Ne découvrez pas l'examen
le jour J

Réponse : AWS Auto Scaling.
Explication : AWS Auto Scaling ajuste dynamiquement le nombre d’instances EC2 en fonction de la charge réelle.

Réponse : IaaS.
Explication : EC2 est une solution d’Infrastructure as a Service (IaaS) qui offre des ressources de calcul virtualisées.

Réponse : Amazon Athena. Explication : Amazon Athena est un service de requête interactif sans serveur pour analyser les données dans S3 à l'aide de SQL standard. Il n'y a pas d'infrastructure à configurer — vous payez uniquement par requête en fonction des données analysées, ce qui le rend extrêmement rentable pour une analyse occasionnelle.

Réponse : A) AWS WAF. AWS WAF (Web Application Firewall) protège les applications web contre les exploits courants, notamment l'injection SQL et les attaques XSS. Les règles peuvent être configurées pour inspecter les requêtes HTTP/S et bloquer les modèles malveillants correspondants, offrant une protection au niveau applicatif.

Inspector : scanne les instances EC2 et conteneurs pour identifier les vulnérabilités logicielles et les écarts de configuration réseau. Fournit un rapport de sévérité avec recommandations.

Réponse : Région AWS. Explication : Une région AWS est un emplacement géographique physique contenant plusieurs zones de disponibilité. AWS dispose de régions en Amérique du Nord, Europe, Asie-Pacifique, Amérique du Sud et Moyen-Orient/Afrique.

Réponse : Le matériel physique.
Explication : L’analyse TCO doit inclure tous les coûts matériels (serveurs, stockage, réseau, etc.) de l’infrastructure on-premise pour une comparaison équitable.

Réponse : Le transfert de données de l'appareil Snowball Edge vers Amazon S3. Explication : AWS facture les jours d'utilisation de l'appareil Snowball Edge et les transferts de données sortant d'AWS, mais le transfert de données vers Amazon S3 à partir d'un appareil Snowball est gratuit. Cela rend les migrations de données volumineuses vers le cloud rentables.

Réponse : AWS CloudTrail.
Explication : AWS CloudTrail enregistre toutes les actions des utilisateurs et permet d’auditer les opérations sur les ressources AWS.

Réponse : AWS CloudTrail.
Explication : AWS CloudTrail consigne tous les appels d’API et accès sur les ressources AWS du compte.

Amazon Textract : service spécialisé dans l'extraction de texte, champs et tableaux à partir de documents scannés ou images PDF. Il utilise la vision par ordinateur pour reconnaître et structurer les données, contrairement à Transcribe (audio→texte), Comprehend (analyse textuelle) et AWS Glue (intégration données). Textract détecte automatiquement les formulaires et tables, idéal pour numériser des documents papier.

Un modèle de base (ex. : Claude, Titan) est pré-entraîné sur des données générales et peut répondre à de nombreuses questions sans adaptation. Un modèle fine-tuné a été réentraîné sur des données spécifiques à un domaine ou une tâche, ce qui modifie ses poids pour optimiser ses performances dans ce contexte particulier (ex. : jargon médical, style de réponse spécifique). Le fine-tuning améliore la précision domain-specific mais peut réduire les capacités générales (catastrophic forgetting).

Rekognition + Textract : Rekognition détecte et classifie les objets (étiquettes, codes-barres). Textract extrait le texte visible sur ces objets (numéros de série, prix, instructions). Workflow multimodal complet pour enrichir les données produit automatiquement.

SageMaker JumpStart : hub de modèles fondamentaux (FM) et solutions sectorielles pré-entraînés, déployables instantanément dans ton VPC avec code d'exemple intégré. Contrairement à PartyRock (playground sans VPC), JumpStart offre déploiement production sécurisé. À la différence de SageMaker Endpoints (configuration manuelle), JumpStart automatise l'infrastructure et fournit templates prêts à l'emploi pour ML/GenAI.

Retrieval-Augmented Generation (RAG) : Les Knowledge Bases extraient uniquement les passages documentaires pertinents pour augmenter le prompt, réduisant ainsi sa taille et les coûts d'appels API au Foundation Model. Cette approche améliore la pertinence en fournissant un contexte ciblé plutôt que des documents bruts complets, contrairement aux approches naïves qui injecteraient l'intégralité des données.

Les LLMs sont exposés à des risques spécifiques : le prompt injection (ou jailbreaking) — un utilisateur manipule le prompt pour contourner les instructions système et faire produire du contenu interdit ou divulguer des données sensibles. Les hallucinations — le modèle génère des informations plausibles mais factuellement fausses, ce qui peut causer des préjudices dans des contextes médicaux ou juridiques. Ces risques nécessitent des Guardrails, une supervision humaine et une validation des sorties. Les risques DDoS traditionnels affectent toute API, pas spécifiquement les LLMs.

Asynchronous Inference : mode optimal pour payloads volumineux (jusqu'à 1 Go) et inférences longues (~1h). Le client soumet la requête et reçoit une URL S3 pour récupérer le résultat ultérieurement, sans timeout. Real-time suppose des réponses rapides, Serverless a des limites de durée (15 min), Batch Transform convient aux données statiques, pas aux requêtes en temps quasi-réel.

Pipeline speech-to-insight : Transcribe convertit audio en texte scalablement. Comprehend détecte sentiments/entités rapidement. GenAI via Bedrock interprète intentions complexes, compliance et contexte métier. Architecture en chaîne pour efficacité optimale.

Guardrails for Amazon Bedrock : service natif qui filtre les entrées/sorties de modèles IA en temps réel pour détecter et bloquer les PII, contenu toxique et autres risques définis par des politiques de sûreté. Contrairement à Macie (audit S3 uniquement), CloudTrail (logs API) ou KMS (chiffrement), Guardrails intervient directement dans le pipeline d'inférence du modèle.

PDPs vs SHAP/LIME : Les Partial Dependence Plots montrent l'effet global moyen d'une variable sur les prédictions, idéaux pour comprendre les tendances générales. SHAP et LIME, méthodes locales, expliquent chaque prédiction individuelle en détaillant la contribution de chaque feature. PDPs ne révèlent pas les interactions complexes ni les explications instance-spécifiques que demandent les stakeholders pour auditer les décisions critiques.

Responsabilité du Daily Scrum : Le Scrum Master est responsable de s'assurer que le Daily Scrum se tient chaque jour ouvrable, quelle que soit la nécessité perçue. Bien que l'équipe de développement soit maître du contenu et des résultats de cette réunion, le Scrum Master ne peut pas l'annuler de sa propre initiative. L'absence de Daily Scrum nuit à la cadence d'inspection et d'adaptation ainsi qu'à la synchronisation de l'équipe.

Pilier Adaptation : Lorsque des écarts sont détectés dans le processus ou le produit, des ajustements immédiats sont nécessaires pour rester dans des limites acceptables. Cette réactivité permet d'éviter que de petits problèmes ne s'aggravent en problèmes plus importants, garantissant ainsi que Scrum reste efficace et que la qualité du produit est maintenue en continu.

La Definition of Done comme critère de qualité : La Definition of Done établit des standards de qualité obligatoires que chaque Incrément doit respecter avant sa mise en production. Un Incrément ne répondant pas à ces standards ne peut pas être présenté lors de la Sprint Review ni mis en production, quelles que soient les demandes ou exceptions des parties prenantes. Cela garantit la qualité du produit et prévient l'accumulation de dette technique.

Réponse : Faux.
Explication : Scrum définit uniquement trois rôles : le Product Owner, le Scrum Master et les Developers. Il n'existe pas de rôle de « Chef de projet » dans Scrum. Le Scrum Master n'est pas un chef de projet au sens traditionnel du terme.

Product Goal : Une vision à long terme décrivant l'état futur souhaité du produit, qui guide la planification et les décisions de la Scrum Team. Contrairement aux Sprint Goals (à court terme), il fournit une orientation stratégique. Il se distingue des listes de fonctionnalités (qui sont tactiques) et des KPIs (qui mesurent les résultats plutôt que de définir une vision).

Flexibilité de l'estimation : Le Guide Scrum évite délibérément de prescrire des techniques d'estimation spécifiques, laissant aux équipes l'autonomie de choisir des méthodes telles que les Story Points, les heures ou les tailles de t-shirt. Cela reflète le principe d'empirisme de Scrum et l'auto-organisation de l'équipe, plutôt que l'imposition de cadres rigides.

Applicabilité universelle de Scrum : Scrum est un cadre de gestion du travail complexe et itératif, applicable dans tous les domaines — logiciel, marketing, développement de produits ou transformation organisationnelle. Ses principes fondamentaux (transparence, inspection, adaptation) s'appliquent partout où des équipes font face à l'incertitude et ont besoin de retours fréquents. Cette idée reçue provient des origines de Scrum dans le développement logiciel, mais méconnaît son caractère indépendant de tout domaine.

Réponse : La Scrum Team.
Explication : Les Scrum Teams sont auto-organisées. L'équipe veille collectivement à ce que ses membres respectent leurs engagements. Il n'y a pas de « superviseur » individuel — la responsabilité est partagée par l'ensemble de l'équipe.

