9,90 €/mois · Sans engagement · Résiliable à tout moment · Accès immédiat
93
examens blancs
6 379
questions
∞
tentatives
19,90 €9,90 €
/mois
Découvrez myexam.fr en 30 secondes
Certifications reconnues mondialement
AWS
Microsoft
PMI
Scrum.org
CompTIA
SAP
ISTQB
Essayez gratuitement
10 questions par certification
Sélectionnez une certification et lisez les corrections détaillées — aucune inscription requise.
* Si les questions sont proposées en anglais, c'est que l'examen officiel ne propose pas la langue française.
Sélectionnez une certification pour afficher les questions.
Question 1 / 10
Une entreprise souhaite surveiller les groupes de sécurité mal configurés qui autorisent un accès sans restriction à des ports spécifiques. Quel service AWS répondra à cette exigence ?
A. Amazon GuardDuty
B. Amazon CloudWatch
C. AWS Health Dashboard
D. AWS Trusted Advisor
✓ Bonne réponse : D
Réponse : AWS Trusted Advisor. Explication : AWS Trusted Advisor inclut des vérifications des règles de groupes de sécurité qui autorisent un accès sans restriction (0.0.0.0/0) sur des ports spécifiques. Il alerte sur les groupes de sécurité trop permissifs, contribuant ainsi à réduire la surface d'attaque inutile.
Question 2 / 10
Quelle fonctionnalité de sécurité AWS, associée à EC2, permet de filtrer le trafic entrant ?
Sélectionnez la bonne réponse.
A. AWS X-Ray.
B. Groupes de sécurité.
C. VPC Flow logs.
D. Network ACL.
✓ Bonne réponse : B
Réponse : Groupes de sécurité. Explication : Les groupes de sécurité contrôlent le trafic entrant et sortant des instances EC2.
Question 3 / 10
Une entreprise souhaite gérer les services IT déployés et gouverner ses modèles d'infrastructure as code (IaC). Quel service AWS répondra à cette exigence ?
A. AWS Resource Explorer
B. Distribution de tous les contrôles opérationnels à AWS
C. Élimination des dépenses opérationnelles
D. AWS Service Catalog
✓ Bonne réponse : C
Réponse : AWS Service Catalog. AWS Service Catalog permet aux organisations de créer et de gérer des catalogues de services IT approuvés en tant que modèles d'infrastructure as code. Il permet de gouverner les ressources qui peuvent être déployées tout en donnant aux équipes l'accès en libre-service aux configurations approuvées.
Question 4 / 10
Quel service AWS fournit des recommandations d’optimisation des coûts ?
Sélectionnez la bonne réponse.
A. AWS Pricing Calculator.
B. AWS Trusted Advisor.
C. AWS X-Ray.
D. Amazon QuickSight.
✓ Bonne réponse : B
Réponse : AWS Trusted Advisor. Explication : AWS Trusted Advisor analyse l’environnement et recommande des optimisations pour la sécurité, la performance, la résilience et les coûts.
Question 5 / 10
Un développeur souhaite déployer rapidement une application sur AWS sans créer manuellement les ressources requises. Quel service AWS répondra à ces exigences ?
A. AWS CodeBuild
B. Amazon Personalize
C. On-Demand Instances
D. Spot Instances
✓ Bonne réponse : C
Réponse : AWS Elastic Beanstalk. Explication : AWS Elastic Beanstalk est un service PaaS qui gère automatiquement le déploiement, l'approvisionnement de capacité, l'équilibrage de charge, la mise à l'échelle automatique et la surveillance de la santé. Les développeurs téléchargent simplement leur code et Elastic Beanstalk gère l'infrastructure.
Question 6 / 10
Quel est le cadre créé par AWS Professional Services pour aider à planifier une adoption cloud réussie ?
Sélectionnez la bonne réponse.
A. AWS WAF.
B. Amazon EFS.
C. AWS Secrets Manager.
D. AWS CAF.
✓ Bonne réponse : D
Réponse : AWS CAF (Cloud Adoption Framework). Explication : Le AWS CAF guide les organisations dans la transformation et la migration cloud en alignant technologie, processus et compétences.
Question 7 / 10
Une entreprise explore l'utilisation du cloud AWS et doit créer une estimation des coûts pour un projet avant la mise en place de l'infrastructure. Quel service ou fonctionnalité AWS peut être utilisé pour estimer les coûts avant le déploiement ?
A. Facturation et gestion des coûts AWS
B. Couche gratuite AWS
C. Rapport d'utilisation et de coûts AWS
D. Calculatrice de tarification AWS
✓ Bonne réponse : D
Réponse : Calculatrice de tarification AWS. Explication : La calculatrice de tarification AWS est un outil web gratuit qui vous permet de créer des estimations de coûts pour les architectures AWS avant de déployer des ressources — ce qui aide à planifier les budgets et à comparer les configurations de services.
Question 8 / 10
Pourquoi une organisation choisirait-elle AWS plutôt qu’un data center sur site ? (Choisissez DEUX réponses)
Sélectionnez toutes les réponses correctes.
A. Support technique gratuit.
B. Visites sur site pour audit.
C. Économies de coûts.
D. Ressources élastiques.
E. Licences logicielles commerciales gratuites.
✓ Bonne réponse : C, D
Réponse : Ressources élastiques / Économies de coûts. Explication : AWS offre l’élasticité (scalabilité à la demande) et des économies par rapport à l’investissement en capital sur site.
Question 9 / 10
Laquelle décrit le mieux une région AWS ?
Sélectionnez la bonne réponse.
A. Une région AWS représente le pays où l’infrastructure AWS existe.
B. Une région AWS est un réseau virtuel dédié à un seul client.
C. Une région AWS est un emplacement géographique regroupant des Edge Locations.
D. Une région AWS est un emplacement géographique regroupant plusieurs Zones de Disponibilité.
✓ Bonne réponse : D
Réponse : Une région AWS est un emplacement géographique regroupant plusieurs Zones de Disponibilité. Explication : Une région AWS se compose de plusieurs AZ physiques, séparées, mais proches, pour la tolérance de panne et la redondance.
Question 10 / 10
Quels éléments impactent le prix payé pour une instance EC2 ? (Choisissez DEUX réponses)
Sélectionnez toutes les réponses correctes.
A. Type d’instance.
B. Zone de disponibilité.
C. Nombre d’IP privées.
D. Nombre de buckets.
E. Load balancing.
✓ Bonne réponse : A, B
Réponse : Le type d’instance / La zone de disponibilité choisie. Explication : Le prix dépend du type d’instance, de la région et AZ, mais pas du load balancing, ni du nombre de buckets/IP privés.
Les hallucinations désignent des contenus plausibles mais factuellement erronés générés par un LLM.
A. Faux
B. Vrai
✓ Bonne réponse : B
Hallucinations LLM : les modèles génèrent du texte plausible et grammaticalement correct, mais factuellement inexact ou inventé. Cela survient car les LLM prédisent les tokens suivants sans vérifier la réalité. Contrairement aux erreurs de calcul (détectables), les hallucinations sont convaincantes. RAG et validation externe atténuent ce risque.
Question 2 / 10
La réduction de température rend un LLM plus déterministe pour des tâches de classification simples comme le sentiment.
A. Faux
B. Vrai
✓ Bonne réponse : B
Température et déterminisme : La température contrôle la randomité des prédictions du LLM (0=déterministe, 1+=créatif). Pour la classification, baisser la température concentre la probabilité sur le token le plus probable, rendant les sorties reproductibles. Ceci diffère des tâches créatives où haute température génère plus de diversité.
Question 3 / 10
Une chaîne de vente au détail souhaite prévoir les stocks futurs par magasin avec haute précision sur 24 mois. Quel service AWS est spécialisé pour cette prévision temporelle ?
A. Amazon Forecast avec historique de ventes par magasin et SKU
B. Amazon Comprehend pour analyser les feedback clients
C. Amazon Bedrock pour générer les scénarios d'inventaire
D. Amazon Personalize pour recommander les stocks optimaux
✓ Bonne réponse : A
Amazon Forecast : service de prévision de séries temporelles spécialisé dans la demande, les stocks et la planification. Utilise des modèles ML AutoML, traite saisonnalité et tendances sur données historiques longues pour produire prévisions précises 24 mois.
Question 4 / 10
Quel est le rôle d'une base de données vectorielle dans une architecture RAG sur Amazon Bedrock ?
A. Compresser les réponses du LLM avant de les envoyer au client
B. Stocker les poids du modèle de fondation pour accélérer l'inférence
C. Gérer les sessions utilisateur et les historiques de conversation
D. Stocker les embeddings de documents pour permettre une recherche sémantique rapide
✓ Bonne réponse : D
Les bases de données vectorielles (ex. : Amazon OpenSearch Service, Aurora pgvector, Pinecone) stockent les embeddings — représentations numériques de textes sous forme de vecteurs. Dans un pipeline RAG, les documents sont d'abord transformés en embeddings puis stockés. Lors d'une requête, la question de l'utilisateur est aussi transformée en embedding, et une recherche de similarité cosinus identifie les documents les plus pertinents à passer au LLM. Elles ne stockent pas les images directement ni les poids du modèle.
Question 5 / 10
Pour tracer en détail les entrées et sorties de chaque invocation d'un modèle Amazon Bedrock et améliorer la qualité et l'observabilité, quel service doit-on activer ?
A. Amazon EventBridge uniquement — routage d'événements sans logs détaillés
B. AWS CloudTrail seul — logs au niveau API, pas les contenus détaillés
C. AWS Trusted Advisor seul — optimisation de coûts, pas de tracing
D. Amazon Bedrock Invocation Logging — capture complète des prompts et réponses
✓ Bonne réponse : D
Amazon Bedrock Invocation Logging : service dédié qui capture automatiquement chaque prompt envoyé et chaque réponse générée par les modèles. Contrairement à CloudTrail (logs API uniquement), EventBridge (routage d'événements) ou Trusted Advisor (optimisation), seul Bedrock Invocation Logging offre la traçabilité complète des contenus pour auditer, déboguer et améliorer la qualité des applications GenAI.
Question 6 / 10
Un modèle de classification d’images s’évalue de préférence avec MSE (erreur quadratique moyenne).
A. Vrai
B. Faux
✓ Bonne réponse : B
Métriques appropriées par type de problème : MSE mesure les différences continues et convient à la régression. Pour la classification, les métriques pertinentes sont Accuracy (proportion correcte), Precision (faux positifs), Recall (faux négatifs) et F1-Score (équilibre). Le choix dépend du contexte : données déséquilibrées = Recall/F1 ; cas général = Accuracy.
Question 7 / 10
Quel service fournit un dépôt vectoriel et la recherche plus proche voisin pour des applications sémantiques ?
A. Stream analytics en temps réel seul
B. Intégration S3 native
C. Géospatial + cartes
D. OpenSearch k-NN (nearest neighbor)
✓ Bonne réponse : D
Amazon OpenSearch Service k-NN : fournit des index vectoriels natifs et une recherche par plus proche voisin, essentielle pour les applications sémantiques (RAG, recherche de similarité). Contrairement à S3 (stockage objet), OpenSearch offre une indexation et requêtes vectorielles optimisées à grande échelle.
Question 8 / 10
Quel choix réduit au mieux les coûts d’un chatbot documentaire :
A. Inclure tous les PDF dans chaque prompt
B. Envoyer un seul PDF par prompt
C. Fine‑tuner le FM sur tous les PDF
D. Utiliser une Knowledge Base Bedrock
✓ Bonne réponse : D
Knowledge Base Bedrock : service managé qui indexe et stocke les documents externalement, puis injecte automatiquement dans le prompt uniquement les passages pertinents via RAG (Retrieval-Augmented Generation). Cela réduit drastiquement la taille des prompts comparé à inclure tous les PDF à chaque appel, limitant donc les tokens consommés et les coûts. Le fine-tuning sur tous les PDF serait coûteux en entraînement et peu flexible face aux mises à jour documentaires.
Question 9 / 10
Les Guardrails Bedrock peuvent détecter et filtrer des sorties contenant des informations personnelles.
A. Faux
B. Vrai
✓ Bonne réponse : B
Guardrails Bedrock et détection PII : Les Guardrails sont des mécanismes de sécurité qui inspectent les entrées et sorties des modèles IA pour identifier et filtrer les informations personnelles (PII : noms, emails, numéros, adresses). Contrairement aux simples filtres de contenu, ils appliquent des politiques configurables qui peuvent bloquer, rediriger ou masquer les données sensibles, protégeant ainsi la conformité et la confidentialité des utilisateurs.
Question 10 / 10
Pour obtenir des réponses plus courtes et dans une langue donnée sans changer de modèle, on doit :
A. Ajuster le prompt
B. Augmenter Top‑K
C. Augmenter la température
D. Changer la taille du FM
✓ Bonne réponse : A
Prompt engineering : c'est la technique qui contrôle directement le style, la longueur et la langue des réponses sans modifier le modèle. Une instruction explicite ("Réponds en 2 phrases, en français") guide la génération. À l'inverse, la température affecte la créativité (non la langue), Top-K modifie la diversité lexicale, et la taille du FM change le modèle entier.
Dans le contexte de Scrum, qu'implique l'application des principes de la pensée lean ?
A. Réduire la taille de l'équipe en dessous du minimum recommandé
B. Réduire les gaspillages et se concentrer sur la livraison de valeur de manière efficace
C. Appliquer directement au développement logiciel les processus de chaîne de montage issus de la fabrication lean
D. Terminer le développement en un minimum de Sprints, indépendamment de la qualité
✓ Bonne réponse : B
La pensée Lean dans Scrum : Elle consiste à éliminer les activités sans valeur ajoutée tout en maximisant la livraison de valeur au client. Les principes Lean s'alignent sur l'approche itérative de Scrum en minimisant le gaspillage (processus inutiles, délais, défauts) et en concentrant les ressources sur le travail essentiel. Contrairement à la réduction de la taille de l'équipe ou à l'accélération forcée, le Lean met l'accent sur une efficacité durable grâce à l'amélioration continue.
Question 2 / 10
Le Scrum Master peut-il faciliter le Daily Scrum ?
A. Oui, le Scrum Master le facilite toujours
B. Non, il doit toujours être auto-organisé par les Developers sans facilitateur
C. Oui, mais uniquement si les Developers en font la demande
D. Non, seuls les Developers peuvent l'animer
✓ Bonne réponse : C
Responsabilité et animation du Daily Scrum : Les Developers sont propriétaires du Daily Scrum et le conduisent en tant qu'événement auto-organisé. Le rôle du Scrum Master est de s'assurer qu'il a lieu et de lever les obstacles, mais il n'en assure pas l'animation à moins que les Developers ne le demandent explicitement. Cela préserve l'autonomie des Developers tout en permettant le soutien du Scrum Master si nécessaire, distinguant ainsi l'animation (assistance optionnelle) de la présence obligatoire ou du contrôle.
Question 3 / 10
Le Scrum Master est le chef de projet de la Scrum Team.
A. Vrai
B. Faux
✓ Bonne réponse : B
Rôle du Scrum Master : Un leader servant qui facilite les processus Scrum et lève les obstacles, et non un chef de projet traditionnel. Le Scrum Master sert l'équipe, le Product Owner et l'organisation, favorisant l'auto-organisation plutôt que de diriger le travail ou d'assigner des tâches, ce qui distingue ce rôle du management de projet par le commandement et le contrôle.
Question 4 / 10
Vrai ou Faux : L'objectif d'un Sprint est de produire un Increment utile et de valeur.
A. Vrai
B. Faux
✓ Bonne réponse : A
Réponse : Vrai. Explication : Le Scrum Guide stipule explicitement que l'objectif d'un Sprint est de livrer un Increment de produit Done, utile et précieux à chaque Sprint, créant ainsi un flux continu de valeur.
Question 5 / 10
Quelle est la timebox de la Sprint Review ?
A. 4 heures pour un Sprint d'un mois.
B. Aussi longtemps que nécessaire.
C. 1 jour
D. 2 heures pour un Sprint d'un mois.
✓ Bonne réponse : A
Réponse : Le travail restant dans le temps. Explication : Les graphiques Burndown suivent la quantité de travail restant (sur l'axe Y) au fil du temps (axe X). Ils indiquent si l'équipe est en bonne voie pour compléter le Sprint Backlog ou le Product Backlog avant la date cible.
Question 6 / 10
La Scrum Team peut avoir plusieurs Scrum Masters pour gérer des projets de plus grande envergure.
A. Vrai
B. Faux
✓ Bonne réponse : B
Faux. Une Scrum Team n'a qu'un seul Scrum Master. Si une mise à l'échelle est nécessaire, des frameworks ou des approches supplémentaires peuvent être utilisés, mais chaque Scrum Team possède un seul Scrum Master.
Question 7 / 10
La Scrum Team est responsable de la création de la Definition of Done si l'organisation n'en fournit pas.
A. Faux
B. Vrai
✓ Bonne réponse : B
Responsabilité de la Scrum Team concernant la Definition of Done : La Scrum Team doit créer une Definition of Done lorsque l'organisation n'en fournit pas, garantissant ainsi des standards de qualité et la transparence. Cela permet aux équipes auto-organisées d'établir leurs propres engagements en matière de qualité, plutôt que de se retrouver face à des standards indéfinis ou incohérents.
Question 8 / 10
Le Daily Scrum est un événement qui se tient chaque jour. Quelles seraient les trois principales préoccupations si sa fréquence était réduite à tous les deux ou trois jours ? (Choisissez trois réponses.)
A. Le Product Owner ne peut pas rendre compte précisément de l'avancement aux parties prenantes.
B. Trop de temps est consacré à la mise à jour du tableau Scrum avant la réunion.
C. Le Scrum Master perd la capacité de mettre à jour correctement le diagramme de Gantt.
D. Les impediments sont identifiés et résolus plus lentement.
E. Le plan du Sprint risque de devenir inexact.
6. Les opportunités d'inspecter et d'adapter le Sprint Backlog sont perdues.
✓ Bonne réponse : D, E, 6
Réponse : Perte d'opportunités d'inspection et d'adaptation ; résolution plus lente des impediments ; le plan du Sprint devient inexact. Explication : La cadence quotidienne du Daily Scrum est essentielle pour une adaptation rapide. Des réunions moins fréquentes signifient que l'équipe ne peut pas détecter rapidement les écarts, traiter les blocages ou maintenir le plan du Sprint en phase avec la réalité.
Question 9 / 10
Le Product Owner ne collabore pas avec la Development Team durant le Sprint. Quelles sont les deux actions pertinentes qu'un Scrum Master devrait entreprendre ? (Choisissez deux réponses.)
A. Informer le responsable hiérarchique du Product Owner.
B. Soulever le problème lors de la Sprint Retrospective.
C. Nommer un Product Owner par procuration.
D. Accompagner le Product Owner sur les valeurs de Scrum et la livraison incrémentale.
E. Arrêter le Sprint, envoyer le Product Owner en formation et redémarrer.
✓ Bonne réponse : B, D
Selon le Guide Scrum, un Sprint est limité dans le temps à un mois calendaire ou moins. Cette limite maximale garantit que la complexité reste gérable et que les risques sont examinés fréquemment. Des Sprints plus courts créent davantage de boucles d'apprentissage et permettent une adaptation plus rapide. La durée du Sprint doit rester constante tout au long du projet — elle est décidée par la Scrum Team et ne varie pas d'un Sprint à l'autre.
Question 10 / 10
Qui lance le Daily Scrum ?
A. La personne qui détient le jeton.
B. La dernière personne à arriver. Cela encourage la ponctualité et aide à respecter la time-box.
C. La personne que l'Équipe de Développement désigne pour commencer.
D. Le Scrum Master. Cela garantit que l'Équipe de Développement tient la réunion et respecte la time-box.
E. La personne qui a cassé le build en dernier.
✓ Bonne réponse : C
Réponse : La personne que la Development Team décide de désigner pour commencer. Explication : Le Daily Scrum est auto-géré par la Development Team. C'est elle qui décide du format, de qui commence et de la façon dont elle le conduit. Le Scrum Master ne prescrit pas ces détails.
Quelles techniques aident un Product Owner à prioriser ? (Sélectionnez toutes les réponses applicables)
Sélectionnez toutes les réponses correctes.
A. WSJF (Weighted Shortest Job First)
B. Impact mapping
C. Modèle de Kano
D. Nombre de commits par jour
✓ Bonne réponse : A, B, C
Réponse : Impact mapping, Kano, WSJF (pondéré). Explication : Il existe de nombreuses techniques de priorisation. Scrum n'en prescrit aucune en particulier — le Product Owner choisit celle qui sert le mieux la valeur du produit.
Question 2 / 10
Combien de temps le Product Owner doit-il consacrer aux Developers ? (Choisissez la meilleure réponse.)
A. 100 %
B. Autant de temps que les Developers le demandent au Product Owner d'être présent.
C. 40 %, ou davantage si les parties prenantes en conviennent.
D. Suffisamment pour que le Product Owner ait la certitude que l'Increment répondra à la valeur attendue.
✓ Bonne réponse : D
Réponse : Suffisamment pour que le PO soit confiant que l'Increment atteindra la valeur attendue. Explication : Scrum ne prescrit pas de pourcentage fixe de temps pour le PO. Celui-ci doit investir suffisamment de temps pour maintenir le Product Backlog prêt, répondre aux questions durant les Sprints et s'assurer que l'équipe comprend ce qui constitue de la valeur.
Question 3 / 10
Le PO définit seul l'architecture technique.
Répondez par Vrai ou Faux.
A. Vrai
B. Faux
✓ Bonne réponse : B
Concept clé : La séparation des responsabilités dans les rôles Scrum. Le Product Owner définit quoi construire et pourquoi c'est important pour le métier, tandis que les Développeurs sont collectivement responsables de la manière de le construire, y compris les décisions d'architecture technique. L'architecture technique est une préoccupation de développement qui requiert l'expertise des Développeurs, et non une responsabilité du Product Owner. Le Product Owner influence les priorités et accepte le travail accompli, mais les décisions architecturales appartiennent à l'équipe de Développeurs afin de garantir la qualité technique, la maintenabilité et la faisabilité.
Question 4 / 10
Combien de Product Backlogs existe-t-il pour un produit ?
Choisissez la meilleure réponse.
A. Un seul Product Backlog par produit
B. Un backlog par composant
C. Un backlog par livraison
D. Un backlog par équipe
✓ Bonne réponse : A
Réponse : Un seul Product Backlog par produit. Explication : Il n'existe qu'un seul Product Backlog par produit, même si plusieurs Scrum Teams travaillent sur le même produit.
Question 5 / 10
Un Sprint n'a pas d'objectif si de nombreux éléments sont sélectionnés.
Répondez par Vrai ou Faux.
A. Vrai
B. Faux
✓ Bonne réponse : B
Le Sprint Goal en tant qu'engagement obligatoire : Le Sprint Goal est un artefact obligatoire dans Scrum qui apporte cohérence, focus et objectif commun à l'ensemble du travail du Sprint — quel que soit le nombre d'éléments du Product Backlog sélectionnés. La quantité d'éléments ne détermine pas l'existence d'un Sprint Goal ; au contraire, le Sprint Goal doit guider la sélection des éléments et la façon dont l'équipe de développement collabore pour livrer de la valeur. Même un Sprint comportant peu ou beaucoup d'éléments nécessite un objectif clair et inspectable qui transcende les tâches individuelles. Sans Sprint Goal, le Sprint devient une liste de travaux déconnectés plutôt qu'un engagement unifié envers une livraison de valeur significative, ce qui rend cette affirmation fausse.
Question 6 / 10
La Sprint Review est simplement une réunion d'avancement.
Répondez par Vrai ou Faux.
A. Vrai
B. Faux
✓ Bonne réponse : B
Réponse : Faux. Explication : La Sprint Review est une session de travail collaborative visant à inspecter l'Increment et à adapter le Product Backlog — ce n'est pas un rapport d'avancement.
Question 7 / 10
Quelle métrique devrait être évitée lors de l'évaluation de la valeur d'un produit ?
Choisissez la meilleure réponse.
A. Vélocité
B. Revenus générés
C. NPS (Satisfaction)
D. Taux d'utilisation
✓ Bonne réponse : A
Concept clé : La vélocité mesure la productivité de l'équipe (travail accompli par Sprint), et non la valeur produit. En tant que Product Owner, vous devez distinguer les métriques de capacité de l'équipe de la livraison de valeur réelle. La vélocité indique à quelle vitesse votre équipe travaille — essentielle pour la planification — mais ne révèle rien sur le fait que ce travail génère de la satisfaction client, des revenus, une augmentation de l'usage ou l'atteinte de votre Objectif Produit. Les métriques de valeur (NPS, taux d'utilisation, revenus) mesurent les résultats métier concrets et l'impact sur les clients. Confondre vélocité et valeur conduit à optimiser la vitesse plutôt que les résultats, en livrant potentiellement plus rapidement des fonctionnalités que les clients ne souhaitent pas. Le cadre PSPO souligne que les décisions produit doivent être centrées sur la réalisation de la valeur à travers les retours des parties prenantes et des clients, et non sur le débit de l'équipe.
Question 8 / 10
Pourquoi le Product Owner souhaite-t-il que les Developers respectent la Definition of Done ? (Choisissez la meilleure réponse.)
A. Pour savoir ce que l'équipe livrera au cours des trois prochains Sprints.
B. Pour pouvoir sanctionner l'équipe lorsqu'elle n'atteint pas son objectif de vélocité lors du Sprint.
C. Pour prédire la productivité de l'équipe au fil du temps.
D. Pour avoir une transparence totale sur ce qui a été accompli à la fin de chaque Sprint.
✓ Bonne réponse : D
Réponse : Avoir une transparence totale sur ce qui a été accompli à la fin de chaque Sprint. Explication : La Definition of Done (DoD) crée une compréhension commune de ce que signifie « terminé ». Lorsque tous les membres de l'équipe la respectent, le PO peut avoir confiance que les éléments « Done » sont véritablement prêts à être livrés — ce qui élimine toute ambiguïté lors des Sprint Reviews.
Question 9 / 10
Le Product Owner est une seule personne, et non un comité. Qu'est-ce que cela signifie en pratique ?
