Ne découvrez pas l'examen
le jour J

Réponse : Automatiser autant que possible et supprimer les points de défaillance unique.
Explication : Automatiser et éliminer les SPOF sont des principes clés d’architecture sur AWS.

Réponse : AWS CloudTrail.
Explication : AWS CloudTrail fournit l’audit des actions et identifie les utilisateurs ayant pris des mesures sur les ressources AWS.

Réponse : A) Coût des licences logicielles d'application. Lors de la migration vers AWS, les clients conservent la responsabilité de leurs propres licences logicielles d'application. AWS gère les coûts du matériel, de la mise en réseau et de l'hyperviseur, mais les frais de licence au niveau de l'application restent la responsabilité directe du client selon le modèle de responsabilité partagée.

Réponse : Diffuser le contenu via Amazon CloudFront. Explication : Amazon CloudFront est un CDN mondial qui met en cache le contenu sur plus de 400 emplacements de périphérie dans le monde. La diffusion d'images et de vidéos à partir de ces emplacements proches des utilisateurs réduit la latence et les coûts de charge du serveur d'origine de manière rentable.

Réponse : Construire le schéma relationnel / Gérer les paramètres de la base.
Explication : Le client doit gérer la structure logique (schéma, paramètres) ; AWS gère l’infrastructure sous-jacente.

Réponse : Réduction du time-to-market / Remplacement du CAPEX par l’OPEX.
Explication : AWS permet d’aller plus vite sur le marché et de transformer des investissements lourds en coûts variables faibles.

Réponse : AWS Elastic Beanstalk. Explication : AWS Elastic Beanstalk est un service PaaS qui gère automatiquement le déploiement, l'approvisionnement de capacité, l'équilibrage de charge, la mise à l'échelle automatique et la surveillance de la santé. Les développeurs téléchargent simplement leur code et Elastic Beanstalk gère l'infrastructure.

Detective : analyse les logs VPC Flow, CloudTrail et GuardDuty pour investiguer les incidents. Crée des graphes d'entités et timelines pour identifier rapidement la cause racine des alertes.

Réponse : Les AZ permettent de bâtir des architectures hautement résilientes et disponibles.
Explication : Multiplier les AZ dans une région accroît la résilience et la disponibilité applicative.

Réponse : Patch matériel / Sécurité de l’infrastructure physique mondiale.
Explication : AWS gère le patching matériel et l’infrastructure mondiale ; les autorisations d’accès et le chiffrement relèvent du client.

Modèles génératifs (GAN et diffusion) : apprentissent la distribution statistique complète des données pour générer de nouveaux échantillons fidèles. Les GANs opposent un générateur et un discriminateur en compétition, tandis que les modèles de diffusion affinent progressivement le bruit. XGBoost et ResNet sont discriminatifs (classification), WaveNet s'applique au son : seuls GAN/diffusion capturent les caractéristiques statistiques globales requises pour synthétiser images réalistes.

Amazon Bedrock est le service managé d'AWS qui donne accès à des modèles de fondation d'Anthropic (Claude), AI21 Labs, Cohere, Meta (Llama), Mistral, Stability AI et Amazon (Titan) via une API unifiée. Il évite de gérer l'infrastructure et permet d'ajouter facilement des fonctionnalités comme les agents, RAG (Knowledge Bases), et Guardrails. SageMaker est pour entraîner et déployer des modèles ML custom. Comprehend est pour le traitement NLP classique.

Accuracy (exactitude) est la proportion de prédictions correctes parmi l'ensemble des prédictions : (Vrais Positifs + Vrais Négatifs) / Total. La Precision mesure la fiabilité des prédictions positives, le Recall la capacité à détecter tous les cas positifs, et le F1-Score est la moyenne harmonique de Precision et Recall — utile quand les classes sont déséquilibrées.

Amazon Q Developer (anciennement CodeWhisperer) est l'assistant IA d'AWS spécialement conçu pour les développeurs. Il génère du code, explique du code existant, détecte des vulnérabilités de sécurité, et propose des tests unitaires. Il s'intègre dans VS Code, JetBrains, Visual Studio, et le terminal AWS Cloud9. Il connaît les APIs AWS et suit les bonnes pratiques. Amazon Bedrock peut être utilisé pour construire un assistant de codage custom, mais Q Developer est la solution native clé en main.

Agents Bedrock + Translate : les agents appellent Translate pour convertir message client en langue de l'agent, traitent la logique métier avec Claude, puis retraduits la réponse. Architecture transparente pour support multilingue réel sans surcharge agents.

Amazon Q Business est un assistant d'IA générative destiné aux employés d'une entreprise — il répond à des questions métier en exploitant les données internes (SharePoint, S3, Confluence, etc.). Amazon Q Developer est un assistant de codage intégré aux IDE (VS Code, JetBrains) qui génère, explique et corrige du code. Les deux sont des produits distincts optimisés pour des cas d'usage différents : productivité métier vs productivité développeur.

k-NN dans OpenSearch : algorithme de recherche par similarité qui indexe les vecteurs d'embeddings pour retrouver rapidement les documents sémantiquement proches. Contrairement à la recherche textuelle exacte, k-NN compare les distances vectorielles (cosinus, L2) permettant des recherches sémantiques à grande échelle. Indispensable pour les applications GenAI exploitant des modèles d'embeddings.

NLP médical spécialisé : Comprehend Medical reconnaît entités cliniques, médicaments, conditions avec vocabulaire médical. Bedrock post-traite pour évaluation risque, recommandations. Combinaison optimale compliance + génération pour cas d'usage santé complexe.

Amazon Transcribe est le service ASR (Automatic Speech Recognition) d'AWS qui convertit l'audio en texte avec support multilingue, identification des locuteurs et filtrage de mots. Amazon Polly fait l'inverse (text-to-speech), Amazon Lex crée des chatbots conversationnels (NLU), et Amazon Comprehend analyse le texte pour extraire entités, sentiments et thèmes (NLP).

SageMaker Feature Store : référentiel centralisé stockant des features réutilisables pour entraînement (offline) et inférence (online). Contrairement à Data Wrangler (transformation), Processing (calcul) et Pipelines (orchestration), Feature Store assure gestion, versioning et accès rapide des features en production ML.

Answer: Teach them it is their responsibility to work with other teams to create an integrated Increment.
Explanation: The Scrum Master coaches teams on self-management and integration. Multiple teams must coordinate to produce a single, integrated Increment; this is a team responsibility, not the SM's job to coordinate for them.

Answer: Productivity suffers; feature teams have less communication overhead; easier per-team productivity.
Explanation: Transitioning from component to feature teams involves a short-term productivity dip as teams reform. However, feature teams reduce coordination overhead between layers and enable clearer productivity measurement per business feature.

Scrum Team Attendance: The Sprint Retrospective requires the entire Scrum Team—Product Owner, Scrum Master, and Developers—to inspect and adapt their processes. All three roles bring essential perspectives: developers share technical insights, the PO provides business context, and the SM facilitates improvement. Stakeholders don't attend, keeping focus internal on team dynamics.

Sprint Goal Definition: The Sprint Goal is the single, overarching objective that unifies all work during a Sprint. It provides focus for the Developers and allows flexibility in how they achieve it, distinguishing it from rigid task lists. This clarity prevents scope creep and aligns team efforts toward a shared outcome.

Answer: Estimates are made by the people doing the work.
Explanation: Estimation in Scrum is a Development Team responsibility. Only the people who will do the work can accurately estimate it. Imposed estimates from management or PO undermine accuracy and team ownership.

Sprint Backlog Renegotiation: Developers collaborate with the Product Owner to adjust work scope when capacity constraints emerge, preserving the Sprint Goal. The Sprint continues unchanged—cancellation isn't warranted. The Scrum Master doesn't unilaterally adjust goals, and management doesn't override team self-organization.

Inspection as Empirical Pillar: Inspection is a core empirical practice requiring frequent examination of Scrum artifacts and progress to detect variances from goals. This enables timely adaptation, distinguishing Scrum from predictive approaches that rely on upfront planning without continuous monitoring.

Answer: Everyone on the Dev Team is responsible for quality; Scrum has no tester role.
Explanation: Scrum defines only three roles and no specializations within the Development Team. Quality is a shared responsibility — every team member contributes to testing, regardless of their primary skills.

Answer: No, the Scrum Team decides the Definition of Done; the PO is one member.
Explanation: The DoD is a Scrum Team agreement. While the PO is accountable for product value, the DoD is a collective quality commitment. The entire Scrum Team — including the PO — defines it collaboratively.

Increment Definition and Quality Standards: An Increment represents a concrete, working product version that embodies all completed work from a Sprint. Every Increment—without exception—must satisfy two non-negotiable criteria: it must be usable (functionally operable and valuable to stakeholders) and must conform to the Definition of Done (the team's explicit quality standards and acceptance criteria). This requirement holds true regardless of the Product Owner's decision to release it immediately. The Definition of Done ensures consistency, prevents technical debt accumulation, and maintains product integrity across sprints. A completed Product Backlog Item that doesn't meet these standards cannot be considered part of an Increment, preserving transparency and enabling reliable velocity forecasting. This is a foundational Scrum principle that protects both product quality and team accountability.

