Ne découvrez pas l'examen
le jour J

Réponse : EC2 est considéré comme un service web serverless.
Explication : EC2 offre une virtualisation complète de serveurs mais nécessite gestion des instances, ce n’est pas du serverless.

Security Hub : agrège les résultats de sécurité de multiples services AWS. Fournit un tableau de bord centralisé pour la visibilité complète et l'orchestration des remédiation.

Réponse : A) AWS WAF. AWS WAF (Web Application Firewall) protège les applications web contre les exploits courants, notamment l'injection SQL et les attaques XSS. Les règles peuvent être configurées pour inspecter les requêtes HTTP/S et bloquer les modèles malveillants correspondants, offrant une protection au niveau applicatif.

Réponse : AWS permet de provisionner des ressources en quelques minutes.
Explication : L’agilité du cloud AWS réside dans sa capacité à déployer et adapter des ressources quasi instantanément selon les besoins du client.

Réponse : Elle a conçu un système tolérant aux pannes.
Explication : La tolérance aux pannes garantit qu’un service reste disponible même en cas de défaillance partielle de l’infrastructure.

Réponse : Ajouter plus d’instances EC2 de même taille pour gérer une augmentation de trafic.
Explication : La scalabilité horizontale consiste à ajouter plusieurs instances similaires pour augmenter la capacité globale, contrairement à la scalabilité verticale.

Réponse : Amazon S3 peut exécuter tout type d’application ou backend / Amazon S3 peut être mis à l’échelle manuellement.
Explication : S3 ne sert pas à héberger des applications et sa scalabilité est automatique, pas manuelle.

Detective : analyse les logs VPC Flow, CloudTrail et GuardDuty pour investiguer les incidents. Crée des graphes d'entités et timelines pour identifier rapidement la cause racine des alertes.

Réponse : Amazon Inspector. Explication : Amazon Inspector est un service automatisé de gestion des vulnérabilités qui analyse continuellement les instances EC2 pour détecter les vulnérabilités de logiciels et l'exposition réseau non intentionnelle. Il contrôle également le respect des bonnes pratiques de sécurité AWS.

Réponse : Networking as a Service (NaaS).
Explication : NaaS n’est pas un modèle officiellement reconnu par AWS. Les trois principaux modèles sont IaaS, PaaS et SaaS.

Modèles génératifs (GAN et diffusion) : apprentissent la distribution statistique complète des données pour générer de nouveaux échantillons fidèles. Les GANs opposent un générateur et un discriminateur en compétition, tandis que les modèles de diffusion affinent progressivement le bruit. XGBoost et ResNet sont discriminatifs (classification), WaveNet s'applique au son : seuls GAN/diffusion capturent les caractéristiques statistiques globales requises pour synthétiser images réalistes.

Amazon Textract : service spécialisé dans l'extraction de texte et de structures (tableaux, formulaires) à partir de documents scannés ou d'images PDF. Essentiel pour le pré-traitement avant RAG, car il convertit les PDFs non-textuels en données exploitables. À différencier : Transcribe traite l'audio, Lex gère les chatbots conversationnels, Personalize optimise les recommandations.

L'IA générative transforme de nombreux processus métier. La génération de résumés automatiques de documents longs (contrats, rapports) réduit le temps d'analyse. Les chatbots intelligents pour le service client répondent de manière contextuelle. La génération de code accélère le développement logiciel. La maintenance prédictive classique ou la détection de fraude reposent généralement sur du ML supervisé, pas sur de la GenAI.

Amazon Q Business est un assistant d'IA générative destiné aux employés d'une entreprise — il répond à des questions métier en exploitant les données internes (SharePoint, S3, Confluence, etc.). Amazon Q Developer est un assistant de codage intégré aux IDE (VS Code, JetBrains) qui génère, explique et corrige du code. Les deux sont des produits distincts optimisés pour des cas d'usage différents : productivité métier vs productivité développeur.

RAG (Retrieval Augmented Generation) : technique qui récupère dynamiquement les passages pertinents des PDFs avant génération, sans charger l'intégralité des documents. Contrairement au fine-tuning coûteux ou au zero-shot imprécis, RAG optimise coût/performance en enrichissant chaque requête avec contexte ciblé via Knowledge Base Bedrock.

Model Invocation Logging enregistre tous les prompts envoyés et les réponses reçues par les modèles de fondation Amazon Bedrock dans Amazon S3 ou CloudWatch Logs, répondant aux exigences d'audit et de conformité. CloudWatch Metrics fournit des métriques de performance, Bedrock Guardrails applique des filtres de contenu (PII, topics interdits), et AWS Config Rules évalue la conformité des ressources AWS.

SageMaker Ground Truth Plus : service managé combinant annotation humaine expert avec révision qualité intégrée. Essentiel pour production car élimine biais d'annotation isolée via boucle humain-machine itérative, validant chaque label. Rekognition automatisé échoue sans révision ; Bedrock classifie après labélisation ; QuickSight analyse post-erreurs. Seul Ground Truth Plus garantit qualité en amont.

Défense en profondeur contre l'injection de prompts : Les templates sécurisés et délimiteurs explicites créent une barrière structurelle entre instructions système et données utilisateur, empêchant leur fusion malveillante. L'IAM least-privilege limite les dégâts post-injection, mais ne prévient pas l'attaque elle-même. La température affecte la créativité, non la sécurité. L'accès public aux données aggrave les risques.

Workflow SageMaker Serverless Inference : L'artefact du modèle doit d'abord résider sur S3 (source obligatoire), ensuite vous créez la ressource modèle SageMaker qui référence cet artefact, puis la configuration d'endpoint serverless définit les paramètres de concurrence/mémoire, et enfin le déploiement instancie l'endpoint. Les autres options inversent cet ordre logique de dépendances.

Knowledge Base Bedrock + RAG injectent seulement les passages nécessaires, réduisant coûts et améliorant la pertinence.

Answer: False.
Explanation: Scrum defines only three roles: Product Owner, Scrum Master, and Developers. There is no 'Project Manager' role in Scrum. The Scrum Master is not a traditional PM.

Answer: Consistent Sprint length throughout development; all Sprints must be 1 month or less.
Explanation: Scrum constrains Sprint length to a maximum of one calendar month. Consistent Sprint lengths establish a predictable development rhythm and make velocity-based forecasting reliable.

Answer: Creates transparency at Sprint Review; guides Sprint Planning forecast; defines release readiness.
Explanation: The Definition of Done serves multiple purposes: it provides a transparent measure of completeness for inspection, guides capacity forecasting during planning, and defines when an Increment is potentially releasable.

Answer: Dev Team decides work; no titles for members; lightweight framework.
Explanation: Scrum promotes self-organization through: the Development Team choosing their own work, removing specialization titles to encourage cross-functionality, and being a framework (not a prescribed process) that allows teams to organize as needed.

Answer: The Scrum Team, in a collaborative effort.
Explanation: The entire Scrum Team creates the Definition of Done collaboratively. If the organization has standards, those become the minimum. The team may only strengthen, not weaken, organizational standards.

Product Backlog Refinement: the ongoing process of adding detail, estimates, and order to Product Backlog items to prepare them for Sprint execution. This ensures items are ready and understood before Sprint Planning, enabling efficient sprints. Unlike Sprint Reviews (which inspect completed work) or Sprint Goals (which emerge from refinement), refinement is a continuous activity, not a ceremony.

Sprint Goal: A single, cohesive objective that guides the Sprint and provides purpose beyond individual Product Backlog items. It enables flexibility in how work is accomplished while maintaining focus, distinguishing it from a fixed list of tasks or velocity metrics.

Answer: They will improve their Definition of Done to include more stringent criteria.
Explanation: As Scrum Teams mature, they build quality into their process by continuously raising their standards. A more rigorous DoD reflects improved engineering practices and reduced technical debt.

Scrum Master Role: A servant leader who facilitates Scrum processes and removes impediments, not a traditional project manager. The Scrum Master serves the team, Product Owner, and organization, enabling self-organization rather than directing work or assigning tasks, which distinguishes this role from command-and-control project management.

Answer: Whoever the Development Team decides should start.
Explanation: The Daily Scrum is owned by the Development Team. They decide the format and structure, including who opens the meeting, without guidance from the Scrum Master or Product Owner.

Answer: How the team collaborates; identifying high-priority process improvements for the next Sprint.
Explanation: The Sprint Retrospective focuses on the team's working relationships, processes, tools, and practices. The goal is to identify improvements that can be implemented in the next Sprint.

Answer: Improve the clarity and sizing of backlog items.
Explanation: Refinement reduces uncertainty, improves understanding, and prepares items for future selection. It is an ongoing activity, not a formal event.

