Ne découvrez pas l'examen
le jour J

Réponse : Ajouter plus d’instances EC2 de même taille pour gérer une augmentation de trafic.
Explication : La scalabilité horizontale consiste à ajouter plusieurs instances similaires pour augmenter la capacité globale, contrairement à la scalabilité verticale.

Réponse : Amazon S3 Intelligent-Tiering.
Explication : S3 Intelligent-Tiering adapte automatiquement la classe de stockage en fonction de la fréquence d’accès pour optimiser les coûts.

Réponse : AWS TCO Calculator.
Explication : Le TCO Calculator permet d’estimer et comparer le coût total de possession sur AWS versus sur site, sans être client AWS.

Réponse : Amazon CloudWatch.
Explication : Amazon CloudWatch permet de surveiller l’état, la disponibilité et la performance des instances EC2.

Réponse : AWS abaisse en continu les coûts au fur et à mesure de sa croissance.
Explication : Plus la plateforme AWS se développe, plus elle peut offrir des prix bas grâce à ses économies d’échelle.

Réponse : Augmentation de la vitesse et de l’agilité, et sécurité physique prise en charge.
Explication : AWS offre une rapidité accrue pour déployer des applications et prend en charge la sécurité physique et réseau.

Réponse : Appliquer des correctifs à l'infrastructure physique qui héberge les instances EC2. Explication : Selon le modèle de responsabilité partagée pour IaaS (EC2), AWS gère et applique des correctifs au matériel physique, à l'hyperviseur et à l'infrastructure réseau. Le client est responsable de l'application des correctifs au système d'exploitation, aux applications et aux données sur les instances.

Réponse : AWS baisse les coûts au fur et à mesure que son volume augmente.
Explication : Les économies d’échelle sont réalisées grâce à la taille massive d’AWS, permettant de baisser les prix pour tous les clients.

Réponse : Gestion des correctifs / Gestion de la configuration.
Explication : La gestion des correctifs (Patch Management) et la gestion de la configuration sont des contrôles partagés entre AWS et le client selon le service utilisé.

Rôle d'instance : attaché à une instance EC2 via Instance Profile. Fournit des credentials temporaires sans stocker d'accès clés durables, améliorant la sécurité des applications.

Async Inference : service AWS conçu spécifiquement pour traiter des payloads volumineux et des tâches longues asynchronement. Contrairement à Real-Time Inference limité par des timeouts (15 min max), Async permet des traitements sans contrainte temporelle, stocke les résultats dans S3, et optimise les coûts en ressources. Idéal pour batch processing, traitement d'images haute résolution ou modèles complexes.

Containment Rate : mesure le pourcentage d'interactions complètement résolues par le chatbot sans escalade humaine. C'est le KPI direct de l'automatisation, contrairement à AHT (durée) ou NPS (satisfaction) qui sont des indicateurs secondaires, et FCR qui évalue la résolution globale sans distinguer automation vs agent.

Les agents Amazon Bedrock permettent aux LLMs d'effectuer des actions multi-étapes en orchestrant des appels à des APIs et des outils externes. Contrairement à un chatbot simple qui répond textuellement, un agent peut planifier une séquence d'actions (ex. : vérifier un stock, passer une commande, envoyer un email) en utilisant des outils (fonctions Lambda, APIs REST). C'est le paradigme agentic AI — l'IA peut agir, pas seulement répondre.

Génération de code : Les modèles fondations spécialisés en code (CodeLlama, Claude) via Bedrock génèrent syntaxe valide et patterns idomatiques. Intégration dans IDE ou pipelines CI/CD pour productivité développeurs accrue.

La confidentialité dans GenAI requiert d'éviter que des données personnelles soient mémorisées ou reproduites par les modèles. Amazon Bedrock Guardrails peut détecter et masquer les PII (noms, numéros de sécurité sociale, emails) dans les entrées et sorties. L'anonymisation des données d'entraînement (differential privacy, pseudonymisation) réduit le risque de memorisation. Envoyer des données brutes sensibles à des APIs tierces sans contrat de traitement est une pratique à risque. Le chiffrement at-rest protège le stockage mais pas la mémorisation par le modèle.

Agents autonomes : Bedrock Agents encapsule la logique d'invocation de fonctions, de réessai et de chaînage d'appels. Le LLM décide automatiquement quel service appeler selon le contexte, sans code orchestration manuel.

Stable Diffusion XL : modèle de fondation spécialisé dans la génération d'images à partir de texte disponible sur Bedrock. Produit des images haute résolution, supporte les variantes détaillées et les styles personnalisés. Optimal pour la génération en masse d'assets marketing.

Amazon Transcribe : service de conversion parole-texte (Speech-to-Text) indispensable pour transformer l'audio brut en contenu textuel exploitable. C'est l'étape préalable obligatoire avant toute analyse NLP. Amazon Lex gère le dialogue conversationnel, Comprehend analyse du texte déjà structuré, et Rekognition traite l'image/vidéo. Seul Transcribe déverrouille l'information linguistique cachée dans l'audio.

Object detection : détecte et classe automatiquement les objets (animaux) dans les images sans annotation préalable, en localisant leurs positions via des boîtes englobantes. Contrairement à l'anomaly detection (qui identifie seulement les cas inhabituels), à la NER (qui extrait du texte) ou à l'inpainting (qui complète des images), seule la détection d'objets combine classification et segmentation spatiale pour catégoriser tous les animaux présents.

Une Model Card est un document de référence qui décrit un modèle ML de manière transparente : son objectif, les données d'entraînement utilisées, les métriques de performance ventilées par sous-groupes, les limitations connues, et les cas d'usage recommandés ou déconseillés. Elle permet aux équipes d'évaluer si un modèle est adapté à leur contexte avant déploiement et facilite l'audit de conformité. C'est un outil de gouvernance et de transparence, pas un fichier de configuration technique.

Sprint Review Outcome: The primary outcome is a revised Product Backlog reflecting stakeholder feedback and completed work. This collaborative refinement ensures the backlog evolves based on inspection and adaptation, distinguishing it from process improvements (Sprint Retrospective), management reports (not Scrum artifacts), or acceptance criteria (defined beforehand, not outcomes).

Answer: During the Sprint Retrospective.
Explanation: The Sprint Retrospective is the appropriate time to inspect and improve processes, including updating the Definition of Done. Changes to DoD made during a Sprint would be retroactive and disruptive.

Answer: An increment of working software that is done.
Explanation: The Development Team's deliverable is a Done Increment — working software that meets the Definition of Done. Documentation, partial features, or test plans alone are not valid Sprint deliverables.

Product Owner Authority: Only the Product Owner possesses the authority to cancel a Sprint, as they control business value priorities and can decide if Sprint goals no longer align with organizational objectives. While the Scrum Master facilitates and Developers execute work, neither has cancellation authority. Stakeholders influence decisions but lack formal power.

Answer: As needed, while taking into account a short-term reduction in productivity.
Explanation: Scrum Teams should be stable to build collaboration and trust. Team changes should be made thoughtfully and only when there is a clear benefit that outweighs the temporary productivity loss from reforming team dynamics.

Answer: False.
Explanation: Every Increment must be potentially releasable (meeting the DoD), but the Product Owner decides whether to actually release. Release decisions are business decisions, not Sprint obligations.

Answer: No work remaining from the DoD; ready to be released to end users.
Explanation: 'Done' means the Increment fully meets the Definition of Done (all criteria satisfied) and is in a state where the Product Owner could choose to release it to users. These two conditions together define completeness.

Answer: Lost inspection/adaptation opportunities; impediments resolved slower; Sprint plan becomes inaccurate.
Explanation: The Daily Scrum's daily cadence is essential for rapid adaptation. Less frequent meetings mean the team cannot quickly detect deviations, address blockers, or keep the Sprint plan current with reality.

Answer: Managers are not required at the Daily Scrum.
Explanation: The Daily Scrum is a Development Team event for team coordination. External management attendance is not required and can actually inhibit open communication if team members feel observed or evaluated.

Key concept: Product Owner accountability for stakeholder engagement. The Product Owner is explicitly responsible for inviting stakeholders to the Sprint Review because this event is a key inspection and adaptation opportunity for gathering feedback on the product increment. The Product Owner maintains the stakeholder relationships and determines who should attend based on relevance to the product, business value, and feedback needs. While the Scrum Master facilitates the event and Developers present their work, neither holds accountability for stakeholder invitation. Managers are not part of the Scrum framework and have no formal role in this decision.

