Ne découvrez pas l'examen
le jour J

Cette question correspond à l\'objectif d\'apprentissage FL-2.2.3 (K2) – Distinguer les tests de confirmation des tests de régression.

La bonne réponse est c) 1A, 2B, 3A, 4B.

● 1A) Correct → Le test de confirmation (ou \"retest\") vérifie qu’un défaut corrigé est effectivement résolu.
● 2B) Correct → Le test de régression s’assure que la correction ou une nouvelle fonctionnalité n’a pas causé d’effets secondaires indésirables.
● 3A) Correct → Les tests de confirmation ciblent spécifiquement la correction appliquée et ne testent pas d’autres parties du système.
● 4B) Correct → Les tests de régression sont exécutés à une échelle plus large pourvérifier que le reste du système fonctionne toujours correctement.

Cette question correspond à l\'objectif d\'apprentissage FL-2.1.3 (K1) – Rappeler des exemples d\'approches de développement piloté par les tests.
● a) Correct → Le TDD (Test-Driven Development) est une approche où les tests sont écrits avant l’implémentation du code.
● b) Faux → Le modèle en cascade ne suit pas un développement itératif avec des tests en amont.
● c) Faux → Le modèle en V inclut une phase de test bien définie, mais les tests ne sont pas écrits avant le développement du code.
● d) Faux → L’intégration continue permet d’exécuter régulièrement des tests, mais ce n’est pas une approche de développement piloté par les tests.

Cette question correspond à l\'objectif d\'apprentissage FL-4.4.2 (K2) - Expliquer le test exploratoire.

● a) Faux → Les tests basés sur des listes de contrôle nécessitent généralement que les exigences soient connues à l\'avance pour créer les listes appropriées.
● b) Faux → L\'estimation d\'erreur est utile pour anticiper les défauts basés sur l\'expérience, mais n\'est pas la meilleure approche dans cette situation où une couverture systématique est nécessaire rapidement.
● c) Correct → Les tests exploratoires sont idéaux quand le temps est limité et que les exigences ne sont pas complètement disponibles. Cette technique s\'appuie sur
les connaissances du domaine et les compétences analytiques du testeur pour explorer le système de manière structurée mais flexible.
● d) Faux → Les tests de branche sont une technique de test de structure \"boîte blanche\" qui nécessite l\'accès au code source, ce qui n\'est pas mentionné dans le scénario et ne résout pas le problème du manque d\'exigences.

Cette question correspond à l\'objectif d\'apprentissage FL-4.2.1 (K3) – Utiliser les partitions d\'équivalence pour dériver les cas de test
● a) Correct → Les valeurs 9 € (juste en dessous du minimum), 10 € (minimum), 10 000 € (maximum) et 10 001 € (juste au-dessus du maximum) couvrent les limites inférieures et supérieures
● b) Faux → Les valeurs intermédiaires comme 5 000 € ne testent pas les limites.
● c) Faux → 0 € et 15 000 € sont en dehors des limites pertinentes.
● d) Faux → Tester uniquement les valeurs limites sans les valeurs juste en dehors des limites ne couvre pas tous les scénarios possibles.

Cette question correspond à l\'objectif d\'apprentissage FL-4.4.1 (K2) - Expliquer l\'estimation d\'erreurs.

● a) Faux → Cette réponse simplifie excessivement l\'utilisation de l\'estimation d\'erreurs en appliquant un \"seuil standard\" arbitraire de 80%. L\'estimation d\'erreurs ne se limite pas à un pourcentage fixe et ne peut pas, à elle seule, déterminer si les tests doivent être arrêtés. De plus, le calcul ignore les 40 défauts supplémentaires découverts, ce qui porterait le total à 390 défauts identifiés.
● b) Faux → Ce n’est pas une conclusion fiable. Le fait de trouver 40 défauts en deux semaines n\'indique pas nécessairement une inefficacité des tests. La détection des défauts n\'est généralement pas linéaire, et le taux peut varier selon les phases de test.
● c) Faux → L’estimation d’erreurs donne une fourchette (ici 410–480), et les 40 nouveaux défauts sont encore dans cette fourchette. Le modèle reste valide, il faut juste le réévaluer progressivement, pas le rejeter
● d) Correct → Cette réponse reflète avec précision la valeur et les limites de l\'estimation d\'erreurs. L\'estimation fournit une base quantitative pour évaluer la progression des tests, mais ne doit pas être utilisée comme seul critère de décision pour arrêter les tests. D\'autres facteurs qualitatifs comme la sévérité des défauts restants, la couverture des risques métier, et les contraintes de projet doivent également être pris en compte. Cette approche équilibrée est particulièrement importante pour un système critique comme un système d\'information sur la santé.

Cette question correspond à l’objectif d’apprentissage FL-1.3.1 (K2) – Expliquer les sept principes du test.

Réponse correcte : a) i, ii, iii, v ont une influence significative ; iv non.

● i) Correct → Il est impossible de tester toutes les combinaisons d’entrées, ce qui limite la couverture des tests.
● ii) Correct → Certains défauts peuvent être masqués par d’autres erreurs et ne se manifester que plus tard.
● iii) Correct → Les tests sont conçus selon les spécifications, mais ne couvrent pas tous les scénarios réels.
● iv) Faux → Les tests ne sont pas uniquement axés sur la performance, ils incluent aussi la recherche de défauts.
● v) Correct → Modifier le logiciel peut introduire de nouveaux défauts, nécessitant des tests de régression.

Cette question correspond à l’objectif d’apprentissage FL-5.4.1 (K2) – Résumer la manière dont la gestion de configuration soutient les tests.

● a) Faux → Ce serait insuffisant, et trop simpliste.
● b) Faux → Ce n’est ni lié à la vitesse ni au type de test.

● c) Correct → C’est l’essence même de la gestion de configuration dans un contexte de test multi-version.

● d) Faux → Cela relève du contrôle de version de code, pas du test.

Cette question correspond à l’objectif d’apprentissage FL-5.3.2 (K2) – Résumer les objectifs,le contenu et les destinataires des rapports de test.

● a) Faux → Le rapport ne vise pas à convaincre, mais à informer objectivement.
● b) Correct → C’est exactement ce que doit contenir un rapport de test clair et utile pour les parties prenantes.
● c) Faux → Ce rôle revient aux développeurs, pas aux testeurs.
● d) Faux → Le fonctionnement de l’outil n’est pas pertinent pour la majorité des destinataires

Cette question correspond à l’objectif d’apprentissage FL-4.5.2 (K2) – Classer les différentes options pour la rédaction des critères d’acceptation.
● a) Faux → Bien que la forme Given/When/Then soit très répandue et efficace, il n’existe pas d’obligation stricte dans les projets de test d’acceptation de toujours utiliser ce format.
● b) Correct → format dépend du contexte du projet, du public cible, et de la maturité de l’équipe. Selon la complexité du projet et les habitudes de l’organisation, on peut utiliser plusieurs formats.
● c) Faux → Les critères d’acceptation doivent généralement être élaborés en collaboration avec les parties prenantes clés : Product Owner, utilisateurs métiers, testeurs et développeurs. Se limiter à l’équipe de développement peut conduire à des critères trop techniques ou peu alignés sur les attentes métiers.
● d) Faux → Les critères d’acceptation peuvent effectivement comporter des exigences de performance, mais ils ne se limitent pas à cet aspect. Ils doivent également couvrir la fonctionnalité, la facilité d’utilisation, la sécurité, la fiabilité, etc.