Key concept: Scrum Master as Facilitator and Impediment Remover. The Scrum Master is accountable for facilitating all Scrum events (Sprint Planning, Daily Standup, Sprint Review, Sprint Retrospective) and serving the Scrum Team by removing organizational and technical impediments that block progress. While the Product Owner prioritizes the backlog and the team executes work, only the Scrum Master holds the explicit responsibility for facilitation and impediment removal. Project Managers and Architects have different roles outside the Scrum framework and lack this accountability.

Product Backlog Transparency: The Product Owner is solely accountable for maintaining a clear, well-organized, and understandable Product Backlog that all stakeholders—including the Scrum Team, executives, and customers—can comprehend. This transparency enables informed decision-making, reduces misunderstandings, and ensures alignment on priorities. While the Scrum Master facilitates Scrum processes and Developers implement items, neither bears responsibility for backlog clarity. The Product Owner must continuously refine, order, and communicate backlog items to create shared understanding of what will be built and why.

Valid ordering criteria include risk, customer importance, business strategy alignment, and inter-item dependencies — all of which directly inform value optimization. Tools and techniques are means to an end, not a criterion themselves. Selecting items based on which tool is available (e.g., what fits in a spreadsheet) would subordinate business judgment to tooling constraints. The Product Owner must order based on outcome-oriented criteria.

Answer: To inspect the product Increment with stakeholders and collect feedback on next steps.
Explanation: The Sprint Review creates a feedback loop between the Scrum Team and stakeholders. By demonstrating the actual Increment, the team gains input that shapes future Product Backlog ordering and product direction.

Answer: One single Product Backlog per product.
Explanation: There is only one Product Backlog per product, even if multiple Scrum Teams work on the same product.

Waste in the Product Backlog comes from over-specification and hoarding stale items. Only fully describing PBIs when they are likely to be implemented prevents wasted elaboration on features that will never be built. Removing items not addressed in a long time keeps the backlog actionable and honest. Maintaining a parallel list or handing off ownership both create transparency problems and dilute accountability.

Key concept: Stakeholder collaboration as a core PO responsibility. The Product Owner must actively engage with stakeholders—including customers, users, business leaders, and team members—to gather, clarify, and prioritize their needs. This collaboration directly informs the Product Goal and Product Backlog, ensuring the team builds the right product that delivers genuine value. Without understanding stakeholder needs, the PO cannot make informed decisions about what to build, why it matters, or how to order work effectively. This is not optional; it's foundational to Scrum's empirical approach, enabling transparency and alignment across the organization.

Sprint Backlog figé : Le sprint backlog est verrouillé au démarrage du sprint pour garantir la stabilité et prévisibilité. Les nouvelles demandes du Product Owner doivent être ajoutées au Product Backlog et priorisées pour les sprints futurs, respectant ainsi les principes agiles d'adaptation planifiée, non réactive.

L’orientation valeur implique d’évaluer l’impact (coût, risques, qualité) avant d’accepter une contrainte de délai. Une analyse d’impact permet d’éclairer la décision et le compromis valeur/contraintes.

Matrice de traçabilité des exigences : document qui établit des liens bidirectionnels entre chaque exigence et ses livrables correspondants. Elle garantit que toutes les exigences sont couvertes et que chaque livrable répond à une exigence identifiée. Contrairement à la charte (document de lancement) ou au plan de communication (diffusion d'informations), seule cette matrice assure la traçabilité complète requise.

Gestion des connaissances en projet (Knowledge Management) : processus structuré permettant de capturer, organiser, partager et utiliser les apprentissages pour améliorer la performance organisationnelle. Selon le PMBOK 7e édition et les bonnes pratiques de gestion de projet, cette démarche suit une séquence logique immuable.

Pourquoi cet ordre spécifique est optimal : D'abord, collecter les connaissances est l'étape fondatrice : elle implique d'identifier, documenter et capturer les informations pertinentes issues de l'expérience terrain, des leçons apprises, des décisions prises et des résultats obtenus. Sans cette collecte systématique, on perd les apprentissages critiques. Ensuite, structurer et organiser transforme les données brutes en information exploitable : création de taxonomies, classement par thèmes, formats standardisés, métadonnées claires. Cette organisation préalable est essentielle car elle rend la connaissance accessible et compréhensible. Puis, partager avec l'équipe diffuse ces connaissances structurées via des canaux appropriés (bases de données, wikis, réunions, formations, mentorat). Le partage doit intervenir après la structuration, sin

Livraison de valeur comme paradigme central du PMBOK 7ème édition : Le PMBOK 7 marque un tournant majeur en plaçant la création et la livraison de valeur au cœur de la gestion de projet, dépassant l'approche traditionnelle basée sur le respect rigide du triangle fer (délai, coût, qualité). La valeur ne se limite pas aux livrables tangibles, mais englobe les bénéfices tangibles et intangibles apportés aux parties prenantes. Cette affirmation est exacte car elle reflète le changement de paradigme : un projet peut respecter parfaitement son plan initial (budget, calendrier, spécifications) sans pour autant créer la valeur attendue pour le client ou l'organisation. À l'inverse, une déviation stratégique du plan peut générer une valeur supérieure si elle répond mieux aux besoins réels du client. Cette approche s'applique à tous les types de projets, indépendamment de la méthodologie (Waterfall, Agile ou hybride). Contrairement à l'option 2, la conformité au plan n'est qu'un moyen, non une fin. Contrairement à l'option 3, la valeur évolue tout au long du projet via les retours des parties prenantes. Contrairement à l'option 4, ce principe s'applique universellement, pas seulement en

SPI (Schedule Performance Index) : rapport entre le travail réalisé et le travail prévu (SPI = EV/PV). Un SPI de 0,8 signifie que seuls 80% du travail prévu ont été complétés au moment prévu. Le projet avance donc à 80% de la cadence attendue, indiquant un retard sur le calendrier. Contrairement à une avance (SPI > 1), cette sous-performance confirme un glissement de délai.

Elle permet d’anticiper et de traiter rapidement les demandes de changement, réduisant les impacts négatifs et maximisant la valeur générée.

Le domaine Incertitude du PMBOK 7 : Ce domaine de performance représente la capacité à naviguer dans un environnement complexe et imprévisible. L'identification proactive des risques et des opportunités en est le fondement, car elle permet aux chefs de projet d'anticiper les événements qui pourraient impacter positivement ou négativement les objectifs du projet. Cette approche proactive, inspirée par les principes agiles, contraste avec une gestion réactive des problèmes. Le PMBOK 7 insiste sur la distinction entre les risques (menaces) et les opportunités (avantages potentiels), reconnaissant que l'incertitude n'est pas seulement négative. L'identification proactive signifie chercher activement, dès le démarrage, les sources d'incertitude plutôt que d'attendre qu'elles se manifestent. Les autres options, bien qu'importantes dans la gestion globale des risques, ne caractérisent pas spécifiquement le domaine Incertitude selon le PMBOK 7 : l'évaluation d'impact est une étape ultérieure, et la préparation aux événements imprévus relève davantage de la réactivité. L'exécution quotidienne selon le calendrier appartient au domaine Livraison, non à celui de l'Incertitude.

Diagramme de réseau (PERT/CPM) : Outil fondamental de planification qui représente graphiquement l'ensemble des activités du projet et leurs interdépendances logiques. Chaque activité est représentée par un nœud ou une flèche, reliée aux autres par des liens de dépendance (fin-début, début-début, fin-fin, début-fin). Ce diagramme permet d'identifier le chemin critique, les marges de manœuvre et la durée minimale du projet. C'est l'outil par excellence pour visualiser comment les activités s'enchaînent et s'influencent mutuellement.

Pourquoi les autres options sont incorrectes : Le diagramme de Pareto analyse la distribution des problèmes (loi 80/20), l'histogramme affiche les ressources ou données quantitatives dans le temps, et le diagramme d'Ishikawa (causes-effets) explore les causes de problèmes qualité. Aucun n'est conçu pour montrer les relations séquentielles entre activités. Selon le PMBOK 7e édition, le diagramme de réseau est le livrable clé du processus de planification de l'ordonnancement (Sequence Activities), indispensable pour la gestion efficace des dépendances et l'analyse du chemin critique.

Évaluation holistique de performance : même un excellent technichien impacte la productivité globale s'il crée des conflits. Évaluer les deux dimensions (technique + relationnel) et co-construire un plan d'amélioration reconnaît le problème et permet un développement équilibré.

Cette question correspond à l\'objectif d\'apprentissage FL-5.1.7 (K2) - Résumer les quadrants du test et leurs relations avec les niveaux et les types de tests.