A. Le Product Owner crée tous les éléments du Product Backlog de manière indépendante, sans contribution de l'équipe
B. Les décisions relatives à l'ordre et au contenu du Product Backlog sont prises par une seule personne imputable
C. Le rôle de Product Owner peut être partagé entre deux employés à temps partiel
D. Le Product Owner ne peut jamais solliciter l'avis des autres
✓ Bonne réponse : B
Le Scrum Guide souligne que le Product Owner est un individu unique et responsable, chargé de prendre les décisions finales concernant l'ordonnancement et le contenu du Product Backlog, garantissant ainsi une propriété et une responsabilité claires. Bien que le PO puisse recueillir les avis des parties prenantes et de l'équipe, l'autorité de décision finale repose sur une seule personne afin d'éviter des priorités conflictuelles et des retards. Partager ce rôle entre plusieurs personnes crée une ambiguïté dans la responsabilité, et affirmer que le PO « ne doit jamais solliciter d'avis » ou « crée les éléments de manière indépendante » dénature la nature collaborative de Scrum — le principe clé est qu'une seule personne détient la responsabilité finale, et non qu'elle travaille en isolation.
Question 10 / 10
La Scrum Team a livré un Increment qui ne respecte pas la Definition of Done. Que doit faire le Product Owner ?
A. Accepter l'Increment si les parties prenantes l'approuvent
B. Reporter les éléments incomplets au Sprint suivant sans signaler l'écart
C. Ne pas livrer ni présenter l'Increment comme potentiellement livrable
D. Demander au Scrum Master de lever la Definition of Done pour ce Sprint
✓ Bonne réponse : C
Pourquoi c'est correct : La Definition of Done est un engagement qui garantit la qualité et la transparence. Un Increment qui ne satisfait pas à la Definition of Done n'est pas potentiellement livrable et ne doit pas être présenté comme tel, quelle que soit l'approbation des parties prenantes. Le Product Owner doit maintenir cette norme pour protéger la qualité du produit et la confiance des parties prenantes.
Pourquoi les autres options sont incorrectes : L'approbation des parties prenantes ne peut pas primer sur la Definition of Done — elle existe précisément pour éviter de livrer un travail incomplet. Le Scrum Master ne peut pas déroger à la Definition of Done ; il s'agit d'un engagement de l'équipe qui doit être appliqué de manière cohérente. Reporter des éléments incomplets sans transparence crée de la dette technique et donne une représentation inexacte du statut réel de l'Increment.
Quel est le bon ordre des étapes d'un processus d'estimation par points de story en Agile ?
A. Discuter les critères → Présenter → Consensus → Estimer individuellement → Révéler
B. Estimer individuellement → Présenter la user story → Discuter → Révéler → Consensus
C. Présenter la user story → Discuter les critères d'acceptation → Estimer individuellement → Révéler et discuter → Consensus
D. Présenter → Estimer individuellement → Présenter les critères → Consensus → Révéler
✓ Bonne réponse : C
Planning Poker et estimation par Story Points : L'estimation agile par points de story suit un processus structuré appelé "Planning Poker" qui garantit une estimation collaborative et précise. Première étape - Présentation : Le Product Owner ou Scrum Master présente d'abord la user story au complet pour que tous les membres de l'équipe comprennent les objectifs généraux. Deuxième étape - Clarification des critères : Ensuite, on discute explicitement des critères d'acceptation qui définissent "done", permettant à chacun d'avoir la même compréhension de ce qui doit être livré. Troisième étape - Estimation individuelle : Chaque membre estime indépendamment en secret sur la suite de Fibonacci (1, 2, 3, 5, 8, 13...) sans influence des autres, réduisant les biais cognitifs et les effets d'ancrage. Quatrième étape - Révélation synchrone : Les estimations sont révélées simultanément pour éviter que les estimations antérieures ne biaisent les suivantes. Cinquième étape - Discussion et consensus : Les divergences importantes sont débattues (pourquoi quelqu'un a-t-il estimé 3 points tandis qu'un autre en estime
Question 2 / 10
Quelle est la différence entre livrer des outputs et générer des outcomes selon le PMBOK7 ?
A. Les outputs sont mesurés par le chef de projet ; les outcomes sont mesurés par le commanditaire
B. Les outputs sont les livrables produits ; les outcomes sont les effets et changements résultant de ces livrables
C. Les outputs sont les bénéfices financiers ; les outcomes sont les livrables physiques remis
D. Les outputs concernent les projets prédictifs ; les outcomes concernent les projets Agile
✓ Bonne réponse : B
Les outputs sont les livrables produits (fonctionnalités, documents). Les outcomes sont les résultats et bénéfices obtenus (valeur, adoption, performance). Le PMBOK7 oriente le succès vers les outcomes.
Question 3 / 10
Parmi les comportements suivants du chef de projet, lesquels illustrent un leadership efficace selon le PMBOK7 ? (Sélectionnez trois réponses)
Sélectionnez toutes les réponses correctes.
A. Contrôler détaillément le travail de chaque membre de l'équipe pour assurer la conformité
B. Soutenir et inspirer l'équipe pour atteindre les objectifs du projet
C. Faire preuve d'intégrité et d'éthique dans toutes ses décisions
D. Adapter son style de management en fonction des besoins individuels des membres de l'équipe
E. Prendre toutes les décisions importantes seul, sans solliciter l'avis de l'équipe
✓ Bonne réponse : B, C, D
Le PMBOK7 encourage un leadership bienveillant et efficace. Faire preuve d\'intégrité et d\'éthique, inspirer et soutenir l\'équipe, et s\'adapter aux besoins de chacun sont des comportements alignés avec les principes de leadership du PMBOK7. A contrario, la micro-gestion ou la prise de décisions sans consulter l\'équipe sont contre-productives et ne reflètent pas un bon leadership.
Question 4 / 10
Quels sont les avantages principaux d'une approche agile comparée à une approche traditionnelle ?
Sélectionnez toutes les réponses correctes.
A. Flexibilité accrue et capacité à s'adapter aux changements
B. Processus figés et structure organisationnelle rigide
C. Retours d'expérience rapides des utilisateurs
D. Livraison incrémentale de valeur tout au long du projet
✓ Bonne réponse : A, C, D
Approche Agile vs Traditionnelle : L'agilité privilégie l'adaptation continue aux changements plutôt que la rigidité des plans figés. Elle combine trois avantages majeurs : flexibilité accrue face aux évolutions, feedback utilisateur rapide en itérations courtes, et livraison incrémentale de valeur. À l'inverse, les processus figés caractérisent les méthodes traditionnelles, ce qui constitue un désavantage, non un bénéfice de l'agilité.
Question 5 / 10
Un chef de projet doit choisir l'approche de gestion la mieux adaptée à un projet où la collaboration étroite et le feedback régulier du client sont critiques pour le succès. Quelle approche est la plus appropriée ?
Sélectionnez la bonne réponse.
A. Appliquer un modèle prédictif classique avec des phases strictes et des approbations milestones
B. Créer une nouvelle méthodologie hybride spécifique au projet
C. Utiliser une approche agile permettant les itérations, le feedback client régulier et l'adaptation rapide
D. Imposer des rapports de statut quotidiens détaillés au client sans impliquer son équipe
✓ Bonne réponse : C
Approche Agile : méthodologie itérative basée sur des cycles courts (sprints) avec livraisons régulières et intégration continue du feedback client. Elle privilégie la collaboration directe et l'adaptation rapide aux changements, essentiels quand le client doit valider fréquemment le produit. Contrairement au modèle prédictif qui fige les exigences en amont, l'agile accueille l'évolution des besoins. Une méthodologie hybride ad hoc ou des rapports sans implication réelle du client ne garantissent pas cette collaboration critique au succès.
Question 6 / 10
Un sponsor de projet commence à se désintéresser du projet et ne participe plus aux réunions clés. Que devez-vous faire en tant que chef de projet ?
Quelle action le chef de projet devrait-il entreprendre selon le domaine Parties prenantes du PMBOK7 ?
A. Ignorer le sponsor, car son désintérêt n'aura pas d'impact sur le projet
B. Confier la responsabilité du sponsor à un autre membre de l'équipe plus motivé
C. Reprendre contact avec le sponsor pour comprendre ses attentes et le réimpliquer dans le projet
D. Escalader immédiatement le problème au comité de direction pour qu'il remplace le sponsor
✓ Bonne réponse : C
Le domaine Parties prenantes met l\'accent sur l\'engagement proactif de toutes les parties prenantes. Ici, il convient de réengager le sponsor en communiquant avec lui pour comprendre ses préoccupations et raviver son implication dans le projet.
Question 7 / 10
Un projet est en retard et dépasse le budget. Quelle est la meilleure action immédiate du chef de projet ?
Sélectionnez la bonne réponse.
A. Demander immédiatement plus de budget
B. Changer de méthode de gestion
C. Ignorer la situation
D. Réaliser une analyse et proposer un plan de redressement
✓ Bonne réponse : D
Gestion des écarts et plan de redressement : Lorsqu'un projet présente des écarts significatifs (retard et surcoût), le chef de projet doit d'abord comprendre les causes profondes avant d'agir. Cette approche s'appuie sur le processus de surveillance et maîtrise du PMBOK, qui exige une analyse rigoureuse des performances réelles par rapport aux valeurs planifiées. L'analyse identifie si les écarts sont dus à des changements de scope, des risques matérialisés, des problèmes de productivité ou des estimations initiales inexactes. Un plan de redressement propose ensuite des actions correctives ou préventives (ajustement des ressources, compression de planning, réalignement des priorités) validées par le sponsor, garantissant l'adhésion aux décisions. Cette approche est supérieure aux alternatives : ignorer la situation aggrave les écarts exponentiellement ; demander immédiatement plus de budget sans justification légitime expose le PM à un manque de crédibilité et viole les principes de gouvernance ; changer de méthode sans diagnostic peut être contre-productif. Le PMBOK insiste sur la prise de décision basée sur les données et la transparence dans la communication avec les parties prenantes, clé de la gestion efficace des écarts.
Question 8 / 10
Selon le Code d'éthique et de conduite professionnelle du PMI, lesquels des comportements suivants renforcent l'éthique professionnelle d'un chef de projet ?
Sélectionnez toutes les réponses correctes.
A. Dissimuler des risques ou des problèmes pour protéger la réputation du projet
B. Accepter des cadeaux ou avantages de fournisseurs pour accélérer les approbations
C. Agir avec intégrité, respecter la confidentialité et éviter les conflits d'intérêts
D. Partager des informations confidentielles si cela peut améliorer les relations client
✓ Bonne réponse : C
Code d'éthique et de conduite professionnelle du PMI : Le PMI établit quatre valeurs fondamentales (Responsabilité, Respect, Équité et Honnêteté) qui constituent le socle de la conduite professionnelle des chefs de projet. Agir avec intégrité signifie être honnête dans toutes les communications, respecter ses engagements et prendre des décisions basées sur les principes éthiques plutôt que sur des intérêts personnels. Respecter la confidentialité exige de protéger les informations sensibles de l'organisation et des parties prenantes, conformément aux accords légaux et contractuels. Éviter les conflits d'intérêts implique de déceler et de déclarer toute situation où vos intérêts personnels pourraient influencer votre jugement professionnel.
Pourquoi cette réponse est correcte : Ces trois comportements reflètent directement le cadre éthique du PMI. Un chef de projet intègre gagne la confiance de son équipe et des parties prenantes, fondamentale pour la réussite du projet. Le PMBOK 7e édition renforce cette approche en mettant l'accent sur la performance de domaine incluant l'éthique.
Question 9 / 10
Lors d'un projet, les parties prenantes (client, sponsor, équipe, utilisateurs) ont des attentes contradictoires concernant les priorités fonctionnelles. Quelle est la meilleure pratique de gestion ?
Sélectionnez la bonne réponse.
A. Mettre en place un plan de gestion des parties prenantes incluant l'identification, l'analyse et l'engagement de chacun
B. Ignorer les parties prenantes secondaires et ne communiquer qu'avec le client principal
C. Satisfaire uniquement les clients finaux en ignorant les besoins du sponsor et de l'équipe
D. Donner systématiquement la priorité au sponsor sans consulter les autres parties prenantes
✓ Bonne réponse : A
Plan de gestion des parties prenantes : processus structuré d'identification, d'analyse et d'engagement régulier de chaque groupe. Cela prévient les conflits d'attentes en établissant des priorités claires et acceptées. Contrairement aux distracteurs qui marginalisent certains acteurs, cette approche équilibrée garantit l'alignement du projet avec les objectifs métier.
Question 10 / 10
Un client demande d'accélérer la livraison d'un incrément sans changer le périmètre ni la qualité. Quelle est votre meilleure approche ?
Quelle est la meilleure première action en tant que chef de projet selon l’orientation valeur du PMBOK7 ?
A. Mener une analyse d'impact sur les coûts, risques et qualité, puis discuter des compromis acceptables avec les parties prenantes
B. Promettre la nouvelle date sans évaluation détaillée pour satisfaire immédiatement le client
C. Réduire discrètement l'intensité des tests pour gagner du temps sans affecter la date
D. Augmenter le budget sans validation formelle afin d'ajouter rapidement des ressources
✓ Bonne réponse : A
L’orientation valeur implique d’évaluer l’impact (coût, risques, qualité) avant d’accepter une contrainte de délai. Une analyse d’impact permet d’éclairer la décision et le compromis valeur/contraintes.
Quelle information ESSENTIELLE manque pour que ce rapport soit exploitable par les développeurs ?
Voici un rapport d’anomalie rédigé par un testeur :\"L’application plante.Utilisateur : client_test02.Reproduit en environnement pré-prod.Voir capture écran.\"Sélectionnez UNE réponse.
A. Le niveau de sévérité du défaut
B. Le navigateur utilisé
C. Le résultat attendu
D. Le nom du testeur
✓ Bonne réponse : C
Cette question correspond à l’objectif FL-5.5.1 (K3) – Préparer un rapport de défaut. ● a) Faux → Utile, mais pas bloquant pour comprendre l’erreur. ● b) Correct → Sans résultat attendu, il est impossible de savoir ce qui aurait dû se produire → c’est l’élément clé manquant ● c) Faux → Peu utile dans la reproduction du défaut. ● d) Faux → Intéressant dans certains cas (web), mais pas toujours essentiel
Question 2 / 10
Quel usage approprié de la rétrospective pourrait aider à améliorer cette situation ?
Lors d’une rétrospective d’équipe après une livraison de sprint, les testeurs remontent unproblème récurrent : les exigences arrivent trop tard et ne sont pas suffisamment détailléespour écrire les cas de test à temps.
A. Augmenter la taille des sprints pour inclure toutes les activités de test
B. Supprimer l’écriture des cas de test pour gagner du temps
C. Identifier les causes racines de ces retards et mettre en place une action d’amélioration convenue par l’équipe
D. Passer les exigences directement aux développeurs sans les testeurs
✓ Bonne réponse : C
Cette question correspond à l’objectif d\'apprentissage FL-2.1.6 (K2) – Expliquer comment les rétrospectives peuvent être utilisées comme mécanisme d\'amélioration des processus. ● a) Faux → Supprimer une activité essentielle n’est pas une amélioration mais une régression. ● b) Faux → Agrandir les sprints ne règle pas le problème d’origine. ● c) Correct → La rétrospective permet d’analyser, comprendre et agir sur les causes racines, ce qui est une véritable démarche d’amélioration continue. ● d) Faux → Cela aggraverait le manque de communication, au lieu de résoudre le problème.
Question 3 / 10
Quel facteur contribue le plus à la réussite d’une revue ?
A. La suppression des discussions pour éviter les désaccords
B. La réalisation exclusive de revues informelles
C. L’absence de modérateur pour une meilleure autonomie des participants
D. La participation active des parties prenantes
✓ Bonne réponse : D
Cette question correspond à l’objectif d’apprentissage FL-3.2.5 (K1) – Rappeler les facteurs qui contribuent à la réussite d\'une revue.
● a) Correct → Impliquer activement les parties prenantes assure une meilleure qualité des revues et des retours pertinents. ● b) Faux → Encourager la discussion permet d’identifier plus efficacement les problèmes. ● c) Faux → Un modérateur aide à structurer la revue et à maintenir son efficacité. ● d) Faux → Les revues formelles sont aussi importantes que les revues informelles.
Question 4 / 10
Quels types de revues (1-4) correspondent aux descriptions suivantes (A-D) ?
1. Évaluation informelle d’un document sans processus strict2. Vérification détaillée basée sur un processus formel avec modérateur3. Examen technique impliquant un groupe d’experts métier4. Analyse collaborative des documents entre collègues pour identifier des erreursA. InspectionB. Revue informelleC. Revue techniqueD. Revue par les pairsSélectionnez UNE réponse.
A. 1A, 2C, 3D, 4B
B. 1D, 2A, 3B, 4C
C. 1B, 2D, 3A, 4C
D. 1B, 2A, 3C, 4D
✓ Bonne réponse : D
Cette question correspond à l’objectif d’apprentissage FL-3.2.4 (K2) – Comparer et opposer les différents types de revues. La bonne réponse est d) 1B, 2A, 3C, 4D ● 1B) Correct → Une revue informelle ne suit pas de processus strict. ● 2A) Correct → L’inspection est une revue très structurée avec un modérateur et des checklists. ● 3C) Correct → Une revue technique implique des experts métier ou techniques pour examiner un document. ● 4D) Correct → La revue par les pairs est une analyse collaborative des documents.
Question 5 / 10
Associez les rôles (1–4) aux responsabilités correspondantes (A–D)
1. Testeur2. Analyste métier3. Développeur4. Responsable du testA. Exécuter les tests et documenter les résultatsB. Définir les objectifs qualité et les risques métierC. Implémenter des correctifs pour les défauts détectésD. Organiser les activités de test et assurer le suiviSélectionnez UNE réponse.
A. 1A, 2B, 3C, 4D
B. 1B, 2D, 3A, 4C
C. 1D, 2C, 3B, 4A
D. 1C, 2A, 3D, 4B
✓ Bonne réponse : A
Cette question correspond à l’objectif d\'apprentissage FL-1.4.5 (K2) – Comparer les rôles impliqués dans les tests.
La bonne réponse est d) 1A, 2B, 3C, 4D ● 1A) : Correct : Le testeur exécute, observe, consigne ● 2B) : Correct : L’analyste métier définit les attentes et exigences ● 3C) : Correct : Le développeur corrige les défauts ● 4D) : Correct : Le responsable planifie, suit, et coordonne
Question 6 / 10
Lequel des cas de test suivants, s’il est ajouté à la suite existante, augmentera la couverture de la table de décision ?
Vous concevez des cas de test à partir de la table de décision suivante pour un système de validation de l’accès à une salle de sport :Les règles sont les suivantes :● L’accès est autorisé si la personne est âgée de 18 ans ou plus, a un abonnement actif et a fourni un certificat médical de moins de 6 mois.● Si une de ces conditions n’est pas remplie, l’accès est refusé.Vous avez déjà conçu les cas de test suivants :● CT1 : 20 ans, abonnement actif, certificat valide → accès autorisé● CT2 : 17 ans, abonnement actif, certificat valide → accès refusé● CT3 : 25 ans, abonnement inactif, certificat valide → accès refusé● CT4 : 30 ans, abonnement actif, certificat expiré → accès refusé● CT5 : 28 ans, abonnement inactif, certificat expiré → accès refuséSélectionnez UNE réponse.
A. Aucun des cas supplémentaires n’augmentera la couverture de la table de décision
B. 22 ans, abonnement inactif, certificat expiré → accès refusé
C. 19 ans, abonnement actif, certificat valide → accès autorisé
D. 17 ans, abonnement inactif, certificat expiré → accès refusé
✓ Bonne réponse : D
Cette question correspond à l’objectif d\'apprentissage FL-4.2.3 (K3) – Utiliser les tests par tables de décisions pour dériver les cas de test.
Les cas de tests proposés couvrent : ● CT1 (20 ans, abonnement actif, certificat valide) → couvre R1 ● CT2 (17 ans, abonnement actif, certificat valide) → couvre R5 ● CT3 (25 ans, abonnement inactif, certificat valide) → couvre R3 ● CT4 (30 ans, abonnement actif, certificat expiré) → couvre R2 ● CT5 (28 ans, abonnement inactif, certificat expiré) → couvre R4
● a) Faux → combinaison déjà couverte par CT5 ● b) Faux →redondant avec CT1 (âge valide, tout valide) ● c) Correct → tous les attributs invalides → nouvelle combinaison (R8) ● d) Faux → car une nouvelle règle est testée en c)
Question 7 / 10
Quelle technique de test convient le MIEUX dans cette situation ?
Dans votre projet, il y a eu un retard dans la livraison d\'une toute nouvelle application etl\'exécution des tests a commencé tardivement, mais vous avez une connaissance détailléedu domaine et de bonnes compétences analytiques. La liste complète des exigences n\'a pasencore été partagée avec l\'équipe, mais la direction demande que des résultats de testssoient présentés.Sélectionnez UNE réponse.
A. Tests basés sur des listes de contrôle
B. Estimation d\'erreur
C. Tests exploratoires
D. Tests de branche
✓ Bonne réponse : C
Cette question correspond à l\'objectif d\'apprentissage FL-4.4.2 (K2) - Expliquer le test exploratoire.
● a) Faux → Les tests basés sur des listes de contrôle nécessitent généralement que les exigences soient connues à l\'avance pour créer les listes appropriées. ● b) Faux → L\'estimation d\'erreur est utile pour anticiper les défauts basés sur l\'expérience, mais n\'est pas la meilleure approche dans cette situation où une couverture systématique est nécessaire rapidement. ● c) Correct → Les tests exploratoires sont idéaux quand le temps est limité et que les exigences ne sont pas complètement disponibles. Cette technique s\'appuie sur les connaissances du domaine et les compétences analytiques du testeur pour explorer le système de manière structurée mais flexible. ● d) Faux → Les tests de branche sont une technique de test de structure \"boîte blanche\" qui nécessite l\'accès au code source, ce qui n\'est pas mentionné dans le scénario et ne résout pas le problème du manque d\'exigences.
Question 8 / 10
Quel est l’un des rôles principaux du testeur lors de la planification des itérations dans un environnement Agile ?
A. Réécrire les exigences pour les rendre plus techniques
B. Définir la méthode d’implémentation des tâches techniques
C. Estimer le nombre de sprints nécessaires pour l’équipe de développement
D. Apporter une vision qualité sur les fonctionnalités prioritaires et leurs risques
✓ Bonne réponse : D
Cette question correspond à l’objectif d’apprentissage FL-5.1.2 (K1) – Reconnaître la valeur ajoutée d’un testeur dans la planification des itérations et des releases. ● a) Faux → La réécriture des exigences n’est pas une responsabilité directe du testeur. ● b) Faux → Le testeur contribue à l’estimation de l’effort de test, pas à celle des sprints de développement. ● c) Faux → Le testeur ne choisit pas comment le code est développé. ● d) Correct → Le testeur apporte une perspective qualité dès le début : il aide à identifier les risques, à définir ce qui doit être testé en priorité.
Question 9 / 10
Quelle correspondance est la PLUS appropriée entre les activités de test (1–4) et leurs objectifs (A–D) ?
1. Planification du test2. Conception du test3. Exécution du test4. Clôture du testA. Rassembler les métriques, évaluer les critères de sortie atteintsB. Choisir les cas à exécuter et les données de testC. Identifier les objectifs, ressources, et risquesD. Lancer les tests et comparer les résultats attendus et obtenus
A. 1C, 2B, 3D, 4A
B. 1A, 2D, 3B, 4C
C. 1D, 2C, 3A, 4B
D. 1B, 2A, 3C, 4D
✓ Bonne réponse : A
Cette question correspond à l’objectif d’apprentissage FL-1.4.1 (K2) – Résumer les différentes activités et tâches de test. La bonne réponse est : d) 1C, 2B, 3D, 4A
● 1C) : Correct : La planification sert à préparer le cadre du test ● 2B) : Correct : La conception permet de définir les données, cas et conditions de test ● 3D) : Correct : L’exécution vérifie le résultat réel par rapport à l’attendu ● 4A) : Correct : Clôturer = évaluer, nettoyer, archiver, analyser les résultats
Question 10 / 10
Laquelle des bonnes pratiques suivantes s’applique à tous les modèles de cycle de vie du développement logiciel ?
A. Séparer strictement le test du développement, sans communication
B. Réaliser des activités de test aussi tôt que possible
C. Impliquer les testeurs uniquement lors des phases d’exécution
D. Commencer les tests uniquement après la fin du codage
✓ Bonne réponse : B
Cette question correspond à l’objectif d’apprentissage FL-2.1.2 (K1) – Rappeler les bonnes pratiques de test applicables à tous les cycles de vie. ● a) Faux → Cela correspond à une approche tardive (type Waterfall rigide), et va àl’encontre des bonnes pratiques modernes. ● b) Faux → Les testeurs doivent être impliqués dès les phases d’analyse et de conception. ● c) Correct → Tester dès que possible (shift-left) est une bonne pratique universelle qui réduit les coûts de détection de défauts. ● d) Faux → Collaboration entre test et développement est essentielle, peu importe le cycle.
Quel type de journaux un analyste en sécurité devrait-il consulter pour enquêter sur des modifications non autorisées de fichiers système ?
A. Journaux de performance des applications
B. Journaux d'authentification (auth.log)
C. Journaux de flux réseau (NetFlow)
D. Journaux de surveillance de l'intégrité des fichiers (FIM) ou journaux d'audit
✓ Bonne réponse : D
Les journaux de surveillance de l'intégrité des fichiers (FIM) / journaux d'audit enregistrent les modifications apportées aux fichiers, répertoires et configurations système. Les outils FIM (Tripwire, AIDE, AWS Config) créent des empreintes cryptographiques des fichiers à partir d'une référence de base ; toute modification déclenche une alerte. Les journaux d'authentification enregistrent les tentatives de connexion. Les journaux de flux réseau enregistrent les schémas de trafic. Les journaux applicatifs enregistrent les événements spécifiques aux applications. Le FIM est essentiel pour détecter l'installation de rootkits, les modifications de configuration non autorisées, et assurer la conformité (PCI-DSS exige le FIM sur les fichiers système critiques).
Question 2 / 10
Une entreprise subit des attaques visant à exploiter des vulnérabilités dans des versions obsolètes de navigateurs avec des exploits bien connus. Quelle solution de sécurité parmi les suivantes devrait être configurée pour offrir la meilleure capacité à surveiller et bloquer ces attaques basées sur des signatures connues ?
Sélectionnez la bonne réponse.
A. IDS
B. IPS
C. ACL
D. DLP
✓ Bonne réponse : B
Système de prévention des intrusions (IPS) : Un IPS bloque activement en temps réel les attaques basées sur des signatures connues en comparant le trafic réseau à une base de données de signatures d'exploits connus. Contrairement à l'IDS (qui se contente de détecter et d'alerter), l'IPS prend des mesures immédiates pour empêcher le trafic malveillant d'atteindre les systèmes. Les ACL et le DLP traitent respectivement le contrôle d'accès et la prévention des pertes de données, et non la détection des menaces.
