Ne découvrez pas l'examen
le jour J

Réponse : AWS Cloud Development Kit (AWS CDK). Explication : AWS CDK est un framework open-source de développement logiciel pour définir l'infrastructure cloud en utilisant des langages de programmation familiers (TypeScript, Python, Java, etc.). Il se synthétise en modèles CloudFormation pour le déploiement.

Réponse : Maîtrise du cloud. Explication : La perspective des personnes du AWS CAF se concentre sur la gestion du changement organisationnel. La maîtrise du cloud — comprendre les concepts, les avantages et les modes de fonctionnement du cloud — est une capacité fondamentale de la perspective des personnes.

Réponse : Le type d’instance / La zone de disponibilité choisie.
Explication : Le prix dépend du type d’instance, de la région et AZ, mais pas du load balancing, ni du nombre de buckets/IP privés.

Réponse : Tous les comptes bénéficient de la remise horaire sur les instances réservées.
Explication : Grâce à la facturation consolidée, tous les comptes d’une organisation bénéficient des remises sur les instances réservées achetées.

Réponse : Ressources élastiques / Économies de coûts.
Explication : AWS offre l’élasticité (scalabilité à la demande) et des économies par rapport à l’investissement en capital sur site.

Réponse : Dans une autre région.
Explication : Sauvegarder dans une autre région AWS protège contre les catastrophes locales et assure la reprise après incident.

Réponse : A) Amazon Simple Notification Service (Amazon SNS). Amazon SNS est un service de messagerie pub/sub entièrement géré qui permet d'envoyer des messages (SMS, e-mail, notifications HTTP/S) à de nombreux abonnés simultanément. SNS est idéal pour les notifications d'applications distribuées et offre une architecture découplée et scalable.

KMS : service de gestion des clés de chiffrement permettant le chiffrement et le déchiffrement transparent des données au repos. Il s'intègre nativement aux services AWS pour protéger les données sensibles.

Réponse : Permettre la réplication synchrone des données.
Explication : Les liens rapides entre AZ rendent possible la réplication synchrone et la haute disponibilité des applications distribuées.

Réponse : Groupes de sécurité ; Listes de contrôle d'accès réseau. Explication : Les groupes de sécurité agissent comme des pare-feu virtuels pour les instances EC2 (avec état, au niveau de l'instance). Les listes de contrôle d'accès réseau opèrent au niveau du sous-réseau (sans état). Les deux peuvent être utilisés pour bloquer le trafic entrant ou sortant vers les instances.

Défense en profondeur contre l'injection de prompts : Les templates sécurisés et délimiteurs explicites créent une barrière structurelle entre instructions système et données utilisateur, empêchant leur fusion malveillante. L'IAM least-privilege limite les dégâts post-injection, mais ne prévient pas l'attaque elle-même. La température affecte la créativité, non la sécurité. L'accès public aux données aggrave les risques.

Amazon Bedrock Guardrails permet de définir des politiques de sécurité et d'utilisation acceptable pour les applications d'IA générative : filtrage de contenu nuisible (violence, discours haineux), sujets interdits, protection des données personnelles (PII), et hallucination contextuelle. Ils s'appliquent à la fois aux entrées (prompts utilisateur) et aux sorties (réponses du modèle). Ce n'est pas un système de chiffrement ni un outil de fine-tuning — c'est une couche de contrôle comportemental.

Transcription audio → NLP : Amazon Transcribe convertit les appels audio en texte, étape indispensable avant tout traitement NLP. Sans cette conversion, les services NLP (Comprehend, Lex) ne peuvent traiter que du texte. C'est le pipeline standard : Audio → Transcribe → Texte → NLP/Analyse.

Guardrails for Amazon Bedrock : service natif qui filtre les entrées/sorties de modèles IA en temps réel pour détecter et bloquer les PII, contenu toxique et autres risques définis par des politiques de sûreté. Contrairement à Macie (audit S3 uniquement), CloudTrail (logs API) ou KMS (chiffrement), Guardrails intervient directement dans le pipeline d'inférence du modèle.