Cette question correspond à l’objectif d’apprentissage FL-5.2.4 (K2) – Expliquer les mesures qui peuvent être prises en réponse à l\'analyse des risques produit.

● a) Faux → Accepter un risque signifie ne rien faire et vivre avec la possibilité que cela se produise. Ici, des actions concrètes sont mises en place.
● b) Faux → Un plan de secours est un plan B qui s’active si le risque se produit. Ici, on agit avant pour éviter qu’il se réalise.
● c) Faux → Le transfert implique qu’une autre entité prend en charge le risque (ex : assurance ou sous-traitance), ce n’est pas le cas ici.
● d) Correct → Des tests de performance et des améliorations d’architecture sont des mesures proactives destinées à réduire la probabilité et/ou l’impact du risque → c’est exactement une mitigation.

Chiffrement WPA3 : La dernière norme de sécurité Wi-Fi offrant un chiffrement robuste et une protection contre les attaques par force brute grâce à l'authentification simultanée des pairs (SAE). Contrairement au WEP (obsolète et compromis), aux SSID masqués (sécurité par l'obscurité) ou au filtrage par adresse MAC (facilement contournable par usurpation), le WPA3 propose une authentification cryptographique solide répondant aux exigences de sécurité modernes.

Motivation du crime organisé : Les cybercriminels opérant au sein de groupes organisés ciblent les systèmes financiers, le vol de données et les rançongiciels dans un but de gain monétaire direct. Contrairement aux hacktivistes (motivés par l'idéologie), aux menaces internes (basées sur les accès) ou au Shadow IT (contournements opérationnels), le crime organisé poursuit exclusivement le profit à travers des activités cybercriminelles illégales.

La liste blanche d'applications (Application whitelisting) : un contrôle de sécurité qui autorise uniquement les applications pré-approuvées à s'exécuter sur les systèmes. Cela empêche de manière proactive l'installation de logiciels non autorisés en bloquant tout exécutable ne figurant pas sur la liste approuvée. Contrairement aux antivirus (détection réactive), au chiffrement (protection des données) ou aux stratégies de groupe (configuration générale), la liste blanche contrôle directement ce qui peut être exécuté, ce qui en fait la solution la plus efficace pour empêcher les installations non autorisées.

Stratégie de contrôle physique : la désactivation des ports USB élimine entièrement le vecteur d'attaque en empêchant l'accès aux supports amovibles non autorisés au niveau matériel. Bien que les mises à jour antivirus, le chiffrement et les mots de passe offrent des mesures réactives ou de protection des données, ils ne préviennent pas l'infection initiale. La désactivation des ports USB constitue le contrôle préventif le plus efficace, en particulier dans les environnements hautement sécurisés où les supports amovibles représentent un risque significatif.

Les contrôles administratifs : Sont des politiques et des procédures qui régissent le comportement humain et les accès. L'enregistrement des visiteurs et les exigences d'escorte sont des contrôles administratifs car ils établissent des règles de conduite pour le personnel. Les contrôles techniques (chiffrement, pare-feu) s'appuient sur la technologie ; les contrôles physiques (serrures, caméras) restreignent l'accès physique ; les contrôles compensatoires fournissent une protection alternative lorsque les contrôles principaux échouent.

L'authentification multifacteur (MFA) : nécessite deux facteurs d'authentification différents ou plus — quelque chose que vous connaissez (mot de passe), quelque chose que vous possédez (téléphone pour recevoir un SMS) ou quelque chose que vous êtes (biométrie). Un mot de passe associé à un code SMS combine deux facteurs distincts. L'utilisation de plusieurs mots de passe ou l'ajout d'un code PIN statique ne repose que sur un seul facteur (la connaissance) ; ces méthodes ne constituent donc pas une véritable MFA.

Règles d'engagement : Document formel qui établit le périmètre, les limitations et les frontières de test autorisées entre une organisation et un testeur de pénétration tiers. Il précise quels systèmes peuvent être testés, les méthodes de test, les délais et les contacts d'urgence. Contrairement à l'analyse de la chaîne d'approvisionnement (évaluation des risques fournisseurs), aux clauses de droit d'audit (droits d'inspection) ou à la diligence raisonnable (vérification générale de la conformité), les Règles d'engagement régissent spécifiquement les termes et conditions des activités de test de sécurité actives.

Destruction sécurisée de documents : Le déchiquetage détruit les informations sensibles de manière irréversible, prévenant ainsi les fuites de données. Contrairement au recyclage (traçable), à l'incinération (dangereuse/illégale) ou à la mise au rebut (accessible), le déchiquetage est la méthode standard, conforme aux exigences légales, pour les documents papier confidentiels.

Réduction des risques humains : La formation à la sensibilisation à la sécurité instruit les employés sur l'identification des menaces et les bonnes pratiques de sécurité, réduisant considérablement les vulnérabilités liées aux erreurs des utilisateurs, au phishing et à l'ingénierie sociale — le maillon le plus faible en matière de sécurité. Bien que la conformité et la productivité soient importantes, l'objectif principal est d'agir directement sur le comportement humain.

Automatisation : l'utilisation d'outils automatisés pour surveiller et auditer en continu les paramètres de sécurité garantit des vérifications quotidiennes cohérentes et reproductibles, sans erreur humaine. Les audits manuels manquent de cohérence ; les listes de contrôle de conformité sont des documents statiques ; l'attestation confirme des actions passées mais ne détecte pas automatiquement les modifications non autorisées.

Azure SQL Database : service PaaS qui offre une base de données relationnelle SQL entièrement managée. Microsoft gère les mises à jour, sauvegardes et haute disponibilité, vous concentrant sur les données. À distinguer de Cosmos DB (NoSQL documentaire), Blob Storage (stockage objet) et Files (partages réseau).

SELECT DISTINCT : Cette clause SQL filtre les résultats en éliminant les doublons, retournant uniquement les valeurs uniques. Elle est essentielle pour analyser les données sans répétition (ex : liste des clients distincts). À différencier de SELECT UNIQUE (syntaxe SQL Server inexistante), SELECT ONLY (pas une commande SQL standard) et SELECT FILTERED (qui requiert une clause WHERE).

DAX (Data Analysis Expressions) : langage propriétaire de Microsoft conçu spécifiquement pour Power BI et Analysis Services. Il permet de créer des mesures (calculs dynamiques) et colonnes calculées (valeurs statiques) à partir de données multidimensionnelles. SQL interroge des bases de données relationnelles, Python et R sont des langages de programmation généraux non intégrés nativement à Power BI pour cette fonction.