Question 3 / 10
Lequel des éléments suivants est utilisé pour mesurer quantitativement la criticité d'une vulnérabilité ?
Sélectionnez la bonne réponse.
A. CIA
B. CVSS
C. CERT
D. CVE
✓ Bonne réponse : B
CVSS (Common Vulnerability Scoring System) : Un cadre numérique standardisé (échelle de 0 à 10) qui mesure quantitativement la sévérité des vulnérabilités en fonction de leur exploitabilité, de leur impact et de facteurs environnementaux. Le CVE identifie les vulnérabilités par leur nom, la CIA décrit des principes de sécurité, et le CERT est une organisation — aucun d'entre eux ne fournit une notation quantitative comme le fait le CVSS.
Question 4 / 10
Une vulnérabilité d'accès réseau récemment identifiée a été découverte dans le système d'exploitation d'anciens appareils IoT. Quelle mesure permettrait de remédier le plus rapidement à cette vulnérabilité ?
Sélectionnez la bonne réponse.
A. Application de correctifs (Patching)
B. Segmentation
C. Assurance
D. Remplacement
✓ Bonne réponse : B
La segmentation réseau : l'isolation des équipements IoT legacy dans des zones réseau séparées limite les mouvements latéraux des attaques. Cette approche est optimale pour les systèmes legacy car l'application de correctifs peut être impossible, le remplacement prend du temps, et les assurances ne préviennent pas les violations. La segmentation offre un confinement immédiat sans nécessiter de modification des équipements vulnérables.
Question 5 / 10
Parmi les résultats suivants, lequel est le plus probable si une grande banque échoue à une évaluation interne de conformité PCI DSS ?
A. Amendes
B. Sanctions
C. Constats d'audit
D. Atteinte à la réputation
✓ Bonne réponse : C
Réponse : Résultats d'audit. Explication : Lorsqu'une organisation échoue à une évaluation interne de conformité PCI DSS, le résultat le plus probable est l'émission de résultats d'audit — un rapport formel des problèmes de non-conformité qui doivent être corrigés dans des délais définis afin de conserver les privilèges de traitement des cartes de paiement.
Question 6 / 10
Qu'est-ce que l'injection SQL ?
A. Une attaque qui insère du code SQL malveillant dans un champ de saisie afin de manipuler une base de données en arrière-plan
B. Une technique d'optimisation des requêtes de base de données
C. Une vulnérabilité causée par des procédures stockées SQL trop complexes
D. Une méthode de chiffrement des données stockées dans des bases de données relationnelles
✓ Bonne réponse : A
Réponse correcte : L'injection SQL est une attaque qui exploite les failles de validation des entrées utilisateur. L'attaquant insère du code SQL malveillant dans un champ de saisie, ce qui permet de manipuler les requêtes de la base de données sous-jacente afin d'accéder, de modifier ou de supprimer des données.
Pourquoi les autres réponses sont incorrectes : L'optimisation de requêtes (A) est une pratique légitime liée aux performances, et non une attaque. Le chiffrement (C) protège les données mais ne constitue pas une attaque en soi. Les procédures stockées complexes (D) peuvent présenter des failles de sécurité, mais cela ne correspond pas à la définition de l'injection SQL.
Question 7 / 10
Lequel des éléments suivants est utilisé pour ajouter une complexité supplémentaire avant d'appliquer un algorithme de transformation de données à sens unique ?
A. Stéganographie
B. Masquage de données
C. Salage (Salting)
D. Extension de clé (Key stretching)
✓ Bonne réponse : C
Réponse : Le salage (Salting). Explication : Le salage consiste à ajouter une valeur aléatoire unique à chaque mot de passe avant de le hacher, empêchant ainsi les attaquants d'utiliser des tables arc-en-ciel précalculées. Le sel est stocké aux côtés du hachage et fait en sorte que des mots de passe identiques produisent des valeurs de hachage différentes.
Question 8 / 10
Un utilisateur reçoit un appel d'une personne prétendant appartenir au support informatique et lui demandant de fournir son mot de passe. De quel type d'attaque s'agit-il ?
Sélectionnez la bonne réponse.
A. D. Ingénierie sociale
B. C. Injection SQL
C. B. Déni de service
D. A. Malware
✓ Bonne réponse : A
L'ingénierie sociale : manipulation de la psychologie humaine pour extraire des informations sensibles par la tromperie plutôt que par des exploits techniques. Appeler pour demander des mots de passe exploite la confiance et le sentiment d'urgence, et non les vulnérabilités des systèmes. Les logiciels malveillants nécessitent l'exécution de code, les attaques par déni de service saturent les réseaux, et l'injection SQL cible les bases de données — aucune de ces techniques n'implique la manipulation psychologique des utilisateurs.
Question 9 / 10
Une entreprise souhaite isoler ses systèmes financiers sensibles du réseau d'entreprise général tout en autorisant des communications limitées et contrôlées. Quel élément d'architecture permet d'atteindre cet objectif ?
A. Isolation totale (air-gap) sans aucune connectivité
B. Tunnel VPN entre les segments
C. Segmentation du réseau avec accès inter-segments contrôlé (VLANs + ACLs pare-feu)
D. Network Address Translation (NAT)
✓ Bonne réponse : C
La segmentation réseau avec une DMZ (Zone Démilitarisée) ou des VLANs avec ACLs permet d'isoler les systèmes sensibles. Un pare-feu ou un routeur contrôle le trafic autorisé à transiter entre les segments. Cela limite les déplacements latéraux — un attaquant qui compromet un poste de travail ne peut pas accéder directement à la base de données financière. L'air-gapping offre une isolation complète mais ne permet aucune communication. Le NAT masque les adresses IP internes mais n'applique pas de contrôles d'accès. Le VPN sécurise l'accès distant, et non la segmentation interne.
Question 10 / 10
Quel modèle de sécurité cloud définit les limites de responsabilité entre le fournisseur cloud et le client ?
A. La triade CIA
B. Le modèle de défense en profondeur (Defense-in-Depth)
C. Le modèle de responsabilité partagée (Shared Responsibility Model)
D. L'architecture Zero Trust
✓ Bonne réponse : C
Le modèle de responsabilité partagée définit ce que le fournisseur cloud sécurise (« la sécurité DU cloud ») par opposition à ce que le client sécurise (« la sécurité DANS le cloud »). Pour l'IaaS (EC2) : AWS sécurise le matériel, l'hyperviseur et les infrastructures physiques ; le client sécurise le système d'exploitation, les applications, les données et les configurations IAM. Pour le SaaS : le fournisseur sécurise presque tout ; le client gère les accès utilisateurs et la classification des données. Une mauvaise compréhension de ce modèle est l'une des principales causes de violations dans le cloud — les organisations supposent que le fournisseur sécurise davantage qu'il ne le fait réellement.
Qu'est-ce que le chiffrement transparent des données (TDE — Transparent Data Encryption) dans Azure SQL ?
A. TDE chiffre uniquement les colonnes marquées comme 'sensitive' dans le schéma de la base
B. TDE est une fonctionnalité payante optionnelle disponible uniquement en tier Premium d'Azure SQL
C. Il chiffre automatiquement les fichiers de données et sauvegardes au repos via AES 256 bits, activé par défaut dans Azure SQL
D. TDE chiffre les données en transit entre l'application et la base de données via SSL/TLS
✓ Bonne réponse : C
TDE (Transparent Data Encryption) chiffre automatiquement les fichiers de données, journaux et sauvegardes d'une base de données Azure SQL au repos — sans nécessiter de modification de l'application. Le chiffrement utilise AES 256 bits. Il est activé par défaut sur toutes les nouvelles bases Azure SQL depuis 2017. Transparent = l'application ne voit aucune différence ; le chiffrement/déchiffrement est géré par le moteur SQL. La clé peut être gérée par Microsoft (service-managed) ou par le client (Bring Your Own Key via Azure Key Vault — BYOK).
Question 2 / 10
Quel rôle se concentre principalement sur la visualisation et l’interprétation des données ?
A. DBA
B. Data engineer
C. Analyste de données
D. Data scientist
✓ Bonne réponse : C
L’analyste de données prépare des rapports et visualisations. Le data scientist crée des modèles prédictifs, et le DBA administre les bases.
Question 3 / 10
Qu'est-ce qu'un modèle de données en étoile (Star Schema) et où est-il utilisé ?
A. Modèle OLAP avec une table de faits (métriques) entourée de tables de dimensions (contexte), optimisé pour les requêtes analytiques
B. C'est un algorithme de chiffrement des données dans Azure Synapse Analytics
C. Le schéma en étoile ne peut pas être utilisé avec Power BI, qui nécessite un schéma normalisé 3NF
D. Un schéma en étoile est utilisé dans les bases OLTP pour accélérer les transactions
✓ Bonne réponse : A
Le schéma en étoile (Star Schema) est un modèle de données pour les entrepôts de données et OLAP. Il centre une table de faits (métriques mesurables : ventes, quantités, montants) entourée de tables de dimensions (contexte : date, produit, client, région). Cette structure dénormalisée (légère redondance intentionnelle) optimise les requêtes analytiques car les jointures sont simples et peu nombreuses. C'est le modèle favori de Power BI et Azure Synapse Analytics. Le schéma en flocon (Snowflake Schema) normalise davantage les dimensions mais complexifie les requêtes.
Question 4 / 10
Quel service Azure permet de surveiller et d'auditer les accès aux données sensibles stockées dans Azure SQL Database ?
A. Azure SQL Auditing pour les journaux d'accès et Microsoft Defender for SQL pour la détection des menaces
B. Azure Key Vault pour chiffrer les données sensibles et contrôler l'accès aux clés
C. Azure Policy pour bloquer automatiquement les requêtes non conformes
D. Azure Monitor uniquement pour les métriques de performance de SQL Database
✓ Bonne réponse : A
Azure SQL Auditing enregistre les événements de base de données (connexions, requêtes, modifications de schéma) dans un journal d'audit stocké dans Azure Blob Storage, Azure Monitor Logs ou Azure Event Hubs. Il permet de détecter les accès non autorisés, les requêtes suspectes et de satisfaire aux exigences de conformité (RGPD, HIPAA, PCI-DSS). Complémentairement, Microsoft Defender for SQL (anciennement Advanced Threat Protection) détecte les comportements anormaux (injections SQL, accès depuis des IPs inconnues). Azure Monitor surveille les métriques de performance.
Question 5 / 10
Quel est l’objectif d’une charge analytique (OLAP) ?
A. Créer des clés primaires dans une base SQL
B. Analyser de grands volumes de données historiques
C. Enregistrer chaque transaction bancaire
D. Assurer l’intégrité des transactions
✓ Bonne réponse : B
Charges analytiques (OLAP) : systèmes conçus pour analyser de grands volumes de données historiques et produire des rapports complexes. Contrairement aux charges transactionnelles (OLTP) qui traitent chaque transaction individuellement, l'OLAP agrège et synthétise les données pour déceler des tendances et patterns. Les distracteurs confondent OLTP (enregistrement de transactions) avec OLAP (analyse rétrospective).
Question 6 / 10
Quel type de graphique est le plus adapté pour visualiser l’évolution d’une mesure au fil du temps ?
A. Un graphique en courbes (line chart)
B. Un nuage de points
C. Un histogramme vertical
D. Un diagramme circulaire
✓ Bonne réponse : A
Graphique en courbes : idéal pour visualiser l'évolution temporelle d'une mesure. Les points sont reliés par des lignes continues, permettant de percevoir immédiatement les tendances, hausses et baisses. À l'inverse, les diagrammes circulaires montrent des proportions, les nuages de points révèlent des corrélations entre variables, et les histogrammes comparent des catégories discrètes—tous inadaptés aux séries temporelles.
Question 7 / 10
Vous devez créer une ressource Azure pour stocker des données dans le stockage de table Azure. Quelle commande devez-vous exécuter ?
A. az cosmosdb create
B. az storage container create
C. az storage account create
D. az storage share create
✓ Bonne réponse : C
Réponse : az storage account create. Explication : Le stockage de table Azure fait partie des comptes de stockage Azure. Pour utiliser le stockage de table, vous devez d'abord créer un compte de stockage Azure à l'aide de la commande Azure CLI « az storage account create », puis créer la table dans ce compte.
Question 8 / 10
Vous devez créer un compte de stockage Azure. Les données du compte doivent être répliquées en dehors de la région Azure automatiquement. Quels deux types de réplication pouvez-vous utiliser pour le compte de stockage ? (Choisissez deux réponses.)
A. locally-redundant storage (LRS)
B. zone-redundant storage (ZRS)
C. geo-redundant storage (GRS)
D. read-access geo-redundant storage (RA-GRS)
✓ Bonne réponse : C, D
Réponses : read-access geo-redundant storage (RA-GRS) et geo-redundant storage (GRS). Explication : GRS et RA-GRS répliquent tous deux les données vers une région secondaire en dehors de la région Azure primaire, satisfaisant ainsi à l'exigence de réplication automatique inter-régions. LRS et ZRS répliquent uniquement au sein d'une même région. RA-GRS ajoute l'accès en lecture à la région secondaire.
Question 9 / 10
Qu'est-ce que le contrôle d'accès basé sur les rôles (RBAC) dans le contexte d'Azure Data Services ?
A. RBAC est uniquement applicable aux bases de données SQL, pas aux services de stockage objet
B. Azure RBAC remplace les groupes Active Directory pour l'authentification des utilisateurs
C. Il contrôle qui peut accéder aux ressources Azure et avec quels droits, appliquant le principe de moindre privilège
D. RBAC est un système de chiffrement des données dans Azure Storage
✓ Bonne réponse : C
Azure RBAC (Role-Based Access Control) contrôle qui peut accéder à quelles ressources Azure et avec quels droits. Pour les services de données : un Data Reader peut lire des données mais pas les modifier ; un Storage Blob Data Contributor peut lire et écrire dans Blob Storage ; un Owner gère tout. Dans ADLS Gen2, les ACLs POSIX complètent le RBAC avec des contrôles granulaires au niveau des fichiers et dossiers. Le principe de moindre privilège (Least Privilege) s'applique : donner uniquement les droits nécessaires à chaque rôle.
Question 10 / 10
Dans Power BI, quel langage est utilisé pour créer des mesures et colonnes calculées ?
A. Python
B. DAX (Data Analysis Expressions)
C. R
D. SQL
✓ Bonne réponse : B
DAX (Data Analysis Expressions) : langage propriétaire de Microsoft conçu spécifiquement pour Power BI et Analysis Services. Il permet de créer des mesures (calculs dynamiques) et colonnes calculées (valeurs statiques) à partir de données multidimensionnelles. SQL interroge des bases de données relationnelles, Python et R sont des langages de programmation généraux non intégrés nativement à Power BI pour cette fonction.
À quels niveaux définissez-vous la détermination de compte FI-AA ? (Choisissez deux réponses.)
A. Plan comptable
B. Société
C. Plan d'amortissement
D. Client
✓ Bonne réponse : A, C
Réponse : Plan d'amortissement ; plan comptable. Explication : La détermination de compte en FI-AA est définie à deux niveaux : le plan d'amortissement (qui définit les zones d'amortissement et les méthodes) et le plan comptable (qui définit les comptes du GL utilisés pour les imputations d'immobilisations dans chaque société).
Question 2 / 10
En comptabilité d’actifs parallèle, plusieurs zones de dépréciation peuvent être assignées à des groupes de ledgers distincts pour la comptabilisation.
Vrai ou faux ?
A. Vrai
B. Faux
✓ Bonne réponse : A
Réponse : Vrai Explication : Les zones peuvent poster à des ledgers/ledger groups différents afin de couvrir plusieurs référentiels (local/IFRS).
Question 3 / 10
Gestion des banques propres et comptes bancaires en S/4HANA (BAM) : sélectionnez les affirmations correctes.
Plusieurs réponses possibles.
A. BAM est sans lien avec les méthodes de paiement
B. Les comptes bancaires sont assignés à des sociétés et utilisés par F110
C. On peut gérer des signataires et des statuts de comptes
D. Les comptes bancaires sont gérés dans Bank Account Management (apps Fiori)
E. Les banques propres ne sont pas nécessaires pour F110
✓ Bonne réponse : B, C, D
Réponse : Les comptes bancaires sont gérés dans Bank Account Management (Fiori) ; Les banques propres sont nécessaires pour les paiements ; Les comptes doivent être assignés aux sociétés et utilisés par F110 ; Des signataires et statuts peuvent être gérés. Explication : BAM remplace la création classique de comptes bancaires par société et centralise la gouvernance.
Question 4 / 10
Parmi les propositions suivantes sur le Payment Medium Workbench (PMW) et DMEE, lesquelles sont correctes ?
Plusieurs réponses possibles.
A. PMW s'appuie sur des formats de support de paiement pour générer les fichiers
B. PMW remplace complètement la transaction de paiement F110
C. DMEE permet de modéliser la structure hiérarchique du fichier de paiement
D. PMW peut générer des fichiers de paiement au format SEPA XML
✓ Bonne réponse : A, C, D
Réponse : PMW s’appuie sur des formats de support de paiement ; DMEE permet de modéliser la structure du fichier ; PMW peut générer des fichiers SEPA XML selon le format cible. Explication : PMW/DMEE forment le cadre de génération de supports bancaires pour F110.
Question 5 / 10
En gestion d'immobilisations (Asset Accounting), la clé d'amortissement définit avant tout…
Sélectionnez la meilleure réponse.
A. Le numéro d'inventaire physique et la localisation de l'actif
B. Le compte GL spécifique à débiter lors de l'amortissement
C. La devise fonctionnelle de l'immobilisation
D. La méthode de calcul de l'amortissement, la base de calcul et le contrôle de la période d'amortissement
✓ Bonne réponse : D
Réponse : La méthode de calcul, la base et le contrôle de période La clé d'amortissement (Depreciation Key) définit : la méthode de calcul (linéaire, dégressif, etc.), la base de calcul (coût d'acquisition, valeur nette), et les règles de contrôle de période (convention mi-période, prorata). Elle est affectée à la fiche immobilisation.
Question 6 / 10
Dans une stratégie « clean core », quelles approches d’extension sont recommandées ?
Cochez toutes les réponses correctes.
A. Mises à jour directes des tables métier (SE16N, update directe)
B. Utiliser des BAdI/API explicitement publiés (released)
C. In‑app key‑user (Custom Fields & Logic, adaptation UI)
D. Side‑by‑side sur SAP BTP via OData/événements
E. Modifier le code standard SAP en Z‑modification
✓ Bonne réponse : B, C, D
Réponse : In‑app key‑user (Custom Fields & Logic, adaptation UI) ; BAdI/API publiés (« released ») ; Side‑by‑side sur SAP BTP via services OData/événements. Explication : Le clean core évite les modifications du standard : on favorise les extensions in‑app ou latérales via BTP et API stables.
Question 7 / 10
La clôture annuelle exige que toutes les sociétés partagent la même variante d’exercice.
Vrai ou faux ?
A. Vrai
B. Faux
✓ Bonne réponse : B
Réponse : Faux Explication : Les sociétés peuvent utiliser des variantes d’exercice différentes ; la clôture s’adapte au paramétrage propre de chaque société.
Question 8 / 10
Quel élément est indispensable dans la vue société du BP fournisseur pour qu’un paiement soit proposé par F110 ?
Sélectionnez la meilleure réponse.
A. Une limite de crédit SD
B. Une méthode de paiement valide en vue société
C. Un groupe de tolérance utilisateur
D. Un schéma de relance
✓ Bonne réponse : B
Réponse : Une méthode de paiement valide en vue société Dans le Business Partner (BP), la méthode de paiement doit être renseignée dans la vue comptabilité fournisseur (rôle FI) pour que le run de paiement automatique F110 puisse traiter les factures de ce fournisseur. Sans méthode de paiement valide, les postes sont exclus du run.
Question 9 / 10
Objet qui structure les états financiers (bilan/P&L) utilisés à la clôture :
Sélectionnez la meilleure réponse.
A. Posting Period Variant
B. Financial Statement Version (FSV)
C. Accrual Engine
D. Ledger non principal
✓ Bonne réponse : B
Réponse : Financial Statement Version (FSV) La Financial Statement Version (FSV) structure la présentation des états financiers (bilan, compte de résultat) pour la clôture. Elle définit la hiérarchie des postes du bilan et du P&L en regroupant les comptes G/L selon les exigences légales et normatives.
Question 10 / 10
Lequel des types de devises suivants peut être défini pour un grand livre spécifique ? (Choisissez trois réponses.)
A. 40 = Devise stable
B. 30 = Devise du groupe
C. 60 = Devise globale de l'entreprise
D. 10 = Devise du code société
E. 00 = Devise du document
✓ Bonne réponse : A, B, D
Réponse : 30 = Devise du groupe ; 40 = Devise stable ; 10 = Devise du code société. Explication : Les types de devises SAP pour la configuration du grand livre incluent : 10 (devise du code société — devise locale), 30 (devise du groupe — pour le reporting consolidé) et 40 (devise stable — utilisée dans les pays à forte inflation pour la valorisation en devise stable).
Quelle approche de test est la plus appropriée pour valider qu'un système AI ne présente PAS de biais de genre dans les recommandations d'embauche ?
A. Supposer que le biais de genre est impossible puisque le système est automatisé
B. Tester uniquement avec des candidats provenant d'une seule région géographique
C. Mener des audits d'équité comparant les taux de recommandation entre genres pour des candidats ayant des qualifications équivalentes
D. Tester uniquement avec des candidats masculins pour simplifier l'analyse
✓ Bonne réponse : C
Concept clé : Audit d'équité pour la détection de biais. Les audits d'équité comparent les résultats entre catégories de genre pour des candidats ayant des qualifications équivalentes. Les testeurs doivent analyser systématiquement si le système recommande les candidats masculins et féminins ayant des qualifications équivalentes à des taux similaires, en identifiant un biais de genre si des disparités sont constatées.
Question 2 / 10
Laquelle des affirmations suivantes décrit le mieux la façon dont la complexité d'un système peut poser des difficultés lors du test d'un système basé sur l'IA ?
A. Il est nécessaire de mesurer dans quelle mesure les modifications des données d'entrée entraînent des changements dans les données de sortie.
B. Parfois, le système ne peut être testé qu'en boîte noire.
C. L'obtention des données de test est plus difficile.
D. Des changements inattendus dans le comportement du système peuvent survenir.
✓ Bonne réponse : D
Réponse : Des changements inattendus dans le comportement du système peuvent survenir. Explication : Les systèmes d'IA complexes présentent des comportements émergents et non déterministes. Les interactions entre de nombreux composants peuvent produire des résultats inattendus, difficiles à prévoir, à reproduire ou à tester de manière exhaustive.
Question 3 / 10
Dans le développement responsable de l'AI, quel est l'objectif principal de la mise en œuvre de mécanismes de surveillance humaine dans les systèmes de décision automatisés ?
A. S'assurer que les humains peuvent intervenir, examiner et contester les décisions de l'AI, particulièrement dans les scénarios à enjeux élevés
B. Augmenter la vitesse de prise de décision sans aucun délai
C. Remplacer tout travail manuel et éliminer complètement l'implication humaine
D. Réduire les coûts de développement et de maintenance du système
✓ Bonne réponse : A
Concept clé : Surveillance humaine dans l'éthique de l'AI. Les systèmes human-in-the-loop maintiennent la responsabilité et permettent l'intervention lorsque les décisions de l'AI pourraient causer du tort. Les tests doivent vérifier que les mécanismes de surveillance fonctionnent correctement et que les humains peuvent examiner et contester de manière significative les décisions avant qu'elles n'affectent les parties prenantes.
Question 4 / 10
Lequel des éléments suivants est une technique utilisée en machine learning ?
A. Les arbres de décision
B. Les tables de décision
C. Le partitionnement en classes d'équivalence
D. L'analyse des valeurs limites
✓ Bonne réponse : A
Réponse : Les arbres de décision. Explication : Les arbres de décision sont une technique fondamentale de machine learning qui produit un modèle de décisions sous forme d'organigramme. Les autres options, telles que le SQL, les tableurs ou les moteurs de règles heuristiques, sont des outils informatiques traditionnels et non des techniques de ML.
Question 5 / 10
La valeur d'activation en sortie d'un neurone dans un réseau de neurones est obtenue par un calcul appliqué à ce neurone. Laquelle des options suivantes décrit le MIEUX les entrées utilisées pour calculer cette valeur d'activation ?
A. Le biais individuel au niveau du neurone, les valeurs d'activation des neurones de la couche précédente et les poids associés aux connexions entre les neurones.
B. Le biais individuel au niveau du neurone et les poids associés aux connexions entre les neurones.
C. Les valeurs d'activation des neurones de la couche précédente et les poids associés aux connexions entre les neurones.
D. Le biais individuel au niveau du neurone et les valeurs d'activation des neurones de la couche précédente.
✓ Bonne réponse : A
Réponse : Le biais individuel du neurone, les valeurs d'activation de la couche précédente et les poids des connexions. Explication : La valeur d'activation d'un neurone est calculée selon la formule : fonction_activation(Σ(poids_i × activation_couche_précédente_i) + biais). Les trois entrées sont donc : le terme de biais propre au neurone, les valeurs d'activation pondérées issues de la couche précédente, et les poids des connexions entre les couches.
Question 6 / 10
À quoi fait référence l'« explicabilité » dans les tests d'éthique de l'AI ?
A. La capacité à rédiger une documentation claire sur la manière dont le code a été développé
B. Le nombre de caractéristiques utilisées dans le modèle de machine learning
C. La capacité d'un modèle à fournir des explications compréhensibles par l'humain pour ses prédictions ou décisions
D. La vitesse à laquelle le système traite les données d'entrée
✓ Bonne réponse : C
Concept clé : Explicabilité (XAI). Celle-ci fait référence à la transparence des processus de prise de décision. Les tests d'explicabilité consistent à vérifier que les parties prenantes peuvent comprendre pourquoi un système AI a pris une décision spécifique, ce qui est crucial pour l'éthique de l'AI et la conformité réglementaire, notamment dans les domaines à enjeux élevés tels que la santé et la justice pénale.
Question 7 / 10
Laquelle des options suivantes décrit l'utilisation la MOINS probable de l'IA pour détecter les modifications de l'interface graphique (GUI) résultant de changements dans les objets de test ?
