9,90 €/mois · Sans engagement · Résiliable à tout moment · Accès immédiat
91
examens blancs
6 224
questions
∞
tentatives
19,90 €9,90 €
/mois
Découvrez myexam.fr en 30 secondes
Certifications reconnues mondialement
AWS
Microsoft
PMI
Scrum.org
CompTIA
SAP
ISTQB
Essayez gratuitement
10 questions par certification
Sélectionnez une certification et lisez les corrections détaillées — aucune inscription requise.
* Si les questions sont proposées en anglais, c'est que l'examen officiel ne propose pas la langue française.
Sélectionnez une certification pour afficher les questions.
Question 1 / 10
Votre application a récemment connu une forte croissance mondiale, et les utilisateurs internationaux se plaignent de la latence. Quelle caractéristique AWS peut améliorer leur expérience ?
Sélectionnez la bonne réponse.
A. Portée mondiale.
B. Élasticité.
C. Durabilité des données.
D. Haute disponibilité.
✓ Bonne réponse : A
Réponse : Portée mondiale (Global reach). Explication : La portée mondiale d’AWS, via ses régions et ses Edge Locations, permet d’améliorer les temps de réponse pour les utilisateurs dispersés géographiquement.
Question 2 / 10
Quelle option est une perspective qui comprend les capacités fondamentales du Cloud Adoption Framework AWS (AWS CAF) ?
A. Gouvernance
B. Durabilité
C. Fiabilité
D. Efficacité des performances
✓ Bonne réponse : A
Réponse : Gouvernance. Explication : Le Cloud Adoption Framework AWS (CAF) comprend six perspectives. La perspective Gouvernance couvre les capacités fondamentales incluant la gestion de programme, la gestion des bénéfices, la gestion des risques et la gestion financière du cloud.
Question 3 / 10
Quel service AWS aide les entreprises à assurer leur conformité dans le cloud ?
Sélectionnez la bonne réponse.
A. CloudFront.
B. CloudWatch.
C. CloudTrail.
D. CloudEndure Migration.
✓ Bonne réponse : C
Réponse : CloudTrail. Explication : AWS CloudTrail enregistre toutes les actions sur les ressources AWS et facilite la conformité.
Question 4 / 10
Laquelle des affirmations suivantes est vraie concernant le modèle de responsabilité partagée AWS ?
Sélectionnez la bonne réponse.
A. Le patch du guest OS est toujours la responsabilité d’AWS.
B. La sécurité des services managés est celle du client.
C. La sécurité des services IaaS est assurée par AWS.
D. Les responsabilités varient selon les services utilisés.
✓ Bonne réponse : D
Réponse : Les responsabilités varient selon les services utilisés. Explication : Le modèle AWS de responsabilité partagée dépend du service utilisé (IaaS, PaaS, SaaS). Certaines responsabilités sont à la charge d’AWS, d’autres du client.
Question 5 / 10
Quel cadre, créé par AWS Professional Services, aide les organisations à élaborer une feuille de route pour réussir leur adoption du cloud ?
Sélectionnez la bonne réponse.
A. AWS CAF.
B. Amazon EFS.
C. AWS WAF.
D. AWS Secrets Manager.
✓ Bonne réponse : A
Réponse : AWS CAF. Explication : Le Cloud Adoption Framework (AWS CAF) propose une méthodologie structurée pour la migration et l’adoption du cloud AWS.
Question 6 / 10
Quels principes de conception sont liés à l’efficacité des performances AWS ? (Choisissez DEUX réponses)
Sélectionnez toutes les réponses correctes.
A. Implémenter des contrôles d’accès forts.
B. Utiliser des architectures serverless.
C. Construire des architectures multi-régions.
D. Activer l’audit logging.
E. Appliquer la sécurité à tous les niveaux.
✓ Bonne réponse : B, C
Réponse : Construire des architectures multi-régions / Utiliser des architectures serverless. Explication : Les architectures multi-régions et serverless contribuent à l’efficacité et à la performance.
Question 7 / 10
L’utilisation d’Amazon EC2 correspond à quel modèle de cloud computing ?
Sélectionnez la bonne réponse.
A. PaaS.
B. SaaS.
C. IaaS.
D. IaaS et SaaS.
✓ Bonne réponse : C
Réponse : IaaS. Explication : EC2 est une solution d’Infrastructure as a Service (IaaS) qui offre des ressources de calcul virtualisées.
Question 8 / 10
Votre application a connu une forte croissance internationale et les utilisateurs se plaignent de la latence. Quelle caractéristique AWS peut améliorer l’expérience des utilisateurs internationaux ?
Sélectionnez la bonne réponse.
A. Durabilité des données.
B. Portée mondiale.
C. Élasticité.
D. Haute disponibilité.
✓ Bonne réponse : B
Réponse : Portée mondiale (Global reach). Explication : La portée mondiale d’AWS permet de servir les utilisateurs partout dans le monde via de multiples régions et points d’accès.
Question 9 / 10
À quoi fait référence le principe du moindre privilège ?
Sélectionnez la bonne réponse.
A. Tous les utilisateurs IAM de confiance ont accès à n’importe quel service AWS du compte.
B. N’accorder aux utilisateurs que les permissions nécessaires, et rien de plus.
C. Les utilisateurs IAM ne doivent recevoir aucune permission pour plus de sécurité.
D. Tous les utilisateurs IAM doivent avoir au moins accès aux services de base AWS.
✓ Bonne réponse : B
Réponse : N’accorder aux utilisateurs que les permissions nécessaires, et rien de plus. Explication : Ce principe vise à limiter l’exposition des ressources en n’accordant que le strict nécessaire pour la tâche à accomplir.
Question 10 / 10
Jessica gère une application e-commerce sur AWS hébergée sur six instances EC2. Trois de ces instances sont tombées en panne, mais aucun client n’a été impacté. Qu’a-t-elle correctement implémenté dans cette architecture ?
Sélectionnez la bonne réponse.
A. Elle a construit un système tolérant aux pannes.
B. Elle a construit un système scalable.
C. Elle a construit un système élastique.
D. Elle a construit un système chiffré.
✓ Bonne réponse : A
Réponse : Elle a conçu un système tolérant aux pannes. Explication : La tolérance aux pannes garantit qu’un service reste disponible même en cas de défaillance partielle de l’infrastructure.
Une agence marketing doit générer 1000 images publicitaires variées basées sur des descriptions textuelles spécifiques. Quel modèle Bedrock est le plus adapté ?
A. Claude 3 pour générer seulement des descriptions
B. Stable Diffusion XL via Bedrock pour la génération d'images
C. Titan Embeddings pour vectoriser les descriptions
D. Anthropic pour traiter les commandes en batch
✓ Bonne réponse : B
Stable Diffusion XL : modèle de fondation spécialisé dans la génération d'images à partir de texte disponible sur Bedrock. Produit des images haute résolution, supporte les variantes détaillées et les styles personnalisés. Optimal pour la génération en masse d'assets marketing.
Question 2 / 10
Quelles pratiques améliorent la cohérence d’un classifieur LLM de sentiment ? (Choisir 2)
A. Augmenter fortement Top‑K
B. Ne jamais fournir d’exemples
C. Réduire la température
D. Ajouter des exemples few‑shot
✓ Bonne réponse : C, D
Température et Few-shot : réduire la température (ex: 0.1 vs 1.0) diminue l'aléatoire dans les tokens générés, assurant des prédictions cohérentes. Les exemples few-shot calibrent le LLM sur le style d'étiquetage attendu. À l'inverse, augmenter Top-K introduit plus de variation, et ignorer les exemples perd l'alignement contextuel nécessaire pour la classification stable.
Question 3 / 10
Quelles sont deux différences clés entre le fine-tuning et RAG pour personnaliser un modèle de fondation ?
A. RAG nécessite de réentraîner le modèle à chaque mise à jour de la base de connaissances
B. RAG est plus adapté aux données qui changent fréquemment ; le fine-tuning est préférable pour adapter le style du modèle
C. Le fine-tuning est toujours moins cher que RAG
D. Le fine-tuning modifie les poids du modèle ; RAG ne les modifie pas
✓ Bonne réponse : B, D
Fine-tuning modifie les poids du modèle en l'entraînant sur des données spécifiques — adapté quand le style ou le comportement doit changer profondément, mais coûteux en calcul et en données. RAG ne modifie pas le modèle : il récupère dynamiquement des documents pertinents au moment de l'inférence — idéal pour des données qui changent fréquemment ou des bases de connaissances volumineuses. Le choix dépend du budget, de la fréquence de mise à jour des données et du type d'adaptation nécessaire.
Question 4 / 10
Les PDPs (Partial Dependence Plots) expliquent la relation entre une feature et la sortie moyenne du modèle.
A. Vrai
B. Faux
✓ Bonne réponse : A
Partial Dependence Plots (PDPs) : visualisent l'effet marginal moyen d'une feature sur les prédictions en moyennant les autres variables. Ils isolent l'impact d'une seule variable indépendamment de ses interactions, permettant d'interpréter comment le modèle réagit aux changements de cette feature. Contrairement aux graphiques de dépendance individuelle (ICE plots) qui montrent des trajectoires par instance, les PDPs agrègent ces effets pour révéler la tendance globale du modèle.
Question 5 / 10
Une plateforme de vidéo-conférence doit synthétiser automatiquement les réunions en résumés textuels court et long format. Quels services combinez-vous ?
A. Amazon Comprehend seul pour extraire les points clés
B. Amazon Forecast pour prédire la durée des réunions futures
C. Amazon Polly pour transformer le résumé en audio
D. Amazon Transcribe + Amazon Bedrock (Claude) pour générer résumés de différentes longueurs
✓ Bonne réponse : D
Transcribe + Bedrock/Claude : Transcribe convertit l'audio de réunion en texte exact. Claude, via Bedrock, génère résumés avec instruction de longueur variable (executive summary vs. détaillé). Pipeline élégant pour exploiter les réunions en documents actionnables.
Question 6 / 10
Quelle offre AWS permet de déployer des modèles de fondation (FMs) pré-entraînés sur son propre endpoint SageMaker dans un VPC privé ?
A. Amazon SageMaker JumpStart
B. Amazon Bedrock (API On-Demand)
C. Amazon ECS with ECR
D. AWS Marketplace AI Models
✓ Bonne réponse : A
SageMaker JumpStart : catalogue intégré de modèles de fondation pré-entraînés déployables directement sur vos endpoints SageMaker dans un VPC privé, sans exposition publique. Contrairement à Bedrock (API managée sans contrôle d'infrastructure) ou AWS Marketplace (modèles tiers), JumpStart offre le contrôle complet de l'infrastructure et l'isolation réseau requise pour les environnements sécurisés.
Question 7 / 10
Une entreprise veut segmenter des clients en tiers à partir de pétaoctets de données non étiquetées. Quelle approche ML ?
A. RLHF
B. Supervised learning
C. Unsupervised learning (clustering)
D. Reinforcement learning
✓ Bonne réponse : C
Unsupervised learning (clustering) : découvre automatiquement des groupes de clients sans données étiquetées. Avec des pétaoctets non annotés, le clustering (K-means, DBSCAN) identifie des segments naturels. Le supervised learning exige des labels préexistants (impossible ici), le reinforcement learning optimise des actions (non pertinent), et RLHF affine des modèles génératifs (hors sujet).
Question 8 / 10
Quel service SageMaker est conçu pour stocker, partager et servir des features ML en mode offline (batch training) et online (inference temps réel) ?
A. SageMaker Data Wrangler
B. SageMaker Pipelines
C. SageMaker Feature Store
D. SageMaker Processing
✓ Bonne réponse : C
SageMaker Feature Store : référentiel centralisé stockant des features réutilisables pour entraînement (offline) et inférence (online). Contrairement à Data Wrangler (transformation), Processing (calcul) et Pipelines (orchestration), Feature Store assure gestion, versioning et accès rapide des features en production ML.
Question 9 / 10
Pour un modèle d’objets déployé, lorsqu’il analyse une nouvelle image pour prédire, cette phase s’appelle :
A. Bias correction
B. Training
C. Inference
D. Deployment
✓ Bonne réponse : C
Inference : phase d'utilisation d'un modèle entraîné pour générer des prédictions sur de nouvelles données (ici, analyser une image). À différencier de Training (apprentissage du modèle), Deployment (mise en production) et Bias correction (correction des biais). L'inference est l'exécution prédictive post-entraînement.
Question 10 / 10
Pour limiter la variabilité des réponses et rendre un classifieur de sentiment basé sur LLM plus stable et prévisible, quel paramètre doit-on ajuster ?
A. Baisser la température (< 0.5) — réduit l'aléatoire, favorise les réponses déterministes
B. Retirer ou ignorer les consignes systèmes — déstabilise le comportement
C. Augmenter la température — augmente la diversité et l'imprévisibilité
D. Augmenter massément le paramètre Top-K — augmente les choix possibles
✓ Bonne réponse : A
Température et stabilité des LLM : la température contrôle le caractère aléatoire de la génération. Une température basse (< 0.5) rend le modèle déterministe en favorisant les tokens les plus probables, idéal pour des tâches précises comme la classification de sentiments. À l'inverse, augmenter la température ou Top-K amplifie la diversité et l'imprévisibilité, inadapté ici. Les consignes systèmes structurent le comportement.
Que signifie la Transparence en tant que pilier de Scrum ?
A. Les membres de l'équipe n'ont aucun secret les uns envers les autres
B. L'équipe rend compte de toutes ses activités à la direction
C. Tout le code doit être open source
D. Le processus émergent et le travail doivent être visibles par ceux qui réalisent le travail et ceux qui le reçoivent
✓ Bonne réponse : D
La transparence dans Scrum : le processus émergent et le travail réalisé doivent être visibles pour ceux qui effectuent ce travail et pour ceux qui en bénéficient. Cela favorise une prise de décision éclairée et la responsabilisation. Contrairement au simple reporting à la direction ou à la confidentialité interpersonnelle, la transparence porte sur la visibilité du travail réel et du processus.
Question 2 / 10
Qu'est-ce qui décrit le mieux un Sprint réussi ?
A. Toutes les parties prenantes sont satisfaites
B. Le Sprint Goal est atteint et l'Increment respecte la Definition of Done
C. L'équipe a travaillé à capacité maximale
D. Tous les éléments du Sprint Backlog sont complétés
✓ Bonne réponse : B
Métriques de succès d'un Sprint : Un Sprint est réussi lorsque l'Objectif du Sprint est atteint et que l'Incrément respecte la Definition of Done. Cela met l'accent sur la qualité des résultats et l'alignement avec l'objectif, et non sur l'achèvement des tâches. Compléter tous les éléments du Sprint Backlog sans atteindre l'Objectif, maximiser la capacité ou satisfaire toutes les parties prenantes ne constitue pas un succès — seule la livraison d'un travail de valeur et « terminé » en direction de l'Objectif du Sprint le permet.
Question 3 / 10
Quel est le rôle du Scrum Master lors du Sprint Planning ?
A. Assigner les tâches aux Developers
B. S'assurer que l'événement est productif et respecte la timebox
C. Diriger le Sprint Planning en tant que président de séance
D. Décider quels éléments inclure dans le Sprint
✓ Bonne réponse : B
Le Scrum Master veille à ce que la Sprint Planning ait lieu, s'assure que les participants en comprennent l'objectif et la facilite afin qu'elle soit productive dans le respect de la timebox.
Question 4 / 10
Quel est l'objectif du Daily Scrum ?
A. Faire un rapport d'avancement au Scrum Master
B. Attribuer des tâches aux Developers
C. Inspecter la progression vers le Sprint Goal et adapter le Sprint Backlog
D. Mettre à jour le Product Backlog
✓ Bonne réponse : C
Objectif du Daily Scrum : Le Daily Scrum est un événement de 15 minutes durant lequel les Développeurs inspectent la progression vers l'Objectif du Sprint et adaptent le Sprint Backlog. Il ne s'agit pas d'un compte-rendu de statut au Scrum Master, d'une attribution de tâches, ni d'une mise à jour du Product Backlog — c'est une inspection et une adaptation auto-organisées par l'équipe de développement.
Question 5 / 10
Dans quelle situation une Development Team peut-elle annuler un Sprint ?
A. Lorsqu'une dépendance technique ne peut pas être résolue.
B. Lorsque les éléments du Product Backlog sélectionnés pour le Sprint deviennent inatteignables.
C. Elle ne le peut pas. Seuls les Product Owners peuvent annuler des Sprints.
D. Lorsque le Product Owner est absent trop souvent.
E. Lorsque les attentes fonctionnelles ne sont pas bien comprises.
✓ Bonne réponse : C
Réponse : Elle ne peut pas. Seuls les Product Owners peuvent annuler des Sprints. Explication : Le pouvoir d'annuler un Sprint appartient exclusivement au Product Owner. L'équipe de développement ne peut pas annuler un Sprint ; elle doit continuer à travailler vers l'Objectif du Sprint.
Question 6 / 10
La Sprint Review est la seule occasion d'inspecter l'Increment.
A. Faux
B. Vrai
✓ Bonne réponse : A
Faux. L'inspection peut et doit se dérouler en continu. La Sprint Review est un événement formel dédié à l'inspection, mais les parties prenantes et l'équipe peuvent inspecter l'Increment à tout moment.
Question 7 / 10
Le Scrum Guide recommande qu'une Scrum Team ne dépasse pas 10 personnes afin de rester efficace.
A. Vrai
B. Faux
✓ Bonne réponse : A
Taille limite de la Scrum Team : Le Guide Scrum recommande de limiter les Scrum Teams à 10 personnes maximum (Scrum Master et Product Owner inclus) afin de maintenir l'agilité, de réduire la charge de communication et de favoriser une collaboration et une prise de décision efficaces.
Question 8 / 10
Un Increment doit toujours être livré à la fin de chaque Sprint.
A. Vrai
B. Faux
✓ Bonne réponse : B
Faux. Un Increment doit être utilisable et respecter la Definition of Done, mais la décision de le livrer appartient au Product Owner et peut intervenir à tout moment.
Question 9 / 10
La transparence signifie que le processus émergent et le travail doivent être visibles par ceux qui les réalisent et ceux qui en bénéficient.
A. Vrai
B. Faux
✓ Bonne réponse : A
Le pilier de la transparence : Les aspects significatifs du processus doivent être observables par les parties prenantes et les membres de l'équipe, permettant ainsi de prendre des décisions éclairées basées sur l'état réel du travail plutôt que sur des suppositions. Cela est essentiel à l'empirisme dans Scrum.
Question 10 / 10
Que signifie le Courage en tant que valeur Scrum ?
A. Les Developers doivent travailler de longues heures
B. Le Product Owner n'a pas peur d'ajouter davantage de travail
C. Les membres de la Scrum Team ont le courage de faire ce qui est juste et de s'attaquer aux problèmes difficiles
D. Le Scrum Master est assez courageux pour faire face à la direction
✓ Bonne réponse : C
Le courage dans Scrum : Les membres de la Scrum Team font preuve de courage pour faire ce qui est juste et travailler sur des problèmes difficiles. Cela signifie prendre la parole face aux obstacles, remettre en question les pratiques inefficaces et s'attaquer aux problèmes complexes plutôt que de les éviter. Le courage favorise la sécurité psychologique et la confiance au sein de l'équipe, contrairement au fait de travailler de longues heures ou à la bravoure individuelle.
A. Une liste de tous les éléments du Product Backlog sélectionnés pour le Sprint
B. Un engagement à réaliser tous les éléments du Product Backlog sélectionnés, sans exception
C. Une vélocité cible pour le Sprint définie par le Product Owner
D. Un objectif unique qui apporte cohérence et concentration, tout en laissant une certaine flexibilité dans sa mise en œuvre
✓ Bonne réponse : D
Un Sprint Goal bien formulé est un objectif unique qui apporte cohérence et concentration, tout en laissant une certaine flexibilité dans sa mise en œuvre, car il fournit une finalité unifiée pour le Sprint tout en permettant à la Development Team de prendre des décisions sur la manière de l'atteindre. Les autres options sont incorrectes : une liste d'éléments du Product Backlog manque de cohérence et de flexibilité, un engagement à compléter tous les éléments sans exception ignore la nature empirique de Scrum, et les objectifs de vélocité sont des métriques et non des objectifs.
Question 2 / 10
Le Scrum Master est responsable de l'efficacité de la Scrum Team.
Répondez par Vrai ou Faux.
A. Faux
B. Vrai
✓ Bonne réponse : B
Responsabilité du Scrum Master : Le Scrum Master est explicitement responsable de l'efficacité de la Scrum Team en coachant l'équipe, en levant les obstacles et en favorisant une culture d'amélioration continue. Cette responsabilité s'étend sur trois domaines : aider le Product Owner à affiner le Backlog et à maximiser la livraison de valeur, soutenir l'équipe de développement dans l'auto-organisation et l'excellence technique, et veiller à ce que les processus Scrum soient correctement compris et mis en œuvre. Contrairement au Product Owner (qui est responsable de la valeur et des priorités du Backlog) ou à l'équipe de développement (qui est responsable de la livraison), le rôle unique du Scrum Master est d'optimiser la façon dont l'équipe fonctionne, collabore et adhère aux valeurs et pratiques Scrum afin d'atteindre un niveau de performance optimal.
Question 3 / 10
Quelles informations rendent le Product Backlog transparent ? (Sélectionnez toutes les réponses qui s'appliquent)
Sélectionnez toutes les réponses correctes.
A. Le Product Goal
B. Des éléments suffisamment clairs
C. Un ordre clair
D. Un DoD détaillé pour chaque tâche
✓ Bonne réponse : A, B, C
Réponse : Un ordre clair, un Product Goal, des éléments suffisamment clairs. Explication : La transparence est assurée par un ordonnancement approprié, un alignement sur un Product Goal et des éléments compréhensibles par l'ensemble des parties prenantes.
Question 4 / 10
La Development Team doit posséder toutes les compétences nécessaires pour : (Choisissez la meilleure réponse.)
A. Transformer les éléments du Product Backlog en un Increment de fonctionnalités produit potentiellement livrable.
B. Réaliser l'ensemble des travaux de développement, à l'exception des tests spécialisés nécessitant des outils et des environnements supplémentaires.
C. Achever le projet dans les délais et le budget calculés par le Product Owner.
✓ Bonne réponse : A
Réponse : Transformer les éléments du Product Backlog en un Increment de fonctionnalités produit potentiellement livrable. Explication : La Development Team doit être cross-fonctionnelle — possédant collectivement toutes les compétences nécessaires pour convertir les éléments du Product Backlog en un Increment Done et potentiellement livrable à chaque Sprint.
Question 5 / 10
Le succès d'un produit se mesure par : (Choisissez trois réponses.)
A. L'impact sur les revenus.
B. L'impact sur l'humeur de mon supérieur.
C. L'impact sur mon évaluation de performance.
D. L'impact sur la satisfaction des clients.
E. L'impact sur les coûts.
6. La livraison du périmètre défini en amont par rapport au délai planifié en amont.
✓ Bonne réponse : A, D, E
Réponse : Impact sur le chiffre d'affaires ; impact sur la satisfaction client ; impact sur les coûts. Explication : Le succès d'un produit se mesure à travers des résultats business (chiffre d'affaires, efficacité des coûts) et des résultats utilisateurs (satisfaction). Ces indicateurs reflètent la valeur réellement livrée, contrairement à la vélocité ou aux story points qui mesurent la production.
Question 6 / 10
Relation entre le DoD et la qualité
Choisissez la meilleure réponse.
A. DoD = liste de tâches
B. DoD = engagement qualité pour l'Increment
C. DoD = plan de test externe
D. DoD = charte produit
✓ Bonne réponse : B
Réponse : DoD = engagement qualité pour l'Increment. Explication : La Definition of Done établit le standard de qualité pour chaque Increment et garantit la transparence sur ce que signifie « Terminé ».
Question 7 / 10
Un Product Backlog est : (sélectionnez toutes les réponses applicables)
A. Géré par le Product Owner
B. Ordonné en fonction de la priorité, de la valeur, des dépendances et du risque
C. Un inventaire de tout ce qui est à réaliser pour le Produit
D. Visible uniquement par le Product Owner et les parties prenantes
E. Une liste exhaustive d'exigences approuvées en amont
✓ Bonne réponse : A, B, C
Le Product Backlog est la source unique de vérité pour tout le travail sur le produit — il est géré par (et non réservé exclusivement à) le Product Owner, qui le maintient ordonné afin d'optimiser la valeur. Il est ordonné selon la priorité, la valeur, les dépendances et le risque — il n'est pas maintenu comme une liste de périmètre figé. Il n'est pas exhaustif dès le départ ; il évolue en continu à mesure que de nouvelles informations émergent. Tout membre de la Scrum Team peut ajouter des éléments ; seul le Product Owner les ordonne.
Question 8 / 10
Daily Scrum – Qui est tenu d'y participer ?
Choisissez la meilleure réponse.
A. L'ensemble de l'organisation
B. Le Product Owner et le Scrum Master uniquement
C. Les parties prenantes
D. Les Developers
✓ Bonne réponse : D
Réponse : Les Developers. Explication : Le Daily Scrum est organisé pour et par les Developers. Le Product Owner et le Scrum Master peuvent y assister, mais ce n'est pas obligatoire.
Question 9 / 10
Quelles métriques sont pertinentes pour l'EBM ? (Sélectionnez toutes les réponses applicables)
Sélectionnez toutes les réponses correctes.
A. Fidélisation des utilisateurs
B. Satisfaction client (NPS)
C. Heures enregistrées
D. Taux de conversion
✓ Bonne réponse : A, B, D
Réponse : Taux de conversion, fidélisation des utilisateurs, satisfaction client (NPS). Explication : L'EBM (Evidence-Based Management) se concentre sur les résultats : les métriques de conversion, de fidélisation et de satisfaction reflètent la valeur réelle du produit.
Question 10 / 10
Quelle affirmation concernant la Definition of Done est correcte ?
A. Elle ne s'applique qu'à la livraison finale, et non aux Increments intermédiaires
B. Une description formelle de l'état de l'Increment lorsqu'il satisfait aux mesures de qualité requises pour le produit
C. Il s'agit de la liste de contrôle personnelle du Product Owner pour accepter le travail réalisé
D. La Definition of Done est définie une seule fois et ne change jamais
✓ Bonne réponse : B
Pourquoi cette réponse est correcte : Selon le Guide Scrum, la Definition of Done est une description formelle qui établit ce que signifie pour un Increment d'être complet, garantissant qu'il répond aux standards de qualité requis pour le produit. Il s'agit d'une compréhension partagée créée par la Scrum Team qui s'applique à chaque Increment.
Pourquoi les autres réponses sont incorrectes : La Definition of Done n'est pas statique — elle évolue à mesure que l'organisation mûrit et que les standards changent. Ce n'est pas une liste de contrôle personnelle du Product Owner, mais un engagement de l'équipe, et elle s'applique à chaque Increment livré au cours du Sprint, et non uniquement à la release finale.
Quelle affirmation concernant la 7e édition du Guide PMBOK est exacte ?