Les rôles Scrum sont limités : Le cadre Scrum définit exactement trois rôles — Product Owner, Scrum Master et Developers — sans prescrire de titres de poste spécifiques tels qu'Analyste Métier ou Testeur. Bien que les membres de l'équipe Developers puissent réaliser des travaux de test ou d'analyse, Scrum maintient intentionnellement des rôles flexibles afin de s'adapter à diverses structures organisationnelles et compositions d'équipe.

La Sprint Retrospective est spécifiquement conçue pour que l'équipe Scrum inspecte ses processus et ses interactions, en identifiant ce qui s'est bien passé et ce qui pourrait être amélioré lors des prochains Sprints. C'est la seule réponse qui décrit avec précision l'objectif de l'événement Retrospective. Les autres options décrivent différents événements ou activités Scrum : la démonstration de l'Increment a lieu lors de la Sprint Review, le Product Owner gère la priorisation du Backlog de façon continue (et non pendant la Retrospective), et le Scrum Master n'assigne pas de tâches — c'est l'équipe de développement qui s'auto-organise dans son travail.

Réponse : Ils amélioreront leur Definition of Done pour y inclure des critères plus rigoureux.
Explication : La maturité d'une équipe dans Scrum se manifeste par une élévation continue des standards de qualité. Une DoD plus stricte reflète une capacité améliorée, une réduction de la dette technique et une plus grande confiance dans chaque Increment.

Les points de valeur constituent une technique d'ordonnancement légitime, mais ne sont pas obligatoires. L'approche empirique de Scrum permet au Product Owner de choisir n'importe quelle technique qui l'aide à optimiser la livraison de valeur. Certains PO utilisent le coût du délai, MoSCoW, le Weighted Shortest Job First (WSJF) ou une simple priorité métier. Ce qui compte, c'est que l'ordonnancement maximise la valeur — l'outil est secondaire. Affirmer que les points de valeur constituent la « méthode ultime » va à l'encontre de l'empirisme.

Réponse : Le Product Backlog est ordonné ; il est accessible à toutes les parties prenantes.
Explication : La transparence du Product Backlog exige qu'il soit correctement ordonné (afin que les priorités soient visibles) et accessible à toutes les parties prenantes (afin que chacun puisse voir le travail planifié et son ordre de réalisation).

Concept clé : Le Sprint Goal en tant que mécanisme d'engagement flexible. Le Sprint Goal est un objectif unique que l'équipe Scrum s'engage à atteindre durant le Sprint, mais il ne prescrit intentionnellement PAS les éléments exacts du Product Backlog nécessaires pour l'accomplir. Cette flexibilité est fondamentale dans l'approche empirique de Scrum. Au cours du Sprint, l'équipe peut découvrir que certains éléments sont inutiles, que d'autres nécessitent des modifications, ou que des éléments alternatifs servent mieux le Sprint Goal. Le Product Owner et l'équipe Scrum peuvent négocier le périmètre — en supprimant, ajoutant ou réordonnant des éléments — à condition que ces changements préservent l'intention et la valeur du Sprint Goal. Cela diffère de la gestion de projet traditionnelle où le périmètre est généralement fixé dès le début. Le Sprint Goal reste l'engagement stable ; le périmètre (les éléments complétés) devient la variable. Cette conception permet aux équipes de s'adapter aux apprentissages et aux évolutions de contexte tout en maintenant l'alignement et la direction stratégiques. Sans cette flexibilité de périmètre associée à un Sprint Goal fixe, les équipes seraient contraintes soit d'abandonner leur objectif, soit de réaliser des travaux inutiles.

Selon le Guide Scrum, le Product Backlog est dynamique et évolue continuellement à mesure que de nouvelles exigences émergent. Lorsqu'un nouvel élément du Product Backlog est découvert au cours d'un Sprint, il doit être ajouté au Product Backlog afin que le Product Owner puisse le prioriser, et non ajouté automatiquement au Sprint Backlog en cours, ce qui perturberait l'engagement du Sprint. Les autres options sont incorrectes car : le Sprint en cours ne doit pas être interrompu par l'ajout d'éléments non planifiés, le Scrum Master n'approuve pas les éléments du Backlog (c'est la responsabilité du Product Owner), et écarter des éléments potentiellement utiles va à l'encontre de la nature empirique de Scrum.

Le Product Owner a l'autorité de décider quand publier un Increment, comme indiqué dans le Guide Scrum. La seule exigence est que l'Increment doit respecter la Definition of Done, garantissant ainsi la qualité et la capacité à être livré. Les autres options sont incorrectes car le Scrum Master et les Developers ne peuvent pas approuver ni bloquer une décision de publication — cette autorité appartient uniquement au Product Owner — et il n'est pas nécessaire de compléter tous les éléments du Sprint Backlog ni de soumettre des demandes de changement formelles à la direction pour effectuer une publication.

Réponse : Taux d'adoption, rétention, résultats métier.
Explication : La valeur se mesure à travers des indicateurs d'utilisation, des résultats et des impacts (par exemple, le cadre EBM) — et non à travers la vélocité ou le nombre d'heures passées.

Pourquoi cette réponse est correcte : Les éléments du Product Backlog représentent le « quoi » — les fonctionnalités, les exigences et les besoins des utilisateurs qui apportent de la valeur au produit. Les éléments du Sprint Backlog représentent le « comment » — les tâches détaillées et la décomposition du travail créées par les Développeurs lors du Sprint Planning pour accomplir les PBIs sélectionnés. Cette distinction reflète la séparation des responsabilités entre le Product Owner (qui définit ce qu'il faut construire) et les Développeurs (qui planifient la façon de le construire).

Pourquoi les autres réponses sont incorrectes : Les PBIs et les éléments du Sprint Backlog ne sont pas identiques ni interchangeables. Le Product Owner crée les PBIs tandis que les Développeurs créent les tâches du Sprint Backlog. Les différences d'estimation varient également selon les organisations, mais les story points servent généralement à estimer les PBIs tandis que les heures peuvent servir à estimer les tâches — et non l'inverse.

Diagramme de Gantt - Outil de visualisation temporelle du projet : Le diagramme de Gantt est un outil de planification et de suivi essentiel qui représente graphiquement l'échéancier du projet. Il affiche chaque tâche sous forme de barre horizontale sur un axe temporel, permettant de visualiser instantanément la chronologie des activités, leurs dépendances, les jalons critiques et la progression réelle par rapport au plan. Cet outil est particulièrement approprié pour répondre au besoin spécifique de suivi strict et visible des délais car il offre une représentation intuitive et accessible à tous les stakeholders.

Pourquoi cette réponse est correcte : Le Gantt remplit précisément les critères demandés : suivi des délais d'exécution (via les barres montrant progression vs planifié) et visibilité de la progression par rapport au calendrier planifié. Selon le PMBOK 7e édition, le Gantt figure parmi les outils principaux du processus "Développer le calendrier du projet" et "Maîtriser le calendrier du projet". Il permet de détecter rapidement les écarts d'échéancier et de prendre des mesures correctives.

Distinction avec les autres options : La matrice SWOT

Réponse : Demander aux équipes d’organiser des sessions de partage de connaissances. Cela est efficace sans perturber la structure.

Le suivi continu des bénéfices et l'ajustement stratégique : Dans le PMBOK 7e édition, la gestion des bénéfices est un processus continu qui s'étend bien au-delà de la clôture du projet. Le suivi régulier des bénéfices réalisés permet au chef de projet et aux parties prenantes de mesurer concrètement la valeur générée par le projet. L'avantage principal d'ajuster la stratégie si nécessaire réside dans sa capacité à garantir que le projet reste aligné avec les objectifs métier en évolution. Lorsque le suivi révèle que certains bénéfices attendus ne se matérialisent pas comme prévu, ou que de nouvelles opportunités émergent, l'ajustement stratégique permet de réorienter les efforts et les ressources pour optimiser la création de valeur. Contrairement aux autres options : la vérification permanente de l'alignement est un processus continu déjà inclus dans le suivi, pas un avantage distinct ; maximiser la valeur est un objectif général, non un avantage spécifique du suivi ; supprimer les interactions avec les parties prenantes est clairement contre-productif et contraire aux bonnes pratiques. L'ajustement stratégique représente l'action concrète et réactive qui découle du suivi, transformant les données en déc

Si les bénéfices ne sont plus alignés avec la stratégie, le projet doit être arrêté pour éviter de consommer des ressources inutilement.

Réponse : Planifier à l’avance et définir le meilleur moyen d’organiser les revues avec le client. Cela réduit les retards et assure un feedback régulier.

Engagement et motivation des parties prenantes : selon le PMBOK 7e édition et les principes de gestion moderne, l'engagement efficace repose sur trois piliers fondamentaux. La communication régulière établit un flux d'informations constant, permettant aux parties prenantes de comprendre l'évolution du projet, les défis rencontrés et les décisions en cours. L'implication dans les décisions clés transforme les parties prenantes de simples spectateurs en acteurs responsables, augmentant leur sentiment d'appartenance et leur investissement émotionnel dans la réussite du projet. La transparence de l'information crée un climat de confiance essentiel, où chacun dispose des mêmes données factuelles pour contribuer de manière constructive. Ces trois éléments travaillent en synergie pour renforcer l'engagement. Les autres options sont contreproductives : réduire les interactions crée de l'isolement et des frustrations ; centraliser l'information génère des goulots d'étranglement et des incompréhensions ; limiter l'accès aux données suscite méfiance et désengagement. Le PMBOK 7e insiste particulièrement sur la gestion collaborative et l'approche orientée "people-first", où les parties prenantes motivées deviennent les meilleurs garants de la livraison réussie du projet.