A. Utiliser un classifieur basé sur le ML pour signaler aux humains les modifications de la GUI à examiner
B. Utiliser une détection visuelle des modifications de la mise en page de la GUI avant et après les changements des objets de test
C. Utiliser une comparaison pixel par pixel de la GUI avant et après la modification pour vérifier les différences
D. Utiliser la vision par ordinateur pour comparer la GUI avant et après les modifications des objets de test
✓ Bonne réponse : C
Réponse : L'utilisation d'une comparaison pixel par pixel avant et après la modification est la MOINS probable. Explication : La comparaison pixel par pixel est une technique conventionnelle et fragile qui ne fait pas appel à l'IA. La détection de modifications de GUI basée sur l'IA utiliserait des méthodes plus sophistiquées, telles que la reconnaissance visuelle, la compréhension sémantique des éléments d'interface ou des schémas d'identification d'objets appris.
Question 8 / 10
Laquelle des affirmations suivantes décrit le MIEUX l'effet IA ?
A. Les systèmes IA s'améliorent au fil du temps à mesure qu'ils sont exposés à davantage de données.
B. Les systèmes utilisés pour jouer aux échecs contre des experts humains dans les années 1990 ne sont plus considérés comme de l'IA.
C. Les systèmes IA se comportent de plus en plus comme des humains.
D. À mesure que les systèmes IA progressent, la probabilité d'atteindre la singularité technologique augmente.
✓ Bonne réponse : B
Réponse : Les systèmes utilisés pour jouer aux échecs dans les années 1990 ne sont plus considérés comme de l'IA. Explication : L'effet IA désigne la tendance à ne plus qualifier d'« IA » une capacité dès lors qu'elle devient courante. Les programmes de jeu d'échecs représentaient une IA révolutionnaire dans les années 1990, mais sont aujourd'hui considérés comme des logiciels classiques.
Question 9 / 10
Laquelle des affirmations suivantes est la PLUS vraie concernant les tests A/B ?
A. L'objectif est de détecter des défauts
B. L'objectif est de comparer deux variantes d'un système
C. Les données de production ne sont pas utilisées
D. De nombreux cas de test peuvent être générés
✓ Bonne réponse : B
Réponse : L'objectif est de comparer deux variantes d'un système. Explication : Les tests A/B consistent à comparer deux versions d'un système (variante A contre variante B) afin de déterminer laquelle offre les meilleures performances sur la base de résultats mesurables. Cette approche est largement utilisée dans les contextes web et ML.
Question 10 / 10
Lequel des exemples suivants illustre un problème de clustering pouvant être résolu par apprentissage non supervisé ?
A. Classer des achats de muffins en fonction de l'attrait perçu de leur emballage
B. Associer des acheteurs à leurs habitudes d'achat
C. Regrouper des poissons individuels en fonction du type de leurs nageoires
D. Estimer les achats attendus de nourriture pour chats à la suite d'une campagne publicitaire particulièrement réussie
✓ Bonne réponse : B
Réponse : Associer des acheteurs à leurs habitudes d'achat. Explication : Le clustering est une technique d'apprentissage non supervisé qui regroupe des points de données similaires sans labels prédéfinis. Regrouper des acheteurs en fonction de leurs comportements (habitudes) sans segments clients définis au préalable est un cas d'usage typique du clustering.
Quel est l'objectif principal de définir une politique de rétention des logs dans un environnement cloud ?
A. Garantir que les journaux d'audit soient conservés pendant une période définie afin de répondre aux exigences de conformité et d'investigation.
B. nonymiser toutes les données de logs pour la protection des données et de la vie privée.
C. méliorer les performances réseau en réduisant le volume de données transmises.
D. Réduire les coûts de stockage en supprimant les logs le plus rapidement possible.
✓ Bonne réponse : A
Une politique de rétention des logs permet de garder les journaux pendant une durée définie pour les audits, la conformité et les enquêtes de sécurité.
Question 2 / 10
Lequel des éléments suivants explique le mieux l'avantage en matière de sécurité des endpoints privés par rapport aux endpoints publics sécurisés par un WAF ?
A. Les endpoints privés empêchent l'exfiltration de données via Internet public en gardant le trafic dans le réseau privé du fournisseur
B. Les endpoints privés inspectent automatiquement et bloquent le trafic malveillant au niveau Layer 7.
C. Les endpoints privés offrent un débit plus élevé car ils contournent toujours le chiffrement.
D. Les endpoints privés éliminent le besoin de politiques d'accès basées sur l'identité.
✓ Bonne réponse : A
Les endpoints privés gardent le trafic entièrement dans le réseau cloud privé, ce qui réduit le risque que des données sensibles passent par Internet et soient exposées.
Question 3 / 10
Lequel des éléments suivants décrit le mieux l'avantage principal en matière de sécurité de l'utilisation de Direct Connect ou ExpressRoute pour la connectivité hybride cloud ?
A. Ils assurent des connexions réseau privées et dédiées, réduisant l'exposition à Internet public
B. Ils appliquent par défaut l'authentification zero-trust entre tous les segments réseau
C. Ils fournissent des tunnels chiffrés sur Internet public pour les données en transit
D. Ils segmentent automatiquement les workloads sur plusieurs régions pour la redondance
✓ Bonne réponse : A
Direct Connect et ExpressRoute offrent des liaisons privées et dédiées, ce qui limite le trafic sur Internet public et réduit le risque d'exposition aux menaces externes.
Question 4 / 10
Comment une désérialisation non sécurisée peut-elle compromettre la sécurité d'un service API ?
A. En contournant la validation de schéma pour appliquer un typage strict des entrées
B. En exposant des identifiants en clair dans les logs de l'API
C. En permettant aux attaquants de manipuler des données sérialisées pour exécuter du code arbitraire
D. En provoquant une fuite de données via des limites de taux API trop élevées
✓ Bonne réponse : C
Si une API désérialise des données non fiables, un attaquant peut injecter du code ou modifier le comportement de l'application, entraînant un compromis du service ou du serveur.
Question 5 / 10
Lequel des éléments suivants décrit le mieux la fonction principale d'une solution Cloud Security Posture Management (CSPM) dans un environnement multi-cloud ?
A. Évaluer en continu les configurations cloud pour détecter les non-conformités, les erreurs de configuration et les violations de politiques
B. utomatiser le déploiement des conteneurs applicatifs sur plusieurs régions
C. Surveiller le trafic réseau en temps réel pour détecter les signes de déni de service
D. Gérer le chiffrement des données stockées dans le service de gestion de clés (KMS) du fournisseur
✓ Bonne réponse : A
Une solution CSPM évalue en continu les configurations cloud pour détecter les non-conformités, erreurs de configuration et violations de politiques. Dans un environnement multicloud, elle offre une visibilité centralisée et permet d'appliquer des règles cohérentes sur AWS, Azure et GCP simultanément.
Question 6 / 10
Quel contrôle de la Cloud Controls Matrix (CCM) soutient directement l'établissement de processus efficaces de triage des alertes et de gestion des événements ?
A. IAM-12 (Gestion et révision des privilèges)
B. SI-03 (Rétention et destruction sécurisée des données)
C. SEF-02 (Gestion des événements de sécurité)
D. EKM-01 (Gestion des clés de chiffrement)
✓ Bonne réponse : C
SEF-02 couvre la mise en place de processus de surveillance, d'alerte et de gestion des événements, permettant de réagir efficacement aux incidents de sécurité.
Question 7 / 10
Quelle est la responsabilité principale d'un data steward dans un cadre de gouvernance cloud ?
A. Gérer les plannings de rotation des clés de chiffrement et les listes de contrôle d'accès
B. onfigurer les contrôles de prévention de perte de données (DLP) natifs cloud sur toutes les régions
C. Veiller à ce que les politiques de données, les standards de qualité et les métadonnées soient maintenus conformément aux objectifs de gouvernance de l'organisation
D. pprouver manuellement toutes les demandes d'accès aux données dans l'entreprise
✓ Bonne réponse : C
Le data steward est responsable de la qualité, de la cohérence et de la conformité des données dans un cadre de gouvernance cloud. Il maintient les politiques de données, les métadonnées et les standards de qualité, assurant que les données respectent les exigences réglementaires (RGPD, ISO 27001) et les objectifs organisationnels.
Question 8 / 10
Quel type de log est le plus critique à inclure dans un ensemble minimal de logs pour détecter un accès non autorisé aux ressources cloud ?
A. Logs de configuration des ressources
B. Logs d'audit de l'identité et de la gestion des accès (IAM)
C. Logs de surveillance du temps de disponibilité des systèmes
D. Logs de performance des applications
✓ Bonne réponse : B
Les logs IAM enregistrent toutes les opérations d'authentification et d'autorisation : qui a accédé à quelle ressource, quand et depuis quel endpoint. Ils sont indispensables pour détecter les accès non autorisés, les élévations de privilèges et les comportements anormaux dans un environnement cloud.
Question 9 / 10
Quel domaine de la Cloud Controls Matrix (CCM) soutient le plus directement l'identification, la documentation et la gestion des frontières de confiance et de la propriété des contrôles ?
A. S – Sécurité des datacenters
B. IAM – Gestion des identités et des accès
C. TVM – Gestion des menaces et des vulnérabilités
D. STA – Gestion de la chaîne d'approvisionnement, transparence et responsabilité
✓ Bonne réponse : D
Le domaine STA traite de la transparence, des responsabilités et de la chaîne d'approvisionnement, ce qui permet de définir clairement qui contrôle quoi et où se situent les frontières de confiance.
Question 10 / 10
Quel domaine de la Cloud Controls Matrix (CCM) soutient le plus directement le maintien de données fiables sur la posture des appareils pour les décisions d'accès Zero Trust ?
A. IVS – Sécurité de l'infrastructure et de la virtualisation
B. SI – Sécurité des données et gestion du cycle de vie de l'information
C. IAM – Gestion des identités et des accès
D. TVM – Gestion des menaces et des vulnérabilités
✓ Bonne réponse : C
Le domaine IAM est central pour Zero Trust : il utilise des informations fiables sur la posture des appareils et les identités pour décider qui peut accéder à quoi, quand et comment.
Quelle option de licence couvre cette exigence en tant qu’add-on ?
Une organisation prévoit d’organiser des réunions Teams mondiales avec des participants qui se connectent via des numéros de téléphone PSTN dans des régions où l’entreprise n’a pas d’infrastructure téléphonique.
A. Calling Plan (domestique) add-on
B. Microsoft 365 Audio Conferencing add-on
C. Microsoft 365 Audio Conferencing inclus dans E5
D. Microsoft Teams Phone System add-on
✓ Bonne réponse : B
Audio Conferencing permet aux participants de rejoindre une réunion Teams via un numéro de téléphone PSTN, même si l’entreprise n’a pas de système téléphonique local.
Disponible en add-on pour les licences qui n’incluent pas déjà cette fonctionnalité (ex. E1 ou E3).
Couplé à Teams, cela permet d’organiser des réunions mondiales avec des accès téléphoniques standards.
🎯 À retenir pour l’examen MS-900 :
Audio Conferencing add-on = accès PSTN aux réunions Teams
Teams Phone System = gère les appels entrants/sortants dans Teams
Calling Plan = permet d’appeler depuis Teams, mais pas nécessairement rejoindre une réunion
Question 2 / 10
Quel service doit-elle mettre en place ?
Une entreprise soumise au RGPD (GDPR) souhaite s’assurer qu’elle conserve le contrôle de ses propres clés de chiffrement pour les données stockées dans Microsoft 365.
A. Azure Privileged Identity Management (PIM)
B. Azure Information Protection (AIP)
C. Customer Key
D. Customer Lockbox
✓ Bonne réponse : C
Customer Key permet à une organisation de :
Utiliser et gérer ses propres clés de chiffrement
Contrôler le cycle de vie des clés (création, rotation, révocation)
Répondre aux exigences réglementaires strictes (comme le RGPD)
Cela donne un contrôle renforcé sur le chiffrement des données Microsoft 365.
❌ Pourquoi les autres réponses sont incorrectes :
A. Azure PIM → Gère les rôles administratifs temporaires, pas les clés de chiffrement.
B. Customer Lockbox → Permet de contrôler l’accès des ingénieurs Microsoft aux données, mais ne gère pas les clés de chiffrement.
C. Azure Information Protection → Sert à classifier et protéger les documents, mais ne donne pas le contrôle des clés de chiffrement au niveau service.
🎯 À retenir pour l’examen MS-900 :
Customer Key = contrôle des clés de chiffrement par le client
Customer Lockbox = contrôle de l’accès support Microsoft
PIM = gestion des privilèges
AIP = classification et protection des données
Question 3 / 10
Que doit faire l’équipe informatique ?
Une entreprise manufacturière souhaite déployer une application métier personnalisée sur les ordinateurs Windows 10 de l’entreprise, avec des paramètres d’application spécifiques préconfigurés.
A. Pousser le fichier MSI via GPO et appliquer la baseline MDM
B. Utiliser le déploiement d’application Win32 via Intune et les politiques de configuration d’application
C. Publier l’application dans le Microsoft Store for Business et exiger la conformité des appareils
D. Créer une application métier (Line-of-Business App) dans Intune et assigner un profil de configuration
✓ Bonne réponse : B
Cette méthode permet d’installer l’application sur les appareils Windows 10.
Le Configuration Profile configure certains paramètres de l’appareil, mais ne garantit pas la configuration des paramètres internes spécifiques à l’application.
Convient pour des applications MSI simples, mais pas pour des applications personnalisées nécessitant des paramètres préconfigurés.
✅ En résumé : C installe l’app, mais A est nécessaire pour installer + configurer les paramètres internes de l’application.
Question 4 / 10
Votre équipe sécurité exige que tous les emails sortants contenant du contenu sensible soient chiffrés automatiquement sans intervention de l’utilisateur.
Quelle fonctionnalité intégrée à Outlook permet le chiffrement automatique des messages basé sur une politique ?
A. Office 365 Message Encryption
B. Transport Layer Security (TLS)
C. Information Rights Management (IRM)
D. S/MIME
✓ Bonne réponse : A
Office 365 Message Encryption (OME) permet de :
Chiffrer automatiquement les emails selon des politiques définies
Protéger le contenu même si le destinataire n’utilise pas Office 365
Les autres options ne répondent pas entièrement au besoin :
A : S/MIME nécessite que l’expéditeur configure manuellement le certificat et le chiffrement.
B : TLS sécurise la transmission, mais ne chiffre pas le contenu de manière persistante.
C : IRM contrôle l’utilisation et l’accès aux messages mais ne déclenche pas le chiffrement automatique basé sur des règles.
Question 5 / 10
Lors d’une opération de dépannage, un administrateur confirme que les routes vocales (voice routes) et les enregistrements d’utilisation PSTN sont correctement configurés. Cependant, il constate que les utilisateurs ne peuvent toujours pas accéder à ces routes.
Quel composant du Centre d’administration Microsoft Teams permet d’attribuer ces routes vocales aux utilisateurs ?
A. Plan de numérotation
B. Stratégie de routage vocal
C. Stratégie d’appel d’urgence
D. Analyse des appels
✓ Bonne réponse : B
Dans Microsoft Teams (Téléphonie Teams / Direct Routing) :
Les voice routes définissent le chemin que les appels doivent suivre.
Les PSTN usages permettent d’associer ces routes à des stratégies.
Cependant, pour que les utilisateurs puissent réellement utiliser ces routes, il faut leur attribuer une stratégie de routage vocal (Voice Routing Policy).
👉 La stratégie de routage vocal est le composant qui associe les enregistrements d’utilisation PSTN aux utilisateurs. Sans cette stratégie attribuée à l’utilisateur, les routes configurées ne seront pas accessibles, même si elles sont correctement définies dans le système.
Question 6 / 10
Quelle affirmation décrit correctement une fonctionnalité du Service Health Dashboard ?
Une entreprise prépare une migration importante vers SharePoint Online.Le responsable IT souhaite comprendre le rôle du Service Health Dashboard.
A. Il permet aux administrateurs de configurer des SLA personnalisés pour chaque tenant.
B. Il corrige automatiquement les incidents grâce à des runbooks Microsoft intégrés.
C. Il génère des rapports mensuels détaillant la conformité aux SLA.
D. Il fournit des mises à jour en temps réel et des avis concernant les incidents de service.
✓ Bonne réponse : D
Le Service Health Dashboard dans le centre d’administration Microsoft 365 permet :
De consulter l’état actuel des services (Exchange, SharePoint, Teams, etc.)
De voir les incidents en cours
D’obtenir des mises à jour en temps réel
De recevoir des avis et recommandations
Il aide les administrateurs à comprendre si un problème vient de Microsoft ou de leur propre environnement.
❌ Pourquoi les autres réponses sont incorrectes :
A. Configurer des SLA personnalisés → Impossible. Les SLA sont définis par Microsoft.
C. Correction automatique des incidents → Le dashboard informe, mais ne corrige pas automatiquement.
D. Rapports mensuels détaillés de conformité SLA → Ce n’est pas sa fonction principale. Il montre l’état des services, pas des rapports analytiques mensuels complets.
🎯 À retenir pour l’examen MS-900 :
Service Health Dashboard = visibilité en temps réel sur l’état des services Microsoft 365
Il informe, mais ne configure pas de SLA ni ne corrige automatiquement les incidents.
Question 7 / 10
Quelle étape les administrateurs doivent-ils prendre en priorité pour planifier les futures réclamations SLA ?
Un fournisseur de soins de santé dépose une demande de crédit de service pour un cumul de trois heures d’indisponibilité dans Exchange Online, mais la demande est rejetée car elle a été soumise trop tard.
A. Auditer et documenter immédiatement toutes les interruptions de service et les comparer au SLA
B. Configurer des alertes Azure Monitor pour escalader automatiquement les incidents au support Microsoft
C. Migrer les charges de travail critiques vers un autre tenant pour éviter les violations SLA
D. Automatiser les demandes de crédit via le Service Health Dashboard pour éviter la soumission manuelle
✓ Bonne réponse : A
Pour pouvoir réclamer un crédit SLA, il est essentiel de documenter immédiatement toute interruption et de la comparer aux seuils définis dans le SLA.
Sans preuves précises et horodatées, Microsoft peut rejeter la demande, même si le service a été interrompu.
Les autres options ne résolvent pas le problème de suivi et documentation :
Automatiser les crédits (B) n’est pas possible.
Migrer vers un autre tenant (C) est excessif et non nécessaire.
Configurer des alertes (D) aide à la notification mais ne remplace pas la documentation des interruptions.
Question 8 / 10
Votre tenant a activé le group-based licensing. Vous retirez un utilisateur d’un groupe de sécurité auquel des licences sont assignées dans le Microsoft 365 Admin Center.
Quel est l’effet immédiat sur la licence de cet utilisateur ?
A. La licence est automatiquement révoquée pour l’utilisateur
B. L’utilisateur est bloqué pour se connecter à Microsoft 365
C. Le compte utilisateur est converti en boîte aux lettres partagée
D. La licence reste assignée jusqu’à ce que vous la retiriez manuellement
✓ Bonne réponse : A
Avec le group-based licensing, les licences sont attribuées automatiquement via l’appartenance au groupe.
Dès que l’utilisateur est retiré du groupe :
Les licences liées sont révoquées automatiquement
L’utilisateur perd l’accès aux services correspondant à ces licences
Les autres options sont incorrectes :
A : Faux, la licence ne reste pas après suppression du groupe.
C : Faux, l’utilisateur peut se connecter à Microsoft 365 si d’autres licences sont présentes.
D : Faux, l’utilisateur n’est pas transformé en boîte aux lettres partagée automatiquement.
Question 9 / 10
Quelle combinaison de fonctionnalités Microsoft 365 permet de faire respecter cette exigence sans outils tiers ?
Une entreprise technologique souhaite s’assurer que les appareils mobiles compromis ou non conformes ne puissent pas accéder aux e-mails professionnels sur les smartphones de ses employés.
A. Authentification multi-facteurs Microsoft Authenticator et prévention de la perte de données Office 365 (DLP)
B. Quarantaine des appareils Exchange ActiveSync et Windows Defender ATP
C. Synchronisation Azure AD Connect et contrôle du partage externe SharePoint Online
D. Politiques de protection d’application Intune et Accès conditionnel (Conditional Access)
✓ Bonne réponse : D
Pour protéger l’accès aux données d’entreprise sur les appareils mobiles :
Intune App Protection Policies (politiques de protection d’application) :
Permettent de protéger les applications professionnelles (ex : Outlook, Teams) même sur des appareils personnels.
Restreignent l’accès aux applications si l’appareil ne respecte pas les règles de conformité (ex : pas de chiffrement, jailbreak détecté).
Conditional Access (Accès conditionnel) :
Applique des conditions pour accéder aux ressources cloud (ex : Exchange Online).
Peut bloquer l’accès aux e-mails si l’appareil est non conforme ou compromis selon les signaux d’Intune.
✅ Ensemble, ces deux fonctionnalités permettent de sécuriser l’accès aux e-mails sur mobiles sans recourir à des solutions tierces.
Question 10 / 10
Quelle alerte de Defender for Identity correspond à cette technique ?
Un attaquant a obtenu des identifiants de compte et tente de réaliser une attaque par force brute sur le compte KRBTGT pour forger des Ticket Granting Tickets.
A. Pass-the-Ticket detection
B. Lateral movement path mapping
C. DCSync attack detection
D. Golden Ticket attack detection
✓ Bonne réponse : D
Une attaque Golden Ticket consiste à forger des Ticket Granting Tickets (TGT) pour obtenir un accès illimité aux services Active Directory.
Defender for Identity déclenche une alerte spécifique Golden Ticket attack detection lorsqu’il détecte ce type de manipulation du compte KRBTGT.
Les autres alertes :
Pass-the-Ticket detection : utilisation frauduleuse d’un ticket existant, pas sa création.
DCSync attack detection : vol des informations d’Active Directory via des requêtes LDAP sur le contrôleur de domaine.
Lateral movement path mapping : cartographie des déplacements latéraux dans le réseau, pas la création de tickets.
Les attaques de prompt injection
Les attaques de data exfiltration lors de l’utilisation d’Azure OpenAI
Quelle approche correspond le mieux à la baseline recommandée par Microsoft ?
A. Configurer DDoS Protection Standard Always On pour l’endpoint OpenAI
B. Utiliser Azure API Management pour appliquer la validation des entrées et le filtrage du contenu en sortie
C. Chiffrer tous les prompts via Azure Key Vault avant de les envoyer à l’endpoint OpenAI
D. Appliquer des règles d’Azure Firewall pour restreindre les appels sortants depuis OpenAI
✓ Bonne réponse : B
Prompt injection : manipulation du modèle via des entrées malveillantes → peut révéler des données sensibles ou modifier le comportement attendu.
Data exfiltration : sortie involontaire de données sensibles dans les réponses du modèle.
Microsoft recommande pour Azure OpenAI :
Placer API Management (APIM) devant le service OpenAI
Valider toutes les entrées (ex : rejeter caractères, commandes ou prompts suspects)
Filtrer et contrôler la sortie pour éviter l’exfiltration de données sensibles
Cela fournit une barrière de sécurité en amont et en aval du modèle et suit la baseline Zero Trust et Microsoft Security.
Question 2 / 10
Votre usine de fabrication utilise des PLC (Programmable Logic Controllers) connectés à des lignes de production critiques.
L’équipe sécurité souhaite :
Détecter des anomalies spécifiques aux protocoles industriels
Identifier des tentatives de mouvement latéral
Sans perturber le fonctionnement des PLC
Quel modèle de déploiement recommander ?
A. Utiliser Azure Bastion pour restreindre l’accès distant aux PLC
B. Installer Microsoft Defender Antivirus sur chaque PLC
C. Configurer Conditional Access pour exiger l’authentification multifacteur pour l’accès aux PLC
D. Déployer des Microsoft Defender for IoT sensors utilisant le port mirroring sur les switchs réseau
✓ Bonne réponse : D
Microsoft Defender for IoT (anciennement Azure Defender for IoT) permet de :
Surveiller passivement le trafic réseau des PLC et autres équipements industriels
Détecter des anomalies de protocole, mouvements latéraux et comportements suspects
Ne nécessite pas d’installation directe sur les PLC → aucune perturbation des lignes de production
Utilise port mirroring sur les switchs pour analyser le trafic réseau de manière non intrusive
Pourquoi c’est adapté :
Les PLC sont souvent systèmes propriétaires où l’installation d’agents est risquée ou impossible
La surveillance passive permet de détecter les menaces sans interrompre la production
Question 3 / 10
Un architecte sécurité doit réduire la surface d’attaque externe de l’organisation en intégrant les découvertes EASM (External Attack Surface Management) dans les workflows existants.
Quelle intégration fournit le pipeline de remédiation le plus efficace ?
A. Synchroniser l’inventaire et les expositions EASM dans Microsoft Sentinel pour enquête et réponse
B. Diriger les données des actifs EASM dans Azure Policy pour une remédiation automatique des politiques
C. Exporter les résultats EASM vers Microsoft Purview pour des rapports de conformité automatisés
D. Envoyer les alertes EASM directement à Microsoft Defender for Endpoint pour la protection des appareils
✓ Bonne réponse : A
External Attack Surface Management (EASM) permet de :
Identifier les actifs exposés à Internet
Détecter les vulnérabilités ou configurations non sécurisées
Prioriser les risques externes
Pourquoi Microsoft Sentinel est le meilleur choix pour le pipeline de remédiation :
Sentinel centralise tous les logs et alertes de sécurité
Permet de corréler les découvertes EASM avec d’autres événements (Azure AD, endpoints, cloud apps)
Fournit des playbooks et automatisations (Logic Apps) pour la remédiation rapide
Facilite la réponse proactive et le suivi des incidents
Question 4 / 10
Une organisation de santé stocke des données d’imagerie patient dans Azure Blob Storage.
L’équipe conformité exige que, en cas de ransomware ou de suppression accidentelle :
La perte de données ne dépasse pas 5 minutes (RPO ≤ 5 min)
La restauration soit terminée en moins d’1 heure (RTO ≤ 1 h)
Quelle solution devez-vous recommander ?
A. Mettre en place un compte de stockage avec Geo-Zone Redundant Storage (GZRS) et activer la sauvegarde continue.
B. Configurer Azure Backup pour le Blob Storage avec des snapshots fréquents.
C. Utiliser Azure Site Recovery pour répliquer le stockage de blobs entre régions appariées.
D. Activer la suppression douce (soft-delete) des blobs et configurer des restaurations journalières point-in-time.
✓ Bonne réponse : B
Microsoft indique officiellement que pour un RPO très court sur Blob Storage, il faut utiliser Azure Backup avec des snapshots fréquents (option D)
Continuous backup est utile mais dans certains contextes / préversions, et n’est pas la configuration par défaut pour répondre aux SLA stricts d’entreprise.