Developer Autonomy in Estimation: Developers own estimation responsibility entirely. The PO cannot approve estimates—they accept or reject work based on estimates but don't validate them. This preserves Developer self-management and prevents PO interference in technical assessments.

Scrum Framework Flexibility: Scrum prescribes roles, events, and artifacts but does NOT mandate specific tools like burndown charts. Teams choose monitoring tools based on their needs. Burndown charts are useful transparency aids, but optional—not required by the Scrum Guide.

Key concept: Value proxies measure actual customer impact and business outcomes, not internal activities or intermediate metrics. Number of hours logged is a poor proxy because it measures effort expended, not value delivered. A team can log many hours while producing low-impact features or waste. Similarly, velocity (story points completed per sprint) measures output capacity, not customer value—teams can maintain high velocity while building features nobody needs. In contrast, adoption rate reflects actual customer engagement with the product, and recurring revenue directly demonstrates monetized value. As a Product Owner, you must focus on outcome metrics (customer impact, business results) rather than activity or output metrics (hours, velocity) when assessing true value delivery and making backlog prioritization decisions.

Answer: Between Sprints, if needed.
Explanation: Sprint length is fixed within a Sprint for predictability. It can be adjusted between Sprints if the team determines a different length is more effective.

The Product Owner has the authority to cancel a Sprint because they are accountable for maximizing product value and managing the product backlog. While the Scrum Master facilitates the process and the Developers execute the work, only the Product Owner has the business authority to decide if the Sprint goal is no longer valid and warrant cancellation. The Developers and Scrum Master do not have this decision-making authority, though they may raise concerns that inform the Product Owner's decision.

The Product Backlog is a living artifact. It can be updated at any time by the Product Owner or someone they delegate. New customer insights, market changes, technical discoveries, or Sprint Review feedback can all trigger immediate updates. There is no gate or ceremony required — waiting for Sprint Reviews or stakeholder approval would introduce unnecessary latency in responding to change, which contradicts Scrum's empirical adaptation principle.

Key concept: The Product Backlog is a dynamic, living artifact that evolves continuously throughout the product\'s lifetime. It is never \"complete\" because product development is ongoing, market conditions change, customer needs emerge, and new opportunities arise. The Product Backlog represents the current understanding of what needs to be built, refined collaboratively by the Product Owner and stakeholders. As long as the product exists and creates value, the backlog will require new items, refinement, and reprioritization. Distractors like \"at the end of the project\" or \"after the first release\" incorrectly suggest a fixed endpoint, whereas \"when all stories are written\" misunderstands that completeness isn\'t measured by story count—the backlog is ordered, refined, and emerges based on learning and feedback, not predetermined exhaustive planning.

Key concept: Separation of concerns between Product Owner and Developers. The Product Owner is responsible for defining what to build and why it matters (business value, acceptance criteria, priorities), while Developers own how to build it technically. Detailing all technical specifications is the Developers' domain—they decide architecture, design patterns, technology choices, and implementation approaches. The PO may describe acceptance criteria and functional requirements, but prescribing technical solutions violates the self-organizing principle of Scrum teams and limits Developer autonomy, reducing innovation and ownership. This distinction ensures the PO focuses on stakeholder value and product direction rather than technical decisions.

Answer: Clarify the item's objective, split if necessary, re-estimate as needed.
Explanation: Refinement involves clarifying, decomposing, and estimating items pragmatically to prepare them for upcoming Sprints.

Gestion des conflits et leadership servile : Selon le PMBOK 7e édition, le domaine de performance "Équipe" exige que le chef de projet adopte un style de leadership servile, mettant l'accent sur la résolution collaborative des conflits plutôt que sur l'autoritarisme. Faciliter une discussion ouverte permet d'identifier les causes profondes des tensions, de favoriser la compréhension mutuelle et de renforcer la cohésion d'équipe. Cette approche respecte les valeurs agiles de communication transparente et d'amélioration continue. Les conflits non gérés peuvent escalader et dégrader la performance du projet. Ignorer les tensions aggrave les problèmes, réassigner les membres sans dialogue contourne le problème réel, et sanctionner l'équipe crée un environnement de crainte qui inhibe la collaboration. La facilitation constructive du dialogue, fondée sur l'écoute active et la médiation, est la pratique recommandée pour transformer les désaccords en opportunités d'apprentissage collectif et renforcer la maturité émotionnelle de l'équipe.

Ordre des processus de gestion des risques : Planifier → Identifier → Analyser → Planifier les réponses → Surveiller. La planification établit d'abord la stratégie, puis l'identification découvre les risques, l'analyse les évalue, les réponses les traitent, et la surveillance assure le suivi continu. Cet ordre logique garantit une gestion structurée et complète.

Processus d'évaluation de maturité en gestion de projet : Une évaluation de maturité suit une logique séquentielle et rationnelle indispensable pour transformer efficacement les capacités organisationnelles. La bonne réponse respecte le cycle d'amélioration continue reconnu en gestion de projet : d'abord évaluer l'état actuel permet d'établir une baseline objective des capacités existantes et des processus en place. Ensuite, identifier les écarts consiste à comparer cet état actuel avec les meilleures pratiques et standards du PMBOK 7e édition, révélant les déficiences et opportunités. Puis définir la cible signifie établir le niveau de maturité souhaité et réaliste à atteindre. Ensuite, planifier les améliorations crée une feuille de route détaillée avec des actions concrètes, des ressources et des délais. Enfin, implémenter exécute le plan d'amélioration. Cette séquence logique garantit que les améliorations répondent réellement aux besoins organisationnels identifiés. Les autres options échouent car commencer par définir la cible sans connaître l'état actuel est inefficace, et identifier des écarts sans

Gestion adaptative des ressources humaines : face à un changement de disponibilité, le chef de projet doit d'abord dialoguer avec le membre pour comprendre la situation, puis analyser l'impact sur la capacité de l'équipe et les délais avant d'ajuster la planification. Cette approche collaborative respecte les personnes tout en préservant la viabilité du projet, contrairement aux solutions unilatérales (réduire les sprints sans analyse) ou disproportionnées (redéfinir le MVP sans évaluer d'abord).

Collaboration (Problem Solving) : technique cherchant une solution satisfaisant tous les parties (gagnant-gagnant). Elle favorise le dialogue ouvert et l'exploration créative. Contrairement au compromis (chacun perd un peu) ou au forçage (un gagnant), la collaboration résout le conflit en profondeur, alignée avec le leadership collaboratif du PMBOK 7e.

Contrat à prix forfaitaire (Fixed Price) : Le fournisseur assume tous les risques de coût pour une portée définie. Idéal pour activités critiques car le budget est garanti, contrairement aux contrats coût remboursable (risque client) ou temps et matériel (coûts variables imprévisibles).

Indicateurs de Performance : Le CPI (Indice de Performance des Coûts) mesure l'efficacité budgétaire. CPI = 0,9 signifie que chaque euro dépensé ne produit que 0,9€ de valeur (dépassement de 10%). Le SPI (Indice de Performance du Calendrier) = 1,1 indique que le projet progresse 10% plus vite que prévu. Le projet est donc simultanément en surcoût et en avance.

Résilience organisationnelle dans le PMBOK 7 : La résilience organisationnelle est la capacité fondamentale d'une entreprise à absorber les perturbations, à s'adapter rapidement aux changements environnementaux et à se rétablir efficacement face aux crises. Dans le PMBOK 7e édition, ce concept est central pour assurer la continuité opérationnelle et la performance durable des projets.

Cette définition est exacte car elle reconnaît la nature double de la résilience : d'une part l'adaptabilité (capacité à modifier les stratégies et processus face aux changements de marché, technologiques ou organisationnels), et d'autre part la récupération (capacité à revenir à un état fonctionnel après une perturbation). La résilience ne se limite pas à survivre aux crises, mais à en tirer apprentissage et amélioration continue.

Pourquoi les autres réponses sont incorrectes : La deuxième option réduit la résilience aux seules crises financières, ce qui ignore son champ d'application plus large (technologiques, humaines, environnementales). La troisième confond résilience et résistance – la résistance s'oppose au changement tandis que la résilience l'embrace. La quatrième

Cette question correspond à l’objectif d’apprentissage FL-3.2.5 (K1) – Rappeler les facteurs qui contribuent à la réussite d\'une revue.

● a) Correct → Impliquer activement les parties prenantes assure une meilleure
qualité des revues et des retours pertinents.
● b) Faux → Encourager la discussion permet d’identifier plus efficacement les problèmes.
● c) Faux → Un modérateur aide à structurer la revue et à maintenir son efficacité.
● d) Faux → Les revues formelles sont aussi importantes que les revues informelles.