DELETE vs DROP : DELETE supprime des lignes spécifiques (ou toutes les lignes) d'une table tout en conservant sa structure. DROP supprime l'intégralité de la table, y compris sa structure. REMOVE et ERASE ne sont pas des commandes SQL standards. DELETE est donc la seule commande appropriée pour supprimer des données lignes par lignes.

Réponse : Une vue. Explication : Une vue est une requête SQL enregistrée qui peut être réutilisée par d'autres utilisateurs. Elle stocke la définition de la requête (et non les données) et présente le résultat sous la forme d'une table virtuelle, y compris les colonnes calculées. D'autres utilisateurs peuvent interroger la vue comme s'il s'agissait d'une véritable table.

Réponse : Azure Data Lake Storage. Explication : Azure Data Lake Storage Gen2 prend en charge un espace de noms hiérarchique avec des ACL granulaires au niveau des fichiers et des dossiers en utilisant les autorisations POSIX. Cela permet un contrôle d'accès aux données basé sur les rôles pour les scénarios d'analyse avec des exigences d'autorisation complexes.

Le schéma en étoile (Star Schema) est un modèle de données pour les entrepôts de données et OLAP. Il centre une table de faits (métriques mesurables : ventes, quantités, montants) entourée de tables de dimensions (contexte : date, produit, client, région). Cette structure dénormalisée (légère redondance intentionnelle) optimise les requêtes analytiques car les jointures sont simples et peu nombreuses. C'est le modèle favori de Power BI et Azure Synapse Analytics. Le schéma en flocon (Snowflake Schema) normalise davantage les dimensions mais complexifie les requêtes.

Modèle PaaS d'Azure SQL Database : Microsoft, en tant que fournisseur cloud, gère entièrement l'infrastructure, le moteur SQL et les mises à jour de sécurité. Le client ne s'occupe que des données et de l'application. Contrairement à un serveur on-premises, l'administrateur réseau n'intervient pas sur les patchs du moteur SQL.

Réponse : Azure SQL Database. Explication : Azure SQL Database est une base de données relationnelle entièrement gérée en tant que PaaS qui minimise la maintenance continue. Microsoft gère les mises à jour du système d'exploitation, les mises à jour de SQL Server, les sauvegardes et la haute disponibilité. C'est le choix recommandé pour les nouvelles charges de travail de bases de données relationnelles dans Azure.

Données non structurées vs structurées : Les données non structurées n'ont pas de schéma prédéfini (vidéo, image, audio). Une vidéo de formation est un exemple parfait car elle combine contenus visuels et auditifs sans organisation tabulaire. À l'inverse, SQL et CSV imposent des lignes/colonnes (structurées), tandis que JSON possède une structure hiérarchique définie (semi-structuré).

Réponse : FAGLGVTR
Le programme FAGLGVTR (Balance Carryforward for New GL) effectue le report de soldes GL à la fin d'un exercice fiscal. Il transfère les soldes des comptes de bilan vers l'exercice suivant et solde les comptes de résultat vers le compte de report à nouveau.

Réponse : Vous n'avez pas fermé l'exercice fiscal précédent. Explication : Le report de solde dans SAP nécessite que l'exercice fiscal précédent soit complètement fermé dans la comptabilité des immobilisations (FI-AA) avant que les soldes puissent être reportés. Un exercice fiscal ouvert dans FI-AA empêche le report de solde de s'achever correctement.

Réponse : F-28
Explication : F-28 comptabilise un paiement entrant et propose le lettrage des postes du client.

Réponse : Accruals/deferrals + FX + GR/IR + F.13 + revue des comptes
Une check-list de clôture mensuelle FI inclut typiquement : les régularisations (accruals/deferrals), la valorisation des devises étrangères (FX), le nettoyage du compte GR/IR (MR11), le lettrage automatique (F.13), et la revue/validation des comptes avant publication.

Réponse : Type de cours + méthode/zone + écarts non réalisés
La valorisation de devise GL en fin de période nécessite : (1) le type de cours à utiliser (ex. cours spot M), (2) la méthode de valorisation et la zone de valorisation, et (3) les comptes pour comptabiliser les écarts de change non réalisés (unrealized exchange rate differences).

Réponse : La condition de paiement affectée au BP client (vue société).
Explication : Elle définit les pourcentages et délais d’escompte ainsi que la date de base.

Réponse : App Fiori de type Analytical.
Explication : Les apps analytiques utilisent les vues CDS et les services d’analytique embarquée pour afficher KPIs/cartes et permettre du drill‑down.

Réponse : Dans la personnalisation FBZP.
Explication : FBZP centralise les paramètres nécessaires à F110 (méthodes, banques propres, détermination des comptes, tolérances).

Réponse : État des mouvements et soldes d'immobilisations
L'Asset History Sheet (AHS) est le rapport standard AA qui présente, pour chaque immobilisation, les valeurs de début de période, les acquisitions, les cessions, l'amortissement planifié et non planifié, et la valeur nette en fin de période. C'est le rapport de référence pour l'audit et la clôture.

Réponse : La méthode de valorisation.
Explication : Elle définit les comptes, clés et type de cours.

Réponse : La gestion des mises en production.
Explication : La gestion des mises en production a pour but de mettre à disposition des services et fonctionnalités nouveaux ou modifiés, en coordonnant le packaging et le déploiement des releases.

Réponse : Assurance qu\'un produit ou service répondra aux exigences convenues.
Explication : La garantie est l\'assurance qu\'un produit ou service répondra aux exigences convenues. Elle couvre la disponibilité, la capacité, la continuité et la sécurité du service fourni.

Réponse : les résultats.
Explication : Selon ITIL 4, un service est un moyen de co-créer de la valeur en facilitant les résultats que les clients souhaitent atteindre, sans qu\'ils aient à gérer les coûts et risques spécifiques.

Réponse : Les coûts supprimés par le service et les coûts imposés par le service.
Explication : Le consommateur d\'un service doit évaluer les coûts supprimés (ce qu\'il n\'a plus à gérer) et les coûts imposés (ce qu\'il doit payer), pour déterminer si la valeur nette est positive.

Réponse : Habilitation des changements.
Explication : En ITIL 4, l\'habilitation des changements est responsable du déplacement des composants vers les environnements de production, garantissant que les changements sont correctement contrôlés et autorisés avant mise en production.

Réponse : Une demande d\'un utilisateur concernant quelque chose qui fait partie intégrante de la fourniture normale des services.
Explication : La gestion des demandes de services prend en charge les demandes standard faisant partie de la fourniture normale des services, comme une réinitialisation de mot de passe ou la commande d\'un équipement.

Réponse : Elle permet de diriger l\'incident vers la zone de support appropriée.
Explication : La catégorisation des incidents permet de les acheminer rapidement vers la bonne équipe de support, ce qui accélère leur résolution et améliore l\'efficacité du processus.