Product Goal commitment: The Product Goal is the overarching commitment associated with the Product Backlog, serving as the long-term objective that guides all backlog refinement and sprint planning. The Product Backlog exists to support the realization of the Product Goal, which describes a future state of the product and provides direction for the entire Scrum Team. Unlike the Sprint Goal (which is a shorter-term commitment for a single sprint) or Definition of Done (which is a quality standard), the Product Goal represents the persistent, strategic vision that evolves as the product develops and stakeholder needs change.

Answer: Enough so the PO is confident the Increment will meet the intended value.
Explanation: Scrum does not prescribe a fixed percentage of PO time. The PO must invest sufficient time to keep the Product Backlog ready, answer questions during Sprints, and ensure the team understands what constitutes value.

Answer: Sprint Goal, selected PBIs, plan to deliver the Increment.
Explanation: The Sprint Backlog consists of the Sprint Goal (why), the PBIs selected (what), and the plan to deliver the Increment (how).

Velocity is an internal planning tool, not a value metric. Measuring success by velocity creates perverse incentives: teams may inflate estimates, cut quality, or deliver low-value features quickly. True success is measured by customer outcomes — adoption rates, satisfaction scores, revenue impact, risk reduction. The Product Owner's accountability is to maximize the value of the product, not the speed of the team.

Key concept: Developer autonomy in Sprint Planning. The Developers—not the Product Owner or stakeholders—have the authority to select which Product Backlog Items (PBIs) they commit to during Sprint Planning. While the Product Owner orders the backlog and presents priorities, Developers assess their capacity, velocity, technical dependencies, and skill distribution to determine which items they can realistically complete. This ensures accountability for the Sprint Goal and sustainable pace. The Product Owner cannot impose items; they can only clarify requirements and accept completed work. This distinction is critical: the PO influences backlog ordering and value sequencing, but Developers control selection and commitment, maintaining self-organization and preventing over-commitment.

Sprint Planning Participation: Sprint Planning is a Scrum event where the entire Scrum Team collaborates to define the Sprint Goal and select Product Backlog items for the upcoming Sprint. The Product Owner presents priorities and clarifies requirements, Developers estimate effort and commit to deliverables, and the Scrum Master facilitates the event and removes impediments. This collective participation ensures shared understanding, realistic commitments, and alignment on value delivery. Excluding managers maintains team autonomy, while excluding stakeholders preserves the Scrum Team\'s focused decision-making authority during planning.

The Product Owner should add urgent requests to the Product Backlog rather than immediately modifying the Sprint. This protects the Sprint Goal and the Development Team's commitment, which are fundamental Scrum principles. While the change can be prioritized for the next Sprint Planning, adding it mid-Sprint or canceling the Sprint would disrupt the team's focus and violate Scrum's iterative nature. The Scrum Master supports the process but doesn't make prioritization decisions—that's the Product Owner's responsibility.

Answer: Improve the clarity and sizing of backlog items.
Explanation: Refinement reduces uncertainty, improves understanding, and prepares items for future selection. It is an ongoing activity, not a formal event.

Management de l'Intégration - Rôle Unificateur du Projet : Le management de l'intégration est le domaine de connaissance fondamental qui garantit la cohérence et l'alignement entre tous les autres domaines (délais, coûts, qualité, ressources, communications, risques, etc.). Il assure que les décisions prises dans un domaine ne créent pas de conflits dans un autre. Le chef de projet est responsable de cette intégration holistique du projet du début à la fin. Cette approche s'oppose à une gestion en silos où chaque domaine fonctionnerait indépendamment. La deuxième option est fausse car l'intégration dépasse largement la coordination des plannings et budgets. La troisième option est incorrecte : bien que le PMO puisse soutenir, le chef de projet reste propriétaire de l'intégration du projet. La quatrième option est inexacte : l'intégration s'applique à TOUS les projets, indépendamment de leur durée. En contexte agile, cette intégration se manifeste par les itérations qui alignent continuellement le produit avec les objectifs métier.

Business Case : document fondateur qui justifie l'investissement en projet en présentant les critères de succès mesurables et les bénéfices attendus. Il répond au "pourquoi" du projet avant son lancement. À distinguer du Plan de réalisation des bénéfices (qui détaille comment réaliser les bénéfices), de la Charte (qui autorise le projet) et du Plan de valeur (qui gère la création de valeur).

Réponse : Surveiller la performance et intervenir uniquement si elle baisse. Pas besoin de changer d’approche immédiatement.

Résilience organisationnelle dans le PMBOK 7 : La résilience organisationnelle est la capacité fondamentale d'une entreprise à absorber les perturbations, à s'adapter rapidement aux changements environnementaux et à se rétablir efficacement face aux crises. Dans le PMBOK 7e édition, ce concept est central pour assurer la continuité opérationnelle et la performance durable des projets.

Cette définition est exacte car elle reconnaît la nature double de la résilience : d'une part l'adaptabilité (capacité à modifier les stratégies et processus face aux changements de marché, technologiques ou organisationnels), et d'autre part la récupération (capacité à revenir à un état fonctionnel après une perturbation). La résilience ne se limite pas à survivre aux crises, mais à en tirer apprentissage et amélioration continue.

Pourquoi les autres réponses sont incorrectes : La deuxième option réduit la résilience aux seules crises financières, ce qui ignore son champ d'application plus large (technologiques, humaines, environnementales). La troisième confond résilience et résistance – la résistance s'oppose au changement tandis que la résilience l'embrace. La quatrième

Rétrospective agile : moment structuré où l'équipe examine ses pratiques pour identifier améliorations, résoudre problèmes et renforcer collaboration. Ces trois bénéfices directs augmentent efficacité et maturité. Le budget n'augmente pas automatiquement ; c'est un distracteur sans lien causal avec les rétrospectives.

Pensée système et gestion de projets complexes : La pensée système est une approche holistique qui reconnaît qu'un projet n'est pas une simple somme de tâches isolées, mais un ensemble interconnecté d'éléments en interaction constante. Dans le PMBOK 7e édition, cette perspective est fondamentale pour naviguer la complexité croissante des environnements projectuels modernes. Pourquoi cette réponse est correcte : En comprenant les interdépendances entre les composantes du projet (ressources, activités, livrables, stakeholders, risques), le chef de projet anticipe les effets en cascade. Par exemple, un retard dans une phase de développement ne se limite pas à cette phase isolée : il impacte les tests, la formation utilisateurs, le déploiement et potentiellement le ROI global. La pensée système permet d'identifier ces chaînes de causalité et de prendre des décisions proactives plutôt que réactives. Elle intègre également les boucles de rétroaction (feedback loops) où les résultats d'une action influencent les conditions initiales, créant des cycles d'amélioration continue. Distinction des autres options : La deuxième option confond simplification avec pensée système – alors que cette dernière augmente la compréhension de la complexité plutôt que de la réduire. La troisième ignore que les projets complexes ex

Co-création avec les parties prenantes et alignement sur les besoins réels : La co-création est un processus collaboratif où le chef de projet et les parties prenantes travaillent ensemble dès les phases initiales du projet pour définir conjointement les objectifs, les livrables et les critères de succès. Cette approche, fortement encouragée par le PMBOK 7e édition et les méthodologies agiles, garantit un alignement accru sur les besoins réels car elle élimine les malentendus dus à une mauvaise communication unilatérale. En impliquant activement les stakeholders dans la conception et la planification, on s'assure que leurs vrais besoins (souvent différents de leurs demandes initiales) sont captés et intégrés dans le projet.

Pourquoi cette réponse est correcte : L'alignement sur les besoins réels est le fondement de tout projet réussi. Contrairement à une approche traditionnelle où le chef de projet impose sa vision, la co-création crée un consensus authentique. Cela signifie que tous les intervenants partagent une compréhension commune des objectifs, réduisant ainsi les surprises et les changements de scope tardifs. Ce bénéfice est le plus significatif car il prévient les problèmes avant qu'ils ne surviennent.

Distinction des

Priorité client en agile : Le PMBOK 7e édition place la valeur client au cœur des approches adaptatives. Les processus organisationnels sont des moyens, pas des fins. Lorsqu'ils entravent la livraison de valeur, ils doivent être remis en question. Contrairement à une gestion classique où l'organisation primerait, l'agilité privilégie la flexibilité et la réactivité aux besoins réels du client.

Cette question correspond à l’objectif d’apprentissage FL-1.4.3 (K2) – Différencier les composants du testware qui soutiennent les activités de test.
La bonne réponse est a) 1B, 2B, 3C, 4D

● 1A (Faux) → Le cahier des charges appartient à la documentation des exigences, car il définit les attentes des utilisateurs.
● 2B (Correct) → Les spécifications détaillées sont une partie de la documentation
des exigences, car elles précisent les aspects fonctionnels et non fonctionnels.
● 3C (Correct) → Le plan de test appartient à la documentation de test, car il définit la stratégie et l’organisation des tests.
● 4D (Correct) → Le rapport de test fait partie de la documentation des résultats, car il synthétise les observations et les anomalies détectées.