A. La 7e édition supprime la notion de chef de projet et la remplace par celle de Scrum Master
B. La 7e édition ajoute de nouveaux groupes de processus aux cinq groupes déjà existants
C. La 7e édition n'est plus organisée autour de processus et de groupes de processus, mais autour de principes et domaines de performance
D. La 7e édition est réservée aux projets Agile et ne s'applique pas aux projets prédictifs
✓ Bonne réponse : C
Cette affirmation est vraie. La 7e édition du PMBOK Guide a abandonné la structure en 49 processus répartis dans des groupes de processus et des domaines de connaissance. À la place, elle présente 12 principes de management de projet et 8 domaines de performance, reflétant une approche plus souple et axée sur les résultats.
Question 2 / 10
Quels éléments organisationnels et contextuels doivent être considérés lors de l'adaptation (tailoring) de la gouvernance et des processus du projet ?
Sélectionnez toutes les réponses correctes.
A. Uniquement la taille et le budget disponible
B. Principalement les préférences personnelles du chef de projet
C. La taille du projet, la complexité, et l'environnement organisationnel
D. Exclusivement le secteur d'activité sans tenir compte de la complexité
✓ Bonne réponse : C
Adaptation (Tailoring) de la Gouvernance et des Processus : Le tailoring est le processus d'ajustement des processus, des outils et des structures de gouvernance du projet pour les rendre appropriés au contexte spécifique. Selon le PMBOK 7e édition, cette adaptation doit obligatoirement considérer trois éléments organisationnels et contextuels majeurs : la taille du projet (un petit projet n'a pas besoin de la même complexité administrative qu'un mégaprojet), la complexité (qui comprend les risques techniques, la dépendance entre les tâches, et le nombre de parties prenantes), et l'environnement organisationnel (culture de l'entreprise, capacités existantes, maturité en gestion de projet, structure hiérarchique). Ces trois facteurs déterminent le niveau de formalité, la fréquence des réunions, la documentation requise et le degré de contrôle à mettre en place. Par exemple, une startup technologique lancant un MVP nécessitera une approche agile légère, tandis qu'un projet de construction d'infrastructure publique exigera un cadre waterfall rigoureux avec gouvernance formelle. Cette réponse est correcte car elle reconnaît que le tailoring ne peut pas être uniforme : rejeter uniquement le budget (option 2)
Question 3 / 10
Un indicateur SPI = 1,0 et CPI = 1,0 signifie que le projet est :
Sélectionnez la bonne réponse.
A. En avance mais dépasse le budget
B. En retard mais sous le budget
C. En retard et dépasse le budget
D. Dans le budget et dans les délais
✓ Bonne réponse : D
Indices de Performance (SPI et CPI) : SPI = 1,0 signifie que la valeur acquise égale la valeur planifiée (délais respectés). CPI = 1,0 signifie que la valeur acquise égale le coût réel (budget respecté). Quand les deux indicateurs valent 1,0, le projet est parfaitement aligné sur le planning et le budget prévus.
Question 4 / 10
Quelle affirmation concernant le principe de qualité dans le PMBOK7 est exacte ?
A. Le principe de qualité concerne uniquement les livrables remis au client
B. Le principe de qualité concerne les processus de travail ET les livrables, pas uniquement les livrables
C. Le principe de qualité s'applique exclusivement lors des phases de test et validation
D. Le principe de qualité est géré par le responsable qualité indépendamment du chef de projet
✓ Bonne réponse : B
Concept clé : La qualité comme principe holistique du PMBOK 7 : Dans le PMBOK 7e édition, la qualité n'est pas cantonnée aux seuls livrables finaux, mais s'étend à l'ensemble des processus de travail et de gestion de projet. Ce principe reconnaît que la qualité des résultats dépend directement de la qualité des méthodes, des processus et des interactions utilisées pour les produire. En d'autres termes, vous ne pouvez pas obtenir un excellent livrable à partir de processus défaillants ou mal gérés.
Pourquoi cette réponse est correcte : Le PMBOK 7 adopte une approche intégrative de la qualité, influencée par les méthodologies agiles et les bonnes pratiques modernes. La qualité s'applique à : (1) les processus de travail (planification rigoureuse, communication efficace, gestion des risques, collaboration d'équipe), (2) les livrables (fonctionnalités, spécifications, conformité aux normes). Cette dualité signifie qu'un chef de projet doit s'assurer que non seulement le produit final répond aux exigences, mais aussi que la façon dont on l'a produit respecte les standards de qualité. C
Question 5 / 10
Quelle affirmation concernant le rôle du Product Owner est exacte ?
A. Le Product Owner valide les estimations de l'équipe de développement
B. Le Product Owner facilite les cérémonies Scrum à la place du Scrum Master
C. Le Product Owner assigne les tâches aux développeurs lors du Sprint Planning
D. Le Product Owner est responsable de maximiser la valeur du produit livré par l'équipe
✓ Bonne réponse : D
Rôle du Product Owner : Le Product Owner est responsable de la vision produit et maximise la valeur métier en gérant le backlog produit, en définissant les priorités et en clarifiant les exigences. Contrairement au Scrum Master (facilitateur des cérémonies), il n'assigne pas les tâches : c'est l'équipe auto-organisée qui s'engage. Il ne valide pas les estimations, mais collabore avec l'équipe pour affiner les user stories.
Question 6 / 10
Un comité de direction te demande d'expliquer comment ton projet contribue à la stratégie d'entreprise. Que dois-tu présenter ?
Que dois-tu mettre en avant en premier ?
A. La liste exhaustive des tâches techniques et le planning détaillé de chaque phase
B. Les bénéfices attendus et l'alignement stratégique du projet avec les objectifs métier
C. Le nombre de pages de documentation livrée et les détails techniques internes
D. Le détail des congés de l'équipe et les absences sur la durée du projet
✓ Bonne réponse : B
Alignement stratégique et valeur métier : Le PMBOK 7e édition place la performance métier au cœur de la gestion de projet. Lorsqu'un comité de direction demande comment votre projet contribue à la stratégie, il attend une démonstration claire du lien entre vos livrables et les objectifs commerciaux de l'organisation. Les bénéfices attendus représentent la valeur tangible que le projet génère (augmentation de revenus, réduction de coûts, amélioration de la satisfaction client, accélération time-to-market). L'alignement stratégique montre comment ces bénéfices soutiennent les priorités définies par la direction. Cette perspective client-centrée remplace l'approche traditionnelle centrée uniquement sur les tâches et délais. Les autres options échouent : la documentation et les détails techniques (option 2) relèvent de la gouvernance interne, non de la justification stratégique ; la liste exhaustive des tâches (option 3) noie le message dans les détails opérationnels ; les données RH (option 4) n'ont aucun lien avec la contribution stratégique. Un chef de projet moderne doit translator la vision métier en langage entrepreneurial, démontrant comment chaque projet crée de la valeur organis
Question 7 / 10
Dans le développement de votre équipe, vous identifiez que le groupe traverse la phase « Storming » (conflits internes, normes contestées). Comment appuyez-vous cette transition ?
A. Réduire immédiatement les tensions en imposant des règles strictes
B. Remplacer les membres qui causent du conflit
C. Faciliter les échanges directes, clarifier les attentes, reconnaître les émotions et guider vers des accords collectifs
D. Attendre passivement que le groupe dépasse cette phase naturellement
✓ Bonne réponse : C
Modèle Tuckman - Storming : phase critique où l'équipe teste les limites et les rôles. Ignorer crée des fractures durables ; réprimer étouffe. Le leader facilite l'expression, valide les émotions et co-construit les normes de groupe.
Question 8 / 10
Quelle affirmation concernant le succès d'un projet selon le PMBOK7 est exacte ?
A. Le respect strict du triangle coûts-délais-périmètre est le seul critère de succès du PMBOK7
B. La valeur délivrée aux parties prenantes est le critère central de succès dans le PMBOK7
C. La conformité au plan initial est le principal indicateur de succès dans le PMBOK7
D. Le succès est mesuré uniquement par la satisfaction du commanditaire interne
✓ Bonne réponse : B
Concept clé : La valeur comme critère central du succès : Contrairement aux approches traditionnelles de gestion de projet, le PMBOK 7e édition place la valeur délivrée aux parties prenantes au cœur de l'évaluation du succès d'un projet. Cette évolution majeure reflète un changement de paradigme : un projet n'est plus considéré comme réussi simplement parce qu'il respecte les contraintes classiques (coûts, délais, périmètre), mais plutôt parce qu'il génère de la valeur tangible et mesurable pour l'organisation et ses bénéficiaires.
Pourquoi cette réponse est correcte : Le PMBOK 7 introduit explicitement le concept de « value delivery » comme élément fondamental. La valeur peut être financière (retour sur investissement, économies réalisées), stratégique (amélioration de la compétitivité, positionnement marché), opérationnelle (augmentation de l'efficacité) ou même sociale (satisfaction client, impact positif). Cette vision holistique signifie qu'un projet peut respecter tous ses paramètres techniques tout en échouant s'il ne crée pas de valeur réelle.
Distinction des autres options erronées
Question 9 / 10
Un membre clé de l’équipe travaillant sur un livrable critique n’a plus d’ordinateur fonctionnel, et l’IT annonce un délai d’une semaine. Que doit faire le chef de projet ?
Sélectionnez la bonne réponse.
A. Demander un budget au sponsor pour du matériel
B. Acheter un nouvel équipement avec les réserves
C. Explorer avec l’IT les options pour accélérer la réparation
D. Demander au membre de trouver un contournement
✓ Bonne réponse : C
Escalade collaborative et résolution proactive : Le chef de projet doit d'abord explorer les options avec l'IT plutôt que contourner le problème. Cela respecte les dépendances, maintient la qualité et renforce les partenariats. Acheter du matériel ou demander un budget supplémentaire contournerait la vraie solution sans traiter l'urgence réelle du projet.
Question 10 / 10
Quelle est la différence entre livrer des outputs et générer des outcomes selon le PMBOK7 ?
A. Les outputs sont mesurés par le chef de projet ; les outcomes sont mesurés par le commanditaire
B. Les outputs concernent les projets prédictifs ; les outcomes concernent les projets Agile
C. Les outputs sont les livrables produits ; les outcomes sont les effets et changements résultant de ces livrables
D. Les outputs sont les bénéfices financiers ; les outcomes sont les livrables physiques remis
✓ Bonne réponse : C
Les outputs sont les livrables produits (fonctionnalités, documents). Les outcomes sont les résultats et bénéfices obtenus (valeur, adoption, performance). Le PMBOK7 oriente le succès vers les outcomes.
Quelle est l\'affirmation la plus précise concernant l\'utilisation de l\'estimation d\'erreurs dans ce contexte ?
Un important projet gouvernemental de système d\'information sur la santé est entré enphase de test final. Le directeur des tests souhaite appliquer une technique d\'estimationd\'erreurs pour déterminer quand arrêter les tests. L\'équipe a identifié 350 défauts pendantles tests. En utilisant différentes méthodes d\'estimation, ils ont calculé que le nombre totalprobable de défauts dans le système se situe entre 410 et 480. Après deux semainessupplémentaires de test, 40 nouveaux défauts ont été découvertsSélectionnez UNE réponse.
A. L\'estimation d\'erreurs montre que les tests sont inefficaces puisque le taux de détection des défauts (40 en deux semaines) est inférieur au taux attendu pour atteindre l\'estimation maximale de 480 défauts dans un délai raisonnable
B. L\'estimation d\'erreurs est invalide dans ce cas car la découverte de 40 nouveaux défauts suggère que les techniques d\'estimation initiales étaient incorrectes et doivent être entièrement recalculées
C. L\'estimation d\'erreurs indique que les tests peuvent être arrêtés immédiatement puisque 81% des défauts estimés ont déjà été trouvés, ce qui dépasse le seuil standard de qualité de 80%
D. L\'estimation d\'erreurs fournit une base pour décider de poursuivre ou non les tests, mais doit être combinée avec d\'autres critères comme la sévérité des défauts restants et la couverture des risques métier
✓ Bonne réponse : D
Cette question correspond à l\'objectif d\'apprentissage FL-4.4.1 (K2) - Expliquer l\'estimation d\'erreurs.
● a) Faux → Cette réponse simplifie excessivement l\'utilisation de l\'estimation d\'erreurs en appliquant un \"seuil standard\" arbitraire de 80%. L\'estimation d\'erreurs ne se limite pas à un pourcentage fixe et ne peut pas, à elle seule, déterminer si les tests doivent être arrêtés. De plus, le calcul ignore les 40 défauts supplémentaires découverts, ce qui porterait le total à 390 défauts identifiés. ● b) Faux → Ce n’est pas une conclusion fiable. Le fait de trouver 40 défauts en deux semaines n\'indique pas nécessairement une inefficacité des tests. La détection des défauts n\'est généralement pas linéaire, et le taux peut varier selon les phases de test. ● c) Faux → L’estimation d’erreurs donne une fourchette (ici 410–480), et les 40 nouveaux défauts sont encore dans cette fourchette. Le modèle reste valide, il faut juste le réévaluer progressivement, pas le rejeter ● d) Correct → Cette réponse reflète avec précision la valeur et les limites de l\'estimation d\'erreurs. L\'estimation fournit une base quantitative pour évaluer la progression des tests, mais ne doit pas être utilisée comme seul critère de décision pour arrêter les tests. D\'autres facteurs qualitatifs comme la sévérité des défauts restants, la couverture des risques métier, et les contraintes de projet doivent également être pris en compte. Cette approche équilibrée est particulièrement importante pour un système critique comme un système d\'information sur la santé.
Question 2 / 10
Lequel des cas de test suivants, s’il est ajouté à la suite existante, augmentera la couverture de la table de décision ?
Vous concevez des cas de test à partir de la table de décision suivante pour un système de validation de l’accès à une salle de sport :Les règles sont les suivantes :● L’accès est autorisé si la personne est âgée de 18 ans ou plus, a un abonnement actif et a fourni un certificat médical de moins de 6 mois.● Si une de ces conditions n’est pas remplie, l’accès est refusé.Vous avez déjà conçu les cas de test suivants :● CT1 : 20 ans, abonnement actif, certificat valide → accès autorisé● CT2 : 17 ans, abonnement actif, certificat valide → accès refusé● CT3 : 25 ans, abonnement inactif, certificat valide → accès refusé● CT4 : 30 ans, abonnement actif, certificat expiré → accès refusé● CT5 : 28 ans, abonnement inactif, certificat expiré → accès refuséSélectionnez UNE réponse.
A. 22 ans, abonnement inactif, certificat expiré → accès refusé
B. 19 ans, abonnement actif, certificat valide → accès autorisé
C. 17 ans, abonnement inactif, certificat expiré → accès refusé
D. Aucun des cas supplémentaires n’augmentera la couverture de la table de décision
✓ Bonne réponse : C
Cette question correspond à l’objectif d\'apprentissage FL-4.2.3 (K3) – Utiliser les tests par tables de décisions pour dériver les cas de test.
Les cas de tests proposés couvrent : ● CT1 (20 ans, abonnement actif, certificat valide) → couvre R1 ● CT2 (17 ans, abonnement actif, certificat valide) → couvre R5 ● CT3 (25 ans, abonnement inactif, certificat valide) → couvre R3 ● CT4 (30 ans, abonnement actif, certificat expiré) → couvre R2 ● CT5 (28 ans, abonnement inactif, certificat expiré) → couvre R4
● a) Faux → combinaison déjà couverte par CT5 ● b) Faux →redondant avec CT1 (âge valide, tout valide) ● c) Correct → tous les attributs invalides → nouvelle combinaison (R8) ● d) Faux → car une nouvelle règle est testée en c)
Question 3 / 10
Quel est un AVANTAGE de l’approche “équipe intégrée” pour le test ?
A. Elle permet aux testeurs de rester indépendants en dehors de l’équipe
B. Elle rend le rôle de testeur facultatif dans l’équipe
C. Elle permet d’éviter toute forme de documentation
D. Elle favorise la collaboration entre développeurs, testeurs et analystes métier
✓ Bonne réponse : D
Cette question correspond à l’objectif d’apprentissage FL-1.5.2 (K1) – Rappeler les avantages de l’approche intégrée.
● a) Faux → L’intégration réduit la séparation ● b) Correct → Une équipe intégrée = collaboration renforcée ● c) Faux → Le testeur reste essentiel même dans une équipe Agile ● d) Faux → La documentation existe, même si elle est plus légère
Question 4 / 10
Quelle combinaison représente le MIEUX l\'association entre les activités et les catégories d\'outils ?
Étant donné les activités de test suivantes :1. Conception des cas de test2. Exécution automatisée des tests3. Gestion des environnements de test4. Analyse des résultats de testEt les catégories d\'outils de test suivantes :A. Outils de conception et d\'implémentation de testsB. Outils d\'exécution de testsC. Outils de gestion des testsD. Outils d\'infrastructure de testSélectionnez UNE réponse.
A. 1A, 2B, 3D, 4C
B. 1C, 2A, 3D, 4B
C. 1C, 2B, 3A, 4D
D. 1A, 2D, 3B, 4C
✓ Bonne réponse : A
Cette question correspond à l\'objectif d\'apprentissage FL-6.1.1 (K2) - Expliquer comment
différents types d\'outils de test soutiennent les tests.
● a) Correct → Cette combinaison associe correctement : ○ La conception des cas de test (1) aux outils de conception et d\'implémentation de tests (A) ○ L\'exécution automatisée des tests (2) aux outils d\'exécution de tests (B) ○ La gestion des environnements de test (3) aux outils d\'infrastructure de test (D) ○ L\'analyse des résultats de test (4) aux outils de gestion des tests (C) ● b) Faux → Cette combinaison associe incorrectement la conception des cas de test (1) aux outils de gestion des tests (C) et l\'exécution automatisée des tests (2) aux outils de conception et d\'implémentation de tests (A). ● c) Faux → Cette combinaison associe incorrectement l\'exécution automatisée des tests (2) aux outils d\'infrastructure de test (D) et la gestion des environnements de test (3) aux outils d\'exécution de tests (B). ● d) Faux → Cette combinaison associe incorrectement la conception des cas de test (1) aux outils de gestion des tests (C) et la gestion des environnements de test (3) aux outils de conception et d\'implémentation de tests (A).
Question 5 / 10
Quelle technique de test convient le MIEUX dans cette situation ?
Dans votre projet, il y a eu un retard dans la livraison d\'une toute nouvelle application etl\'exécution des tests a commencé tardivement, mais vous avez une connaissance détailléedu domaine et de bonnes compétences analytiques. La liste complète des exigences n\'a pasencore été partagée avec l\'équipe, mais la direction demande que des résultats de testssoient présentés.Sélectionnez UNE réponse.
A. Estimation d\'erreur
B. Tests exploratoires
C. Tests de branche
D. Tests basés sur des listes de contrôle
✓ Bonne réponse : B
Cette question correspond à l\'objectif d\'apprentissage FL-4.4.2 (K2) - Expliquer le test exploratoire.
● a) Faux → Les tests basés sur des listes de contrôle nécessitent généralement que les exigences soient connues à l\'avance pour créer les listes appropriées. ● b) Faux → L\'estimation d\'erreur est utile pour anticiper les défauts basés sur l\'expérience, mais n\'est pas la meilleure approche dans cette situation où une couverture systématique est nécessaire rapidement. ● c) Correct → Les tests exploratoires sont idéaux quand le temps est limité et que les exigences ne sont pas complètement disponibles. Cette technique s\'appuie sur les connaissances du domaine et les compétences analytiques du testeur pour explorer le système de manière structurée mais flexible. ● d) Faux → Les tests de branche sont une technique de test de structure \"boîte blanche\" qui nécessite l\'accès au code source, ce qui n\'est pas mentionné dans le scénario et ne résout pas le problème du manque d\'exigences.
Question 6 / 10
Quels bénéfices des tests statiques (1–4) correspondent aux descriptions suivantes (A–D) ?
1. Réduction du coût de correction des défauts2. Détection précoce d’erreurs dans les documents3. Amélioration de la compréhension partagée des exigences4. Identification d’anomalies sans exécution du codeA. Évite des régressions coûteuses en fin de projetB. Permet de corriger les problèmes dès les premières phases du projetC. Favorise la collaboration entre les membres de l’équipeD. S’appuie sur l’analyse de code ou de documents plutôt que sur l’exécutionSélectionnez UNE réponse.
A. 1C, 2A, 3D, 4B
B. 1B, 2D, 3A, 4C
C. 1D, 2C, 3B, 4A
D. 1A, 2B, 3C, 4D
✓ Bonne réponse : D
Cette question correspond à l’objectif d’apprentissage FL-3.1.2 (K2) – Expliquer la valeur du test statique.
La réponse correcte est a) 1A, 2B, 3C, 4D
● 1A) Correct : Moins de défauts en production = moins de coûts en fin de cycle. ● 2B) Correct : Le test statique permet d’identifier les erreurs avant que le code soit écrit. ● 3C) Correct : Les revues statiques aident l’équipe à mieux comprendre les exigences. ● 4 D) Correct : Le test statique n’exécute pas le code, il l’analyse.
Question 7 / 10
Une application bancaire en ligne permet des transferts d\'un montant minimum de 10 € et maximum de 10 000 €. En utilisant l\'analyse des valeurs limites, quelles sont les valeurs à tester ?
A. 10 €, 10 000 €
B. 9 €, 10 €, 10 000 €, 10 001 €
C. 0 €, 10 €, 10 000 €, 15 000 €
D. 10 €, 5 000 €, 10 000 €
✓ Bonne réponse : B
Cette question correspond à l\'objectif d\'apprentissage FL-4.2.1 (K3) – Utiliser les partitions d\'équivalence pour dériver les cas de test ● a) Correct → Les valeurs 9 € (juste en dessous du minimum), 10 € (minimum), 10 000 € (maximum) et 10 001 € (juste au-dessus du maximum) couvrent les limites inférieures et supérieures ● b) Faux → Les valeurs intermédiaires comme 5 000 € ne testent pas les limites. ● c) Faux → 0 € et 15 000 € sont en dehors des limites pertinentes. ● d) Faux → Tester uniquement les valeurs limites sans les valeurs juste en dehors des limites ne couvre pas tous les scénarios possibles.
Question 8 / 10
Parmi les cas de test suivants, lequel illustre le MIEUX un scénario réaliste basé sur cette User Story et ses critères d’acceptation ?
Vous participez à la rédaction collaborative d\'une User Story concernant une nouvelle fonctionnalité de tri par note moyenne des clients dans une application e-commerce.En tant que client d\'une boutique en ligne,Je veux pouvoir trier les résultats de recherche par note moyenne des clients,afin de pouvoir trouver les produits les mieux évalués plus facilement.Sélectionnez UNE réponse.
A. Désactiver JavaScript dans le navigateur. Résultat attendu : les résultats ne se mettent plus à jour automatiquement.
B. Cliquer sur un produit dans la liste. Résultat attendu : la fiche produit s’ouvre dans un nouvel onglet.
C. Accéder à la page produit. Trier par note moyenne en ordre décroissant. Résultat attendu: les produits les mieux notés apparaissent en haut de la liste
D. Modifier la couleur du bouton de tri. Résultat attendu : le bouton passe du bleu au vert.
✓ Bonne réponse : C
Cette question correspond à l\'objectif d\'apprentissage FL-4.5.1 - Expliquer comment rédiger des User Stories en collaboration avec des développeurs et des représentants du métier. ● a) Correct → Ce cas de test est directement aligné avec le besoin métier (voir les produits les mieux notés) et répond à un critère d’acceptation de la User Story (trivdécroissant). ● b) Faux → Ce changement de couleur n’est pas mentionné dans la User Story. c) Faux → Le comportement sans JavaScript n’est pas un critère couvert, et relève de tests techniques spécifiques. d) Faux → L’ouverture de la fiche produit n’est pas liée à la fonctionnalité de tri décrite dans la User Story
Question 9 / 10
Quelle est la différence entre une erreur, un défaut et une défaillance ?
A. Une défaillance est un problème présent dans le code source.
B. Une erreur humaine peut entraîner un défaut, qui peut causer une défaillance.
C. Un défaut est une anomalie visible par l’utilisateur final.
D. Une erreur est une anomalie détectée en production.
✓ Bonne réponse : B
Cette question correspond à l’objectif d’apprentissage FL-1.2.3 (K2) – Expliquer la relation entre erreur, défaut et défaillance. ● a) Faux → Une erreur est une faute humaine qui peut introduire un défaut, mais ce n’est pas une anomalie détectée en production. ● b) Faux → Un défaut peut exister sans être visible par l’utilisateur final. ● c) Correct → Une erreur humaine peut entraîner un défaut dans le logiciel, qui peut causer une défaillance en production ● d) Faux → Une défaillance est une anomalie observée lors de l’exécution, pas un problème directement présent dans le code source.
Question 10 / 10
Quelle correspondance est la PLUS appropriée entre les activités de test (1–4) et leurs objectifs (A–D) ?
1. Planification du test2. Conception du test3. Exécution du test4. Clôture du testA. Rassembler les métriques, évaluer les critères de sortie atteintsB. Choisir les cas à exécuter et les données de testC. Identifier les objectifs, ressources, et risquesD. Lancer les tests et comparer les résultats attendus et obtenus
A. 1D, 2C, 3A, 4B
B. 1A, 2D, 3B, 4C
C. 1C, 2B, 3D, 4A
D. 1B, 2A, 3C, 4D
✓ Bonne réponse : C
Cette question correspond à l’objectif d’apprentissage FL-1.4.1 (K2) – Résumer les différentes activités et tâches de test. La bonne réponse est : d) 1C, 2B, 3D, 4A
● 1C) : Correct : La planification sert à préparer le cadre du test ● 2B) : Correct : La conception permet de définir les données, cas et conditions de test ● 3D) : Correct : L’exécution vérifie le résultat réel par rapport à l’attendu ● 4A) : Correct : Clôturer = évaluer, nettoyer, archiver, analyser les résultats
Laquelle des bonnes pratiques suivantes accorde aux administrateurs une période définie pour effectuer des modifications sur un système opérationnel afin de garantir la disponibilité et de minimiser les impacts métier ?
Sélectionnez la bonne réponse.
A. Interruption de service planifiée
B. Analyse d'impact
C. Comités de gestion des changements
D. Plan de retour arrière
✓ Bonne réponse : A
La maintenance planifiée (Scheduled downtime) : une fenêtre prédéfinie pendant laquelle les administrateurs effectuent la maintenance ou les mises à jour du système tandis que celui-ci est intentionnellement hors ligne. Cela minimise l'impact sur l'activité en permettant aux organisations de s'organiser autour de l'indisponibilité plutôt que de subir des pannes inattendues. Contrairement à l'analyse d'impact (outil d'évaluation), aux plans de retour arrière (procédures de rollback) ou aux comités de changement (processus d'approbation), la maintenance planifiée préserve directement la disponibilité grâce à une allocation planifiée du temps d'interruption de service.
Question 2 / 10
Une entreprise souhaite s'assurer que les données stockées dans le cloud ne peuvent pas être consultées par des tiers non autorisés. Quel contrôle doit être mis en place ?
Sélectionnez la bonne réponse.