La bonne réponse est b) :

1. Test d\'accessibilité - Orienté métier, critique du produit (C)
2. Test unitaire - Orienté technologie, support à l\'équipe de développement (A)
3. Test d\'acceptation utilisateur - Orienté métier, critique du produit (C)
4. Test de performance - Orienté technologie, critique du produit (D)
● a) Faux → Le test d\'acceptation utilisateur est en C (orienté métier, critique du produit), pas en B.
● b) Correct → Toutes les correspondances sont correctes.
● c) Faux →- Le test d\'accessibilité est en C, pas en D, et le test de performance est en D, pas en B.
● d) Faux → Le test d\'accessibilité est en C, pas en D, et le test unitaire est en A, pas en B.

Cette question correspond à l\'objectif d\'apprentissage FL-4.2.1 (K3) - Utiliser les partitions d\'équivalence pour dériver les cas de test.
● a) Faux → car ne couvre pas la partition \"longueur incorrecte\".
● b) Correct → La réponse correcte est b) 12345, 123AB, 12A, A12.
○ \"12345\" couvre \"longueur correcte\" et \"nombre de chiffres correct\"
○ \"123AB\" couvre \"longueur correcte\" et \"nombre de chiffres correct\"
○ \"12A\" couvre \"longueur incorrecte\" et \"nombre de chiffres incorrect\"
○ \"A12\" couvre \"longueur incorrecte\" et \"nombre de chiffres incorrect\"
● c) Faux → car ne couvre pas la partition \"nombre de chiffres incorrect\".
● d) Faux → car ne couvre pas toutes les partitions.

Cette question correspond à l’objectif d’apprentissage FL-3.2.5 (K1) – Rappeler les facteurs qui contribuent à la réussite d\'une revue.

● a) Correct → Impliquer activement les parties prenantes assure une meilleure
qualité des revues et des retours pertinents.
● b) Faux → Encourager la discussion permet d’identifier plus efficacement les problèmes.
● c) Faux → Un modérateur aide à structurer la revue et à maintenir son efficacité.
● d) Faux → Les revues formelles sont aussi importantes que les revues informelles.

Cette question correspond à l’objectif FL-2.2.2 (K2) – Distinguer les différents types de tests.
La réponse correcte est a) 1A, 2C, 3B, 4D
● 1)A : Correct : Régression = vérifier que rien n’a été cassé par un changement.
● 2)C : Correct : Confirmation = retester une correction spécifique.
● 3)B : Correct : Acceptation = répondre aux besoins métier.
● 4)D : Correct : Intégration = test des interfaces entre composants.

Cette question correspond à l’objectif d\'apprentissage FL-2.1.2 (K1) – Rappeler les bonnes pratiques de test qui s\'appliquent à tous les cycles de vie du développement logiciel.

● a) Faux → Les tests doivent couvrir plusieurs niveaux (unitaires, intégration, système, acceptation), et pas uniquement l’interface utilisateur.
● b) Faux → Attendre la fin du développement pour tester expose le projet à un risque accru de corrections coûteuses en fin de cycle.
● c) Faux → La documentation des tests est essentielle pour assurer la traçabilité et la reproductibilité des tests.
● d) Correct → Tester tôt est une bonne pratique universelle, car plus un défaut est détecté tôt, moins il est coûteux à corriger.

Cette question correspond à l\'objectif d\'apprentissage FL-5.1.7 (K2) - Résumer les quadrants du test et leurs relations avec les niveaux et les types de tests.

● a) Faux → Ces caractéristiques correspondent plutôt aux quadrants Q1 et Q3.
● b) Faux → Ces tests sont typiques des quadrants Q2.
● c) Correct→ Le quadrant Q4 (support de l\'équipe) inclut les tests de programmation, de configuration et les outils qui soutiennent l\'équipe de développement.
● d) Faux → Les tests de charge et de sécurité appartiennent principalement au
quadrant Q3.

Cette question correspond à l\'objectif d\'apprentissage FL-2.1.4 (K2) - Résumer la façon dont DevOps pourrait avoir un impact sur le test.
● a) Faux → Dans DevOps, les tests deviennent plus critiques, pas moins importants, car les déploiements fréquents augmentent le besoin de détection rapide des
problèmes.
● b) Faux → DevOps encourage la collaboration et le partage des responsabilités, mais n\'élimine pas le besoin d\'expertise en test. Les compétences spécialisées en test restent valorisées.
● c) Faux → DevOps ne préconise pas de tester principalement en production. Au contraire, il encourage le test approfondi avant le déploiement, mais dans des
environnements qui reflètent fidèlement la production.
● d) Correct → Cette réponse décrit correctement l\'impact principal de DevOps : l\'automatisation des tests et l\'intégration continue permettent un feedback plus rapide et facilitent les déploiements fréquents et fiables.

Cette question correspond à l’objectif d\'apprentissage FL-2.1.4 (K2) - Résumer la façon dont DevOps pourrait avoir un impact sur le test.

La bonne réponse est c) i, ii, iv ont une influence significative ; iii non.

● i) Correct → DevOps nécessite un équilibre entre tests automatisés et manuels.
● ii) Correct → Les cycles de livraison rapides imposent des tests rapides et efficaces.
● iii) Faux → DevOps ne se limite pas aux tests de non-régression, d’autres types de tests sont nécessaires.
● iv) Correct → Assurer la stabilité de l’environnement de test est crucial en intégration continue.

Cette question correspond à l’objectif d\'apprentissage FL-6.1.1 (K2) – Expliquer comment différents types d\'outils de test soutiennent les tests.

● a) Faux → Les outils d’exécution et de couverture des tests sont conçus pour automatiser et mesurer l’exécution des tests, mais ne gèrent pas l’organisation des cas de test et des défauts.
● b) Faux → Les outils de test de non-régression sont utilisés pour vérifier que les modifications apportées au code n’introduisent pas de nouveaux défauts, mais ils ne gèrent pas directement les cas de test et les défauts.
● c) Correct → Les outils de gestion des tests permettent de structurer, suivre et centraliser les cas de test, les défauts détectés et les configurations de test.
● d) Faux → Les outils d’analyse statique examinent le code source sans exécuter le programme, mais ne permettent pas de suivre la gestion des tests et des défauts.

Cette question correspond à l’objectif d’apprentissage FL-5.4.1 (K2) – Résumer la manière dont la gestion de configuration soutient les tests.

● a) Faux → Ce serait insuffisant, et trop simpliste.
● b) Faux → Ce n’est ni lié à la vitesse ni au type de test.

● c) Correct → C’est l’essence même de la gestion de configuration dans un contexte de test multi-version.

● d) Faux → Cela relève du contrôle de version de code, pas du test.

Un employé a cliqué sur un lien dans un e-mail frauduleux et a saisi ses identifiants sur un faux site. C’est typiquement une attaque de phishing, qui consiste à tromper la victime pour obtenir des informations sensibles via un site ou un message imitant une source légitime.

Redundancy and Availability: Redundant servers maintain data availability by distributing workloads across multiple systems. If one server fails, others automatically continue operations without service interruption. This addresses the availability pillar of CIA triad. Encryption (A) protects data confidentiality, firewalls (B) control access, and VPNs (C) secure communications—none ensure availability during failures.

Answer: Sensitive.
Explanation: Patient data (PHI — Protected Health Information) is classified as sensitive due to HIPAA requirements and patient privacy expectations. Sensitive data requires strict access controls, encryption, and audit logging.

Jailbreaking: the process of removing manufacturer security restrictions from mobile devices, allowing users to install unauthorized apps and modify system settings. In BYOD environments, this creates significant risks including malware installation, data breach exposure, and loss of device management control. Unlike buffer overflow (memory exploit), VM escape (hypervisor vulnerability), or end of life (device obsolescence), jailbreaking represents a deliberate user action that directly undermines mobile security frameworks essential for protecting corporate data on personal devices.

Un appel demandant un mot de passe sous prétexte d’urgence est une attaque de social engineering, exploitant la confiance et la peur.

Social Engineering: manipulation of human psychology to extract sensitive information through deception rather than technical exploits. Calling to request passwords exploits trust and urgency, not system vulnerabilities. Malware requires code execution, DoS floods networks, and SQL injection targets databases—none involve psychological manipulation of users.

Answer: Honeypot.
Explanation: A honeypot is a decoy system designed to attract and observe attacker activity without affecting production servers. It provides threat intelligence about attacker methods, tools, and objectives while keeping real systems protected.

SIEM (Security Information and Event Management) aggregates and correlates log data from multiple sources (firewalls, IDS, servers, applications) to detect patterns indicative of attacks. It can correlate the failed logins (from one IP) with the successful login (from a different country) and trigger an alert. Without a SIEM, analysts would need to manually review dozens of disparate log sources. IDS detects individual events. Vulnerability scanner finds weaknesses. DLP prevents data exfiltration.

Risk Assessment: A systematic process of identifying, analyzing, and evaluating potential threats and vulnerabilities to organizational assets. This foundational activity enables prioritization of security controls by determining likelihood and impact. Unlike threat modeling (theoretical analysis), penetration testing (hands-on validation), or incident response (reactive management), risk assessment provides the strategic foundation for security planning.