Cette question correspond à l’objectif d\'apprentissage FL-4.2.3 (K3) – Utiliser les tests par tables de décisions pour dériver les cas de test.

Les cas de tests proposés couvrent :
● CT1 (20 ans, abonnement actif, certificat valide) → couvre R1
● CT2 (17 ans, abonnement actif, certificat valide) → couvre R5
● CT3 (25 ans, abonnement inactif, certificat valide) → couvre R3
● CT4 (30 ans, abonnement actif, certificat expiré) → couvre R2
● CT5 (28 ans, abonnement inactif, certificat expiré) → couvre R4

● a) Faux → combinaison déjà couverte par CT5
● b) Faux →redondant avec CT1 (âge valide, tout valide)
● c) Correct → tous les attributs invalides → nouvelle combinaison (R8)
● d) Faux → car une nouvelle règle est testée en c)

Cette question correspond à l’objectif d’apprentissage FL-1.4.4 (K2) – Expliquer la valeur du maintien de la traçabilité.
● a) Faux → La traçabilité ne vise pas à optimiser la performance du logiciel, mais à assurer une couverture de test complète.
● b) Correct → Le maintien de la traçabilité permet d’établir un lien entre les exigences, les tests et les défauts détectés, garantissant ainsi qu’aucune exigence n’a été oubliée.
● c) Faux → Même avec la traçabilité, la documentation des tests reste nécessaire pour assurer un suivi efficace et une justification des validations effectuées.
● d) Faux → Les rapports de test restent nécessaires, la traçabilité vient en complément pour s’assurer que les tests couvrent bien les exigences.

Cette question correspond à l’objectif d’apprentissage FL-3.1.1 (K1) - Reconnaître les types de produits qui peuvent être examinés par les différentes techniques de test statique.

● a) Faux → La revue des exigences est une activité de test statique permettant d’identifier des incohérences dans les spécifications.
● b) Faux → L’analyse statique du code est une technique statique qui permet de détecter des erreurs sans exécuter le programme.
● c) Correct → L’exécution de tests unitaires est une activité dynamique, car elle nécessite de faire fonctionner le logiciel.
● d) Faux → L’inspection formelle est une technique statique qui permet de valider la conception avant l’implémentation.

Cette question correspond à l’objectif d’apprentissage FL-5.3.2 (K2) – Résumer les objectifs,le contenu et les destinataires des rapports de test.

● a) Faux → Le rapport ne vise pas à convaincre, mais à informer objectivement.
● b) Correct → C’est exactement ce que doit contenir un rapport de test clair et utile pour les parties prenantes.
● c) Faux → Ce rôle revient aux développeurs, pas aux testeurs.
● d) Faux → Le fonctionnement de l’outil n’est pas pertinent pour la majorité des destinataires

Cette question correspond à l’objectif d’apprentissage FL-3.2.2 (K2) – Résumer les activités typiques du processus de revue.

La réponse correcte est a) 1C, 2A, 3D, 4B

● 1C) Correcte : La planification sert à organiser le processus, choisir le type de revue, les rôles, etc.
● 2A) Correcte : L’examen consiste à analyser le document individuellement.
● 3D) Correcte : La réunion permet à l’équipe de discuter des anomalies ensemble.
● 4B) Correcte : Le rework est le moment où l’auteur corrige ce qui a été signalé.

Cette question correspond à l\'objectif d\'apprentissage FL-4.3.3 (K2) - Expliquer la valeur des tests boîte blanche.

● a) Faux → Les tests boîte blanche ne remplacent pas les revues de code et les inspections formelles. Ce sont des activités complémentaires qui servent des
objectifs différents.
● b) Faux → Aucune technique de test ne peut garantir la détection de 100% des
défauts. Cette affirmation est excessive et trompeuse.
501
● c) Correct → Cette réponse capture la principale valeur ajoutée des tests boîte blanche : ils permettent d\'identifier les défauts dans des parties du code qui pourraient ne pas être facilement atteignables par les tests boîte noire.
● d) Faux → Les tests boîte blanche ne visent pas principalement à réduire la durée du cycle de développement ou à diminuer le nombre de tests fonctionnels. Au
contraire, ils représentent souvent un effort supplémentaire.

Cette question correspond à l\'objectif d\'apprentissage FL-2.1.4 (K2) - Résumer la façon dont DevOps pourrait avoir un impact sur le test.
● a) Faux → Dans DevOps, les tests deviennent plus critiques, pas moins importants, car les déploiements fréquents augmentent le besoin de détection rapide des
problèmes.
● b) Faux → DevOps encourage la collaboration et le partage des responsabilités, mais n\'élimine pas le besoin d\'expertise en test. Les compétences spécialisées en test restent valorisées.
● c) Faux → DevOps ne préconise pas de tester principalement en production. Au contraire, il encourage le test approfondi avant le déploiement, mais dans des
environnements qui reflètent fidèlement la production.
● d) Correct → Cette réponse décrit correctement l\'impact principal de DevOps : l\'automatisation des tests et l\'intégration continue permettent un feedback plus rapide et facilitent les déploiements fréquents et fiables.

Cette question correspond à l\'objectif d\'apprentissage FL-4.5.3 (K3) - Utiliser le développement piloté par les tests d\'acceptation (ATDD) pour dériver les cas de tests.

● a) Faux → Cette approche confond les tests unitaires avec les tests d\'acceptation.
Dans l\'ATDD, l\'objectif est de créer des tests d\'acceptation automatisés qui valident les comportements attendus du point de vue de l\'utilisateur, pas de décomposer le scénario en tests unitaires.

● b) Faux → Ajouter des détails techniques d\'implémentation va à l\'encontre des principes de l\'ATDD. Les tests d\'acceptation doivent se concentrer sur le comportement observable et les critères d\'acceptation métier, pas sur les détails d\'implémentation technique.

● c) Correct → Cette approche est parfaitement alignée avec les principes de l\'ATDD.

Le scénario actuel est trop vague et ne fournit pas d\'exemples concrets permettant de déterminer si l\'implémentation est correcte. En ajoutant plusieurs exemples avec des valeurs d\'entrée spécifiques (différents niveaux de revenus, scores de crédit, valeurs de propriété) et les résultats attendus correspondants (éligible/non éligible),le scénario devient beaucoup plus clair.

d) Faux → Cette réponse contredit fondamentalement la nature collaborative de l\'ATDD. Dans l\'ATDD, l\'écriture et l\'automatisation des tests d\'acceptation font partie
intégrante du processus de développement et impliquent idéalement les développeurs, les testeurs ET les parties prenantes métier. Confier cette responsabilité uniquement aux testeurs après le développement revient à abandonner l\'approche \"piloté par les tests\" de l\'ATDD.

Cette question correspond à l\'objectif d\'apprentissage FL-4.2.1 (K3) – Utiliser les partitions d\'équivalence pour dériver les cas de test
● a) Correct → Les valeurs 9 € (juste en dessous du minimum), 10 € (minimum), 10 000 € (maximum) et 10 001 € (juste au-dessus du maximum) couvrent les limites inférieures et supérieures
● b) Faux → Les valeurs intermédiaires comme 5 000 € ne testent pas les limites.
● c) Faux → 0 € et 15 000 € sont en dehors des limites pertinentes.
● d) Faux → Tester uniquement les valeurs limites sans les valeurs juste en dehors des limites ne couvre pas tous les scénarios possibles.

Red Team Role: Represents adversarial attackers conducting penetration testing and social engineering to identify vulnerabilities. Red teams simulate real threats by attempting unauthorized access and exploitation. Blue teams defend; white teams referee; green teams focus on development security—only red teams actively attack systems.

Distributed Denial of Service (DDoS): An attack flooding a target with massive traffic from multiple sources, overwhelming resources and rendering services unavailable despite being operational. The sudden traffic surge matches DDoS characteristics. ARP poisoning targets network resolution, brute force attempts credentials, and buffer overflow exploits memory—none cause service unavailability through traffic volume alone.

Automation: Using automated tools to continuously monitor and audit security settings ensures consistent, repeatable daily checks without human error. Manual audits lack consistency; compliance checklists are static documents; attestation confirms past actions but doesn't detect unauthorized changes automatically.

Data Loss Prevention (DLP): A security control that monitors, detects, and blocks the transmission of sensitive data through email and other channels. DLP inspects outbound communications in real-time to prevent unauthorized external sharing. Unlike patch management (system updates), antivirus (malware detection), or application whitelisting (executable control), DLP specifically protects against intentional or accidental data exfiltration by enforcing data handling policies.

Answer: An attacker is attempting to brute force jsmith's account.
Explanation: Multiple failed login attempts against the same account from the same or various IP addresses is characteristic of a brute force attack. The logs would show repeated authentication failures for jsmith within a short timeframe.

Multifactor Authentication (MFA): requires two or more different authentication factors—something you know (password), something you have (phone for SMS), or something you are (biometric). A password plus SMS code combines two distinct factors. Using multiple passwords or adding a static PIN uses only one factor (knowledge), so these don't constitute true MFA.

Answer: Change management procedure.
Explanation: Change management procedures ensure that firewall rule changes are properly reviewed, tested, approved, and documented before implementation. This prevents unauthorized changes and ensures rollback capabilities if changes cause issues.