Cette question correspond à l’objectif d’apprentissage FL-1.4.4 (K2) – Expliquer la valeur du maintien de la traçabilité.
● a) Faux → La traçabilité ne vise pas à optimiser la performance du logiciel, mais à assurer une couverture de test complète.
● b) Correct → Le maintien de la traçabilité permet d’établir un lien entre les exigences, les tests et les défauts détectés, garantissant ainsi qu’aucune exigence n’a été oubliée.
● c) Faux → Même avec la traçabilité, la documentation des tests reste nécessaire pour assurer un suivi efficace et une justification des validations effectuées.
● d) Faux → Les rapports de test restent nécessaires, la traçabilité vient en complément pour s’assurer que les tests couvrent bien les exigences.

Cette question correspond à l’objectif d’apprentissage FL-3.1.1 (K1) - Reconnaître les types de produits qui peuvent être examinés par les différentes techniques de test statique.

● a) Faux → La revue des exigences est une activité de test statique permettant d’identifier des incohérences dans les spécifications.
● b) Faux → L’analyse statique du code est une technique statique qui permet de détecter des erreurs sans exécuter le programme.
● c) Correct → L’exécution de tests unitaires est une activité dynamique, car elle nécessite de faire fonctionner le logiciel.
● d) Faux → L’inspection formelle est une technique statique qui permet de valider la conception avant l’implémentation.

Cette question correspond à l’objectif d\'apprentissage FL-6.2.1 (K1) – Rappeler les avantages et les risques de l\'automatisation des tests.

● a) Faux → L’automatisation peut être coûteuse à mettre en place, mais cela dépend du contexte et du type de tests automatisés.
● b) Correct → Les tests exploratoires, UX et certains tests de validation métier nécessitent une prise de décision humaine et ne peuvent pas être automatisés.
● c) Faux → L’automatisation est justement idéale pour les tests de régression, car elle permet de les exécuter régulièrement.
● d) Faux → Les outils d’automatisation peuvent générer des rapports de test, mais cela ne signifie pas que l’automatisation remplace tous les tests manuels.

Cette question correspond à l’objectif d’apprentissage FL-5.3.1 (K1) – Rappeler des métriques utilisées dans les tests.

● a) Faux → C’est une métrique de gestion de projet, pas de test.
● b) Faux → Utile à l’analyse des exigences, mais pas une métrique standard de test.
● c) Correct → Le taux de réussite des cas de test est une métrique clé pour suivre la progression et la qualité.
● d) Faux → Ce n’est ni pertinent ni représentatif de la qualité du produit.

Cette question correspond à l’objectif d’apprentissage FL-1.4.1 (K2) – Résumer les différentes activités et tâches de test.
La bonne réponse est : d) 1C, 2B, 3D, 4A

● 1C) : Correct : La planification sert à préparer le cadre du test
● 2B) : Correct : La conception permet de définir les données, cas et conditions de test
● 3D) : Correct : L’exécution vérifie le résultat réel par rapport à l’attendu
● 4A) : Correct : Clôturer = évaluer, nettoyer, archiver, analyser les résultats

Cette question correspond à l’objectif d’apprentissage FL-1.5.3 (K2) – Distinguer les avantages et les inconvénients de l\'indépendance du test.

● a) Correct → Une équipe trop indépendante peut manquer d’informations essentielles sur le produit et son contexte d’utilisation.
● b) Faux → Une plus grande objectivité est un avantage, et non un inconvénient.
● c) Faux → Une séparation trop marquée peut au contraire augmenter les conflits entre testeurs et développeurs.
● d) Faux → Une équipe totalement indépendante n’accélère pas forcément les tests, cela dépend de l’organisation en place.

Cette question correspond à l’objectif d’apprentissage FL-4.2.4 (K3) – Utiliser les tests de transition d’état pour dériver les cas de test. Transitions identifiées :

1️⃣Accueil → Saisie du code PIN
2️⃣Saisie du code PIN → Sélection du montant
3️⃣Sélection du montant → Éjection du billet
4️⃣Éjection du billet → Fin de transaction
5️⃣Fin de transaction → Retour à l’accueil
6️⃣Annulation à tout moment → Retour à l’accueil

6 transitions minimum doivent être testées pour couvrir tous les cas.

● a) Faux → 5 transitions ne suffisent pas.
● b) Correct → 6 transitions couvrent toutes les possibilités.
● c) Faux → 7 transitions incluraient un test redondant.
● d) Faux → 8 transitions sont excessives.

Cette question correspond à l’objectif d’apprentissage FL-3.2.4 (K2) – Comparer et opposer les différents types de revues.
La bonne réponse est d) 1B, 2A, 3C, 4D
● 1B) Correct → Une revue informelle ne suit pas de processus strict.
● 2A) Correct → L’inspection est une revue très structurée avec un modérateur et des
checklists.
● 3C) Correct → Une revue technique implique des experts métier ou techniques pour
examiner un document.
● 4D) Correct → La revue par les pairs est une analyse collaborative des documents.

Cette question correspond à l’objectif d’apprentissage FL-5.1.3 (K2) – Comparer et opposer
les critères d\'entrée et les critères de sortie.
La bonne réponse est a) et c)
● a) Correct → L’exécution complète des cas de test prévus (comme ceux de non-régression) est un critère de sortie standard indiquant l’exhaustivité des tests.
● b) Faux → La validation de l’environnement de recette est une préparation au test et relève donc des critères d’entrée.
● c) Correct → Un seuil de couverture des exigences critiques est un indicateur objectif pour déterminer si les tests peuvent être considérés comme suffisants.
● d) Faux → L’approbation du plan de test concerne la préparation des activités de test, donc un critère d’entrée.
● e) Faux → L’outillage opérationnel est une condition préalable au bon déroulement des tests, donc là encore, un critère d’entrée.

Network Access Control (NAC): a security solution that enforces compliance policies before allowing devices to connect to a network. It verifies device health (antivirus status, patches, firewall) and grants or denies access accordingly. Unlike patch management (which updates software) or encryption (which protects data), NAC is a pre-connection access control mechanism.

Regular backups: A backup is a copy of data stored separately from the original. Hardware failures (drive crashes, corruption) destroy primary data; backups restore it. Antivirus prevents malware, firewalls block network attacks, and encryption secures data confidentiality—none recover lost data from failed hardware.

Une vulnérabilité Zero-Day est une faille de sécurité exploitée par des attaquants avant que le vendeur n'en ait connaissance ou n'ait publié un correctif, d'où le terme "jour zéro". Les autres réponses sont incorrectes : la première confond avec un délai de 24h (arbitraire), la deuxième décrit une vulnérabilité introduite par une mise à jour (cas spécifique, non définition générale), et la dernière est une mauvaise interprétation du terme "zero days".

Non-repudiation: cryptographic mechanism ensuring message origin authentication and integrity verification. It prevents the sender from denying they created the message (origin proof) while confirming no alterations occurred (integrity proof). Unlike access control lists (authorization only) or audit logs (detection after-the-fact), non-repudiation provides cryptographic proof at transmission time.

Answer: ARO (Annual Rate of Occurrence).
Explanation: ARO quantifies how often a specific risk event occurs per year. If historical data shows ransomware attacks have a very low probability (low ARO), the expected annual loss (ALE = SLE × ARO) may not justify the insurance premium cost.

Secure document disposal: Shredding destroys sensitive information beyond recovery, preventing data breaches. Unlike recycling (traceable), burning (unsafe/illegal), or discarding (accessible), shredding is the standard, legally compliant method for confidential paper documents.

Answer: Create a change control request.
Explanation: Production system changes — even urgent patches — should follow the change management process. Creating a change control request ensures proper approval, documentation, rollback planning, and communication before applying the patch.

Jailbreaking: the process of removing manufacturer security restrictions from mobile devices, allowing users to install unauthorized apps and modify system settings. In BYOD environments, this creates significant risks including malware installation, data breach exposure, and loss of device management control. Unlike buffer overflow (memory exploit), VM escape (hypervisor vulnerability), or end of life (device obsolescence), jailbreaking represents a deliberate user action that directly undermines mobile security frameworks essential for protecting corporate data on personal devices.

Application allowlisting: a security control that permits only pre-approved software to execute on systems. By maintaining a whitelist of authorized applications, organizations prevent unauthorized or malicious software installation. Unlike antivirus (reactive detection), allowlisting proactively blocks unapproved programs.