Réponse : Les principes directeurs peuvent guider une organisation en toutes circonstances.
Explication : Les principes directeurs ITIL 4 sont universels et s\'appliquent en toutes circonstances, à toute organisation et tout type de projet ou initiative, quelle que soit la situation.

Réponse : L\'amélioration continue.
Explication : L\'amélioration continue est la responsabilité de chacun dans l\'organisation, pas seulement d\'une équipe dédiée. Chaque employé doit contribuer à l\'identification et à la mise en oeuvre des améliorations.

Réponse : Flux de valeur et processus.
Explication : La dimension \'Flux de valeur et processus\' se concentre sur les activités et leur coordination pour créer de la valeur. Elle définit comment les différentes parties d\'une organisation collaborent pour livrer des services.

• Rédiger avec Copilot permet de :

  • Analyser le message précédent

  • Générer automatiquement un email de réponse ou de refus poli

  • Accélérer la rédaction tout en restant professionnel

• Les autres options n’impliquent pas Copilot :

  • Réponse rapide → simplement un raccourci pour répondre rapidement

  • Focused Inbox → organise les emails, ne rédige rien

  • Schedule Send → planifie l’envoi, ne crée pas de contenu

    🎯 À retenir pour l’examen MS-900 :

    • Copilot dans Outlook = générer des brouillons intelligents basés sur le contexte du message

    • Tout ce qui est filtre, calendrier ou planification n’utilise pas Copilot.

• La Timeline view (vue Chronologie) permet :

  • D’afficher les tâches ou phases sur une ligne de temps

  • De visualiser clairement les dates de début et de fin

  • D’avoir une vue simple et synthétique adaptée à un partage dans Teams

Elle est idéale pour donner une vue globale rapide du projet.

❌ Pourquoi les autres réponses sont incorrectes :

• A. Gantt Chart view → Plus détaillée et orientée gestion avancée (dépendances, planification complexe). Moins “simple” pour un aperçu rapide.

• B. Project Roadmap → Sert à consolider plusieurs projets, pas juste à afficher un planning simple d’un projet.

• D. Calendar view → Affiche les tâches par date dans un calendrier, mais ne donne pas une vision linéaire claire des phases.

🎯 À retenir pour l’examen MS-900 :

• Timeline view = vue simple et visuelle des dates de début et fin

• Gantt = gestion avancée

• Calendar = vue mensuelle/journalière
  Roadmap = consolidation multi-projets
  
  

Dans Microsoft Entra ID (Azure AD) :

• Cloud-only identity : L’utilisateur est créé directement dans Azure AD. Aucun lien avec l’AD local, mot de passe géré dans le cloud.

• Synced identity (Identité synchronisée) :

  • Les comptes utilisateurs et les mots de passe (hashs) sont synchronisés depuis Active Directory on-premises via Azure AD Connect.

  • L’authentification se fait dans le cloud, mais les identités sont gérées depuis l’AD local.

• Federated identity (Identité fédérée) :

  • Utilise des services comme AD FS pour l’authentification directe auprès de l’AD local. Les mots de passe ne sont pas synchronisés vers le cloud.

• On-prem delegated identity : Terme moins courant, utilisé pour certaines configurations hybrides spécifiques, mais pas standard pour la synchronisation cloud.

👉 La synchronisation des comptes et des mots de passe via Azure AD Connect correspond donc à une identité synchronisée (Synced identity).

• Dans Microsoft Teams, une app setup policy (politique de configuration d’applications) permet :

  • De définir quelles applications apparaissent par défaut dans la barre d’applications Teams de chaque utilisateur.

  • D’ajouter, supprimer ou réorganiser les applications pour tous les utilisateurs ciblés.

• En configurant cette politique pour tous les utilisateurs, Forms sera automatiquement visible dans la barre d’applications, sans action supplémentaire de leur part.
  
  

  🎯 À retenir pour l’examen MS-900 :

  • App setup policy = déploiement automatique d’applications dans Teams

  • Catalogue ou Azure AD = visibilité et gestion, mais pas déploiement automatique dans la barre d’applications.

• Azure Virtual Desktop permet de configurer l’autoscaling des session host VMs selon la demande :

  • Réduire les VMs pendant les heures creuses

  • Augmenter automatiquement pendant les périodes de forte utilisation

• Les autres options ne fournissent pas d’autoscaling intégré :

  • B : Windows 365 Cloud PCs fournit des PC persistants, mais l’autoscaling n’est pas automatique.

  • C : Microsoft Endpoint Manager gère la configuration et les mises à jour, pas l’autoscaling.

  • D : Azure Automation peut automatiser des tâches, mais nécessite une configuration manuelle pour l’autoscaling.

• Intune device compliance policies permettent de s’assurer que seuls les appareils conformes (sécurisés, à jour, chiffrés) peuvent accéder aux données.

• Azure AD Conditional Access applique des règles basées sur l’identité et l’état de l’appareil pour contrôler l’accès aux services Microsoft 365.

• Ensemble, ces fonctionnalités assurent un accès sécurisé aux dossiers patients tout en respectant les normes de conformité.

Les autres options ne couvrent pas à la fois sécurité des appareils et contrôle d’accès :

• B : Azure Information Protection protège les fichiers mais ne contrôle pas l’accès en fonction de l’appareil.

• C : Stream et SharePoint versioning gèrent le contenu mais pas la sécurité des accès.

• D : DLP et Teams Shifts protègent certains contenus ou planifications, pas l’accès sécurisé aux dossiers patients.

• Dans un environnement hybride, vous continuez à utiliser votre infrastructure locale (CapEx) pour certains services ou serveurs AD.

• En parallèle, vous payez des abonnements cloud Azure AD Premium et éventuellement des services de synchronisation de données, ce qui constitue des dépenses d’exploitation (OpEx).

• Les autres options sont incorrectes :

  • A : Faux, le CapEx sur site reste nécessaire.

  • B : Faux, ce n’est pas un double paiement intégral.

  • C : Faux, l’utilisation d’Azure AD introduit bien des coûts OpEx.

• Reminder (Rappel) permet d’envoyer une notification à une heure précise, même si l’application n’est pas ouverte.

• C’est la fonctionnalité qui déclenche une alerte automatique à 8h chaque matin.

  🎯 À retenir pour l’examen MS-900 :

  • Reminder = notification à une heure précise

  • Recurrence = répétition de la tâche

  • Les deux peuvent être combinés, mais pour recevoir une alerte à 8h, il faut activer le rappel.

• Par défaut, les journaux d’audit Microsoft 365 ont une durée de conservation limitée.

• Pour les conserver plus longtemps (ex. 1 an ou plus), il faut configurer une Audit log retention policy dans Microsoft Purview.

• Cela permet de répondre aux exigences réglementaires et de conformité.

❌ Pourquoi les autres réponses sont incorrectes :

• B. Litigation Hold (Exchange) → Concerne la conservation des emails, pas les journaux d’audit globaux.

• C. Sensitivity label retention → Gère la protection et la conservation des documents/emails, pas des logs d’audit.

• D. Azure Information Protection → Sert à classifier et protéger les données, pas à gérer la durée des logs d’audit.