Physical Control: A badge reader is a tangible mechanism that physically restricts access to spaces. It prevents unauthorized entry by requiring credentials before granting passage. Unlike logical controls (software-based), administrative controls (policies), or detective controls (monitoring), physical controls are hardware-based barriers that actively prevent access.

Encryption: transforms data into unreadable ciphertext using cryptographic algorithms, ensuring confidentiality even if unauthorized parties gain physical access to cloud storage. Firewalls and antivirus protect network perimeter and systems but don't protect data confidentiality. Patching addresses vulnerabilities but not data exposure at rest.

Incident Response Primary Goal: Minimize damage and recovery time when security breaches occur. Organizations cannot prevent all incidents, so IR focuses on containment, eradication, and restoration. Prevention (A) is proactive security; punishment (B) and reporting (C) are secondary actions following IR procedures.

Azure Synapse Analytics est un service d'analytique intégré qui combine : (1) Data warehousing avec Synapse SQL (pools dédiés pour OLAP à grande échelle), (2) Big Data avec Apache Spark intégré, (3) ETL/ELT avec des pipelines intégrés (similaire à Azure Data Factory), (4) Exploration avec Synapse Link (requêtes directes sur Cosmos DB et Azure SQL sans ETL). Il offre un workspace unifié où data engineers, data scientists et analystes collaborent. C'est la solution analytique de bout en bout d'Azure.

Un index est une structure de données auxiliaire qui accélère les opérations de lecture (SELECT, WHERE) en permettant au moteur SQL de localiser rapidement les lignes sans scanner toute la table. Les index clustered et non-clustered optimisent différents types de requêtes. Inconvénient : les index ralentissent les opérations d'écriture (INSERT, UPDATE, DELETE) car ils doivent être mis à jour à chaque modification. Ils consomment aussi de l'espace disque. Un équilibre entre index de lecture et performance d'écriture est nécessaire.

Limites transactionnelles de Cosmos DB : Cosmos DB excelle dans les charges NoSQL distribuées, mais ne supporte pas les transactions ACID multi-documents complexes ni les jointures élaborées entre entités. Les systèmes financiers exigent une cohérence stricte et des opérations multi-tables que les bases relationnelles (SQL Server, PostgreSQL) garantissent mieux. Les trois autres scénarios (web mondial, documents JSON, IoT temps réel) correspondent exactement aux forces de Cosmos DB : scalabilité horizontale, flexibilité schéma et performance distribuée.

Dynamic Data Masking (DDM) limite l'exposition des données sensibles en masquant automatiquement les données pour les utilisateurs non autorisés — sans modifier les données stockées. Exemple : un numéro de carte bancaire 4532-1234-5678-9012 apparaît comme XXXX-XXXX-XXXX-9012 pour un agent de support, mais en clair pour un administrateur financier. Le masquage s'applique au moment de la requête. Les règles définissent quelles colonnes masquer et selon quel pattern (email, numéro de téléphone, texte aléatoire). C'est une protection complémentaire au RBAC, pas un remplacement du chiffrement.

Azure SQL Database est disponible en deux modèles : Single Database (base de données unique avec ses propres ressources dédiées, idéale pour les nouvelles applications) et Elastic Pool (plusieurs bases partagent un pool de ressources, optimal pour des bases aux pics d'activité décalés). Il existe aussi Azure SQL Managed Instance pour les migrations depuis SQL Server on-premises avec compatibilité maximale. Les trois sont des services PaaS gérés par Microsoft (patching, backups automatiques).

Réponse : INSERT. Explication : INSERT est une instruction DML qui ajoute de nouvelles lignes à une table. Avec UPDATE, DELETE et SELECT, INSERT est une opération DML fondamentale qui modifie les valeurs de données en ajoutant de nouvelles lignes sans modifier les enregistrements existants.

APIs natives d'Azure Cosmos DB : Cosmos DB offre nativement SQL Core, MongoDB, Cassandra, Gremlin et Table API pour différents cas d'usage. MySQL n'est pas supporté nativement car c'est un SGBD relationnel classique. Azure propose une solution distincte (Azure Database for MySQL) pour MySQL. Les autres options (MongoDB, Cassandra, Gremlin) sont des APIs intégrées directement dans Cosmos DB pour la flexibilité multi-modèle.

La clé de partition est l'attribut utilisé par Cosmos DB pour distribuer les données sur plusieurs partitions physiques. Un bon choix est critique car : (1) il doit assurer une distribution uniforme des données et des requêtes pour éviter les partitions chaudes (hot partitions), (2) les requêtes sans la clé de partition sont des cross-partition queries — plus lentes et coûteuses. Idéalement, la clé de partition est souvent utilisée dans les filtres WHERE. Exemple : CustomerID pour une app e-commerce (millions de clients répartis uniformément).

La gouvernance des données englobe les politiques, processus et standards garantissant la qualité, la sécurité, la confidentialité et la conformité des données d'une organisation. Microsoft Purview (anciennement Azure Purview) est le service unifié de gouvernance des données Azure : il découvre automatiquement les données (scan multi-cloud), crée un catalogue de données avec leur lignage (Data Lineage — d'où vient la donnée, comment elle a été transformée), classe les données sensibles (PII, financières), et gère les politiques d'accès. Il couvre Azure, AWS, GCP et les sources on-premises.

Charges analytiques (OLAP) : systèmes conçus pour analyser de grands volumes de données historiques et produire des rapports complexes. Contrairement aux charges transactionnelles (OLTP) qui traitent chaque transaction individuellement, l'OLAP agrège et synthétise les données pour déceler des tendances et patterns. Les distracteurs confondent OLTP (enregistrement de transactions) avec OLAP (analyse rétrospective).

Cost of Goods Sold (COGS) est la définition exacte du COGS posting en SAP S/4HANA. Lors d'une sortie de stock (goods issue), le système génère automatiquement une écriture comptable qui débite un compte de charge COGS et crédite le compte de stock, transférant ainsi la valeur de l'inventaire en dépense. Cost of Goods Supplied se réfère à un document fournisseur, Certificate of Goods Shipment est un document logistique de livraison, et Cost of General Services concerne une allocation périodique de centre de coûts. Aucune de ces options ne décrit le mécanisme automatique de comptabilisation déclenché par une sortie de stock.

Réponse : Vrai
Le Journal Universel (ACDOCA) est la pierre angulaire de S/4HANA Finance. Il centralise FI, CO et AA dans une seule table, éliminant la réconciliation entre les anciens tableaux BSEG, COEP et ANEK. Cela garantit la cohérence des données en temps réel.

Réponse : La méthode de valorisation.
Explication : Elle définit les comptes, clés et type de cours.

La bonne réponse est : Foreign Currency Valuation réévalue les postes ouverts et les soldes de grand livre en devises étrangères selon le taux de change actuel, ce qui permet d'enregistrer les gains/pertes non réalisés en fin de clôture de période. La conversion en devise de groupe s'effectue lors de la consolidation, non lors de la valorisation de devises. La mise à jour des taux de change est une fonction administrative distincte, non le rôle de cette exécution. La réalisation des gains/pertes ne concerne que les postes entièrement rapprochés, tandis que la valorisation concerne tous les postes ouverts.

Réponse : F-53
Explication : F-53 enregistre un paiement sortant manuel et propose le lettrage des postes fournisseurs.

FBL3N est la transaction d'affichage détaillé des postes de compte grand livre. Elle affiche tous les postes individuels (écritures) enregistrés pour un compte spécifique, qu'ils soient ouverts ou rapprochés, permettant une analyse ligne par ligne. Les autres options sont incorrectes : la première décrit la transaction FS10N (soldes résumés), la troisième concerne les écritures de régularisation (transactions comme F.32), et la quatrième correspond à la maintenance des données principales (FD10N).

Réponse : Le moteur d’accruals (Accrual Engine) et ses modèles.
Explication : Il génère automatiquement les écritures périodiques selon un paramétrage fondé sur des modèles.

Réponse : Un plan de comptes opérationnel
Pour créer et étendre des comptes G/L, chaque code société doit être associé à un plan de comptes opérationnel (Operating Chart of Accounts). C'est l'affectation indispensable qui détermine quels comptes sont disponibles pour ce code société.

Réponse : Tolérances + reason codes + comptes d'écart configurés
La gestion des écarts de paiement AR nécessite : (1) la configuration des groupes de tolérance, (2) l'affectation de reason codes aux écarts (ex. escompte non déduit, litige), et (3) la définition des comptes G/L cibles pour comptabiliser automatiquement les différences. Transaction : OBA3, OB57.

Réponse : Assignez un ordre interne réel dans les données de base d'immobilisation et réglez périodiquement à deux centres de coûts. Explication : Pour répartir les coûts d'amortissement à plusieurs centres de coûts, utilisez un ordre interne comme collecteur intermédiaire dans les données de base d'immobilisation. L'ordre interne est ensuite réglé périodiquement à l'aide de règles de distribution pour allouer les coûts à chaque centre de coûts.