AWS Artifact : service centralisé pour accéder aux rapports de conformité certifiés par des tiers (SOC 2, ISO 27001, etc.) et gérer les abonnements aux notifications de mise à jour. Contrairement à Audit Manager (audits internes), Trusted Advisor (recommandations d'optimisation) ou Data Exchange (données tierces), Artifact fournit spécifiquement les documents de conformité officiels nécessaires pour valider la posture de sécurité et de gouvernance AWS.

Prompt engineering : c'est la technique qui contrôle directement le style, la longueur et la langue des réponses sans modifier le modèle. Une instruction explicite ("Réponds en 2 phrases, en français") guide la génération. À l'inverse, la température affecte la créativité (non la langue), Top-K modifie la diversité lexicale, et la taille du FM change le modèle entier.

Génération de code : Les modèles fondations spécialisés en code (CodeLlama, Claude) via Bedrock génèrent syntaxe valide et patterns idomatiques. Intégration dans IDE ou pipelines CI/CD pour productivité développeurs accrue.

AWS PrivateLink expose un point de terminaison privé (ENI) dans le VPC pour accéder à Bedrock sans transiter par Internet, répondant aux contraintes réglementaires de trafic privé.

Average Response Time : métrique mesurant le délai moyen entre la requête et la réponse du modèle en production. Elle évalue directement la performance opérationnelle et l'expérience utilisateur. Contrairement au temps d'entraînement (phase offline) ou au CSAT (satisfaction subjective), elle quantifie précisément la rapidité d'exécution du modèle déployé.

L'IA générative transforme de nombreux processus métier. La génération de résumés automatiques de documents longs (contrats, rapports) réduit le temps d'analyse. Les chatbots intelligents pour le service client répondent de manière contextuelle. La génération de code accélère le développement logiciel. La maintenance prédictive classique ou la détection de fraude reposent généralement sur du ML supervisé, pas sur de la GenAI.

Five Scrum Values: Commitment, Courage, Focus, Openness, and Respect form the foundation of Scrum culture. These values enable trust, transparency, and effective collaboration within the team. They guide behaviors and decisions throughout Sprint execution, distinguishing Scrum from process frameworks focusing solely on ceremonies or metrics like velocity.

Answer: Bring up in Sprint Retrospective; coach PO in Scrum values.
Explanation: The Scrum Master serves the Product Owner by coaching them in effective collaboration. The Retrospective is the appropriate forum for discussing team dynamics and process improvements like PO engagement.

Transparency Pillar: Significant aspects of the process must be observable to stakeholders and team members, enabling informed decisions based on actual work state rather than assumptions, which is essential for empiricism in Scrum.

Sprint Backlog Ownership: The Developers exclusively update the Sprint Backlog during the Sprint as it represents their committed work plan. Only they possess the technical knowledge to refine tasks, adjust estimates, and manage implementation details. While the Product Owner influences priorities and the Scrum Master facilitates, neither can unilaterally modify Sprint Backlog items—maintaining Developer autonomy and accountability.

Adaptation pillar: When process or product deviations are detected, immediate adjustments are required to stay within acceptable limits. This reactive responsiveness prevents small issues from compounding into larger problems, ensuring Scrum remains effective and product quality is maintained continuously.

Definition of Done Creation: A shared commitment created by the entire Scrum Team, not individuals. When no organizational standard exists, the team collaboratively establishes it to ensure consistent quality. Unlike distractors suggesting single-person responsibility (Scrum Master, Developers, or Product Owner alone), DoD requires collective ownership and agreement.

Stakeholder Engagement in Sprints: The Product Owner actively collaborates with stakeholders throughout the Sprint, not just at ceremonies. Regular communication ensures alignment, gathers feedback, and validates assumptions. Avoiding stakeholder contact would isolate the team and prevent essential market responsiveness.

Scrum Master's Event Facilitation Role: The Scrum Master actively ensures all five Scrum events occur within their timeboxes and removes impediments blocking their effectiveness. Unlike a traditional project manager, the Scrum Master doesn't command but enables team productivity through servant leadership and process compliance.