🎯 À retenir pour l’examen MS-900 :

• Audit logs = Microsoft Purview (Audit log retention policy)

• Litigation Hold = emails

• Sensitivity labels = protection des données

• Lorsqu’une application PaaS comme Azure App Service présente des problèmes de connectivité intermittents, il est important de vérifier d’abord la connectivité côté client et réseau interne :

  • Problèmes avec le réseau de l’entreprise ou l’ISP peuvent provoquer des interruptions intermittentes.

• Microsoft support intervient si le problème vient de la plateforme Azure elle-même.

• Commencer par le réseau interne permet de localiser rapidement la source avant de contacter Microsoft.

• Microsoft Entra Internet Access (EIA) : solution SSE qui fournit :

  • Filtrage d’accès Internet

  • Protection contre les applications non approuvées

  • Application des politiques d’usage acceptable

• Intégration avec Microsoft Defender for Cloud Apps :

  • Permet de détecter et contrôler l’usage des applications SaaS

  • Active les politiques Conditional Access pour :

    • Bloquer les connexions à des applications non sanctionnées

    • Appliquer des restrictions ou des alertes pour les applications approuvées

  • Assure visibilité, contrôle et gouvernance centralisée

• C’est la meilleure pratique Microsoft SSE pour sécuriser l’accès SaaS et Internet.

Azure Key Vault est un composant critique pour la sécurité :

• Il stocke des clés cryptographiques, certificats et secrets essentiels pour le chiffrement des données et la sécurité des transactions.

• Le vecteur de menace le plus critique est l’accès non autorisé :

  • Si un attaquant obtient l’accès à Key Vault, il peut récupérer les clés et décrypter les données sensibles ou signer des transactions frauduleuses.

• La protection contre ce vecteur repose sur :

  • Des politiques d’accès strictes (RBAC ou policies Key Vault)

  • L’activation de Azure AD Conditional Access

  • L’utilisation du principle du moindre privilège

External Attack Surface Management (EASM) permet de :

• Identifier les actifs exposés à Internet

• Détecter les vulnérabilités ou configurations non sécurisées

• Prioriser les risques externes

Pourquoi Microsoft Sentinel est le meilleur choix pour le pipeline de remédiation :

• Sentinel centralise tous les logs et alertes de sécurité

• Permet de corréler les découvertes EASM avec d’autres événements (Azure AD, endpoints, cloud apps)

• Fournit des playbooks et automatisations (Logic Apps) pour la remédiation rapide

• Facilite la réponse proactive et le suivi des incidents

• Scenario : Zero Trust → contrôler l’accès en fonction de l’état de l’appareil, de l’identité et de la localisation.

• Intune + Conditional Access permet :

  • Vérifier si l’appareil est géré et conforme aux politiques de sécurité

  • Appliquer des conditions préalables à l’accès, comme :

    • BitLocker activé

    • Antivirus à jour

    • Correctifs appliqués

  • Bloquer l’accès depuis appareils non conformes

• C’est la méthode standard Microsoft pour protéger Microsoft 365 dans un contexte Zero Trust avec des partenaires externes.

• Problème : les applications legacy utilisent souvent des protocoles d’authentification non sécurisés (ex : IMAP, POP3, SMTP Auth)

• Ces protocoles contournent Conditional Access, ce qui crée une surface d’attaque importante

• Solution Microsoft recommandée pour Zero Trust :

  • Bloquer la legacy authentication dans Conditional Access

  • Appliquer MFA et autres contrôles modernes uniquement sur les applications et utilisateurs qui supportent les protocoles modernes

  • Réduire considérablement le risque de compromission des identités

• LSASS (Local Security Authority Subsystem Service) stocke les hashes et tokens d’authentification Windows.

• Les attaquants peuvent utiliser des techniques comme Mimikatz pour voler des credentials depuis LSASS.

• Windows Defender Credential Guard :

  • Utilise la virtualisation basée sur le hardware pour isoler les secrets Windows (NTLM, Kerberos, LSA secrets)

  • Empêche les logiciels malveillants et les attaquants ayant un accès administrateur local de voler les credentials

  • Protège spécifiquement les domain controllers et endpoints sensibles

• C’est la meilleure pratique Microsoft pour sécuriser les contrôleurs de domaine contre le vol de credentials.

L’exigence clé est :
✔ Reporting cohérent
✔ Multi-cloud (Azure, AWS, GCP)
✔ Outil déjà en place : Microsoft Sentinel

Microsoft Sentinel est un SIEM/SOAR cloud-native capable d’ingérer des logs provenant de multiples environnements (Azure, AWS, GCP, on-premises).

En configurant :

• L’ingestion des journaux d’audit de sauvegarde (backup audit logs)

• Azure Monitor comme couche de collecte

• Des workbooks / dashboards unifiés dans Sentinel

👉 L’entreprise obtient une vision centralisée et normalisée de la conformité des sauvegardes sur tous les clouds, sans migration complexe.

Cela correspond parfaitement à une approche Zero Trust et multi-cloud moderne, attendue au niveau SC-100.

• Microsoft indique officiellement que pour un RPO très court sur Blob Storage, il faut utiliser Azure Backup avec des snapshots fréquents (option D)

• Continuous backup est utile mais dans certains contextes / préversions, et n’est pas la configuration par défaut pour répondre aux SLA stricts d’entreprise.

• Intune Device Compliance Reports permettent de :

  • Voir exactement quelles règles ne sont pas respectées pour chaque appareil

  • Identifier si le problème vient de BitLocker, antivirus, ou autre

  • Prendre des mesures correctives précises plutôt que de contourner la politique

• Cette approche assure que :

  • La conformité et la sécurité restent intactes

  • Les utilisateurs bloqués obtiennent une explication et un correctif ciblé

• Hotpatch :

  • Fonctionnalité Azure-only pour Windows Server

  • Applique les mises à jour de sécurité critiques sans redémarrage complet

  • Réduit les interruptions de service pour les workloads sensibles (ex : santé, finance)

  • Permet un contrôle administratif, mais avec automatisation pour les correctifs critiques

• Cette approche est le compromis idéal entre patching manuel (risque faible mais effort élevé) et automatisation complète (risque de redémarrage inattendu).

Les bonnes pratiques Google recommandent d'utiliser des groupes plutôt que des comptes individuels et des rôles prédéfinis plutôt que des rôles personnalisés quand ils répondent au besoin. logging.viewer + bigQuery.dataViewer couvrent exactement les besoins d'audit.

Les deux méthodes efficaces sont : les quotas personnalisés (limitent les octets traités par utilisateur/projet) et le passage au modèle forfaitaire avec slots (coût fixe prévisible). Créer des copies multiples augmenterait les coûts de stockage.

Cloud Run (fully managed) est idéal pour les applications avec peu de trafic : il scale à zéro quand il n'y a pas de requêtes (aucun coût), facture uniquement les ressources utilisées, et ne nécessite pas de gestion de cluster. C'est la solution la moins chère pour ce cas.