SQL Injection: An attack exploiting unsanitized input fields to inject malicious SQL commands, enabling unauthorized database access, data manipulation, or viewing. Attackers bypass authentication by inserting code into user inputs. Unlike cross-site scripting (targets browsers), SQL injection targets backend databases directly.

ETL (Extract, Transform, Load) est le processus d'intégration de données : Extraction depuis les sources (bases opérationnelles, APIs, fichiers), Transformation (nettoyage, normalisation, agrégation, jointure), puis Chargement dans le système cible (data warehouse, lac de données). Azure Data Factory est le service ETL/ELT natif d'Azure : il orchestre les pipelines de données via des activités configurables sans code (ou avec du code pour les transformations complexes). Azure Synapse Analytics intègre aussi des capacités ETL.

Atomicité : propriété garantissant qu'une transaction s'exécute entièrement ou est totalement annulée en cas d'erreur. Si une étape échoue, toutes les modifications sont révoquées, préservant l'intégrité des données. La cohérence valide les règles métier, l'isolation sépare les transactions concurrentes, et la durabilité persiste les données validées.

DELETE vs DROP : DELETE supprime des lignes spécifiques (ou toutes les lignes) d'une table tout en conservant sa structure. DROP supprime l'intégralité de la table, y compris sa structure. REMOVE et ERASE ne sont pas des commandes SQL standards. DELETE est donc la seule commande appropriée pour supprimer des données lignes par lignes.

Index dans une base relationnelle : structure de données qui organise les valeurs d'une ou plusieurs colonnes pour accélérer la localisation des enregistrements. Sans index, le moteur doit scanner chaque ligne (table scan). Avec un index, il utilise une structure optimisée (arbres B) pour retrouver les données en quelques accès disque seulement, d'où une amélioration drastique de performance. À ne pas confondre avec la suppression de redondance (normalization), l'unicité (contrainte unique) ou la sécurité (transactions ACID).

Réponse : az storage account create. Explication : Le stockage de table Azure fait partie des comptes de stockage Azure. Pour utiliser le stockage de table, vous devez d'abord créer un compte de stockage Azure à l'aide de la commande Azure CLI « az storage account create », puis créer la table dans ce compte.

Réponses : read-access geo-redundant storage (RA-GRS) et geo-redundant storage (GRS). Explication : GRS et RA-GRS répliquent tous deux les données vers une région secondaire en dehors de la région Azure primaire, satisfaisant ainsi à l'exigence de réplication automatique inter-régions. LRS et ZRS répliquent uniquement au sein d'une même région. RA-GRS ajoute l'accès en lecture à la région secondaire.

Power BI : plateforme Microsoft dédiée à la business intelligence, permettant de transformer des données brutes en visualisations interactives et tableaux de bord partageables. Contrairement à Excel (outil bureautique) ou Azure Monitor (surveillance d'infrastructure), Power BI excelle dans l'analyse métier et la décision data-driven en temps réel.

Azure Synapse Analytics : plateforme intégrée qui combine entrepôt de données (SQL Data Warehouse), analyses Big Data (Spark) et orchestration ETL. Contrairement à Data Lake Storage (stockage seul), Data Factory (intégration seule) ou Cosmos DB (base NoSQL), Synapse unifie ces trois capacités dans un écosystème cohérent pour analyser massivement les données.

Azure Blob Storage (Binary Large Object) est le service de stockage objet d'Azure, optimisé pour les fichiers non structurés. Il propose trois niveaux d'accès : Hot (accès fréquent, coût stockage élevé), Cool (accès peu fréquent, coût moindre), Archive (stockage long terme, accès très rare, coût minimal). Il supporte jusqu'à 190 TB par blob et des milliards de blobs par compte de stockage. C'est la base du Data Lake Azure et des backups Azure.

Azure Stream Analytics : service spécialisé dans le traitement en temps réel de flux d'événements continus (IoT, logs, données financières). Contrairement à Data Lake Storage (stockage), Data Factory (orchestration ETL) ou Synapse Analytics (entrepôt de données), Stream Analytics ingère et analyse les données à la volée sans les persister d'abord, idéal pour alertes et décisions instantanées.

Réponse : In‑app key‑user (Custom Fields & Logic, adaptation UI) ; BAdI/API publiés (« released ») ; Side‑by‑side sur SAP BTP via services OData/événements.
Explication : Le clean core évite les modifications du standard : on favorise les extensions in‑app ou latérales via BTP et API stables.

La « Banque de la Maison » est une définition de banque dans SAP représentant une banque physique où l'entreprise maintient des comptes. Elle est une donnée maître fondamentale dans SAP FI permettant la gestion des relevés bancaires, la réconciliation et le traitement des paiements. Les autres options sont incorrectes : les transferts intra-groupe ne nécessitent pas une Banque de la Maison dédiée, la couverture de devises n'est pas une fonction de Banque de la Maison, et bien que les fournisseurs soient payés via des comptes bancaires, la Banque de la Maison n'est pas assignée au dossier fournisseur mais plutôt aux documents de paiement et aux comptes du grand livre.

Réponse : FBZP
La transaction FBZP (Maintain Payment Program Configuration) est l'interface centrale de configuration du programme de paiement automatique. Elle permet de définir les sociétés, les méthodes de paiement, les banques payantes, les délais de valeur et les déductions d'escompte.

Réponse : Vrai
Explication : Les espaces/pages offrent une navigation structurée par rôle et scénario ; les groupes sont considérés comme héritage et peuvent coexister durant la transition.

Réponse : Équilibrer les documents par segment ou centre de profit
Le Document Splitting permet de générer des états financiers équilibrés par entité de reporting (segment, centre de profit). Chaque document comptable est divisé de sorte que chaque ligne soit attribuée à une entité spécifique, permettant un reporting IFRS 8 précis.

Un compte de rapprochement en SAP FI est un compte du Grand Livre qui est automatiquement lié aux comptes auxiliaires (clients/fournisseurs). Son rôle principal est de garantir que le total des écritures dans les comptes auxiliaires correspond exactement au solde du compte de rapprochement, assurant ainsi l'intégrité des données. Les autres options sont incorrectes car : résumer les écritures fiscales relève des comptes de résultat spécifiques, les éliminations inter-sociétés utilisent des écritures manuelles ou des processus de consolidation, et la réévaluation des devises est traitée par des processus séparés de valorisation des devises, non par les comptes de rapprochement.

Réponse : Intra-société : base ajustable ; historique conservé
Un transfert intra-société (intracompany transfer, transaction ABUMN) déplace une immobilisation au sein d'un même code société vers une autre classe ou un autre centre de coût. La valeur nette comptable et l'historique des mouvements sont conservés.

Les règles de validation (Validation Rules) en SAP FI sont des mécanismes génériques conçus pour vérifier les valeurs des champs de documents contre des conditions prédéfinies et générer des avertissements ou des erreurs en cas de violation. Elles s'appliquent transversalement à tous les types de documents comptables. La première option concerne spécifiquement les détails bancaires des fournisseurs, la troisième traite des budgets d'immobilisations, et la dernière vise la réconciliation des soldes, qui ne représentent pas le but principal et générique des règles de validation.

Réponse : Les groupes de tolérance utilisateur peuvent limiter les écarts ; Les reason codes documentent la cause des différences ; Des comptes d’écart d’escompte/écriture de charge peuvent être déclenchés.
Explication : Les tolérances contrôlent la compensation et l’affectation des écarts aux comptes appropriés.

Ordre correct clôture mensuelle FI :

1. OB52 : ouvrir la nouvelle période / fermer l'ancienne
2. Accruals/deferrals : écritures de régularisation
3. Valorisation de change : réévaluation des postes en devises
4. Nettoyage GR/IR (MR11) et lettrage OI (F.13)
5. Revue des comptes et publication des états

La Prise de la Bastille (14 juillet 1789) : cet événement symbolise le début de la Révolution française. La Bastille, forteresse-prison représentant l'absolutisme royal, est stormiée par le peuple parisien. Le 5 mai 1789 marque l'ouverture des États généraux (réunion consultative), et le 4 août 1789 correspond à l'abolition des privilèges féodaux. C'est le 14 juillet qui reste la date fondatrice, d'où son statut de fête nationale française.

Le 14 juillet est la Fête nationale française, commémorant la prise de la Bastille le 14 juillet 1789, symbole du début de la Révolution française et de la fin de l'absolutisme royal. Cette date est fériée depuis la loi du 6 juillet 1880. Le 8 mai commémore la victoire des Alliés en Europe (1945). Le 11 novembre est l'armistice de 1918 (fin de la Première Guerre mondiale). Le 1er mai est la fête du Travail.