L'Allemagne est le pays le plus peuplé de l'Union européenne avec environ 84 millions d'habitants. C'est aussi la première économie de l'UE et l'une des premières mondiales. La France est au 2e rang européen (~68 millions). L'Italie est 3e (~60 millions). L'Espagne est 4e (~47 millions). La population totale de l'UE est d'environ 450 millions de personnes réparties dans 27 États membres.

Le Conseil constitutionnel est la juridiction constitutionnelle française. Il contrôle la conformité des lois à la Constitution (avant promulgation sur saisine, ou après via la QPC — Question Prioritaire de Constitutionnalité depuis 2008). Il valide aussi les élections et référendums. Il est composé de 9 membres nommés pour 9 ans non renouvelables : 3 nommés par le Président de la République, 3 par le Président de l'Assemblée nationale, 3 par le Président du Sénat. Les anciens Présidents de la République en sont membres de droit à vie.

« Liberté, Égalité, Fraternité » est la devise officielle de la République française, inscrite dans la Constitution. Liberté : droit de chacun de faire ce que les lois permettent, sans nuire à autrui (Déclaration de 1789). Égalité : tous les citoyens sont égaux devant la loi, sans distinction d'origine, de race ou de religion. Fraternité : solidarité entre les membres de la nation, aide aux plus démunis. Cette devise est issue de la Révolution française et officialisée sous la IIIe République.

Banque centrale européenne (BCE) : institution chargée de gérer la monnaie unique (l'euro) et la politique monétaire des pays de la zone euro. Elle contrôle les taux d'intérêt et la quantité de monnaie en circulation pour maintenir la stabilité économique. Contrairement aux distracteurs : les impôts relèvent des États, les frontières de l'UE sont contrôlées par chaque nation, et les lois sont élaborées par le Parlement européen.

Continuité de la nationalité française : Le conjoint français doit avoir conservé sans interruption sa nationalité française pendant toute la durée de la vie commune. Cette exigence garantit une stabilité juridique et un engagement durable dans la communauté française. Si le conjoint avait perdu ou renoncé à sa nationalité à un moment quelconque, les conditions d'accélération de naturalisation ne s'appliqueraient plus, car elles supposent un lien de nationalité ininterrompu.

La fête nationale française du 14 juillet commémore deux événements : (1) la prise de la Bastille le 14 juillet 1789, symbole de la fin de l'arbitraire royal et du début de la Révolution française ; (2) la Fête de la Fédération du 14 juillet 1790, premier anniversaire de la prise de la Bastille, qui célébrait l'unité nationale avec un immense rassemblement au Champ-de-Mars. La loi du 6 juillet 1880 a officialisé le 14 juillet comme fête nationale. Elle est marquée par un défilé militaire sur les Champs-Élysées et un feu d'artifice au Trocadéro.

L'Armistice de 1918 : accord signé le 11 novembre 1918 mettant fin aux combats de la Première Guerre mondiale. Cette date commémore la cessation des hostilités et honore les soldats morts pour la France. À ne pas confondre avec le 14 juillet (fête nationale) ou 1789 (Révolution française).

Séparation des pouvoirs : La République française repose sur trois pouvoirs distincts pour éviter la concentration du pouvoir. Le pouvoir exécutif (Président, Gouvernement) applique les lois ; le pouvoir législatif (Parlement) les vote ; le pouvoir judiciaire les interprète. Cette répartition garantit l'équilibre démocratique et protège les libertés individuelles.

La Norvège n'est pas membre de l'Union européenne. Elle a refusé l'adhésion par deux référendums (1972 et 1994). La Norvège fait partie de l'Espace économique européen (EEE) et de l'espace Schengen, mais n'est pas soumise aux décisions des institutions européennes. Portugal, Grèce et Slovaquie sont tous membres de l'UE. Autres non-membres notables : Suisse, Royaume-Uni (depuis le Brexit de 2020), Islande, Turquie.

La Première Guerre mondiale (1914-1918) : conflit majeur opposant principalement les Alliés (France, Royaume-Uni, États-Unis) à l'Allemagne et l'Autriche-Hongrie. Elle a transformé la France et marqué profondément ses institutions. À ne pas confondre avec la Seconde Guerre mondiale (1939-1945).

Concept clé : Test de conformité au RGPD. Le droit à l'oubli est une exigence fondamentale du RGPD. Les testeurs doivent valider que les systèmes AI gèrent correctement les demandes de suppression de données et que les informations personnelles sont réellement supprimées de l'ensemble des pipelines de traitement et des systèmes de stockage.

Concept clé : Transparence dans le test AI. Une documentation complète des capacités du modèle, de ses limitations et des sources d'entraînement permet aux parties prenantes de comprendre et d'évaluer les systèmes AI. Les testeurs doivent valider que tous les éléments de transparence requis sont correctement documentés et accessibles aux parties concernées.

Concept clé : Test de confidentialité dans l'apprentissage fédéré. L'apprentissage fédéré vise à préserver la confidentialité en maintenant les données d'entraînement décentralisées. Les testeurs doivent valider que les données individuelles ne quittent jamais les appareils locaux et que seules les mises à jour agrégées du modèle sont transmises, prévenant ainsi toute exposition non autorisée des données pendant le processus d'apprentissage.

Concept clé : Test de robustesse pour la sécurité. La robustesse désigne une performance cohérente dans des conditions variées. Pour les systèmes AI critiques pour la sécurité, les testeurs doivent valider la performance dans des conditions de pluie, de brouillard, de neige, en conditions nocturnes, ainsi que dans des cas limites et des scénarios inattendus, afin de s'assurer que le système reste sûr en déploiement réel.

Réponse : Le problème conserve l\'état d\'erreur connue.
Explication : Lorsqu\'une solution de contournement devient permanente car le problème ne peut être résolu définitivement, le problème reste dans l\'état \'erreur connue\' : documenté mais non résolu.

Réponse : La gestion des niveaux de service.
Explication : La gestion des niveaux de service définit et suit les métriques reflétant l\'expérience réelle du client, en établissant des accords sur la qualité du service fourni.

Réponse : Les centres de services doivent comprendre l\'organisation dans son ensemble.
Explication : Les centres de services doivent avoir une compréhension globale de l\'organisation pour orienter correctement les utilisateurs, comprendre les impacts des incidents et prioriser les demandes.

Réponse : Il peut fournir un appariement automatisé des incidents aux problèmes ou aux erreurs connues.
Explication : Les outils ITSM peuvent automatiquement associer de nouveaux incidents aux problèmes ou erreurs connus, accélérant ainsi le diagnostic et permettant d\'appliquer des solutions de contournement documentées.

Réponse : En choisissant quelques méthodes clés pour les types d\'améliorations gérées par l\'organisation.
Explication : Plutôt que d\'adopter toutes les méthodes existantes, une organisation doit sélectionner quelques approches adaptées aux types d\'améliorations qu\'elle gère, pour rester cohérente et efficace.

Réponse : Le centre de services.
Explication : Le centre de services constitue le point de contact unique (SPOC) entre le fournisseur de services et les utilisateurs pour toutes les communications, demandes et incidents.

Réponse : Les principes directeurs peuvent guider une organisation en toutes circonstances.
Explication : Les principes directeurs ITIL 4 sont universels et s\'appliquent en toutes circonstances, à toute organisation et tout type de projet ou initiative, quelle que soit la situation.

Réponse : S\'assurer que les fournisseurs de l\'organisation et leurs performances sont gérés de manière appropriée afin de supporter l\'approvisionnement continu de produits et services de qualité.
Explication : La gestion des fournisseurs assure que les relations avec les fournisseurs externes sont correctement gérées pour garantir un approvisionnement continu en produits et services de qualité.

Réponse : Assurance qu\'un produit ou service répondra aux exigences convenues.
Explication : La garantie est l\'assurance qu\'un produit ou service répondra aux exigences convenues. Elle couvre la disponibilité, la capacité, la continuité et la sécurité du service fourni.

Réponse : Il devrait y avoir au moins une petite équipe qui se consacre à la conduite des efforts d\'\"amélioration continue\".
Explication : ITIL 4 recommande qu\'une équipe dédiée, même réduite, pilote les efforts d\'amélioration continue pour maintenir le focus et la cohérence, sans que cela n\'empêche toute l\'organisation d\'y contribuer.

• Cette méthode permet d’installer l’application sur les appareils Windows 10.

• Le Configuration Profile configure certains paramètres de l’appareil, mais ne garantit pas la configuration des paramètres internes spécifiques à l’application.

• Convient pour des applications MSI simples, mais pas pour des applications personnalisées nécessitant des paramètres préconfigurés.

✅ En résumé : C installe l’app, mais A est nécessaire pour installer + configurer les paramètres internes de l’application.

• Azure SQL Managed Instance :

  • Fournit une compatibilité quasi totale avec SQL Server (fonctionnalités, T-SQL, logins, agent SQL).

  • Permet de déplacer des bases SQL Server existantes vers le cloud avec très peu de modifications d’applications.

• Les autres options :

  • Azure SQL Database / Hyperscale → PaaS “single database” ou “scale-out”, certaines fonctionnalités SQL Server ne sont pas supportées, ce qui peut nécessiter des changements.

  • Azure Database for PostgreSQL → Base de données différente, non compatible SQL Server.