La politique Domain Restricted Sharing empêche d'accorder des accès IAM à des identités hors du domaine. La seule solution est de créer un compte temporaire dans Cloud Identity (votre domaine) pour l'auditeur, avec le rôle Viewer (lecture seule).

Le type de machine n1-standard-96 fournit exactement 96 vCPU, correspondant aux exigences de l'application critique. Modifier une instance en cours d'exécution n'est pas possible pour le nombre de vCPU — il faut arrêter la VM. Les recommandations Rightsizing sont pour optimiser, pas migrer.

MongoDB Atlas via Google Cloud Marketplace offre un environnement MongoDB entièrement géré avec SLA de support officiel. C'est la différence clé avec une installation manuelle : la gestion des mises à jour, des sauvegardes et du support est assurée par MongoDB.

Storage Admin accorde le contrôle complet des buckets ET des objets, ce qui est nécessaire pour gérer buckets et fichiers. Storage Object Admin ne permet pas de gérer les buckets eux-mêmes. Project Editor donne trop de permissions au-delà de Cloud Storage.

Coldline Storage est recommandé pour les sauvegardes de reprise après sinistre : le coût de stockage est très faible et les données sont rarement accédées (seulement en cas de sinistre). Nearline est pour des accès mensuels, Regional/Multi-Regional pour des accès fréquents.

Cloud IAP (Identity-Aware Proxy) Tunnel permet l'accès SSH sécurisé sans exposer les IPs publiques ni nécessiter de comptes Google. Le partenaire s'authentifie via IAP, qui peut utiliser diverses méthodes d'identité.

Examiner les permissions IAM des rôles permettant l'accès aux données (BigQuery User, Storage Object Viewer, etc.) donne une vue complète de qui peut accéder aux données. Les journaux d'audit montrent qui A accédé, pas qui PEUT accéder.

Faux — L'ajout de ressources n'augmente pas la valeur de manière proportionnelle dans Scrum, en raison des coûts de communication, du temps d'intégration et de la dynamique d'équipe. Le Guide Scrum préconise des équipes petites et pluridisciplinaires ; passer à l'échelle nécessite des changements structurels et une coordination, et ne se résume pas à une simple augmentation des effectifs.

Scrum est fondé sur l'empirisme — la philosophie selon laquelle la connaissance provient de l'expérience et de l'observation réelles. Scrum aborde la complexité grâce à ses trois piliers : la transparence, l'inspection et l'adaptation. Cela contraste avec les processus définis qui supposent une prévisibilité dans des environnements complexes.

Correct : Options 2, 3 et 5 - Les Scrum Masters efficaces utilisent le coaching, la formation et la sensibilisation des parties prenantes pour aider les organisations à adopter Scrum de manière durable. L'option 1 viole les principes de conduite du changement ; l'option 4 contredit les valeurs collaboratives de Scrum ; l'option 6 prolonge les événements au-delà de leur objectif initial, ce qui dilue leur efficacité.

Une équipe de développement auto-organisée décide collectivement de la manière d'accomplir son travail et est responsable de la création de son Sprint Backlog en tenant compte de la Définition of Done. Les options C et E sont correctes : L'option C illustre une replanification collaborative tout au long du Sprint (auto-organisation), et l'option E montre l'équipe créant son propre Sprint Backlog en respectant la Definition of Done. L'option A reflète des silos basés sur les rôles (absence d'auto-organisation), l'option B implique une optimisation par le management (direction externe), et l'option D introduit des personnes extérieures (ce qui nuit à l'autonomie de l'équipe).

Réponse correcte : Option 4. Cette approche, appelée refinement du Backlog, implique que l'équipe de développement aide à clarifier et à estimer les éléments à venir durant le Sprint. Cela garantit que les éléments sont exploitables et bien compris pour le Sprint Planning. L'option 1 isole la connaissance du reste de l'équipe, l'option 2 crée une fausse séparation des responsabilités, et l'option 3 enfreint le principe selon lequel l'équipe de développement doit d'abord se concentrer sur le travail auquel elle s'est engagée dans le Sprint.

La bonne réponse (option 3) stipule qu'une Scrum Team doit avoir à la fois un Product Owner et un Scrum Master, et que leur participation influence directement les résultats de l'équipe. Bien qu'ils ne soient pas toujours à temps plein, ces deux rôles sont obligatoires selon le Scrum Guide. L'option 1 est fausse — le Scrum Master est indispensable, il n'est pas optionnel. L'option 2 est trop restrictive concernant le statut à temps plein. L'option 4 est fausse — les Business Analysts ne peuvent pas remplacer la responsabilité du Product Owner.

Cette affirmation est vraie. La dette technique obscurcit l'état réel du système et peut masquer des problèmes dans l'Incrément examiné, conduisant à une fausse confiance dans la progression. Une dette technique non traitée crée un écart entre la qualité perçue et la qualité réelle du produit, ce qui va à l'encontre du pilier de transparence de Scrum.

Pour aider une nouvelle Scrum Team à démarrer efficacement, le Scrum Master doit se concentrer sur la présentation de l'équipe, la connaissance du produit et l'établissement de la Definition of Done. L'option 1 est incorrecte car la compatibilité des personnalités et les systèmes de récompenses ne relèvent pas des responsabilités du Scrum Master ; l'équipe s'auto-organise en fonction des compétences et de l'engagement envers les valeurs Scrum.

La bonne réponse (option 2) identifie que le manque de transparence du Scrum Master et du Product Owner, combiné au désengagement des parties prenantes lors des Sprint Reviews, a conduit à des attentes mal alignées. Le pilier de transparence de Scrum exige une inspection régulière par les parties prenantes lors des Sprint Reviews. Les autres options attribuent incorrectement les responsabilités ou se concentrent sur des facteurs non pertinents tels que la vélocité ou les diagrammes de Gantt.

Le Scrum Master doit permettre au Development Team de s'auto-gérer et de résoudre lui-même le problème de configuration. Cela respecte la valeur Scrum d'auto-organisation et reconnaît l'autorité de l'équipe sur la manière dont elle conduit ses événements. Le Scrum Master supprime les obstacles, mais ne résout pas chaque problème à la place de l'équipe.

Réponse : Organiser une réunion avec la direction générale pour qu\'elle aborde l\'importance d\'une bonne qualité de test pour ce projet.
Explication : D est correct car l\'appui visible de la direction générale élève la priorité organisationnelle des tests, fournit une reconnaissance et supprime les obstacles systémiques. Cela augmente la signification de la tâche et aligne l\'effort individuel avec les objectifs organisationnels, motivant durablement l\'équipe.

Réponse : Gestion et pilotage de projet.
Explication : B est correct car la gestion et le pilotage de projet sont des préoccupations transversales à tous les cycles de vie, non spécifiques au test en RAD. Les attributs distinctifs du RAD—prototypage itératif, exigences évolutives, délais serrés—créent des problèmes centrés sur le test : exigences instables, régressions fréquentes, cycles de test compressés.