A. D. Application des correctifs
B. A. Pare-feux
C. B. Antivirus
D. C. Chiffrement
✓ Bonne réponse : D
Chiffrement : transforme les données en texte chiffré illisible à l'aide d'algorithmes cryptographiques, garantissant la confidentialité même si des personnes non autorisées obtiennent un accès physique au stockage cloud. Les pare-feux et les antivirus protègent le périmètre réseau et les systèmes, mais ne protègent pas la confidentialité des données. La mise à jour des correctifs corrige les vulnérabilités, mais ne traite pas l'exposition des données au repos.
Question 3 / 10
Quelle action un ingénieur en sécurité devrait-il entreprendre pour s'assurer que les postes de travail et les serveurs sont correctement surveillés afin de détecter les modifications non autorisées et l'installation de logiciels non approuvés ?
Sélectionnez la bonne réponse.
A. Déployer des systèmes de détection d'intrusion réseau (IDS) à toutes les frontières du réseau
B. Installer un logiciel de gestion des endpoints pour inventorier les applications installées
C. Configurer tous les systèmes pour journaliser et surveiller les tâches planifiées qui s'exécutent régulièrement
D. Mettre en place une surveillance de l'intégrité des fichiers (FIM) pour détecter les modifications non autorisées des fichiers système critiques
✓ Bonne réponse : D
Surveillance de l'intégrité des fichiers (FIM) : Le FIM crée des bases de référence cryptographiques des fichiers système critiques et détecte en temps réel les modifications non autorisées, alertant les administrateurs en cas de falsification ou d'installation de logiciels malveillants. Tandis que la gestion des endpoints inventorie les logiciels et que les IDS surveillent le trafic réseau, seul le FIM assure une vérification continue de l'intégrité au niveau des fichiers — exigence fondamentale pour détecter les modifications non autorisées et les artefacts logiciels non approuvés.
Question 4 / 10
Lequel des éléments suivants décrit un outil de surveillance et d'alerte de sécurité qui collecte les journaux système, applicatifs et réseau provenant de plusieurs sources dans un système centralisé ?
Sélectionnez la bonne réponse.
A. SIEM
B. SNMP
C. IDS
D. DLP
✓ Bonne réponse : A
SIEM (Security Information and Event Management) : Une plateforme centralisée qui agrège les journaux provenant de sources diverses — systèmes, applications, réseaux — permettant la corrélation en temps réel, l'analyse et la détection des menaces. Contrairement au DLP (prévention des pertes de données), à l'IDS (détection des intrusions) ou au SNMP (protocole de surveillance réseau), le SIEM excelle particulièrement dans la centralisation et la corrélation de multiples sources de journaux pour une surveillance de sécurité complète.
Question 5 / 10
Une organisation doit empêcher les utilisateurs provenant de pays à haut risque d'accéder à des documents sensibles dans une application SaaS, afin de se conformer aux exigences du département juridique. Lequel des éléments suivants l'administrateur de sécurité devrait-il utiliser ?
Sélectionnez la bonne réponse.
A. Chiffrement
B. Politique de géolocalisation
C. Réglementation sur la souveraineté des données
D. Masquage des données
✓ Bonne réponse : B
La politique de géolocalisation : un contrôle de sécurité qui restreint l'accès aux ressources en fonction de la localisation géographique des utilisateurs ou de l'origine de leur adresse IP. Les organisations mettent en place des politiques de géolocalisation pour se conformer aux exigences légales et prévenir les accès non autorisés provenant de pays à risque élevé. Contrairement au chiffrement (protège les données en transit ou au repos), à la pseudonymisation (masque les informations sensibles) ou aux réglementations sur la souveraineté des données (cadres juridiques), les politiques de géolocalisation appliquent activement des restrictions d'accès au niveau de la couche d'authentification.
Question 6 / 10
Quel élément est utilisé pour garantir la disponibilité des données et des systèmes critiques en cas de sinistre ?
Sélectionnez la bonne réponse.
A. B. Politique d'utilisation acceptable
B. D. Formation à la sensibilisation à la sécurité
C. C. Plan de continuité des activités
D. A. Politique de sécurité
✓ Bonne réponse : C
Plan de Continuité d'Activité (BCP) : Une stratégie documentée décrivant les procédures permettant de maintenir les opérations critiques pendant et après un sinistre. Il garantit la disponibilité des données et des systèmes grâce à des procédures de reprise, des systèmes de sauvegarde et des mécanismes de basculement. Contrairement aux politiques de sécurité (contrôles administratifs), aux politiques d'utilisation acceptable (directives comportementales) ou aux formations de sensibilisation (initiatives éducatives), un BCP traite spécifiquement de la résilience opérationnelle et de la reprise après sinistre.
Question 7 / 10
Un utilisateur supprime accidentellement un fichier important d'un dossier réseau partagé. Quelle option suivante permettra le MIEUX de récupérer le fichier perdu ?
Sélectionnez la bonne réponse.
A. C. Modifier les permissions
B. A. Consulter les journaux de l'antivirus
C. D. Restaurer à partir d'une sauvegarde
D. B. Utiliser le chiffrement
✓ Bonne réponse : C
Sauvegarde et récupération : une sauvegarde est une copie de données stockée séparément de l'original, permettant la restauration après une suppression accidentelle ou une perte de données. Il s'agit du mécanisme principal de récupération des données. Les journaux antivirus détectent les logiciels malveillants mais ne peuvent pas restaurer les fichiers ; le chiffrement protège les données mais ne les récupère pas ; les permissions contrôlent les accès mais ne restaurent pas le contenu supprimé.
Question 8 / 10
Une entreprise a souscrit une cyber-assurance pour couvrir les éléments figurant dans le registre des risques. Quelle stratégie cela représente-t-il ?
Sélectionnez la bonne réponse.
A. Évitement du risque
B. Acceptation du risque
C. Transfert du risque
D. Atténuation du risque
✓ Bonne réponse : C
Transfert de Risque : Déléguer la responsabilité financière des pertes potentielles à un tiers par le biais d'assurances ou de contrats. Une cyber-assurance transfère la charge des coûts liés à une violation à un assureur, plutôt que d'accepter, d'éviter ou d'atténuer le risque en interne. Contrairement à la mitigation (réduction de la probabilité ou de l'impact) ou à l'acceptation (conservation du risque), le transfert délègue les conséquences financières à une autre entité.
Question 9 / 10
Un ingénieur doit trouver une solution qui crée une couche de sécurité supplémentaire en empêchant les accès non autorisés aux ressources internes de l'entreprise depuis des réseaux externes. Laquelle des solutions suivantes serait la plus adaptée ?
Sélectionnez la bonne réponse.
A. Déployer un pare-feu applicatif Web (WAF) pour filtrer le trafic HTTP/HTTPS
B. Mettre en place un hôte bastion pour contrôler et surveiller l'accès aux systèmes internes
C. Utiliser l'authentification unique (SSO) pour simplifier l'authentification des utilisateurs sur les différentes applications
D. Installer un pare-feu périmétrique réseau avec filtrage de paquets sans état
✓ Bonne réponse : B
Bastion Host : Un serveur renforcé à point d'entrée unique qui sert d'intermédiaire pour tous les accès externes aux ressources internes. Il ajoute une couche de sécurité critique en centralisant l'authentification, la surveillance et le contrôle des connexions, réduisant ainsi la surface d'attaque. Contrairement au WAF (qui filtre uniquement le trafic HTTP), aux pare-feux (filtrage de paquets basique) ou au SSO (authentification seule), un bastion host offre un contrôle d'accès complet et des capacités d'audit pour l'accès privilégié aux systèmes internes.
Question 10 / 10
Un administrateur système recherche une solution d'hébergement d'applications basée sur le cloud et à faible coût. Laquelle des options suivantes répond à ces exigences ?
A. SDN
B. Framework Serverless
C. SD-WAN
D. Hyperviseur de type 1
✓ Bonne réponse : B
Réponse : Framework Serverless. Explication : Les frameworks Serverless (comme AWS Lambda ou Azure Functions) permettent d'héberger des applications dans le cloud à faible coût, car vous ne payez que lorsque le code s'exécute, et non pour le temps d'inactivité des serveurs. Il n'y a aucune infrastructure à gérer ni à provisionner.
Quel type de graphique est le plus adapté pour visualiser l’évolution d’une mesure au fil du temps ?
A. Un histogramme vertical
B. Un graphique en courbes (line chart)
C. Un nuage de points
D. Un diagramme circulaire
✓ Bonne réponse : B
Graphique en courbes : idéal pour visualiser l'évolution temporelle d'une mesure. Les points sont reliés par des lignes continues, permettant de percevoir immédiatement les tendances, hausses et baisses. À l'inverse, les diagrammes circulaires montrent des proportions, les nuages de points révèlent des corrélations entre variables, et les histogrammes comparent des catégories discrètes—tous inadaptés aux séries temporelles.
Question 2 / 10
Quel scénario correspond le mieux à l’utilisation d’une base NoSQL orientée documents ?
A. Stocker des profils utilisateurs sous forme JSON
B. Stocker des fichiers multimédia volumineux
C. Gérer une base relationnelle avec clés étrangères
D. Traiter des transactions bancaires en temps réel
✓ Bonne réponse : A
Base NoSQL orientée documents : stocke des données semi-structurées (JSON, XML) sans schéma fixe, idéale pour les structures variables comme les profils utilisateurs. Contrairement aux bases relationnelles (rigides avec clés étrangères), elle offre flexibilité. Différente du stockage multimédia (Blob Storage) et des transactions bancaires (bases ACID relationnelles obligatoires).
Question 3 / 10
Quel type de jointure retourne uniquement les lignes ayant une correspondance dans les deux tables ?
A. FULL OUTER JOIN
B. RIGHT JOIN
C. INNER JOIN
D. LEFT JOIN
✓ Bonne réponse : C
INNER JOIN : jointure qui retourne uniquement les lignes ayant une correspondance dans les deux tables. C'est la plus restrictive car elle exclut tous les enregistrements sans équivalent. À l'inverse, LEFT JOIN conserve tous les enregistrements de la table gauche, et FULL OUTER JOIN inclut tous les enregistrements des deux tables, même sans correspondance.
Question 4 / 10
Quel service Azure permet de créer des tableaux de bord interactifs et des rapports visuels à partir de sources de données multiples ?
A. Azure Machine Learning Designer pour les visualisations de données d'entraînement
B. Azure Monitor pour la visualisation des métriques d'infrastructure cloud
C. Microsoft Power BI, connecté à de multiples sources pour créer et partager des rapports interactifs
D. Azure Data Studio pour la visualisation des données de bases SQL
✓ Bonne réponse : C
Microsoft Power BI est la solution de Business Intelligence (BI) d'Azure qui permet de connecter de nombreuses sources de données (Azure SQL, Cosmos DB, Excel, Salesforce, etc.), de créer des rapports interactifs avec des visualisations (graphiques, cartes, KPIs), et de les partager via Power BI Service (cloud). Il existe en trois éditions : Desktop (gratuit, création), Pro (partage, collaboration), Premium (large diffusion, IA). Azure Synapse Analytics s'intègre directement avec Power BI pour des analyses en temps quasi-réel sur de grands volumes.
Question 5 / 10
Dans Azure, quel service relationnel est utilisé pour PostgreSQL en mode managé ?
A. Azure Database for PostgreSQL
B. Azure Cosmos DB
C. Azure SQL Database
D. Azure Blob Storage
✓ Bonne réponse : A
Azure Database for PostgreSQL : service entièrement managé par Microsoft qui héberge des bases de données PostgreSQL sans gestion d'infrastructure. Contrairement à Azure SQL Database (SQL Server), il prend en charge spécifiquement le moteur PostgreSQL open-source. Azure Cosmos DB est non-relationnel, Azure Blob Storage est du stockage d'objets.
Question 6 / 10
Quelle est la fonction principale d’une clé primaire dans une table relationnelle ?
A. Chiffrer les données stockées
B. Améliorer la vitesse des requêtes SQL
C. Identifier de manière unique chaque ligne de la table
D. Relier deux tables entre elles
✓ Bonne réponse : C
Clé primaire : colonne ou ensemble de colonnes garantissant l'unicité de chaque enregistrement dans une table relationnelle. Elle empêche les doublons et permet l'identification précise des données. Contrairement aux clés étrangères (qui créent des relations entre tables) ou aux index (qui optimisent les performances), la clé primaire est fondamentalement un mécanisme d'intégrité et de distinction des données.
Question 7 / 10
Quel type de clé assure l’unicité des enregistrements dans une table SQL ?
A. Trigger
B. Clé étrangère
C. Index
D. Clé primaire
✓ Bonne réponse : D
Clé primaire : colonne ou ensemble de colonnes qui identifie de manière unique chaque enregistrement dans une table. Elle empêche les doublons et les valeurs NULL, garantissant l'intégrité des données. Contrairement à une clé étrangère (qui référence une autre table), à un index (qui accélère les recherches) ou à un trigger (qui exécute des actions), la clé primaire est la seule qui assure l'unicité absolue.
Question 8 / 10
Qu'est-ce qu'un modèle de données en étoile (Star Schema) et où est-il utilisé ?
A. Un schéma en étoile est utilisé dans les bases OLTP pour accélérer les transactions
B. Le schéma en étoile ne peut pas être utilisé avec Power BI, qui nécessite un schéma normalisé 3NF
C. C'est un algorithme de chiffrement des données dans Azure Synapse Analytics
D. Modèle OLAP avec une table de faits (métriques) entourée de tables de dimensions (contexte), optimisé pour les requêtes analytiques
✓ Bonne réponse : D
Le schéma en étoile (Star Schema) est un modèle de données pour les entrepôts de données et OLAP. Il centre une table de faits (métriques mesurables : ventes, quantités, montants) entourée de tables de dimensions (contexte : date, produit, client, région). Cette structure dénormalisée (légère redondance intentionnelle) optimise les requêtes analytiques car les jointures sont simples et peu nombreuses. C'est le modèle favori de Power BI et Azure Synapse Analytics. Le schéma en flocon (Snowflake Schema) normalise davantage les dimensions mais complexifie les requêtes.
Question 9 / 10
Dans Cosmos DB, quel modèle est utilisé lorsqu’on choisit l’API Gremlin ?
A. Modèle clé-valeur
B. Modèle relationnel
C. Modèle graphe
D. Modèle orienté colonnes
✓ Bonne réponse : C
API Gremlin et modèle graphe : Gremlin est un langage de requête standardisé pour naviguer dans les bases de données graphes. Cosmos DB utilise ce modèle pour stocker des données sous forme de nœuds (entités) et d'arêtes (relations) entre eux, idéal pour représenter des réseaux complexes. Contrairement au modèle relationnel (tables), au modèle clé-valeur (paires simples) ou au modèle orienté colonnes (analytique), le graphe excelle pour explorer les connexions et chemins entre données interconnectées.
Question 10 / 10
Quelle commande SQL permet de modifier la structure d’une table (par exemple, ajouter une colonne) ?
A. INSERT
B. UPDATE
C. ALTER
D. SELECT
✓ Bonne réponse : C
Concept clé : ALTER modifie la structure. La commande ALTER permet de modifier le schéma d'une table (ajouter, supprimer ou renommer des colonnes, modifier des types de données). À distinguer : UPDATE change les données existantes, INSERT ajoute des lignes, SELECT interroge les données. ALTER agit sur la définition de la table elle-même, pas sur son contenu.
D. Détermine la plage de numérotation et la nature d’opération
✓ Bonne réponse : D
Réponse : Détermine la plage de numérotation et la nature d'opération Le type de document (Document Type) définit la plage de numérotation des documents, les types de comptes autorisés (G/L, client, fournisseur) et la nature comptable de l'opération. Exemples : AB (actifs), SA (pièce comptable GL), KR (facture fournisseur), DR (facture client).
Question 2 / 10
Où paramètre-t-on la configuration du paiement automatique (banques, méthodes par pays/société, détermination des comptes bancaires) ?
Sélectionnez la bonne réponse.
A. F-53
B. MR11
C. OB52
D. FBZP
✓ Bonne réponse : D
Réponse : Dans la personnalisation FBZP. Explication : FBZP centralise les paramètres nécessaires à F110 (méthodes, banques propres, détermination des comptes, tolérances).
Question 3 / 10
À quels niveaux pouvez-vous définir le compte de clearing technique pour l'acquisition d'immobilisations intégrée en Customizing ? (Choisissez deux réponses.)
A. Plan comptable
B. Classe d'immobilisation
C. Détermination des comptes
D. Zone d'amortissement
✓ Bonne réponse : B, C
Réponse : Classe d'immobilisation ; détermination des comptes. Explication : Le compte de clearing technique peut être défini à deux niveaux : au niveau de la classe d'immobilisation (pour les comptes de clearing spécifiques à la classe) et au niveau de la détermination des comptes (pour une affectation plus généralisée à travers plusieurs classes d'immobilisations).
Question 4 / 10
Quel est l'ordre correct des étapes d'un processus Order-to-Cash (O2C) dans SAP S/4HANA ?
B. Commande client → Facturation → Livraison → Encaissement
C. Facturation → Commande client → Livraison → Encaissement
D. Livraison → Commande client → Facturation → Encaissement
✓ Bonne réponse : A
Ordre correct Order-to-Cash :
Commande client (VA01)
Livraison (VL01N)
Sortie de marchandises / PGI (VL02N)
Facturation client (VF01)
Encaissement et lettrage (F-28)
Le flux O2C génère des écritures comptables automatiques à la sortie de marchandises (débit CMV / crédit stock) et lors de la facturation (débit client / crédit produits).
Question 5 / 10
La variante d’exercice (Fiscal Year Variant) détermine principalement…
Sélectionnez la meilleure réponse.
A. Le nombre de périodes et de périodes spéciales
B. Les tolérances utilisateurs
C. La devise de la société
D. La numérotation des documents
✓ Bonne réponse : A
Réponse : Le nombre de périodes et de périodes spéciales La Fiscal Year Variant détermine le nombre de périodes comptables (généralement 12) et le nombre de périodes spéciales (jusqu'à 4) utilisées pour les ajustements de clôture. Elle définit aussi si l'exercice est calé sur l'année civile ou décalé.
Question 6 / 10
Le ledger non principal peut avoir une variante d’exercice différente du ledger 0L.
Vrai ou faux ?
A. Faux
B. Vrai
✓ Bonne réponse : B
Réponse : Vrai Explication : Les ledgers parallèles peuvent utiliser des variantes distinctes pour répondre à des normes différentes.
Question 7 / 10
Quelles sont les caractéristiques de la zone d'amortissement 01 ? (Choisissez deux réponses.)
A. Elle doit être liée au grand livre principal 0L.
B. Elle doit toujours comptabiliser en temps réel.
C. Elle ne peut pas reprendre les valeurs d'autres zones.
D. Elle doit être définie comme type de zone d'évaluation en comptabilité analytique.
✓ Bonne réponse : A, B
Réponse : Elle doit toujours comptabiliser en temps réel ; elle doit être liée au grand livre principal 0L. Explication : La zone d'amortissement 01 est la zone d'amortissement principale dans la comptabilité des immobilisations SAP. Elle doit comptabiliser en temps réel au journal universel et est toujours liée au grand livre principal (0L), assurant une intégration immédiate du grand livre pour le principe comptable primaire.
Question 8 / 10
Un ledger non principal peut avoir une variante d’exercice différente du 0L.
Vrai ou faux ?
A. Faux
B. Vrai
✓ Bonne réponse : B
Réponse : Vrai Dans la comptabilité parallèle de S/4HANA, un ledger non principal peut être assigné à une variante d'exercice fiscal différente du ledger principal (0L). Cela permet, par exemple, d'avoir un ledger IFRS sur une année civile et un ledger local sur un exercice décalé.
Question 9 / 10
Quel est l'ordre correct des étapes d'une clôture mensuelle standard en comptabilité FI ?
A. Valoriser devises → Calculer provisions → Saisir écritures → Clôturer période
B. Calculer provisions → Clôturer période → Saisir écritures → Valoriser devises
C. Saisir/valider toutes les écritures → Valoriser les devises étrangères → Calculer les provisions/régularisations → Clôturer la période (OB52)
D. Clôturer la période → Saisir écritures → Valoriser devises → Calculer provisions
✓ Bonne réponse : C
Ordre correct clôture mensuelle FI :
OB52 : ouvrir la nouvelle période / fermer l'ancienne
Accruals/deferrals : écritures de régularisation
Valorisation de change : réévaluation des postes en devises
Nettoyage GR/IR (MR11) et lettrage OI (F.13)
Revue des comptes et publication des états
Question 10 / 10
Quel code transaction SAP GUI est utilisé pour saisir un paiement sortant manuel à un fournisseur ?
A. F110
B. FBL1N
C. F-53
D. F-43
✓ Bonne réponse : C
Réponse : F-53 La transaction F-53 (Post Outgoing Payments) permet d'enregistrer un paiement sortant manuel fournisseur et de lettrer le paiement avec les factures ouvertes correspondantes. Elle est utilisée pour les paiements individuels manuels, par opposition au run automatique F110.
Dans le développement responsable de l'AI, quel est l'objectif principal de la mise en œuvre de mécanismes de surveillance humaine dans les systèmes de décision automatisés ?
A. Remplacer tout travail manuel et éliminer complètement l'implication humaine
B. Réduire les coûts de développement et de maintenance du système
C. Augmenter la vitesse de prise de décision sans aucun délai
D. S'assurer que les humains peuvent intervenir, examiner et contester les décisions de l'AI, particulièrement dans les scénarios à enjeux élevés
✓ Bonne réponse : D
Concept clé : Surveillance humaine dans l'éthique de l'AI. Les systèmes human-in-the-loop maintiennent la responsabilité et permettent l'intervention lorsque les décisions de l'AI pourraient causer du tort. Les tests doivent vérifier que les mécanismes de surveillance fonctionnent correctement et que les humains peuvent examiner et contester de manière significative les décisions avant qu'elles n'affectent les parties prenantes.
Question 2 / 10
Laquelle des actions suivantes représente une meilleure pratique pour tester la transparence dans la documentation d'un système AI ?
A. Documenter les limitations du modèle, les sources des données d'entraînement et la logique de décision pour la compréhension des parties prenantes
B. Fournir uniquement des documents marketing sans spécifications techniques
C. Supprimer la documentation après le déploiement du système pour économiser de l'espace de stockage
D. Garder tous les détails techniques secrets pour protéger l'avantage concurrentiel
✓ Bonne réponse : A
Concept clé : Transparence dans le test AI. Une documentation complète des capacités du modèle, de ses limitations et des sources d'entraînement permet aux parties prenantes de comprendre et d'évaluer les systèmes AI. Les testeurs doivent valider que tous les éléments de transparence requis sont correctement documentés et accessibles aux parties concernées.
Question 3 / 10
Quelle approche de test est la plus appropriée pour valider qu'un système AI ne présente PAS de biais de genre dans les recommandations d'embauche ?
A. Supposer que le biais de genre est impossible puisque le système est automatisé
B. Tester uniquement avec des candidats provenant d'une seule région géographique
C. Mener des audits d'équité comparant les taux de recommandation entre genres pour des candidats ayant des qualifications équivalentes
D. Tester uniquement avec des candidats masculins pour simplifier l'analyse
✓ Bonne réponse : C
Concept clé : Audit d'équité pour la détection de biais. Les audits d'équité comparent les résultats entre catégories de genre pour des candidats ayant des qualifications équivalentes. Les testeurs doivent analyser systématiquement si le système recommande les candidats masculins et féminins ayant des qualifications équivalentes à des taux similaires, en identifiant un biais de genre si des disparités sont constatées.
Question 4 / 10
Laquelle des affirmations suivantes décrit CORRECTEMENT l'importance de la flexibilité pour les systèmes d'IA ?
A. Les systèmes AI flexibles permettent une modification plus facile du système dans son ensemble.
B. Les systèmes auto-apprenants sont censés gérer de nouvelles situations sans avoir à les programmer explicitement.
C. Les systèmes AI sont intrinsèquement flexibles.
D. Les systèmes AI nécessitent des environnements opérationnels changeants ; par conséquent, la flexibilité est requise.
✓ Bonne réponse : A
Réponse : Les systèmes auto-apprenants sont censés faire face à de nouvelles situations sans qu'il soit nécessaire de les programmer explicitement pour cela. Explication : La flexibilité des systèmes d'IA désigne la capacité à gérer des situations nouvelles, jamais rencontrées auparavant. Les systèmes auto-apprenants y parviennent en mettant continuellement à jour leurs modèles à partir de l'expérience, sans nécessiter de reprogrammation manuelle pour chaque nouveau scénario.
Question 5 / 10
La valeur d'activation en sortie d'un neurone dans un réseau de neurones est obtenue par un calcul appliqué à ce neurone. Laquelle des options suivantes décrit le MIEUX les entrées utilisées pour calculer cette valeur d'activation ?
A. Le biais individuel au niveau du neurone et les poids associés aux connexions entre les neurones.
B. Les valeurs d'activation des neurones de la couche précédente et les poids associés aux connexions entre les neurones.
C. Le biais individuel au niveau du neurone, les valeurs d'activation des neurones de la couche précédente et les poids associés aux connexions entre les neurones.
D. Le biais individuel au niveau du neurone et les valeurs d'activation des neurones de la couche précédente.
✓ Bonne réponse : C
Réponse : Le biais individuel du neurone, les valeurs d'activation de la couche précédente et les poids des connexions. Explication : La valeur d'activation d'un neurone est calculée selon la formule : fonction_activation(Σ(poids_i × activation_couche_précédente_i) + biais). Les trois entrées sont donc : le terme de biais propre au neurone, les valeurs d'activation pondérées issues de la couche précédente, et les poids des connexions entre les couches.
Question 6 / 10
Laquelle des affirmations suivantes ne décrit PAS un défi lié à l'acquisition de données de test dans les systèmes ML ?
A. Les données de test proviennent de sources publiques.
B. La conformité aux lois sur la protection des données personnelles exige un traitement approprié de ces données.
C. La nature des données évolue constamment au fil du temps.
D. Les données relatives au cas d'usage sont générées à un rythme soutenu.
✓ Bonne réponse : A
Réponse : Le fait que les données de test proviennent de sources publiques ne constitue PAS un défi. Explication : Les sources de données publiques sont généralement accessibles et ne posent pas de problème particulier d'acquisition. Les véritables défis liés à l'acquisition de données de test ML comprennent : la conformité au RGPD et aux réglementations sur la vie privée, l'obtention d'échantillons représentatifs, les coûts d'étiquetage, les exigences en volume de données, ainsi que la gestion des données propriétaires ou confidentielles.
Question 7 / 10
Lequel des éléments suivants est un exemple de surapprentissage (overfitting) ?