Answer: As soon as identified, to achieve the Sprint Goal.
Explanation: The Sprint Backlog evolves during the Sprint as Developers discover what is needed to achieve the Sprint Goal.

Answer: The Product Owner (in collaboration with the organization).
Explanation: The release decision is a business decision. The PO decides based on value, transparency, and organizational context.

Answer: As soon as it is identified.
Explanation: Work is added to the Sprint Backlog as soon as it is identified by the Developers as necessary to achieve the Sprint Goal.

Sprint Planning Participation: Sprint Planning is a Scrum event where the entire Scrum Team collaborates to define the Sprint Goal and select Product Backlog items for the upcoming Sprint. The Product Owner presents priorities and clarifies requirements, Developers estimate effort and commit to deliverables, and the Scrum Master facilitates the event and removes impediments. This collective participation ensures shared understanding, realistic commitments, and alignment on value delivery. Excluding managers maintains team autonomy, while excluding stakeholders preserves the Scrum Team\'s focused decision-making authority during planning.

Answer: Optional (not prescribed).
Explanation: The Definition of Ready is not prescribed by Scrum. It may be useful in some contexts but can also create unnecessary dependencies.

Answer: True.
Explanation: The Sprint Backlog is freely detailed by the Developers to achieve the Sprint Goal — it can include technical tasks at any level of detail.

Answer: False.
Explanation: Every Increment must meet the Definition of Done and be potentially releasable, but the Product Owner decides whether to actually release it. Release is a business decision, not a Sprint obligation.

Answer: False.
Explanation: The Scrum Guide does not require complete acceptance criteria before Sprint Planning selection. Sufficient clarity is needed for the Development Team to understand and commit to the work, but full specification is unnecessary and often wasteful.

The Sprint Retrospective is specifically designed for the Scrum Team to inspect their processes and interactions, identifying what went well and what could be improved in future Sprints. This is the only answer that accurately describes the purpose of the Retrospective event. The other options describe different Scrum events or activities: demoing the Increment happens at the Sprint Review, the Product Owner manages backlog prioritization continuously (not during Retrospective), and the Scrum Master does not assign tasks—the Development Team self-organizes their work.

Answer: Turn Product Backlog items into an Increment of potentially releasable product functionality.
Explanation: The Development Team must be cross-functional — collectively possessing all skills needed to convert Product Backlog items into a Done, potentially releasable Increment each Sprint.

Réponse : Capturer et réviser régulièrement tous les travaux et coûts du projet. Cela permet d’identifier plus tôt les anomalies.

Approche adaptative et émergence des exigences : Dans le PMBOK 7e édition, l'approche adaptative (Agile) reconnaît que les exigences ne peuvent pas être entièrement définies à l'avance, notamment dans des environnements complexes et incertains. Les exigences émergent progressivement à travers des cycles itératifs courts (sprints, itérations) où le feedback continu des parties prenantes, utilisateurs finaux et clients façonne l'évolution du produit. Ce mécanisme permet d'adapter le projet aux changements de besoins réels plutôt que de suivre un plan rigide établi initialement. Contrairement à l'approche prédictive où toutes les exigences sont gelées en amont, l'approche adaptative embrace le changement comme source de valeur. La deuxième option (exigences figées avant le sprint) caractérise une approche prédictive/Waterfall. La troisième option (refus des modifications) contredit totalement la philosophie adaptative qui valorise la flexibilité. La quatrième option (réservée à l'IT) est fausse : l'approche adaptative s'applique à tout type de projet complexe, au-delà de l'informatique (marketing, construction, recherche, etc.).

Fast-tracking : technique de compression du calendrier qui chevauche les phases/tâches normalement séquentielles. Quand EV < PV indique un retard, fast-tracking compense en parallélisant les activités. Contrairement à l'ajustement budgétaire (inefficace sur le délai) ou à la création de marge (mesure préventive), seul le fast-tracking accélère réellement l'exécution.