Gouvernance de projet et alignement stratégique : La gouvernance de projet dans le PMBOK 7e édition est un système intégré de prise de décision qui garantit que chaque initiative est alignée avec les objectifs stratégiques de l'organisation. Elle établit les mécanismes, les rôles, les responsabilités et les processus décisionnels qui permettent au projet de rester cohérent avec la vision et la stratégie organisationnelle, tout en respectant les politiques, les risques acceptables et les ressources disponibles. Pourquoi cette affirmation est correcte : La gouvernance transcende la simple gestion opérationnelle ; elle fournit la structure de supervision et de prise de décision à tous les niveaux du projet. Elle n'est pas une responsabilité exclusive du chef de projet, mais implique un comité de gouvernance ou des organes de pilotage qui validant les décisions majeures. Distinction avec les autres options erronées : Contrairement à l'option 2, la gouvernance est une responsabilité partagée entre les cadres dirigeants et le chef de projet. L'option 3 est fausse car la gouvernance couvre bien plus que le budget (risques, changements, conformité, qualité). L'option 4 est inexacte car la gouvernance s'applique à tous les projets, indép

Les outputs sont les livrables produits, tandis que les outcomes sont les bénéfices et résultats générés par ces livrables.

Processus d'évaluation de maturité en gestion de projet : Une évaluation de maturité suit une logique séquentielle et rationnelle indispensable pour transformer efficacement les capacités organisationnelles. La bonne réponse respecte le cycle d'amélioration continue reconnu en gestion de projet : d'abord évaluer l'état actuel permet d'établir une baseline objective des capacités existantes et des processus en place. Ensuite, identifier les écarts consiste à comparer cet état actuel avec les meilleures pratiques et standards du PMBOK 7e édition, révélant les déficiences et opportunités. Puis définir la cible signifie établir le niveau de maturité souhaité et réaliste à atteindre. Ensuite, planifier les améliorations crée une feuille de route détaillée avec des actions concrètes, des ressources et des délais. Enfin, implémenter exécute le plan d'amélioration. Cette séquence logique garantit que les améliorations répondent réellement aux besoins organisationnels identifiés. Les autres options échouent car commencer par définir la cible sans connaître l'état actuel est inefficace, et identifier des écarts sans

Contrat T&M (Temps & Matériel) : le fournisseur facture les heures réelles travaillées plus les matériaux consommés. L'acheteur assume le risque de coût car il n'y a pas de plafond contractuel. Contrairement aux contrats à prix fixe (risque fournisseur) ou au prix unitaire, le T&M offre peu de protection budgétaire.

Cette question correspond à l\'objectif d\'apprentissage FL-2.2.3 (K2) – Distinguer les tests de confirmation des tests de régression.

La bonne réponse est c) 1A, 2B, 3A, 4B.

● 1A) Correct → Le test de confirmation (ou \"retest\") vérifie qu’un défaut corrigé est effectivement résolu.
● 2B) Correct → Le test de régression s’assure que la correction ou une nouvelle fonctionnalité n’a pas causé d’effets secondaires indésirables.
● 3A) Correct → Les tests de confirmation ciblent spécifiquement la correction appliquée et ne testent pas d’autres parties du système.
● 4B) Correct → Les tests de régression sont exécutés à une échelle plus large pourvérifier que le reste du système fonctionne toujours correctement.

Cette question correspond à l’objectif d’apprentissage FL-3.1.2 (K2) - Expliquer la valeur du test statique.
● a) Correct → Les tests statiques permettent d’identifier des défauts sans exécuter le logiciel, via des revues ou des analyses statiques.
● b) Faux → Tester le logiciel en l’exécutant relève des tests dynamiques.
● c) Faux → Tester la performance du logiciel sous charge relève des tests de performance, qui sont des tests dynamiques.
● d) Faux → Les tests statiques ne concernent pas l’implémentation des tests automatisés.

Cette question correspond à l’objectif FL-5.5.1 (K3) – Préparer un rapport de défaut.
● a) Faux → Utile, mais pas bloquant pour comprendre l’erreur.
● b) Correct → Sans résultat attendu, il est impossible de savoir ce qui aurait dû se produire → c’est l’élément clé manquant
● c) Faux → Peu utile dans la reproduction du défaut.
● d) Faux → Intéressant dans certains cas (web), mais pas toujours essentiel

Cette question correspond à l\'objectif d\'apprentissage FL-5.1.4 (K3) - Utiliser des techniques d\'estimation pour calculer l\'effort de test requis.

L\'estimation à 3 points utilise la formule : (Optimiste + 4 × Plus probable + Pessimiste) ÷ 6

Donc : (6 + 4 × 15 + 24) ÷ 6 = (6 + 60 + 24) ÷ 6 = 90 ÷ 6 = 15

● a) Correct → 15 jours-personnes est le résultat correct de la formule d\'estimation à trois points.
● b) Faux → 16 jours-personnes n\'est pas le résultat correct.
● c) Faux → 17 jours-personnes n\'est pas le résultat correct.
● d) Faux →18 jours-personnes n\'est pas le résultat correct.

Cette question correspond à l’objectif d’apprentissage FL-4.2.4 (K3) – Utiliser les tests de transition d’état pour dériver les cas de test. Transitions identifiées :

1️⃣Accueil → Saisie du code PIN
2️⃣Saisie du code PIN → Sélection du montant
3️⃣Sélection du montant → Éjection du billet
4️⃣Éjection du billet → Fin de transaction
5️⃣Fin de transaction → Retour à l’accueil
6️⃣Annulation à tout moment → Retour à l’accueil

6 transitions minimum doivent être testées pour couvrir tous les cas.

● a) Faux → 5 transitions ne suffisent pas.
● b) Correct → 6 transitions couvrent toutes les possibilités.
● c) Faux → 7 transitions incluraient un test redondant.
● d) Faux → 8 transitions sont excessives.

Cette question correspond à l’objectif d’apprentissage FL-1.1.1 (K1) – Identifier les objectifs habituels du test.
● a) Faux → Il est impossible de démontrer qu’un logiciel est totalement exempt de défauts.
● b) Correct → Les tests réduisent le risque de défauts et augmentent la probabilité que le logiciel réponde aux exigences.
● c) Faux → Vérifier la conformité aux spécifications est une partie des tests, mais pas leur seul objectif.
● d) Faux → Les tests ne remplacent pas l’assurance qualité, qui inclut d’autres activités comme l’analyse des processus.

Cette question correspond à l’objectif d’apprentissage FL-4.5.2 (K2) – Classer les différentes options pour la rédaction des critères d’acceptation.
● a) Faux → Bien que la forme Given/When/Then soit très répandue et efficace, il n’existe pas d’obligation stricte dans les projets de test d’acceptation de toujours utiliser ce format.
● b) Correct → format dépend du contexte du projet, du public cible, et de la maturité de l’équipe. Selon la complexité du projet et les habitudes de l’organisation, on peut utiliser plusieurs formats.
● c) Faux → Les critères d’acceptation doivent généralement être élaborés en collaboration avec les parties prenantes clés : Product Owner, utilisateurs métiers, testeurs et développeurs. Se limiter à l’équipe de développement peut conduire à des critères trop techniques ou peu alignés sur les attentes métiers.
● d) Faux → Les critères d’acceptation peuvent effectivement comporter des exigences de performance, mais ils ne se limitent pas à cet aspect. Ils doivent également couvrir la fonctionnalité, la facilité d’utilisation, la sécurité, la fiabilité, etc.

Cette question correspond à l’objectif d’apprentissage FL-1.4.2 (K2) – Expliquer l’impact du contexte sur le processus de test.
La bonne réponse est a) i, iii, iv reflètent correctement l’impact du contexte ; ii, v non

● i) Vrai – Le niveau de risque conditionne la profondeur des tests requis.
● ii) Faux – Il n’existe pas de processus unique applicable à tous les projets.
● iii) Vrai – En Agile, les tests sont intégrés dans des cycles courts.
● iv) Vrai – Les contraintes réglementaires (ex. médical, aéronautique) exigent une traçabilité et une documentation renforcées.
● v) Faux – Le contexte impacte aussi les objectifs (par ex. : conformité, performance critique...).

Cette question correspond à l’objectif d’apprentissage FL-1.3.1 (K2) – Expliquer les sept principes du test.

● a) Faux → Les tests de régression restent nécessaires tout au long du cycle de vie du logiciel.
● b) Correct → Plus un défaut est détecté tôt, moins il est coûteux à corriger, car il est identifié avant qu’il ne se propage.
● c) Faux → Tester tôt ne garantit pas un produit exempt de défauts.
● d) Faux → Tester tôt ne signifie pas réduire le nombre total de tests nécessaires.

Cette question correspond à l\'objectif d\'apprentissage FL-4.4.1 (K2) - Expliquer l\'estimation d\'erreurs.