Question 5 / 10
Une organisation utilise des ordinateurs portables macOS pour les développeurs.
L’équipe sécurité doit :
Forcer le chiffrement des disques
Contrôler l’exécution des applications
S’assurer que les endpoints rapportent leur posture de santé aux politiques Microsoft Entra Conditional Access
Quelle solution l’architecte doit-il prioriser ?
A. Endpoint Manager avec Security Baselines pour Windows
B. Microsoft Defender Antivirus pour macOS
C. Microsoft Intune avec Device Compliance Policies
D. Azure Policy avec recommandations Security Center intégrées
✓ Bonne réponse : C
Microsoft Intune Device Compliance Policies permet de :
Appliquer le chiffrement FileVault sur macOS
Contrôler l’exécution des applications via des règles de conformité et d’application
Reporter la posture de sécurité des endpoints à Microsoft Entra Conditional Access, permettant de bloquer l’accès aux ressources si le poste n’est pas conforme
Cette solution couvre tous les objectifs de sécurité demandés pour les postes macOS.
Question 6 / 10
Une organisation doit garantir que l’accès aux ressources sensibles respecte les exigences ISO 27001.
Quel contrôle de gouvernance soutient le plus directement cette conformité ?
A. Surveillance des logs de connexion avec Microsoft Sentinel
B. Conditional Access baselines pour toutes les connexions utilisateurs
C. Accès Just-in-Time via Azure AD Privileged Identity Management (PIM)
D. Assignation de rôles avec Azure RBAC au niveau de la souscription
✓ Bonne réponse : C
ISO 27001 exige, entre autres :
Le contrôle strict des privilèges élevés
L’auditabilité et la traçabilité de l’accès aux ressources sensibles
Azure AD PIM :
Fournit un accès Just-in-Time aux rôles à privilèges élevés
Chaque activation est journalisée et auditable
Permet de réduire le risque de sur-privatisation et de répondre aux exigences ISO 27001 sur le contrôle d’accès
Question 7 / 10
Une entreprise a intégré Microsoft Sentinel avec ses solutions de sauvegarde.
Lors d’une attaque ransomware, l’équipe SOC doit :
Automatiser la containment
Initier un workflow de récupération propre
Quelle configuration réalise le mieux cet objectif ?
A. Utiliser des playbooks Sentinel (Logic Apps) pour déclencher les workflows de restauration des backups lors de la détection d’incident
B. Configurer Defender for Endpoint pour isoler automatiquement les machines infectées
C. Déployer des politiques Azure Security Benchmark pour appliquer des configurations baselines
D. Configurer des alertes Azure Monitor pour déclencher une tâche de remédiation via Azure Policy
✓ Bonne réponse : A
Microsoft Sentinel Playbooks (basés sur Logic Apps) permettent de :
Automatiser la réponse aux incidents (SOAR – Security Orchestration, Automation, and Response)
Déclencher des workflows de restauration depuis les backups dès qu’un incident est détecté
Réagir rapidement et de manière cohérente face à un ransomware
Cela offre un processus automatique de containment et de récupération, exactement ce que demande le SOC.
Question 8 / 10
Votre organisation doit chiffrer les données sensibles stockées dans Azure Cosmos DB et souhaite utiliser ses propres clés de chiffrement gérées dans Azure Key Vault.
Quelle fonctionnalité doit être configurée ?
A. Client-side encryption avec clés gérées par l’application
B. Transparent Data Encryption avec clés gérées par le service
C. Column-level Always Encrypted
D. Encryption at rest avec customer-managed keys (CMK)
✓ Bonne réponse : D
Customer-Managed Keys (CMK) pour Cosmos DB :
Permet de chiffrer les données au repos en utilisant vos propres clés stockées dans Azure Key Vault
Offre contrôle total sur la gestion et la rotation des clés
Supporte les exigences de conformité et réglementaires (HIPAA, GDPR, etc.)
Différence avec les autres options :
A. Client-side encryption
Chiffrement côté client → les données sont chiffrées avant envoi à Cosmos DB
Plus complexe à gérer, mais pas nécessaire si vous voulez CMK au repos côté service
C. Transparent Data Encryption (TDE) avec service-managed keys
Chiffrement automatique par le service
Vous ne contrôlez pas les clés → ne répond pas à l’exigence de CMK
D. Column-level Always Encrypted
Disponible pour SQL Server / Azure SQL Database
Pas applicable à Cosmos DB
Question 9 / 10
Un architecte sécurité doit concevoir une configuration de base (baseline) pour des machines virtuelles IaaS dans Azure.
Quelle configuration correspond le plus aux Security Baselines recommandées par Microsoft ?
A. Configurer toutes les VMs avec des IP publiques mais restreindre le trafic entrant uniquement avec le pare-feu Windows
B. Affecter le contrôle d’accès basé sur les rôles (RBAC) au niveau du groupe de ressources et ne pas utiliser Azure Policy
C. Désactiver Microsoft Antimalware et n’utiliser que des outils tiers
D. Utiliser Azure Policy pour appliquer la protection des endpoints, le durcissement OS et le chiffrement des disques à grande échelle
✓ Bonne réponse : D
Microsoft Security Baselines pour VMs IaaS recommandent :
Endpoint protection activée (Microsoft Defender ou équivalent)
OS hardening : mots de passe complexes, journaux activés, configuration de sécurité renforcée
Chiffrement des disques (Azure Disk Encryption)
Application à grande échelle et cohérente via Azure Policy
L’usage d’Azure Policy permet :
Déploiement automatique ou audit des configurations
Remédiation centralisée
Conformité avec les bonnes pratiques Microsoft et standards comme CIS
Question 10 / 10
Une entreprise de services financiers souhaite maximiser la protection contre le phishing via Defender for Office 365 en configurant des politiques anti-phishing avancées.
Quel paramètre avancé améliore le plus directement la protection contre l’usurpation de compte (account impersonation) ?
A. Activer Mailbox Intelligence et Spoof Intelligence dans la politique anti-phishing
B. Configurer une règle de transport Exchange bloquant tous les emails externes avec pièces jointes
C. Créer une Safe Links policy pour réécrire les URLs de tous les emails
D. Désactiver l’audit des boîtes aux lettres pour réduire le bruit dans la détection d’usurpation
✓ Bonne réponse : B
Mailbox Intelligence : analyse le comportement des utilisateurs pour identifier des emails suspects envoyés ou reçus
Spoof Intelligence : détecte les tentatives d’usurpation d’identité (spoofing), notamment des domaines ou adresses similaires aux comptes internes
Ensemble, ils permettent à Defender for Office 365 de :
Bloquer ou marquer les emails imitant des comptes internes ou exécutifs
Réduire les risques d’account takeover via phishing ciblé
Vous surveillez une application et recevez des retours que une erreur spécifique augmente. Vous constatez que l'erreur est causée par un compte de service ayant des permissions insuffisantes. Vous résolvez le problème mais voulez être notifié si le problème se reproduit. Que devez-vous faire ?
A. Dans le visualiseur de journaux, filtrer les journaux sur la sévérité 'Error' et le nom du compte de service.
B. Créer une métrique personnalisée basée sur les journaux pour l'erreur spécifique à utiliser dans une politique d'alerte.
C. Accorder l'accès Project Owner au compte de service.
D. Créer un sink vers BigQuery pour exporter tous les journaux. Créer un tableau de bord Data Studio.
✓ Bonne réponse : B
Une métrique personnalisée basée sur les journaux compte les occurrences de l'erreur spécifique. Couplée à une politique d'alerte, elle déclenche une notification automatique si l'erreur réapparaît. C'est la solution proactive recommandée.
Question 2 / 10
Vous devez attribuer un rôle Cloud IAM à un auditeur externe pour qu'il puisse consulter les journaux d'audit GCP ainsi que les journaux d'accès aux données. Que devez-vous faire ?
A. Attribuer à l'utilisateur un rôle personnalisé avec la permission logging.privateLogEntries.list. Effectuer l'export vers Cloud Storage.
B. Attribuer le rôle IAM roles/logging.privateLogViewer. Diriger l'auditeur vers la consultation des journaux de modifications des politiques IAM.
C. Attribuer le rôle IAM roles/logging.privateLogViewer. Effectuer l'export des journaux vers Cloud Storage.
D. Attribuer à l'utilisateur un rôle personnalisé avec la permission logging.privateLogEntries.list. Diriger l'auditeur vers les journaux de modifications IAM.
✓ Bonne réponse : B
Le rôle roles/logging.privateLogViewer inclut l'accès aux journaux d'audit d'administration ET aux journaux d'accès aux données. Diriger l'auditeur vers les journaux de modifications IAM compète la vue complète. Pas besoin d'export — l'accès direct suffit.
Question 3 / 10
Votre entreprise utilise BigQuery pour le data warehousing. Des utilisateurs de plusieurs unités métier exécutent des requêtes. Les coûts BigQuery sont très élevés et vous devez les contrôler. Quelles deux méthodes devez-vous utiliser ? (Choisissez deux.)
Selectionnez DEUX reponses.
A. Appliquer un quota de requêtes personnalisé par utilisateur ou par projet pour le data warehouse BigQuery.
B. Créer des copies séparées du data warehouse BigQuery pour chaque unité métier.
C. Changer le modèle de requête BigQuery de la tarification à la demande vers le forfait. Appliquer le nombre approprié de slots à chaque projet.
D. Diviser le data warehouse BigQuery en plusieurs data warehouses pour chaque unité métier.
E. Séparer les utilisateurs dans plusieurs projets.
✓ Bonne réponse : A, C
Les deux méthodes efficaces sont : les quotas personnalisés (limitent les octets traités par utilisateur/projet) et le passage au modèle forfaitaire avec slots (coût fixe prévisible). Créer des copies multiples augmenterait les coûts de stockage.
Question 4 / 10
Vous voulez configurer l'Autohealing pour l'équilibrage de charge réseau d'un groupe d'instances Compute Engine dans plusieurs zones, en utilisant le moins d'étapes possible. Vous devez configurer la recréation des VMs si elles ne répondent pas après 3 tentatives de 10 secondes. Que devez-vous faire ?
A. Créer un Managed Instance Group. Vérifier que le paramètre autoscaling est activé.
B. Créer un équilibreur de charge HTTP avec une configuration backend référençant un groupe d'instances existant. Définir le health check à sain (HTTP).
C. Créer un Managed Instance Group. Définir le health check Autohealing à sain (HTTP).
D. Créer un équilibreur de charge HTTP avec une configuration backend référençant un groupe d'instances existant. Définir un mode d'équilibrage et un RPS max de 10.
✓ Bonne réponse : C
Un Managed Instance Group avec un health check Autohealing est la solution native GCP pour recréer automatiquement les VMs non réactives. C'est différent de l'équilibreur de charge : l'Autohealing surveille la santé des instances indépendamment.
Question 5 / 10
Votre entreprise a une grande quantité de données non structurées dans différents formats de fichiers. Vous voulez effectuer des transformations ETL. Vous devez rendre les données accessibles sur Google Cloud pour être traitées par un job Dataflow. Que devez-vous faire ?
A. Uploader les données dans Cloud Storage avec l'outil gsutil.
B. Importer les données dans Cloud SQL via la fonction d'import de la console.
C. Importer les données dans Cloud Spanner via la fonction d'import de la console.
D. Uploader les données dans BigQuery avec l'outil bq.
✓ Bonne réponse : A
Cloud Storage est la source de données native pour Cloud Dataflow et le staging recommandé pour les pipelines ETL GCP. gsutil gère efficacement les uploads de données non structurées. BigQuery est pour les données structurées, Cloud SQL/Spanner ne conviennent pas à des données hétérogènes.
Question 6 / 10
Vous devez créer un Managed Instance Group avec autoscaling pour une application web HTTPS. Vous voulez vous assurer que les VMs défaillantes sont recréées. Que devez-vous faire ?
A. Sélectionner Multi-Zone au lieu de Single-Zone lors de la création du Managed Instance Group.
B. Dans le template d'instance, ajouter le label 'health-check'.
C. Créer un health check sur le port 443 et l'utiliser lors de la création du Managed Instance Group.
D. Dans le template d'instance, ajouter un script de démarrage qui envoie un heartbeat au serveur de métadonnées.
✓ Bonne réponse : C
Un health check sur le port 443 (HTTPS) permet au MIG de détecter les instances défaillantes et de les recréer automatiquement. C'est la seule option qui configure réellement l'autohealing. Les labels et heartbeats ne font pas de recréation automatique.
Question 7 / 10
Vous avez un fichier AVRO de 5 To stocké dans un bucket Cloud Storage. Vos analystes maîtrisent uniquement SQL et ont besoin d'accéder aux données. Vous voulez trouver un moyen rentable de répondre à leur demande le plus rapidement possible. Que devez-vous faire ?
A. Créer un cluster Hadoop et copier le fichier AVRO vers NDFS. Charger dans une table Hive et donner l'accès aux analystes.
B. Créer une table BigQuery et charger les données. Exécuter une requête SQL et supprimer la table ensuite.
C. Charger les données dans Cloud Datastore et exécuter une requête SQL.
D. Créer des tables externes dans BigQuery pointant vers les buckets Cloud Storage et exécuter des requêtes SQL sur ces tables externes.
✓ Bonne réponse : D
Les tables externes BigQuery pointant vers Cloud Storage permettent d'interroger les données AVRO directement avec SQL sans les importer dans BigQuery. C'est plus rapide (pas de chargement) et moins cher (pas de stockage BigQuery permanent).
Question 8 / 10
Vous devez exécuter une requête importante dans BigQuery mais attendez beaucoup d'enregistrements. Vous voulez savoir combien cette requête coûtera. Vous utilisez la tarification à la demande. Que devez-vous faire ?
A. Exécuter un SELECT COUNT(*) pour avoir une idée du nombre d'enregistrements, puis convertir en dollars avec le calculateur.
B. Utiliser la ligne de commande pour exécuter une requête dry-run afin d'estimer le nombre d'octets lus, puis convertir en dollars avec le calculateur de prix.
C. Utiliser la ligne de commande pour exécuter une requête dry-run afin d'estimer le nombre d'octets retournés, puis convertir en dollars avec le calculateur.
D. Passer temporairement à la tarification forfaitaire pour cette requête, puis revenir à la tarification à la demande.
✓ Bonne réponse : B
La commande BigQuery dry-run estime les octets lus (scannés depuis les tables) sans exécuter la requête. Attention : la facturation est basée sur les octets lus, pas sur les octets retournés — une requête `SELECT *` sur une table de 1 To coûte la même chose qu'elle retourne 1 ligne ou 1 million. Le calculateur de prix convertit ensuite ce volume en dollars.
Question 9 / 10
Vous souhaitez envoyer et consommer des messages Cloud Pub/Sub depuis votre application App Engine. L'API Cloud Pub/Sub est actuellement désactivée. Vous utiliserez un compte de service pour authentifier votre application. Que devez-vous faire ?
A. S'appuyer sur l'activation automatique de l'API Cloud Pub/Sub lorsque le compte de service y accède.
B. Activer l'API Cloud Pub/Sub dans la bibliothèque d'API de la console GCP.
C. Utiliser Deployment Manager pour déployer votre application et s'appuyer sur l'activation automatique des API.
D. Accorder au compte de service App Engine le rôle Cloud Pub/Sub Admin pour qu'il active l'API à la première connexion.
✓ Bonne réponse : B
Les API GCP doivent être explicitement activées avant utilisation. L'activation automatique n'existe pas pour les comptes de service. La bonne pratique est d'activer l'API Cloud Pub/Sub manuellement dans la console GCP avant de déployer l'application.
Question 10 / 10
Vous exploitez un data warehouse sur BigQuery. Une société partenaire propose un moteur de recommandations basé sur vos données. La société partenaire gère ses ressources dans son propre projet GCP. Ils ont besoin d'accéder au dataset BigQuery dans votre projet. Que devez-vous faire ?
A. Créer un compte de service dans votre projet et demander au partenaire de lui accorder l'accès BigQuery dans leur projet.
B. Créer un compte de service dans votre propre projet et lui accorder l'accès BigQuery dans votre projet.
C. Demander au partenaire de créer un compte de service dans leur projet et lui accorder l'accès au dataset BigQuery dans votre projet.
D. Demander au partenaire de créer un compte de service dans leur projet et de lui donner accès à BigQuery dans leur projet.
✓ Bonne réponse : C
La bonne pratique est que le partenaire crée un compte de service dans son propre projet (il le contrôle) et que vous lui accordez l'accès au dataset BigQuery dans votre projet. Vous gardez le contrôle de qui accède à vos données.
Scrum est fondé sur l'empirisme — la philosophie selon laquelle la connaissance provient de l'expérience et de l'observation réelles. Scrum aborde la complexité grâce à ses trois piliers : la transparence, l'inspection et l'adaptation. Cela contraste avec les processus définis qui supposent une prévisibilité dans des environnements complexes.
Question 2 / 10
Que se passerait-il probablement si le management se contentait d'adapter la terminologie de l'organisation pour correspondre à Scrum, sans une compréhension et un soutien appropriés de Scrum tels que définis dans le Scrum Guide ?
A. Toutes les réponses s'appliquent.
B. L'organisation ne réalisera probablement pas les véritables bénéfices de Scrum, car il n'y aurait aucun changement réel dans la façon dont les équipes travaillent.
C. Les organisations pourraient se sentir moins stressées, car les comportements resteraient familiers au management.
D. Très peu de changements se produiront, car le vocabulaire de Scrum est spécifiquement défini pour la mise en œuvre de Scrum.
✓ Bonne réponse : A
Toutes les réponses s'appliquent. Le simple fait d'adopter la terminologie Scrum sans comprendre ni incarner ses principes produira un changement organisationnel minime. Les équipes conserveront leurs comportements habituels (souvent dysfonctionnels), le vocabulaire perdra tout son sens, le management pourra se sentir à l'aise en raison de dynamiques inchangées, et les véritables bénéfices de Scrum — inspection, transparence et adaptation — resteront inexploités.
Question 3 / 10
Steven est Scrum Master au sein d'une nouvelle Scrum Team. Quelle serait la meilleure façon pour lui de déterminer si le Product Owner interagit suffisamment avec la Development Team durant un Sprint ?
A. Observer si le Product Owner a fourni suffisamment d'informations lors du Sprint Planning pour que sa présence soit facultative durant le Sprint. Le niveau d'autonomie au sein de la Development Team peut être le résultat d'une présence adéquate du Product Owner.
B. Le Product Owner doit toujours être présent avec la Development Team. L'indisponibilité du Product Owner est interdite dans Scrum.
C. Vérifier si le Product Owner est activement impliqué lors des Daily Scrums.
D. Vérifier si l'Incrément présenté lors de la Sprint Review correspond aux attentes du Product Owner.
✓ Bonne réponse : A
L'option C est correcte. L'implication du Product Owner doit être calibrée en fonction de l'autonomie de l'équipe — une clarté suffisante lors du Sprint Planning permet l'indépendance de l'équipe durant le Sprint. Cet équilibre se mesure à la capacité de l'Increment à répondre aux attentes, et non à la présence physique à chaque événement. L'option A confond l'observation avec l'implication, l'option B est réactive plutôt que préventive, et l'option D constitue une interprétation extrémiste et erronée de Scrum.
Question 4 / 10
Quelles seraient les deux meilleures façons d'identifier qu'une Équipe de Développement est auto-organisée ? (Choisissez deux réponses.)
Sélectionnez 2 réponses.
A. L'Équipe de Développement est capable de résoudre les conflits internes entre ses membres afin de continuer à travailler.
B. Les membres de l'Équipe de Développement sont pluridisciplinaires et savent ce qu'ils doivent faire pour livrer toutes les tâches auxquelles ils se sont engagés lors du Sprint Planning.
C. Le management est capable de savoir quels membres travaillent sur quels éléments.
D. La créativité s'épanouit et de nouvelles possibilités sont explorées.
✓ Bonne réponse : A, D
Réponses correctes : Options 2 et 4. L'option 2 identifie correctement l'auto-organisation : la créativité et l'exploration s'épanouissent lorsque les équipes s'approprient les décisions. L'option 4 illustre correctement l'auto-organisation : les équipes résolvent leurs conflits internes sans intervention externe, maintenant ainsi leur dynamique. L'option 1 reflète un management de type commande-et-contrôle, et non l'auto-organisation. L'option 3 est incomplète — savoir quoi faire est nécessaire mais pas suffisant pour une véritable auto-organisation.
Question 5 / 10
Steven, le Scrum Master, observe qu'un membre de la Development Team ne participe pas au Daily Scrum. La Development Team considère cela acceptable, car tous ses membres sont assis dans le même espace et communiquent déjà en permanence tout au long de la journée. Quelle est la meilleure action que Steven devrait entreprendre ?
A. Le Daily Scrum appartient à la Development Team et il lui revient de décider quels membres doivent y participer.
B. Prendre en charge l'animation du Daily Scrum et exiger la présence de tous les membres.
C. Parler en privé au membre de la Development Team concerné et lui dire qu'il doit faire preuve d'esprit d'équipe.
D. Demander à la Development Team quelle valeur apporterait la présence de tous les membres au Daily Scrum et quels sont les risques si certains membres n'y participent pas.
✓ Bonne réponse : D
Bonne réponse : Option 2. Le Scrum Master doit faciliter la découverte en invitant l'équipe à réfléchir sur la valeur et les risques liés à une participation complète, lui permettant ainsi de s'auto-organiser et de décider par elle-même. Cette approche consiste à accompagner plutôt qu'à ordonner. L'option 0 (imposer) est autoritaire. L'option 1 (culpabiliser) est manipulatrice. L'option 3 (abdiquer ses responsabilités) ignore le rôle du Scrum Master, qui est d'aider l'équipe à comprendre les pratiques Scrum et leurs bénéfices.
Question 6 / 10
Quelle est la meilleure façon pour une Scrum Team de s'assurer que les préoccupations en matière de sécurité sont prises en compte et transparentes ?
A. Créer un backlog séparé pour les éléments de sécurité et ne travailler dessus que lorsqu'un spécialiste est disponible.
B. Ajouter des Sprints dédiés à la sécurité pour résoudre les préoccupations de sécurité lorsque cela est nécessaire.
C. Déléguer le travail à une équipe externe.
D. Demander à la Scrum Team de créer des éléments de Product Backlog pour chaque préoccupation et/ou d'intégrer les exigences de sécurité dans la définition de « Terminé ».
✓ Bonne réponse : D
Créer des éléments du Product Backlog pour les préoccupations de sécurité et/ou ajouter la sécurité à la Definition of Done garantit que la sécurité est transparente et traitée en continu tout au long du développement, ce qui reflète le processus empirique de Scrum. Cette approche intègre la sécurité dans le travail habituel plutôt que de l'isoler. Les Sprints dédiés uniquement à la sécurité, la délégation à des intervenants externes ou l'attente de spécialistes violent le principe de transparence et de responsabilité partagée au sein de la Scrum Team.
Question 7 / 10
Les problèmes de collaboration et les dépendances techniques entre plusieurs Scrum Teams travaillant sur le même produit peuvent être entièrement résolus en utilisant les bons outils de gestion de versions.
Vrai ou Faux ?
A. Vrai.
B. Faux.
✓ Bonne réponse : B
Les outils de gestion de versions seuls ne peuvent pas résoudre les problèmes de collaboration et de dépendances ; ce sont fondamentalement des problèmes organisationnels et de processus qui nécessitent de la communication, de la planification et un affinage approprié du Backlog. La technologie est un outil, pas une solution aux défis de collaboration humaine dans Scrum.
Question 8 / 10
Après plusieurs Sprints, un partie prenante clé commence à utiliser le produit. Cette partie prenante est surprise par les faibles performances et s'en plaint au Product Owner. Le Product Owner vient alors voir le Scrum Master pour lui demander conseil. Quelle est la meilleure action à entreprendre pour le Scrum Master ?
A. Attendre la prochaine Sprint Retrospective, qui est le moment le plus opportun pour modifier la Definition of Done.
B. Soumettre la préoccupation aux testeurs de l'équipe de développement et leur demander d'inclure des tests de performance.
C. Encourager le Product Owner à faire part de ses préoccupations concernant les performances à l'équipe de développement et à travailler avec elle sur les moyens d'améliorer ces performances, aboutissant ainsi à une Definition of Done plus solide.
D. Expliquer au Product Owner que c'est à l'équipe de développement de décider des standards de performance acceptables, car elle est propriétaire de la Definition of Done.
✓ Bonne réponse : C
L'option D est correcte. Le Scrum Master doit faciliter la collaboration entre le Product Owner et l'équipe de développement afin de renforcer la Definition of Done pour répondre aux préoccupations de performance. L'option A reporte inutilement l'action, l'option B dirige l'équipe de manière inappropriée, et l'option C est défensive et écarte les retours des parties prenantes. La DoD est une responsabilité partagée qui évolue grâce à la collaboration.
Question 9 / 10
Steven est un Scrum Master recruté pour aider une organisation, qui débute avec Scrum, à comprendre et à mettre en œuvre Scrum efficacement. Quelles sont les trois activités qui seraient acceptables ? (Choisissez trois réponses.)
Sélectionnez 3 réponses.
A. Sanctionner les membres de la Scrum Team qui ne respectent pas le cadre Scrum.
B. Organiser des sessions de coaching individuel pour aborder les préoccupations identifiées par Steven.
C. Planifier des formations formelles.
D. Former les parties prenantes et les clients à Scrum.
E. Exiger que toutes les équipes de l'organisation commencent à utiliser Scrum le plus tôt possible.
6. Prolonger les Rétrospectives pour y inclure des formations formelles.
✓ Bonne réponse : B, C, D
Correct : Options 2, 3 et 5 - Les Scrum Masters efficaces utilisent le coaching, la formation et la sensibilisation des parties prenantes pour aider les organisations à adopter Scrum de manière durable. L'option 1 viole les principes de conduite du changement ; l'option 4 contredit les valeurs collaboratives de Scrum ; l'option 6 prolonge les événements au-delà de leur objectif initial, ce qui dilue leur efficacité.
Question 10 / 10
Quels deux scénarios représentent le mieux une équipe de développement auto-organisée ? (Choisissez deux réponses.)
Sélectionnez 2 réponses.
A. Les membres de l'équipe de développement sélectionnent et replanifient leur travail de manière collaborative tout au long du Sprint.
B. Le management travaille avec le Scrum Master pour optimiser la progression de l'équipe de développement durant le Sprint.