Dans Microsoft Lists, la mise en forme de colonne (Column formatting) permet d’appliquer un style visuel conditionnel à une colonne spécifique.

👉 Elle permet notamment :

• De modifier la couleur d’arrière-plan

• De changer la couleur du texte

• D’ajouter des icônes

• D’appliquer des règles conditionnelles (ex : si la valeur < seuil → fond rouge)

Cette fonctionnalité utilise du JSON en arrière-plan, mais du point de vue fonctionnel, la capacité recherchée est bien la mise en forme de colonne.

• Une attaque Golden Ticket consiste à forger des Ticket Granting Tickets (TGT) pour obtenir un accès illimité aux services Active Directory.

• Defender for Identity déclenche une alerte spécifique Golden Ticket attack detection lorsqu’il détecte ce type de manipulation du compte KRBTGT.

• Les autres alertes :

  • Pass-the-Ticket detection : utilisation frauduleuse d’un ticket existant, pas sa création.

  • DCSync attack detection : vol des informations d’Active Directory via des requêtes LDAP sur le contrôleur de domaine.

  • Lateral movement path mapping : cartographie des déplacements latéraux dans le réseau, pas la création de tickets.

Pour protéger l’accès aux données d’entreprise sur les appareils mobiles :

1. Intune App Protection Policies (politiques de protection d’application) :

   • Permettent de protéger les applications professionnelles (ex : Outlook, Teams) même sur des appareils personnels.

   • Restreignent l’accès aux applications si l’appareil ne respecte pas les règles de conformité (ex : pas de chiffrement, jailbreak détecté).

2. Conditional Access (Accès conditionnel) :

   • Applique des conditions pour accéder aux ressources cloud (ex : Exchange Online).

   • Peut bloquer l’accès aux e-mails si l’appareil est non conforme ou compromis selon les signaux d’Intune.

✅ Ensemble, ces deux fonctionnalités permettent de sécuriser l’accès aux e-mails sur mobiles sans recourir à des solutions tierces.

L’application mobile OneDrive permet :

• D’accéder aux fichiers sur tablette et smartphone

• De rendre certains fichiers ou dossiers disponibles hors ligne

• De minimiser le stockage local, car seuls les fichiers sélectionnés sont téléchargés pour un accès hors ligne, le reste reste dans le cloud.

  🎯 À retenir pour l’examen MS-900 :

  • OneDrive mobile app + disponibilité hors ligne = accès aux fichiers sur appareils mobiles même sans connexion, avec stockage local limité.

  • Les autres solutions (navigateur, WebDAV, laptop) ne répondent pas au besoin mobile hors ligne.

• Dans Microsoft Teams, une app setup policy (politique de configuration d’applications) permet :

  • De définir quelles applications apparaissent par défaut dans la barre d’applications Teams de chaque utilisateur.

  • D’ajouter, supprimer ou réorganiser les applications pour tous les utilisateurs ciblés.

• En configurant cette politique pour tous les utilisateurs, Forms sera automatiquement visible dans la barre d’applications, sans action supplémentaire de leur part.
  
  

  🎯 À retenir pour l’examen MS-900 :

  • App setup policy = déploiement automatique d’applications dans Teams

  • Catalogue ou Azure AD = visibilité et gestion, mais pas déploiement automatique dans la barre d’applications.

Dans Microsoft Teams (Téléphonie Teams / Direct Routing) :

• Les voice routes définissent le chemin que les appels doivent suivre.

• Les PSTN usages permettent d’associer ces routes à des stratégies.

• Cependant, pour que les utilisateurs puissent réellement utiliser ces routes, il faut leur attribuer une stratégie de routage vocal (Voice Routing Policy).

👉 La stratégie de routage vocal est le composant qui associe les enregistrements d’utilisation PSTN aux utilisateurs.
Sans cette stratégie attribuée à l’utilisateur, les routes configurées ne seront pas accessibles, même si elles sont correctement définies dans le système.

• Dans Microsoft Stream, on peut contrôler :

  • Qui peut regarder une vidéo (exiger l’authentification)

  • Si la vidéo peut être téléchargée (désactiver le téléchargement)

• Cette configuration garantit que seuls les employés authentifiés peuvent accéder au contenu et qu’aucun téléchargement n’est possible.

• Les autres options ne répondent pas au besoin :

  • A : OneDrive sync ne concerne pas Stream.

  • B : Désactiver l’accès invité protège l’ensemble du tenant, mais ne gère pas les vidéos internes.

  • D : Une politique de rétention supprime des vidéos, ne contrôle pas l’accès ou le téléchargement.

Dans Exchange Online, Microsoft assure automatiquement :

• La haute disponibilité (High Availability) grâce à la réplication native des bases de données de boîtes aux lettres entre plusieurs serveurs et centres de données.

• La reprise après sinistre (Disaster Recovery) grâce à l’architecture distribuée et redondante de Microsoft 365.

Pour répondre aux exigences réglementaires de conservation :

• Litigation Hold permet de conserver les e-mails d’une boîte aux lettres, même s’ils sont supprimés par l’utilisateur.

• Cela garantit l’intégrité et la disponibilité des données à des fins légales ou réglementaires.

👉 Ensemble, ces fonctionnalités assurent la disponibilité continue et la conservation réglementaire des données.

• Microsoft Security Baselines pour VMs IaaS recommandent :

  • Endpoint protection activée (Microsoft Defender ou équivalent)

  • OS hardening : mots de passe complexes, journaux activés, configuration de sécurité renforcée

  • Chiffrement des disques (Azure Disk Encryption)

  • Application à grande échelle et cohérente via Azure Policy

• L’usage d’Azure Policy permet :

  • Déploiement automatique ou audit des configurations

  • Remédiation centralisée

  • Conformité avec les bonnes pratiques Microsoft et standards comme CIS

• Fusion detection :

  • Fonctionnalité native de Sentinel pour corréler automatiquement les alertes provenant de différentes sources

  • Regroupe des alertes apparemment indépendantes mais liées à un même incident ou attaquant

  • Réduit le bruit (alert fatigue) et facilite le triage rapide par les analystes SOC

• Avantages :

  • Détecte des attaques avancées persistantes (APT) et chaînes d’attaques multi-sources

  • Crée des incidents uniques regroupant plusieurs alertes, plutôt que d’avoir des centaines d’alertes isolées

Microsoft Defender for Cloud – multi-cloud capabilities :

• Permet de centraliser la gestion de la posture de sécurité sur plusieurs clouds

• Offre assessments, recommandations et alertes de sécurité pour Azure, AWS et GCP

• Les connecteurs multi-cloud :

  • Onboard facilement les comptes AWS/GCP

  • Surveillent les configurations, vulnérabilités et risques

  • Fournissent des recommandations cohérentes à travers les environnements

• Microsoft Defender for Cosmos DB fournit :

  • Détection en temps réel des activités suspectes sur les bases Cosmos DB

  • Alertes pour :

    • Accès depuis des localisations géographiques inhabituelles

    • Tentatives de connexion ou d’exfiltration de données

    • Activités anormales des comptes ou clés d’accès

• Avantages clés :

  • Intégration avec Microsoft Sentinel pour investigations et réponses automatisées

  • Complète les mesures de chiffrement et d’accès, mais ajoute la détection comportementale

Dans Microsoft Purview Insider Risk Management, la fonctionnalité de gestion des cas avec contrôles de confidentialité intégrés permet :

• De restreindre l’accès aux cas uniquement aux enquêteurs assignés

• D’anonymiser certains utilisateurs pendant l’analyse (selon la configuration)

• De garantir la confidentialité des investigations

• De limiter la visibilité des informations sensibles

Cette fonctionnalité est spécifiquement conçue pour répondre aux exigences de confidentialité et de conformité liées aux enquêtes internes.

👉 Elle va au-delà du simple RBAC général en offrant des mécanismes dédiés aux enquêtes Insider Risk.

• Hotpatch :

  • Fonctionnalité Azure-only pour Windows Server

  • Applique les mises à jour de sécurité critiques sans redémarrage complet

  • Réduit les interruptions de service pour les workloads sensibles (ex : santé, finance)

  • Permet un contrôle administratif, mais avec automatisation pour les correctifs critiques

• Cette approche est le compromis idéal entre patching manuel (risque faible mais effort élevé) et automatisation complète (risque de redémarrage inattendu).

• Microsoft Entra Internet Access (EIA) : solution SSE qui fournit :

  • Filtrage d’accès Internet

  • Protection contre les applications non approuvées

  • Application des politiques d’usage acceptable

• Intégration avec Microsoft Defender for Cloud Apps :

  • Permet de détecter et contrôler l’usage des applications SaaS

  • Active les politiques Conditional Access pour :

    • Bloquer les connexions à des applications non sanctionnées

    • Appliquer des restrictions ou des alertes pour les applications approuvées

  • Assure visibilité, contrôle et gouvernance centralisée

• C’est la meilleure pratique Microsoft SSE pour sécuriser l’accès SaaS et Internet.