Réponse : Un aperçu détaillé de l\'approche de test basée sur les risques utilisée pour assurer la réalisation des critères de sortie..
Explication : D est correct car les cadres supérieurs non-spécialistes ont besoin d\'informations concises et orientées résultats, non d\'une exposition détaillée opérationnelle de l\'approche basée sur les risques. Un rapport doit prioriser l\'état versus objectifs, risques clés et atténuations, tendances et actions managériales recommandées pour décisions efficaces.

Réponse : Le pourcentage de couverture de décision atteint durant les tests unitaires. / La disponibilité de la dernière version de l\'outil d\'enregistrement-rejoue (pour tester l\'interface avec le nouvel outil de gestion des tests)..
Explication : Les critères d\'entrée sont des conditions préalables concrètes et vérifiables avant l\'exécution. La couverture de décision des tests unitaires (A) et la disponibilité des outils requis (B) sont des critères d\'entrée classiques, mesurables et directs pour l\'intégration.

Réponse : Définir les attentes concernant les tâches et les livrables / Canaux de communication clairs / Cultures possiblement différentes.
Explication : BCD est correct. L\'externalisation introduit des ambiguïtés contractuelles sur les livrables, nécessite des canaux de communication robustes et expose le projet à des différences culturelles. La définition précise des attentes, des critères d\'acceptation et des SLA est essentielle pour éviter les dérives de périmètre et les litiges.

Réponse : Les critères d\'entrée et de sortie pour chaque phase de test / Les techniques de conception de test à utiliser.
Explication : AC est correct car une stratégie de test défendable prescrit explicitement les techniques de conception de test pour atteindre la couverture et l\'atténuation des risques (C) et les critères d\'entrée/sortie qui gouvernent la progression des phases et les barrières qualité (A). Une stratégie de test robuste est un cadre décisionnel de haut niveau qui détermine comment les objectifs de test seront atteints et comment les risques informent la priorisation et la portée.

Réponse : TMMi ne peut être utilisé qu\'avec le modèle V traditionnel, tandis que TPI peut être utilisé avec tous les types de cycles de vie logiciels..
Explication : D est incorrect car TMMi n\'est pas limité au modèle V ; il est indépendant du cycle de vie et applicable aux modèles V, itératifs et agiles. TPI l\'est aussi, contredisant l\'affirmation d\'une dichotomie entre les deux approches.

Réponse : Les développeurs perdent le sens des responsabilités et les testeurs indépendants peuvent devenir un goulot d\'étranglement..
Explication : Le test indépendant sépare la vérification du développement, ce qui peut diminuer le sens de la responsabilité des développeurs tandis que la coordination des tests et le triage des incidents se concentrent dans une équipe distincte qui peut devenir un goulot d\'étranglement processus.

Réponse : Portabilité.
Explication : C est correct car la portabilité est un attribut non-fonctionnel de faible priorité pour un système de surveillance médicale critique pour la sécurité, normalement lié à des piles matériel/système d\'exploitation certifiées. La disponibilité, la sécurité et la fiabilité ont un impact direct sur le risque patient et les preuves réglementaires.

Réponse : Créer une estimation basée sur la technique d\'analyse de points de fonction et l\'analyse de points de test.
Explication : La réponse A est correcte car l\'analyse de points de fonction combinée à l\'analyse de points de test produit une estimation précoce basée sur la taille, spécifique aux tests, indépendante de la disponibilité du code source. L\'APF fournit une métrique de taille fonctionnelle, l\'APT traduit cette taille en effort de test en appliquant les facteurs de testabilité et de qualité.

A. La fenêtre de contexte du modèle a été dépassée par la longueur de la conversation — Incorrect. Cela ne se produirait que lors de conversations très longues, alors que le problème apparaît dès les premiers échanges. B. L'API Claude nécessite un paramètre session_id que vous n'avez pas configuré — Incorrect. Il n'existe pas de session_id obligatoire ; le contexte doit être géré explicitement par l'application. C. Claude nécessite une connexion à une base de données vectorielle pour maintenir la mémoire de la conversation — Incorrect. Une base de données vectorielle est optionnelle pour la récupération d'informations, elle n'est pas requise pour la mémoire conversationnelle de base. D. Votre application n'inclut pas les messages précédents dans le tableau messages — Correct. Claude ne conserve aucune mémoire entre les appels ; si les messages précédents ne sont pas inclus, il ne peut pas se souvenir des préférences exprimées antérieurement par l'utilisateur.

A. Enregistrer l'erreur côté serveur et retourner un résultat vide pour ne pas perturber le modèle — Incorrect. Cela masque les informations critiques sur l'échec, rendant impossible pour l'agent de distinguer « aucune donnée » d'une « défaillance système ». B. Lever une exception depuis le gestionnaire d'outil afin que le framework agent puisse la capturer et la journaliser — Incorrect. Les exceptions sont utiles en interne, mais l'agent a toujours besoin d'une réponse structurée de l'outil ; les exceptions brutes ne propagent pas de manière fiable un contexte utile au modèle. C. Retourner le message d'erreur dans le contenu du résultat de l'outil avec le flag isError défini à true — Correct. Il s'agit du modèle MCP approprié : l'outil signale explicitement l'échec en utilisant isError: true, tout en fournissant un message d'erreur lisible afin que l'agent puisse décider de réessayer, d'escalader ou d'informer l'utilisateur. D. Retourner une réponse de succès avec un champ « status » indiquant le type d'erreur — Incorrect. Cela est trompeur car cela traite les échecs comme des réponses réussies, ce qui perturbe le raisonnement en aval et l'orchestration des outils.

B. Les détails de la commande sont ajoutés à la conversation et le modèle raisonne sur l'action à entreprendre. Correct. Dans une boucle agentique, les résultats des outils (comme « acheté il y a 45 jours ») sont réinjectés dans le contexte du modèle, et celui-ci réévalue la situation de manière dynamique. Il décide ensuite s'il convient de procéder avec process_refund, d'escalader vers un humain, ou d'entreprendre une autre action en fonction de la politique et des informations mises à jour. Pourquoi les autres réponses sont incorrectes : A. Séquence d'outils fixe planifiée dès le départ — Incorrect. Les systèmes agentiques ne sont pas des flux de travail statiques ; ils s'adaptent après chaque observation. C. Arbre de décision préconfiguré — Incorrect. Il s'agit d'une automatisation basée sur des règles, et non d'un raisonnement piloté par un LLM. D. La couche d'orchestration achemine automatiquement le prochain appel d'outil — Incorrect. Cela supprime le rôle de raisonnement du modèle et le transforme en un routage déterministe.