Le domaine Planification dans le PMBOK 7e édition : Ce domaine de performance englobe l'ensemble des activités permettant de définir clairement les objectifs du projet et de décomposer le travail en éléments gérables via la structure de répartition du travail (SRT/WBS). La planification constitue le fondement stratégique du projet en établissant quoi faire et comment le faire, avant l'exécution. Elle inclut la définition du périmètre, l'identification des livrables, la création du calendrier préliminaire et l'estimation des ressources. Cette réponse est correcte car elle capture l'essence même de la planification : transformer les exigences du projet en plans d'action concrets et mesurables. À la différence de l'option sur la "construction de plans détaillés" qui décrit un niveau d'exécution plus avancé (nécessitant des données de base), la planification démarre par la définition d'objectifs SMART et la décomposition hiérarchique du périmètre. L'option sur la "coordination entre domaines" relève davantage de l'intégration transversale, tandis que l'"exécution des tâches quotidiennes" appartient au domaine Exécution du travail, non à la planification. En contexte Agile, cette planification est itérative et adapt

Approche de développement et cycle de vie : Ce domaine de performance du PMBOK 7e édition englobe la sélection et l'application du cycle de vie approprié au projet. Il couvre spécifiquement les trois approches fondamentales : prédictive (planification complète en amont, livrables définis à l'avance), hybride (combinaison de phases prédictives et adaptatives selon les risques et les incertitudes) et adaptative (itérations courtes, feedback continu, adaptation progressive). Le chef de projet doit évaluer les facteurs critiques du projet — complexité, stabilité des exigences, niveau d'innovation, contraintes organisationnelles — pour choisir l'approche optimale. Cette décision façonne l'ensemble de la gouvernance, de la planification et de l'exécution du projet. Les autres options sont insuffisantes : « Parties prenantes » concerne leur engagement, « Mesure » porte sur les indicateurs de performance, et « Incertitude » est un facteur d'analyse mais ne constitue pas le domaine décisionnel du cycle de vie lui-même.

Modèle de gestion du changement organisationnel de Kotter : Ce modèle en 8 étapes (dont 5 mentionnées ici) constitue le cadre de référence reconnu en gestion du changement. Créer l'urgence établit d'abord le besoin impérieux de changement, motivant les parties prenantes. Former la coalition rassemble les leaders et influenceurs clés pour soutenir l'initiative. Définir la vision articule clairement la direction et les bénéfices futurs du changement. Communiquer répète et renforce ce message auprès de tous les niveaux organisationnels, réduisant la résistance. Enfin, Ancrer le changement intègre les nouvelles pratiques dans la culture et les processus durables. Cet ordre logique est essentiel : sans urgence, il n'y a pas d'adhésion ; sans coalition, pas de leadership visible ; sans vision claire, la communication échoue ; sans ancrage, le changement régresse. Les autres séquences inversent cet ordre, créant des dysfonctionnements : commencer par communiquer sans urgence préalable manque de crédibilité ; ancrer avant de définir la vision crée de la confusion organisationnelle.

Backlog priorisé et contrôle des changements : Un backlog produit priorisé permet d'organiser les demandes par valeur métier, tandis qu'un processus formalisé de contrôle des changements évalue l'impact avant intégration. Les points de synchronisation réguliers (sprints, jalons) maintiennent l'alignement client-équipe. Contrairement aux distracteurs (rejeter les changements = perte de valeur ; prolonger automatiquement = pas de gouvernance ; supprimer les revues = perte de feedback), cette approche équilibre flexibilité et stabilité.

Gestion des contraintes du projet : Les trois contraintes (coûts, délais, qualité) sont interdépendantes. Réduire les coûts sans évaluer les impacts revient à ignorer cette réalité et à compromettre le projet. Le chef de projet doit analyser les conséquences sur le périmètre, la qualité et le calendrier, puis présenter au sponsor plusieurs scénarios réalistes (réduction du périmètre, révision du planning, optimisation des ressources). Cette approche collaborative assure une décision éclairée alignée sur les objectifs métier, contrairement aux réponses impulsives qui risquent l'échec du projet.