Microsoft Sentinel permet aux équipes SOC de :

• Collecter et centraliser les logs depuis Azure AD, endpoints, applications cloud, et plus

• Exécuter des requêtes de threat hunting personnalisées en Kusto Query Language (KQL)

• Identifier APT, comportements anormaux et attaques avancées avant qu’elles ne deviennent incidents critiques

Pourquoi c’est le bon choix :

• Le besoin est proactif (threat hunting), pas simplement la surveillance ou la gouvernance

• KQL dans Sentinel est l’outil natif pour rechercher, corréler et analyser les événements à grande échelle

• LSASS (Local Security Authority Subsystem Service) stocke les hashes et tokens d’authentification Windows.

• Les attaquants peuvent utiliser des techniques comme Mimikatz pour voler des credentials depuis LSASS.

• Windows Defender Credential Guard :

  • Utilise la virtualisation basée sur le hardware pour isoler les secrets Windows (NTLM, Kerberos, LSA secrets)

  • Empêche les logiciels malveillants et les attaquants ayant un accès administrateur local de voler les credentials

  • Protège spécifiquement les domain controllers et endpoints sensibles

• C’est la meilleure pratique Microsoft pour sécuriser les contrôleurs de domaine contre le vol de credentials.

Pourquoi Purview Sensitivity Labels :

• Permet de classer et protéger les documents et emails

• Applique automatiquement :

  • Chiffrement au repos et en transit

  • Restrictions d’usage (ex. ne pas copier, ne pas imprimer, ne pas transférer) même lorsque le fichier est téléchargé ou partagé en externe

• Contrôle la protection persistante des fichiers, indépendamment du lieu où ils sont ouverts

Dans GCP, les règles de pare-feu s'appliquent par ordre de priorité (lower = higher priority). Une règle deny-all basse priorité (65534) bloque tout par défaut, et une règle allow haute priorité (1000) ouvre uniquement les ports nécessaires — principe du moindre accès.

Un SSD local offre un débit de lecture jusqu'à 3 Go/s contre ~240 Mo/s pour un SSD persistant zonal de 350 Go — soit 12x plus rapide. Augmenter la taille du disque persistant améliore le débit mais reste limité. Ajouter des vCPU n'impacte pas les I/O disque. Le SSD régional est plus cher et n'apporte pas plus de débit.

Les instances de type M1 (Memory-Optimized) sont conçues pour des workloads nécessitant de grandes quantités de mémoire RAM (jusqu'à 12 To). Pour une application qui maintient toute sa base de données en mémoire, c'est le type de machine optimal.

Cloud Deployment Manager est l'outil GCP d'Infrastructure as Code qui permet de définir des templates réutilisables pour déployer plusieurs ressources. Il supporte les templates Jinja/Python avec paramètres, minimisant la répétition de code.

Puisque le workload est tolérant aux pannes, les VMs préemptibles sont idéales (jusqu'à 80% moins chères). Le test avec des événements de maintenance simulés valide la tolérance aux interruptions avant de basculer en production.

Ajouter l'API du cluster comme Type Provider dans Deployment Manager permet de gérer les ressources Kubernetes (comme les DaemonSets) directement depuis Deployment Manager, sans services supplémentaires ni instances intermédiaires.

La section IAM dans la console GCP affiche tous les membres (utilisateurs, groupes, comptes de service) et leurs rôles attribués dans le projet. gcloud iam roles list affiche les rôles disponibles, pas les attributions. gcloud iam service-accounts list ne montre que les comptes de service.

Google Cloud Directory Sync (GCDS) est l'outil officiel Google pour synchroniser automatiquement les utilisateurs et groupes depuis Active Directory (ou LDAP) vers Cloud Identity. Il maintient AD comme source de vérité et synchronise de façon continue.

Sur une VM CE, Application Default Credentials (ADC) utilise automatiquement le compte de service attaché à la VM. En attribuant les bonnes permissions au compte de service de la VM, l'application fonctionne sans modification de code ni gestion de fichiers de clés.

Coldline Storage est la solution la plus économique pour des données accédées rarement (moins d'une fois par an). Pour 3 ans de rétention de journaux d'audit rarement consultés, Coldline est moins cher que BigQuery et ne nécessite pas de scripts personnalisés.

This statement is True. Technical debt obscures the actual system state and can mask problems in the reviewed Increment, leading to false confidence in progress. Unaddressed technical debt creates a gap between perceived and actual product quality, violating the transparency pillar of Scrum.

Correct answers: Options 0 and 4. A Scrum Master should coach the Development Team to self-organize and solve problems collaboratively (option 0), and privately coach the individual on the Daily Scrum's purpose of synchronization, not detailed technical discussion (option 4). Escalating to management (option 1) bypasses team empowerment. Rigid timeboxing rules (options 2-3) are imposed solutions rather than coaching the team to self-manage. The Scrum Master facilitates, not dictates.

The correct Scrum Team roles are Development Team, Scrum Master, and Product Owner (option 1). These three roles are explicitly defined in the Scrum Guide. Other options introduce non-Scrum roles like Project Manager, Business Analyst, or distinguish Stakeholders as a role—stakeholders are external to the Scrum Team.

Option D is correct. The Scrum Master should facilitate collaboration between the Product Owner and Development Team on strengthening the Definition of Done to address performance concerns. Option A delays action unnecessarily, Option B inappropriately directs the team, and Option C is defensive and dismisses stakeholder feedback. The DoD is a shared responsibility evolving through collaboration.

The Scrum Master should coach the team to improve tools and infrastructure incrementally while establishing a realistic Definition of Done for now. Stopping the Sprint (option 1) wastes momentum; accepting incomplete work (option 2) undermines quality. The team works within constraints and improves over time, honoring both transparency and continuous improvement.

Correct: True - The Scrum Guide explicitly states that regardless of scale or team configuration, all Scrum artifacts, events, and roles must be maintained to preserve the framework's integrity. Multiple teams on the same Product Backlog still constitute Scrum and must comply with the Scrum Guide.

Correct answer: Option 2. The Scrum Master should facilitate discovery by asking the team to reflect on the value and risks of full attendance, enabling them to self-organize and decide. This coaches rather than commands. Option 0 (mandating) is authoritarian. Option 1 (guilt-tripping) is manipulative. Option 3 (abdicating responsibility) ignores the Scrum Master's role to help the team understand Scrum practices and their benefits.

Correct answer: False. The Scrum Guide requires a single, integrated Increment at the end of each Sprint, even in scaled environments. Separate branches by team defeat this transparency and create integration risk. Each team should work toward one releasable Increment that demonstrates continuous progress toward the product goal.

The Development Team is responsible for all estimates in Scrum. The Scrum Master should not dictate the format (Story Points vs. other relative units) or sequence—only that the Development Team owns the estimation process. This protects team autonomy and accountability.

False—Adding resources does not proportionally increase value in Scrum due to communication overhead, onboarding time, and team dynamics. The Scrum Guide emphasizes small, cross-functional teams; scaling requires structural changes and coordination, not just headcount increases.

Réponse : Exécution des tests.
Explication : L\'exécution des tests représente la portion la plus importante et la moins prévisible de la variabilité (taux de découverte de défauts, disponibilité de l\'environnement, productivité humaine, boucles de rework). C\'est donc la partie la plus difficile à estimer.

Réponse : Un aperçu détaillé de l\'approche de test basée sur les risques utilisée pour assurer la réalisation des critères de sortie..
Explication : D est correct car les cadres supérieurs non-spécialistes ont besoin d\'informations concises et orientées résultats, non d\'une exposition détaillée opérationnelle de l\'approche basée sur les risques. Un rapport doit prioriser l\'état versus objectifs, risques clés et atténuations, tendances et actions managériales recommandées pour décisions efficaces.

Réponse : Pourcentage de couverture des exigences.
Explication : B est correct car le pourcentage de couverture des exigences quantifie directement l\'adéquation des tests par rapport à l\'objectif déclaré de valider que le système satisfait ses exigences. L\'efficacité du test dans un contexte piloté par les exigences repose sur la mesure objective de la complétude de la couverture des exigences et de la détection des non-conformités.

Réponse : Les développeurs perdent le sens des responsabilités et les testeurs indépendants peuvent devenir un goulot d\'étranglement..
Explication : Le test indépendant sépare la vérification du développement, ce qui peut diminuer le sens de la responsabilité des développeurs tandis que la coordination des tests et le triage des incidents se concentrent dans une équipe distincte qui peut devenir un goulot d\'étranglement processus.

Réponse : Qualité d\'entrée inconnue due au développement par un tiers.
Explication : D est correct car la qualité d\'entrée inconnue provenant du développement par un tiers crée le plus grand risque d\'estimateur : variance élevée des taux de défauts, comportements d\'intégration imprévisibles et efforts de vérification imprévisibles qui gonflent directement les estimations de temps et ressources. Les hypothèses quantifiées deviennent invalides avec les entrées tierces.

Réponse : Créer une estimation basée sur la technique d\'analyse de points de fonction et l\'analyse de points de test.
Explication : La réponse A est correcte car l\'analyse de points de fonction combinée à l\'analyse de points de test produit une estimation précoce basée sur la taille, spécifique aux tests, indépendante de la disponibilité du code source. L\'APF fournit une métrique de taille fonctionnelle, l\'APT traduit cette taille en effort de test en appliquant les facteurs de testabilité et de qualité.