Naturalisation française : processus juridique accordant la nationalité française à un étranger, lui permettant d'exercer les droits civiques (vote, éligibilité) et politiques tout en acceptant les devoirs du citoyen. Contrairement aux idées reçues, elle ne vise pas l'accès aux allocations ni la double nationalité permanente, mais l'intégration civique complète.

Le préfet : représentant de l'État nommé (non élu) par le gouvernement pour administrer un département. Il applique les décisions nationales, supervise les services publics locaux et garantit l'ordre public. Contrairement aux élus locaux (maire, conseiller régional), il n'est pas choisi par les citoyens mais désigné par l'exécutif.

Pour prouver le mariage lors d'une demande de naturalisation, l'acte de mariage intégral (et non une simple copie ou un extrait) est requis. Si le mariage a eu lieu à l'étranger, l'acte doit être légalisé ou apostillé et traduit par un traducteur assermenté. La carte de séjour et le passeport du conjoint prouvent l'identité, pas le mariage. Le livret de famille peut compléter le dossier mais ne remplace pas l'acte de mariage intégral.

La Constitution du 4 octobre 1958 est la loi fondamentale de la Ve République. Elle définit les institutions, les pouvoirs du Président, du gouvernement et du Parlement. Son préambule renvoie à la Déclaration de 1789 et au préambule de 1946 (qui consacre les droits sociaux). La Constitution de 1946 était celle de la IVe République. La Déclaration de 1789 et le préambule de 1946 ont valeur constitutionnelle mais ne constituent pas à eux seuls la loi fondamentale actuelle.

Le Conseil constitutionnel veille à la conformité des lois à la Constitution française. Il est composé de 9 membres nommés pour 9 ans (3 par le Président de la République, 3 par le Président de l'Assemblée nationale, 3 par le Président du Sénat). Il contrôle aussi la régularité des élections présidentielles et législatives. La Cour des comptes contrôle les finances publiques. Le Conseil d'État est la plus haute juridiction administrative.

La loi du 9 décembre 1905 consacre le principe de laïcité : séparation de l'État et des religions, liberté de conscience, neutralité de l'espace public institutionnel. L'État ne reconnaît ni ne finance aucun culte. L'égalité hommes/femmes est un principe constitutionnel distinct. Le droit de vote à 18 ans date de 1974 (abaissement de la majorité). La gratuité scolaire résulte des lois Jules Ferry de 1881-1882, antérieures à 1905.

Organisation territoriale de la France : La France métropolitaine est divisée en 13 régions depuis la réforme de 2016, qui a fusionné certaines régions pour améliorer l'efficacité administrative. Les distracteurs (12, 18, 22) correspondent à d'anciens découpages ou à des comptages incluant les collectivités d'outre-mer.

La Déclaration des droits de l'homme et du citoyen du 26 août 1789 est le texte fondateur des droits fondamentaux en France. Elle affirme les droits naturels et imprescriptibles : liberté, propriété, sûreté, résistance à l'oppression. Incorporée au préambule de la Constitution de 1958, elle a valeur constitutionnelle. La Constitution de 1958 organise les institutions. Le Traité de Maastricht (1992) fonde l'Union européenne. La Charte des droits fondamentaux de l'UE date de 2000.

Réponse : Des procédures détaillées pour diagnostiquer les incidents.
Explication : La gestion des incidents vise une résolution rapide, pas la documentation détaillée de procédures de diagnostic. Les procédures détaillées relèvent de la gestion des problèmes et de la base de connaissances.

Réponse : Chaque activité de la chaîne de valeur contribue à la chaîne de valeur en transformant des entrées spécifiques en livrables.
Explication : Chaque activité de la chaîne de valeur transforme des entrées en livrables spécifiques. Les activités ne sont pas séquentielles mais s\'interconnectent selon les besoins pour créer de la valeur.

Réponse : Pour planifier les changements et éviter les conflits.
Explication : Le calendrier des changements sert principalement à planifier les changements et à prévenir les conflits entre eux, en offrant une vue consolidée de tous les changements prévus.

Réponse : Le centre de services.
Explication : Le centre de services est le point d\'entrée unique pour les utilisateurs. Il inclut la classification et la propriété de toutes les questions et demandes, qu\'il redirige vers les équipes appropriées.

Réponse : Il peut fournir un appariement automatisé des incidents aux problèmes ou aux erreurs connues.
Explication : Les outils ITSM peuvent automatiquement associer de nouveaux incidents aux problèmes ou erreurs connus, accélérant ainsi le diagnostic et permettant d\'appliquer des solutions de contournement documentées.

Réponse : Les principes directeurs peuvent guider une organisation en toutes circonstances.
Explication : Les principes directeurs ITIL 4 sont universels et s\'appliquent en toutes circonstances, à toute organisation et tout type de projet ou initiative, quelle que soit la situation.

Réponse : En choisissant quelques méthodes clés pour les types d\'améliorations gérées par l\'organisation.
Explication : Plutôt que d\'adopter toutes les méthodes existantes, une organisation doit sélectionner quelques approches adaptées aux types d\'améliorations qu\'elle gère, pour rester cohérente et efficace.

Réponse : Penser et travailler de façon holistique.
Explication : Le principe \'Penser et travailler de façon holistique\' recommande de prendre en compte les quatre dimensions de la gestion des services pour éviter une vision en silos.

Réponse : Planifier.
Explication : L\'activité \'Planifier\' de la chaîne de valeur veille à ce que toutes les parties comprennent la vision, le statut actuel et les orientations de l\'organisation pour tous les produits et services.

Réponse : Tout changement d\'état significatif pour la gestion d\'un service ou de tout autre élément de configuration.
Explication : Un événement est tout changement d\'état significatif pour la gestion d\'un service ou d\'un élément de configuration. Les événements peuvent déclencher des incidents, des problèmes ou des demandes.

• Lorsqu’une Power App est intégrée dans Teams, ses données sont stockées automatiquement dans un environnement Dataverse pour Teams.

• Cela permet :

  • Un stockage structuré et sécurisé

  • L’accès aux données uniquement aux membres de l’équipe Teams

• Les autres options ne sont pas utilisées par défaut pour les Power Apps dans Teams :

  • A : OneDrive for Business sert au stockage de fichiers personnels ou partagés.

  • C : Azure Blob Storage est un service de stockage cloud général, non utilisé par défaut.

  • D : SharePoint Online site library stocke des fichiers, pas les tables Dataverse des Power Apps.

• Hybrid cloud combine :

  • Une infrastructure locale (on-premises) pour les données sensibles

  • Des ressources cloud pour les environnements de test et développement accessibles globalement

• Les autres modèles ne répondent pas au besoin spécifique :

  • A : Public cloud seul placerait toutes les données dans le cloud, ce qui n’est pas conforme.

  • C : Private cloud est entièrement dédié mais limité aux ressources internes.

  • D : Community cloud est partagé entre organisations ayant des besoins similaires, pas adapté pour ce scénario mixte.

• Dans Microsoft Teams, une app setup policy (politique de configuration d’applications) permet :

  • De définir quelles applications apparaissent par défaut dans la barre d’applications Teams de chaque utilisateur.

  • D’ajouter, supprimer ou réorganiser les applications pour tous les utilisateurs ciblés.

• En configurant cette politique pour tous les utilisateurs, Forms sera automatiquement visible dans la barre d’applications, sans action supplémentaire de leur part.
  
  

  🎯 À retenir pour l’examen MS-900 :

  • App setup policy = déploiement automatique d’applications dans Teams

  • Catalogue ou Azure AD = visibilité et gestion, mais pas déploiement automatique dans la barre d’applications.

• Customer Key permet à une organisation de :

  • Utiliser et gérer ses propres clés de chiffrement

  • Contrôler le cycle de vie des clés (création, rotation, révocation)

  • Répondre aux exigences réglementaires strictes (comme le RGPD)

Cela donne un contrôle renforcé sur le chiffrement des données Microsoft 365.

❌ Pourquoi les autres réponses sont incorrectes :

• A. Azure PIM → Gère les rôles administratifs temporaires, pas les clés de chiffrement.

• B. Customer Lockbox → Permet de contrôler l’accès des ingénieurs Microsoft aux données, mais ne gère pas les clés de chiffrement.

• C. Azure Information Protection → Sert à classifier et protéger les documents, mais ne donne pas le contrôle des clés de chiffrement au niveau service.

