation des priorités. Le risque augmente (probabilité × conséquence) avec la réallocation des ressources.

Réponse : 720.
Explication : Avec un taux de défaut constant et tous les retests réussis, le calcul du nombre de tests restants tient compte de la densité de défauts. Sur 800 tests initiaux avec 10% de défauts, 80 tests échouent. Après correction et retest réussi, 720 tests restent à exécuter pour atteindre la couverture complète.

Réponse : Une approche des tests de régression.
Explication : Le plan directeur de test est un document stratégique de haut niveau qui définit l\'approche globale, la portée, les objectifs et les risques. L\'approche des tests de régression est une décision stratégique appropriée à couvrir en détail, contrairement aux détails tactiques comme les valeurs limites ou l\'organisation des cas de test.

Réponse : Les développeurs perdent le sens des responsabilités et les testeurs indépendants peuvent devenir un goulot d\'étranglement..
Explication : Le test indépendant sépare la vérification du développement, ce qui peut diminuer le sens de la responsabilité des développeurs tandis que la coordination des tests et le triage des incidents se concentrent dans une équipe distincte qui peut devenir un goulot d\'étranglement processus.

Réponse : Le pourcentage de couverture de décision atteint durant les tests unitaires. / La disponibilité de la dernière version de l\'outil d\'enregistrement-rejoue (pour tester l\'interface avec le nouvel outil de gestion des tests)..
Explication : Les critères d\'entrée sont des conditions préalables concrètes et vérifiables avant l\'exécution. La couverture de décision des tests unitaires (A) et la disponibilité des outils requis (B) sont des critères d\'entrée classiques, mesurables et directs pour l\'intégration.

Réponse : Inspections.
Explication : Les inspections (B) sont les moins appropriées car c\'est une technique d\'examen statique, axée sur les défauts, destinée à trouver des non-conformités dans les produits de travail plutôt qu\'à identifier proactivement les risques projet et produit. Les inspections utilisent des listes de contrôle et une approche orientée détection de défauts, tandis que l\'identification des risques nécessite une exploration prospective des incertitudes futures.

Réponse : Critère A = NON OK, critère B = NON OK, critère C = OK.
Explication : L\'évaluation des critères de test révèle que seul le critère C satisfait aux exigences de qualité. Les critères A et B présentent des défaillances qui nécessitent une correction avant d\'accepter le produit testé.

A. Implement semantic deduplication to identify and remove redundant information across the accumulated RAG results and conversation turns Incorrect. This reduces redundancy but doesn't solve the core issue of unbounded accumulation of RAG context. B. Implement a sliding window for RAG results from the last 2­3 queries while preserving conversation history Correct. This directly addresses context crowding by limiting RAG growth while keeping conversation continuity intact. C. Shift context budget to favor RAG results while reducing conversation history allocation Incorrect. This worsens coherence by sacrificing conversation context. D. Compress all RAG results into a consolidated summary document that updates incrementally after each retrieval Incorrect. This can introduce information loss and summary drift, especially across many turns.

A. Choosing from 18 tools instead of 4­5 relevant ones increases decision complexity beyond reliable selection thresholds. Correct. This is the core issue: as the number of available tools grows, especially across multiple unrelated domains, the model's tool selection accuracy degrades due to increased choice entropy and decision load. Even if each tool is well-described, having too many options in the same context makes it harder for the model to reliably pick the correct one, leading to cross-role tool misuse. Why the others are not correct: B. Role-description conflict Incorrect Role prompts influence behavior, but they don't inherently break tool selection when tools are available. C. Context window usage Incorrect There's no indication of truncation or missing tool definitions--this is a selection problem, not a capacity problem. D. Coordinator tracking issue Incorrect The failure happens at the subagent decision level, not because the coordinator lacks awareness of tools.

B. The order details are added to the conversation and the model reasons about which action to take. Correct. In an agentic loop, tool results (like "purchased 45 days ago") are fed back into the model's context, and the model re-evaluates the situation dynamically. It then decides whether to proceed with process_refund, escalate to a human, or take another action based on policy and the updated information. Why the others are not correct: A. Fixed tool sequence planned at the start Incorrect Agentic systems are not static workflows; they adapt after each observation. C. Pre-configured decision tree Incorrect This is rule-based automation, not LLM-driven reasoning. D. Orchestration layer automatically routes next tool call Incorrect That removes the model's reasoning role and turns it into deterministic routing.

A. Add a user_acknowledged: boolean parameter that must be set true, with instructions for the agent to only set it after the user explicitly confirms they reviewed the details Incorrect. This relies on agent discipline and is easy to bypass or mis-handle; it doesn't guarantee users actually see or understand key details. B. Implement a 60-second hold before execution completes, allowing users time to review pending allocations and cancel if needed Incorrect. Delays alone don't improve understanding; they only slow execution and may frustrate users without ensuring informed approval. C. Add a detail_level parameter with options "minimal" or "comprehensive" that controls how much context the agent presents in confirmations Incorrect. This improves formatting flexibility but does not ensure critical cost and impact information is consistently surfaced before approval. D. Return structured data including cost estimate, target project, resource specifications, and impact summary in the tool response Correct. This ensures that every allocation includes explicit, structured, reviewable details, reducing uninformed approvals and enabling users to understand cost and impact before proceeding.