End-of-Life Operating Systems: When vendors stop supporting an OS, security patches cease entirely, leaving systems vulnerable to known exploits. Attackers actively target unpatched systems. Power consumption, performance, and licensing costs remain unchanged regardless of support status, making them irrelevant to this security risk.

Réponse : Azure Data Lake Storage. Explication : Azure Data Lake Storage Gen2 fournit un espace de noms hiérarchique et des ACL conformes à POSIX au niveau des fichiers et des dossiers, permettant un contrôle d'accès granulaire pour les charges de travail d'analyse du Big Data. Le stockage Blob Azure standard utilise Azure RBAC mais pas les ACL POSIX.

Clé primaire : colonne ou ensemble de colonnes garantissant l'unicité de chaque enregistrement dans une table relationnelle. Elle empêche les doublons et permet l'identification précise des données. Contrairement aux clés étrangères (qui créent des relations entre tables) ou aux index (qui optimisent les performances), la clé primaire est fondamentalement un mécanisme d'intégrité et de distinction des données.

Data Lake vs Data Warehouse : Le Data Lake est un référentiel massif stockant des données brutes, non structurées ou semi-structurées (logs, images, JSON), en attente de traitement. Le Data Warehouse, lui, contient des données nettoyées, transformées et organisées en schémas relationnels, prêtes pour l'analyse décisionnelle. Cette différence fondamentale explique leurs usages distincts : exploration flexible pour le Data Lake, requêtes rapides et ciblées pour le Data Warehouse.

Réponse correcte : Les données semi-structurées possèdent une organisation partielle grâce à des balises, métadonnées ou marqueurs (comme les tags en JSON ou XML), mais sans schéma rigide comme les bases de données relationnelles. Cette nature « intermédiaire » les distingue des données structurées et non-structurées. Pourquoi les autres réponses sont incorrectes : • La première réponse décrit les données structurées (lignes et colonnes fixes avec schéma défini). • La troisième concerne les données non-structurées (images, audio, vidéo sans métadonnées organisées). • La quatrième mélange à tort le chiffrement avec la classification des types de données.

ETL signifie « Extract, Transform, Load », un processus fondamental en ingénierie des données qui consiste à extraire les données de sources diverses, les transformer pour les nettoyer et les structurer selon les besoins, puis les charger dans un système cible comme un data warehouse. Les autres options sont incorrectes : « Transfer » n'est pas le terme utilisé (c'est « Transform »), « Launch » n'a aucun sens dans ce contexte, « Evaluate » et « Log » ne font pas partie de ce processus standardisé, et « Export » et « Translate » ne correspondent pas aux étapes réelles de l'ETL.

Apache Spark est un moteur de traitement distribué open-source pour le Big Data, capable de traiter de très grands volumes en mémoire (beaucoup plus rapide qu'Hadoop MapReduce). Dans Azure, Spark est disponible via : Azure Synapse Analytics (Spark pools intégrés dans le workspace analytique), Azure Databricks (plateforme Spark managée premium, optimisée pour la data science et ML), et Azure HDInsight (clusters Hadoop/Spark managés). Spark supporte Python (PySpark), Scala, R et SQL. Il est utilisé pour le traitement batch, le streaming et le machine learning distribué.

Réponse : CREATE. Explication : Les instructions DDL (Data Definition Language) définissent et modifient la structure de la base de données : CREATE (créer des objets), ALTER (modifier des objets), DROP (supprimer des objets), TRUNCATE (vider des tables). CREATE est un exemple classique de DDL — il crée des objets de base de données comme les tables, les vues et les index.

Azure Event Hubs est le service idéal pour ingérer des millions d'événements par seconde en provenance de dispositifs IoT ou d'applications, car il est spécialement conçu pour la capture de données en temps réel et à grande échelle. Pourquoi les autres réponses sont incorrectes : Azure Blob Storage est optimisé pour le stockage d'objets volumineux mais pas pour l'ingestion d'événements en temps réel. Azure SQL Database est une base de données relationnelle transactionnelle, non adaptée à l'ingestion massive d'événements. Azure Table Storage est un stockage NoSQL pour des données structurées, pas pour le streaming d'événements haut débit.

Réponse correcte : La normalisation est un processus de conception de base de données relationnelle qui organise les tables pour éliminer la redondance des données et améliorer l'intégrité. Elle suit des règles (formes normales) pour structurer les données de manière efficace. Pourquoi les autres réponses sont incorrectes : • Conversion de format : c'est une transformation de données, pas de la normalisation. • Chiffrement TDE : c'est une mesure de sécurité, complètement indépendante de la normalisation. • Création d'index : c'est une optimisation de performance, non une normalisation.

Réponse : État des mouvements et soldes d'immobilisations
L'Asset History Sheet (AHS) est le rapport standard AA qui présente, pour chaque immobilisation, les valeurs de début de période, les acquisitions, les cessions, l'amortissement planifié et non planifié, et la valeur nette en fin de période. C'est le rapport de référence pour l'audit et la clôture.

Réponse correcte : Les 'Types de Taux de Change' permettent de maintenir différents taux de change pour différents objectifs (taux moyen, taux d'achat/vente bancaire, etc.). C'est essentiel en FI car différentes transactions peuvent nécessiter différents taux selon le contexte commercial. Pourquoi les autres réponses sont incorrectes : Les taux de change ne définissent pas les conditions de paiement (confusion avec les conditions de paiement standard), ne définissent pas la devise de base du système (définie au niveau de l'instance SAP), et ne déterminent pas les méthodes de consolidation (c'est le rôle de la configuration de consolidation dans SAP Analytics Cloud ou EC-CS).

Réponse : GGB1
La transaction GGB1 (Validations) permet de définir des règles de validation qui vérifient les données saisies dans les documents comptables avant leur enregistrement. Par exemple : bloquer une écriture si un compte de charges est utilisé avec un centre de profit non autorisé. C'est un outil de contrôle de saisie en temps réel.

Réponse : Segment (champ SEGMENT)
Le Segment est l'objet d'organisation FI utilisé pour le reporting sectoriel selon IFRS 8. Via le Document Splitting, chaque écriture comptable est décomposée par segment, permettant de produire des états financiers équilibrés par secteur d'activité.

Réponse correcte : Une Transaction G/L Spéciale dans SAP FI est une transaction qui utilise un compte de rapprochement alternatif au lieu du compte client/fournisseur standard. Les exemples typiques sont les acomptes et les garanties, qui nécessitent un suivi distinct. Pourquoi les autres réponses sont incorrectes : La première option est trop restrictive (non limitée aux devises étrangères) ; la troisième confond avec les ajustements de fin de période ; la quatrième décrit les enregistrements interentreprises (qui utilisent des comptes de compensation, pas des Transactions G/L Spéciales). Les Transactions G/L Spéciales sont définies par l'utilisation d'un compte de rapprochement alternatif, indépendamment du type de devise ou de période.

Réponse correcte : Les Groupes de Tolérances dans SAP FI sont utilisés pour définir les différences de paiement acceptables et les tolérances d'arrondi lors du lettrage des articles ouverts. Cela permet l'automatisation du règlement pour les petites différences sans intervention manuelle. Pourquoi les autres réponses sont incorrectes : Le regroupement des comptes G/L par comportements de saisie concerne la structure comptable, non les tolérances. Limiter les documents saisis par jour concerne les contrôles d'accès utilisateur. Définir les seuils de variance d'inventaire appartient à la gestion des stocks (MM), non à la comptabilité financière (FI).

Cost of Goods Sold (COGS) est la définition exacte du COGS posting en SAP S/4HANA. Lors d'une sortie de stock (goods issue), le système génère automatiquement une écriture comptable qui débite un compte de charge COGS et crédite le compte de stock, transférant ainsi la valeur de l'inventaire en dépense. Cost of Goods Supplied se réfère à un document fournisseur, Certificate of Goods Shipment est un document logistique de livraison, et Cost of General Services concerne une allocation périodique de centre de coûts. Aucune de ces options ne décrit le mécanisme automatique de comptabilisation déclenché par une sortie de stock.

Réponse : Code société. Explication : Un établissement permanent ayant ses propres exigences de reporting financier statutaire est représenté comme un code société distinct dans SAP. Cela fournit à l'entité juridique son propre bilan, compte de résultat et la capacité à produire des états financiers autonomes comme requis par la loi suisse.

Réponse : Des services OData (SAP Gateway).
Explication : Les services OData exposent les opérations CRUD vers les modèles UI5 ; ils sont publiés et sécurisés via le Gateway.