A. Le modèle ne parvient pas à identifier les relations entre les entrées et les sorties
B. Le modèle est trop simpliste par rapport aux données
C. Le modèle écarte les données qu'il considère comme du bruit ou des valeurs aberrantes
D. Le modèle est incapable de généraliser pour s'adapter à de nouveaux types de données
✓ Bonne réponse : D
Réponse : Le modèle est incapable de généraliser pour s'adapter à de nouveaux types de données. Explication : Le surapprentissage (overfitting) se produit lorsqu'un modèle apprend les données d'entraînement de manière trop précise, y compris leur bruit et leurs schémas non pertinents, et échoue à généraliser sur des données inédites. Un modèle incapable de s'adapter à de nouveaux types de données a « mémorisé » la distribution d'entraînement plutôt que de l'avoir véritablement apprise.
Question 8 / 10
Laquelle des propositions suivantes représente un problème avec les cas de test générés par l'IA à partir des exigences ?
A. Ils sont sujets aux défauts car ils sont incapables de détecter les nuances dans les exigences
B. Ils compliquent le débogage car le nombre d'étapes est généralement élevé afin de provoquer la défaillance ciblée
C. Les résultats attendus y sont généralement absents, ce qui rend la vérification difficile ou oblige à se limiter à la détection des défaillances les plus significatives
D. Ils sont lents et ne pourront généralement pas s'exécuter dans le temps imparti
✓ Bonne réponse : C
Réponse : Les cas de test générés par l'IA à partir des exigences sont généralement dépourvus de résultats attendus. Explication : Les outils d'IA peuvent générer des données d'entrée de test à partir des exigences, mais peinent à en dériver les résultats attendus (oracle de test). En l'absence de résultats attendus, la vérification ne peut détecter que les défaillances critiques, et non les erreurs fonctionnelles subtiles.
Question 9 / 10
Dans laquelle des situations suivantes un modèle ML serait-il le PLUS efficace pour déterminer la criticité de nouveaux défauts ?
A. Une ancienne application disposant de nombreux enregistrements de défauts, mais avec une équipe de développement et de test entièrement nouvelle
B. Une ancienne application avec peu d'enregistrements de défauts critiques et de nombreux enregistrements de défauts non critiques
C. Une ancienne application dont les enregistrements de défauts sont liés à des tests en échec et à des incidents en production
D. Une nouvelle application en début de premier cycle de test
✓ Bonne réponse : C
Réponse : Une ancienne application dont les enregistrements de défauts sont liés à des tests en échec et à des incidents en production. Explication : La prédiction de criticité des défauts par ML fonctionne mieux avec des données historiques riches. Une ancienne application dont les enregistrements de défauts sont liés à des échecs de tests et à des incidents en production fournit les données d'entraînement étiquetées (défaut → impact) nécessaires à l'élaboration d'un modèle efficace.
Question 10 / 10
Laquelle des affirmations suivantes décrit le MIEUX l'effet IA ?
A. Les systèmes IA se comportent de plus en plus comme des humains.
B. Les systèmes utilisés pour jouer aux échecs contre des experts humains dans les années 1990 ne sont plus considérés comme de l'IA.
C. Les systèmes IA s'améliorent au fil du temps à mesure qu'ils sont exposés à davantage de données.
D. À mesure que les systèmes IA progressent, la probabilité d'atteindre la singularité technologique augmente.
✓ Bonne réponse : B
Réponse : Les systèmes utilisés pour jouer aux échecs dans les années 1990 ne sont plus considérés comme de l'IA. Explication : L'effet IA désigne la tendance à ne plus qualifier d'« IA » une capacité dès lors qu'elle devient courante. Les programmes de jeu d'échecs représentaient une IA révolutionnaire dans les années 1990, mais sont aujourd'hui considérés comme des logiciels classiques.
Laquelle des options suivantes constitue un élément clé du principe directeur « opter pour la simplicité et rester pratique » ?
A. Commencer par une solution complexe, puis simplifier
B. Ignorer les objectifs contradictoires des différentes parties prenantes
C. Comprendre comment chaque élément contribue à la création de valeur
D. Essayer de créer une solution pour chaque exception
✓ Bonne réponse : C
Réponse : Comprendre comment chaque élément contribue à la création de valeur. Explication : Le principe \'Opter pour la simplicité\' demande de comprendre comment chaque élément contribue à la valeur, en éliminant ce qui n\'en apporte pas et en évitant la complexité inutile.
Question 2 / 10
Quelle est l’utilisation PRINCIPALE d’un calendrier des changements ?
A. Pour planifier les changements et éviter les conflits
B. Pour supporter la \"gestion des incidents\" et la planification d\'améliorations
C. Pour gérer les changements standard
D. Pour gérer les changements urgents
✓ Bonne réponse : A
Réponse : Pour planifier les changements et éviter les conflits. Explication : Le calendrier des changements sert principalement à planifier les changements et à prévenir les conflits entre eux, en offrant une vue consolidée de tous les changements prévus.
Question 3 / 10
Laquelle des options suivantes est supportée par la pratique de « gestion des demandes de services » ?
A. Une demande de restauration du service après une interruption deservice
B. Une demande d\'autorisation d\'un changement qui pourrait avoir un impact sur un service
C. Une demande d\'investigation sur la cause de plusieurs incidents connexes
D. Une demande d\'un utilisateur concernant quelque chose qui fait partie intégrante de la fourniture normale des services
✓ Bonne réponse : D
Réponse : Une demande d\'un utilisateur concernant quelque chose qui fait partie intégrante de la fourniture normale des services. Explication : La gestion des demandes de services prend en charge les demandes standard faisant partie de la fourniture normale des services, comme une réinitialisation de mot de passe ou la commande d\'un équipement.
Question 4 / 10
Quelle pratique propose un point de contact unique pour les utilisateurs ?
A. La gestion des incidents
B. Habilitation des changements
C. Le centre de services
D. La gestion des demandes de services
✓ Bonne réponse : C
Réponse : Le centre de services. Explication : Le centre de services constitue le point de contact unique (SPOC) entre le fournisseur de services et les utilisateurs pour toutes les communications, demandes et incidents.
Question 5 / 10
Identifiez le ou les mots manquants dans la phrase suivante. Un service est un moyen qui permet la co-création de valeur en facilitant [?] que les clients veulent atteindre.
A. les livrables
B. les résultats
C. la garantie
D. l\'utilité
✓ Bonne réponse : B
Réponse : les résultats. Explication : Selon ITIL 4, un service est un moyen de co-créer de la valeur en facilitant les résultats que les clients souhaitent atteindre, sans qu\'ils aient à gérer les coûts et risques spécifiques.
Question 6 / 10
Quel principe directeur recommande de prendre en considération les quatre dimensions de la gestion des services ?
A. Privilégier la valeur
B. Opter pour la simplicité et rester pratique
C. Progresser par itérations avec des retours
D. Penser et travailler de façon holistique
✓ Bonne réponse : D
Réponse : Penser et travailler de façon holistique. Explication : Le principe \'Penser et travailler de façon holistique\' recommande de prendre en compte les quatre dimensions de la gestion des services pour éviter une vision en silos.
Question 7 / 10
De quelle façon la catégorisation des incidents assiste-t-elle la pratique de « gestion des incidents » ?
A. Elle détermine la façon dont le fournisseur de services est perçu
B. Elle permet de diriger l\'incident vers la zone de support appropriée
C. Elle détermine la priorité assignée à l\'incident
D. Elle s\'assure que les incidents sont résolus dans les délais convenus avec le client
✓ Bonne réponse : B
Réponse : Elle permet de diriger l\'incident vers la zone de support appropriée. Explication : La catégorisation des incidents permet de les acheminer rapidement vers la bonne équipe de support, ce qui accélère leur résolution et améliore l\'efficacité du processus.
Question 8 / 10
Laquelle des options suivantes est un but de la pratique du « centre de services » ?
A. Capturer la demande de résolution d\'incidents et les demandes de services
B. Définir des cibles claires basées sur le business, en matière de performances des services
C. Réduire la probabilité et l\'impact des incidents en identifiant leurs causes réelles ou potentielles
D. Maximiser le nombre de changements informatiques réussis en vérifiant que les risques sont correctement évalués
✓ Bonne réponse : D
Réponse : Maximiser le nombre de changements informatiques réussis en vérifiant que les risques sont correctement évalués. Explication : Maximiser les changements informatiques réussis en évaluant correctement les risques est un objectif central de la gestion des services, que le centre de services contribue à atteindre en coordonnant les demandes.
Question 9 / 10
Quelle pratique est responsable du déplacement des composants vers les environnements de production ?
A. La gestion des actifs informatiques
B. La gestion des mises en production
C. Habilitation des changements
D. La gestion des déploiements
✓ Bonne réponse : C
Réponse : Habilitation des changements. Explication : En ITIL 4, l\'habilitation des changements est responsable du déplacement des composants vers les environnements de production, garantissant que les changements sont correctement contrôlés et autorisés avant mise en production.
Question 10 / 10
Quelles pratiques sont généralement impliquées dans l’implémentation de la résolution d’un problème ? 1. L’amélioration continue2. La gestion des demandes de services3. La gestion des niveaux de service4. Le habiliataion des changements
A. 1 et 2
B. 3 et 4
C. 1 et 4
D. 2 et 3
✓ Bonne réponse : C
Réponse : 1 et 4. Explication : La résolution d\'un problème implique l\'amélioration continue (identifier et éliminer la cause) et le contrôle des changements (implémenter la correction de manière contrôlée et sécurisée).
Quelle affirmation décrit le mieux comment la gestion des accès privilégiés (PAM) améliore la sécurité dans un environnement multi-cloud ?
A. PAM remplace le besoin de fédération d'identités en consolidant les annuaires utilisateurs
B. PAM fournit des tunnels VPN chiffrés pour les sessions administrateurs entre datacenters
C. PAM applique une gestion centralisée des politiques pour tous les dispositifs réseau à travers les clouds
D. PAM restreint, surveille et audite les activités des comptes privilégiés dans des environnements cloud hétérogènes
✓ Bonne réponse : D
Le PAM sécurise les comptes à privilèges élevés en limitant leur usage, en surveillant les actions et en conservant des traces d'audit, ce qui réduit les risques de compromission dans plusieurs clouds.
Question 2 / 10
Quelle est la responsabilité principale d'un data steward dans un cadre de gouvernance cloud ?
A. onfigurer les contrôles de prévention de perte de données (DLP) natifs cloud sur toutes les régions
B. Gérer les plannings de rotation des clés de chiffrement et les listes de contrôle d'accès
C. Veiller à ce que les politiques de données, les standards de qualité et les métadonnées soient maintenus conformément aux objectifs de gouvernance de l'organisation
D. pprouver manuellement toutes les demandes d'accès aux données dans l'entreprise
✓ Bonne réponse : C
Le data steward est responsable de la qualité, de la cohérence et de la conformité des données dans un cadre de gouvernance cloud. Il maintient les politiques de données, les métadonnées et les standards de qualité, assurant que les données respectent les exigences réglementaires (RGPD, ISO 27001) et les objectifs organisationnels.
Question 3 / 10
Pourquoi la rotation des secrets via les pipelines CI/CD est-elle considérée comme une bonne pratique pour les équipes DevSecOps ?
A. Elle permet aux secrets de rester valides indéfiniment pour éviter les interruptions de déploiement
B. Elle contourne les contrôles d'accès au vault pour accélérer le déploiement des secrets
C. Elle garantit que les secrets sont régulièrement mis à jour et distribués automatiquement sans intervention manuelle
D. Elle supprime le besoin de toute forme d'authentification dans les pipelines de développement
✓ Bonne réponse : C
Faire tourner les secrets via CI/CD permet de mettre à jour automatiquement les clés et mots de passe pour réduire le risque d'exposition et éviter les erreurs manuelles.
Question 4 / 10
Dans le contexte du firewall as code, lequel des éléments suivants décrit le mieux son avantage principal pour la gestion de la sécurité cloud ?
A. Il supprime le besoin de règles de firewall traditionnelles dans les réseaux virtuels
B. Il permet des configurations de firewall déclaratives et sous contrôle de version, intégrées dans les pipelines CI/CD
C. Il permet la génération automatique de topologies réseau pour tous les workloads
D. Il ajuste automatiquement le débit réseau en fonction des performances des applications
✓ Bonne réponse : B
Le firewall as code permet de gérer les règles de sécurité comme du code : elles sont déclaratives, versionnées et automatisées, ce qui facilite le déploiement et la conformité dans le cloud.
Question 5 / 10
Pourquoi se fier uniquement au rapport SOC 2 ou ISO 27001 d'un fournisseur cloud est-il insuffisant pour garantir que les exigences de conformité du client sont respectées ?
A. Parce que ces rapports couvrent uniquement les contrôles financiers, pas la sécurité.
B. Parce que les rapports peuvent ne pas inclure les contrôles pertinents pour le périmètre spécifique du client, la classification des données ou les obligations réglementaires.
C. Parce que ces rapports sont invalides pour les environnements cloud multinationales
D. Parce que les fournisseurs cloud n'ont pas le droit de partager la documentation SOC ou ISO avec leurs clients.
✓ Bonne réponse : B
Les rapports SOC 2 ou ISO 27001 montrent ce que le fournisseur fait pour la sécurité, mais ils ne garantissent pas que tout ce qui est spécifique aux besoins ou obligations du client est couvert.
Question 6 / 10
Quel contrôle de la Cloud Controls Matrix (CCM) traite le plus directement les risques liés à des ACL mal configurées dans le stockage d'objets ?
A. SI-05 : Masquage et obfuscation des données
B. IAM-01 : Politiques et procédures de gestion des identités et des accès
C. TVM-02 : Tests de pénétration et correction des vulnérabilités
D. SI-03 : Classification et gestion des données
✓ Bonne réponse : D
En classifiant correctement les données et en définissant comment elles doivent être manipulées, on sait quelles données doivent rester privées ou publiques. Cela aide à éviter que des fichiers sensibles soient exposés à cause de mauvaises ACL dans le stockage d'objets.
Question 7 / 10
Lequel des éléments suivants décrit le mieux le rôle de Security Assertion Markup Language (SAML) dans la gestion des identités fédérées dans les environnements cloud ?
A. Il chiffre les données stockées dans le cloud pour garantir la confidentialité entre les fournisseurs d'identité et les fournisseurs de services.
B. Il synchronise les comptes utilisateurs entre différents environnements cloud à l'aide d'API REST.
C. Il fournit un mécanisme pour échanger des données d'authentification et d'autorisation entre un fournisseur d'identité et un fournisseur de services à l'aide d'assertions basées sur XML.
D. Il authentifie directement les utilisateurs auprès du service d'annuaire interne du fournisseur cloud sans intermédiaire.
✓ Bonne réponse : C
SAML permet d'échanger des informations d'authentification entre un Identity Provider (IdP) et un Service Provider (SP) pour permettre le Single Sign-On (SSO).
Question 8 / 10
Lequel des éléments suivants explique le mieux la différence entre les ACL au niveau des objets et les politiques de bucket dans un environnement de stockage cloud ?
A. Les ACL d'objets remplacent les politiques de bucket lorsque les deux sont définies sur la même ressource
B. Les ACL d'objets s'appliquent aux buckets entiers, tandis que les politiques de bucket gèrent l'accès aux objets individuels
C. Les ACL d'objets fournissent un contrôle d'accès granulaire au niveau des objets, tandis que les politiques de bucket définissent des règles centralisées pour tout le bucket
D. Les ACL d'objets sont utilisées uniquement pour les utilisateurs IAM internes, tandis que les politiques de bucket s'appliquent à tous les comptes externes
✓ Bonne réponse : C
Les ACL d'objets définissent des permissions granulaires pour chaque objet individuellement, tandis que les politiques de bucket s'appliquent globalement à tous les objets. En pratique, les politiques de bucket sont préférées pour leur gestion centralisée ; les ACL restent utiles pour des exceptions par objet.
Question 9 / 10
Comment une désérialisation non sécurisée peut-elle compromettre la sécurité d'un service API ?
A. En exposant des identifiants en clair dans les logs de l'API
B. En permettant aux attaquants de manipuler des données sérialisées pour exécuter du code arbitraire
C. En provoquant une fuite de données via des limites de taux API trop élevées
D. En contournant la validation de schéma pour appliquer un typage strict des entrées
✓ Bonne réponse : B
Si une API désérialise des données non fiables, un attaquant peut injecter du code ou modifier le comportement de l'application, entraînant un compromis du service ou du serveur.
Question 10 / 10
Dans le contexte de la journalisation, quelle affirmation différencie le mieux les logs du plan de contrôle (control plane) des logs du plan de données (data plane) ?
A. Les logs du plan de contrôle enregistrent le flux de paquets réseau ; les logs du plan de données capturent les erreurs d'API
B. Les logs du plan de contrôle enregistrent les actions de gestion des API, tandis que les logs du plan de données enregistrent l'accès aux données et les opérations utilisateur
C. Les logs du plan de contrôle sont accessibles uniquement aux CSP ; les logs du plan de données sont accessibles aux clients
D. Les logs du plan de contrôle surveillent l'utilisation des ressources de calcul, tandis que les logs du plan de données enregistrent les rôles IAM
✓ Bonne réponse : B
Control plane logs → actions de gestion et configuration (création de VM, changement de rôle, etc.). Data plane logs → actions sur les données elles-mêmes (lecture, écriture, suppression).
Quelle fonctionnalité de Microsoft Lists permet de réaliser cela
Votre équipe souhaite appliquer une mise en forme très visible afin que tout article d’inventaire dont la quantité restante est inférieure au seuil de stock minimum s’affiche avec un arrière-plan rouge dans la colonne « Quantité restante ».
A. Mode Édition rapide (Quick edit view)
B. Mise en forme de l’affichage via JSON
C. Mise en forme de colonne
D. Flux conditionnel Power Automate
✓ Bonne réponse : C
Dans Microsoft Lists, la mise en forme de colonne (Column formatting) permet d’appliquer un style visuel conditionnel à une colonne spécifique.
👉 Elle permet notamment :
De modifier la couleur d’arrière-plan
De changer la couleur du texte
D’ajouter des icônes
D’appliquer des règles conditionnelles (ex : si la valeur < seuil → fond rouge)
Cette fonctionnalité utilise du JSON en arrière-plan, mais du point de vue fonctionnel, la capacité recherchée est bien la mise en forme de colonne.
Question 2 / 10
Quel modèle fournit la meilleure combinaison pour ce besoin ?
Une entreprise de développement logiciel souhaite conserver ses données clients en production sur site pour des raisons de conformité, mais permettre aux développeurs du monde entier d’accéder aux environnements de développement et test via le cloud.
A. Community cloud
B. Hybrid cloud
C. Private cloud
D. Public cloud
✓ Bonne réponse : B
Hybrid cloud combine :
Une infrastructure locale (on-premises) pour les données sensibles
Des ressources cloud pour les environnements de test et développement accessibles globalement
Les autres modèles ne répondent pas au besoin spécifique :
A : Public cloud seul placerait toutes les données dans le cloud, ce qui n’est pas conforme.
C : Private cloud est entièrement dédié mais limité aux ressources internes.
D : Community cloud est partagé entre organisations ayant des besoins similaires, pas adapté pour ce scénario mixte.
Question 3 / 10
Votre équipe sécurité exige que tous les emails sortants contenant du contenu sensible soient chiffrés automatiquement sans intervention de l’utilisateur.
Quelle fonctionnalité intégrée à Outlook permet le chiffrement automatique des messages basé sur une politique ?
A. Transport Layer Security (TLS)
B. S/MIME
C. Office 365 Message Encryption
D. Information Rights Management (IRM)
✓ Bonne réponse : C
Office 365 Message Encryption (OME) permet de :
Chiffrer automatiquement les emails selon des politiques définies
Protéger le contenu même si le destinataire n’utilise pas Office 365
Les autres options ne répondent pas entièrement au besoin :
A : S/MIME nécessite que l’expéditeur configure manuellement le certificat et le chiffrement.
B : TLS sécurise la transmission, mais ne chiffre pas le contenu de manière persistante.
C : IRM contrôle l’utilisation et l’accès aux messages mais ne déclenche pas le chiffrement automatique basé sur des règles.
Question 4 / 10
Quelle option l’administrateur doit-il configurer ?
Une entreprise souhaite que seuls les employés authentifiés puissent regarder les vidéos de formation internes hébergées dans Stream et que les téléchargements soient bloqués.
A. Mettre les vidéos en “On-Demand” dans les paramètres de synchronisation OneDrive
B. Appliquer une stratégie de rétention pour supprimer les vidéos après 30 jours
C. Désactiver l’accès invité dans les paramètres du tenant Microsoft 365
D. Dans les permissions de Stream, exiger la connexion et décocher “Allow viewers to download original video”
✓ Bonne réponse : D
Dans Microsoft Stream, on peut contrôler :
Qui peut regarder une vidéo (exiger l’authentification)
Si la vidéo peut être téléchargée (désactiver le téléchargement)
Cette configuration garantit que seuls les employés authentifiés peuvent accéder au contenu et qu’aucun téléchargement n’est possible.
Les autres options ne répondent pas au besoin :
A : OneDrive sync ne concerne pas Stream.
B : Désactiver l’accès invité protège l’ensemble du tenant, mais ne gère pas les vidéos internes.
D : Une politique de rétention supprime des vidéos, ne contrôle pas l’accès ou le téléchargement.
Question 5 / 10
Pour activer les fonctionnalités de Gestion des risques internes (Insider Risk Management) dans Microsoft Purview, quelle licence d’abonnement est requise pour votre organisation ?
A. Microsoft 365 E5 Compliance
B. Microsoft 365 Business Premium
C. Microsoft 365 E3
D. Microsoft 365 F3
✓ Bonne réponse : A
Insider Risk Management est une solution avancée de Microsoft Purview permettant de :
Détecter les risques liés aux utilisateurs internes (fuites de données, comportements à risque, exfiltration d’informations sensibles).
Utiliser l’intelligence artificielle et des modèles prédéfinis pour analyser les activités suspectes.
Aider les organisations à répondre aux exigences réglementaires et de conformité.
👉 Ces fonctionnalités avancées font partie des capacités de Microsoft 365 E5 Compliance (ou incluses dans les suites Microsoft 365 E5 complètes).
Les licences comme E3, Business Premium ou F3 ne comprennent pas les fonctionnalités complètes d’Insider Risk Management.
Question 6 / 10
Comment configurer cela dans Microsoft Bookings ?
Le département finance souhaite que :
Seuls les employés authentifiés via Azure AD puissent réserver des consultations internes
Les clients externes puissent utiliser un lien public pour réserver
A. Activer la page “Staff only” et laisser la page publique désactivée
B. Créer des calendriers Bookings séparés dans différents tenants Microsoft 365
C. Utiliser des sensitivity labels pour restreindre l’accès aux pages
D. Activer “Only people in my organization can book” pour le calendrier du personnel et partager un URL publique séparée pour les clients externes
✓ Bonne réponse : D
Dans Microsoft Bookings, vous pouvez :
Créer un calendrier “interne” réservé aux utilisateurs de l’organisation (Azure AD)
Créer un calendrier ou page publique pour les clients externes
Cette configuration permet de séparer l’accès interne et externe tout en utilisant le même service.
❌ Pourquoi les autres réponses sont incorrectes :
A. Staff only + pas de page publique → Bloque l’accès des clients externes, ce qui ne répond pas au besoin.
C. Sensitivity labels → Ne contrôlent pas les accès aux pages Bookings.
D. Créer des tenants séparés → Complexe et inutile, Bookings permet de gérer internes/externes dans un même tenant.
🎯 À retenir pour l’examen MS-900 :
“Only people in my organization can book” = interne (Azure AD)
Lien public = externe
Microsoft Bookings permet de gérer les deux types d’utilisateurs sans multiplier les tenants.
Question 7 / 10
L’équipe design utilise PowerPoint dans Microsoft 365 pour collaborer sur des pitch decks stockés dans OneDrive. Ils ont besoin d’une fonctionnalité qui leur permette de travailler simultanément sur les diapositives et de voir instantanément les modifications apportées par leurs collègues.
A. Slide Show
B. Version History
C. Co-authoring
D. Presenter View
✓ Bonne réponse : C
Co-authoring permet à plusieurs utilisateurs de :
Modifier un même fichier PowerPoint simultanément
Voir en temps réel les modifications des autres collaborateurs
Les autres options ne permettent pas la collaboration en temps réel :
A : Presenter View sert à l’affichage du présentateur lors d’une présentation.
B : Version History permet de voir ou restaurer des versions précédentes, pas la coédition en temps réel.
D : Slide Show affiche le diaporama mais ne gère pas l’édition collaborative.
Question 8 / 10
Dans une conversation de canal, vous dites :
“Copilot, convert these chat action items into a Microsoft To Do list and assign priority levels.”
Quelle limitation devez-vous connaître ?
A. Les éléments d’action du chat doivent être formatés manuellement avant la conversion.
B. L’attribution des priorités nécessite l’intégration avec Excel.
C. Copilot Chat ne prend pas en charge To Do ( mais il prend en charge que la création de tâches Planner)
D. Copilot Chat ne peut pas interagir avec Microsoft To Do.
✓ Bonne réponse : C
Copilot Chat dans Microsoft Teams peut analyser les conversations et générer des tâches.
Limitation actuelle : il peut créer des tâches dans Microsoft Planner, mais ne prend pas encore en charge la création directe de tâches dans Microsoft To Do.
Cela signifie que si vous demandez à Copilot de convertir des éléments d’action en To Do, la commande ne fonctionnera pas directement.
Question 9 / 10
Un responsable conformité doit s’assurer que les journaux d’audit (audit logs) sont conservés pendant un an afin de respecter des exigences réglementaires.
Quelle fonctionnalité doit-il configurer pour étendre la durée de conservation des journaux d’audit au-delà de la période par défaut ?
A. Stratégie de conservation des journaux d’audit dans Microsoft Purview
B. Litigation Hold sur une boîte aux lettres Exchange
C. Stratégie Azure Information Protection
D. Paramètre de conservation d’un label de confidentialité (Sensitivity label)
✓ Bonne réponse : A
Par défaut, les journaux d’audit Microsoft 365 ont une durée de conservation limitée.
Pour les conserver plus longtemps (ex. 1 an ou plus), il faut configurer une Audit log retention policy dans Microsoft Purview.
Cela permet de répondre aux exigences réglementaires et de conformité.
❌ Pourquoi les autres réponses sont incorrectes :
B. Litigation Hold (Exchange) → Concerne la conservation des emails, pas les journaux d’audit globaux.
C. Sensitivity label retention → Gère la protection et la conservation des documents/emails, pas des logs d’audit.
D. Azure Information Protection → Sert à classifier et protéger les données, pas à gérer la durée des logs d’audit.
🎯 À retenir pour l’examen MS-900 :
Audit logs = Microsoft Purview (Audit log retention policy)
Litigation Hold = emails
Sensitivity labels = protection des données
Question 10 / 10
Quelle étape les administrateurs doivent-ils prendre en priorité pour planifier les futures réclamations SLA ?
Un fournisseur de soins de santé dépose une demande de crédit de service pour un cumul de trois heures d’indisponibilité dans Exchange Online, mais la demande est rejetée car elle a été soumise trop tard.