Réponse : Les critères d\'entrée et de sortie pour chaque phase de test / Les techniques de conception de test à utiliser.
Explication : AC est correct car une stratégie de test défendable prescrit explicitement les techniques de conception de test pour atteindre la couverture et l\'atténuation des risques (C) et les critères d\'entrée/sortie qui gouvernent la progression des phases et les barrières qualité (A). Une stratégie de test robuste est un cadre décisionnel de haut niveau qui détermine comment les objectifs de test seront atteints et comment les risques informent la priorisation et la portée.

Réponse : Les préoccupations concernant l\'interface utilisateur augmentent la probabilité d\'un risque dans ce domaine et augmentent la quantité d\'effort de test nécessaire pour l\'interface utilisateur, limitant ainsi l\'effort de test disponible pour d\'autres parties de l\'outil de gestion de test..
Explication : L\'option B est correcte car elle modifie explicitement à la fois la probabilité évaluée et l\'impact basé sur les ressources (couverture de test), ce qui altère l\'exposition au risque produit et force une réévaluation des priorités. Le risque augmente (probabilité × conséquence) avec la réallocation des ressources.

Réponse : Organiser une réunion avec la direction générale pour qu\'elle aborde l\'importance d\'une bonne qualité de test pour ce projet.
Explication : D est correct car l\'appui visible de la direction générale élève la priorité organisationnelle des tests, fournit une reconnaissance et supprime les obstacles systémiques. Cela augmente la signification de la tâche et aligne l\'effort individuel avec les objectifs organisationnels, motivant durablement l\'équipe.

Réponse : Portabilité.
Explication : C est correct car la portabilité est un attribut non-fonctionnel de faible priorité pour un système de surveillance médicale critique pour la sécurité, normalement lié à des piles matériel/système d\'exploitation certifiées. La disponibilité, la sécurité et la fiabilité ont un impact direct sur le risque patient et les preuves réglementaires.

A. URLs that users can click to open the document in their browser. Incorrect. URLs are useful for users, but not ideal for agents performing multi-step workflows that require reliable referencing and further operations. B. Structured data containing document IDs and metadata for each result. Correct. This enables the agent to programmatically reference specific documents (via IDs) across multiple steps, making workflows like follow-up queries or document retrieval precise and reliable. C. A JSON array of document titles extracted from the search results. Incorrect. Titles alone are ambiguous and not stable identifiers, making it difficult for agents to reliably act on specific documents. D. More detailed human-readable descriptions including the size and authors. Incorrect. Helpful for users, but still unstructured and not suitable for precise multi-step agent operations.

A. Set temperature to 0 to eliminate output variability and ensure consistent formatting Incorrect. This reduces randomness but won't fix systematic extraction errors like misinterpreting ranges ("2 to 3"). B. Send a follow-up request including the validation error, asking the model to correct its output Correct. Providing specific validation feedback allows the model to correct the exact issue (e.g., convert "2 to 3" into a valid float), making recovery highly effective. C. Pre-process source documents to standardize problematic formats before sending them for extraction Incorrect. Helpful in some cases, but not scalable or sufficient for diverse real-world variations. D. Implement a secondary pipeline using a larger model tier to reprocess documents that fail validation Incorrect. More expensive and not necessary--targeted correction is more efficient and effective.

A. Log the error server-side and return an empty result to avoid confusing the model Incorrect. This hides critical failure information, making it impossible for the agent to distinguish "no data" from "system failure." B. Throw an exception from the tool handler so the agent framework can catch and log it Incorrect. Exceptions are useful internally, but the agent still needs a structured tool response; raw exceptions don't reliably propagate useful context to the model. C. Return the error message in the tool result content with the isError flag set to true Correct. This is the proper MCP pattern: the tool explicitly signals failure using isError: true, while still providing a readable error message so the agent can decide whether to retry, escalate, or inform the user. D. Return a success response with a "status" field indicating the error type Incorrect. This is misleading because it treats failures as successful responses, which confuses downstream reasoning and tool orchestration. Thank you Thank you for being so interested in the If you have any feedback or thoughts on the bumps, I would love to hear them. Your insights can help me improve our writing and better understand our readers. Best of Luck You have worked hard to get to this point, and you are well-prepared for the exam Keep your head up, stay positive, and go show that exam what you're made of! Feedback More Papers Total: 85 Questions Link:

A. Immediately send an API request with the update as a synthetic user message, generating an unsolicited assistant response. Incorrect. This creates an unsolicited interruption, which can feel unnatural and confusing in an active conversation. B. Append the status update as a prefix to the next user message before calling the API. Incorrect. This pollutes the user message and mixes system state with user intent, which can lead to misinterpretation. C. Configure the assistant to call a get_order_status tool at the start of every response. Incorrect. This is inefficient and unnecessary, especially when you already have the update via webhook. D. Add the current shipping status to the system prompt before the next API call. Correct. This cleanly injects up-to-date system state into context, allowing the assistant to naturally incorporate it into the next response without disrupting the conversation flow.

A. Move all tool responses to a vector database with semantic indexing, retrieving relevant portions as the conversation continues Incorrect. This adds unnecessary infrastructure complexity for a short-lived conversational context problem. B. Extract only return-relevant fields (items, purchase date, return window, status) from each existing order response, removing verbose details Correct. This preserves the information needed for the current task while significantly reducing context bloat before additional lookups. C. Have the model generate a natural language summary of each order's key details, replacing structured responses with prose descriptions Incorrect. Natural language summaries are less compact and may omit structured details needed for accurate return handling. D. Proceed with additional lookups without modifying the existing tool output context Incorrect. This worsens context crowding and increases the risk of degraded performance.

A. Implement post-processing to detect and strip common greeting phrases from response beginnings Incorrect. This is a fragile fix and can accidentally remove useful or context-specific language. B. Add system prompt instructions specifying phrases to avoid, such as "Never begin responses with 'Certainly' or similar affirmations" Correct. This directly addresses the root cause by guiding generation behavior consistently across all turns. It prevents repetition before it happens, rather than cleaning it up afterward. C. Lower the temperature parameter to make response openings more deterministic and less variable Incorrect. Lower temperature reduces variability but often increases repetition patterns, not reduces them. D. Append a partial assistant message with a direct response opening that the model will continue from Incorrect. This can shape a single response style, but it does not reliably eliminate repetitive openings across an entire conversation.

A. Choosing from 18 tools instead of 4­5 relevant ones increases decision complexity beyond reliable selection thresholds. Correct. This is the core issue: as the number of available tools grows, especially across multiple unrelated domains, the model's tool selection accuracy degrades due to increased choice entropy and decision load. Even if each tool is well-described, having too many options in the same context makes it harder for the model to reliably pick the correct one, leading to cross-role tool misuse. Why the others are not correct: B. Role-description conflict Incorrect Role prompts influence behavior, but they don't inherently break tool selection when tools are available. C. Context window usage Incorrect There's no indication of truncation or missing tool definitions--this is a selection problem, not a capacity problem. D. Coordinator tracking issue Incorrect The failure happens at the subagent decision level, not because the coordinator lacks awareness of tools.

A. The model extracts "et al." for co-authors when the full list exists only in an external document not in the input Correct. Retries won't help because the required information is not present in the input context. The model cannot recover missing data through repeated attempts. B. The model extracts citation counts as locale-formatted strings ("1234") when the schema requires integers Incorrect. This is a formatting issue that can be corrected through retries with validation feedback. C. The model extracts dates as ISO 8601 datetime strings ("2003-03-15T00:00:00Z") when the schema requires only the date portion (YYYY-MM-DD) Incorrect. Also a format mismatch, which retries can fix easily. D. The model extracts keywords as a nested object organized by category when the schema requires a flat array of strings Incorrect. This is a structural mismatch that can typically be corrected with retry feedback.

A. Add a confirmation step that requires users to type "CONFIRM DELETE" before delete_file executes. Incorrect. This prevents accidental execution but does not improve the agent's tool selection decision. B. Implement server-side validation that rejects delete_file calls for files tagged as backups, returning an error message suggesting archive_file. Incorrect. This enforces policy after the wrong choice is made but does not directly improve initial selection. C. Expand tool descriptions to clarify use cases, adding guidance like "Do not use for backup files" to delete_file. Correct. Clear, specific descriptions directly influence the agent's tool selection reasoning, making it less likely to choose the wrong tool. D. Add few-shot examples to the system prompt demonstrating that requests involving "backup" or "old" should use archive_file. Incorrect. Helpful, but less direct and less reliable than improving the tool descriptions themselves.

A. In the first assistant message, instructing Claude to follow these guidelines going forward Incorrect. Assistant messages don't reliably control future behavior and can be overridden by later context. B. Prepended to each user message before sending to the API Incorrect. User messages carry less authority than system-level instructions and are less reliable for enforcing behavior. C. In the system prompt Correct. The system prompt is the highest-priority instruction layer, making it the most reliable place to enforce consistent tone, reasoning style, and questioning behavior. D. In environmental variables that your application passes to the API client Incorrect. Environment variables are not part of the model's context and have no effect on behavior unless explicitly included in the prompt.