● a) Faux → Cette réponse simplifie excessivement l\'utilisation de l\'estimation d\'erreurs en appliquant un \"seuil standard\" arbitraire de 80%. L\'estimation d\'erreurs ne se limite pas à un pourcentage fixe et ne peut pas, à elle seule, déterminer si les tests doivent être arrêtés. De plus, le calcul ignore les 40 défauts supplémentaires découverts, ce qui porterait le total à 390 défauts identifiés.
● b) Faux → Ce n’est pas une conclusion fiable. Le fait de trouver 40 défauts en deux semaines n\'indique pas nécessairement une inefficacité des tests. La détection des défauts n\'est généralement pas linéaire, et le taux peut varier selon les phases de test.
● c) Faux → L’estimation d’erreurs donne une fourchette (ici 410–480), et les 40 nouveaux défauts sont encore dans cette fourchette. Le modèle reste valide, il faut juste le réévaluer progressivement, pas le rejeter
● d) Correct → Cette réponse reflète avec précision la valeur et les limites de l\'estimation d\'erreurs. L\'estimation fournit une base quantitative pour évaluer la progression des tests, mais ne doit pas être utilisée comme seul critère de décision pour arrêter les tests. D\'autres facteurs qualitatifs comme la sévérité des défauts restants, la couverture des risques métier, et les contraintes de projet doivent également être pris en compte. Cette approche équilibrée est particulièrement importante pour un système critique comme un système d\'information sur la santé.

Pour sécuriser des zones sensibles, il faut des contrôles physiques (portes, badges, gardes), qui empêchent l'accès physique direct.

Contrôles administratifs : politiques et procédures qui régissent les pratiques de sécurité. Les exigences de changement de mot de passe sont de nature administrative car elles sont mises en œuvre par le biais de la politique organisationnelle, et non par la technologie. Les contrôles physiques restreignent l'accès (badges), les contrôles techniques utilisent la technologie (chiffrement), et les contrôles de détection identifient les incidents — aucun de ces éléments ne s'applique ici.

Réponse : Les réglementations locales en matière de protection des données.
Explication : L'expansion internationale d'un centre de données doit d'abord prendre en compte les lois locales relatives à la protection des données et à la vie privée (RGPD en Europe, PDPA en Asie, etc.). Le non-respect des réglementations locales peut entraîner des sanctions juridiques importantes et des restrictions opérationnelles.

Un SMS frauduleux imitant un service interne relève du smishing (hameçonnage par SMS) et de l'usurpation d'identité (impersonation).

Un e-mail demandant de cliquer sur un lien pour éviter le blocage du compte est du phishing, car il incite à divulguer des identifiants.

Les attaques par déni de service (DoS) / déni de service distribué (DDoS) saturent les ressources d'un système cible — bande passante, CPU, mémoire — afin de le rendre indisponible pour les utilisateurs légitimes. Une attaque DoS provient d'une seule source ; une attaque DDoS utilise un botnet de systèmes compromis pour générer un trafic massif. Les types incluent les attaques volumétriques (saturation de la bande passante), les attaques protocolaires (SYN flood) et les attaques applicatives (HTTP GET flood). Les mesures d'atténuation comprennent la limitation du débit, la diffusion réseau anycast, le WAF et les services de nettoyage DDoS (AWS Shield, Cloudflare).

Automatisation : l'utilisation d'outils automatisés pour surveiller et auditer en continu les paramètres de sécurité garantit des vérifications quotidiennes cohérentes et reproductibles, sans erreur humaine. Les audits manuels manquent de cohérence ; les listes de contrôle de conformité sont des documents statiques ; l'attestation confirme des actions passées mais ne détecte pas automatiquement les modifications non autorisées.

Réponse : L'administration via interface web.
Explication : Les interfaces de gestion web sur les routeurs exposent une surface d'attaque supplémentaire et contiennent souvent des vulnérabilités. Désactiver la gestion HTTP/HTTPS et utiliser uniquement l'accès en ligne de commande (SSH) réduit le risque d'accès non autorisé via des failles de l'interface web.

Réponse : Créer une demande de contrôle des changements.
Explication : Les modifications apportées aux systèmes de production — même les correctifs urgents — doivent suivre le processus de gestion des changements. La création d'une demande de contrôle des changements garantit une approbation, une documentation, une planification du retour arrière et une communication appropriées avant l'application du correctif.

Signaux d'alerte du phishing : Les demandes urgentes d'informations sensibles par e-mail sont des tactiques de phishing caractéristiques, conçues pour contourner la prise de décision rationnelle. Les attaquants créent une pression artificielle liée au temps pour empêcher toute vérification. Les organisations légitimes ne demandent jamais de mots de passe ou d'identifiants par e-mail. Les expéditeurs connus (A) et les liens sécurisés (B) indiquent une légitimité, tandis que les documents protégés par mot de passe (D) suggèrent une sensibilisation à la sécurité.

Rôles des professionnels de la donnée : L'ingénieur de données conçoit et construit les pipelines ETL/ELT qui extraient, transforment et chargent les données. L'analyste de données exploite ces données préparées pour l'analyse et la visualisation. L'administrateur BD gère l'infrastructure et la sécurité, tandis que le développeur front-end crée les interfaces utilisateur. Seul l'ingénieur maîtrise l'architecture complète des flux de données.

Clé étrangère : colonne qui référence la clé primaire d'une autre table, créant ainsi une relation entre elles. Elle garantit l'intégrité référentielle en s'assurant que chaque valeur existe réellement dans la table liée. Contrairement à la clé primaire (identifie les enregistrements) ou à l'index (optimise les requêtes), la clé étrangère établit des liens logiques entre tables.

La gouvernance des données englobe les politiques, processus et standards garantissant la qualité, la sécurité, la confidentialité et la conformité des données d'une organisation. Microsoft Purview (anciennement Azure Purview) est le service unifié de gouvernance des données Azure : il découvre automatiquement les données (scan multi-cloud), crée un catalogue de données avec leur lignage (Data Lineage — d'où vient la donnée, comment elle a été transformée), classe les données sensibles (PII, financières), et gère les politiques d'accès. Il couvre Azure, AWS, GCP et les sources on-premises.

Azure Queue Storage : service de messagerie asynchrone permettant le découplage entre producteurs et consommateurs de messages. Idéal pour les traitements différés et scalables. Les images (Blob Storage), données relationnelles (SQL Database) et graphes (Cosmos DB) nécessitent d'autres services spécialisés.

Limites transactionnelles de Cosmos DB : bien que Cosmos DB supporte les transactions ACID au niveau de la partition, il n'excelle pas dans les scénarios avec nombreuses jointures multi-tables et calculs analytiques complexes typiques des systèmes financiers. SQL Server ou PostgreSQL sont mieux adaptés pour ces besoins. Cosmos DB brille inversement pour les données non-relationnelles distribuées globalement.

Azure Data Factory (ADF) est le service d'intégration de données cloud d'Azure. Il orchestre des pipelines de données visuellement (drag-and-drop) ou via code (ARM templates, SDK). Il propose plus de 90 connecteurs natifs vers des sources on-premises et cloud (SQL Server, Oracle, Salesforce, REST APIs, etc.). Les Triggers planifient l'exécution (schedulé, événementiel). Les Mapping Data Flows permettent des transformations sans code (ETL visuel). ADF s'intègre avec Azure Synapse, Databricks et Git pour le CI/CD des pipelines.

Réponse : Azure SQL Database. Explication : Azure SQL Database est un service de base de données relationnelle PaaS complètement géré, optimisé pour les charges de travail OLTP dans les applications SaaS. Il fournit la mise à l'échelle automatique, la haute disponibilité intégrée et la sécurité sans nécessiter de gestion d'infrastructure.

API Gremlin et modèle graphe : Gremlin est un langage de requête standardisé pour naviguer dans les bases de données graphes. Cosmos DB utilise ce modèle pour stocker des données sous forme de nœuds (entités) et d'arêtes (relations) entre eux, idéal pour représenter des réseaux complexes. Contrairement au modèle relationnel (tables), au modèle clé-valeur (paires simples) ou au modèle orienté colonnes (analytique), le graphe excelle pour explorer les connexions et chemins entre données interconnectées.

Réponse : CREATE. Explication : Les instructions DDL (Data Definition Language) définissent et modifient la structure de la base de données : CREATE (créer des objets), ALTER (modifier des objets), DROP (supprimer des objets), TRUNCATE (vider des tables). CREATE est un exemple classique de DDL — il crée des objets de base de données comme les tables, les vues et les index.

GRS (Geo-Redundant Storage) : option qui réplique vos données dans deux régions géographiquement distantes (région primaire + région secondaire distante de centaines de km). Cela protège contre les défaillances régionales majeures. À l'inverse, LRS reste local (une seule région) et ZRS se limite à une seule région avec distribution entre zones.

Réponse : Une écriture d’ajustement de valeur en plus de l’amortissement planifié lorsque la valeur recouvrable diminue.
Explication : Elle corrige la valeur comptable indépendamment de la clé d’amortissement.

Réponse : Le solde résiduel clôt l'original et crée un nouvel open item
En AR/AP SAP :

• Paiement partiel : conserve le document original ouvert, crée un paiement partiel séparé. Les deux restent ouverts.
• Solde résiduel : clôt le document original et crée un nouvel open item pour la différence. Une seule écriture ouverte subsiste.

Réponse : Type et code de retenue à la source
Dans la configuration de l'Extended Withholding Tax (EWT), la retenue est définie par la combinaison d'un type de retenue (définit le calcul de base) et d'un code de retenue (définit le taux ou le montant). Ces deux éléments sont affectés au BP et pilotent le calcul automatique.