A. Auditer et documenter immédiatement toutes les interruptions de service et les comparer au SLA
B. Migrer les charges de travail critiques vers un autre tenant pour éviter les violations SLA
C. Configurer des alertes Azure Monitor pour escalader automatiquement les incidents au support Microsoft
D. Automatiser les demandes de crédit via le Service Health Dashboard pour éviter la soumission manuelle
✓ Bonne réponse : A
Pour pouvoir réclamer un crédit SLA, il est essentiel de documenter immédiatement toute interruption et de la comparer aux seuils définis dans le SLA.
Sans preuves précises et horodatées, Microsoft peut rejeter la demande, même si le service a été interrompu.
Les autres options ne résolvent pas le problème de suivi et documentation :
Automatiser les crédits (B) n’est pas possible.
Migrer vers un autre tenant (C) est excessif et non nécessaire.
Configurer des alertes (D) aide à la notification mais ne remplace pas la documentation des interruptions.
Une entreprise mondiale de e-commerce doit pouvoir mettre à l’échelle (scaler) rapidement son application web pendant les pics saisonniers de demande, sans surdimensionner inutilement les ressources.
Quel pilier du Azure Well-Architected Framework (WAF) fournit des recommandations pour concevoir des solutions capables de s’adapter automatiquement aux variations de charge ?
A. Optimisation des coûts (Cost Optimization)
B. Sécurité (Security)
C. Efficacité des performances (Performance Efficiency)
D. Fiabilité (Reliability)
✓ Bonne réponse : C
Le pilier Performance Efficiency du Azure Well-Architected Framework concerne :
La capacité d’un système à s’adapter aux variations de charge
L’autoscaling
L’optimisation des ressources
Le dimensionnement dynamique
L’utilisation de services PaaS et serverless pour ajuster automatiquement la capacité
Dans ce scénario :
Il faut gérer des pics saisonniers
Éviter le surprovisionnement
Adapter automatiquement les ressources
👉 Cela correspond parfaitement au pilier Performance Efficiency.
Question 2 / 10
Un conseil d’administration demande comment Secure Score doit être interprété.
Quelle affirmation fournit la guidance la plus précise ?
A. Secure Score fournit un pourcentage de correspondance avec le framework Zero Trust de Microsoft
B. Un Secure Score élevé garantit que l’organisation ne subira pas de violation
C. Le Secure Score doit être utilisé comme référence pour améliorer la posture dans le temps, pas comme mesure absolue de sécurité
D. Secure Score reflète directement le nombre d’incidents investigués par le SOC
✓ Bonne réponse : C
Microsoft Secure Score :
Mesure la posture de sécurité de l’organisation en comparant les configurations actuelles avec les recommandations de Microsoft
Indique des opportunités d’amélioration, mais ne garantit pas l’absence d’incident ou de violation
Permet de suivre la progression dans le temps et prioriser les actions de sécurité
Il s’agit d’un indicateur de tendance, pas d’une mesure absolue ou d’un score de risque parfait.
Question 3 / 10
Votre organisation utilise Azure Cosmos DB pour stocker des données financières sensibles.
L’équipe sécurité doit :
Détecter les accès suspects provenant de localisations géographiques inhabituelles
Détecter les tentatives d’exfiltration de données
Quelle fonctionnalité devez-vous implémenter ?
A. Azure Storage Service Encryption
B. Microsoft Defender for Cosmos DB
C. SQL Always Encrypted pour les collections Cosmos DB
D. Azure Firewall avec règles de blocage
✓ Bonne réponse : B
Microsoft Defender for Cosmos DB fournit :
Détection en temps réel des activités suspectes sur les bases Cosmos DB
Alertes pour :
Accès depuis des localisations géographiques inhabituelles
Tentatives de connexion ou d’exfiltration de données
Activités anormales des comptes ou clés d’accès
Avantages clés :
Intégration avec Microsoft Sentinel pour investigations et réponses automatisées
Complète les mesures de chiffrement et d’accès, mais ajoute la détection comportementale
Question 4 / 10
Une organisation multinationale déploie des Azure Landing Zones.
Elle a besoin de :
Visibilité et supervision centralisées sur tous les environnements
Alertes automatisées pour les ressources non conformes
À quel domaine de conception du Cloud Adoption Framework (CAF) cette exigence correspond-elle ?
A. Gouvernance (Governance)
B. Gestion (Management)
C. Identité (Identity)
D. Réseau (Networking)
✓ Bonne réponse : B
L’organisation demande :
Visibilité centralisée et monitoring sur tous les environnements
Alertes automatisées pour les ressources non conformes
Dans le Cloud Adoption Framework (CAF) pour Azure :
Le domaine Management se concentre sur la supervision opérationnelle, le monitoring, la collecte de logs et la configuration d’alertes automatisées.
Bien que la conformité et les standards fassent partie de la gouvernance, cette exigence met l’accent sur la gestion opérationnelle et la surveillance continue.
✅ Donc, le domaine CAF approprié pour cette exigence est : Management.
Question 5 / 10
Vous devez intégrer l’analyse des dépendances dans un workflow CI/CD pour une application Azure App Service.
Quelle capacité Microsoft permet directement d’identifier les bibliothèques open-source vulnérables pendant le processus de build ?
A. Microsoft Intune App Protection Policies
B. Microsoft Entra Identity Protection
C. GitHub Dependabot security updates
D. Azure Firewall Premium avec inspection TLS
✓ Bonne réponse : C
Dependabot est une fonctionnalité de GitHub Advanced Security qui :
Scanne automatiquement les dépendances open-source dans vos projets
Identifie les vulnérabilités connues via des bases CVE (Common Vulnerabilities and Exposures)
Propose des mises à jour sécurisées dans les workflows CI/CD
Avantages :
Fonctionne directement pendant le build ou le merge
Intégré dans GitHub Actions, donc parfait pour les déploiements Azure App Service
Permet d’empêcher les vulnérabilités de production
Question 6 / 10
Vous évaluez la posture de sécurité des applications SaaS tierces intégrées à Microsoft Entra ID pour l’authentification.
Votre objectif :
Identifier les applications à risque
Gouverner correctement l’accès des utilisateurs
Quelle capacité Microsoft devez-vous utiliser ?
A. Microsoft Defender for Identity
B. Microsoft Defender for Cloud Apps (MCAS)
C. Microsoft Entra Permissions Management
D. États de conformité Azure Policy
✓ Bonne réponse : B
MCAS / Defender for Cloud Apps :
Fournit visibilité complète sur les applications SaaS connectées à Entra ID
Identifie les applications non approuvées ou risquées
Permet de :
Appliquer des politiques d’accès
Restreindre ou contrôler l’usage des applications
Surveiller les activités et détecter les risques liés aux utilisateurs et aux sessions
C’est la solution Microsoft recommandée pour le Shadow IT et la gouvernance SaaS.
Question 7 / 10
Vous concevez des contrôles d’accès au moindre privilège pour des développeurs qui ont besoin d’un accès occasionnel aux bases de données de production dans Azure.
Quelle solution garantit le respect du principe Zero Trust du moindre privilège ?
A. Attribuer aux développeurs des rôles Contributor permanents au niveau de la souscription
B. Utiliser Azure AD Privileged Identity Management (PIM) avec activation Just-in-Time des rôles
C. Attribuer aux développeurs User Access Administrator en permanence
D. Accorder à tous les développeurs des droits Owner sur le groupe de ressources
✓ Bonne réponse : B
Zero Trust – Least Privilege :
Les utilisateurs ne doivent avoir que les droits nécessaires et uniquement lorsqu’ils en ont besoin
Les privilèges permanents ou excessifs sont contraires au principe Zero Trust
PIM avec JIT :
Les développeurs n’activent le rôle que lorsqu’ils ont besoin d’accéder à la base de données de production
Chaque activation est journalisée et auditable
Les droits sont révoqués automatiquement après usage → sécurité maximale et conformité
Question 8 / 10
Une organisation multinationale applique les pratiques CAF DevSecOps et souhaite s’assurer de la conformité avec les contrôles de gouvernance internes et réglementaires lors des déploiements d’infrastructure.
Quelle action soutient le mieux cette exigence ?
A. Intégrer Microsoft Purview pour surveiller la classification des données
B. Mettre en œuvre des politiques Conditional Access pour l’accès des développeurs à Azure DevOps
C. Configurer Microsoft Defender for Endpoint pour surveiller les ressources déployées
D. Utiliser Azure Blueprints pour appliquer des politiques standardisées et RBAC à travers les souscriptions
✓ Bonne réponse : D
CAF DevSecOps recommande d’intégrer la sécurité et la conformité dès la phase de conception et de déploiement.
Azure Blueprints permet de :
Appliquer des politiques et des contrôles RBAC cohérents sur plusieurs souscriptions
Garantir que toutes les ressources déployées respectent les standards internes et réglementaires
Automatiser la conformité dès la création de l’infrastructure (Infrastructure as Code)
Cela offre une remédiation et un contrôle centralisé, ce qui répond directement aux exigences de gouvernance DevSecOps.
Question 9 / 10
Votre organisation met en œuvre des contrôles de gouvernance alignés sur MCRA pour les données sensibles des clients hébergées dans Azure.
Quel contrôle supporte le plus directement le principe MCRA : « protéger les données où qu’elles se trouvent » ?
A. Déployer Azure Policy uniquement pour la conformité au tagging des ressources
B. Activer Microsoft Defender for Endpoint sur les machines virtuelles
C. Utiliser Microsoft Purview Information Protection pour classifier et étiqueter les données
D. Se reposer uniquement sur les firewalls périmétriques pour restreindre l’accès aux comptes de stockage
✓ Bonne réponse : C
Principe MCRA : « Protect data wherever it resides » → protéger les données indépendamment de l’endroit où elles sont stockées ou partagées.
Microsoft Purview Information Protection (MIP) permet :
Classifier les données sensibles (PII, données financières, propriété intellectuelle…)
Appliquer des labels de sensibilité qui suivent les données, peu importe qu’elles soient stockées dans :
Azure Storage, SharePoint, OneDrive
Emails Microsoft 365
Applications tierces intégrées
Ainsi, MIP fournit une protection centrée sur les données, alignée avec le principe MCRA.
Question 10 / 10
Une entreprise héberge un ensemble d’API sur Azure Kubernetes Service (AKS).
L’architecte sécurité doit recommander une solution en couches combinant :
Contrôles pare-feu
Protection DDoS
Quelle approche répond le mieux à la baseline recommandée par Microsoft ?
A. Déployer des appliances DDoS tierces depuis Azure Marketplace et désactiver Azure DDoS Protection
B. Utiliser Azure Front Door avec cache activé pour absorber les pics de trafic volumétrique
C. Configurer des NSG au niveau du subnet et se reposer uniquement sur les Kubernetes network policies
D. Placer AKS derrière Azure Firewall, activer DDoS Protection Standard, et utiliser Application Gateway WAF pour l’inspection des APIs
✓ Bonne réponse : D
Microsoft recommande pour les workloads AKS exposés aux APIs :
Multi-layer defense : défense en profondeur (defense-in-depth)
Azure Firewall pour contrôler le trafic réseau entrant/sortant
DDoS Protection Standard pour se protéger contre les attaques volumétriques sur le réseau
Application Gateway WAF pour inspecter et protéger les APIs contre :
SQL injection
Cross-site scripting
Autres attaques applicatives
Cette approche est la baseline de sécurité recommandée pour AKS exposé à Internet.
Vous hébergez une application sur des serveurs bare-metal dans votre propre datacenter. L'application a besoin d'accéder à Cloud Storage, mais les politiques de sécurité empêchent les serveurs d'avoir des IPs publiques ou d'accéder à Internet. Vous voulez suivre les bonnes pratiques Google. Que devez-vous faire ?
A. Utiliser nslookup pour obtenir l'IP de storage.googleapis.com. Négocier avec l'équipe sécurité pour des IPs publiques. Autoriser le trafic sortant vers ces IPs.
B. Utiliser Migrate for Compute Engine pour migrer les serveurs vers Compute Engine. Créer un ILB qui utilise storage.googleapis.com comme backend.
C. Utiliser Cloud VPN pour créer un tunnel vers un VPC GCP. Créer une instance Compute Engine avec un proxy Squid. Configurer vos serveurs pour utiliser ce proxy.
D. Utiliser Cloud VPN ou Interconnect pour créer un tunnel vers un VPC GCP. Utiliser Cloud Router pour annoncer 199.36.153.4/30. Configurer votre DNS on-premises pour résoudre *.googleapis.com en CNAME vers restricted.googleapis.com.
✓ Bonne réponse : D
La solution recommandée utilise Private Google Access via restricted.googleapis.com : Cloud VPN/Interconnect pour la connectivité privée, Cloud Router pour annoncer la plage 199.36.153.4/30 vers le réseau on-premises, et une redirection DNS de *.googleapis.com vers restricted.googleapis.com. Cela permet d'accéder à Cloud Storage sans IP publique ni accès Internet direct. L'option proxy Squid (B) fonctionnerait mais n'est pas la pratique recommandée par Google.
Question 2 / 10
Votre organisation utilise G Suite pour la communication. Tous les utilisateurs ont un compte G Suite. Vous voulez accorder à certains utilisateurs G Suite l'accès à votre projet Cloud Platform. Que devez-vous faire ?
A. Activer Cloud Identity dans la console GCP pour votre domaine.
B. Dans la console G Suite, ajouter les utilisateurs à un groupe spécial cloud-console-users@votredomaine.com.
C. Créer une feuille CSV avec les adresses email de tous les utilisateurs. Utiliser gcloud pour les convertir en comptes GCP.
D. Leur accorder les rôles IAM requis en utilisant leur adresse email G Suite.
✓ Bonne réponse : D
Les comptes G Suite (Workspace) sont directement utilisables comme identités GCP. Il suffit d'accorder les rôles IAM en utilisant l'adresse email G Suite des utilisateurs — aucune conversion ou configuration supplémentaire n'est nécessaire.
Question 3 / 10
Vous avez déployé un microservice myapp1 sur GKE avec un fichier YAML qui contient un mot de passe de base de données en texte clair. Vous devez refactoriser cette configuration pour ne pas stocker le mot de passe en texte clair. Vous voulez suivre les bonnes pratiques Google. Que devez-vous faire ?
A. Stocker le mot de passe dans un objet Secret. Modifier le fichier YAML pour renseigner la variable d'environnement DB_PASSWORD depuis le Secret.
B. Stocker le mot de passe dans un fichier sur un volume persistant Kubernetes et utiliser un PVC pour monter le volume dans le container.
C. Stocker le mot de passe de la base de données dans l'image Docker du container, pas dans le fichier YAML.
D. Stocker le mot de passe dans un objet ConfigMap. Modifier le fichier YAML pour renseigner DB_PASSWORD depuis le ConfigMap.
✓ Bonne réponse : A
Les Kubernetes Secrets sont conçus pour stocker des informations sensibles comme les mots de passe. Ils sont encodés en base64 et peuvent être montés comme variables d'environnement. Les ConfigMaps sont pour les données de configuration non sensibles.
Question 4 / 10
Votre équipe financière veut consulter le rapport de facturation de vos projets. Vous voulez vous assurer que l'équipe financière n'obtient pas de permissions supplémentaires sur les projets. Que devez-vous faire ?
A. Ajouter le groupe de l'équipe financière au rôle roles/billing.user.
B. Ajouter le groupe de l'équipe financière au rôle roles/billing.admin.
C. Ajouter le groupe de l'équipe financière au rôle roles/billing.projectManager.
D. Ajouter le groupe de l'équipe financière au rôle roles/billing.viewer.
✓ Bonne réponse : D
Le rôle roles/billing.viewer permet uniquement de consulter les rapports de facturation et les coûts, sans aucune permission de modification sur les projets ou la facturation. C'est le rôle à moindre privilège qui répond exactement au besoin.
Question 5 / 10
Vous avez un Dockerfile que vous devez déployer sur Kubernetes Engine. Que devez-vous faire ?
A. Créer une image Docker depuis le Dockerfile et l'uploader dans Cloud Storage. Créer un fichier YAML Deployment pointant vers cette image. Utiliser kubectl.
B. Utiliser kubectl app deploy <nom-dockerfile>.
C. Créer une image Docker depuis le Dockerfile et l'uploader dans Container Registry. Créer un fichier YAML Deployment pointant vers cette image. Utiliser kubectl pour créer le déploiement.
D. Utiliser gcloud app deploy <nom-dockerfile>.
✓ Bonne réponse : C
Le flux correct est : build image Docker → push vers Container Registry → créer YAML Deployment → kubectl apply. Container Registry est le registre d'images GCP. Cloud Storage ne peut pas servir d'images Docker. kubectl ne déploie pas directement des Dockerfiles.
Question 6 / 10
Vous devez surveiller des ressources réparties sur différents projets GCP. Vous souhaitez consolider les rapports dans le même tableau de bord Stackdriver Monitoring. Que devez-vous faire ?
A. Pour chaque projet, créer un compte Stackdriver. Dans chaque projet, créer un compte de service et lui accorder le rôle Stackdriver Account Editor dans tous les autres projets.
B. Configurer un seul compte Stackdriver et lier tous les projets au même compte.
C. Configurer un seul compte Stackdriver pour un des projets. Dans Stackdriver, créer un groupe et ajouter les autres noms de projets comme critères.
D. Utiliser Shared VPC pour connecter tous les projets et lier Stackdriver à l'un des projets.
✓ Bonne réponse : B
Un seul compte Stackdriver lié à tous les projets est la solution recommandée pour consolider la surveillance multi-projets dans un même tableau de bord. C'est l'approche officielle de Google pour Stackdriver Monitoring.
Question 7 / 10
Une application génère des rapports quotidiens dans une VM Compute Engine dans le projet corp-iot-insights. Votre équipe dans corp-aggregate-reports a besoin d'une copie de ces exports dans le bucket corp-aggregate-reports-storage. Vous voulez configurer l'accès en utilisant le moins d'étapes possible. Que devez-vous faire ?
A. Déplacer les deux projets sous le même dossier.
B. Rendre corp-aggregate-reports-storage public et créer un dossier avec un suffixe pseudo-aléatoire. Partager le dossier avec l'équipe IoT.
C. Créer un Shared VPC entre les deux projets. Accorder au compte de service de la VM le rôle Storage Object Creator sur corp-iot-insights.
D. Accorder au compte de service de la VM le rôle Storage Object Creator sur corp-aggregate-reports-storage.
✓ Bonne réponse : D
Accorder le rôle Storage Object Creator directement au compte de service de la VM sur le bucket cible (corp-aggregate-reports-storage) est la méthode la plus simple. La VM peut alors écrire dans ce bucket cross-projet sans configuration réseau supplémentaire.
Question 8 / 10
Vous analysez les coûts des services GCP de trois projets distincts. Vous souhaitez utiliser ces informations pour créer des estimations de coûts par type de service, quotidiennement et mensuellement, pour les six prochains mois en utilisant une syntaxe de requête standard. Que devez-vous faire ?
A. Exporter votre facture vers un dataset BigQuery, puis écrire des requêtes SQL avec fenêtres temporelles pour l'analyse.
B. Exporter votre facture vers un bucket Cloud Storage, puis importer dans Google Sheets pour l'analyse.
C. Exporter votre facture vers un bucket Cloud Storage, puis importer dans Cloud Bigtable pour l'analyse.
D. Exporter vos transactions dans un fichier local et effectuer l'analyse avec un outil desktop.
✓ Bonne réponse : A
BigQuery est la solution recommandée pour analyser les données de facturation GCP : il supporte nativement SQL standard, les fenêtres temporelles, et peut traiter les données de plusieurs projets. Cloud Storage ne permet pas de requêtes SQL directes.
Question 9 / 10
Vous configurez une VM Windows sur Compute Engine et voulez vous assurer de pouvoir vous connecter via RDP. Que devez-vous faire ?
A. Après la création, télécharger la clé privée JSON du compte de service Compute Engine par défaut et utiliser ces identifiants.
B. Après la création de la VM, utiliser vos identifiants Google pour vous connecter.
C. Après la création de la VM, utiliser gcloud compute reset-windows-password pour récupérer les identifiants de connexion.
D. Lors de la création de la VM, ajouter des métadonnées avec 'windows-password' comme clé et un mot de passe comme valeur.
✓ Bonne réponse : C
La commande gcloud compute reset-windows-password génère un nom d'utilisateur et un mot de passe Windows pour la VM, qui peuvent ensuite être utilisés pour se connecter via RDP. C'est la méthode officielle GCP pour accéder aux VMs Windows.
Question 10 / 10
Vous devez accorder l'accès à trois utilisateurs pour qu'ils puissent consulter et modifier les données d'une instance Cloud Spanner. Que devez-vous faire ?
A. Exécuter gcloud iam roles describe roles/spanner.databaseUser. Ajouter les utilisateurs au rôle.
B. Exécuter gcloud iam roles describe roles/spanner.databaseUser. Ajouter les utilisateurs à un nouveau groupe. Ajouter le groupe au rôle.
C. Exécuter gcloud iam roles describe roles/spanner.viewer --project my-project. Ajouter les utilisateurs à un groupe. Ajouter le groupe au rôle.
D. Exécuter gcloud iam roles describe roles/spanner.viewer --project my-project. Ajouter les utilisateurs au rôle.
✓ Bonne réponse : B
La bonne pratique Google est d'attribuer les rôles IAM à des groupes plutôt qu'à des individus. Le rôle spanner.databaseUser permet la lecture et l'écriture des données. spanner.viewer est en lecture seule.
Une Scrum Team a demandé un Sprint de stabilisation pour intégrer le travail produit lors des Sprints précédents et le tester avant de le livrer. Quels sont les trois scénarios qui se sont probablement produits ? (Choisissez trois réponses.)
Sélectionnez 3 réponses.
A. La Development Team rencontre des difficultés pour livrer régulièrement durant un Sprint.
B. Les Sprints de stabilisation sont pris en charge par le framework Scrum, ce qui est donc acceptable.
C. La Definition of Done de l'équipe n'est pas respectée à chaque Sprint.
D. La Definition of Done de l'équipe est insuffisante ou incomplète, entraînant une accumulation de dette technique.
E. Scrum a été adapté de manière appropriée pour rendre le travail précédent livrable.
✓ Bonne réponse : A, C, D
Correct : Options 1, 2 et 3 - Les Sprints de stabilisation indiquent que l'équipe n'a pas produit d'incréments potentiellement livrables lors des Sprints normaux, ce qui résulte d'une Definition of Done incomplète ou d'une dette technique accumulée. L'option 4 est fausse — Scrum décourage explicitement les Sprints de stabilisation. L'option 5 donne une fausse image de la personnalisation ; un Scrum correctement appliqué évite ce besoin.
Question 2 / 10
La dette technique peut engendrer de fausses hypothèses sur l'état actuel du système et sur l'Increment examiné à la fin du Sprint.
Vrai ou Faux ?
A. Faux.
B. Vrai.
✓ Bonne réponse : B
Cette affirmation est vraie. La dette technique obscurcit l'état réel du système et peut masquer des problèmes dans l'Incrément examiné, conduisant à une fausse confiance dans la progression. Une dette technique non traitée crée un écart entre la qualité perçue et la qualité réelle du produit, ce qui va à l'encontre du pilier de transparence de Scrum.
Question 3 / 10
À la fin du Sprint, un élément du Product Backlog présent dans le Sprint Backlog ne satisfait pas la Definition of Done de l'équipe. Que doit-il se passer avec cet élément ? (Choisissez deux réponses.)
Sélectionnez 2 réponses.
A. Ne pas inclure l'élément dans l'Increment du Sprint.
B. Estimer le travail restant nécessaire pour le considérer comme « terminé » et l'ajouter au Product Backlog afin que le Product Owner décide de la marche à suivre.
C. Il sera inspecté lors de la Sprint Review et, s'il est jugé acceptable par les parties prenantes, il sera inclus dans l'Increment.
D. Diviser l'élément et ajouter l'estimation du travail réalisé au Sprint en cours afin de ne pas impacter la vélocité, puis ajouter le travail « non terminé » au Sprint suivant.
✓ Bonne réponse : A, B
Réponses correctes : Options 1 et 3. Le travail ne répondant pas à la Definition of Done ne doit pas être inclus dans l'Increment (option 1), conformément au Guide Scrum. Le travail restant doit être estimé et retourné au Product Backlog (option 3) afin que le Product Owner puisse le reprioriser. Les options 0 et 2 violent la Definition of Done en incluant ou en divisant un travail incomplet, ce qui nuit à la transparence et à la qualité.
Question 4 / 10
Quelle recommandation le Scrum Master doit-il formuler si le Product Owner lui demande comment les estimations doivent être réalisées dans Scrum ?
A. Les estimations doivent être exprimées en unités relatives.
B. Les estimations doivent être exprimées en Story Points.
C. Les estimations doivent suivre la suite de Fibonacci.
D. Les estimations sont réalisées par le Product Owner.
E. La Development Team est responsable des estimations.
✓ Bonne réponse : E
La Development Team est responsable de toutes les estimations dans Scrum. Le Scrum Master ne doit pas imposer le format (Story Points ou autres unités relatives) ni l'ordre d'estimation — seule la Development Team est propriétaire du processus d'estimation. Cela protège l'autonomie et la responsabilité de l'équipe.
Question 5 / 10
Steven est Scrum Master d'une Scrum Team qui débute avec Scrum. À mi-parcours du Sprint, le Product Owner vient le voir en lui indiquant qu'il craint que l'équipe de développement ne soit pas en mesure de compléter l'intégralité du Sprint Backlog avant la fin du Sprint. Que devrait faire Steven dans cette situation ?
A. Ajouter des personnes à l'équipe de développement pour répondre aux attentes du Product Owner.
B. Accompagner le Product Owner en lui expliquant que dans le développement logiciel complexe, il est impossible de garantir la totalité du périmètre prévu lors du Sprint Planning. À mesure que l'on apprend davantage pendant le Sprint, de nouveaux travaux peuvent émerger et impacter le Sprint Backlog.
C. Motiver l'équipe de développement à tenir son engagement envers le Product Owner.
D. Informer le Product Owner que l'équipe de développement est propriétaire du Sprint Backlog et qu'il lui appartient de respecter ses engagements. Personne ne dit à l'équipe de développement comment transformer le Product Backlog en Increments de fonctionnalités potentiellement livrables.
✓ Bonne réponse : B
L'option B est correcte. Le Scrum Master doit accompagner le Product Owner en lui expliquant que l'empirisme et l'émergence sont au cœur de Scrum ; la complexité rend toute prévision parfaite impossible. Les nouveaux apprentissages réalisés durant le Sprint affectent naturellement le Sprint Backlog. L'option A démotive l'équipe par une pression irréaliste, l'option C est défensive et ignore les préoccupations des parties prenantes, et l'option D enfreint le principe selon lequel l'ajout de personnes en cours de Sprint réduit la productivité et ne résout pas les problèmes de fond.
Question 6 / 10
Si des burndown charts sont utilisés pour visualiser la progression, qu'indique une ligne de tendance sur un burndown chart de release ?
A. Quand tout le travail sera terminé afin que la Scrum Team puisse commencer à travailler sur un nouveau Product Backlog.
B. L'évolution du retour sur investissement du projet.
C. Quand le travail restant devrait être terminé si rien ne change dans le Product Backlog ou au sein de la Development Team.