Réponse : Dans la méthode de valorisation (zone de valorisation)
Les comptes d'écarts utilisés lors de la valorisation des postes ouverts (réalisation des gains/pertes de change non réalisés) sont définis dans la méthode de valorisation, accessible via la zone de valorisation. Ces comptes reçoivent les ajustements de fin de période.

La loi du 9 décembre 1905 consacre le principe de laïcité : séparation de l'État et des religions, liberté de conscience, neutralité de l'espace public institutionnel. L'État ne reconnaît ni ne finance aucun culte. L'égalité hommes/femmes est un principe constitutionnel distinct. Le droit de vote à 18 ans date de 1974 (abaissement de la majorité). La gratuité scolaire résulte des lois Jules Ferry de 1881-1882, antérieures à 1905.

Statut de l'UE : La Norvège, bien que située en Europe et étroitement liée à l'UE par l'Espace économique européen, n'en est pas membre. Elle a refusé l'adhésion par référendum. Portugal, Grèce et Slovaquie sont tous des États membres de l'Union Européenne.

Depuis la réforme constitutionnelle de 2000 (référendum), le mandat présidentiel est passé de 7 ans (septennat) à 5 ans (quinquennat). Cette réforme visait à aligner le mandat présidentiel avec celui des députés de l'Assemblée nationale et à réduire les risques de cohabitation prolongée. Le premier quinquennat fut celui de Jacques Chirac élu en 2002. Avant 2000, tous les présidents depuis de Gaulle avaient un mandat de 7 ans.

Conseil constitutionnel : instance qui garantit le respect de la Constitution française. Il contrôle que les lois votées par le Parlement sont conformes à la Constitution avant leur application, et valide la régularité des élections présidentielles et législatives. Contrairement au gouvernement (qui exécute) ou au Parlement (qui légifère), il joue un rôle de garde-fou démocratique.

Le Président de la République est le chef de l'État en France. Il est élu au suffrage universel direct pour un mandat de 5 ans (quinquennat). Il incarne l'unité nationale, garantit les institutions, nomme le Premier ministre, préside le Conseil des ministres et est chef des armées. Le Premier ministre est le chef du gouvernement (rôle distinct). Le Président du Sénat assure l'intérim si la présidence devient vacante.

La Constitution du 4 octobre 1958 est la loi fondamentale de la Ve République. Elle définit les institutions, les pouvoirs du Président, du gouvernement et du Parlement. Son préambule renvoie à la Déclaration de 1789 et au préambule de 1946 (qui consacre les droits sociaux). La Constitution de 1946 était celle de la IVe République. La Déclaration de 1789 et le préambule de 1946 ont valeur constitutionnelle mais ne constituent pas à eux seuls la loi fondamentale actuelle.

La séparation des trois pouvoirs : fondement de la démocratie française établi par la Constitution. Le pouvoir législatif (Parlement) crée les lois, le pouvoir exécutif (Président, Gouvernement) les applique, et le pouvoir judiciaire (tribunaux) les interprète. Cette séparation empêche la concentration du pouvoir et protège les libertés individuelles. Deux, quatre ou cinq pouvoirs ne correspondent pas à la structure constitutionnelle française.

La Marseillaise a été composée par Rouget de Lisle dans la nuit du 25 au 26 avril 1792 à Strasbourg, sur demande du maire Philippe-Frédéric de Dietrich. Elle s'intitulait initialement « Chant de guerre pour l'armée du Rhin » après la déclaration de guerre à l'Autriche. Elle est popularisée à Paris par les fédérés de Marseille (d'où son nom) lors de leur montée sur Paris en juillet 1792. Hymne national en 1795 sous la Ire République, puis à nouveau depuis 1879 sous la IIIe République. Son premier couplet et le refrain sont officiellement chantés.

Louis XVI était roi de France au début de la Révolution française. Couronné en 1774, il fut contraint de convoquer les États généraux en 1789 face à la crise financière, déclenchant ainsi la Révolution. Il fut arrêté en 1792, jugé par la Convention nationale et guillotiné le 21 janvier 1793. Louis XIV (le Roi Soleil) régna de 1643 à 1715. Napoléon Bonaparte prit le pouvoir après la Révolution (Consulat 1799, Empire 1804-1814/1815).

Le Parlement est l'organe législatif composé de l'Assemblée nationale et du Sénat. Il détient le pouvoir de voter les lois en France. Le Président exécute les lois, le Conseil constitutionnel les contrôle, et le Conseil d'État donne des avis consultatifs.

Réponse : Les principes directeurs peuvent guider une organisation en toutes circonstances.
Explication : Les principes directeurs ITIL 4 sont universels et s\'appliquent en toutes circonstances, à toute organisation et tout type de projet ou initiative, quelle que soit la situation.

Réponse : Les coûts supprimés par le service et les coûts imposés par le service.
Explication : Le consommateur d\'un service doit évaluer les coûts supprimés (ce qu\'il n\'a plus à gérer) et les coûts imposés (ce qu\'il doit payer), pour déterminer si la valeur nette est positive.

Réponse : L\'utilisateur ou son représentant autorisé.
Explication : En ITIL 4, ce sont les utilisateurs (ou leurs représentants autorisés) qui soumettent des demandes de services, car ils sont les consommateurs directs des services fournis.

Réponse : Rôles et responsabilités.
Explication : La dimension \'Information et technologie\' couvre les données, systèmes d\'information et outils. Les rôles et responsabilités appartiennent à la dimension \'Organisations et personnes\'.

Réponse : Une demande d\'un utilisateur concernant quelque chose qui fait partie intégrante de la fourniture normale des services.
Explication : La gestion des demandes de services prend en charge les demandes standard faisant partie de la fourniture normale des services, comme une réinitialisation de mot de passe ou la commande d\'un équipement.

Réponse : La gestion des niveaux de service.
Explication : La gestion des niveaux de service définit et suit les métriques reflétant l\'expérience réelle du client, en établissant des accords sur la qualité du service fourni.

Réponse : Les centres de services doivent comprendre l\'organisation dans son ensemble.
Explication : Les centres de services doivent avoir une compréhension globale de l\'organisation pour orienter correctement les utilisateurs, comprendre les impacts des incidents et prioriser les demandes.

Réponse : Offre de service.
Explication : Une offre de service est un ensemble de produits et services proposé à un consommateur. Le package (ordinateur + logiciels + licences + support) constitue une offre de service complète et packagée.

Réponse : Résultats souhaités par une partie prenante.
Explication : Les résultats (outcomes) sont les effets souhaités par une partie prenante. Ils diffèrent des livrables (outputs) : le résultat est la valeur créée pour le consommateur, pas le produit livré.

Réponse : Pour planifier les changements et éviter les conflits.
Explication : Le calendrier des changements sert principalement à planifier les changements et à prévenir les conflits entre eux, en offrant une vue consolidée de tous les changements prévus.

• Les labels de sensibilité doivent être publiés via une stratégie de labels et les utilisateurs doivent être inclus dans la portée pour que les labels apparaissent dans Office Online.

• Si la stratégie n’inclut pas PowerPoint Online ou si l’utilisateur n’est pas dans la portée, les labels n’apparaîtront pas.

• Les autres options ne sont pas pertinentes pour PowerPoint Online :

  • B : Azure RMS connector concerne les scénarios hybrides et on-premises.

  • C : La synchronisation des apps Purview sur le poste local n’affecte pas Office Online.

  • D : Le client AIP Unified Labeling est pour les applications desktop, pas pour Office Online.

• onditional Access + Intune compliance policies permet de :

  • Vérifier que les appareils respectent les règles de sécurité avant de leur donner accès aux services Microsoft 365 (Exchange, SharePoint, Teams, etc.)

• Cette fonctionnalité nécessite Microsoft 365 (E3/E5) avec Azure AD Premium P1, et n’est pas disponible dans un Office 365 standalone.

• Les autres options ne gèrent pas le contrôle d’accès basé sur la conformité des appareils :

  • A : DLP protège les données mais ne contrôle pas l’accès selon la conformité des appareils.

  • C : Gestion de base des apps mobiles ne couvre pas l’accès aux services cloud.

  • D : Multi-Geo gère la localisation des données, pas la conformité des appareils.

• La section Token Usage :

  • Montre le nombre total de tokens AI utilisés par votre organisation sur une période donnée.

  • Permet de suivre l’utilisation et estimer les coûts liés à l’usage de Copilot.

• Les autres sections ne fournissent pas cette information :

  • User Engagement → suit l’activité des utilisateurs avec Copilot.

  • Prompt Library → contient les prompts enregistrés et réutilisables.

  • Security Insights → fournit des informations de sécurité et de conformité.

    🎯 À retenir pour l’examen MS-900 :

    • Token Usage = suivi de la consommation de tokens et des coûts Copilot

    • Les autres sections se concentrent sur activité utilisateur, sécurité ou prompts.