Réponse : Permettre le lettrage poste par poste
La gestion des postes ouverts (OIM) permet de suivre individuellement chaque écriture débitrice et créditrice d'un compte, afin de les lettrer lors du paiement ou du règlement. Elle est activée sur les comptes bancaires, les comptes clients/fournisseurs via leurs comptes de réconciliation, et certains comptes GL spéciaux (GR/IR, par exemple).

Réponse : Contrôle les champs obligatoires/optionnels lors de la saisie.
Explication : Définit la visibilité et l’obligation des champs par compte.

Réponse : Rapprochement périodique + MR11 pour régulariser
Le compte GR/IR (Goods Receipt/Invoice Receipt) est un compte de transition entre la réception de marchandises et la réception de facture. Il doit être rapproché périodiquement. La transaction MR11 permet de régulariser les écarts résiduels (réceptions sans facture et factures sans réception) en fin de période.

Réponse : Le Catalogue Fiori attaché au rôle.
Explication : Le catalogue liste les applications disponibles ; les espaces/pages organisent la présentation ; l’autorisation découle du rôle PFCG qui référence le catalogue.

Réponse : Le nombre de périodes et de périodes spéciales
La Fiscal Year Variant détermine le nombre de périodes comptables (généralement 12) et le nombre de périodes spéciales (jusqu'à 4) utilisées pour les ajustements de clôture. Elle définit aussi si l'exercice est calé sur l'année civile ou décalé.

Réponse : Migration Cockpit
Le SAP Migration Cockpit est l'outil standard recommandé pour migrer les données d'immobilisations vers S/4HANA. Il fournit des modèles de migration prêts à l'emploi, gère la validation des données et assure la cohérence entre AA et GL (via ACDOCA) lors du transfert initial.

Réponse : Les comptes sont gérés dans BAM et assignés aux sociétés
Le Bank Account Management (BAM) dans S/4HANA centralise la gestion des comptes bancaires de l'entreprise. Les comptes sont créés dans BAM et assignés aux codes société pour être utilisés dans le programme de paiement F110 et le rapprochement bancaire.

Concept clé : Test de robustesse pour la sécurité. La robustesse désigne une performance cohérente dans des conditions variées. Pour les systèmes AI critiques pour la sécurité, les testeurs doivent valider la performance dans des conditions de pluie, de brouillard, de neige, en conditions nocturnes, ainsi que dans des cas limites et des scénarios inattendus, afin de s'assurer que le système reste sûr en déploiement réel.

Réponse : La gestion des niveaux de service.
Explication : La gestion des niveaux de service définit et suit les métriques reflétant l\'expérience réelle du client, en établissant des accords sur la qualité du service fourni.

Réponse : Pour planifier les changements et éviter les conflits.
Explication : Le calendrier des changements sert principalement à planifier les changements et à prévenir les conflits entre eux, en offrant une vue consolidée de tous les changements prévus.

Réponse : Le problème conserve l\'état d\'erreur connue.
Explication : Lorsqu\'une solution de contournement devient permanente car le problème ne peut être résolu définitivement, le problème reste dans l\'état \'erreur connue\' : documenté mais non résolu.

Réponse : 1 et 4.
Explication : La résolution d\'un problème implique l\'amélioration continue (identifier et éliminer la cause) et le contrôle des changements (implémenter la correction de manière contrôlée et sécurisée).

Réponse : Résultats souhaités par une partie prenante.
Explication : Les résultats (outcomes) sont les effets souhaités par une partie prenante. Ils diffèrent des livrables (outputs) : le résultat est la valeur créée pour le consommateur, pas le produit livré.

Réponse : Habilitation des changements.
Explication : En ITIL 4, l\'habilitation des changements est responsable du déplacement des composants vers les environnements de production, garantissant que les changements sont correctement contrôlés et autorisés avant mise en production.

Réponse : Le centre de services.
Explication : Le centre de services constitue le point de contact unique (SPOC) entre le fournisseur de services et les utilisateurs pour toutes les communications, demandes et incidents.

Réponse : Assurance qu\'un produit ou service répondra aux exigences convenues.
Explication : La garantie est l\'assurance qu\'un produit ou service répondra aux exigences convenues. Elle couvre la disponibilité, la capacité, la continuité et la sécurité du service fourni.

Réponse : Flux de valeur et processus.
Explication : La dimension \'Flux de valeur et processus\' se concentre sur les activités et leur coordination pour créer de la valeur. Elle définit comment les différentes parties d\'une organisation collaborent pour livrer des services.

Réponse : L\'utilisateur ou son représentant autorisé.
Explication : En ITIL 4, ce sont les utilisateurs (ou leurs représentants autorisés) qui soumettent des demandes de services, car ils sont les consommateurs directs des services fournis.

• Rédiger avec Copilot permet de :

  • Analyser le message précédent

  • Générer automatiquement un email de réponse ou de refus poli

  • Accélérer la rédaction tout en restant professionnel

• Les autres options n’impliquent pas Copilot :

  • Réponse rapide → simplement un raccourci pour répondre rapidement

  • Focused Inbox → organise les emails, ne rédige rien

  • Schedule Send → planifie l’envoi, ne crée pas de contenu

    🎯 À retenir pour l’examen MS-900 :

    • Copilot dans Outlook = générer des brouillons intelligents basés sur le contexte du message

    • Tout ce qui est filtre, calendrier ou planification n’utilise pas Copilot.

• Monthly Enterprise Channel (canal mensuel pour entreprises) :

  • Fournit les mises à jour de fonctionnalités mensuelles dès qu’elles sont disponibles pour le grand public.

  • Convient aux organisations qui veulent un équilibre entre rapidité et stabilité.

• Ce canal est idéal pour déployer rapidement de nouvelles fonctionnalités aux groupes pilotes ou à certaines machines, sans attendre les canaux plus longs comme le Semi-Annual Channel.

  🎯 À retenir pour l’examen MS-900 :

  • Monthly Enterprise Channel = mises à jour mensuelles officielles pour entreprises, avec déploiement rapide

  • Semi-Annual Channel = déploiement lent, deux fois par an

  • Insider / Default Channel = pas adapté pour un déploiement contrôlé en entreprise

• Les labels de sensibilité doivent être publiés via une stratégie de labels et les utilisateurs doivent être inclus dans la portée pour que les labels apparaissent dans Office Online.

• Si la stratégie n’inclut pas PowerPoint Online ou si l’utilisateur n’est pas dans la portée, les labels n’apparaîtront pas.

• Les autres options ne sont pas pertinentes pour PowerPoint Online :

  • B : Azure RMS connector concerne les scénarios hybrides et on-premises.

  • C : La synchronisation des apps Purview sur le poste local n’affecte pas Office Online.

  • D : Le client AIP Unified Labeling est pour les applications desktop, pas pour Office Online.

• Par défaut, les journaux d’audit Microsoft 365 ont une durée de conservation limitée.

• Pour les conserver plus longtemps (ex. 1 an ou plus), il faut configurer une Audit log retention policy dans Microsoft Purview.

• Cela permet de répondre aux exigences réglementaires et de conformité.

❌ Pourquoi les autres réponses sont incorrectes :

• B. Litigation Hold (Exchange) → Concerne la conservation des emails, pas les journaux d’audit globaux.

• C. Sensitivity label retention → Gère la protection et la conservation des documents/emails, pas des logs d’audit.

• D. Azure Information Protection → Sert à classifier et protéger les données, pas à gérer la durée des logs d’audit.

🎯 À retenir pour l’examen MS-900 :

• Audit logs = Microsoft Purview (Audit log retention policy)

• Litigation Hold = emails

• Sensitivity labels = protection des données

Insider Risk Management est une solution avancée de Microsoft Purview permettant de :

• Détecter les risques liés aux utilisateurs internes (fuites de données, comportements à risque, exfiltration d’informations sensibles).

• Utiliser l’intelligence artificielle et des modèles prédéfinis pour analyser les activités suspectes.

• Aider les organisations à répondre aux exigences réglementaires et de conformité.

👉 Ces fonctionnalités avancées font partie des capacités de Microsoft 365 E5 Compliance (ou incluses dans les suites Microsoft 365 E5 complètes).

Les licences comme E3, Business Premium ou F3 ne comprennent pas les fonctionnalités complètes d’Insider Risk Management.

• Cette méthode permet d’installer l’application sur les appareils Windows 10.

• Le Configuration Profile configure certains paramètres de l’appareil, mais ne garantit pas la configuration des paramètres internes spécifiques à l’application.

• Convient pour des applications MSI simples, mais pas pour des applications personnalisées nécessitant des paramètres préconfigurés.

✅ En résumé : C installe l’app, mais A est nécessaire pour installer + configurer les paramètres internes de l’application.

• Device compliance policies dans Intune permettent de définir :

  • Les exigences pour qu’un appareil soit considéré conforme (ex : chiffrement, mot de passe, version OS minimale).

• Combinées avec Azure AD Conditional Access, elles permettent de bloquer l’accès aux services cloud (comme SharePoint Online) si l’appareil n’est pas conforme.

  🎯 À retenir pour l’examen MS-900 :

  • Conformité des appareils + Azure AD Conditional Access = accès sécurisé aux services cloud

  • Profils de configuration ou Autopilot = configuration d’appareils, pas contrôle d’accès basé sur la conformité.