D. Quand le projet sera terminé si le Product Owner supprime un travail équivalent en effort à tout nouveau travail ajouté.
✓ Bonne réponse : C
Une ligne de tendance sur un graphique de burndown de release projette la date à laquelle le travail sera terminé en se basant sur le rythme de progression actuel, en supposant que le Product Backlog et la capacité de l'équipe restent constants. L'option 2 est correcte car elle reflète cette projection conditionnelle. L'option 1 est incorrecte — les burndowns ne déclenchent pas la création de nouveaux Product Backlogs. L'option 3 simplifie à l'excès en ignorant la nature conditionnelle de la projection. L'option 4 n'a pas de rapport avec le fonctionnement des burndowns.
Question 7 / 10
De quelles deux façons la vélocité et la dette technique sont-elles liées ? (Choisissez deux réponses.)
Sélectionnez 2 réponses.
A. Lorsque la Development Team travaille sur de nouveaux éléments du Product Backlog, elle peut tomber de manière inattendue sur de la dette technique, ce qui entraînera une baisse de la vélocité de l'équipe.
B. Elles ne sont pas liées, car la dette technique est non fonctionnelle et la vélocité est calculée sur la base des fonctionnalités destinées à l'utilisateur final.
C. Ajouter des estimations à la dette technique permettra à la Development Team de maintenir une vélocité constante, garantissant ainsi la prévisibilité.
D. Une Development Team peut artificiellement augmenter sa vélocité en acceptant de générer de la dette technique.
✓ Bonne réponse : A, D
Les options B et C sont correctes. Une dette technique imprévue rencontrée en cours de Sprint réduit la vélocité (B), et les équipes peuvent artificiellement gonfler leur vélocité en accumulant de la dette plutôt qu'en complétant pleinement le travail (C). L'option A est incorrecte car elle les sépare artificiellement — la dette technique impacte directement la capacité à développer de nouvelles fonctionnalités. L'option D est fausse : la dette technique consomme tout de même de la capacité et masque les tendances réelles de la vélocité.
Question 8 / 10
Un membre de la Development Team a signalé au Scrum Master un risque potentiel en matière de sécurité des données. Quelle action le Scrum Master devrait-il entreprendre ?
A. Attendre la Sprint Retrospective pour ajouter la sécurité à la définition de « Done ».
B. Ajouter un élément au Product Backlog pour traiter le problème de sécurité.
C. Notifier l'équipe de test.
D. Demander au membre de la Development Team de partager le problème avec l'équipe dès que possible.
✓ Bonne réponse : D
Le membre du Development Team doit immédiatement partager le risque de sécurité avec l'équipe afin qu'elle puisse y répondre de manière collaborative. Il ne s'agit pas d'une question à traiter par les équipes de test, dans le Backlog ou lors des rétrospectives — les risques de sécurité nécessitent une communication transparente et urgente au sein de l'équipe, conformément au pilier de transparence de Scrum.
Question 9 / 10
Les parties prenantes ne sont autorisées à rencontrer la Scrum Team qu'à la Sprint Review.
Vrai ou Faux ?
A. Vrai.
B. Faux.
✓ Bonne réponse : B
Faux. Le Guide Scrum ne limite pas les interactions avec les parties prenantes aux seules Sprint Reviews. En effet, la transparence et la collaboration sont des valeurs Scrum. Les parties prenantes peuvent échanger avec la Scrum Team tout au long du Sprint ; la Sprint Review est simplement l'opportunité formelle de recueillir des retours et d'effectuer une inspection.
Question 10 / 10
Quelles sont les trois affirmations qui décrivent le mieux l'objectif d'une Definition of Done ? (Choisissez trois réponses.)
Sélectionnez 3 réponses.
A. Elle aide la Development Team à reporter tout travail en suspens vers les Sprints suivants.
B. Elle crée de la transparence et fournit une compréhension commune de l'état « terminé » de l'Increment lors de la Sprint Review.
C. C'est une checklist permettant de suivre l'avancement des membres de la Development Team sur une tâche.
D. Pendant que la Development Team réalise le travail, elle indique le travail restant nécessaire pour créer l'Increment potentiellement livrable à la fin du Sprint.
E. Elle guide la Development Team lorsqu'elle établit ses prévisions pour le Sprint Backlog durant le Sprint Planning.
6. Elle aide la Scrum Team à déterminer le temps nécessaire avant que le Sprint puisse se terminer.
✓ Bonne réponse : B, D, E
Correct : Options 2, 3 et 5 - La Definition of Done guide la prévision, fournit une orientation en temps réel pendant le développement, et crée de la transparence lors de la Sprint Review concernant ce que « terminé » signifie réellement. L'option 1 la traite comme un outil de suivi de l'avancement (usage incorrect) ; l'option 4 contredit l'objectif de compléter le travail à chaque Sprint ; l'option 6 confond la Definition of Done avec la durée du Sprint.
Lequel des éléments suivants est une métrique appropriée pour mesurer l\'efficacité du processus de test dans la réalisation de l\'un de ces objectifs ?
A. Pourcentage de couverture des exigences
B. Pourcentage de l\'effort de test consacré aux tests de régression
C. Nombre de lignes de code écrites par développeur par jour
D. Nombre moyen de jours entre la découverte et la résolution d\'un défaut
✓ Bonne réponse : A
Réponse : Pourcentage de couverture des exigences. Explication : B est correct car le pourcentage de couverture des exigences quantifie directement l\'adéquation des tests par rapport à l\'objectif déclaré de valider que le système satisfait ses exigences. L\'efficacité du test dans un contexte piloté par les exigences repose sur la mesure objective de la complétude de la couverture des exigences et de la détection des non-conformités.
Question 2 / 10
Le responsable du développement supervise l\'examen des réponses des soumissionnaires et a demandé au responsable des tests internes de fournir une liste de contrôle pour l\'examen des aspects liés à la gestion des tests de ces réponses. Parmi les points de contrôle suivants, lequel serait approprié ?
A. Le plan de test du soumissionnaire décrit une mise en œuvre par phases avec des dates de livraison ultérieures à confirmer et indique que les livrables de test seront développés en utilisant la norme IEEE 829 comme guide.
B. La politique de test du soumissionnaire doit imposer que la gestion des incidents soit entièrement conforme à la norme IEEE 1044.
C. Le plan de test du soumissionnaire montre que l\'application sera livrée pour acceptation dans six mois.
D. La stratégie de projet du soumissionnaire montre que le contenu des données de tous les environnements de test est conforme aux normes de l\'UE.
✓ Bonne réponse : A
Réponse : Le plan de test du soumissionnaire décrit une mise en œuvre par phases avec des dates de livraison ultérieures à confirmer et indique que les livrables de test seront développés en utilisant la norme IEEE 829 comme guide.. Explication : D est correct car il démontre une réponse appropriée, centrée sur la gestion de test : un plan de livraison par phases réaliste associé à l\'engagement de développer les livrables de test selon un cadre documentaire reconnu (IEEE 829), sans imposer de dates inflexibles ni de processus propriétaires.
Question 3 / 10
Lequel des éléments suivants est un inconvénient valide du test indépendant ?
A. Les testeurs indépendants deviendront un goulot d\'étranglement et introduiront des problèmes dans la gestion des incidents.
B. Les développeurs perdent le sens des responsabilités et les testeurs indépendants peuvent devenir un goulot d\'étranglement.
C. Les testeurs indépendants ont besoin d\'une formation supplémentaire et coûtent toujours plus cher.
D. Les développeurs et le test indépendant vont se chevaucher et gaspiller des ressources.
✓ Bonne réponse : B
Réponse : Les développeurs perdent le sens des responsabilités et les testeurs indépendants peuvent devenir un goulot d\'étranglement.. Explication : Le test indépendant sépare la vérification du développement, ce qui peut diminuer le sens de la responsabilité des développeurs tandis que la coordination des tests et le triage des incidents se concentrent dans une équipe distincte qui peut devenir un goulot d\'étranglement processus.
Question 4 / 10
Quels sont TROIS défis clés typiques de l\'externalisation ?
Sélectionnez TROIS réponses.
A. Cultures possiblement différentes
B. Traçabilité depuis les exigences jusqu'aux cas de test
C. Application de l'automatisation des tests
D. Canaux de communication clairs
E. Environnement de test plus complexe
6. Test des exigences non-fonctionnelles
7. Définir les attentes concernant les tâches et les livrables
✓ Bonne réponse : A, D, 7
Réponse : Définir les attentes concernant les tâches et les livrables / Canaux de communication clairs / Cultures possiblement différentes. Explication : BCD est correct. L\'externalisation introduit des ambiguïtés contractuelles sur les livrables, nécessite des canaux de communication robustes et expose le projet à des différences culturelles. La définition précise des attentes, des critères d\'acceptation et des SLA est essentielle pour éviter les dérives de périmètre et les litiges.
Question 5 / 10
Laquelle des techniques suivantes est la moins susceptible d\'être utilisée pour identifier les risques projet et produit ?
A. Entretiens avec des experts
B. Évaluations indépendantes
C. Brainstorming
D. Inspections
✓ Bonne réponse : D
Réponse : Inspections. Explication : Les inspections (B) sont les moins appropriées car c\'est une technique d\'examen statique, axée sur les défauts, destinée à trouver des non-conformités dans les produits de travail plutôt qu\'à identifier proactivement les risques projet et produit. Les inspections utilisent des listes de contrôle et une approche orientée détection de défauts, tandis que l\'identification des risques nécessite une exploration prospective des incertitudes futures.
Question 6 / 10
En comparant TMMi et TPI, lequel n\'est pas une raison valide pour choisir l\'un ou l\'autre ?
A. Si l\'organisation applique déjà CMMI, TMMi peut être préféré car il a la même structure et utilise la même terminologie. TMMi traite très fortement l\'engagement de la direction et est donc plus adapté pour soutenir un processus d\'amélioration descendant.
B. TMMi ne peut être utilisé qu\'avec le modèle V traditionnel, tandis que TPI peut être utilisé avec tous les types de cycles de vie logiciels.
C. TPI est beaucoup plus un modèle ascendant qui convient à l\'adressage de sujets de test pour un projet (de test) spécifique.
D. Si le domaine d\'amélioration de la performance des tests couvre tous les niveaux de test, TMMi est préféré car TPI se concentre principalement sur les tests boîte noire.
✓ Bonne réponse : B
Réponse : TMMi ne peut être utilisé qu\'avec le modèle V traditionnel, tandis que TPI peut être utilisé avec tous les types de cycles de vie logiciels.. Explication : D est incorrect car TMMi n\'est pas limité au modèle V ; il est indépendant du cycle de vie et applicable aux modèles V, itératifs et agiles. TPI l\'est aussi, contredisant l\'affirmation d\'une dichotomie entre les deux approches.
Question 7 / 10
Quel couple de techniques de test offre la meilleure couverture pour un élément présentant le risque le plus élevé?
A. Test de composant: test d\'instruction; Test système: partitionnement de table de décision
B. Test de composant: test de décision; Test système: test de table de décision
C. Test de composant: test de décision; Test système: test exploratoire
D. Test de composant: test d\'instruction; Test système: partitionnement d\'équivalence
✓ Bonne réponse : B
Réponse : Test de composant: test de décision; Test système: test de table de décision. Explication : B est correct car il combine une technique structurelle à haute sensibilité au niveau composant (test de décision) avec une technique de spécification combinatoire axée sur les exigences au niveau système (test de table de décision), maximisant ainsi la détection des défauts logiques et des interactions complexes de règles métier.
Question 8 / 10
Parmi les sujets suivants, lequel NE DEVRAIT PAS être inclus dans le rapport de progression des tests ?
A. Les risques produit qui ont été atténués et ceux qui sont en suspens.
B. L\'état comparé aux critères de sortie définis au départ.
C. Les recommandations pour entreprendre des actions correctives.
D. Un aperçu détaillé de l\'approche de test basée sur les risques utilisée pour assurer la réalisation des critères de sortie.
✓ Bonne réponse : D
Réponse : Un aperçu détaillé de l\'approche de test basée sur les risques utilisée pour assurer la réalisation des critères de sortie.. Explication : D est correct car les cadres supérieurs non-spécialistes ont besoin d\'informations concises et orientées résultats, non d\'une exposition détaillée opérationnelle de l\'approche basée sur les risques. Un rapport doit prioriser l\'état versus objectifs, risques clés et atténuations, tendances et actions managériales recommandées pour décisions efficaces.
Question 9 / 10
En attendant les réponses, le responsable des tests a été chargé de préparer des plans de test pour valider l\'application logicielle livrée par le soumissionnaire retenu. Quelle méthode d\'estimation est appropriée à ce stade du projet ?
A. Créer une estimation basée sur les références du soumissionnaire retenu
B. Créer une estimation basée sur la technique d\'analyse de points de fonction et l\'analyse de points de test
C. Créer une estimation basée sur un pourcentage de l\'effort de développement
D. Créer une estimation basée sur la complexité du code
✓ Bonne réponse : B
Réponse : Créer une estimation basée sur la technique d\'analyse de points de fonction et l\'analyse de points de test. Explication : La réponse A est correcte car l\'analyse de points de fonction combinée à l\'analyse de points de test produit une estimation précoce basée sur la taille, spécifique aux tests, indépendante de la disponibilité du code source. L\'APF fournit une métrique de taille fonctionnelle, l\'APT traduit cette taille en effort de test en appliquant les facteurs de testabilité et de qualité.
Question 10 / 10
Sur la base des informations fournies dans le scénario, identifiez comment l\'équipe pourrait être améliorée de manière la plus efficace ?
A. En fournissant une formation sur l\'examen des exigences
B. En fournissant une formation dans le domaine de la paie
C. En fournissant un atelier sur les techniques de conception de tests
D. En fournissant une formation spécifique sur les systèmes testés
✓ Bonne réponse : C
Réponse : En fournissant un atelier sur les techniques de conception de tests. Explication : Un atelier sur les techniques de conception de tests remédie directement à la faible efficacité de détection des défauts en dotant les testeurs de méthodes systématiques et répétables pour dériver des cas de test de meilleure qualité. Les techniques pratiques (partitionnement des équivalences, analyse des valeurs limites, tables de décision, transitions d\'état, techniques d\'appairage) améliorent la couverture et augmentent la probabilité de détection des défauts.
Votre outil documents(query) retourne des résultats sous la forme « 3 documents trouvés : Proposition budgétaire T2, Prévision budgétaire T2, Bilan annuel ». Vous souhaitez que l'agent puisse traiter document(4, multi) et doc(24, multi). Quel format de retour permettrait le mieux ces flux de travail en plusieurs étapes ?
A. Un tableau JSON des titres de documents extraits des résultats de recherche.
B. Des URL sur lesquelles les utilisateurs peuvent cliquer pour ouvrir le document dans leur navigateur.
C. Des données structurées contenant les identifiants et les métadonnées de chaque document trouvé.
D. Des descriptions plus détaillées et lisibles par un humain, incluant la taille et les auteurs.
✓ Bonne réponse : C
A. Des URLs sur lesquelles les utilisateurs peuvent cliquer pour ouvrir le document dans leur navigateur. Incorrect. Les URLs sont utiles pour les utilisateurs, mais ne sont pas idéales pour les agents effectuant des workflows en plusieurs étapes nécessitant un référencement fiable et des opérations supplémentaires. B. Des données structurées contenant les identifiants de documents et les métadonnées pour chaque résultat. Correct. Cela permet à l'agent de référencer de manière programmatique des documents spécifiques (via des identifiants) à travers plusieurs étapes, rendant les workflows tels que les requêtes de suivi ou la récupération de documents précis et fiables. C. Un tableau JSON de titres de documents extraits des résultats de recherche. Incorrect. Les titres seuls sont ambigus et ne constituent pas des identifiants stables, ce qui rend difficile pour les agents d'agir de manière fiable sur des documents spécifiques. D. Des descriptions plus détaillées et lisibles par l'humain, incluant la taille et les auteurs. Incorrect. Utile pour les utilisateurs, mais toujours non structuré et non adapté à des opérations précises d'agents en plusieurs étapes.
Question 2 / 10
During initial testing, you notice that Claude doesn't seem to remember vocabulary words from earlier in the conversation. When a student asks "Can you quiz me on those words?", responds as if no words have been discussed. What is the most likely explanation?
A. The model's context window has filled up, causing earlier conversation content to be dropped.
B. You're not including prior messages in each API request--the stateless API doesn't retain conversation history.
C. Your system prompt needs explicit instructions telling Claude to remember information from earlier turns.
D. You need to enable conversation persistence by passing a session ID parameter with each API call.
✓ Bonne réponse : B
A. Votre invite système doit contenir des instructions explicites demandant à Claude de mémoriser les informations des échanges précédents. Incorrect. Les instructions seules ne confèrent pas de mémoire au modèle — le contexte doit être fourni à chaque requête. B. Vous n'incluez pas les messages précédents dans chaque requête API — l'API sans état ne conserve pas l'historique de la conversation. Correct. Claude est sans état. Si les messages précédents ne sont pas transmis dans la requête, il n'a aucune connaissance du vocabulaire antérieur. C. Vous devez activer la persistance de la conversation en transmettant un paramètre d'identifiant de session à chaque appel API. Incorrect. Il n'existe pas d'identifiant de session requis — la mémoire est gérée en incluant les messages passés. D. La fenêtre de contexte du modèle est saturée, ce qui entraîne la perte du contenu des échanges précédents. Incorrect. Cela ne se produirait que lors de conversations très longues, et non dans des scénarios de tests initiaux classiques.
Question 3 / 10
Lorsque l'agent appelle lookup_order et reçoit les détails d'une commande indiquant que l'article a été acheté il y a 45 jours, comment la boucle agentique détermine-t-elle s'il faut appeler process_refund ou escalader vers un humain ?
A. La couche d'orchestration achemine automatiquement vers l'outil suivant en fonction du champ de statut de la commande.
B. L'agent exécute les étapes restantes d'une séquence d'outils planifiée au début de la requête.
C. L'agent suit un arbre de décision préconfiguré associant les attributs de la commande à des appels d'outils spécifiques.
D. Les détails de la commande sont ajoutés à la conversation et le modèle raisonne pour décider quelle action entreprendre.
✓ Bonne réponse : D
B. Les détails de la commande sont ajoutés à la conversation et le modèle raisonne sur l'action à entreprendre. Correct. Dans une boucle agentique, les résultats des outils (comme « acheté il y a 45 jours ») sont réinjectés dans le contexte du modèle, et celui-ci réévalue la situation de manière dynamique. Il décide ensuite s'il convient de procéder avec process_refund, d'escalader vers un humain, ou d'entreprendre une autre action en fonction de la politique et des informations mises à jour. Pourquoi les autres réponses sont incorrectes : A. Séquence d'outils fixe planifiée dès le départ — Incorrect. Les systèmes agentiques ne sont pas des flux de travail statiques ; ils s'adaptent après chaque observation. C. Arbre de décision préconfiguré — Incorrect. Il s'agit d'une automatisation basée sur des règles, et non d'un raisonnement piloté par un LLM. D. La couche d'orchestration achemine automatiquement le prochain appel d'outil — Incorrect. Cela supprime le rôle de raisonnement du modèle et le transforme en un routage déterministe.
Question 4 / 10
L'analyse des performances révèle que votre contexte est composé de résultats RAG accumulés provenant de toutes les requêtes précédentes, ce qui empiète sur l'historique de la conversation et entraîne une dégradation de la cohérence après 15 tours ou plus. Quelle approche résout le mieux ce problème ?
A. Mettre en place une fenêtre glissante pour les résultats RAG des 2 à 3 dernières requêtes tout en préservant l'historique de la conversation.
B. Réaffecter le budget de contexte en faveur des résultats RAG tout en réduisant l'allocation réservée à l'historique de la conversation.
C. Mettre en place une déduplication sémantique pour identifier et supprimer les informations redondantes dans les résultats RAG accumulés et les tours de conversation.
D. Compresser tous les résultats RAG en un document de synthèse consolidé qui se met à jour de manière incrémentale après chaque récupération.
✓ Bonne réponse : A
A. Mettre en œuvre une déduplication sémantique pour identifier et supprimer les informations redondantes dans les résultats RAG accumulés et les tours de conversation — Incorrect. Cela réduit la redondance, mais ne résout pas le problème central de l'accumulation non bornée du contexte RAG. B. Mettre en œuvre une fenêtre glissante pour les résultats RAG des 2 à 3 dernières requêtes tout en préservant l'historique de la conversation — Correct. Cela répond directement au problème de saturation du contexte en limitant la croissance du RAG tout en maintenant la continuité de la conversation. C. Réaffecter le budget de contexte en faveur des résultats RAG tout en réduisant l'allocation de l'historique de conversation — Incorrect. Cela détériore la cohérence en sacrifiant le contexte conversationnel. D. Compresser tous les résultats RAG en un document de synthèse consolidé qui se met à jour de manière incrémentielle après chaque récupération — Incorrect. Cela peut entraîner une perte d'informations et une dérive du résumé, en particulier sur de nombreux tours de conversation.
Question 5 / 10
Votre outil de recherche de vols appelle une API externe d'une compagnie aérienne qui retourne occasionnellement une erreur 503 Service Unavailable. Quelle est la manière la plus efficace de gérer cette erreur dans l'implémentation de votre outil ?
A. Retourner un message d'erreur dans le résultat de l'outil expliquant que le service est temporairement indisponible.
B. Retourner une liste de vols vide comme si la recherche avait réussi mais n'avait trouvé aucun vol correspondant.
C. Réessayer automatiquement la requête jusqu'à cinq fois avec un délai exponentiel avant de retourner les résultats à l'agent.
D. Journaliser l'erreur en interne et retourner une réponse vide, laissant le modèle continuer sans les données de vol.
✓ Bonne réponse : C
A. Retourner une liste de vols vide comme si la recherche avait réussi mais n'avait trouvé aucun vol correspondant. Incorrect. Cela masque l'échec et induit le système en erreur en lui faisant croire qu'aucun vol n'existe, ce qui peut conduire à des conclusions incorrectes. B. Enregistrer l'erreur en interne et retourner une réponse vide, laissant le modèle continuer sans les données de vols. Incorrect. Cela supprime également le signal d'échec, empêchant l'agent de prendre des mesures correctives. C. Retourner un message d'erreur dans le résultat de l'outil expliquant que le service est temporairement indisponible. Incorrect. Bien que transparent, cela ne tente pas à lui seul une récupération et peut dégrader inutilement l'expérience utilisateur. D. Réessayer automatiquement la requête jusqu'à cinq fois avec un backoff exponentiel avant de retourner les résultats à l'agent. Correct. Il s'agit de l'approche la plus efficace : elle gère les pannes transitoires de manière élégante, améliore la fiabilité et ne remonte les erreurs que si les tentatives échouent.
Question 6 / 10
Votre outil update_user_profile accepte un user_id (obligatoire) et un objet optionnel fields_to_update. Lors des tests, Claude omet fréquemment le user_id ou transmet des données mal structurées. Qu'est-ce qui est le plus déterminant pour aider Claude à comprendre quelles valeurs de paramètres fournir ?
A. Des noms de paramètres verbeux encodant des indications de format, comme user_id_string_uuid_format
B. Des réponses d'erreur détaillées expliquant pourquoi les valeurs de paramètres invalides ont été rejetées
C. Des descriptions de paramètres claires expliquant le format attendu, par exemple « user_id : UUID de l'utilisateur à mettre à jour (obligatoire) »
D. Des contraintes strictes de type JSON Schema marquant user_id comme obligatoire et définissant fields_to_update comme un type objet
✓ Bonne réponse : C
A. Des descriptions de paramètres claires expliquant le format attendu, par exemple « user_id : UUID de l'utilisateur à mettre à jour (obligatoire) » — Correct. Des descriptions claires et lisibles sont le facteur le plus important pour aider Claude à comprendre quelles valeurs fournir et comment les paramètres doivent être structurés. B. Des noms de paramètres verbeux encodant des indications de format, comme user_id_string_uuid_format — Incorrect. Des noms excessivement verbeux réduisent la lisibilité et sont moins efficaces que des descriptions appropriées. C. Des contraintes de type JSON Schema strictes marquant user_id comme obligatoire et définissant fields_to_update comme type objet — Incorrect. Les contraintes de schéma facilitent la validation, mais n'expliquent pas suffisamment les attentes sémantiques comme le format UUID requis. D. Des réponses d'erreur détaillées expliquant pourquoi des valeurs de paramètres invalides ont été rejetées — Incorrect. Utiles après un échec, mais pas le facteur le plus critique pour prévenir les erreurs en amont.
Question 7 / 10
Votre agent traite un litige de facturation. Après avoir appelé get_customer et lookup_order, il identifie que le litige implique une erreur de tarification promotionnelle nécessitant l'approbation d'un responsable — ce qui dépasse le niveau d'autorisation de l'agent. Comment le workflow doit-il gérer cette escalade en cours de processus ?
A. Tenter quand même le remboursement avec process_refund, et n'escalader que si le système rejette la transaction.
B. Compiler un handoff structuré incluant les informations client, les détails de commande et le problème identifié avant d'appeler escalate_to_human.
C. Persister l'intégralité de l'historique de conversation et des réponses aux outils dans une base de données, puis appeler escalate_to_human avec un identifiant de référence.
D. Appeler escalate_to_human en ne transmettant que le message original du client.
✓ Bonne réponse : B
A. Persister l'intégralité de l'historique de conversation et des réponses aux outils dans une base de données, puis appeler escalate_to_human avec un identifiant de référence — Incorrect. Utile sur le plan opérationnel, mais l'agent humain a tout de même besoin d'un résumé concis et exploitable plutôt que de simples journaux bruts. B. Appeler escalate_to_human en ne transmettant que le message original du client — Incorrect. Cela perd le travail d'investigation déjà effectué et oblige l'agent humain à répéter les étapes. C. Tenter le remboursement avec process_refund quoi qu'il arrive, en escaladant uniquement si le système rejette la transaction — Incorrect. Cela viole les limites d'autorisation et la politique métier. D. Compiler une passation de contexte structurée incluant les détails du client, les informations de commande et le problème identifié avant d'appeler escalate_to_human — Correct. Une passation structurée préserve le contexte, réduit les répétitions et permet à l'agent humain de continuer efficacement.
Question 8 / 10
Après que l'agent de recherche web et l'agent d'analyse de documents ont terminé leurs tâches, le coordinateur invoque l'agent de synthèse. Cependant, l'agent de synthèse répond qu'il ne peut pas accomplir la tâche car aucun résultat de recherche ne lui a été fourni. Quelle est la cause la plus probable de ce problème ?
A. La fenêtre de contexte de l'agent de synthèse n'est pas suffisamment grande pour contenir les sorties combinées des deux agents précédents.
B. L'agent de synthèse a besoin d'outils lui permettant de récupérer directement les résultats depuis les historiques de conversation des autres agents.
C. Les sous-agents doivent partager une connexion API unique pour permettre un partage automatique du contexte entre les invocations.