A. Set temperature to 0 to eliminate output variability and ensure consistent formatting Incorrect. This reduces randomness but won't fix systematic extraction errors like misinterpreting ranges ("2 to 3"). B. Send a follow-up request including the validation error, asking the model to correct its output Correct. Providing specific validation feedback allows the model to correct the exact issue (e.g., convert "2 to 3" into a valid float), making recovery highly effective. C. Pre-process source documents to standardize problematic formats before sending them for extraction Incorrect. Helpful in some cases, but not scalable or sufficient for diverse real-world variations. D. Implement a secondary pipeline using a larger model tier to reprocess documents that fail validation Incorrect. More expensive and not necessary--targeted correction is more efficient and effective.

A. Your system prompt needs explicit instructions telling Claude to remember information from earlier turns. Incorrect. Instructions alone don't give the model memory--context must be provided with each request. B. You're not including prior messages in each API request--the stateless API doesn't retain conversation history. Correct. Claude is stateless. If earlier messages aren't passed in the request, it has no awareness of prior vocabulary. C. You need to enable conversation persistence by passing a session ID parameter with each API call. Incorrect. There's no required session ID--memory is handled by including past messages. D. The model's context window has filled up, causing earlier conversation content to be dropped. Incorrect. This would only happen in very long conversations, not typical early testing scenarios.

A. Enable the document analysis subagent to spawn its own specialized subagents dynamically when it encounters cases with many citations. Incorrect. This decentralizes orchestration and makes the system harder to monitor and debug. The coordinator loses visibility into dynamically spawned agents. B. Implement a message queue where precedent analysis tasks are processed asynchronously by a pool of worker agents. Incorrect. While this improves scalability, it introduces infrastructure complexity and reduces transparency for debugging at the coordinator level. C. Create a recursive agent hierarchy where analysis agents subdivide work among child agents until reaching single-precedent granularity. Incorrect. This further complicates the architecture and makes tracing execution paths difficult, reducing observability and control. D. Have the coordinator spawn parallel document analysis subagents, each handling a subset of precedents, then aggregate results before synthesis. Correct. This enables parallel processing to reduce latency while keeping orchestration centralized. The coordinator retains full visibility, making monitoring and debugging easier.

A. Verify that 97% accuracy meets requirements for all downstream systems that consume the extracted data. Incorrect. Important, but it doesn't ensure the confidence signal is reliable across different cases--it only checks overall acceptability. B. Analyze accuracy by document type and field to verify high-confidence extractions perform consistently across all segments, not just in aggregate. Correct. Aggregate accuracy can hide weak spots. You need to ensure confidence >90% is trustworthy across all segments, otherwise automation may introduce systematic errors. C. Compare accuracy at different confidence thresholds (85%, 90%, 95%) to find the optimal cutoff that maximizes automation while minimizing errors. Incorrect. Useful for tuning, but only after confirming the confidence signal is consistent and reliable across segments. D. Run a two-week pilot routing 25% of high-confidence extractions directly to downstream systems and monitor error reports. Incorrect. A pilot is valuable, but deploying without validating segment-level reliability first introduces avoidable risk.

A. Immediately send an API request with the update as a synthetic user message, generating an unsolicited assistant response. Incorrect. This creates an unsolicited interruption, which can feel unnatural and confusing in an active conversation. B. Append the status update as a prefix to the next user message before calling the API. Incorrect. This pollutes the user message and mixes system state with user intent, which can lead to misinterpretation. C. Configure the assistant to call a get_order_status tool at the start of every response. Incorrect. This is inefficient and unnecessary, especially when you already have the update via webhook. D. Add the current shipping status to the system prompt before the next API call. Correct. This cleanly injects up-to-date system state into context, allowing the assistant to naturally incorporate it into the next response without disrupting the conversation flow.

A. Define a tool with your target schema as input parameters and have Claude call it with the extracted data. Correct. Tool use enforces strict schema compliance at generation time, ensuring valid, structured JSON that downstream systems can reliably consume. B. Pre-fill Claude's response with an opening brace to force JSON output, then complete and parse the response. Incorrect. This is a fragile workaround and does not guarantee valid or schema-compliant JSON. C. Append instructions like "Output only valid JSON matching the schema exactly" and implement retry logic to re-prompt when JSON parsing fails. Incorrect. Helpful but not reliable--models can still produce malformed or non-conformant JSON. D. Include detailed JSON formatting instructions and the target schema in your prompt, then parse Claude's text response as JSON. Incorrect. Prompt-based formatting alone cannot guarantee strict compliance, especially in edge cases.