• Dans Microsoft Stream, on peut contrôler :

  • Qui peut regarder une vidéo (exiger l’authentification)

  • Si la vidéo peut être téléchargée (désactiver le téléchargement)

• Cette configuration garantit que seuls les employés authentifiés peuvent accéder au contenu et qu’aucun téléchargement n’est possible.

• Les autres options ne répondent pas au besoin :

  • A : OneDrive sync ne concerne pas Stream.

  • B : Désactiver l’accès invité protège l’ensemble du tenant, mais ne gère pas les vidéos internes.

  • D : Une politique de rétention supprime des vidéos, ne contrôle pas l’accès ou le téléchargement.

• Dans un environnement hybride, vous continuez à utiliser votre infrastructure locale (CapEx) pour certains services ou serveurs AD.

• En parallèle, vous payez des abonnements cloud Azure AD Premium et éventuellement des services de synchronisation de données, ce qui constitue des dépenses d’exploitation (OpEx).

• Les autres options sont incorrectes :

  • A : Faux, le CapEx sur site reste nécessaire.

  • B : Faux, ce n’est pas un double paiement intégral.

  • C : Faux, l’utilisation d’Azure AD introduit bien des coûts OpEx.

• Microsoft Secure Score se trouve dans le Microsoft 365 security center.

• Il permet de :

  • Voir le score actuel de sécurité de l’organisation

  • Accéder à des recommandations et actions pour améliorer la sécurité

• Les autres options ne donnent pas l’accès complet à Secure Score :

  • A : Azure AD Security montre certains paramètres, mais pas le score complet Microsoft 365.

  • C : Microsoft 365 admin center > Reports ne fournit pas le Secure Score détaillé.

  • D : Defender for Endpoint montre le posture de sécurité endpoints, pas le score global Microsoft 365.

• Microsoft Secure Score :

  • Mesure la posture de sécurité de l’organisation en comparant les configurations actuelles avec les recommandations de Microsoft

  • Indique des opportunités d’amélioration, mais ne garantit pas l’absence d’incident ou de violation

  • Permet de suivre la progression dans le temps et prioriser les actions de sécurité

• Il s’agit d’un indicateur de tendance, pas d’une mesure absolue ou d’un score de risque parfait.

• Hotpatch :

  • Fonctionnalité Azure-only pour Windows Server

  • Applique les mises à jour de sécurité critiques sans redémarrage complet

  • Réduit les interruptions de service pour les workloads sensibles (ex : santé, finance)

  • Permet un contrôle administratif, mais avec automatisation pour les correctifs critiques

• Cette approche est le compromis idéal entre patching manuel (risque faible mais effort élevé) et automatisation complète (risque de redémarrage inattendu).

Azure AD PIM permet de :

• Gérer les rôles Azure AD et Azure RBAC sensibles

• Fournir un accès Just-in-Time (JIT) pour limiter le temps pendant lequel un utilisateur a des privilèges élevés

• Exiger approbations ou vérifications périodiques pour l’accès aux rôles privilégiés

• Générer des logs d’audit et rapports pour le suivi des activités

Pourquoi c’est adapté :

• Le besoin est validation continue de l’accès privilégié

• PIM est la solution native Microsoft pour le contrôle et la gouvernance des comptes à privilèges élevés

• JIT réduit la fenêtre de risque en n’octroyant des droits qu’au moment nécessaire

• Prompt injection : manipulation du modèle via des entrées malveillantes → peut révéler des données sensibles ou modifier le comportement attendu.

• Data exfiltration : sortie involontaire de données sensibles dans les réponses du modèle.

• Microsoft recommande pour Azure OpenAI :

  • Placer API Management (APIM) devant le service OpenAI

  • Valider toutes les entrées (ex : rejeter caractères, commandes ou prompts suspects)

  • Filtrer et contrôler la sortie pour éviter l’exfiltration de données sensibles

• Cela fournit une barrière de sécurité en amont et en aval du modèle et suit la baseline Zero Trust et Microsoft Security.

• Microsoft indique officiellement que pour un RPO très court sur Blob Storage, il faut utiliser Azure Backup avec des snapshots fréquents (option D)

• Continuous backup est utile mais dans certains contextes / préversions, et n’est pas la configuration par défaut pour répondre aux SLA stricts d’entreprise.

• LSASS (Local Security Authority Subsystem Service) stocke les hashes et tokens d’authentification Windows.

• Les attaquants peuvent utiliser des techniques comme Mimikatz pour voler des credentials depuis LSASS.

• Windows Defender Credential Guard :

  • Utilise la virtualisation basée sur le hardware pour isoler les secrets Windows (NTLM, Kerberos, LSA secrets)

  • Empêche les logiciels malveillants et les attaquants ayant un accès administrateur local de voler les credentials

  • Protège spécifiquement les domain controllers et endpoints sensibles

• C’est la meilleure pratique Microsoft pour sécuriser les contrôleurs de domaine contre le vol de credentials.

• ISO 27001 exige, entre autres :

  • Le contrôle strict des privilèges élevés

  • L’auditabilité et la traçabilité de l’accès aux ressources sensibles

• Azure AD PIM :

  • Fournit un accès Just-in-Time aux rôles à privilèges élevés

  • Chaque activation est journalisée et auditable

  • Permet de réduire le risque de sur-privatisation et de répondre aux exigences ISO 27001 sur le contrôle d’accès

Pourquoi Purview Sensitivity Labels :

• Permet de classer et protéger les documents et emails

• Applique automatiquement :

  • Chiffrement au repos et en transit

  • Restrictions d’usage (ex. ne pas copier, ne pas imprimer, ne pas transférer) même lorsque le fichier est téléchargé ou partagé en externe

• Contrôle la protection persistante des fichiers, indépendamment du lieu où ils sont ouverts

• Microsoft Entra Internet Access (EIA) : solution SSE qui fournit :

  • Filtrage d’accès Internet

  • Protection contre les applications non approuvées

  • Application des politiques d’usage acceptable

• Intégration avec Microsoft Defender for Cloud Apps :

  • Permet de détecter et contrôler l’usage des applications SaaS

  • Active les politiques Conditional Access pour :

    • Bloquer les connexions à des applications non sanctionnées

    • Appliquer des restrictions ou des alertes pour les applications approuvées

  • Assure visibilité, contrôle et gouvernance centralisée

• C’est la meilleure pratique Microsoft SSE pour sécuriser l’accès SaaS et Internet.

Microsoft Defender for Cloud – multi-cloud capabilities :

• Permet de centraliser la gestion de la posture de sécurité sur plusieurs clouds

• Offre assessments, recommandations et alertes de sécurité pour Azure, AWS et GCP

• Les connecteurs multi-cloud :

  • Onboard facilement les comptes AWS/GCP

  • Surveillent les configurations, vulnérabilités et risques

  • Fournissent des recommandations cohérentes à travers les environnements

Le rôle prédéfini Project Viewer (roles/viewer) accorde des droits de lecture sur toutes les ressources du projet, sans permissions de modification. Il n'est pas nécessaire de créer un rôle personnalisé puisque ce rôle répond exactement au besoin.

La commande gcloud deployment-manager deployments update met à jour un déploiement existant de manière incrémentale, en ne modifiant que les ressources qui ont changé, ce qui évite les interruptions de service inutiles.

Le rôle roles/browser est le rôle minimal permettant de consulter la hiérarchie des ressources GCP (organisation, dossiers, projets). L'attribuer à un groupe suit les bonnes pratiques. IAM roleViewer permet de voir les rôles, pas la hiérarchie.

La bonne pratique GCP est d'utiliser les comptes de service comme filtres source/cible dans les règles de pare-feu plutôt que des plages IP, ce qui permet un contrôle plus précis. Les règles doivent autoriser uniquement TCP 8080, pas tout le trafic.

La région d'une application App Engine est immuable après la création. Il n'est pas possible de changer la région d'une application existante ni d'avoir plusieurs applications App Engine dans le même projet. La seule solution est de créer un nouveau projet GCP.

gcloud config list affiche la configuration active, incluant le projet actif qui a été utilisé pour le déploiement. Si le mauvais projet était configuré, cela explique le déploiement au mauvais endroit. C'est la première chose à vérifier.

Pour un rôle de production, il faut utiliser des permissions avec niveau 'supported' (stables, supportées en production). Le stade ALPHA communique clairement que c'est une première version en cours de validation. 'testing' n'est pas adapté à la production.

Accorder Storage Object Viewer au compte de service des noeuds GKE dans le projet où les images sont stockées est la méthode recommandée. Elle utilise IAM correctement, sans clés supplémentaires ni accès trop larges.

gVisor est un sandbox kernel qui isole les conteneurs du système hôte via un kernel applicatif intercalé. Pour du code arbitraire client, c'est l'isolation la plus forte disponible dans GKE, bien supérieure à la simple isolation des conteneurs standard.

Ajouter l'API du cluster comme Type Provider dans Deployment Manager permet de gérer les ressources Kubernetes (comme les DaemonSets) directement depuis Deployment Manager, sans services supplémentaires ni instances intermédiaires.