Processus décisionnel participatif selon le PMBOK 7e édition : Le cadre de gestion de projet moderne met en avant une approche collaborative et structurée pour la prise de décision. Le bon ordre des étapes repose sur une logique fondamentale : avant de décider, il faut d'abord clarifier le problème existant, puis explorer systématiquement les solutions possibles, et enfin créer un espace de dialogue collectif permettant à tous les stakeholders de contribuer à la décision finale. Cette séquence respecte les principes du leadership serviteur et de l'empowerment des équipes, au cœur de la philosophie PMBOK 7. L'étape d'identification du problème est cruciale car elle évite les décisions hâtives basées sur des symptômes plutôt que sur les causes réelles. L'analyse des options permet d'explorer les alternatives et leurs impacts potentiels. La discussion collective garantit l'adhésion et la légitimité de la décision auprès de l'équipe projet. Contrairement aux approches traditionnelles où le gestionnaire décidait seul, cette démarche participative favorise l'engagement, réduit les résistances au changement et améliore la qualité des décisions grâce aux perspectives diversifiées. Les autres options proposées inversent cet ordre logique : décider avant d'analyser serait contre-productif, tout comme analyser

Registre des parties prenantes dynamique : Document évolutif identifiant les acteurs du projet (besoins, intérêts, influence). Mis à jour continuellement car les parties prenantes changent : nouvelles entrées, départs, modifications d'attentes. Contrairement aux idées fausses, ce n'est pas un document statique de démarrage, ni une responsabilité exclusive du commanditaire, ni un substitut au plan de communication.

Cette question correspond à l\'objectif d\'apprentissage FL-4.4.2 (K2) - Expliquer le test exploratoire.

● a) Faux → Les tests basés sur des listes de contrôle nécessitent généralement que les exigences soient connues à l\'avance pour créer les listes appropriées.
● b) Faux → L\'estimation d\'erreur est utile pour anticiper les défauts basés sur l\'expérience, mais n\'est pas la meilleure approche dans cette situation où une couverture systématique est nécessaire rapidement.
● c) Correct → Les tests exploratoires sont idéaux quand le temps est limité et que les exigences ne sont pas complètement disponibles. Cette technique s\'appuie sur
les connaissances du domaine et les compétences analytiques du testeur pour explorer le système de manière structurée mais flexible.
● d) Faux → Les tests de branche sont une technique de test de structure \"boîte blanche\" qui nécessite l\'accès au code source, ce qui n\'est pas mentionné dans le scénario et ne résout pas le problème du manque d\'exigences.

Cette question correspond à l’objectif FL-5.4.1 (K2) – Résumer la manière dont la gestion de configuration soutient les tests.
● a) Faux → Ce n’est pas un rôle de la configuration mais de la stratégie de test.
● b) Correct → Le cœur de la gestion de configuration, c’est le suivi des versions, des liens entre livrables et des artefacts.
● c) Faux → Ce n’est ni toujours souhaitable, ni une responsabilité de la configuration.
● d) Faux → Les spécifications sont sous contrôle de gestion produit.

Cette question correspond à l’objectif d\'apprentissage FL-4.2.3 (K3) – Utiliser les tests par tables de décisions pour dériver les cas de test.

Les cas de tests proposés couvrent :
● CT1 (20 ans, abonnement actif, certificat valide) → couvre R1
● CT2 (17 ans, abonnement actif, certificat valide) → couvre R5
● CT3 (25 ans, abonnement inactif, certificat valide) → couvre R3
● CT4 (30 ans, abonnement actif, certificat expiré) → couvre R2
● CT5 (28 ans, abonnement inactif, certificat expiré) → couvre R4

● a) Faux → combinaison déjà couverte par CT5
● b) Faux →redondant avec CT1 (âge valide, tout valide)
● c) Correct → tous les attributs invalides → nouvelle combinaison (R8)
● d) Faux → car une nouvelle règle est testée en c)

Cette question correspond à l’objectif d’apprentissage FL-1.4.4 (K2) – Expliquer la valeur du maintien de la traçabilité.
● a) Faux → La traçabilité ne vise pas à optimiser la performance du logiciel, mais à assurer une couverture de test complète.
● b) Correct → Le maintien de la traçabilité permet d’établir un lien entre les exigences, les tests et les défauts détectés, garantissant ainsi qu’aucune exigence n’a été oubliée.
● c) Faux → Même avec la traçabilité, la documentation des tests reste nécessaire pour assurer un suivi efficace et une justification des validations effectuées.
● d) Faux → Les rapports de test restent nécessaires, la traçabilité vient en complément pour s’assurer que les tests couvrent bien les exigences.