D. Le coordinateur n'a pas inclus les sorties des agents précédents dans le prompt de l'agent de synthèse.
✓ Bonne réponse : D
A. L'agent de synthèse a besoin d'outils capables de récupérer les résultats directement depuis l'historique des conversations des autres agents. Incorrect. Les agents n'ont pas besoin d'accéder directement aux historiques des autres. Une orchestration correcte transmet les sorties explicitement via des prompts. B. La fenêtre de contexte de l'agent de synthèse n'est pas suffisamment large pour contenir les sorties combinées des deux agents précédents. Incorrect. Si c'était le problème, l'agent recevrait des données tronquées, et non une absence totale de données. L'erreur indique que les entrées sont entièrement manquantes. C. Les sous-agents doivent partager une seule connexion API pour permettre le partage automatique du contexte entre les invocations. Incorrect. La communication entre agents ne dépend pas de connexions API partagées. Le contexte doit être explicitement transmis par le coordinateur. D. Le coordinateur n'a pas inclus les sorties des agents précédents dans le prompt de l'agent de synthèse. Correct. L'agent de synthèse ne peut agir que sur les informations fournies dans son prompt. Si les sorties précédentes ne sont pas transmises, il signalera l'absence des résultats de recherche.
Question 9 / 10
La surveillance indique que 12 % des extractions échouent à la validation Pydantic avec des erreurs spécifiques telles que « float attendu pour quantity, obtenu '2 to 3' ». Relancer ces requêtes sans modification produit les mêmes échecs. Quelle est l'approche la plus efficace pour récupérer de ces échecs de validation ?
A. Définir la température à 0 pour éliminer la variabilité des sorties et garantir un formatage cohérent.
B. Pré-traiter les documents source pour standardiser les formats problématiques avant de les envoyer à l'extraction.
C. Implémenter un pipeline secondaire utilisant un modèle de niveau supérieur pour retraiter les documents qui échouent à la validation.
D. Envoyer une requête de suivi incluant l'erreur de validation, en demandant au modèle de corriger sa sortie.
✓ Bonne réponse : D
A. Définir la température à 0 pour éliminer la variabilité des sorties et garantir un formatage cohérent — Incorrect. Cela réduit l'aléatoire mais ne corrige pas les erreurs d'extraction systématiques comme la mauvaise interprétation des plages (« 2 à 3 »). B. Envoyer une requête de suivi incluant l'erreur de validation, en demandant au modèle de corriger sa sortie — Correct. Fournir un retour de validation précis permet au modèle de corriger le problème exact (par exemple, convertir « 2 à 3 » en un nombre flottant valide), rendant la récupération très efficace. C. Pré-traiter les documents sources pour standardiser les formats problématiques avant de les envoyer à l'extraction — Incorrect. Utile dans certains cas, mais pas évolutif ni suffisant pour gérer la diversité des variations du monde réel. D. Mettre en place un pipeline secondaire utilisant un modèle de niveau supérieur pour retraiter les documents qui échouent à la validation — Incorrect. Plus coûteux et inutile — la correction ciblée est plus efficace et plus performante.
Question 10 / 10
Le premier message d'un nouvel utilisateur est : « Configure ma musique de concentration. » Cela pourrait signifier configurer des préférences, créer une playlist ou lancer la musique immédiatement. Votre système prend en charge ces trois actions. Quelle est l'approche la plus efficace ?
A. Démarrer la configuration des préférences en posant des questions sur les genres, les tempos et les artistes préférés pour la concentration.
B. Poser une seule question de clarification sur le type d'action souhaité : lancer maintenant ou configurer pour plus tard.
C. Lancer immédiatement des titres populaires de concentration et laisser l'utilisateur réorienter si nécessaire.
D. Créer une nouvelle playlist « Concentration » avec des titres sélectionnés et informer l'utilisateur qu'elle est prête.
✓ Bonne réponse : B
A. Créer une nouvelle playlist « Focus » avec des titres sélectionnés et notifier l'utilisateur qu'elle est prête. Incorrecte. Cette option suppose une intention et risque d'effectuer la mauvaise action, ce qui frustre les utilisateurs. B. Poser une question de clarification sur le type d'action : écouter maintenant ou configurer pour plus tard. Correcte. Cela minimise les frictions tout en résolvant l'ambiguïté, permettant à l'assistant d'effectuer rapidement la bonne action. C. Lancer immédiatement des titres populaires de concentration et laisser l'utilisateur rediriger si nécessaire. Incorrecte. Agit prématurément et peut ne pas correspondre à l'intention de l'utilisateur. D. Démarrer la configuration des préférences en posant des questions sur les genres, le tempo et les artistes. Incorrecte. Trop lourd en amont — ajoute des frictions inutiles avant de confirmer l'intention.
En raison des limitations d'extensibilité du stockage agrégé par bandes attaché à Windows Server, Amazon RDS ne prend actuellement pas en charge l'augmentation du stockage sur une instance DB [...] .
Sélectionnez la bonne réponse.
A. SQL Server
B. MySQL
C. Oracle
✓ Bonne réponse : A
Limitation de stockage RDS SQL Server : Amazon RDS for SQL Server utilise un stockage agrégé par bandes (striped storage) attaché à Windows Server, ce qui empêche l'augmentation dynamique du stockage après création. MySQL et Oracle sur RDS supportent l'autoscaling du stockage via des mécanismes différents.
Question 2 / 10
Quel service permet aux clients AWS de gérer les utilisateurs et les permissions dans AWS ?
Sélectionnez la bonne réponse.
A. AWS Identity and Access Management (IAM)
B. AWS Access Control Service (ACS)
✓ Bonne réponse : A
AWS IAM est le service central de gestion des identités et accès AWS. Il permet de créer des utilisateurs, groupes, rôles et politiques de permissions. L'option A est fictive : "AWS ACS" n'existe pas comme service AWS officiel.
Question 3 / 10
Laquelle des affirmations suivantes est vraie concernant l'attribution de tags à une ressource Amazon EC2 ?
Sélectionnez la bonne réponse.
A. Vous pouvez résilier, arrêter ou supprimer une ressource en vous basant uniquement sur ses tags
B. Il n'est pas nécessaire de spécifier l'identifiant de la ressource lors de sa résiliation
C. Vous ne pouvez pas résilier, arrêter ou supprimer une ressource en vous basant uniquement sur ses tags
D. Il n'est pas nécessaire de spécifier l'identifiant de la ressource lors de son arrêt
✓ Bonne réponse : C
Les tags EC2 sont des métadonnées (clé/valeur) facilitant l'organisation et la facturation des ressources. Cependant, ils ne remplacent pas les identifiants de ressources (Resource ID) pour les actions critiques. Vous ne pouvez pas résilier, arrêter ou supprimer une instance EC2 en vous basant uniquement sur ses tags : l'ID de ressource reste obligatoire. Les options A et D sont incorrectes car l'ID est toujours requis.
Question 4 / 10
Quel sera le statut du snapshot tant que celui-ci n'est pas terminé ?
Sélectionnez la bonne réponse.
A. Progressing
B. Running
C. Working
D. Pending
✓ Bonne réponse : D
Statut des snapshots EBS : Lors de la création d'un snapshot, AWS lui attribue le statut Pending jusqu'à sa complétion. Ce statut indique que l'opération est en cours. Les options "Running", "Working" et "Progressing" n'existent pas dans la terminologie officielle AWS pour les snapshots.
Question 5 / 10
Le moteur de stockage Federated est-il actuellement pris en charge par Amazon RDS pour MySQL ?
Sélectionnez la bonne réponse.
A. Uniquement dans un VPC
B. Non
C. Uniquement pour les instances Oracle RDS
D. Oui
✓ Bonne réponse : B
Federated Storage Engine dans Amazon RDS for MySQL : AWS désactive explicitement ce moteur sur RDS. Il permet normalement d'accéder à des tables distantes, mais sa gestion décentralisée est incompatible avec les contraintes managées de RDS. Les autres options sont incorrectes : Oracle ne supporte pas MySQL, et la restriction n'est pas liée au VPC.
Question 6 / 10
La valeur de chaîne de caractères 'Key' peut-elle être préfixée par 'aws:' ?
Sélectionnez la bonne réponse.
A. Oui
B. Uniquement dans GovCloud
C. Non
D. Uniquement pour S3, pas pour EC2
✓ Bonne réponse : C
Tags AWS et préfixe réservé : Dans les politiques IAM et les tags de ressources, le préfixe aws: est réservé exclusivement à AWS. Les utilisateurs et administrateurs ne peuvent pas créer de clés de tags ou de conditions commençant par aws:. Cette restriction s'applique universellement à tous les services AWS, sans exception pour GovCloud ou S3.
Question 7 / 10
Quels sont les paramètres initiaux d'un security group créé par un utilisateur ?
Sélectionnez la bonne réponse.
A. N'autoriser aucun trafic entrant et n'autoriser aucun trafic sortant
B. Autoriser tout le trafic entrant et autoriser tout le trafic sortant
C. Autoriser tout le trafic entrant et n'autoriser aucun trafic sortant
D. N'autoriser aucun trafic entrant et autoriser tout le trafic sortant
✓ Bonne réponse : D
Security Group par défaut : Un Security Group nouvellement créé bloque tout le trafic entrant (aucune règle inbound) et autorise tout le trafic sortant (règle outbound 0.0.0.0/0). Cette configuration "deny-in, allow-out" oblige l'administrateur à définir explicitement les accès entrants nécessaires, suivant le principe du moindre privilège. L'option D (tout autoriser) correspondrait à une absence totale de sécurité.
Question 8 / 10
Les modifications apportées à la fenêtre de sauvegarde prennent effet [...].
Sélectionnez la bonne réponse.
A. à partir du prochain cycle de facturation
B. après 30 minutes
C. immédiatement
D. après 24 heures
✓ Bonne réponse : C
Fenêtre de sauvegarde RDS : paramètre modifiable à tout moment via la console AWS ou l'API. Les changements apportés à la backup window prennent effet immédiatement, sans délai de propagation ni cycle de facturation. Les options B et D sont incorrectes : AWS n'impose aucun délai d'attente pour ce type de modification.
Question 9 / 10
Rendre votre snapshot public partage toutes les données du snapshot avec tout le monde. Les snapshots associés à des codes produit AWS Marketplace peuvent-ils être rendus publics ?
Sélectionnez la bonne réponse.
A. Oui
B. Non
✓ Bonne réponse : A
EBS Snapshots publics : AWS permet de rendre un snapshot public, partageant ainsi toutes ses données. Les snapshots liés à des codes produit AWS Marketplace peuvent être rendus publics. Cependant, ils ne peuvent pas être copiés ni utilisés pour lancer des instances sans passer par le Marketplace.
Question 10 / 10
Vrai ou Faux : Les sauvegardes automatisées sont activées par défaut pour une nouvelle instance DB
Sélectionnez la bonne réponse.
A. Vrai
B. Faux
✓ Bonne réponse : A
Les sauvegardes automatisées RDS sont activées par défaut lors de la création d'une instance DB, avec une période de rétention de 7 jours. AWS configure automatiquement cette protection, permettant la restauration point-in-time. Il faut explicitement désactiver cette fonctionnalité si elle n'est pas souhaitée.
Vous devez vous assurer que VM1 peut communiquer avec VM4. La solution doit minimiser les efforts d'administration. Que devez-vous faire ?
Sélectionnez la bonne réponse.
A. Établir un peering entre VNET1 et VNET3.
B. Attribuer à VM4 une adresse IP 10.0.1.5/24.
C. Créer 2 routes définies par l'utilisateur de VNET1 vers VNET3.
D. Créer un NSG et associer le NSG à VM1 et VM4.
✓ Bonne réponse : B
Réponse : B. Attribuer à VM4 une adresse IP 10.0.1.5/24. Si VM1 se trouve dans le sous-réseau 10.0.1.0/24 et que VM4 appartient à un espace d'adressage différent (VNET3), la solution la plus simple pour minimiser les efforts d'administration est d'attribuer à VM4 une adresse IP dans le même sous-réseau que VM1 (10.0.1.5/24), permettant ainsi une communication directe sans configuration réseau complexe. Les autres options sont incorrectes : les User Defined Routes (option A) nécessitent une configuration supplémentaire complexe ; le VNet Peering (option C) requiert une configuration des deux côtés et implique davantage d'efforts ; la création d'un NSG (option D) contrôle le trafic mais ne permet pas en soi d'établir la connectivité entre deux réseaux distincts.
Question 2 / 10
Que devez-vous faire ?
Sélectionnez la bonne réponse.
A. Depuis le panneau Licences d'Azure AD, attribuer une licence
B. Depuis le domaine Azure AD, ajouter une application d'entreprise
C. Depuis le panneau Groupes de chaque utilisateur, inviter les utilisateurs dans un groupe
D. Depuis le panneau Rôle d'annuaire de chaque utilisateur, modifier le rôle d'annuaire
✓ Bonne réponse : A
Réponse : A. Depuis le panneau Licences d'Azure AD, attribuer une licence. Dans Azure Active Directory, certaines fonctionnalités avancées (comme la réinitialisation de mot de passe en libre-service, l'accès conditionnel ou la protection des identités) nécessitent des licences Azure AD Premium P1 ou P2. Pour activer ces fonctionnalités pour des utilisateurs, il faut leur attribuer une licence directement depuis le panneau Licences d'Azure AD. Les autres options sont incorrectes : inviter des utilisateurs dans un groupe (B) ne débloque pas de fonctionnalités premium, ajouter une application d'entreprise (C) concerne l'intégration SSO/SAML, et modifier le rôle d'annuaire (D) affecte les permissions administratives, non les licences fonctionnelles.
Question 3 / 10
Vous évaluez la connectivité entre les machines virtuelles après la mise en œuvre planifiée de l'infrastructure réseau Azure. Les machines virtuelles sur Subnet1 seront en mesure de se connecter aux machines virtuelles sur Subnet3.
Sélectionnez la bonne réponse.
A. Non.
B. Oui.
✓ Bonne réponse : B
Réponse : Oui. Dans Azure, les machines virtuelles situées dans des sous-réseaux différents d'un même Virtual Network peuvent communiquer entre elles par défaut, sans configuration supplémentaire. Le routage inter-sous-réseaux est automatiquement géré par Azure grâce aux routes système (system routes). Ainsi, Subnet1 et Subnet3, s'ils appartiennent au même Virtual Network, peuvent échanger du trafic librement. La connectivité serait bloquée uniquement si des Network Security Groups (NSG) avec des règles de refus explicites étaient appliqués, ou si des User Defined Routes (UDR) redirigeaient le trafic différemment. En l'absence de telles restrictions dans ce scénario, la réponse Non est incorrecte car rien n'empêche la communication entre ces deux sous-réseaux.
Question 4 / 10
Vous évaluez la résolution de noms pour les machines virtuelles après la mise en œuvre planifiée de l'infrastructure réseau Azure. Les machines virtuelles sur Subnet1 seront en mesure de résoudre les hôtes dans la zone humongousinsurance.local.
Sélectionnez la bonne réponse.
A. Oui.
B. Non.
✓ Bonne réponse : B
Réponse : Non. Les machines virtuelles sur Subnet1 ne seront pas en mesure de résoudre les hôtes dans la zone humongousinsurance.local. Dans Azure, les zones DNS privées (Private DNS Zones) doivent être explicitement liées au Virtual Network via un Virtual Network Link pour que la résolution de noms fonctionne. Sans ce lien configuré entre la Private DNS Zone et le Virtual Network contenant Subnet1, les requêtes DNS vers humongousinsurance.local échoueront. De plus, si la résolution repose uniquement sur le DNS Azure par défaut sans forwarder configuré, les noms de domaine privés personnalisés ne seront pas résolus. Les options incorrectes ignorent cette exigence de liaison explicite obligatoire.
Question 5 / 10
Vous disposez de deux machines virtuelles Azure nommées VM1 et VM2. Vous disposez de deux coffres Recovery Services nommés RSV1 et RSV2. VM2 est protégée par RSV1. Vous devez utiliser RSV2 pour protéger VM2. Que devez-vous faire en premier ?
Sélectionnez la bonne réponse.
A. Depuis le panneau VM2, cliquez sur Récupération d'urgence, cliquez sur Paramètres de réplication, puis sélectionnez RSV2 comme coffre Recovery Services.
B. Depuis le panneau RSV1, cliquez sur Sauvegarde. Depuis le panneau Sauvegarde, sélectionnez la sauvegarde pour la machine virtuelle, puis cliquez sur Sauvegarde.
C. Depuis le panneau RSV1, cliquez sur Éléments de sauvegarde et arrêtez la sauvegarde de VM2.
D. Depuis le panneau RSV1, cliquez sur Travaux de sauvegarde et exportez la sauvegarde de VM2.
✓ Bonne réponse : A
Réponse : D. Depuis le panneau VM2, cliquez sur Récupération d'urgence, cliquez sur Paramètres de réplication, puis sélectionnez RSV2 comme coffre Recovery Services. Pour transférer la protection d'une VM d'un Recovery Services Vault à un autre, vous devez d'abord configurer la réplication via le panneau Récupération d'urgence de la VM, en sélectionnant RSV2 comme coffre cible. Azure Site Recovery permet de modifier le coffre associé via les paramètres de réplication. L'option A (arrêter la sauvegarde) ne suffit pas comme première étape car cela ne migre pas la protection vers RSV2. L'option B (exporter les travaux) est une action de reporting sans effet sur la configuration. L'option C (créer une nouvelle sauvegarde dans RSV1) va dans le mauvais sens et ne transfère pas la protection vers RSV2.
Question 6 / 10
Ressources que vous pouvez déplacer de RG2 vers RG1 :
Sélectionnez la bonne réponse.
A. IP2, VNET2 et storage2
B. IP2 et VNET2 uniquement
C. IP2 et storage2 uniquement
D. IP2 uniquement
E. Aucune
✓ Bonne réponse : E
Réponse : A. Aucune ressource ne peut être déplacée. Dans Azure, pour déplacer des ressources entre Resource Groups, ceux-ci doivent appartenir au même abonnement, et les ressources ne doivent pas avoir de verrous (locks) ou de restrictions qui bloquent le déplacement. Dans ce scénario, RG2 contient des ressources liées entre elles (IP2 associée à VNET2, storage2 potentiellement verrouillé). Une adresse IP publique associée à une ressource réseau active ne peut pas être déplacée indépendamment. De plus, si un verrou ReadOnly ou CanNotDelete est appliqué sur RG2 ou ses ressources, aucun déplacement n'est possible. Les options B, C, D et E sont incorrectes car elles supposent que certaines ressources sont déplaçables, ce qui n'est pas le cas dans les conditions décrites pour ce scénario.
Question 7 / 10
Vous déployez un cluster Azure Kubernetes Service (AKS) nommé AKS1. Vous devez déployer un fichier YAML sur AKS1. Solution : Depuis Azure CLI, vous exécutez azcopy. Cette solution répond-elle à l'objectif ?
Sélectionnez la bonne réponse.
A. Oui.
B. Non.
✓ Bonne réponse : B
Réponse : Non. La commande azcopy est un outil de ligne de commande conçu pour copier des données vers et depuis Azure Storage (Blob, Files, etc.). Elle ne permet pas de déployer des ressources Kubernetes. Pour déployer un fichier YAML sur un cluster Azure Kubernetes Service (AKS), il faut utiliser la commande kubectl apply -f fichier.yaml depuis Azure CLI, après avoir configuré le contexte Kubernetes avec az aks get-credentials. L'utilisation d'azcopy est donc totalement inadaptée à cet objectif, car cet outil n'interagit pas avec l'API Kubernetes et ne peut pas créer ni mettre à jour des ressources dans un cluster AKS.
Question 8 / 10
Vous créez un plan App Service nommé App1 et une application web Azure nommée webapp1. Vous constatez que l'option permettant de créer un slot de staging est indisponible. Vous devez créer un slot de staging pour App1. Que devez-vous faire en premier ?
Sélectionnez la bonne réponse.
A. Depuis webapp1, modifier les paramètres de l'application.
B. Depuis webapp1, ajouter un domaine personnalisé.
C. Depuis App1, effectuer une montée en puissance (scale up) du plan App Service.
D. Depuis App1, effectuer une mise à l'échelle horizontale (scale out) du plan App Service.
✓ Bonne réponse : C
Réponse : C. Depuis App1, effectuer une montée en puissance (scale up) du plan App Service. Les slots de déploiement (deployment slots) sont une fonctionnalité réservée aux niveaux Standard, Premium ou Isolated d'un App Service Plan. Si l'option est indisponible, cela signifie que le plan est configuré sur un niveau inférieur (Free, Shared ou Basic). Il faut donc effectuer un scale up (montée en puissance) pour passer à un niveau supérieur supportant les slots. La modification des paramètres applicatifs (A) ou l'ajout d'un domaine personnalisé (B) n'ont aucun impact sur cette fonctionnalité. Le scale out (D) augmente le nombre d'instances mais ne débloque pas les slots de staging.
Question 9 / 10
Vous devez préparer l'environnement pour répondre aux exigences d'authentification. Quelles deux actions devez-vous effectuer ?
Sélectionnez toutes les bonnes réponses.
A. Azure Active Directory (AD) Identity Protection et une stratégie Azure.
B. Azure Key Vault et une stratégie d'accès.
C. Un compte Azure Storage et une stratégie d'accès.
D. Un coffre Recovery Services et une stratégie de sauvegarde.
✓ Bonne réponse : C, D
Réponses correctes : B et D. Pour répondre aux exigences d'authentification dans un environnement Azure, deux éléments sont essentiels : un Recovery Services vault avec une stratégie de sauvegarde pour protéger et restaurer les données d'identité, et un Azure Storage Account avec une stratégie d'accès pour gérer les autorisations et stocker les journaux d'authentification. Ces composants forment une infrastructure sécurisée et résiliente. L'option A (Azure AD Identity Protection) est incorrecte car elle concerne la détection des risques, pas la préparation de l'environnement d'authentification. L'option C (Azure Key Vault) gère les secrets et certificats, mais n'est pas la combinaison principale requise pour ce scénario spécifique d'authentification environnementale.
Question 10 / 10
Vous prévoyez d'utiliser le service Azure Import/Export pour copier des fichiers vers un compte de stockage. Quels deux fichiers devez-vous créer avant de préparer les lecteurs pour le travail d'importation ?
Sélectionnez toutes les bonnes réponses.
A. Fichier de configuration JSON.
B. Fichier CSV Driveset.
C. Fichier manifeste XML.
D. Fichier PowerShell PS1.
E. Fichier CSV Dataset.
✓ Bonne réponse : B, E
Réponse : B. Fichier CSV Driveset et C. Fichier CSV Dataset. Pour préparer des lecteurs avec l'outil WAImportExport dans le cadre d'un travail d'importation Azure Import/Export, deux fichiers CSV sont obligatoires. Le fichier CSV Driveset liste les lecteurs physiques à utiliser (lettre de lecteur, clé BitLocker, etc.), tandis que le fichier CSV Dataset décrit les répertoires/fichiers sources à copier et leur destination dans le Storage Account. Ces deux fichiers sont passés en paramètres à l'outil WAImportExport.exe. Le fichier manifeste XML est généré automatiquement par l'outil (pas créé manuellement), le fichier PS1 et le fichier JSON ne font pas partie du processus standard Azure Import/Export.
Which of the following mandates the amount and complexity of security controls applied to a security risk?
Sélectionnez la bonne réponse.
A. Risk mitigation
B. Risk tolerance
C. Security staff
D. Security vulnerabilities
✓ Bonne réponse : B
Here's a detailed justification for why Risk Tolerance is the correct answer: Risk tolerance defines the level of risk an organization is willing to accept. This directly influences the stringency of security controls implemented. A higher risk tolerance translates to fewer or less complex security controls, as the organization is prepared to accept a greater probability and potential impact of a security incident. Conversely, a lower risk tolerance necessitates more robust and complex security controls to minimize the likelihood and severity of potential incidents. Security vulnerabilities represent weaknesses that could be exploited, but they don't inherently dictate the amount or complexity of controls applied. Vulnerabilities are factors considered within the risk assessment process, ultimately influencing the residual risk level which is then compared to the defined risk tolerance. Risk mitigation involves the actions taken to reduce risk, but it's the risk tolerance that sets the bar for how much mitigation is enough. Security staff, while crucial in implementing and managing controls, don't mandate the level of control complexity. Their actions are guided by the organization's overall risk tolerance. Risk tolerance is a management decision, often documented in risk management policies. It dictates the acceptable level of residual risk after controls are applied. If the residual risk (risk remaining after controls are implemented) exceeds the organization's risk tolerance, additional or more complex controls are required. This is a crucial concept in cloud security as organizations need to determine their appetite for risk related to cloud services. Therefore, the degree and intricacy of security controls are ultimately driven by the organization's pre-defined risk tolerance, which sets the boundaries for acceptable risk levels. Supporting Links: NIST Risk Management Framework: https://csrc.nist.gov/projects/risk-management ISO 27005 (Information Security Risk Management): https://www.iso.org/isoiec-27005-information-security- risk-management.html
Question 2 / 10
Which of the following will an organization's network vulnerability testing process BEST enhance?
Sélectionnez la bonne réponse.
A. Asset management procedures
B. Code review procedures
C. Server hardening processes
D. Firewall log review processes
✓ Bonne réponse : C
The correct answer is C. Server hardening processes. Here's why: Network vulnerability testing aims to identify weaknesses in a network's security posture. This includes finding exploitable flaws in servers, the core components that provide services and host applications. Once vulnerabilities are discovered through testing (e.g., using tools like Nessus or OpenVAS), organizations can then focus on strengthening these weaknesses. This directly enhances the server hardening process. Server hardening involves configuring servers securely to minimize vulnerabilities and reduce their attack surface. Options A, B, and D are related to security but less directly enhanced by vulnerability testing. A. Firewall log review processes: While vulnerability testing might reveal issues requiring firewall rule modifications, the primary goal of firewall log reviews is monitoring for suspicious activity and detecting intrusions after they've occurred or been attempted. Vulnerability testing helps prevent intrusions by identifying weaknesses beforehand. B. Asset management procedures: Vulnerability testing relies on accurate asset information, but its primary effect is not on asset management itself. Asset management focuses on cataloging and tracking IT assets. Vulnerability testing improves the security of those assets once identified. D. Code review procedures: Code reviews are important for identifying vulnerabilities in custom applications, but vulnerability testing primarily targets flaws in existing systems and network infrastructure, not necessarily custom application code. Application security testing (SAST/DAST) is more appropriate for code review. In summary, vulnerability testing provides specific information about server weaknesses. This targeted information is precisely what's needed to improve server hardening, making it the BEST answer. The insights gained from these tests inform and guide the implementation of stronger security configurations, patching strategies, and access controls on servers. Supporting Links: NIST Special Publication 800-115, Technical Guide to Information Security Testing and Assessment: https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-115.pdf OWASP Vulnerability Scanning Tools:https://owasp.org/www-project-vulnerability-scanning-tools/ CIS Benchmarks (Server Hardening Guides):https://www.cisecurity.org/cis-benchmarks/
Question 3 / 10
When conducting a remote access session using Internet Protocol Security (IPSec), which Open Systems Interconnection (OSI) model layer does this connection use?