• Les abonnements Microsoft 365 peuvent être renouvelés automatiquement avec des méthodes de paiement directes comme :

  • Carte de crédit

  • Prélèvement bancaire

  • PayPal

• La facturation par invoice (facture) nécessite un paiement manuel pour chaque période, donc le renouvellement automatique n’est pas possible.

Dans Microsoft Lists, la mise en forme de colonne (Column formatting) permet d’appliquer un style visuel conditionnel à une colonne spécifique.

👉 Elle permet notamment :

• De modifier la couleur d’arrière-plan

• De changer la couleur du texte

• D’ajouter des icônes

• D’appliquer des règles conditionnelles (ex : si la valeur < seuil → fond rouge)

Cette fonctionnalité utilise du JSON en arrière-plan, mais du point de vue fonctionnel, la capacité recherchée est bien la mise en forme de colonne.

• Dans Microsoft Stream, on peut contrôler :

  • Qui peut regarder une vidéo (exiger l’authentification)

  • Si la vidéo peut être téléchargée (désactiver le téléchargement)

• Cette configuration garantit que seuls les employés authentifiés peuvent accéder au contenu et qu’aucun téléchargement n’est possible.

• Les autres options ne répondent pas au besoin :

  • A : OneDrive sync ne concerne pas Stream.

  • B : Désactiver l’accès invité protège l’ensemble du tenant, mais ne gère pas les vidéos internes.

  • D : Une politique de rétention supprime des vidéos, ne contrôle pas l’accès ou le téléchargement.

• Azure Virtual Desktop permet de configurer l’autoscaling des session host VMs selon la demande :

  • Réduire les VMs pendant les heures creuses

  • Augmenter automatiquement pendant les périodes de forte utilisation

• Les autres options ne fournissent pas d’autoscaling intégré :

  • B : Windows 365 Cloud PCs fournit des PC persistants, mais l’autoscaling n’est pas automatique.

  • C : Microsoft Endpoint Manager gère la configuration et les mises à jour, pas l’autoscaling.

  • D : Azure Automation peut automatiser des tâches, mais nécessite une configuration manuelle pour l’autoscaling.

• Dans un environnement hybride, vous continuez à utiliser votre infrastructure locale (CapEx) pour certains services ou serveurs AD.

• En parallèle, vous payez des abonnements cloud Azure AD Premium et éventuellement des services de synchronisation de données, ce qui constitue des dépenses d’exploitation (OpEx).

• Les autres options sont incorrectes :

  • A : Faux, le CapEx sur site reste nécessaire.

  • B : Faux, ce n’est pas un double paiement intégral.

  • C : Faux, l’utilisation d’Azure AD introduit bien des coûts OpEx.

Dans Microsoft Entra ID (Azure AD) :

• Cloud-only identity : L’utilisateur est créé directement dans Azure AD. Aucun lien avec l’AD local, mot de passe géré dans le cloud.

• Synced identity (Identité synchronisée) :

  • Les comptes utilisateurs et les mots de passe (hashs) sont synchronisés depuis Active Directory on-premises via Azure AD Connect.

  • L’authentification se fait dans le cloud, mais les identités sont gérées depuis l’AD local.

• Federated identity (Identité fédérée) :

  • Utilise des services comme AD FS pour l’authentification directe auprès de l’AD local. Les mots de passe ne sont pas synchronisés vers le cloud.

• On-prem delegated identity : Terme moins courant, utilisé pour certaines configurations hybrides spécifiques, mais pas standard pour la synchronisation cloud.

👉 La synchronisation des comptes et des mots de passe via Azure AD Connect correspond donc à une identité synchronisée (Synced identity).

• Par défaut, les journaux d’audit Microsoft 365 ont une durée de conservation limitée.

• Pour les conserver plus longtemps (ex. 1 an ou plus), il faut configurer une Audit log retention policy dans Microsoft Purview.

• Cela permet de répondre aux exigences réglementaires et de conformité.

❌ Pourquoi les autres réponses sont incorrectes :

• B. Litigation Hold (Exchange) → Concerne la conservation des emails, pas les journaux d’audit globaux.

• C. Sensitivity label retention → Gère la protection et la conservation des documents/emails, pas des logs d’audit.

• D. Azure Information Protection → Sert à classifier et protéger les données, pas à gérer la durée des logs d’audit.

🎯 À retenir pour l’examen MS-900 :

• Audit logs = Microsoft Purview (Audit log retention policy)

• Litigation Hold = emails

• Sensitivity labels = protection des données

• ISO 27001 exige, entre autres :

  • Le contrôle strict des privilèges élevés

  • L’auditabilité et la traçabilité de l’accès aux ressources sensibles

• Azure AD PIM :

  • Fournit un accès Just-in-Time aux rôles à privilèges élevés

  • Chaque activation est journalisée et auditable

  • Permet de réduire le risque de sur-privatisation et de répondre aux exigences ISO 27001 sur le contrôle d’accès

Azure Key Vault est un composant critique pour la sécurité :

• Il stocke des clés cryptographiques, certificats et secrets essentiels pour le chiffrement des données et la sécurité des transactions.

• Le vecteur de menace le plus critique est l’accès non autorisé :

  • Si un attaquant obtient l’accès à Key Vault, il peut récupérer les clés et décrypter les données sensibles ou signer des transactions frauduleuses.

• La protection contre ce vecteur repose sur :

  • Des politiques d’accès strictes (RBAC ou policies Key Vault)

  • L’activation de Azure AD Conditional Access

  • L’utilisation du principle du moindre privilège

• Les exigences réglementaires demandent :

  • Aucun accès permanent → limitation stricte des privilèges

  • Journalisation et révision → audit complet des accès administratifs

• Azure AD Privileged Identity Management (PIM) :

  • Fournit l’accès Just-in-Time aux rôles privilégiés (Owner, Contributor, etc.)

  • Les administrateurs doivent activer explicitement leur rôle pour une période limitée

  • Chaque activation est journalisée dans Azure AD et Azure Monitor, ce qui permet audit et conformité

• C’est la solution recommandée par Microsoft pour les environnements réglementés (finance, santé, gouvernement)

• Zero Trust – Least Privilege :

  • Les utilisateurs ne doivent avoir que les droits nécessaires et uniquement lorsqu’ils en ont besoin

  • Les privilèges permanents ou excessifs sont contraires au principe Zero Trust

• PIM avec JIT :

  • Les développeurs n’activent le rôle que lorsqu’ils ont besoin d’accéder à la base de données de production

  • Chaque activation est journalisée et auditable

  • Les droits sont révoqués automatiquement après usage → sécurité maximale et conformité

• Azure AD / Entra PIM distingue :

  • Attribution de rôle : l’administrateur se voit attribuer un rôle (souvent par IT ou via JIT)

  • Activation de rôle : l’utilisateur active le rôle pour l’utiliser

• Exiger MFA sur l’activation de rôle :

  • Garantit que chaque activation est sécurisée par MFA, indépendamment de l’état de session existant

  • Respecte le principe du moindre privilège et de Zero Trust pour les rôles privilégiés

• Sécurité renforcée pour les comptes administratifs, même avec sessions existantes

• Customer-Managed Keys (CMK) pour Cosmos DB :

  • Permet de chiffrer les données au repos en utilisant vos propres clés stockées dans Azure Key Vault

  • Offre contrôle total sur la gestion et la rotation des clés

  • Supporte les exigences de conformité et réglementaires (HIPAA, GDPR, etc.)

• Différence avec les autres options :

A. Client-side encryption

• Chiffrement côté client → les données sont chiffrées avant envoi à Cosmos DB

• Plus complexe à gérer, mais pas nécessaire si vous voulez CMK au repos côté service

C. Transparent Data Encryption (TDE) avec service-managed keys

• Chiffrement automatique par le service

• Vous ne contrôlez pas les clés → ne répond pas à l’exigence de CMK

D. Column-level Always Encrypted

• Disponible pour SQL Server / Azure SQL Database

• Pas applicable à Cosmos DB

• Contexte : en cas de panne régionale Azure, les utilisateurs critiques ne peuvent plus s’authentifier via Entra ID.

• Break-glass accounts (comptes de secours) :

  • Comptes hors des dépendances normales d’Azure AD

  • Permettent aux administrateurs et opérateurs critiques d’accéder aux systèmes essentiels

  • Généralement cloud-only, non soumis aux politiques Conditional Access complexes

  • Doivent être audités, sécurisés et testés régulièrement

• C’est une bonne pratique Microsoft pour la continuité et la résilience :

  • Garantit que les opérations critiques peuvent continuer même si Entra ID ou Azure rencontre une panne

• Hotpatch :

  • Fonctionnalité Azure-only pour Windows Server

  • Applique les mises à jour de sécurité critiques sans redémarrage complet

  • Réduit les interruptions de service pour les workloads sensibles (ex : santé, finance)

  • Permet un contrôle administratif, mais avec automatisation pour les correctifs critiques

• Cette approche est le compromis idéal entre patching manuel (risque faible mais effort élevé) et automatisation complète (risque de redémarrage inattendu).