C. L'équipe de développement invite des personnes extérieures au Sprint Planning pour l'aider à créer un Sprint Backlog complet et détaillé.
D. L'équipe de développement crée son propre Sprint Backlog, reflétant l'ensemble des travaux faisant partie de la Definition of Done.
E. Les membres de l'équipe de développement sont strictement concentrés sur les tâches relevant de leur rôle fonctionnel et transmettent toujours le travail aux autres rôles en temps voulu.
✓ Bonne réponse : A, D
Une équipe de développement auto-organisée décide collectivement de la manière d'accomplir son travail et est responsable de la création de son Sprint Backlog en tenant compte de la Définition of Done. Les options C et E sont correctes : L'option C illustre une replanification collaborative tout au long du Sprint (auto-organisation), et l'option E montre l'équipe créant son propre Sprint Backlog en respectant la Definition of Done. L'option A reflète des silos basés sur les rôles (absence d'auto-organisation), l'option B implique une optimisation par le management (direction externe), et l'option D introduit des personnes extérieures (ce qui nuit à l'autonomie de l'équipe).
En général, pourquoi n\'est-il PAS judicieux d\'estimer l\'effort de test en se basant uniquement sur un pourcentage de l\'effort de développement? Identifiez TROIS raisons valides.
Sélectionnez TROIS réponses.
A. Utiliser le même pourcentage chaque fois ne tient pas compte du niveau de risque de l'application à tester.
B. Cela s'appuie sur un large ensemble de données historiques.
C. La technique basée sur un pourcentage s'applique uniquement au modèle de cycle de vie en V.
D. La maturité de l'organisation, par exemple la qualité de la base de test, la qualité des tests de développement, la gestion de configuration, la disponibilité des outils de test, influencent également l'effort requis pour le test.
E. Le résultat est presque toujours une estimation trop faible de l'effort de test requis.
6. En général, l'estimation ascendante est toujours meilleure que l'estimation descendante.
7. La qualité de l'estimation du développement peut être médiocre.
✓ Bonne réponse : A, D, 7
Réponse : La qualité de l\'estimation du développement peut être médiocre. / Utiliser le même pourcentage chaque fois ne tient pas compte du niveau de risque de l\'application à tester. / La maturité de l\'organisation, par exemple la qualité de la base de test, la qualité des tests de développement, la gestion de configuration, la disponibilité des outils de test, influencent également l\'effort requis pour le test.. Explication : Les réponses A, D et E désignent des sources distinctes de variance qu\'un simple pourcentage du développement ne peut pas capturer. A: les estimations de développement peuvent être inexactes, propageant l\'erreur d\'estimation. D: un pourcentage fixe ignore le risque spécifique, la criticité métier et les profils d\'impact des défauts. E: la maturité organisationnelle (qualité de la base de test, tests unitaires du développement, gestion de configuration, outils disponibles) influence directement l\'effort de test.
Question 2 / 10
Laquelle des techniques suivantes est la moins susceptible d\'être utilisée pour identifier les risques projet et produit ?
A. Évaluations indépendantes
B. Inspections
C. Brainstorming
D. Entretiens avec des experts
✓ Bonne réponse : B
Réponse : Inspections. Explication : Les inspections (B) sont les moins appropriées car c\'est une technique d\'examen statique, axée sur les défauts, destinée à trouver des non-conformités dans les produits de travail plutôt qu\'à identifier proactivement les risques projet et produit. Les inspections utilisent des listes de contrôle et une approche orientée détection de défauts, tandis que l\'identification des risques nécessite une exploration prospective des incertitudes futures.
Question 3 / 10
Laquelle des mesures suivantes est une étape d\'atténuation des risques projet que vous pourriez prendre en tant que responsable des tests ?
A. Embaucher un prestataire après le départ d\'un analyste de test de l\'entreprise
B. Prévoir un environnement de test de secours en cas de défaillance de l\'environnement existant pendant les tests
C. Tester les problèmes de performance
D. Organiser une réunion rétrospective du projet en utilisant les résultats des tests après chaque incrément
✓ Bonne réponse : B
Réponse : Prévoir un environnement de test de secours en cas de défaillance de l\'environnement existant pendant les tests. Explication : C est correct car prévoir un environnement de test de secours est une mesure d\'atténuation proactive et au niveau du projet qui réduit la probabilité et l\'impact d\'une défaillance d\'environnement. L\'atténuation des risques projet consiste en actions anticipées et délibérées réduisant l\'exposition aux menaces identifiées. Un environnement redondant est une mesure classique car une défaillance d\'environnement est un point de défaillance unique fréquent pouvant arrêter complètement les tests et augmenter les coûts.
Question 4 / 10
Lequel des éléments suivants vous attendriez-vous à trouver dans le plan directeur de test ?
A. Une liste des noms des testeurs qui effectueront les tests de performance pour la dernière itération.
B. L\'approche de test qui sera appliquée aux tests d\'intégration système.
C. Une identification détaillée des ressources qui effectueront les tests structurels à la première itération.
D. Une description de la façon dont les cas de test sont référencés croisés aux exigences dans l\'outil de gestion de test.
✓ Bonne réponse : B
Réponse : L\'approche de test qui sera appliquée aux tests d\'intégration système.. Explication : C est correct car le plan directeur de test est un document au niveau du programme qui spécifie l\'approche de test de haut niveau pour les principaux niveaux de test, y compris les tests d\'intégration système. Le plan directeur communique la portée, les objectifs, l\'approche générale de test aux parties prenantes, tandis que les détails d\'exécution relèvent des plans subordonnés.
Question 5 / 10
Pour estimer la durée des tâches de test automatisé utilisant un outil de capture-rejouer, quel élément est ESSENTIEL ?
A. Les métriques enregistrées lors du test de l\'outil de capture-rejouer.
B. Les compétences et l\'expérience des développeurs pour corriger les défaillances.
C. Le nombre de testeurs dans l\'entreprise et leur niveau.
D. Les normes utilisées pour la spécification des exigences.
✓ Bonne réponse : A
Réponse : Les métriques enregistrées lors du test de l\'outil de capture-rejouer.. Explication : C est correct car les métriques mesurées de l\'outil de capture-rejouer fournissent les données empiriques directes (taux d\'exécution, temps de création et maintenance des scripts, taux de faux positifs/négatifs, surcharge de configuration/nettoyage) nécessaires pour convertir les tâches de test spécifiées en estimations temporelles fiables et réduire l\'incertitude.
Question 6 / 10
En plus du risque, identifiez DEUX autres composantes d\'une stratégie de test.
Sélectionnez DEUX réponses.
A. Les critères d'entrée et de sortie pour chaque phase de test
B. Le calendrier de test
C. Les indicateurs de performance des tests
D. Les techniques de conception de test à utiliser
E. Les besoins en formation en test pour les ressources du projet
✓ Bonne réponse : A, D
Réponse : Les critères d\'entrée et de sortie pour chaque phase de test / Les techniques de conception de test à utiliser. Explication : AC est correct car une stratégie de test défendable prescrit explicitement les techniques de conception de test pour atteindre la couverture et l\'atténuation des risques (C) et les critères d\'entrée/sortie qui gouvernent la progression des phases et les barrières qualité (A). Une stratégie de test robuste est un cadre décisionnel de haut niveau qui détermine comment les objectifs de test seront atteints et comment les risques informent la priorisation et la portée.
Question 7 / 10
En attendant les réponses, le responsable des tests a été chargé de préparer des plans de test pour valider l\'application logicielle livrée par le soumissionnaire retenu. Quelle méthode d\'estimation est appropriée à ce stade du projet ?
A. Créer une estimation basée sur la complexité du code
B. Créer une estimation basée sur les références du soumissionnaire retenu
C. Créer une estimation basée sur la technique d\'analyse de points de fonction et l\'analyse de points de test
D. Créer une estimation basée sur un pourcentage de l\'effort de développement
✓ Bonne réponse : C
Réponse : Créer une estimation basée sur la technique d\'analyse de points de fonction et l\'analyse de points de test. Explication : La réponse A est correcte car l\'analyse de points de fonction combinée à l\'analyse de points de test produit une estimation précoce basée sur la taille, spécifique aux tests, indépendante de la disponibilité du code source. L\'APF fournit une métrique de taille fonctionnelle, l\'APT traduit cette taille en effort de test en appliquant les facteurs de testabilité et de qualité.
Question 8 / 10
Parmi les sujets suivants, lequel NE DEVRAIT PAS être inclus dans le rapport de progression des tests ?
A. Les risques produit qui ont été atténués et ceux qui sont en suspens.
B. Un aperçu détaillé de l\'approche de test basée sur les risques utilisée pour assurer la réalisation des critères de sortie.
C. L\'état comparé aux critères de sortie définis au départ.
D. Les recommandations pour entreprendre des actions correctives.
✓ Bonne réponse : B
Réponse : Un aperçu détaillé de l\'approche de test basée sur les risques utilisée pour assurer la réalisation des critères de sortie.. Explication : D est correct car les cadres supérieurs non-spécialistes ont besoin d\'informations concises et orientées résultats, non d\'une exposition détaillée opérationnelle de l\'approche basée sur les risques. Un rapport doit prioriser l\'état versus objectifs, risques clés et atténuations, tendances et actions managériales recommandées pour décisions efficaces.
Question 9 / 10
Lequel des éléments suivants est une métrique appropriée pour mesurer l\'efficacité du processus de test dans la réalisation de l\'un de ces objectifs ?
A. Nombre moyen de jours entre la découverte et la résolution d\'un défaut
B. Nombre de lignes de code écrites par développeur par jour
C. Pourcentage de couverture des exigences
D. Pourcentage de l\'effort de test consacré aux tests de régression
✓ Bonne réponse : C
Réponse : Pourcentage de couverture des exigences. Explication : B est correct car le pourcentage de couverture des exigences quantifie directement l\'adéquation des tests par rapport à l\'objectif déclaré de valider que le système satisfait ses exigences. L\'efficacité du test dans un contexte piloté par les exigences repose sur la mesure objective de la complétude de la couverture des exigences et de la détection des non-conformités.
Question 10 / 10
Lequel des éléments suivants est un inconvénient valide du test indépendant ?
A. Les testeurs indépendants deviendront un goulot d\'étranglement et introduiront des problèmes dans la gestion des incidents.
B. Les testeurs indépendants ont besoin d\'une formation supplémentaire et coûtent toujours plus cher.
C. Les développeurs et le test indépendant vont se chevaucher et gaspiller des ressources.
D. Les développeurs perdent le sens des responsabilités et les testeurs indépendants peuvent devenir un goulot d\'étranglement.
✓ Bonne réponse : D
Réponse : Les développeurs perdent le sens des responsabilités et les testeurs indépendants peuvent devenir un goulot d\'étranglement.. Explication : Le test indépendant sépare la vérification du développement, ce qui peut diminuer le sens de la responsabilité des développeurs tandis que la coordination des tests et le triage des incidents se concentrent dans une équipe distincte qui peut devenir un goulot d\'étranglement processus.
Votre agent traite un litige de facturation. Après avoir appelé get_customer et lookup_order, il identifie que le litige implique une erreur de tarification promotionnelle nécessitant l'approbation d'un responsable — ce qui dépasse le niveau d'autorisation de l'agent. Comment le workflow doit-il gérer cette escalade en cours de processus ?
A. Appeler escalate_to_human en ne transmettant que le message original du client.
B. Tenter quand même le remboursement avec process_refund, et n'escalader que si le système rejette la transaction.
C. Persister l'intégralité de l'historique de conversation et des réponses aux outils dans une base de données, puis appeler escalate_to_human avec un identifiant de référence.
D. Compiler un handoff structuré incluant les informations client, les détails de commande et le problème identifié avant d'appeler escalate_to_human.
✓ Bonne réponse : D
A. Persister l'intégralité de l'historique de conversation et des réponses aux outils dans une base de données, puis appeler escalate_to_human avec un identifiant de référence — Incorrect. Utile sur le plan opérationnel, mais l'agent humain a tout de même besoin d'un résumé concis et exploitable plutôt que de simples journaux bruts. B. Appeler escalate_to_human en ne transmettant que le message original du client — Incorrect. Cela perd le travail d'investigation déjà effectué et oblige l'agent humain à répéter les étapes. C. Tenter le remboursement avec process_refund quoi qu'il arrive, en escaladant uniquement si le système rejette la transaction — Incorrect. Cela viole les limites d'autorisation et la politique métier. D. Compiler une passation de contexte structurée incluant les détails du client, les informations de commande et le problème identifié avant d'appeler escalate_to_human — Correct. Une passation structurée préserve le contexte, réduit les répétitions et permet à l'agent humain de continuer efficacement.
Question 2 / 10
L'analyse des performances révèle que votre contexte est composé de résultats RAG accumulés provenant de toutes les requêtes précédentes, ce qui empiète sur l'historique de la conversation et entraîne une dégradation de la cohérence après 15 tours ou plus. Quelle approche résout le mieux ce problème ?
A. Compresser tous les résultats RAG en un document de synthèse consolidé qui se met à jour de manière incrémentale après chaque récupération.
B. Mettre en place une déduplication sémantique pour identifier et supprimer les informations redondantes dans les résultats RAG accumulés et les tours de conversation.
C. Mettre en place une fenêtre glissante pour les résultats RAG des 2 à 3 dernières requêtes tout en préservant l'historique de la conversation.
D. Réaffecter le budget de contexte en faveur des résultats RAG tout en réduisant l'allocation réservée à l'historique de la conversation.
✓ Bonne réponse : C
A. Mettre en œuvre une déduplication sémantique pour identifier et supprimer les informations redondantes dans les résultats RAG accumulés et les tours de conversation — Incorrect. Cela réduit la redondance, mais ne résout pas le problème central de l'accumulation non bornée du contexte RAG. B. Mettre en œuvre une fenêtre glissante pour les résultats RAG des 2 à 3 dernières requêtes tout en préservant l'historique de la conversation — Correct. Cela répond directement au problème de saturation du contexte en limitant la croissance du RAG tout en maintenant la continuité de la conversation. C. Réaffecter le budget de contexte en faveur des résultats RAG tout en réduisant l'allocation de l'historique de conversation — Incorrect. Cela détériore la cohérence en sacrifiant le contexte conversationnel. D. Compresser tous les résultats RAG en un document de synthèse consolidé qui se met à jour de manière incrémentielle après chaque récupération — Incorrect. Cela peut entraîner une perte d'informations et une dérive du résumé, en particulier sur de nombreux tours de conversation.
Question 3 / 10
La surveillance indique que 12 % des extractions échouent à la validation Pydantic avec des erreurs spécifiques telles que « float attendu pour quantity, obtenu '2 to 3' ». Relancer ces requêtes sans modification produit les mêmes échecs. Quelle est l'approche la plus efficace pour récupérer de ces échecs de validation ?
A. Pré-traiter les documents source pour standardiser les formats problématiques avant de les envoyer à l'extraction.
B. Définir la température à 0 pour éliminer la variabilité des sorties et garantir un formatage cohérent.
C. Envoyer une requête de suivi incluant l'erreur de validation, en demandant au modèle de corriger sa sortie.
D. Implémenter un pipeline secondaire utilisant un modèle de niveau supérieur pour retraiter les documents qui échouent à la validation.
✓ Bonne réponse : C
A. Définir la température à 0 pour éliminer la variabilité des sorties et garantir un formatage cohérent — Incorrect. Cela réduit l'aléatoire mais ne corrige pas les erreurs d'extraction systématiques comme la mauvaise interprétation des plages (« 2 à 3 »). B. Envoyer une requête de suivi incluant l'erreur de validation, en demandant au modèle de corriger sa sortie — Correct. Fournir un retour de validation précis permet au modèle de corriger le problème exact (par exemple, convertir « 2 à 3 » en un nombre flottant valide), rendant la récupération très efficace. C. Pré-traiter les documents sources pour standardiser les formats problématiques avant de les envoyer à l'extraction — Incorrect. Utile dans certains cas, mais pas évolutif ni suffisant pour gérer la diversité des variations du monde réel. D. Mettre en place un pipeline secondaire utilisant un modèle de niveau supérieur pour retraiter les documents qui échouent à la validation — Incorrect. Plus coûteux et inutile — la correction ciblée est plus efficace et plus performante.
Question 4 / 10
Votre outil documents(query) retourne des résultats sous la forme « 3 documents trouvés : Proposition budgétaire T2, Prévision budgétaire T2, Bilan annuel ». Vous souhaitez que l'agent puisse traiter document(4, multi) et doc(24, multi). Quel format de retour permettrait le mieux ces flux de travail en plusieurs étapes ?
A. Des URL sur lesquelles les utilisateurs peuvent cliquer pour ouvrir le document dans leur navigateur.
B. Des données structurées contenant les identifiants et les métadonnées de chaque document trouvé.
C. Un tableau JSON des titres de documents extraits des résultats de recherche.
D. Des descriptions plus détaillées et lisibles par un humain, incluant la taille et les auteurs.
✓ Bonne réponse : B
A. Des URLs sur lesquelles les utilisateurs peuvent cliquer pour ouvrir le document dans leur navigateur. Incorrect. Les URLs sont utiles pour les utilisateurs, mais ne sont pas idéales pour les agents effectuant des workflows en plusieurs étapes nécessitant un référencement fiable et des opérations supplémentaires. B. Des données structurées contenant les identifiants de documents et les métadonnées pour chaque résultat. Correct. Cela permet à l'agent de référencer de manière programmatique des documents spécifiques (via des identifiants) à travers plusieurs étapes, rendant les workflows tels que les requêtes de suivi ou la récupération de documents précis et fiables. C. Un tableau JSON de titres de documents extraits des résultats de recherche. Incorrect. Les titres seuls sont ambigus et ne constituent pas des identifiants stables, ce qui rend difficile pour les agents d'agir de manière fiable sur des documents spécifiques. D. Des descriptions plus détaillées et lisibles par l'humain, incluant la taille et les auteurs. Incorrect. Utile pour les utilisateurs, mais toujours non structuré et non adapté à des opérations précises d'agents en plusieurs étapes.
Question 5 / 10
Votre outil de recherche de vols appelle une API externe d'une compagnie aérienne qui retourne occasionnellement une erreur 503 Service Unavailable. Quelle est la manière la plus efficace de gérer cette erreur dans l'implémentation de votre outil ?
A. Retourner une liste de vols vide comme si la recherche avait réussi mais n'avait trouvé aucun vol correspondant.
B. Journaliser l'erreur en interne et retourner une réponse vide, laissant le modèle continuer sans les données de vol.
C. Réessayer automatiquement la requête jusqu'à cinq fois avec un délai exponentiel avant de retourner les résultats à l'agent.
D. Retourner un message d'erreur dans le résultat de l'outil expliquant que le service est temporairement indisponible.
✓ Bonne réponse : C
A. Retourner une liste de vols vide comme si la recherche avait réussi mais n'avait trouvé aucun vol correspondant. Incorrect. Cela masque l'échec et induit le système en erreur en lui faisant croire qu'aucun vol n'existe, ce qui peut conduire à des conclusions incorrectes. B. Enregistrer l'erreur en interne et retourner une réponse vide, laissant le modèle continuer sans les données de vols. Incorrect. Cela supprime également le signal d'échec, empêchant l'agent de prendre des mesures correctives. C. Retourner un message d'erreur dans le résultat de l'outil expliquant que le service est temporairement indisponible. Incorrect. Bien que transparent, cela ne tente pas à lui seul une récupération et peut dégrader inutilement l'expérience utilisateur. D. Réessayer automatiquement la requête jusqu'à cinq fois avec un backoff exponentiel avant de retourner les résultats à l'agent. Correct. Il s'agit de l'approche la plus efficace : elle gère les pannes transitoires de manière élégante, améliore la fiabilité et ne remonte les erreurs que si les tentatives échouent.
Question 6 / 10
You're Implementing a feature where users refine their playlist preferences through multiple conversation turns. After deploying, you notice Claude's responses don't reflect what us earlier in the same conversation--for example, a user says they love jazz, but two messages later Claude asks what genres they enjoy. What is the most likely cause?
A. The Claude API requires a session_id parameter that you haven't configured
B. The model's context window has been exceeded by the conversation length
C. Your application isn't including prior messages in the messages array
D. Claude requires a vector database connection to maintain conversation memory
✓ Bonne réponse : C
A. La fenêtre de contexte du modèle a été dépassée par la longueur de la conversation — Incorrect. Cela ne se produirait que lors de conversations très longues, alors que le problème apparaît dès les premiers échanges. B. L'API Claude nécessite un paramètre session_id que vous n'avez pas configuré — Incorrect. Il n'existe pas de session_id obligatoire ; le contexte doit être géré explicitement par l'application. C. Claude nécessite une connexion à une base de données vectorielle pour maintenir la mémoire de la conversation — Incorrect. Une base de données vectorielle est optionnelle pour la récupération d'informations, elle n'est pas requise pour la mémoire conversationnelle de base. D. Votre application n'inclut pas les messages précédents dans le tableau messages — Correct. Claude ne conserve aucune mémoire entre les appels ; si les messages précédents ne sont pas inclus, il ne peut pas se souvenir des préférences exprimées antérieurement par l'utilisateur.
Question 7 / 10
Le premier message d'un nouvel utilisateur est : « Configure ma musique de concentration. » Cela pourrait signifier configurer des préférences, créer une playlist ou lancer la musique immédiatement. Votre système prend en charge ces trois actions. Quelle est l'approche la plus efficace ?
A. Poser une seule question de clarification sur le type d'action souhaité : lancer maintenant ou configurer pour plus tard.
B. Créer une nouvelle playlist « Concentration » avec des titres sélectionnés et informer l'utilisateur qu'elle est prête.
C. Lancer immédiatement des titres populaires de concentration et laisser l'utilisateur réorienter si nécessaire.
D. Démarrer la configuration des préférences en posant des questions sur les genres, les tempos et les artistes préférés pour la concentration.
✓ Bonne réponse : A
A. Créer une nouvelle playlist « Focus » avec des titres sélectionnés et notifier l'utilisateur qu'elle est prête. Incorrecte. Cette option suppose une intention et risque d'effectuer la mauvaise action, ce qui frustre les utilisateurs. B. Poser une question de clarification sur le type d'action : écouter maintenant ou configurer pour plus tard. Correcte. Cela minimise les frictions tout en résolvant l'ambiguïté, permettant à l'assistant d'effectuer rapidement la bonne action. C. Lancer immédiatement des titres populaires de concentration et laisser l'utilisateur rediriger si nécessaire. Incorrecte. Agit prématurément et peut ne pas correspondre à l'intention de l'utilisateur. D. Démarrer la configuration des préférences en posant des questions sur les genres, le tempo et les artistes. Incorrecte. Trop lourd en amont — ajoute des frictions inutiles avant de confirmer l'intention.
Question 8 / 10
Après que l'agent de recherche web et l'agent d'analyse de documents ont terminé leurs tâches, le coordinateur invoque l'agent de synthèse. Cependant, l'agent de synthèse répond qu'il ne peut pas accomplir la tâche car aucun résultat de recherche ne lui a été fourni. Quelle est la cause la plus probable de ce problème ?
A. La fenêtre de contexte de l'agent de synthèse n'est pas suffisamment grande pour contenir les sorties combinées des deux agents précédents.
B. Le coordinateur n'a pas inclus les sorties des agents précédents dans le prompt de l'agent de synthèse.
C. Les sous-agents doivent partager une connexion API unique pour permettre un partage automatique du contexte entre les invocations.
D. L'agent de synthèse a besoin d'outils lui permettant de récupérer directement les résultats depuis les historiques de conversation des autres agents.
✓ Bonne réponse : B
A. L'agent de synthèse a besoin d'outils capables de récupérer les résultats directement depuis l'historique des conversations des autres agents. Incorrect. Les agents n'ont pas besoin d'accéder directement aux historiques des autres. Une orchestration correcte transmet les sorties explicitement via des prompts. B. La fenêtre de contexte de l'agent de synthèse n'est pas suffisamment large pour contenir les sorties combinées des deux agents précédents. Incorrect. Si c'était le problème, l'agent recevrait des données tronquées, et non une absence totale de données. L'erreur indique que les entrées sont entièrement manquantes. C. Les sous-agents doivent partager une seule connexion API pour permettre le partage automatique du contexte entre les invocations. Incorrect. La communication entre agents ne dépend pas de connexions API partagées. Le contexte doit être explicitement transmis par le coordinateur. D. Le coordinateur n'a pas inclus les sorties des agents précédents dans le prompt de l'agent de synthèse. Correct. L'agent de synthèse ne peut agir que sur les informations fournies dans son prompt. Si les sorties précédentes ne sont pas transmises, il signalera l'absence des résultats de recherche.
Question 9 / 10
Lorsque l'agent appelle lookup_order et reçoit les détails d'une commande indiquant que l'article a été acheté il y a 45 jours, comment la boucle agentique détermine-t-elle s'il faut appeler process_refund ou escalader vers un humain ?
A. L'agent exécute les étapes restantes d'une séquence d'outils planifiée au début de la requête.
B. La couche d'orchestration achemine automatiquement vers l'outil suivant en fonction du champ de statut de la commande.
C. Les détails de la commande sont ajoutés à la conversation et le modèle raisonne pour décider quelle action entreprendre.
D. L'agent suit un arbre de décision préconfiguré associant les attributs de la commande à des appels d'outils spécifiques.
✓ Bonne réponse : C
B. Les détails de la commande sont ajoutés à la conversation et le modèle raisonne sur l'action à entreprendre. Correct. Dans une boucle agentique, les résultats des outils (comme « acheté il y a 45 jours ») sont réinjectés dans le contexte du modèle, et celui-ci réévalue la situation de manière dynamique. Il décide ensuite s'il convient de procéder avec process_refund, d'escalader vers un humain, ou d'entreprendre une autre action en fonction de la politique et des informations mises à jour. Pourquoi les autres réponses sont incorrectes : A. Séquence d'outils fixe planifiée dès le départ — Incorrect. Les systèmes agentiques ne sont pas des flux de travail statiques ; ils s'adaptent après chaque observation. C. Arbre de décision préconfiguré — Incorrect. Il s'agit d'une automatisation basée sur des règles, et non d'un raisonnement piloté par un LLM. D. La couche d'orchestration achemine automatiquement le prochain appel d'outil — Incorrect. Cela supprime le rôle de raisonnement du modèle et le transforme en un routage déterministe.
Question 10 / 10
During initial testing, you notice that Claude doesn't seem to remember vocabulary words from earlier in the conversation. When a student asks "Can you quiz me on those words?", responds as if no words have been discussed. What is the most likely explanation?