🎯 À retenir pour l’examen MS-900 :

• Customer Key = contrôle des clés de chiffrement par le client

• Customer Lockbox = contrôle de l’accès support Microsoft

• PIM = gestion des privilèges

• AIP = classification et protection des données

• Viva Insights mesure des indicateurs de productivité et de bien-être :

  • Temps de concentration (Focus time hours)

  • Pauses après réunions (After-meeting breaks)

  • Indicateurs d’efficacité des réunions (Meeting effectiveness score)

• Le coût des licences Microsoft 365 n’est pas un indicateur suivi par Viva Insights, car il relève de la gestion financière et non de la productivité.

• Dans Microsoft Stream, on peut contrôler :

  • Qui peut regarder une vidéo (exiger l’authentification)

  • Si la vidéo peut être téléchargée (désactiver le téléchargement)

• Cette configuration garantit que seuls les employés authentifiés peuvent accéder au contenu et qu’aucun téléchargement n’est possible.

• Les autres options ne répondent pas au besoin :

  • A : OneDrive sync ne concerne pas Stream.

  • B : Désactiver l’accès invité protège l’ensemble du tenant, mais ne gère pas les vidéos internes.

  • D : Une politique de rétention supprime des vidéos, ne contrôle pas l’accès ou le téléchargement.

Dans Microsoft Lists, la mise en forme de colonne (Column formatting) permet d’appliquer un style visuel conditionnel à une colonne spécifique.

👉 Elle permet notamment :

• De modifier la couleur d’arrière-plan

• De changer la couleur du texte

• D’ajouter des icônes

• D’appliquer des règles conditionnelles (ex : si la valeur < seuil → fond rouge)

Cette fonctionnalité utilise du JSON en arrière-plan, mais du point de vue fonctionnel, la capacité recherchée est bien la mise en forme de colonne.

• Lorsqu’une application PaaS comme Azure App Service présente des problèmes de connectivité intermittents, il est important de vérifier d’abord la connectivité côté client et réseau interne :

  • Problèmes avec le réseau de l’entreprise ou l’ISP peuvent provoquer des interruptions intermittentes.

• Microsoft support intervient si le problème vient de la plateforme Azure elle-même.

• Commencer par le réseau interne permet de localiser rapidement la source avant de contacter Microsoft.

• Une Conditional Access policy peut :

  • Restreindre l’accès aux rôles administratifs Azure AD

  • Exiger que l’appareil soit hybride Azure AD-joined et conforme aux politiques Intune

  • Réduire le risque de mouvements latéraux depuis des appareils non sécurisés

• Les autres options ne remplissent pas ce rôle spécifique :

  • A : Identity Protection gère les risques liés aux utilisateurs et aux sign-ins, pas directement l’accès aux rôles administratifs depuis des appareils spécifiques

  • B : Defender for Endpoint peut isoler un appareil compromis, mais ne bloque pas l’accès aux rôles administratifs par défaut

DMARC (Domain-based Message Authentication, Reporting, and Conformance) est un protocole d’authentification des e-mails qui :

• S’appuie sur SPF (Sender Policy Framework) pour vérifier que l’expéditeur est autorisé à envoyer des e-mails pour un domaine donné.

• Utilise DKIM (DomainKeys Identified Mail) pour valider l’intégrité du message grâce à une signature numérique.

• Ajoute une politique (policy) permettant au propriétaire du domaine d’indiquer aux serveurs destinataires quoi faire si l’authentification échoue :

  • Ne rien faire (monitoring)

  • Mettre en quarantaine

  • Rejeter le message

👉 DMARC joue donc un rôle clé dans la lutte contre le phishing, l’usurpation d’identité (spoofing) et la fraude par e-mail.

• Prompt injection : manipulation du modèle via des entrées malveillantes → peut révéler des données sensibles ou modifier le comportement attendu.

• Data exfiltration : sortie involontaire de données sensibles dans les réponses du modèle.

• Microsoft recommande pour Azure OpenAI :

  • Placer API Management (APIM) devant le service OpenAI

  • Valider toutes les entrées (ex : rejeter caractères, commandes ou prompts suspects)

  • Filtrer et contrôler la sortie pour éviter l’exfiltration de données sensibles

• Cela fournit une barrière de sécurité en amont et en aval du modèle et suit la baseline Zero Trust et Microsoft Security.

• GitHub Advanced Security permet de :

  • Analyser automatiquement les dépendances dans les projets (npm, NuGet, Maven, etc.)

  • Identifier les vulnérabilités à haute gravité

  • Proposer ou appliquer automatiquement les mises à jour de sécurité via Dependabot

• Cette approche préventive empêche que du code vulnérable atteigne les environnements de production.

• Business Impact Analysis (BIA) classe les risques en fonction de :

  • L’impact financier, réglementaire et opérationnel

  • La criticité des actifs pour le fonctionnement de l’organisation

• Dans cet exemple :

  • La divulgation des EHR entraîne des amendes HIPAA jusqu’à 2M$ → impact financier élevé et conformité critique

  • Une simple interruption n’a pas le même impact → faible perte opérationnelle

• Donc, pour la menace de divulgation, l’impact est élevé (High Business Impact)

• Microsoft Entra Internet Access (EIA) : solution SSE qui fournit :

  • Filtrage d’accès Internet

  • Protection contre les applications non approuvées

  • Application des politiques d’usage acceptable

• Intégration avec Microsoft Defender for Cloud Apps :

  • Permet de détecter et contrôler l’usage des applications SaaS

  • Active les politiques Conditional Access pour :

    • Bloquer les connexions à des applications non sanctionnées

    • Appliquer des restrictions ou des alertes pour les applications approuvées

  • Assure visibilité, contrôle et gouvernance centralisée

• C’est la meilleure pratique Microsoft SSE pour sécuriser l’accès SaaS et Internet.

• Microsoft Secure Score :

  • Mesure la posture de sécurité de l’organisation en comparant les configurations actuelles avec les recommandations de Microsoft

  • Indique des opportunités d’amélioration, mais ne garantit pas l’absence d’incident ou de violation

  • Permet de suivre la progression dans le temps et prioriser les actions de sécurité

• Il s’agit d’un indicateur de tendance, pas d’une mesure absolue ou d’un score de risque parfait.

Microsoft Defender for IoT (anciennement Azure Defender for IoT) permet de :

• Surveiller passivement le trafic réseau des PLC et autres équipements industriels

• Détecter des anomalies de protocole, mouvements latéraux et comportements suspects

• Ne nécessite pas d’installation directe sur les PLC → aucune perturbation des lignes de production

• Utilise port mirroring sur les switchs pour analyser le trafic réseau de manière non intrusive

Pourquoi c’est adapté :

• Les PLC sont souvent systèmes propriétaires où l’installation d’agents est risquée ou impossible

• La surveillance passive permet de détecter les menaces sans interrompre la production

Le pilier Performance Efficiency du Azure Well-Architected Framework concerne :

• La capacité d’un système à s’adapter aux variations de charge

• L’autoscaling

• L’optimisation des ressources

• Le dimensionnement dynamique

• L’utilisation de services PaaS et serverless pour ajuster automatiquement la capacité

Dans ce scénario :

• Il faut gérer des pics saisonniers

• Éviter le surprovisionnement

• Adapter automatiquement les ressources

👉 Cela correspond parfaitement au pilier Performance Efficiency.

• Objectif d’un tabletop exercise :

  • Identifier lacunes dans les procédures, rôles et responsabilités

  • Former les parties prenantes à la coordination et aux étapes critiques

• Observation : les chemins d’escalade ne sont pas clairs

  • Correctif immédiat = mettre à jour la documentation BCDR

  • Validation = planifier un nouvel exercice pour s’assurer que tous comprennent les procédures

• Cette approche :

  • Est non intrusive, sécurisée et pédagogique

  • Permet de corriger les processus sans risquer les systèmes en production

• Microsoft Sentinel Playbooks (basés sur Logic Apps) permettent de :

  • Automatiser la réponse aux incidents (SOAR – Security Orchestration, Automation, and Response)

  • Déclencher des workflows de restauration depuis les backups dès qu’un incident est détecté

  • Réagir rapidement et de manière cohérente face à un ransomware

• Cela offre un processus automatique de containment et de récupération, exactement ce que demande le SOC.

Les Configuration Profiles dans Intune permettent :

• De configurer précisément FileVault

• De définir les exigences de mot de passe

• De configurer le pare-feu macOS

• D’appliquer des paramètres avancés de sécurité

• De cibler des groupes spécifiques (ex : développeurs)

Les profils de configuration sont le mécanisme direct permettant d’imposer ces paramètres.