• GitHub Advanced Security permet de :

  • Analyser automatiquement les dépendances dans les projets (npm, NuGet, Maven, etc.)

  • Identifier les vulnérabilités à haute gravité

  • Proposer ou appliquer automatiquement les mises à jour de sécurité via Dependabot

• Cette approche préventive empêche que du code vulnérable atteigne les environnements de production.

• Azure Key Vault :

  • Permet de centraliser tous les certificats TLS/SSL

  • Offre intégration native avec certaines CA pour le renouvellement automatique

  • Réduit le risque de pannes ou interruptions liées à l’expiration

  • Fournit gestion centralisée du cycle de vie (création, renouvellement, révocation, suivi)

• C’est la solution recommandée pour des environnements à grande échelle avec de nombreux certificats, comme une plateforme e-commerce.

Un pod en statut PENDING signifie qu'il n'a pas encore pu être schedulé sur un noeud. Les détails du Pod (kubectl describe pod) affichent les événements et avertissements qui expliquent pourquoi le scheduling a échoué (ressources insuffisantes, affinités non satisfaites, etc.).

Modifier la plage du sous-réseau existant de /25 à /24 double le nombre d'IPs disponibles sans reconfigurer les VMs existantes ni créer de nouveaux réseaux. GCP permet d'étendre les sous-réseaux existants en une seule commande.

GCP permet d'étendre la plage IP d'un sous-réseau existant sans le supprimer ni recréer les VMs. C'est la méthode la moins intrusive. Supprimer et recréer le sous-réseau entraînerait une interruption de service.

Standard pour les 30 premiers jours (consultés fréquemment) puis Archive directement (consultés rarement sur 3 ans) est la solution la plus économique. Nearline a un minimum de facturation de 30 jours — inadapté ici. Archive minimise les coûts pour les données rarement accédées.

Un job d'export Cloud SQL (planifié le premier du mois) écrit un fichier SQL/CSV dans Cloud Storage Archive — la classe la moins chère pour des données conservées 3 ans avec accès très rare. Les sauvegardes automatiques Cloud SQL ne peuvent pas être conservées 3 ans.

L'équilibreur de charge SSL Proxy est conçu pour le trafic TCP chiffré SSL non-HTTP sur le port 443 avec une distribution mondiale. Il termine SSL en bordure du réseau Google, minimisant la latence pour les clients mondiaux. L'équilibreur HTTPS est pour HTTP/HTTPS.

Pour créer un nouveau compte de facturation ET le lier à un projet, il faut être Project Billing Manager sur le projet. Cette option crée bien un nouveau compte de facturation (comme demandé) et le lie au projet existant.

La commande BigQuery dry-run estime les octets lus (scannés depuis les tables) sans exécuter la requête. Attention : la facturation est basée sur les octets lus, pas sur les octets retournés — une requête `SELECT *` sur une table de 1 To coûte la même chose qu'elle retourne 1 ligne ou 1 million. Le calculateur de prix convertit ensuite ce volume en dollars.

La commande gcloud deployment-manager deployments update met à jour un déploiement existant de manière incrémentale, en ne modifiant que les ressources qui ont changé, ce qui évite les interruptions de service inutiles.

Ajouter un nouveau node pool n2-highmem-16 au cluster existant est la solution sans temps d'arrêt. Les pods existants continuent de tourner sur les noeuds n1-standard-2 pendant que les nouveaux pods sont schedulés sur le nouveau node pool.

The Scrum Master's role is to coach the team on Scrum principles rather than dictate decisions. The Daily Scrum's purpose is for the Development Team to synchronize work and plan the day—not to report status to the Product Owner. By facilitating understanding of the event's true purpose, Steven empowers the team to self-organize the solution, embodying servant-leadership and transparency.

Correct: Option 6 (All of the above) - Openness, a core Scrum value, permeates the entire framework: it improves collaboration, enables quality discussions, increases engagement, accelerates feedback loops affecting time to market, and builds stakeholder confidence. Each element depends on transparent, honest communication that openness enables.

Creating Product Backlog items for security concerns and/or adding security to the Definition of Done ensures security is transparent and continuously addressed throughout development, reflecting Scrum's empirical process. This approach integrates security into regular work rather than isolating it. Separate security sprints, external delegation, or waiting for specialists violate the principle of transparency and shared accountability within the Scrum Team.

Scrum is based on empiricism—the philosophy that knowledge comes from actual experience and observation. Scrum embraces complexity through its three pillars: transparency, inspection, and adaptation. This contrasts with defined processes that assume predictability in complex environments.

A Scrum Master is a servant-leader who manages the process of Scrum (how it's understood and enacted), the way Scrum is applied within the organization, and removes impediments blocking team progress. The Scrum Master does NOT manage individual capacity, report on Sprint performance, or manage the Product/Sprint Backlogs—those are Product Owner and Development Team responsibilities per the Scrum Guide.

Correct answers: Options 2 and 3. The Definition of Done describes work needed to produce a potentially releasable Increment (option 2), and encompasses all work performed as defined in it (option 3). Options 0-1 are too restrictive (mentioning specific testing phases). Option 4 is incorrect because the Definition of Done is a team commitment, not limited by current skills. The Scrum Guide emphasizes Done means the product is ready for release.

Options B and C are correct. Unexpected technical debt encountered mid-Sprint reduces velocity (B), and teams can artificially inflate velocity by incurring debt instead of fully completing work (C). Option A incorrectly separates them—technical debt directly impacts capacity for new features. Option D is false: technical debt still consumes capacity and masks true velocity trends.

This statement is False. Scrum does not define a Project Manager role. The Scrum Master facilitates Scrum processes but is not a project manager. This distinction reflects Scrum's self-managing team model rather than traditional command-and-control management.

All four options (0, 1, 2, 3) are correct. The Scrum Guide identifies that Scrum helps teams address: complexity and unpredictability of requirements (A), technology stability and complexity (B), team skills and relationships (C), and work timescale (D). Options E and F are not Scrum-addressed risks—governance structures and HR incentives fall outside Scrum's scope.

The Development Team member should share the security risk with the team immediately so they can address it collaboratively. This is not a matter for test teams, backlogs, or retrospectives—security risks require urgent transparent communication across the team per Scrum's transparency pillar.

Réponse : Pourcentage de couverture des exigences.
Explication : B est correct car le pourcentage de couverture des exigences quantifie directement l\'adéquation des tests par rapport à l\'objectif déclaré de valider que le système satisfait ses exigences. L\'efficacité du test dans un contexte piloté par les exigences repose sur la mesure objective de la complétude de la couverture des exigences et de la détection des non-conformités.

Réponse : Les développeurs perdent le sens des responsabilités et les testeurs indépendants peuvent devenir un goulot d\'étranglement..
Explication : Le test indépendant sépare la vérification du développement, ce qui peut diminuer le sens de la responsabilité des développeurs tandis que la coordination des tests et le triage des incidents se concentrent dans une équipe distincte qui peut devenir un goulot d\'étranglement processus.

Réponse : Créer une estimation basée sur la technique d\'analyse de points de fonction et l\'analyse de points de test.
Explication : La réponse A est correcte car l\'analyse de points de fonction combinée à l\'analyse de points de test produit une estimation précoce basée sur la taille, spécifique aux tests, indépendante de la disponibilité du code source. L\'APF fournit une métrique de taille fonctionnelle, l\'APT traduit cette taille en effort de test en appliquant les facteurs de testabilité et de qualité.

Réponse : Pourcentage des exigences métier exercées.
Explication : La mesure la plus appropriée de couverture de test pour un rapport de progression métier hebdomadaire est le pourcentage des exigences métier exercées. Cette métrique s\'aligne directement avec les priorités métier : valider que le logiciel remplit son objectif et fournit une valeur tangible aux parties prenantes.

Réponse : En fournissant un atelier sur les techniques de conception de tests.
Explication : Un atelier sur les techniques de conception de tests remédie directement à la faible efficacité de détection des défauts en dotant les testeurs de méthodes systématiques et répétables pour dériver des cas de test de meilleure qualité. Les techniques pratiques (partitionnement des équivalences, analyse des valeurs limites, tables de décision, transitions d\'état, techniques d\'appairage) améliorent la couverture et augmentent la probabilité de détection des défauts.

Réponse : Inspections.
Explication : Les inspections (B) sont les moins appropriées car c\'est une technique d\'examen statique, axée sur les défauts, destinée à trouver des non-conformités dans les produits de travail plutôt qu\'à identifier proactivement les risques projet et produit. Les inspections utilisent des listes de contrôle et une approche orientée détection de défauts, tandis que l\'identification des risques nécessite une exploration prospective des incertitudes futures.