A. You're not including prior messages in each API request--the stateless API doesn't retain conversation history.
B. You need to enable conversation persistence by passing a session ID parameter with each API call.
C. The model's context window has filled up, causing earlier conversation content to be dropped.
D. Your system prompt needs explicit instructions telling Claude to remember information from earlier turns.
✓ Bonne réponse : A
A. Votre invite système doit contenir des instructions explicites demandant à Claude de mémoriser les informations des échanges précédents. Incorrect. Les instructions seules ne confèrent pas de mémoire au modèle — le contexte doit être fourni à chaque requête. B. Vous n'incluez pas les messages précédents dans chaque requête API — l'API sans état ne conserve pas l'historique de la conversation. Correct. Claude est sans état. Si les messages précédents ne sont pas transmis dans la requête, il n'a aucune connaissance du vocabulaire antérieur. C. Vous devez activer la persistance de la conversation en transmettant un paramètre d'identifiant de session à chaque appel API. Incorrect. Il n'existe pas d'identifiant de session requis — la mémoire est gérée en incluant les messages passés. D. La fenêtre de contexte du modèle est saturée, ce qui entraîne la perte du contenu des échanges précédents. Incorrect. Cela ne se produirait que lors de conversations très longues, et non dans des scénarios de tests initiaux classiques.
Suite à une grave faille de sécurité, vous avez été chargé de renforcer les politiques de mots de passe de votre organisation, en envisageant toutes les mesures de sécurité possibles. Laquelle des options suivantes ne fait PAS partie des politiques de mots de passe de compte applicables aux utilisateurs IAM ?
Sélectionnez la bonne réponse.
A. Forcer les utilisateurs IAM à contacter un administrateur de compte lorsque leur mot de passe a expiré
B. Empêcher les utilisateurs IAM de réutiliser leurs anciens mots de passe
C. Une longueur minimale de mot de passe
D. Forcer les utilisateurs IAM à contacter un administrateur de compte lorsqu'un utilisateur a saisi son mot de passe de manière incorrecte
✓ Bonne réponse : D
IAM Password Policy permet de définir des règles sur les mots de passe : longueur minimale, réutilisation, expiration, etc. La politique ne gère pas les tentatives incorrectes (C) — cette fonction relève du verrouillage de compte, absent nativement dans IAM. Les options A, B et D correspondent à des paramètres réels configurables dans la console IAM.
Question 2 / 10
À quel moment commence la facturation d'un système Amazon EC2 ?
Sélectionnez la bonne réponse.
A. Elle commence lorsqu'Amazon EC2 initie la séquence de démarrage d'une instance AMI
B. Elle commence dès que vous cliquez sur l'option de création d'instance dans la console principale EC2
C. Elle commence lorsque votre instance atteint 720 heures d'instance
D. Elle commence lorsque la colonne Statut de votre distribution passe de Création à Déployé
✓ Bonne réponse : A
Facturation EC2 : La facturation débute dès qu'Amazon EC2 initie la séquence de démarrage de l'AMI, avant même que l'instance soit accessible. L'option B est incorrecte : un simple clic ne suffit pas, c'est le lancement effectif qui déclenche la facturation.
Question 3 / 10
Un utilisateur est conscient qu'un téléchargement volumineux est en cours sur son instance. Il a déjà configuré la politique Auto Scaling pour augmenter le nombre d'instances lorsque les E/S réseau dépassent une certaine limite. Comment l'utilisateur peut-il s'assurer que cet événement temporaire n'entraîne pas de mise à l'échelle ?
Sélectionnez la bonne réponse.
A. Les E/S réseau ne sont pas affectées lors d'un téléchargement de données
B. Suspendre la mise à l'échelle
C. La politique ne peut pas être définie sur les E/S réseau
D. Il n'existe aucun moyen pour l'utilisateur d'arrêter la mise à l'échelle car elle est déjà configurée
✓ Bonne réponse : B
Suspension d'Auto Scaling : AWS permet de suspendre temporairement les processus Auto Scaling sans supprimer la politique. En suspendant le processus Launch ou AlarmNotification, l'utilisateur évite que le téléchargement volumineux (pic réseau temporaire) ne déclenche une mise à l'échelle non souhaitée, puis reprend la politique normalement après l'événement.
Question 4 / 10
Un client utilise Amazon Simple Storage Service dans eu-west-1 pour stocker du contenu statique d'une propriété web. Le client stocke des objets en utilisant la classe de stockage Standard. Dans quels emplacements les objets du client sont-ils répliqués ?
Sélectionnez la bonne réponse.
A. Un seul site dans eu-west-1
B. Un seul site dans eu-west-1 et un seul site dans us-east-1
C. Un seul site dans eu-west-1 et un seul site dans eu-central-1
D. Plusieurs sites dans eu-west-1
✓ Bonne réponse : D
Amazon S3 Standard réplique automatiquement les données sur plusieurs Availability Zones au sein de la même région. Pour eu-west-1, les objets sont distribués sur au moins 3 sites distincts, garantissant une durabilité de 99,999999999% (11 neuf). La réplication reste régionale : contrairement aux options A et B, S3 ne copie pas les données vers d'autres régions sans Cross-Region Replication explicitement configurée.
Question 5 / 10
Un client important vous a demandé de configurer son infrastructure AWS de manière à pouvoir la récupérer facilement en cas de sinistre. Parmi les éléments suivants, lesquels sont importants pour pouvoir lancer rapidement des ressources dans AWS afin d'assurer la continuité des activités en cas de désastre ?
Sélectionnez la bonne réponse.
A. Exécuter régulièrement vos serveurs, les tester et appliquer les mises à jour logicielles et les modifications de configuration
B. S'assurer que tous les packages logiciels personnalisés nécessaires sont disponibles dans AWS
C. Tous les éléments listés ici sont importants lorsqu'on réfléchit à la reprise après sinistre
D. Créer et maintenir des AMIs des serveurs clés pour lesquels une récupération rapide est requise
✓ Bonne réponse : C
Disaster Recovery sur AWS repose sur plusieurs piliers complémentaires. Les AMIs permettent un redémarrage rapide des serveurs, les tests réguliers garantissent l'opérationnalité des ressources, et la disponibilité des packages logiciels assure la cohérence des environnements. Une stratégie DR efficace combine obligatoirement ces trois éléments : aucun ne suffit seul.
Question 6 / 10
Un utilisateur stocke un grand nombre d'objets sur AWS S3. Il souhaite implémenter une fonctionnalité de recherche parmi ces objets. Comment peut-il y parvenir ?
Sélectionnez la bonne réponse.
A. Utiliser la fonctionnalité de requête de S3
B. Créer son propre système de base de données qui stocke les métadonnées S3 pour la fonctionnalité de recherche
C. Utiliser la fonctionnalité d'indexation de S3
D. Étiqueter les objets avec des métadonnées afin d'effectuer des recherches sur celles-ci
✓ Bonne réponse : B
S3 ne dispose pas de moteur de recherche natif. Pour implémenter une recherche parmi des objets S3, il faut construire un système externe (ex: DynamoDB, Elasticsearch) stockant les métadonnées des objets. Les tags S3 (option B) existent mais ne permettent pas une recherche flexible et scalable. S3 ne propose ni indexation ni requête de recherche intégrées.
Question 7 / 10
Dans Amazon CloudFront, si vous utilisez des instances Amazon EC2 et d'autres origines personnalisées avec CloudFront, il est recommandé de [...].
Sélectionnez la bonne réponse.
A. spécifier l'URL du load balancer comme nom de domaine de votre serveur d'origine
B. activer la rotation des clés d'accès pour les métriques CloudWatch
C. restreindre les communications Internet aux instances privées tout en autorisant le trafic sortant
D. ne pas utiliser l'Elastic Load Balancing
✓ Bonne réponse : A
CloudFront avec origines personnalisées : Lorsqu'on utilise des instances EC2 comme origine, il est recommandé de placer un Elastic Load Balancer devant elles et de spécifier l'URL du load balancer comme nom de domaine d'origine. Cela assure haute disponibilité et répartition de charge. L'option B est incorrecte car CloudFront doit pouvoir atteindre l'origine via Internet.
Question 8 / 10
Quel ensemble de fonctionnalités d'Amazon S3 permet de prévenir et de récupérer d'une perte de données accidentelle ?
Sélectionnez la bonne réponse.
A. Contrôles d'accès et chiffrement côté serveur
B. Cycle de vie des objets et journalisation des accès au service
C. Versioning des objets et authentification multi-facteurs
D. Hébergement de site web et politiques Amazon S3
✓ Bonne réponse : C
Le Versioning S3 conserve toutes les versions d'un objet, permettant de restaurer une version précédente après suppression accidentelle. L'authentification MFA Delete exige une validation physique pour supprimer définitivement des versions. Les contrôles d'accès (option C) protègent contre les accès non autorisés, mais ne permettent pas la récupération après une suppression accidentelle.
Question 9 / 10
Après le lancement d'une instance Amazon VPC, est-il possible de modifier les security groups VPC auxquels elle appartient ?
Sélectionnez la bonne réponse.
A. Uniquement si le tag 'VPC Change Group' est défini sur true
B. Oui, c'est possible
C. Non, ce n'est pas possible
D. Uniquement si le tag 'VPC_Change_Group' est défini sur true
✓ Bonne réponse : B
Security Groups VPC dynamiques : AWS permet de modifier les Security Groups associés à une instance EC2 dans un VPC à tout moment, même après son lancement, via la console, CLI ou API. Les options A et D mentionnant des tags fictifs sont incorrectes — aucun tel mécanisme n'existe dans AWS.
Question 10 / 10
Dans quel cas devrais-je choisir le stockage Provisioned IOPS plutôt que le stockage RDS Standard ?
Sélectionnez la bonne réponse.
A. Si vous avez des charges de travail qui ne sont pas sensibles à la régularité des performances
B. Si vous utilisez des charges de travail de traitement transactionnel en ligne (OLTP) en production
C. Si vous avez des charges de travail orientées traitement par lots
✓ Bonne réponse : B
Provisioned IOPS (io1/io2) garantit des performances d'I/O stables et élevées. Les charges OLTP en production exigent une faible latence constante et un débit prévisible, ce qui rend ce stockage indispensable. Le stockage Standard convient aux charges batch ou non critiques, tolérantes aux variations de performance.
Vous disposez d'un compte Azure Storage nommé storage1. Vous prévoyez d'utiliser AzCopy pour copier des données vers storage1. Vous devez identifier les services de stockage dans storage1 vers lesquels vous pouvez copier des données. Que devez-vous identifier ?
Sélectionnez la bonne réponse.
A. file et table uniquement.
B. blob, table et queue uniquement.
C. blob et file uniquement.
D. file uniquement, blob, table et queue uniquement.
E. blob, file, table et queue.
✓ Bonne réponse : C
Réponse : B. blob et file uniquement. AzCopy est un utilitaire en ligne de commande conçu pour copier des données vers et depuis Azure Storage. Cependant, AzCopy ne supporte que deux services de stockage comme destinations : Azure Blob Storage et Azure File Storage. Les services Azure Table Storage et Azure Queue Storage ne sont pas supportés par AzCopy comme destinations de copie. Pour migrer des données vers Table Storage, il faudrait utiliser des outils comme Azure Storage Explorer ou le SDK Azure. Pour Queue Storage, les données sont typiquement gérées via les API REST ou les SDKs Azure. Il est donc essentiel de connaître ces limitations d'AzCopy pour l'examen AZ-104.
Question 2 / 10
Vous évaluez la connectivité entre les machines virtuelles après la mise en œuvre planifiée de l'infrastructure réseau Azure. Les machines virtuelles sur Subnet1 seront en mesure de se connecter aux machines virtuelles sur Subnet3.
Sélectionnez la bonne réponse.
A. Non.
B. Oui.
✓ Bonne réponse : B
Réponse : Oui. Dans Azure, les machines virtuelles situées dans des sous-réseaux différents d'un même Virtual Network peuvent communiquer entre elles par défaut, sans configuration supplémentaire. Le routage inter-sous-réseaux est automatiquement géré par Azure grâce aux routes système (system routes). Ainsi, Subnet1 et Subnet3, s'ils appartiennent au même Virtual Network, peuvent échanger du trafic librement. La connectivité serait bloquée uniquement si des Network Security Groups (NSG) avec des règles de refus explicites étaient appliqués, ou si des User Defined Routes (UDR) redirigeaient le trafic différemment. En l'absence de telles restrictions dans ce scénario, la réponse Non est incorrecte car rien n'empêche la communication entre ces deux sous-réseaux.
Question 3 / 10
Ressources que vous pouvez déplacer de RG2 vers RG1 :
Sélectionnez la bonne réponse.
A. IP2 et storage2 uniquement
B. Aucune
C. IP2 et VNET2 uniquement
D. IP2 uniquement
E. IP2, VNET2 et storage2
✓ Bonne réponse : B
Réponse : A. Aucune ressource ne peut être déplacée. Dans Azure, pour déplacer des ressources entre Resource Groups, ceux-ci doivent appartenir au même abonnement, et les ressources ne doivent pas avoir de verrous (locks) ou de restrictions qui bloquent le déplacement. Dans ce scénario, RG2 contient des ressources liées entre elles (IP2 associée à VNET2, storage2 potentiellement verrouillé). Une adresse IP publique associée à une ressource réseau active ne peut pas être déplacée indépendamment. De plus, si un verrou ReadOnly ou CanNotDelete est appliqué sur RG2 ou ses ressources, aucun déplacement n'est possible. Les options B, C, D et E sont incorrectes car elles supposent que certaines ressources sont déplaçables, ce qui n'est pas le cas dans les conditions décrites pour ce scénario.
Question 4 / 10
Vous devez résoudre le problème de licence avant de tenter d'attribuer à nouveau la licence. Que devez-vous faire ?
Sélectionnez la bonne réponse.
A. Depuis le panneau Rôle de répertoire, modifier le rôle de répertoire.
B. Depuis le panneau Profil, modifier l'emplacement d'utilisation.
C. Depuis le panneau Groupes, inviter les comptes utilisateurs dans un nouveau groupe.
✓ Bonne réponse : B
Réponse : B. Depuis le panneau Profil, modifier l'emplacement d'utilisation. Dans Azure Active Directory, l'attribution d'une licence Microsoft 365 ou Azure AD à un utilisateur nécessite que celui-ci ait un emplacement d'utilisation (Usage Location) défini dans son profil. Sans cette information géographique, Azure AD ne peut pas attribuer la licence car les services Microsoft varient selon les pays et certains peuvent être restreints dans certaines régions. Cette configuration se trouve dans le panneau Profil de l'utilisateur. Les autres options sont incorrectes : inviter dans un groupe ne résout pas le problème de licence manquante, et modifier le rôle de répertoire concerne les permissions administratives, pas les licences.
Question 5 / 10
Vous évaluez la connectivité entre les machines virtuelles après la mise en œuvre planifiée de l'infrastructure réseau Azure. Les machines virtuelles sur Subnet3 et Subnet4 seront en mesure de se connecter à Internet.
Sélectionnez la bonne réponse.
A. Oui.
B. Non.
✓ Bonne réponse : A
Réponse : A. Oui. Les machines virtuelles sur Subnet3 et Subnet4 peuvent se connecter à Internet car Azure autorise par défaut le trafic sortant vers Internet via les routes système. Dans une architecture Azure typique, chaque Virtual Network dispose d'une route par défaut (0.0.0.0/0) pointant vers Internet. Tant qu'aucun Network Security Group (NSG) ne bloque explicitement le trafic sortant, et qu'aucune User Defined Route (UDR) ne redirige ce trafic vers une appliance virtuelle ou un pare-feu, les VMs peuvent accéder à Internet directement. Les sous-réseaux sans passerelle NAT ni règle restrictive bénéficient de cette connectivité sortante native d'Azure.
Question 6 / 10
Que devez-vous faire en premier ?
Sélectionnez la bonne réponse.
A. Déployer une application de fonction (function app).
B. Créer un runbook d'automatisation.
C. Créer une notification.
D. Déployer le connecteur IT Service Management (ITSM).
✓ Bonne réponse : D
Réponse : C. Déployer le connecteur IT Service Management (ITSM). Le connecteur ITSM (IT Service Management Connector) est un prérequis fondamental pour intégrer Azure Monitor avec des outils de gestion des services IT comme ServiceNow, Cherwell ou Provance. Sans ce connecteur, aucune action ITSM (création d'incidents, tickets) ne peut être déclenchée depuis Azure. Il doit être déployé en premier car il établit la connexion entre l'environnement Azure et l'outil ITSM cible. Les autres options sont incorrectes à ce stade : un runbook d'automatisation sert à des tâches de scripting, une function app est pour du code serverless, et une notification ne peut être configurée qu'après avoir établi la connectivité ITSM.
Question 7 / 10
Que devez-vous faire depuis les propriétés du compte utilisateur ?
Sélectionnez la bonne réponse.
A. Depuis le panneau Rôle d'annuaire, modifier le rôle d'annuaire.
B. Depuis le panneau Licences, attribuer une nouvelle licence.
✓ Bonne réponse : A
Réponse : B. Depuis le panneau Rôle d'annuaire, modifier le rôle d'annuaire. Dans Azure Active Directory, pour accorder des permissions administratives à un utilisateur, vous devez modifier son Directory Role (Rôle d'annuaire) depuis les propriétés du compte utilisateur. Ce panneau permet d'attribuer des rôles tels qu'Administrateur global, Administrateur d'utilisateurs, etc. L'option A (panneau Licences) est incorrecte car elle concerne uniquement l'attribution de licences de produits (Microsoft 365, Azure AD Premium…), et non la gestion des permissions ou des rôles administratifs. Modifier le rôle d'annuaire est donc la seule action permettant de changer les droits d'administration d'un utilisateur dans Azure AD.
Question 8 / 10
Vous disposez d'un abonnement Azure contenant une application web nommée webapp1. Vous devez ajouter un domaine personnalisé nommé www.contoso.com à webapp1. Que devez-vous faire en premier ?
Sélectionnez la bonne réponse.
A. Créer un enregistrement DNS.
B. Télécharger un certificat.
C. Ajouter une chaîne de connexion.
D. Arrêter webapp1.
✓ Bonne réponse : A
Réponse : D. Créer un enregistrement DNS. Pour ajouter un domaine personnalisé à une application Azure App Service, la première étape obligatoire est de créer un enregistrement DNS chez votre registrar de domaine. Cet enregistrement (de type CNAME ou A) permet de faire pointer www.contoso.com vers l'URL par défaut de webapp1. Azure vérifie ensuite la propriété du domaine via cet enregistrement DNS avant d'autoriser son ajout dans App Service. Sans cette étape préalable, la validation du domaine personnalisé échouera. Les autres options sont incorrectes comme première étape : le certificat SSL (option A) est nécessaire pour le HTTPS mais vient après la validation du domaine ; la chaîne de connexion (option B) concerne les bases de données, pas les domaines ; et arrêter webapp1 (option C) n'est pas requis pour cette opération.
Question 9 / 10
Vous devez déplacer les fichiers de plans vers Azure. Que devez-vous faire ?
Sélectionnez la bonne réponse.
A. Utiliser Azure Storage Explorer pour copier les fichiers.
B. Générer une clé d'accès. Mapper un lecteur, puis copier les fichiers à l'aide de l'Explorateur de fichiers.
C. Générer une signature d'accès partagé (SAS). Mapper un lecteur, puis copier les fichiers à l'aide de l'Explorateur de fichiers.
D. Utiliser le service Azure Import/Export.
✓ Bonne réponse : A
Réponse : D. Utiliser Azure Storage Explorer pour copier les fichiers. Azure Storage Explorer est un outil graphique gratuit de Microsoft permettant de gérer facilement les ressources de stockage Azure (Blob Storage, File Storage, Queue, Tables). Il permet de copier, déplacer et gérer des fichiers vers Azure de manière simple et intuitive, sans nécessiter de configuration complexe. L'option A est incorrecte car une SAS seule ne permet pas de mapper un lecteur réseau directement. L'option B (Azure Import/Export) est réservée aux transferts massifs de données physiques par disque dur. L'option C est incorrecte car une clé d'accès ne suffit pas pour mapper un lecteur via l'Explorateur de fichiers Windows sans configuration SMB supplémentaire (Azure Files requis).
Question 10 / 10
Que devez-vous faire ?
Sélectionnez la bonne réponse.
A. Depuis le panneau Licences d'Azure AD, attribuer une licence
B. Depuis le panneau Rôle d'annuaire de chaque utilisateur, modifier le rôle d'annuaire
C. Depuis le panneau Groupes de chaque utilisateur, inviter les utilisateurs dans un groupe
D. Depuis le domaine Azure AD, ajouter une application d'entreprise
✓ Bonne réponse : A
Réponse : A. Depuis le panneau Licences d'Azure AD, attribuer une licence. Dans Azure Active Directory, certaines fonctionnalités avancées (comme la réinitialisation de mot de passe en libre-service, l'accès conditionnel ou la protection des identités) nécessitent des licences Azure AD Premium P1 ou P2. Pour activer ces fonctionnalités pour des utilisateurs, il faut leur attribuer une licence directement depuis le panneau Licences d'Azure AD. Les autres options sont incorrectes : inviter des utilisateurs dans un groupe (B) ne débloque pas de fonctionnalités premium, ajouter une application d'entreprise (C) concerne l'intégration SSO/SAML, et modifier le rôle d'annuaire (D) affecte les permissions administratives, non les licences fonctionnelles.
Which of the following is the BEST way to determine the success of a patch management process?
Sélectionnez la bonne réponse.
A. Auditing and assessment
B. Analysis and impact assessment
C. Configuration management (CM)
D. Change management
✓ Bonne réponse : A
The best way to determine the success of a patch management process is through auditing and assessment (D). Auditing provides an independent and objective evaluation of the patch management process, verifying that patches are applied correctly and in a timely manner. It also checks for compliance with established policies and standards. Assessment helps identify vulnerabilities that remain even after patches are applied and measures the overall effectiveness of the patch management program in reducing risk. While change management (A) is an important part of the patch management process, it focuses on controlling and documenting changes to systems, not on verifying the effectiveness of patch deployment. Change management helps ensure stability and prevent unintended consequences from patch installations. Configuration management (CM) (B) focuses on maintaining a consistent and known state of systems. It is useful for tracking installed patches but doesn't necessarily measure the success of the patch management program itself in mitigating risks. Configuration management helps ensure consistency and proper system build. Analysis and impact assessment (C) are crucial steps before patch deployment. They determine which patches are needed and the potential impact of applying them. While essential for informed patching, analysis and impact assessments don't directly measure the success of the implemented patch management process. They're more about planning and preparation. Auditing goes beyond these aspects by actively verifying the results of the patch management process – confirming that vulnerabilities are reduced, systems are protected, and policies are followed. A thorough audit identifies gaps in the process, reveals vulnerabilities still present after patching, and confirms adherence to compliance requirements. Key performance indicators (KPIs) related to patching frequency, patch coverage, and vulnerability reduction are assessed during the auditing process. Assessment metrics will also help quantify how patch management activities has reduced an organization risk. This provides objective evidence of success or areas needing improvement.Therefore, auditing and assessment provides a more comprehensive and objective measure of success. Supporting Links: SANS Institute on Patch Management: https://www.sans.org/reading-room/whitepapers/auditing/auditing- patch-management-process-1071 NIST Special Publication 800-40 Rev. 3, Guide to Enterprise Patch Management Technologies: https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-40r3.pdf (See sections on monitoring and auditing).
Question 2 / 10
Under the General Data Protection Regulation (GDPR), what is the maximum amount of time allowed for reporting a personal data breach?
Sélectionnez la bonne réponse.
A. 48 hours
B. 72 hours
C. 24 hours
D. 96 hours
✓ Bonne réponse : B
The correct answer is 72 hours. The General Data Protection Regulation (GDPR) mandates a specific timeframe for organizations to report personal data breaches to the relevant supervisory authority. This strict timeline ensures timely action to mitigate potential harm to data subjects. Specifically, Article 33 of the GDPR stipulates that a data controller must notify the supervisory authority of a personal data breach without undue delay and, where feasible, not later than 72 hours after having become aware of it. If the notification is not made within 72 hours, the controller must provide a reasoned justification for the delay. The "awareness" trigger refers to the point at which the organization has a reasonable degree of certainty that a personal data breach has occurred, not merely a suspicion. The purpose of this rapid reporting requirement is to enable prompt investigation and remediation efforts, minimizing the impact on affected individuals. Failing to comply with this reporting deadline can result in substantial fines under the GDPR's tiered penalty structure. The rationale behind the 72-hour timeframe is to strike a balance between the need for thorough investigation and the urgency of informing data protection authorities and affected individuals about potential risks. Therefore, options A, B, and D are incorrect because they do not align with the GDPR's stipulated timeframe. Authoritative Links: GDPR Article 33 (Notification of a personal data breach to the supervisory authority):https://gdpr- info.eu/art-33-gdpr/ ICO (Information Commissioner's Office) Guide to Personal data breaches:https://ico.org.uk/for- organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/personal-data- breaches/
Question 3 / 10
In software development, which of the following entities normally signs the code to protect the code integrity?
Sélectionnez la bonne réponse.
A. The developer
B. The quality control group
C. The organization developing the code
D. The data owner
✓ Bonne réponse : A
The correct answer is C. The developer. Code signing is the process of digitally signing executables and scripts to confirm the software author and guarantee that the code has not been altered or corrupted since it was signed. While the organization ultimately benefits from and often mandates code signing, and QC groups verify the implementation, it is typically the developer who performs the actual signing process. This is because the developer is the individual writing and compiling the code and has access to the private key necessary to create the digital signature. The developer's signing certificate is issued to them, associating their identity with the code. When a user downloads and runs the code, the operating system can verify the signature against a trusted root certificate authority. A successful verification confirms the author's identity and ensures code integrity. While the organization may provide the infrastructure (e.g., code signing servers, signing keys) and policies around code signing, the direct act of signing originates from the individual developer. The quality control group primarily verifies that code signing has been properly implemented as part of their testing process, they don't usually perform the signing themselves. Data owners are generally responsible for data classification and access control and are not typically involved in code signing. Here's why the other options are less appropriate: A. The organization developing the code: While the organization might have a signing infrastructure and policies, the act of signing is usually delegated to the developer. B. The quality control group: The QC group verifies the integrity and functionality, and compliance with security policies, including verifying that code signing has been performed, but they do not directly sign the code. D. The data owner: Data owners are not usually involved in code signing. Their responsibilities focus on data governance. Here are some links for further research: Microsoft's Introduction to Code Signing:https://learn.microsoft.com/en-us/windows- hardware/drivers/install/introduction-to-code-signing OWASP's Code Signing:https://owasp.org/www-project-top-ten/2017/A6_2017-Security_Misconfiguration (While not directly about code signing, misconfiguration can stem from unsigned or improperly signed code)
Question 4 / 10
Which of the following is an important design feature for the outer door of a mantrap?