Google Cloud Directory Sync (GCDS) est l'outil officiel Google pour synchroniser automatiquement les utilisateurs et groupes depuis Active Directory (ou LDAP) vers Cloud Identity. Il maintient AD comme source de vérité et synchronise de façon continue.

L'option --splits de App Engine permet le fractionnement du trafic (traffic splitting) entre plusieurs versions dans la même application, sans créer de nouvelle application. C'est la solution la plus simple et recommandée pour un déploiement canary.

Les clés primaires monotoniquement croissantes (comme des IDs auto-incrémentés ou des timestamps) créent des hotspots dans Cloud Spanner car toutes les nouvelles données vont vers le même split. Utiliser une clé distribuée (UUID, hash) élimine ce problème.

La politique Domain Restricted Sharing empêche d'accorder des accès IAM à des identités hors du domaine. La seule solution est de créer un compte temporaire dans Cloud Identity (votre domaine) pour l'auditeur, avec le rôle Viewer (lecture seule).

Créer un espace de travail Stackdriver Monitoring sous un projet A et y ajouter B et C crée une vue unifiée de tous les projets dans un seul tableau de bord. C'est l'approche recommandée pour la surveillance multi-projets.

La bonne méthode est de créer deux configurations (une par compte/région) puis d'activer la configuration appropriée avant de lancer les commandes. gcloud configurations list affiche seulement les configurations sans les activer.

Pour créer des budgets et alertes sur un compte de facturation, il faut être administrateur de facturation du projet (project billing administrator). Le budget peut être filtré par projet et par service (Compute Engine), ce qui permet l'alerte spécifique demandée.

Puisque le workload est tolérant aux pannes, les VMs préemptibles sont idéales (jusqu'à 80% moins chères). Le test avec des événements de maintenance simulés valide la tolérance aux interruptions avant de basculer en production.

La combinaison Service NodePort + Ingress est la méthode recommandée pour exposer une application GKE en HTTPS via un Cloud Load Balancer. L'Ingress gère le certificat SSL/TLS et l'IP publique. ClusterIP n'est accessible qu'en interne au cluster.

Un SSD local offre un débit de lecture jusqu'à 3 Go/s contre ~240 Mo/s pour un SSD persistant zonal de 350 Go — soit 12x plus rapide. Augmenter la taille du disque persistant améliore le débit mais reste limité. Ajouter des vCPU n'impacte pas les I/O disque. Le SSD régional est plus cher et n'apporte pas plus de débit.

The three pillars of empiricism in Scrum are Transparency, Inspection, and Adaptation. These enable evidence-based decision-making in complex environments. Planning, Demonstration, and Retrospective are Sprint events; Respect For People and Kaizen come from Lean—not Scrum's foundational pillars.

Correct answers: Options 2 and 4. Option 2 correctly explains that time-boxes empower those closest to problems to make best decisions within constraints—a core self-organization principle. Option 4 correctly shows time-boxes align focus and shared understanding across the team. Option 1 confuses commitment with enforcement, and Option 3 misrepresents time-boxing's purpose in forecasting planning.

The Scrum Master should teach teams to self-organize with the skills and competencies needed to create integrated Increments independently. The Scrum Master doesn't coordinate work directly; rather, they facilitate conditions for teams to coordinate themselves. Options A, C, and D inappropriately centralize coordination or create artificial synchronization, violating Scrum's self-organization principle.

Correct: Options 1 and 4 - The Daily Scrum's purpose is team synchronization, not individual recognition tied to task completion, which creates dysfunctional behavior. Steven should coach both the PO on recognizing team achievements and the team on reclaiming the Daily Scrum's intent. Option 3 is incorrect—Scrum Masters facilitate all events. Option 2 misses the real issue of recognizing individuals over team goals.

Correct answer: Option 4. This approach, called backlog refinement, involves the Development Team helping clarify and estimate upcoming items during the Sprint. This ensures items are actionable and well-understood for Sprint Planning. Option 1 segregates knowledge from the team, Option 2 creates a false separation of concerns, and Option 3 violates the principle that the Development Team should focus on committed Sprint work first.

Correct: Option 3 - Self-organization is a core Scrum value that requires Development Teams to autonomously determine how best to accomplish their work within clear boundaries. Options 1 and 2 represent command-and-control approaches where management allocates resources, which undermines the team's self-organizing capability and violates Scrum principles.

Per the Scrum Guide, the Development Team decides where to hold the Daily Scrum. The location should support their communication needs, not be mandated by management, Scrum Masters, or fixed locations. This reflects the team's autonomy and self-organization.

Version control tools alone cannot resolve collaboration and dependency issues; these are fundamentally organizational and process problems requiring communication, planning, and proper backlog refinement. Technology is a tool, not a solution for human collaboration challenges in Scrum.

A Scrum Master is a servant-leader who manages the process of Scrum (how it's understood and enacted), the way Scrum is applied within the organization, and removes impediments blocking team progress. The Scrum Master does NOT manage individual capacity, report on Sprint performance, or manage the Product/Sprint Backlogs—those are Product Owner and Development Team responsibilities per the Scrum Guide.

The Development Team ignored a new member's ideas and viewpoints, violating three Scrum Values: Respect (valuing individuals), Openness (welcoming different perspectives), and Courage (creating psychological safety to speak up). Commitment and Focus relate to the team's dedication to work, not interpersonal inclusion. Transparency concerns information visibility, not team dynamics.

Réponse : Les préoccupations concernant l\'interface utilisateur augmentent la probabilité d\'un risque dans ce domaine et augmentent la quantité d\'effort de test nécessaire pour l\'interface utilisateur, limitant ainsi l\'effort de test disponible pour d\'autres parties de l\'outil de gestion de test..
Explication : L\'option B est correcte car elle modifie explicitement à la fois la probabilité évaluée et l\'impact basé sur les ressources (couverture de test), ce qui altère l\'exposition au risque produit et force une réévaluation des priorités. Le risque augmente (probabilité × conséquence) avec la réallocation des ressources.

Réponse : Critère A = NON OK, critère B = NON OK, critère C = OK.
Explication : L\'évaluation des critères de test révèle que seul le critère C satisfait aux exigences de qualité. Les critères A et B présentent des défaillances qui nécessitent une correction avant d\'accepter le produit testé.

Réponse : La qualité de l\'estimation du développement peut être médiocre. / Utiliser le même pourcentage chaque fois ne tient pas compte du niveau de risque de l\'application à tester. / La maturité de l\'organisation, par exemple la qualité de la base de test, la qualité des tests de développement, la gestion de configuration, la disponibilité des outils de test, influencent également l\'effort requis pour le test..
Explication : Les réponses A, D et E désignent des sources distinctes de variance qu\'un simple pourcentage du développement ne peut pas capturer. A: les estimations de développement peuvent être inexactes, propageant l\'erreur d\'estimation. D: un pourcentage fixe ignore le risque spécifique, la criticité métier et les profils d\'impact des défauts. E: la maturité organisationnelle (qualité de la base de test, tests unitaires du développement, gestion de configuration, outils disponibles) influence directement l\'effort de test.

Réponse : Un aperçu détaillé de l\'approche de test basée sur les risques utilisée pour assurer la réalisation des critères de sortie..
Explication : D est correct car les cadres supérieurs non-spécialistes ont besoin d\'informations concises et orientées résultats, non d\'une exposition détaillée opérationnelle de l\'approche basée sur les risques. Un rapport doit prioriser l\'état versus objectifs, risques clés et atténuations, tendances et actions managériales recommandées pour décisions efficaces.

Réponse : Définir les attentes concernant les tâches et les livrables / Canaux de communication clairs / Cultures possiblement différentes.
Explication : BCD est correct. L\'externalisation introduit des ambiguïtés contractuelles sur les livrables, nécessite des canaux de communication robustes et expose le projet à des différences culturelles. La définition précise des attentes, des critères d\'acceptation et des SLA est essentielle pour éviter les dérives de périmètre et les litiges.

Réponse : Le pourcentage de couverture de décision atteint durant les tests unitaires. / La disponibilité de la dernière version de l\'outil d\'enregistrement-rejoue (pour tester l\'interface avec le nouvel outil de gestion des tests)..
Explication : Les critères d\'entrée sont des conditions préalables concrètes et vérifiables avant l\'exécution. La couverture de décision des tests unitaires (A) et la disponibilité des outils requis (B) sont des critères d\'entrée classiques, mesurables et directs pour l\'intégration.

Réponse : Les critères d\'entrée et de sortie sont un moyen principal d\'obtenir des ressources adéquates..
Explication : C est correct car les critères d\'entrée et de sortie sont des portes de qualité objectives pour les transitions de niveau et la prise de décision, non des mécanismes destinés à sécuriser les ressources. Ils spécifient des conditions mesurables soutenant les décisions arrêt/go et protègent les activités en aval.