Cette question correspond à l’objectif d\'apprentissage FL-2.1.1 (K2) – Expliquer l\'impact du cycle de vie du développement logiciel choisi sur le test.

● a) Correct → Dans le modèle en V, les tests sont planifiés dès le début, mais ils ne sont exécutés qu’après la phase de développement.
● b) Faux → En Agile, les tests sont intégrés tout au long des sprints et ne sont pas uniquement réalisés en fin de projet.
● c) Faux → Dans un modèle en cascade, les tests sont généralement exécutés après la phase de développement, pas à tout moment.
● d) Faux → Le cycle de vie influence fortement la manière dont les tests sont planifiés, exécutés et intégrés au projet.

Cette question correspond à l\'objectif d\'apprentissage FL-4.4.1 (K2) - Expliquer l\'estimation d\'erreurs.

● a) Faux → Cette réponse simplifie excessivement l\'utilisation de l\'estimation d\'erreurs en appliquant un \"seuil standard\" arbitraire de 80%. L\'estimation d\'erreurs ne se limite pas à un pourcentage fixe et ne peut pas, à elle seule, déterminer si les tests doivent être arrêtés. De plus, le calcul ignore les 40 défauts supplémentaires découverts, ce qui porterait le total à 390 défauts identifiés.
● b) Faux → Ce n’est pas une conclusion fiable. Le fait de trouver 40 défauts en deux semaines n\'indique pas nécessairement une inefficacité des tests. La détection des défauts n\'est généralement pas linéaire, et le taux peut varier selon les phases de test.
● c) Faux → L’estimation d’erreurs donne une fourchette (ici 410–480), et les 40 nouveaux défauts sont encore dans cette fourchette. Le modèle reste valide, il faut juste le réévaluer progressivement, pas le rejeter
● d) Correct → Cette réponse reflète avec précision la valeur et les limites de l\'estimation d\'erreurs. L\'estimation fournit une base quantitative pour évaluer la progression des tests, mais ne doit pas être utilisée comme seul critère de décision pour arrêter les tests. D\'autres facteurs qualitatifs comme la sévérité des défauts restants, la couverture des risques métier, et les contraintes de projet doivent également être pris en compte. Cette approche équilibrée est particulièrement importante pour un système critique comme un système d\'information sur la santé.

Cette question correspond à l\'objectif d\'apprentissage FL-2.1.3 (K1) – Rappeler des exemples d\'approches de développement piloté par les tests.
● a) Correct → Le TDD (Test-Driven Development) est une approche où les tests sont écrits avant l’implémentation du code.
● b) Faux → Le modèle en cascade ne suit pas un développement itératif avec des tests en amont.
● c) Faux → Le modèle en V inclut une phase de test bien définie, mais les tests ne sont pas écrits avant le développement du code.
● d) Faux → L’intégration continue permet d’exécuter régulièrement des tests, mais ce n’est pas une approche de développement piloté par les tests.

Cette question correspond à l’objectif FL-5.2.4 (K2) – Expliquer les mesures qui peuvent être prises en réponse à l\'analyse des risques produit.

La réponse correcte est a) 1B, 2D, 3A, 4C

● 1B) Correct →Risque de plantage dû à la charge → test de performance pour valider le comportement du système en situation de stress.

● 2D) Correct → Changement imposé par une source externe (nouvelle règle) → ce risque peut être transféré (ex. vers les juristes ou MOA).

● 3A) Correct → Une panne électrique peut être rare et incontrôlable → acceptation du risque si aucune action n’est envisageable en test.

4C) Correct → Mauvaise attribution de droits → peut être testé avecpartitionnement d’équivalence (groupes autorisés vs interdits).