Sélectionnez la bonne réponse.
A. Do not allow anyone to enter it alone.
B. Allow it to be opened by an alarmed emergency button.
C. Do not allow it to be observed by closed-circuit television (CCTV) cameras.
D. Allow it be opened when the inner door of the mantrap is also open.
✓ Bonne réponse : B
The correct answer is A: "Allow it to be opened by an alarmed emergency button." This is because a mantrap is a physical security access control system designed to control and monitor entry and exit from a secure area. The core function is to prevent tailgating or unauthorized entry. A critical design feature for any security system, including a mantrap, is the ability to override normal operations in an emergency. An alarmed emergency button allows authorized personnel or those trapped inside during an emergency (e.g., fire, medical situation) to quickly bypass the security measures and exit the mantrap. This is prioritized above preventing unauthorized access in situations where life or safety is at risk. Option B is incorrect because while a mantrap aims to prevent individuals from entering alone in unauthorized scenarios, forcing this as a constant rule could hinder legitimate scenarios such as system administrators accessing equipment when required, or emergency responders. Option C is incorrect as CCTV coverage is beneficial for monitoring activity within the mantrap, deterring unauthorized actions, and providing forensic data in case of incidents. Preventing observation defeats the purpose of enhanced security monitoring. Option D is incorrect because it defeats the entire purpose of a mantrap. The fundamental principle of a mantrap is that the inner and outer doors cannot be open simultaneously under normal operation. Allowing this would create a security vulnerability where someone could bypass the access controls. Therefore, the existence of an alarmed emergency button is an essential safety feature, allowing controlled and potentially recorded emergency egress. This is why "Allow it to be opened by an alarmed emergency button" is the most crucial design feature for the outer door of a mantrap. It appropriately balances security and safety concerns, crucial in physical security design. Further research: NIST Special Publication 800-53 Revision 5, Security and Privacy Controls for Information Systems and Organizations: Although focused on information systems, it addresses physical security controls, including emergency procedures. https://csrc.nist.gov/publications/detail/sp/800-53/rev-5/final Physical Security: A Comprehensive Guide to Protecting Your Organization: Provides detailed insights into physical security principles and designs including mantrap systems. Look for the specific section dedicated to mantrap operation in any physical security book.
Question 5 / 10
An organization would like to ensure that all new users have a predefined departmental access template applied upon creation. The organization would also like additional access for users to be granted on a per-project basis. What type of user access administration is BEST suited to meet the organization's needs?
Sélectionnez la bonne réponse.
A. Hybrid
B. Federated
C. Centralized
D. Decentralized
✓ Bonne réponse : A
Here's a detailed justification for why a hybrid user access administration model is the best fit for the organization's requirements, focusing on the ISC CISSP perspective: The scenario describes a need for both standardized departmental access and individualized project-based access. This dual requirement lends itself perfectly to a hybrid approach. A hybrid user access administration model combines centralized and decentralized elements. The organization can utilize a centralized component to manage the creation of new user accounts and the application of predefined departmental access templates. This ensures consistency and adheres to a baseline security posture across the organization. Simultaneously, a decentralized component allows project managers or designated individuals within project teams to grant specific access rights required for each project. This provides the necessary flexibility for project-based activities. Centralized administration ensures that all new users receive a base set of required permissions aligned with their department, reducing the risk of misconfiguration and minimizing the attack surface. Using templates also promotes efficiency and simplifies administration. Decentralized administration empowers project teams to manage their own access needs without bottlenecks. This increases agility and responsiveness to changing project requirements. A strictly centralized approach (Option C) would make it difficult to grant project-specific access efficiently, as all requests would have to go through a central authority, leading to delays. A decentralized approach (Option A) without central control would make it challenging to enforce consistent departmental access templates and increase the risk of inconsistent security policies. A federated approach (Option D) typically involves trust relationships between different organizations, which is not directly relevant to managing internal user access based on departmental and project roles within a single organization. Therefore, a hybrid model offers the best balance between centralized control for baseline security and decentralized flexibility for project-specific needs. It reduces administrative burden, improves responsiveness, and enforces a more secure environment. In summary, the hybrid model balances consistency with agility by employing centralized control for baseline security and decentralized permissions for projects. For further research, consider exploring: NIST Special Publication 800-53 (Security and Privacy Controls for Information Systems and Organizations): https://csrc.nist.gov/publications/detail/sp/800-53/rev-5/final (Relevant for access control policies and procedures) Cloud Security Alliance (CSA):https://cloudsecurityalliance.org/ (For cloud-specific access management considerations)
Question 6 / 10
Which of the following is the BEST method to identify security controls that should be implemented for a web- based application while in development?
Sélectionnez la bonne réponse.
A. Application threat modeling
B. Penetration testing
C. Agile software development
D. Secure software development
✓ Bonne réponse : A
The correct answer is C, Application threat modeling. Here's why: Application threat modeling is a structured process for identifying and prioritizing potential security threats to a web application early in its development lifecycle. This proactive approach enables developers to design and implement appropriate security controls to mitigate these threats before the application is deployed, reducing the risk of vulnerabilities. It involves understanding the application's architecture, identifying potential attack vectors, and assessing the likelihood and impact of each threat. By systematically analyzing potential threats, threat modeling ensures that security considerations are integrated into the application from the outset, leading to a more secure final product. This approach aligns with the "shift left" security principle, which emphasizes addressing security earlier in the development process. While Agile software development (A) provides an iterative framework, it doesn't inherently guarantee identification of specific security controls. Secure software development (B) is a broader concept encompassing various security practices, but it lacks the focused threat identification of threat modeling. Penetration testing (D) is valuable for validating security after development, but it is reactive, identifying vulnerabilities that should have been prevented during development. Threat modeling, in contrast, is preventative, directly informing the selection and implementation of appropriate security controls. Therefore, application threat modeling is the best method because it systematically identifies security controls that should be implemented for a web-based application while it is in development, proactively addressing potential vulnerabilities and building security into the application from the ground up. Further reading: OWASP Threat Modeling: https://owasp.org/www-project-threat-model/ Microsoft Threat Modeling: https://learn.microsoft.com/en-us/azure/security/develop/threat-modeling-tool- getting-started
Question 7 / 10
What is the BEST way to restrict access to a file system on computing systems?
Sélectionnez la bonne réponse.
A. Restrict access to all users.
B. Use least privilege at each level to restrict access.
C. Use a third-party tool to restrict access.
D. Allow a user group to restrict access.
✓ Bonne réponse : B
The best approach to restrict access to a file system on computing systems is to use the principle of least privilege at each level (Option A). This principle dictates that users and processes should only have the minimum necessary access rights to perform their required tasks. This approach minimizes the potential damage from both internal mistakes and external attacks. If a user's account is compromised or a process goes rogue, the damage is limited to what that user or process is authorized to access. By restricting access to only what's needed, the attack surface is significantly reduced. Restricting access to all users (Option B) would make the system unusable. Allowing a user group to restrict access (Option C) is vague and doesn't guarantee the least privilege principle is applied. A third-party tool (Option D) might implement least privilege, but it isn't the principle itself; the tool's configuration is what matters, and the underlying principle should still be least privilege. Furthermore, relying solely on a third- party tool without understanding the underlying security principles is risky. Implementing least privilege involves granting appropriate permissions at the file system level (read, write, execute), directory level, and potentially through access control lists (ACLs) that specify permissions for individual users or groups. This layered approach ensures that even if one layer is bypassed, other layers of security remain in place. Using roles and permissions based on job function further ensures that users only have the level of access required. Organizations like NIST (National Institute of Standards and Technology) advocate for the principle of least privilege. NIST Special Publication 800-53, Security and Privacy Controls for Information Systems and Organizations, specifically emphasizes access control policies based on the least privilege principle. In conclusion, while other options might offer some form of restriction, least privilege is the foundational security principle that guides the appropriate and effective restriction of file system access.Authoritative Links: NIST Special Publication 800-53:https://csrc.nist.gov/publications/detail/sp/800-53/rev-5/final (See Access Control related controls) Principle of Least Privilege - OWASP:https://owasp.org/www-community/Principle_of_Least_Privilege
Question 8 / 10
When recovering from an outage, what is the Recovery Point Objective (RPO), in terms of data recovery?
Sélectionnez la bonne réponse.
A. The RPO is the minimum amount of data that needs to be recovered.
B. The RPO is the maximum amount of time for which loss of data is acceptable.
C. The RPO is a goal to recover a targeted percentage of data lost.
D. The RPO is the amount of time it takes to recover an acceptable percentage of data lost.
✓ Bonne réponse : B
The Recovery Point Objective (RPO) defines the acceptable amount of data loss, measured in time, during a disruptive event. It essentially quantifies the "age" of the files or data in backup required for a successful recovery. A shorter RPO implies a need for more frequent backups, while a longer RPO suggests a higher tolerance for data loss. Option D, "The RPO is the maximum amount of time for which loss of data is acceptable," accurately captures this concept. It directly addresses the time window within which data loss is tolerable during an outage. For example, an RPO of 4 hours indicates that you can afford to lose up to 4 hours' worth of data. Option A is partially correct but incomplete. While the RPO is indirectly related to the amount of data to be recovered, it primarily defines the acceptable timeframe. Option B focuses on the time it takes to recover data, which is related to the Recovery Time Objective (RTO), not RPO. Option C is also incorrect as RPO is not a target percentage of data recovered, but rather the maximum acceptable age of the data at the time of recovery. Therefore, the core function of RPO is to set the upper limit on data loss during an outage. It dictates how far back in time you need to go to restore the data to an acceptable state. This influences backup frequency and the overall disaster recovery strategy. A well-defined RPO is crucial for minimizing business disruption and ensuring data integrity after an incident. Failing to meet the RPO could lead to significant financial or operational consequences. Further reading on RPO and related concepts can be found on these authoritative sites: NIST:https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-34r1.pdf (Contingency Planning Guide for Federal Information Systems, see section related to business impact analysis and recovery strategies) TechTarget:https://www.techtarget.com/searchdisasterrecovery/definition/recovery-point-objective-RPO
Question 9 / 10
When developing an organization's information security budget, it is important that the:
Sélectionnez la bonne réponse.
A. expected risk to the organization does not exceed the funds allocated.
B. expected risk can be managed appropriately with the funds allocated.
C. requested funds are part of a shared funding pool with other areas.
D. requested funds are at an equal amount to the expected cost of breaches.
✓ Bonne réponse : B
The most accurate answer is B: "expected risk can be managed appropriately with the funds allocated." Here's a detailed justification: A robust information security budget isn't simply about matching the potential cost of breaches (A). While breach cost estimation is important, it's only one factor. An organization needs to strategically allocate funds to reduce risk to an acceptable level. It also isn't about making security just a portion of a shared funding pool (C), since information security requires specialized resources. Option D, "expected risk to the organization does not exceed the funds allocated," is close but less optimal than B. The goal is not merely to ensure that risk doesn't exceed funding. Ideally, the investment in security should manage the risk, bringing it down to a level that is aligned with the organization's risk appetite and tolerance. A well-developed budget will include items like purchasing and setting up firewalls, vulnerability scanning and fixing, and a team dedicated to monitoring and maintaining security. Effectively managing risk involves identifying, assessing, and mitigating threats. The allocated funds should cover the costs associated with implementing security controls that address these risks. This might include investments in security technologies, personnel, training, and security awareness programs. An appropriate allocation will ensure controls are in place to sufficiently manage the organization's risk exposure. Risk management frameworks like NIST Cybersecurity Framework (CSF) or ISO 27001 can guide organizations in identifying and prioritizing risks, then allocating budget to implement appropriate controls. The budget should reflect a holistic security program that encompasses preventative, detective, and responsive measures to effectively reduce risk. In a cloud computing context, this might involve budgeting for cloud-specific security tools (e.g., cloud workload protection platforms), configuration management, and security assessments to ensure compliance with cloud provider security best practices and regulatory requirements. For further research: NIST Cybersecurity Framework (CSF):https://www.nist.gov/cyberframework ISO 27001:https://www.iso.org/isoiec-27001-information-security.html
Question 10 / 10
Which of the following is the BEST approach to implement multiple servers on a virtual system?
Sélectionnez la bonne réponse.
A. Implement multiple functions within the same virtual server and apply individual security configurations to each function.
B. Implement one primary function per virtual server and apply individual security configuration for each virtual server.
C. Implement multiple functions per virtual server and apply the same security configuration for each virtual server.
D. Implement one primary function per virtual server and apply high security configuration on the host operating system.
✓ Bonne réponse : B
The best approach to implementing multiple servers on a virtual system, prioritizing security and manageability, is to implement one primary function per virtual server and apply individual security configurations for each virtual server (Option A). Here's why: 1. Principle of Least Privilege: Allocating a single function per server aligns with the principle of least privilege. Each virtual server only has the necessary software and permissions to perform its designated task, minimizing the attack surface. If one server is compromised, the impact is limited to that specific function. 2. Isolation and Containment: Virtualization allows for strong isolation between virtual servers. Dedicated functions ensure that a compromise of one function doesn't automatically grant access to other unrelated services running on different servers. 3. Simplified Security Management: Configuring security on a per-server basis allows for targeted and specific security policies. Different functions have different security requirements (e.g., a database server versus a web server). Individual configurations enable fine-grained control. 4. Reduced Blast Radius: A security breach on one server is contained and less likely to propagate to other systems. This reduces the overall impact of an incident. 5. Simplified Patching and Maintenance: When each virtual server serves a single purpose, patching and maintenance become simpler and less risky. You can apply updates specifically tailored to the function, without impacting unrelated services. 6. Improved Auditing and Monitoring: Dedicated functions per server make it easier to monitor activity and audit security events. You can easily identify unusual behavior related to a specific function. 7. Scalability and Resource Allocation: Virtualization facilitates efficient resource allocation. Implementing one function per virtual server allows you to scale individual services as needed without impacting others. Option B is less desirable because running multiple functions on the same server increases complexity and introduces dependencies. Compromising the server can affect all functions running on it. Option C, while emphasizing host security, doesn't address the internal segregation necessary for protecting individual functions. Option D is the least secure, as using the same security configuration across multiple functions fails to address their unique security needs and potential vulnerabilities. Supporting Links: NIST Guidelines on Virtualization Security: https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-125.pdf SANS Institute on Virtualization Security:https://www.sans.org/reading- room/whitepapers/virtualization/virtualization-security-risks-countermeasures-33787
Glossaire, études de cas, exercices à trous et flashcards — inclus avec chaque abonnement.
AWS CLF-C02
Glossaire — 25 termes clés
AWS ArtifactService centralisé donnant accès aux rapports d'audit, accords de conformité et certifications AWS (SOC 2, ISO 27001, PCI DSS). Facilite la démonstration de conformité auprès des régulateurs.
ISTQB CTFL v4.0
Glossaire — 25 termes clés
Analyse des valeurs limites (AVL)Technique de test boîte noire consistant à tester les valeurs aux frontières des partitions d'équivalence, c'est-à-dire les valeurs juste en dessous, sur, et juste au-dessus des limites. Elle permet de détecter des défauts fréquents aux bornes des plages de valeurs.
ITIL 4
Glossaire — 23 termes clés
Amélioration continuePratique ITIL 4 visant à aligner les services et pratiques de l'organisation sur les besoins métier changeants, relevant de la responsabilité de chaque membre de l'organisation. ITIL 4 recommande qu'une équipe dédiée pilote ces efforts tout en impliquant l'ensemble du personnel.
PMI PMP
Glossaire — 21 termes clés
Backlog produit (Product Backlog)Liste ordonnée et priorisée de toutes les exigences, fonctionnalités et améliorations d'un produit, gérée par le Product Owner. Il constitue la source unique des travaux à réaliser par l'équipe Scrum.
AWS CLF-C02
Étude de cas — 5 scénarios inclus
Migration d'un e-commerce vers AWS : résilience et maîtrise des coûts
8 400 €/mois (incluant matériel, électricité, personnel)Coût mensuel datacenter on-premise99,2 % (soit ~58 heures de downtime/an)Disponibilité actuelle du sitex8 le trafic normal (de 500 à 4 000 requêtes/minute)Pic de trafic Black Friday5 personnes (4 développeurs + 1 administrateur système)Effectif technique
RetailNow est une PME française spécialisée dans la vente en ligne de produits électroniques. Depuis 5 ans, l'entreprise héberge son application e-commerce dans un datacenter privé à Paris, avec deux serveurs physiques dédiés, une base de données MySQL sur site et un système de backup manuel hebdomadaire. Les coûts d'infrastructure pèsent lourd : renouvellement matériel tous les 3 ans, électricité, personnel dédié à la maintenance physique, et une disponibilité limitée à 99,2 % sur l'année écoulée. Lors du Black Friday 2023, le site a subi une panne de 4 heures, causée par un pic de trafic imprévu qui a saturé les deux serveurs. L'équipe technique, composée de 4 développeurs et 1 administrateur système, a décidé d'explorer une migration vers AWS pour améliorer la résilience, réduire les coûts fixes et gagner en agilité. Le DSI souhaite valider la faisabilité technique et financière avant de s'engager, en s'appuyant sur les bonnes pratiques du Well-Architected Framework.
ISTQB CTFL v4.0
Étude de cas — 5 scénarios inclus
Migration bancaire en V : régression et traçabilité
420Nombre total de cas de test1 800 k€Budget test estimé6 semainesDurée de la campagne de test système12 %Taux de défauts détectés en production lors de la migration précédente
La banque régionale CréditNord lance la migration de son système de gestion des comptes courants vers une nouvelle plateforme. Le projet suit un cycle de vie en V classique, avec des équipes distinctes pour le développement et le test. Le chef de projet test doit organiser la campagne de validation sur un périmètre de 420 cas de test, couvrant les niveaux unitaire, intégration et système. Une précédente migration avait échoué en production à cause de régressions non détectées sur le module de transfert inter-comptes.
ITIL 4
Étude de cas — 5 scénarios inclus
Modernisation du centre de services d'une banque régionale
42Nombre d'agences concernées34 %Taux de satisfaction utilisateurs (avant refonte)4,2 joursDélai moyen de résolution des incidents (avant refonte)180 000 €Budget alloué au projet de refonte
La Banque Crédit Horizon, établissement régional de taille moyenne, gère l'informatique de ses 42 agences via un service informatique centralisé. Depuis deux ans, les utilisateurs se plaignent de délais de traitement excessifs pour leurs demandes et incidents : chaque agence contacte directement le technicien qu'elle connaît, contournant toute structure formelle. Il n'existe ni point de contact unique, ni catégorisation systématique des demandes, ce qui entraîne des pertes de traçabilité et une surcharge inégale des équipes.
Face à la montée des incidents non résolus et à une enquête de satisfaction interne alarmante, la DSI décide de refondre son organisation de support en s'appuyant sur ITIL 4. Un consultant est missionné pour concevoir un centre de services conforme aux bonnes pratiques, capable de distinguer incidents, demandes de services et questions, tout en assurant une classification et un routage efficaces vers les équipes spécialisées.
Le projet prévoit également l'adoption d'un outil ITSM pour automatiser l'appariement des incidents aux erreurs connues et centraliser le suivi. La direction souhaite que le nouveau dispositif soit opérationnel dans un délai contraint, en partant des ressources et processus existants plutôt qu'en repartant de zéro.
PMI PMP
Étude de cas — 5 scénarios inclus
Migration ERP en environnement hybride — Retard et dépassement budgétaire
2 400 000 €Budget total du projet880 000 €EV (Valeur Acquise) à la fin du sprint 51 050 000 €AC (Coût Réel) à la fin du sprint 5960 000 €PV (Valeur Planifiée) à la fin du sprint 5
Une entreprise industrielle de taille intermédiaire lance un projet de migration vers un nouvel ERP couvrant ses sites en France, en Pologne et au Brésil. Le chef de projet a opté pour une approche hybride : une phase prédictive pour le déploiement de l'infrastructure et de la configuration de base, suivie de sprints agiles pour les modules métier. La date de mise en production est contractuellement fixée à 18 mois, sans possibilité de dérogation car elle est liée à une exigence réglementaire de traçabilité financière imposée par les autorités fiscales brésiliennes.
À la fin du sprint 5, lors d'une revue de performance, le chef de projet constate des indicateurs préoccupants : l'équipe a consommé plus de budget que prévu tout en accumulant du retard. Par ailleurs, un consultant externe spécialisé en intégration fiscale brésilienne, identifié comme ressource critique sur le chemin critique, vient de notifier une indisponibilité de trois semaines pour raisons médicales. Un risque similaire avait été évoqué en phase de planification mais aucune réponse formelle n'avait été documentée.
En parallèle, l'équipe distribuée sur trois pays signale des difficultés de collaboration croissantes : les documents de spécifications sont échangés par email, générant des conflits de versions, et les membres brésiliens, bien que dans un fuseau horaire partagé avec les Polonais pour une heure par jour, se sentent exclus des décisions techniques prises lors des réunions matinales parisiennes.
AWS CLF-C02
Texte à trous — 25 phrases incluses
Le responsable conformité d'une banque télécharge les certifications ISO 27001 et les rapports SOC 2 d'AWS directement depuis _____ pour les soumettre à l'autorité de régulation financière.
ISTQB CTFL v4.0
Texte à trous — 25 phrases incluses
Pour tester un champ d'âge acceptant des valeurs entre 18 et 65 ans, l'_____ conduit à vérifier les valeurs 17, 18, 65 et 66 afin de détecter des défauts aux bornes de la plage autorisée.
ITIL 4
Texte à trous — 23 phrases incluses
Bien que chaque chef de projet soit responsable d'identifier des axes de progrès dans son périmètre, une équipe transverse coordonne l'ensemble des initiatives d'_____ au niveau de l'organisation.
PMI PMP
Texte à trous — 21 phrases incluses
Le Product Owner réunit l'équipe Scrum en début de trimestre pour reprioriser le _____ en tenant compte des nouvelles orientations stratégiques de l'entreprise.
AWS CLF-C02
Question
Lequel des éléments suivants est un exemple de scalabilité horizontale dans le Cloud AWS ?
Appuyer pour voir la réponse ›
Réponse
Ajouter plus d’instances EC2 de même taille pour gérer une augmentation de trafic.
Nos examens sont conçus pour reproduire le niveau, le format et les pièges des certifications officielles, afin que vous soyez prêt le jour J.
Ailleurs
Chez MyExam
✗ Des dumps copiés-collés
✓ Des questions construites pour comprendre
✗ Un score sans explication
✓ Une correction détaillée pour chaque réponse
✗ Contenu générique ou mal traduit
✓ Questions rédigées en français par des certifiés actifs
✗ Aucun suivi de progression
✓ Tableau de bord par domaine de compétence
✗ Contenu rarement mis à jour
✓ Mises à jour incluses à chaque révision du référentiel
Corrections question par question
Chaque réponse — bonne ou mauvaise — est expliquée avec sa justification. Vous comprenez pourquoi, pas seulement quoi.
Mises à jour automatiques
Nouvelle version du référentiel ? Elle est incluse dans votre abonnement, sans surcoût et sans action de votre part.
Kit de révision intensif — allez plus loin
Des annales enrichies en PDF : plus de questions qu'en ligne, corrections encore plus approfondies. Achat unique 14,99 €, accès à vie. Encore plus efficace en complément des simulations d'examen.
Suivez votre progression, identifiez vos lacunes et mesurez votre niveau de préparation avant le jour J.
Avis clients
Ils ont réussi leur certification
Des centaines de candidats ont déjà fait confiance à MyExam.fr pour préparer leur examen.
J'ai réussi AWS Cloud Practitioner du premier coup après 3 semaines sur MyExam.fr. Les questions sont vraiment proches de l'examen réel.
Thomas R.
Certifié AWS CLF-C02
La correction détaillée de chaque question m'a permis de comprendre mes erreurs, pas juste de mémoriser les bonnes réponses.
Camille D.
Certifiée ISTQB Foundation
Aucune autre plateforme francophone ne propose autant de contenu structuré à ce prix. Le rapport qualité/prix est excellent.
Karim B.
Certifié PMP
FAQ
Questions fréquentes
Puis-je préparer plusieurs certifications en même temps ?
Absolument. Un seul abonnement donne accès à toutes les certifications disponibles sur la plateforme, simultanément et sans restriction.
Les examens blancs sont-ils à jour avec les référentiels officiels ?
Oui. Nos examens sont révisés à chaque mise à jour des référentiels officiels. En tant qu'abonné, vous bénéficiez automatiquement des nouvelles versions sans surcoût.
Les kits de révision sont-ils inclus dans l'abonnement ?
Non. Les kits de révision sont des annales enrichies : plus de questions que sur la plateforme, des corrections encore plus détaillées. Disponibles séparément à 14,99 € par kit (achat unique, accès à vie). L'abonnement couvre les examens blancs interactifs en ligne pour l'ensemble des certifications.
Puis-je résilier à tout moment ?
Oui, en un clic depuis votre espace personnel. Aucun préavis, aucun frais caché. Votre accès reste actif jusqu'à la fin de la période payée.
Quelle différence avec les préparations officielles ?
Les examens officiels coûtent souvent plusieurs centaines d'euros et ne proposent pas de correction détaillée. MyExam.fr vous permet de vous entraîner en conditions réelles, avec des explications complètes, pour un coût mensuel inférieur au prix d'un café par semaine.
Nous utilisons des cookies essentiels pour faire fonctionner le site.
Avec votre accord, nous pouvons aussi utiliser des cookies pour améliorer votre expérience, analyser l’usage et afficher du contenu pertinent.
Essentiels : toujours actifs
Personnaliser : choisir vos préférences
Accepter ou Refuser : tous les cookies non essentiels
Préférences relatives aux cookies
Gérez vos préférences en matière de cookies ci-dessous :
Essential cookies enable basic functions and are necessary for the proper function of the website.
Nom
Description
Duration
Cookie Preferences
This cookie is used to store the user's cookie consent preferences.
30 days
These cookies are needed for adding comments on this website.
Nom
Description
Duration
comment_author
Used to track the user across multiple sessions.
Session
comment_author_email
Used to track the user across multiple sessions.
Session
comment_author_url
Used to track the user across multiple sessions.
Session
These cookies are used for managing login functionality on this website.