Sélectionnez la bonne réponse.
A. Network
B. Presentation
C. Data link
D. Transport
✓ Bonne réponse : A
The correct answer is indeed C, the Network layer. Let's break down why: IPSec operates at the Network layer (Layer 3) of the OSI model. Its primary function is to secure IP packets as they traverse the network. It doesn't deal with application-specific data manipulation (Presentation layer), reliable end-to-end communication (Transport layer), or direct hardware addressing (Data Link layer). IPSec works by encapsulating and encrypting IP packets before transmission. This encapsulation occurs at the IP level, hence its placement at the Network layer. It provides security services like confidentiality, integrity, authentication, and anti-replay protection to the IP packets themselves. Common IPSec protocols include Authentication Header (AH) and Encapsulating Security Payload (ESP), both operating on top of IP. Two modes of IPSec are relevant: Transport mode and Tunnel mode. Transport mode protects the payload of the IP packet. Tunnel mode encrypts the entire IP packet and adds a new IP header, essentially creating a secure tunnel. Both modes still function at the Network layer because they directly manipulate IP packets. In a remote access scenario using IPSec, the client and the network gateway (e.g., VPN server) establish a secure tunnel through which all traffic flows. This tunnel is established and maintained by IPSec, which manages the encryption and authentication of IP packets travelling through it. The underlying network protocols, such as TCP or UDP (Transport layer), and the application protocols (e.g., SSH, RDP) being used over the remote connection are protected by IPSec at the Network layer. Essentially, IPSec acts as a security layer around the existing IP packets, ensuring that they are protected from eavesdropping and tampering. This direct manipulation and protection of IP packets is the defining characteristic of Network layer operation. Therefore, the Network layer is the most appropriate choice for an IPSec connection in a remote access scenario. For further reading, consider these resources: Cisco - Understanding IPSec:https://www.cisco.com/c/en/us/support/docs/security-vpn/ip-security- ipsec/5429-ipsec.html Cloudflare - What is IPSec?:https://www.cloudflare.com/learning/security/glossary/what-is-ipsec/
Question 4 / 10
An organization has requested storage area network (SAN) disks for a new project. What Redundant Array of Independent Disks (RAID) level provides the BEST redundancy and fault tolerance?
Sélectionnez la bonne réponse.
A. RAID level 5
B. RAID level 1
C. RAID level 3
D. RAID level 4
✓ Bonne réponse : A
RAID 5 is generally considered the best balance of redundancy, fault tolerance, and storage efficiency compared to RAID 1, 3, and 4. RAID 1 (mirroring) offers excellent redundancy, as data is duplicated across multiple disks. However, it suffers from 50% storage efficiency, meaning half of the total storage is used for redundancy. RAID 3 and RAID 4 utilize striping with a dedicated parity disk. While offering better storage efficiency than RAID 1, they suffer from a write bottleneck because all parity calculations are written to a single disk. If that parity disk fails, the entire array is vulnerable. RAID 5 distributes parity information across all disks in the array. This eliminates the write bottleneck associated with dedicated parity disks, improving performance. In a RAID 5 configuration, if one disk fails, the data can be reconstructed from the remaining disks and the parity information. This offers good redundancy and fault tolerance. While RAID 6 (dual parity) offers higher redundancy by tolerating two simultaneous disk failures, it comes at the cost of increased complexity and reduced write performance compared to RAID 5. Given the prompt only asks among RAID 1, 3, 4 and 5, RAID 5 stands out as the superior choice for a balance between redundancy, fault tolerance and performance. RAID 5 offers an efficient use of storage space, as the parity data is distributed, avoiding bottlenecks and maximizing array lifespan and uptime. https://www.raid-calculator.com/https://www.ibm.com/docs/en/power9?topic=configuration-raid-levels
Question 5 / 10
Which one of the following is usually not a benefit resulting from the use of firewalls?
Sélectionnez la bonne réponse.
A. Reduces the risks of external threats from malicious hackers.
B. Allows centralized management and control of services.
C. Prevents the spread of viruses.
D. Reduces the threat level on internal system.
✓ Bonne réponse : C
The correct answer is B, "Prevents the spread of viruses." Firewalls primarily control network traffic based on predefined rules. While they can block traffic from known malicious sources or specific ports used by malware, they are not designed to actively scan for or remove viruses within allowed traffic. Here's a detailed justification: Firewalls operate at the network layer (Layer 3) and transport layer (Layer 4) of the OSI model, filtering traffic based on source/destination IP addresses, ports, and protocols. They act as a barrier, controlling access between networks and protecting internal systems from external threats (A) by blocking unauthorized connections and reducing exposure. Firewalls also contribute to lowering the overall threat level within an internal system (C) by limiting entry points for attackers. Centralized management and control (D) is a significant benefit of firewalls, as they allow administrators to define security policies in one place and enforce them across the network. This simplifies administration and improves overall security posture. However, preventing the spread of viruses (B) requires more advanced techniques. Firewalls do not inherently perform content inspection to identify and eliminate viruses embedded within allowed traffic. Preventing virus spread relies on endpoint security solutions (antivirus software), intrusion detection systems (IDS), and intrusion prevention systems (IPS) which perform deeper packet analysis and signature matching to detect malicious code. These systems can examine the contents of files being transmitted, unlike a standard firewall. While a next-generation firewall (NGFW) may include some intrusion prevention capabilities, its primary function remains network access control. Firewalls can block known malicious websites that distribute viruses, indirectly reducing exposure, but they cannot guarantee the prevention of virus spread through email attachments, infected USB drives, or other means. Effective virus prevention involves a layered security approach, with the firewall being only one component. Further research: NIST Special Publication 800-41 Revision 1, Guidelines on Firewalls and Firewall Policy: https://csrc.nist.gov/publications/detail/sp/800-41/r1/final SANS Institute Reading Room - Firewall Technologies:https://www.sans.org/reading- room/whitepapers/firewalls/firewall-technologies-36272
Question 6 / 10
Which of the following technologies can be used to monitor and dynamically respond to potential threats on web applications?
Sélectionnez la bonne réponse.
A. Web application vulnerability scanners
B. Runtime application self-protection (RASP)
C. Security Assertion Markup Language (SAML)
D. Field-level tokenization
✓ Bonne réponse : B
Runtime Application Self-Protection (RASP) is the most suitable technology for actively monitoring and dynamically responding to threats targeting web applications. RASP solutions embed within the application runtime environment and analyze application behavior in real-time. This allows them to detect malicious input, unauthorized access attempts, and other suspicious activities as they occur. RASP can then take immediate actions, such as blocking requests, terminating sessions, or alerting security personnel. Its integration within the application's execution context provides deeper visibility and more accurate threat detection compared to perimeter-based security solutions. Unlike Web application vulnerability scanners (which are more focused on finding flaws in the application code and configuration), RASP operates during runtime, protecting against both known and zero-day attacks. Field-level tokenization is primarily used for data masking and security at the data level, not for active threat response. SAML focuses on authentication and authorization, facilitating secure single sign-on across different systems, but doesn't directly monitor and respond to runtime threats. Therefore, RASP is the correct answer due to its ability to actively analyze application behavior and dynamically respond to detected threats in real-time. For further information on RASP, refer to resources from OWASP (Open Web Application Security Project), Gartner, and SANS Institute. They provide comprehensive information regarding the functionality, benefits, and implementation of RASP solutions. OWASP: https://owasp.org/ Gartner: https://www.gartner.com/ SANS Institute: https://www.sans.org/
Question 7 / 10
In supervisory control and data acquisition (SCADA) systems, which of the following controls can be used to reduce device exposure to malware?
Sélectionnez la bonne réponse.
A. Disable all command line interfaces.
B. Prohibit the use of unsecure scripting languages.
C. Disallow untested code in the execution space of the SCADA device.
D. Disable Transmission Control Protocol (TCP) and User Datagram Protocol (UDP) port 138 and 139 on the SCADA device.
✓ Bonne réponse : C
The correct answer is A: Disallow untested code in the execution space of the SCADA device. Here's why: SCADA systems control critical infrastructure and industrial processes. Their security is paramount. Introducing untested code directly into a SCADA device's execution environment poses a significant malware risk. Malware could be inadvertently or maliciously introduced through this untested code. The lack of prior security checks means that vulnerabilities are more likely to exist, allowing malware to exploit weaknesses and compromise the entire system. Restricting the execution of only rigorously tested and validated code drastically reduces the attack surface. This "least privilege" approach limits the avenues for malicious actors to insert malware. Thorough testing includes vulnerability scanning, code review, and penetration testing. This process helps identify and address potential security flaws before the code is deployed in the operational environment. While disabling specific ports (option C) and command-line interfaces (option B) can enhance security, they may also impede legitimate operations and might not be universally applicable across all SCADA systems. Port 138 and 139 relate to NetBIOS, and disabling them could disrupt necessary network communication. Similarly, disabling the command line might hinder essential diagnostic and maintenance tasks. Furthermore, these measures alone are insufficient if untested code still finds a way to execute on the device. Option D, prohibiting insecure scripting languages, is a reasonable approach; however, the root cause is often the introduction of external, unvetted code that's written even in "secure" languages, and it's less effective than preventing the execution of untested code altogether. By focusing on preventing the execution of untested code, we're minimizing the chances of malware gaining a foothold regardless of how it's introduced. Authoritative Links: NIST Guide to Industrial Control Systems (ICS) Security:https://csrc.nist.gov/publications/detail/sp/800- 82/r2/final - Provides detailed guidance on securing SCADA and ICS systems. CISA (Cybersecurity and Infrastructure Security Agency) ICS Security: https://www.cisa.gov/topics/industrial-control-systems-ics - Offers resources and alerts related to ICS vulnerabilities and threats.
Question 8 / 10
Which of the following is the MOST effective way to ensure the endpoint devices used by remote users are compliant with an organization's approved policies before being allowed on the network?
Sélectionnez la bonne réponse.
A. Mobile Device Management (MDM)
B. Network Access Control (NAC)
C. Group Policy Object (GPO)
D. Privileged Access Management (PAM)
✓ Bonne réponse : B
The correct answer is A. Network Access Control (NAC) is the most effective method to ensure remote endpoint compliance with organizational policies before network access is granted. NAC solutions enforce security policies by inspecting devices attempting to connect to the network. This inspection verifies configurations, such as up-to-date antivirus software, operating system patches, and adherence to specific security settings. NAC uses techniques like posture assessment to evaluate endpoints' compliance. Non-compliant devices can be quarantined or remediated through NAC before gaining full network access. This limits the risk of introducing malware or vulnerabilities to the internal network. Technologies include 802.1X authentication, agent-based scanning, and agentless assessment. NAC constantly monitors devices after initial connection, maintaining a continuous security posture. While PAM manages privileged user access, it doesn't directly assess endpoint security before network entry. GPOs are useful for configuration management, but they require network connectivity to be applied initially, which NAC controls. MDM is suitable for mobile devices, but NAC applies to a broader range of endpoint devices. Therefore, NAC's focus on pre-connection posture assessment makes it the most direct and effective control for ensuring remote endpoint compliance before network access is granted. NAC ensures that only compliant devices are allowed on the network, preventing potentially vulnerable or infected machines from compromising the overall security posture. References: SANS Institute on NAC: https://www.sans.org/information-security/glossary/network-access-control NIST Special Publication 800-113: https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800- 113.pdf
Question 9 / 10
Which of the following objects should be removed FIRST prior to uploading code to public code repositories?
Sélectionnez la bonne réponse.
A. Known vulnerabilities
B. Security credentials
C. Coding mistakes
D. Inefficient algorithms
✓ Bonne réponse : B
The correct answer is A, Security credentials. Prior to uploading code to public repositories like GitHub or GitLab, removing security credentials is of paramount importance because these repositories are accessible to a wide audience, including malicious actors. Security credentials, such as API keys, passwords, cryptographic keys, and database connection strings, if exposed, grant unauthorized access to sensitive systems, data, and resources. Once compromised, these credentials can be exploited to perform actions with elevated privileges, leading to data breaches, service disruptions, financial losses, and reputational damage. Inefficient algorithms (B), coding mistakes (C), and known vulnerabilities (D), while certainly important to address, pose a secondary risk compared to exposed credentials. These flaws might make the application less performant or more susceptible to exploitation, but they generally don't provide direct access in the same way as exposed credentials. While vulnerability disclosure is crucial for security, it should be handled responsibly through appropriate channels. The principle of least privilege is directly violated by publicly available credentials, granting broad unauthorized access instead of restricted, role-based access. Credentials should be managed using secure methods like environment variables, configuration files with restricted access, or dedicated secret management services like HashiCorp Vault or AWS Secrets Manager. Failing to remove credentials before publishing code is a significant security lapse demonstrating a lack of security hygiene and creates immediate and potentially catastrophic risks. It's a core element of secure coding practices and vulnerability prevention. Therefore, removing security credentials first is the crucial initial step. It mitigates the most significant and direct threat that public code exposure represents, significantly reducing the attack surface. Further Reading: OWASP: Hardcoded Secrets:https://owasp.org/www-project-top-ten/ (Relates to the risks of hardcoded credentials) GitHub: Removing Sensitive Data from a Repository:https://docs.github.com/en/authentication/keeping- your-account-and-data-secure/removing-sensitive-data-from-a-repository (Provides guidance on how to remediate credential exposure.)
Question 10 / 10
What key size is used by the Clipper Chip?
Sélectionnez la bonne réponse.
A. 40 bits
B. 80 bits
C. 56 bits
D. 64 bits
✓ Bonne réponse : B
The Clipper Chip, a controversial hardware encryption device developed by the U.S. National Security Agency (NSA) in the 1990s, employed an 80-bit key size. This key size was specifically chosen to provide a balance between security strength and the NSA's desire to retain the ability to decrypt communications with a warrant. While 80 bits was considered fairly strong at the time, it also allowed for potential brute-force attacks given enough computational power. The Clipper Chip incorporated the Skipjack encryption algorithm, which used this 80-bit key. A unique feature of the Clipper Chip was its "law enforcement access field" (LEAF), enabling authorized government agencies to decrypt communications using a dedicated key escrow system. Each chip contained a unique identification number and a family key. These were split into two parts and held by different government agencies. Upon a warrant, these parts could be combined to reconstruct the key, allowing decryption. The controversy stemmed from concerns about privacy and potential abuse of the government's decryption capabilities. Critics argued that it created a backdoor and could be exploited by malicious actors if the key escrow system was compromised. This debate ultimately contributed to the Clipper Chip's demise. The concerns over government access and potential vulnerabilities outweighed the perceived benefits of the technology at that time. Therefore, the correct answer is D, 80 bits, referring to the key size used by the Skipjack algorithm within the Clipper Chip, designed with government decryption access in mind. Authoritative Links for Further Research: NSA's Declassified Documents on Clipper Chip: Search the NSA's declassified archives for documents related to the Clipper Chip and Skipjack algorithm. Bruce Schneier's Writings: Bruce Schneier has written extensively on cryptography and security, including critiques of the Clipper Chip. Search for his publications on the topic. EFF (Electronic Frontier Foundation) Archives: The EFF was a strong opponent of the Clipper Chip. Their archives contain information on the controversy and its implications. Academic Papers: Use academic search engines like Google Scholar to find peer-reviewed papers on the Clipper Chip and its security analysis.
Glossaire, études de cas, exercices à trous et flashcards — inclus avec chaque abonnement.
AWS CLF-C02
Glossaire — 25 termes clés
AWS ArtifactService centralisé donnant accès aux rapports d'audit, accords de conformité et certifications AWS (SOC 2, ISO 27001, PCI DSS). Facilite la démonstration de conformité auprès des régulateurs.
ISTQB CTFL v4.0
Glossaire — 25 termes clés
Analyse des valeurs limites (AVL)Technique de test boîte noire consistant à tester les valeurs aux frontières des partitions d'équivalence, c'est-à-dire les valeurs juste en dessous, sur, et juste au-dessus des limites. Elle permet de détecter des défauts fréquents aux bornes des plages de valeurs.
ITIL 4
Glossaire — 23 termes clés
Amélioration continuePratique ITIL 4 visant à aligner les services et pratiques de l'organisation sur les besoins métier changeants, relevant de la responsabilité de chaque membre de l'organisation. ITIL 4 recommande qu'une équipe dédiée pilote ces efforts tout en impliquant l'ensemble du personnel.
PMI PMP
Glossaire — 21 termes clés
Backlog produit (Product Backlog)Liste ordonnée et priorisée de toutes les exigences, fonctionnalités et améliorations d'un produit, gérée par le Product Owner. Il constitue la source unique des travaux à réaliser par l'équipe Scrum.
AWS CLF-C02
Étude de cas — 5 scénarios inclus
Migration d'un e-commerce vers AWS : résilience et maîtrise des coûts
8 400 €/mois (incluant matériel, électricité, personnel)Coût mensuel datacenter on-premise99,2 % (soit ~58 heures de downtime/an)Disponibilité actuelle du sitex8 le trafic normal (de 500 à 4 000 requêtes/minute)Pic de trafic Black Friday5 personnes (4 développeurs + 1 administrateur système)Effectif technique
RetailNow est une PME française spécialisée dans la vente en ligne de produits électroniques. Depuis 5 ans, l'entreprise héberge son application e-commerce dans un datacenter privé à Paris, avec deux serveurs physiques dédiés, une base de données MySQL sur site et un système de backup manuel hebdomadaire. Les coûts d'infrastructure pèsent lourd : renouvellement matériel tous les 3 ans, électricité, personnel dédié à la maintenance physique, et une disponibilité limitée à 99,2 % sur l'année écoulée. Lors du Black Friday 2023, le site a subi une panne de 4 heures, causée par un pic de trafic imprévu qui a saturé les deux serveurs. L'équipe technique, composée de 4 développeurs et 1 administrateur système, a décidé d'explorer une migration vers AWS pour améliorer la résilience, réduire les coûts fixes et gagner en agilité. Le DSI souhaite valider la faisabilité technique et financière avant de s'engager, en s'appuyant sur les bonnes pratiques du Well-Architected Framework.
ISTQB CTFL v4.0
Étude de cas — 5 scénarios inclus
Migration bancaire en V : régression et traçabilité
420Nombre total de cas de test1 800 k€Budget test estimé6 semainesDurée de la campagne de test système12 %Taux de défauts détectés en production lors de la migration précédente
La banque régionale CréditNord lance la migration de son système de gestion des comptes courants vers une nouvelle plateforme. Le projet suit un cycle de vie en V classique, avec des équipes distinctes pour le développement et le test. Le chef de projet test doit organiser la campagne de validation sur un périmètre de 420 cas de test, couvrant les niveaux unitaire, intégration et système. Une précédente migration avait échoué en production à cause de régressions non détectées sur le module de transfert inter-comptes.
ITIL 4
Étude de cas — 5 scénarios inclus
Modernisation du centre de services d'une banque régionale
42Nombre d'agences concernées34 %Taux de satisfaction utilisateurs (avant refonte)4,2 joursDélai moyen de résolution des incidents (avant refonte)180 000 €Budget alloué au projet de refonte
La Banque Crédit Horizon, établissement régional de taille moyenne, gère l'informatique de ses 42 agences via un service informatique centralisé. Depuis deux ans, les utilisateurs se plaignent de délais de traitement excessifs pour leurs demandes et incidents : chaque agence contacte directement le technicien qu'elle connaît, contournant toute structure formelle. Il n'existe ni point de contact unique, ni catégorisation systématique des demandes, ce qui entraîne des pertes de traçabilité et une surcharge inégale des équipes.
Face à la montée des incidents non résolus et à une enquête de satisfaction interne alarmante, la DSI décide de refondre son organisation de support en s'appuyant sur ITIL 4. Un consultant est missionné pour concevoir un centre de services conforme aux bonnes pratiques, capable de distinguer incidents, demandes de services et questions, tout en assurant une classification et un routage efficaces vers les équipes spécialisées.
Le projet prévoit également l'adoption d'un outil ITSM pour automatiser l'appariement des incidents aux erreurs connues et centraliser le suivi. La direction souhaite que le nouveau dispositif soit opérationnel dans un délai contraint, en partant des ressources et processus existants plutôt qu'en repartant de zéro.
PMI PMP
Étude de cas — 5 scénarios inclus
Migration ERP en environnement hybride — Retard et dépassement budgétaire
2 400 000 €Budget total du projet880 000 €EV (Valeur Acquise) à la fin du sprint 51 050 000 €AC (Coût Réel) à la fin du sprint 5960 000 €PV (Valeur Planifiée) à la fin du sprint 5
Une entreprise industrielle de taille intermédiaire lance un projet de migration vers un nouvel ERP couvrant ses sites en France, en Pologne et au Brésil. Le chef de projet a opté pour une approche hybride : une phase prédictive pour le déploiement de l'infrastructure et de la configuration de base, suivie de sprints agiles pour les modules métier. La date de mise en production est contractuellement fixée à 18 mois, sans possibilité de dérogation car elle est liée à une exigence réglementaire de traçabilité financière imposée par les autorités fiscales brésiliennes.
À la fin du sprint 5, lors d'une revue de performance, le chef de projet constate des indicateurs préoccupants : l'équipe a consommé plus de budget que prévu tout en accumulant du retard. Par ailleurs, un consultant externe spécialisé en intégration fiscale brésilienne, identifié comme ressource critique sur le chemin critique, vient de notifier une indisponibilité de trois semaines pour raisons médicales. Un risque similaire avait été évoqué en phase de planification mais aucune réponse formelle n'avait été documentée.
En parallèle, l'équipe distribuée sur trois pays signale des difficultés de collaboration croissantes : les documents de spécifications sont échangés par email, générant des conflits de versions, et les membres brésiliens, bien que dans un fuseau horaire partagé avec les Polonais pour une heure par jour, se sentent exclus des décisions techniques prises lors des réunions matinales parisiennes.
AWS CLF-C02
Texte à trous — 25 phrases incluses
Le responsable conformité d'une banque télécharge les certifications ISO 27001 et les rapports SOC 2 d'AWS directement depuis _____ pour les soumettre à l'autorité de régulation financière.
ISTQB CTFL v4.0
Texte à trous — 25 phrases incluses
Pour tester un champ d'âge acceptant des valeurs entre 18 et 65 ans, l'_____ conduit à vérifier les valeurs 17, 18, 65 et 66 afin de détecter des défauts aux bornes de la plage autorisée.
ITIL 4
Texte à trous — 23 phrases incluses
Bien que chaque chef de projet soit responsable d'identifier des axes de progrès dans son périmètre, une équipe transverse coordonne l'ensemble des initiatives d'_____ au niveau de l'organisation.
PMI PMP
Texte à trous — 21 phrases incluses
Le Product Owner réunit l'équipe Scrum en début de trimestre pour reprioriser le _____ en tenant compte des nouvelles orientations stratégiques de l'entreprise.
AWS CLF-C02
Question
Lequel des éléments suivants est un exemple de scalabilité horizontale dans le Cloud AWS ?
Appuyer pour voir la réponse ›
Réponse
Ajouter plus d’instances EC2 de même taille pour gérer une augmentation de trafic.
Nos examens sont conçus pour reproduire le niveau, le format et les pièges des certifications officielles, afin que vous soyez prêt le jour J.
Ailleurs
Chez MyExam
✗ Des dumps copiés-collés
✓ Des questions construites pour comprendre
✗ Un score sans explication
✓ Une correction détaillée pour chaque réponse
✗ Contenu générique ou mal traduit
✓ Questions rédigées en français par des certifiés actifs
✗ Aucun suivi de progression
✓ Tableau de bord par domaine de compétence
✗ Contenu rarement mis à jour
✓ Mises à jour incluses à chaque révision du référentiel
Corrections question par question
Chaque réponse — bonne ou mauvaise — est expliquée avec sa justification. Vous comprenez pourquoi, pas seulement quoi.
Mises à jour automatiques
Nouvelle version du référentiel ? Elle est incluse dans votre abonnement, sans surcoût et sans action de votre part.
Kit de révision intensif — allez plus loin
Des annales enrichies en PDF : plus de questions qu'en ligne, corrections encore plus approfondies. Achat unique 14,99 €, accès à vie. Encore plus efficace en complément des simulations d'examen.
Suivez votre progression, identifiez vos lacunes et mesurez votre niveau de préparation avant le jour J.
Avis clients
Ils ont réussi leur certification
Des centaines de candidats ont déjà fait confiance à MyExam.fr pour préparer leur examen.
J'ai réussi AWS Cloud Practitioner du premier coup après 3 semaines sur MyExam.fr. Les questions sont vraiment proches de l'examen réel.
Thomas R.
Certifié AWS CLF-C02
La correction détaillée de chaque question m'a permis de comprendre mes erreurs, pas juste de mémoriser les bonnes réponses.
Camille D.
Certifiée ISTQB Foundation
Aucune autre plateforme francophone ne propose autant de contenu structuré à ce prix. Le rapport qualité/prix est excellent.
Karim B.
Certifié PMP
FAQ
Questions fréquentes
Puis-je préparer plusieurs certifications en même temps ?
Absolument. Un seul abonnement donne accès à toutes les certifications disponibles sur la plateforme, simultanément et sans restriction.
Les examens blancs sont-ils à jour avec les référentiels officiels ?
Oui. Nos examens sont révisés à chaque mise à jour des référentiels officiels. En tant qu'abonné, vous bénéficiez automatiquement des nouvelles versions sans surcoût.
Les kits de révision sont-ils inclus dans l'abonnement ?
Non. Les kits de révision sont des annales enrichies : plus de questions que sur la plateforme, des corrections encore plus détaillées. Disponibles séparément à 14,99 € par kit (achat unique, accès à vie). L'abonnement couvre les examens blancs interactifs en ligne pour l'ensemble des certifications.
Puis-je résilier à tout moment ?
Oui, en un clic depuis votre espace personnel. Aucun préavis, aucun frais caché. Votre accès reste actif jusqu'à la fin de la période payée.
Quelle différence avec les préparations officielles ?
Les examens officiels coûtent souvent plusieurs centaines d'euros et ne proposent pas de correction détaillée. MyExam.fr vous permet de vous entraîner en conditions réelles, avec des explications complètes, pour un coût mensuel inférieur au prix d'un café par semaine.
Nous utilisons des cookies essentiels pour faire fonctionner le site.
Avec votre accord, nous pouvons aussi utiliser des cookies pour améliorer votre expérience, analyser l’usage et afficher du contenu pertinent.
Essentiels : toujours actifs
Personnaliser : choisir vos préférences
Accepter ou Refuser : tous les cookies non essentiels
Préférences relatives aux cookies
Gérez vos préférences en matière de cookies ci-dessous :
Essential cookies enable basic functions and are necessary for the proper function of the website.
Nom
Description
Duration
Cookie Preferences
This cookie is used to store the user's cookie consent preferences.
30 days
These cookies are needed for adding comments on this website.
Nom
Description
Duration
comment_author
Used to track the user across multiple sessions.
Session
comment_author_email
Used to track the user across multiple sessions.
Session
comment_author_url
Used to track the user across multiple sessions.
Session
These cookies are used for managing login functionality on this website.