A. Votre invite système doit contenir des instructions explicites demandant à Claude de mémoriser les informations des échanges précédents. Incorrect. Les instructions seules ne confèrent pas de mémoire au modèle — le contexte doit être fourni à chaque requête. B. Vous n'incluez pas les messages précédents dans chaque requête API — l'API sans état ne conserve pas l'historique de la conversation. Correct. Claude est sans état. Si les messages précédents ne sont pas transmis dans la requête, il n'a aucune connaissance du vocabulaire antérieur. C. Vous devez activer la persistance de la conversation en transmettant un paramètre d'identifiant de session à chaque appel API. Incorrect. Il n'existe pas d'identifiant de session requis — la mémoire est gérée en incluant les messages passés. D. La fenêtre de contexte du modèle est saturée, ce qui entraîne la perte du contenu des échanges précédents. Incorrect. Cela ne se produirait que lors de conversations très longues, et non dans des scénarios de tests initiaux classiques.

A. L'agent coordinateur reçoit la sortie de l'agent de recherche web et inclut les résultats pertinents dans le prompt lors de l'invocation de l'agent d'analyse de documents. Correct. Cela suit le modèle d'orchestration standard où le coordinateur gère tous les flux de données, en transmettant explicitement les sorties entre les sous-agents. B. Les agents communiquent via une file de messages orientée événements, l'agent d'analyse de documents s'abonnant aux événements de fin de recherche web. Incorrect. Cela introduit une complexité d'infrastructure inutile et ne correspond pas au modèle d'orchestration d'agents habituel. C. L'agent de recherche web invoque directement l'agent d'analyse de documents, en utilisant les sources découvertes comme paramètres. Incorrect. Les sous-agents ne doivent pas s'invoquer directement entre eux ; cela rompt le contrôle centralisé et la traçabilité. D. Les deux agents accèdent à un espace mémoire partagé où l'agent de recherche web écrit les résultats et l'agent d'analyse de documents les lit. Incorrect. Bien que cela soit possible dans des systèmes avancés, ce n'est pas l'approche standard ou la plus simple ; cela ajoute de la complexité sans nécessité évidente dans les pipelines classiques.

A. Fournir au sous-agent des définitions d'outils lui permettant de demander des résultats à d'autres sous-agents via des callbacks. Incorrect. Cette approche introduit un couplage et une complexité inutiles. Les sous-agents ne devraient pas avoir besoin de récupérer activement des données auprès des autres. B. Inclure directement les résultats complets des deux sous-agents dans le prompt du sous-agent de synthèse. Incorrect. Bien que simple, cette approche ne passe pas bien à l'échelle pour des résultats volumineux et peut dépasser les limites de contexte, réduisant ainsi l'efficacité. C. Transmettre des identifiants de référence et configurer le sous-agent avec un accès en lecture à un espace mémoire partagé où les autres sous-agents ont déposé leurs résultats. Correct. Il s'agit de l'approche la plus évolutive et prête pour la production. Elle préserve la fidélité des informations tout en évitant la surcharge du contexte, permettant à l'agent de synthèse de récupérer exactement ce dont il a besoin. D. Instancier le sous-agent avec seulement une brève description de tâche, en s'appuyant sur un héritage automatique du contexte depuis le coordinateur. Incorrect. Il n'existe pas d'héritage automatique du contexte — sans accès explicite aux données, l'agent de synthèse ne peut pas fonctionner correctement.

A. Des URLs sur lesquelles les utilisateurs peuvent cliquer pour ouvrir le document dans leur navigateur. Incorrect. Les URLs sont utiles pour les utilisateurs, mais ne sont pas idéales pour les agents effectuant des workflows en plusieurs étapes nécessitant un référencement fiable et des opérations supplémentaires. B. Des données structurées contenant les identifiants de documents et les métadonnées pour chaque résultat. Correct. Cela permet à l'agent de référencer de manière programmatique des documents spécifiques (via des identifiants) à travers plusieurs étapes, rendant les workflows tels que les requêtes de suivi ou la récupération de documents précis et fiables. C. Un tableau JSON de titres de documents extraits des résultats de recherche. Incorrect. Les titres seuls sont ambigus et ne constituent pas des identifiants stables, ce qui rend difficile pour les agents d'agir de manière fiable sur des documents spécifiques. D. Des descriptions plus détaillées et lisibles par l'humain, incluant la taille et les auteurs. Incorrect. Utile pour les utilisateurs, mais toujours non structuré et non adapté à des opérations précises d'agents en plusieurs étapes.

A. Persister l'intégralité de l'historique de conversation et des réponses aux outils dans une base de données, puis appeler escalate_to_human avec un identifiant de référence — Incorrect. Utile sur le plan opérationnel, mais l'agent humain a tout de même besoin d'un résumé concis et exploitable plutôt que de simples journaux bruts. B. Appeler escalate_to_human en ne transmettant que le message original du client — Incorrect. Cela perd le travail d'investigation déjà effectué et oblige l'agent humain à répéter les étapes. C. Tenter le remboursement avec process_refund quoi qu'il arrive, en escaladant uniquement si le système rejette la transaction — Incorrect. Cela viole les limites d'autorisation et la politique métier. D. Compiler une passation de contexte structurée incluant les détails du client, les informations de commande et le problème identifié avant d'appeler escalate_to_human — Correct. Une passation structurée préserve le contexte, réduit les répétitions et permet à l'agent humain de continuer efficacement.

A. Retourner une liste de vols vide comme si la recherche avait réussi mais n'avait trouvé aucun vol correspondant. Incorrect. Cela masque l'échec et induit le système en erreur en lui faisant croire qu'aucun vol n'existe, ce qui peut conduire à des conclusions incorrectes. B. Enregistrer l'erreur en interne et retourner une réponse vide, laissant le modèle continuer sans les données de vols. Incorrect. Cela supprime également le signal d'échec, empêchant l'agent de prendre des mesures correctives. C. Retourner un message d'erreur dans le résultat de l'outil expliquant que le service est temporairement indisponible. Incorrect. Bien que transparent, cela ne tente pas à lui seul une récupération et peut dégrader inutilement l'expérience utilisateur. D. Réessayer automatiquement la requête jusqu'à cinq fois avec un backoff exponentiel avant de retourner les résultats à l'agent. Correct. Il s'agit de l'approche la plus efficace : elle gère les pannes transitoires de manière élégante, améliore la fiabilité et ne remonte les erreurs que si les tentatives échouent.

A. Définir la température à 0 pour éliminer la variabilité des sorties et garantir un formatage cohérent — Incorrect. Cela réduit l'aléatoire mais ne corrige pas les erreurs d'extraction systématiques comme la mauvaise interprétation des plages (« 2 à 3 »). B. Envoyer une requête de suivi incluant l'erreur de validation, en demandant au modèle de corriger sa sortie — Correct. Fournir un retour de validation précis permet au modèle de corriger le problème exact (par exemple, convertir « 2 à 3 » en un nombre flottant valide), rendant la récupération très efficace. C. Pré-traiter les documents sources pour standardiser les formats problématiques avant de les envoyer à l'extraction — Incorrect. Utile dans certains cas, mais pas évolutif ni suffisant pour gérer la diversité des variations du monde réel. D. Mettre en place un pipeline secondaire utilisant un modèle de niveau supérieur pour retraiter les documents qui échouent à la validation — Incorrect. Plus coûteux et inutile — la correction ciblée est plus efficace et plus performante.