Réponse : Une approche des tests de régression.
Explication : Le plan directeur de test est un document stratégique de haut niveau qui définit l\'approche globale, la portée, les objectifs et les risques. L\'approche des tests de régression est une décision stratégique appropriée à couvrir en détail, contrairement aux détails tactiques comme les valeurs limites ou l\'organisation des cas de test.

Réponse : Les métriques enregistrées lors du test de l\'outil de capture-rejouer..
Explication : C est correct car les métriques mesurées de l\'outil de capture-rejouer fournissent les données empiriques directes (taux d\'exécution, temps de création et maintenance des scripts, taux de faux positifs/négatifs, surcharge de configuration/nettoyage) nécessaires pour convertir les tâches de test spécifiées en estimations temporelles fiables et réduire l\'incertitude.

Réponse : TMMi ne peut être utilisé qu\'avec le modèle V traditionnel, tandis que TPI peut être utilisé avec tous les types de cycles de vie logiciels..
Explication : D est incorrect car TMMi n\'est pas limité au modèle V ; il est indépendant du cycle de vie et applicable aux modèles V, itératifs et agiles. TPI l\'est aussi, contredisant l\'affirmation d\'une dichotomie entre les deux approches.

B. The order details are added to the conversation and the model reasons about which action to take. Correct. In an agentic loop, tool results (like "purchased 45 days ago") are fed back into the model's context, and the model re-evaluates the situation dynamically. It then decides whether to proceed with process_refund, escalate to a human, or take another action based on policy and the updated information. Why the others are not correct: A. Fixed tool sequence planned at the start Incorrect Agentic systems are not static workflows; they adapt after each observation. C. Pre-configured decision tree Incorrect This is rule-based automation, not LLM-driven reasoning. D. Orchestration layer automatically routes next tool call Incorrect That removes the model's reasoning role and turns it into deterministic routing.

A. The coordinator agent receives the web search agent's output and includes relevant findings in the prompt when invoking the document analysis agent. Correct. This follows the standard orchestration pattern where the coordinator manages all data flow, explicitly passing outputs between subagents. B. The agents communicate through an event-driven message queue, with the document analysis agent subscribing to web search completion events. Incorrect. This introduces unnecessary infrastructure complexity and is not the typical agent orchestration model. C. The web search agent directly invokes the document analysis agent, using the discovered sources as parameters. Incorrect. Subagents should not invoke each other directly; this breaks centralized control and observability. D. Both agents access a shared memory store where the web search agent writes findings and the document analysis agent reads them. Incorrect. While possible in advanced systems, this is not the standard or simplest approach; it adds complexity without clear necessity in typical pipelines.

A. Add a user_acknowledged: boolean parameter that must be set true, with instructions for the agent to only set it after the user explicitly confirms they reviewed the details Incorrect. This relies on agent discipline and is easy to bypass or mis-handle; it doesn't guarantee users actually see or understand key details. B. Implement a 60-second hold before execution completes, allowing users time to review pending allocations and cancel if needed Incorrect. Delays alone don't improve understanding; they only slow execution and may frustrate users without ensuring informed approval. C. Add a detail_level parameter with options "minimal" or "comprehensive" that controls how much context the agent presents in confirmations Incorrect. This improves formatting flexibility but does not ensure critical cost and impact information is consistently surfaced before approval. D. Return structured data including cost estimate, target project, resource specifications, and impact summary in the tool response Correct. This ensures that every allocation includes explicit, structured, reviewable details, reducing uninformed approvals and enabling users to understand cost and impact before proceeding.

A. Add a confirmation step that requires users to type "CONFIRM DELETE" before delete_file executes. Incorrect. This prevents accidental execution but does not improve the agent's tool selection decision. B. Implement server-side validation that rejects delete_file calls for files tagged as backups, returning an error message suggesting archive_file. Incorrect. This enforces policy after the wrong choice is made but does not directly improve initial selection. C. Expand tool descriptions to clarify use cases, adding guidance like "Do not use for backup files" to delete_file. Correct. Clear, specific descriptions directly influence the agent's tool selection reasoning, making it less likely to choose the wrong tool. D. Add few-shot examples to the system prompt demonstrating that requests involving "backup" or "old" should use archive_file. Incorrect. Helpful, but less direct and less reliable than improving the tool descriptions themselves.

A. The model's context window has been exceeded by the conversation length Incorrect. This would only happen in very long conversations, and the issue appears early within just a few turns. B. The Claude API requires a session_id parameter that you haven't configured Incorrect. There is no required session_id--context must be explicitly managed by the application. C. Claude requires a vector database connection to maintain conversation memory Incorrect. A vector database is optional for retrieval, not required for basic conversation memory. D. Your application isn't including prior messages in the messages array Correct. Claude does not retain memory between calls--if previous messages aren't included, it cannot recall earlier user preferences.

A. URLs that users can click to open the document in their browser. Incorrect. URLs are useful for users, but not ideal for agents performing multi-step workflows that require reliable referencing and further operations. B. Structured data containing document IDs and metadata for each result. Correct. This enables the agent to programmatically reference specific documents (via IDs) across multiple steps, making workflows like follow-up queries or document retrieval precise and reliable. C. A JSON array of document titles extracted from the search results. Incorrect. Titles alone are ambiguous and not stable identifiers, making it difficult for agents to reliably act on specific documents. D. More detailed human-readable descriptions including the size and authors. Incorrect. Helpful for users, but still unstructured and not suitable for precise multi-step agent operations.

A. Implement semantic deduplication to identify and remove redundant information across the accumulated RAG results and conversation turns Incorrect. This reduces redundancy but doesn't solve the core issue of unbounded accumulation of RAG context. B. Implement a sliding window for RAG results from the last 2­3 queries while preserving conversation history Correct. This directly addresses context crowding by limiting RAG growth while keeping conversation continuity intact. C. Shift context budget to favor RAG results while reducing conversation history allocation Incorrect. This worsens coherence by sacrificing conversation context. D. Compress all RAG results into a consolidated summary document that updates incrementally after each retrieval Incorrect. This can introduce information loss and summary drift, especially across many turns.

A. Verify that 97% accuracy meets requirements for all downstream systems that consume the extracted data. Incorrect. Important, but it doesn't ensure the confidence signal is reliable across different cases--it only checks overall acceptability. B. Analyze accuracy by document type and field to verify high-confidence extractions perform consistently across all segments, not just in aggregate. Correct. Aggregate accuracy can hide weak spots. You need to ensure confidence >90% is trustworthy across all segments, otherwise automation may introduce systematic errors. C. Compare accuracy at different confidence thresholds (85%, 90%, 95%) to find the optimal cutoff that maximizes automation while minimizing errors. Incorrect. Useful for tuning, but only after confirming the confidence signal is consistent and reliable across segments. D. Run a two-week pilot routing 25% of high-confidence extractions directly to downstream systems and monitor error reports. Incorrect. A pilot is valuable, but deploying without validating segment-level reliability first introduces avoidable risk.

A. Set temperature to 0 to eliminate output variability and ensure consistent formatting Incorrect. This reduces randomness but won't fix systematic extraction errors like misinterpreting ranges ("2 to 3"). B. Send a follow-up request including the validation error, asking the model to correct its output Correct. Providing specific validation feedback allows the model to correct the exact issue (e.g., convert "2 to 3" into a valid float), making recovery highly effective. C. Pre-process source documents to standardize problematic formats before sending them for extraction Incorrect. Helpful in some cases, but not scalable or sufficient for diverse real-world variations. D. Implement a secondary pipeline using a larger model tier to reprocess documents that fail validation Incorrect. More expensive and not necessary--targeted correction is more efficient and effective.

A. The synthesis agent needs tools that can fetch results directly from the other agents' conversation histories. Incorrect. Agents do not require direct access to each other's histories. Proper orchestration passes outputs explicitly via prompts. B. The synthesis agent's context window is not large enough to hold the combined outputs from both previous agents. Incorrect. If this were the issue, the agent would receive truncated data, not no data at all. The error indicates missing inputs entirely. C. The subagents need to share a single API connection to enable automatic context sharing between invocations. Incorrect. Agent communication does not depend on shared API connections. Context must be explicitly passed by the coordinator. D. The coordinator did not include the outputs from the previous agents in the synthesis agent's prompt. Correct. The synthesis agent can only act on the information provided in its prompt. If prior outputs are not passed, it will report missing research findings.