Réponses correctes : Options 2 et 4. L'option 2 explique correctement que les time-boxes permettent à ceux qui sont au plus près des problèmes de prendre les meilleures décisions dans les contraintes imposées — un principe fondamental de l'auto-organisation. L'option 4 montre correctement que les time-boxes alignent la concentration et la compréhension partagée au sein de l'équipe. L'option 1 confond engagement et contrainte, et l'option 3 représente de manière erronée le rôle du time-boxing dans la planification prévisionnelle.

Le Scrum Master enseigne et facilite — il aide les parties prenantes externes à comprendre les interactions Scrum et accompagne l'équipe dans le respect de la discipline du timebox. L'option 1 est incorrecte car le Scrum Master n'assigne pas les tâches ; l'option 3 est incorrecte car il ne gère pas le tableau ni ne résout les conflits ; l'option 4 est incorrecte car c'est le Development Team qui fait la démonstration lors de la Sprint Review, et non le Scrum Master.

L'option B est correcte. Le Scrum Master doit accompagner le Product Owner en lui expliquant que l'empirisme et l'émergence sont au cœur de Scrum ; la complexité rend toute prévision parfaite impossible. Les nouveaux apprentissages réalisés durant le Sprint affectent naturellement le Sprint Backlog. L'option A démotive l'équipe par une pression irréaliste, l'option C est défensive et ignore les préoccupations des parties prenantes, et l'option D enfreint le principe selon lequel l'ajout de personnes en cours de Sprint réduit la productivité et ne résout pas les problèmes de fond.

L'impact immédiat sur la productivité de l'équipe d'origine est susceptible de diminuer (option 1). L'ajout de nouvelles équipes engendre une surcharge de communication, des dépendances potentielles et une fragmentation des connaissances. Bien que plusieurs équipes puissent augmenter le débit global du produit sur le long terme, l'équipe d'origine subit une perturbation dans un premier temps — un principe bien documenté dans la mise à l'échelle de Scrum.

Ces trois facteurs ont un impact sur les résultats du Sprint. Le Guide Scrum souligne que les résultats d'un Sprint dépendent de la composition de l'équipe, des compétences, des relations de travail, de la complexité technologique et de la clarté des exigences. Ce sont des variables interdépendantes qui déterminent collectivement ce qu'une équipe peut accomplir au cours d'un Sprint donné.

Correct : Options 2, 3 et 5 - La Definition of Done guide la prévision, fournit une orientation en temps réel pendant le développement, et crée de la transparence lors de la Sprint Review concernant ce que « terminé » signifie réellement. L'option 1 la traite comme un outil de suivi de l'avancement (usage incorrect) ; l'option 4 contredit l'objectif de compléter le travail à chaque Sprint ; l'option 6 confond la Definition of Done avec la durée du Sprint.

Le Scrum Master coordonne en levant les impediments et en facilitant l'inspection et l'adaptation, et non par l'attribution directe de tâches ou l'escalade des conflits vers le management. Cette approche de servant-leadership permet aux équipes de s'auto-organiser et de résoudre les problèmes. Le Scrum Master accompagne les équipes sur les dépendances et la collaboration plutôt que d'imposer la coordination, respectant ainsi les valeurs d'auto-organisation de Scrum.

Toutes ces réponses. La confiance constitue le fondement des cinq valeurs Scrum : le Respect (confiance dans les capacités des membres de l'équipe), le Courage (confiance pour prendre des risques), l'Engagement (confiance dans les objectifs), l'Ouverture (confiance pour communiquer honnêtement) et la Focalisation (confiance dans les priorités). Sans confiance, aucune de ces valeurs ne peut s'épanouir.

Donner le meilleur de soi-même et soutenir ses coéquipiers incarne la valeur Scrum d'Engagement—s'engager à atteindre le Sprint Goal et à soutenir l'équipe. Bien que cela puisse contribuer à la performance, la question demande quelle valeur cela illustre le plus directement, à savoir l'engagement envers l'excellence et la réussite collective.

Le Scrum Master doit permettre au Development Team de s'auto-gérer et de résoudre lui-même le problème de configuration. Cela respecte la valeur Scrum d'auto-organisation et reconnaît l'autorité de l'équipe sur la manière dont elle conduit ses événements. Le Scrum Master supprime les obstacles, mais ne résout pas chaque problème à la place de l'équipe.

Réponse : Le pourcentage de couverture de décision atteint durant les tests unitaires. / La disponibilité de la dernière version de l\'outil d\'enregistrement-rejoue (pour tester l\'interface avec le nouvel outil de gestion des tests)..
Explication : Les critères d\'entrée sont des conditions préalables concrètes et vérifiables avant l\'exécution. La couverture de décision des tests unitaires (A) et la disponibilité des outils requis (B) sont des critères d\'entrée classiques, mesurables et directs pour l\'intégration.

Réponse : Inspections.
Explication : Les inspections (B) sont les moins appropriées car c\'est une technique d\'examen statique, axée sur les défauts, destinée à trouver des non-conformités dans les produits de travail plutôt qu\'à identifier proactivement les risques projet et produit. Les inspections utilisent des listes de contrôle et une approche orientée détection de défauts, tandis que l\'identification des risques nécessite une exploration prospective des incertitudes futures.

Réponse : Gestion et pilotage de projet.
Explication : B est correct car la gestion et le pilotage de projet sont des préoccupations transversales à tous les cycles de vie, non spécifiques au test en RAD. Les attributs distinctifs du RAD—prototypage itératif, exigences évolutives, délais serrés—créent des problèmes centrés sur le test : exigences instables, régressions fréquentes, cycles de test compressés.

Réponse : Cela peut servir à renforcer leur confiance dans le système.
Explication : C est correct car impliquer les utilisateurs lors de l\'exécution renforce principalement leur confiance et leur acceptation en validant le comportement du système par rapport aux attentes opérationnelles réelles. D\'un point de vue avancé de gestion des tests, la participation des utilisateurs est une intervention d\'engagement des parties prenantes qui réduit le risque de déploiement.

Réponse : Définir les attentes concernant les tâches et les livrables / Canaux de communication clairs / Cultures possiblement différentes.
Explication : BCD est correct. L\'externalisation introduit des ambiguïtés contractuelles sur les livrables, nécessite des canaux de communication robustes et expose le projet à des différences culturelles. La définition précise des attentes, des critères d\'acceptation et des SLA est essentielle pour éviter les dérives de périmètre et les litiges.

Réponse : Les critères d\'entrée et de sortie pour chaque phase de test / Les techniques de conception de test à utiliser.
Explication : AC est correct car une stratégie de test défendable prescrit explicitement les techniques de conception de test pour atteindre la couverture et l\'atténuation des risques (C) et les critères d\'entrée/sortie qui gouvernent la progression des phases et les barrières qualité (A). Une stratégie de test robuste est un cadre décisionnel de haut niveau qui détermine comment les objectifs de test seront atteints et comment les risques informent la priorisation et la portée.

Réponse : L\'approche de test qui sera appliquée aux tests d\'intégration système..
Explication : C est correct car le plan directeur de test est un document au niveau du programme qui spécifie l\'approche de test de haut niveau pour les principaux niveaux de test, y compris les tests d\'intégration système. Le plan directeur communique la portée, les objectifs, l\'approche générale de test aux parties prenantes, tandis que les détails d\'exécution relèvent des plans subordonnés.

Réponse : Les métriques enregistrées lors du test de l\'outil de capture-rejouer..
Explication : C est correct car les métriques mesurées de l\'outil de capture-rejouer fournissent les données empiriques directes (taux d\'exécution, temps de création et maintenance des scripts, taux de faux positifs/négatifs, surcharge de configuration/nettoyage) nécessaires pour convertir les tâches de test spécifiées en estimations temporelles fiables et réduire l\'incertitude.

Réponse : Organiser une réunion avec la direction générale pour qu\'elle aborde l\'importance d\'une bonne qualité de test pour ce projet.
Explication : D est correct car l\'appui visible de la direction générale élève la priorité organisationnelle des tests, fournit une reconnaissance et supprime les obstacles systémiques. Cela augmente la signification de la tâche et aligne l\'effort individuel avec les objectifs organisationnels, motivant durablement l\'équipe.

Réponse : Exécution des tests.
Explication : L\'exécution des tests représente la portion la plus importante et la moins prévisible de la variabilité (taux de découverte de défauts, disponibilité de l\'environnement, productivité humaine, boucles de rework). C\'est donc la partie la plus difficile à estimer.

A. Des descriptions de paramètres claires expliquant le format attendu, par exemple « user_id : UUID de l'utilisateur à mettre à jour (obligatoire) » — Correct. Des descriptions claires et lisibles sont le facteur le plus important pour aider Claude à comprendre quelles valeurs fournir et comment les paramètres doivent être structurés. B. Des noms de paramètres verbeux encodant des indications de format, comme user_id_string_uuid_format — Incorrect. Des noms excessivement verbeux réduisent la lisibilité et sont moins efficaces que des descriptions appropriées. C. Des contraintes de type JSON Schema strictes marquant user_id comme obligatoire et définissant fields_to_update comme type objet — Incorrect. Les contraintes de schéma facilitent la validation, mais n'expliquent pas suffisamment les attentes sémantiques comme le format UUID requis. D. Des réponses d'erreur détaillées expliquant pourquoi des valeurs de paramètres invalides ont été rejetées — Incorrect. Utiles après un échec, mais pas le facteur le plus critique pour prévenir les erreurs en amont.