Réponse : 63.
Explication : Le Numéro de Priorité de Risque (NPR) est calculé en multipliant la probabilité d\'occurrence, la gravité de l\'impact et la détectabilité. Pour l\'élément de risque 2, ce calcul donne 63.

Réponse : Un aperçu détaillé de l\'approche de test basée sur les risques utilisée pour assurer la réalisation des critères de sortie..
Explication : D est correct car les cadres supérieurs non-spécialistes ont besoin d\'informations concises et orientées résultats, non d\'une exposition détaillée opérationnelle de l\'approche basée sur les risques. Un rapport doit prioriser l\'état versus objectifs, risques clés et atténuations, tendances et actions managériales recommandées pour décisions efficaces.

Réponse : Qualité d\'entrée inconnue due au développement par un tiers.
Explication : D est correct car la qualité d\'entrée inconnue provenant du développement par un tiers crée le plus grand risque d\'estimateur : variance élevée des taux de défauts, comportements d\'intégration imprévisibles et efforts de vérification imprévisibles qui gonflent directement les estimations de temps et ressources. Les hypothèses quantifiées deviennent invalides avec les entrées tierces.

Réponse : Le plan de test du soumissionnaire décrit une mise en œuvre par phases avec des dates de livraison ultérieures à confirmer et indique que les livrables de test seront développés en utilisant la norme IEEE 829 comme guide..
Explication : D est correct car il démontre une réponse appropriée, centrée sur la gestion de test : un plan de livraison par phases réaliste associé à l\'engagement de développer les livrables de test selon un cadre documentaire reconnu (IEEE 829), sans imposer de dates inflexibles ni de processus propriétaires.

A. Verify that 97% accuracy meets requirements for all downstream systems that consume the extracted data. Incorrect. Important, but it doesn't ensure the confidence signal is reliable across different cases--it only checks overall acceptability. B. Analyze accuracy by document type and field to verify high-confidence extractions perform consistently across all segments, not just in aggregate. Correct. Aggregate accuracy can hide weak spots. You need to ensure confidence >90% is trustworthy across all segments, otherwise automation may introduce systematic errors. C. Compare accuracy at different confidence thresholds (85%, 90%, 95%) to find the optimal cutoff that maximizes automation while minimizing errors. Incorrect. Useful for tuning, but only after confirming the confidence signal is consistent and reliable across segments. D. Run a two-week pilot routing 25% of high-confidence extractions directly to downstream systems and monitor error reports. Incorrect. A pilot is valuable, but deploying without validating segment-level reliability first introduces avoidable risk.

A. The coordinator agent receives the web search agent's output and includes relevant findings in the prompt when invoking the document analysis agent. Correct. This follows the standard orchestration pattern where the coordinator manages all data flow, explicitly passing outputs between subagents. B. The agents communicate through an event-driven message queue, with the document analysis agent subscribing to web search completion events. Incorrect. This introduces unnecessary infrastructure complexity and is not the typical agent orchestration model. C. The web search agent directly invokes the document analysis agent, using the discovered sources as parameters. Incorrect. Subagents should not invoke each other directly; this breaks centralized control and observability. D. Both agents access a shared memory store where the web search agent writes findings and the document analysis agent reads them. Incorrect. While possible in advanced systems, this is not the standard or simplest approach; it adds complexity without clear necessity in typical pipelines.

B. The order details are added to the conversation and the model reasons about which action to take. Correct. In an agentic loop, tool results (like "purchased 45 days ago") are fed back into the model's context, and the model re-evaluates the situation dynamically. It then decides whether to proceed with process_refund, escalate to a human, or take another action based on policy and the updated information. Why the others are not correct: A. Fixed tool sequence planned at the start Incorrect Agentic systems are not static workflows; they adapt after each observation. C. Pre-configured decision tree Incorrect This is rule-based automation, not LLM-driven reasoning. D. Orchestration layer automatically routes next tool call Incorrect That removes the model's reasoning role and turns it into deterministic routing.

A. Create separate search products and fetch more results tools for pagination. Incorrect. This exposes pagination mechanics to the agent, increasing complexity and coupling tool usage with control flow. B. Implement server-side relevance ranking and return only the top 50 most relevant items. Incorrect. While this reduces latency, it removes access to the full result set, limiting flexibility when more results are actually needed. C. Add a max pages parameter (default: 2) that controls how many pages are fetched internally. Incorrect. This is an improvement over fetching everything, but it still hides pagination control inside the tool and may fetch unnecessary data. D. Return the first page with total match count and cursor for additional pages. Correct. This enables lazy loading and explicit control, allowing the agent to fetch more results only when needed-- balancing performance and completeness.

A. The model's context window has been exceeded by the conversation length Incorrect. This would only happen in very long conversations, and the issue appears early within just a few turns. B. The Claude API requires a session_id parameter that you haven't configured Incorrect. There is no required session_id--context must be explicitly managed by the application. C. Claude requires a vector database connection to maintain conversation memory Incorrect. A vector database is optional for retrieval, not required for basic conversation memory. D. Your application isn't including prior messages in the messages array Correct. Claude does not retain memory between calls--if previous messages aren't included, it cannot recall earlier user preferences.

A. Your system prompt needs explicit instructions telling Claude to remember information from earlier turns. Incorrect. Instructions alone don't give the model memory--context must be provided with each request. B. You're not including prior messages in each API request--the stateless API doesn't retain conversation history. Correct. Claude is stateless. If earlier messages aren't passed in the request, it has no awareness of prior vocabulary. C. You need to enable conversation persistence by passing a session ID parameter with each API call. Incorrect. There's no required session ID--memory is handled by including past messages. D. The model's context window has filled up, causing earlier conversation content to be dropped. Incorrect. This would only happen in very long conversations, not typical early testing scenarios.

A. Clear parameter descriptions explaining expected format, such as "user_id: UUID of the user to update (required)" Correct. Clear, human-readable descriptions are the most important guidance for helping Claude understand what values to provide and how parameters should be structured. B. Verbose parameter names encoding format hints, such as user_id_string_uuid_format Incorrect. Overly verbose names reduce readability and are less effective than proper descriptions. C. Strict JSON Schema type constraints marking user_id as required and defining fields_to_update as an object type Incorrect. Schema constraints help validation, but they don't sufficiently explain semantic expectations like the required UUID format. D. Detailed error responses explaining why invalid parameter values were rejected Incorrect. Helpful after failure, but not the most critical factor for preventing mistakes initially.

A. Enable the document analysis subagent to spawn its own specialized subagents dynamically when it encounters cases with many citations. Incorrect. This decentralizes orchestration and makes the system harder to monitor and debug. The coordinator loses visibility into dynamically spawned agents. B. Implement a message queue where precedent analysis tasks are processed asynchronously by a pool of worker agents. Incorrect. While this improves scalability, it introduces infrastructure complexity and reduces transparency for debugging at the coordinator level. C. Create a recursive agent hierarchy where analysis agents subdivide work among child agents until reaching single-precedent granularity. Incorrect. This further complicates the architecture and makes tracing execution paths difficult, reducing observability and control. D. Have the coordinator spawn parallel document analysis subagents, each handling a subset of precedents, then aggregate results before synthesis. Correct. This enables parallel processing to reduce latency while keeping orchestration centralized. The coordinator retains full visibility, making monitoring and debugging easier.

A. The model extracts "et al." for co-authors when the full list exists only in an external document not in the input Correct. Retries won't help because the required information is not present in the input context. The model cannot recover missing data through repeated attempts. B. The model extracts citation counts as locale-formatted strings ("1234") when the schema requires integers Incorrect. This is a formatting issue that can be corrected through retries with validation feedback. C. The model extracts dates as ISO 8601 datetime strings ("2003-03-15T00:00:00Z") when the schema requires only the date portion (YYYY-MM-DD) Incorrect. Also a format mismatch, which retries can fix easily. D. The model extracts keywords as a nested object organized by category when the schema requires a flat array of strings Incorrect. This is a structural mismatch that can typically be corrected with retry feedback.

A. Return an empty flight list as if the search succeeded but found no matching flights. Incorrect. This hides the failure and misleads the system into thinking no flights exist, which can lead to incorrect conclusions. B. Log the error internally and return an empty response, letting the model continue without the flight data. Incorrect. This still suppresses the failure signal, preventing the agent from taking corrective action. C. Return an error message in the tool result explaining the service is temporarily unavailable. Incorrect. While transparent, this alone doesn't attempt recovery and may degrade user experience unnecessarily. D. Automatically retry the request up to five times with exponential backoff before returning results to the agent. Correct. This is the most effective approach--handles transient failures gracefully, improves reliability, and only surfaces errors if retries fail.