A. Votre invite système doit contenir des instructions explicites demandant à Claude de mémoriser les informations des échanges précédents. Incorrect. Les instructions seules ne confèrent pas de mémoire au modèle — le contexte doit être fourni à chaque requête. B. Vous n'incluez pas les messages précédents dans chaque requête API — l'API sans état ne conserve pas l'historique de la conversation. Correct. Claude est sans état. Si les messages précédents ne sont pas transmis dans la requête, il n'a aucune connaissance du vocabulaire antérieur. C. Vous devez activer la persistance de la conversation en transmettant un paramètre d'identifiant de session à chaque appel API. Incorrect. Il n'existe pas d'identifiant de session requis — la mémoire est gérée en incluant les messages passés. D. La fenêtre de contexte du modèle est saturée, ce qui entraîne la perte du contenu des échanges précédents. Incorrect. Cela ne se produirait que lors de conversations très longues, et non dans des scénarios de tests initiaux classiques.

A. Mettre en œuvre une déduplication sémantique pour identifier et supprimer les informations redondantes dans les résultats RAG accumulés et les tours de conversation — Incorrect. Cela réduit la redondance, mais ne résout pas le problème central de l'accumulation non bornée du contexte RAG. B. Mettre en œuvre une fenêtre glissante pour les résultats RAG des 2 à 3 dernières requêtes tout en préservant l'historique de la conversation — Correct. Cela répond directement au problème de saturation du contexte en limitant la croissance du RAG tout en maintenant la continuité de la conversation. C. Réaffecter le budget de contexte en faveur des résultats RAG tout en réduisant l'allocation de l'historique de conversation — Incorrect. Cela détériore la cohérence en sacrifiant le contexte conversationnel. D. Compresser tous les résultats RAG en un document de synthèse consolidé qui se met à jour de manière incrémentielle après chaque récupération — Incorrect. Cela peut entraîner une perte d'informations et une dérive du résumé, en particulier sur de nombreux tours de conversation.

A. Créer une nouvelle playlist « Focus » avec des titres sélectionnés et notifier l'utilisateur qu'elle est prête. Incorrecte. Cette option suppose une intention et risque d'effectuer la mauvaise action, ce qui frustre les utilisateurs. B. Poser une question de clarification sur le type d'action : écouter maintenant ou configurer pour plus tard. Correcte. Cela minimise les frictions tout en résolvant l'ambiguïté, permettant à l'assistant d'effectuer rapidement la bonne action. C. Lancer immédiatement des titres populaires de concentration et laisser l'utilisateur rediriger si nécessaire. Incorrecte. Agit prématurément et peut ne pas correspondre à l'intention de l'utilisateur. D. Démarrer la configuration des préférences en posant des questions sur les genres, le tempo et les artistes. Incorrecte. Trop lourd en amont — ajoute des frictions inutiles avant de confirmer l'intention.

A. L'agent de synthèse a besoin d'outils capables de récupérer les résultats directement depuis l'historique des conversations des autres agents. Incorrect. Les agents n'ont pas besoin d'accéder directement aux historiques des autres. Une orchestration correcte transmet les sorties explicitement via des prompts. B. La fenêtre de contexte de l'agent de synthèse n'est pas suffisamment large pour contenir les sorties combinées des deux agents précédents. Incorrect. Si c'était le problème, l'agent recevrait des données tronquées, et non une absence totale de données. L'erreur indique que les entrées sont entièrement manquantes. C. Les sous-agents doivent partager une seule connexion API pour permettre le partage automatique du contexte entre les invocations. Incorrect. La communication entre agents ne dépend pas de connexions API partagées. Le contexte doit être explicitement transmis par le coordinateur. D. Le coordinateur n'a pas inclus les sorties des agents précédents dans le prompt de l'agent de synthèse. Correct. L'agent de synthèse ne peut agir que sur les informations fournies dans son prompt. Si les sorties précédentes ne sont pas transmises, il signalera l'absence des résultats de recherche.

A. Persister l'intégralité de l'historique de conversation et des réponses aux outils dans une base de données, puis appeler escalate_to_human avec un identifiant de référence — Incorrect. Utile sur le plan opérationnel, mais l'agent humain a tout de même besoin d'un résumé concis et exploitable plutôt que de simples journaux bruts. B. Appeler escalate_to_human en ne transmettant que le message original du client — Incorrect. Cela perd le travail d'investigation déjà effectué et oblige l'agent humain à répéter les étapes. C. Tenter le remboursement avec process_refund quoi qu'il arrive, en escaladant uniquement si le système rejette la transaction — Incorrect. Cela viole les limites d'autorisation et la politique métier. D. Compiler une passation de contexte structurée incluant les détails du client, les informations de commande et le problème identifié avant d'appeler escalate_to_human — Correct. Une passation structurée préserve le contexte, réduit les répétitions et permet à l'agent humain de continuer efficacement.

A. Définir la température à 0 pour éliminer la variabilité des sorties et garantir un formatage cohérent — Incorrect. Cela réduit l'aléatoire mais ne corrige pas les erreurs d'extraction systématiques comme la mauvaise interprétation des plages (« 2 à 3 »). B. Envoyer une requête de suivi incluant l'erreur de validation, en demandant au modèle de corriger sa sortie — Correct. Fournir un retour de validation précis permet au modèle de corriger le problème exact (par exemple, convertir « 2 à 3 » en un nombre flottant valide), rendant la récupération très efficace. C. Pré-traiter les documents sources pour standardiser les formats problématiques avant de les envoyer à l'extraction — Incorrect. Utile dans certains cas, mais pas évolutif ni suffisant pour gérer la diversité des variations du monde réel. D. Mettre en place un pipeline secondaire utilisant un modèle de niveau supérieur pour retraiter les documents qui échouent à la validation — Incorrect. Plus coûteux et inutile — la correction ciblée est plus efficace et plus performante.

A. Fournir au sous-agent des définitions d'outils lui permettant de demander des résultats à d'autres sous-agents via des callbacks. Incorrect. Cette approche introduit un couplage et une complexité inutiles. Les sous-agents ne devraient pas avoir besoin de récupérer activement des données auprès des autres. B. Inclure directement les résultats complets des deux sous-agents dans le prompt du sous-agent de synthèse. Incorrect. Bien que simple, cette approche ne passe pas bien à l'échelle pour des résultats volumineux et peut dépasser les limites de contexte, réduisant ainsi l'efficacité. C. Transmettre des identifiants de référence et configurer le sous-agent avec un accès en lecture à un espace mémoire partagé où les autres sous-agents ont déposé leurs résultats. Correct. Il s'agit de l'approche la plus évolutive et prête pour la production. Elle préserve la fidélité des informations tout en évitant la surcharge du contexte, permettant à l'agent de synthèse de récupérer exactement ce dont il a besoin. D. Instancier le sous-agent avec seulement une brève description de tâche, en s'appuyant sur un héritage automatique du contexte depuis le coordinateur. Incorrect. Il n'existe pas d'héritage automatique du contexte — sans accès explicite aux données, l'agent de synthèse ne peut pas fonctionner correctement.

A. L'agent coordinateur reçoit la sortie de l'agent de recherche web et inclut les résultats pertinents dans le prompt lors de l'invocation de l'agent d'analyse de documents. Correct. Cela suit le modèle d'orchestration standard où le coordinateur gère tous les flux de données, en transmettant explicitement les sorties entre les sous-agents. B. Les agents communiquent via une file de messages orientée événements, l'agent d'analyse de documents s'abonnant aux événements de fin de recherche web. Incorrect. Cela introduit une complexité d'infrastructure inutile et ne correspond pas au modèle d'orchestration d'agents habituel. C. L'agent de recherche web invoque directement l'agent d'analyse de documents, en utilisant les sources découvertes comme paramètres. Incorrect. Les sous-agents ne doivent pas s'invoquer directement entre eux ; cela rompt le contrôle centralisé et la traçabilité. D. Les deux agents accèdent à un espace mémoire partagé où l'agent de recherche web écrit les résultats et l'agent d'analyse de documents les lit. Incorrect. Bien que cela soit possible dans des systèmes avancés, ce n'est pas l'approche standard ou la plus simple ; cela ajoute de la complexité sans nécessité évidente dans les pipelines classiques.

A. Retourner une liste de vols vide comme si la recherche avait réussi mais n'avait trouvé aucun vol correspondant. Incorrect. Cela masque l'échec et induit le système en erreur en lui faisant croire qu'aucun vol n'existe, ce qui peut conduire à des conclusions incorrectes. B. Enregistrer l'erreur en interne et retourner une réponse vide, laissant le modèle continuer sans les données de vols. Incorrect. Cela supprime également le signal d'échec, empêchant l'agent de prendre des mesures correctives. C. Retourner un message d'erreur dans le résultat de l'outil expliquant que le service est temporairement indisponible. Incorrect. Bien que transparent, cela ne tente pas à lui seul une récupération et peut dégrader inutilement l'expérience utilisateur. D. Réessayer automatiquement la requête jusqu'à cinq fois avec un backoff exponentiel avant de retourner les résultats à l'agent. Correct. Il s'agit de l'approche la plus efficace : elle gère les pannes transitoires de manière élégante, améliore la fiabilité et ne remonte les erreurs que si les tentatives échouent.