Cette question correspond à l’objectif d’apprentissage FL-3.2.2 (K2) – Résumer les activités typiques du processus de revue.

La réponse correcte est a) 1C, 2A, 3D, 4B

● 1C) Correcte : La planification sert à organiser le processus, choisir le type de revue, les rôles, etc.
● 2A) Correcte : L’examen consiste à analyser le document individuellement.
● 3D) Correcte : La réunion permet à l’équipe de discuter des anomalies ensemble.
● 4B) Correcte : Le rework est le moment où l’auteur corrige ce qui a été signalé.

Cette question correspond à l’objectif d’apprentissage FL-2.1.6 (K2) – Utiliser les rétrospectives pour améliorer le processus.
● a) Faux → Identifier le problème sans agir n’apporte aucune amélioration.
● b) Faux → Déplacer le problème ailleurs ne résout rien.
● c) Correct → Impliquer les testeurs plus tôt dans le processus est une amélioration concrète issue d’une réflexion collective.
● d) Faux → Ajouter des ressources sans changer le processus ne garantit pas de
résolution.

Full backup: backs up all data in one operation, requiring no additional backup sets for complete restoration. This eliminates restore delays from reconstructing incremental or differential changes. Incremental and differential backups require multiple restore steps; snapshots capture system state but may not include all granular data changes.

Acceptable Use Policy (AUP): Establishes guidelines governing how employees must use company resources, including computers, networks, and internet access. It defines permitted and prohibited activities to protect organizational assets and maintain security. Unlike Privacy Policies (employee data handling), Security Policies (technical controls), or Confidentiality Policies (information protection), AUP directly addresses user behavior and resource utilization expectations.

Service Level Agreement (SLA): A contractual document specifying measurable service performance metrics, including uptime percentages (99.99%), response times, and remedies for failures. It directly addresses the client's availability demands, unlike MOA (methods), SOW (scope/deliverables), or MOU (intent/understanding).

Tabletop Exercise: A structured discussion-based simulation where team members walk through incident response procedures without actually executing them. This cost-effective method improves incident response by identifying gaps, clarifying roles, and testing communication plans. Unlike Failover (system switching) and Recovery (restoration), Tabletop focuses on planning and preparedness rather than technical implementation.

User provisioning script: An automated script that creates user accounts and assigns correct permissions/access rights simultaneously during account setup. This eliminates manual errors by enforcing standardized configurations. Unlike ticketing workflows (track requests), guard rail scripts (prevent misconfigurations), or escalation scripts (route approvals), provisioning scripts directly automate the entire account creation process end-to-end.

Recurring risk assessments: evaluations performed at regular, predictable intervals (annually, quarterly, etc.). An annual requirement means the assessment happens every year on a scheduled basis. This differs from ad hoc assessments (unscheduled, triggered by events), continuous assessments (ongoing monitoring), and one-time assessments (performed once only).

Tailgating prevention: A security guard actively monitors and verifies individuals entering secure areas, physically preventing unauthorized persons from following legitimate employees through access points. Unlike passive controls (keycards, CCTV, logs), guards provide real-time intervention and human judgment to detect and stop unauthorized entry attempts.

Answer: Password spraying.
Explanation: Password spraying attacks try a few common passwords against many accounts to avoid account lockout thresholds. The logs would show multiple accounts being tried with the same password(s) rather than many attempts against one account.

Answer: Application allow list.
Explanation: An application allowlist (whitelist) prevents unknown or unauthorized programs from executing by only permitting explicitly approved applications. This is highly effective against malware that is not yet in antivirus signatures.

Mandatory Access Control (MAC): A security model where the system administrator defines access rules based on security labels (classifications) assigned to both users and data. Access decisions are enforced by the system, not the data owner. Unlike DAC (owner-controlled) or RBAC (role-based permissions), MAC uses fixed classification levels making it ideal for high-security environments requiring strict control.

Réponse : Prédictive. Explication : Le graphique du quatrième trimestre montre une prévision — projeter les valeurs futures en fonction des tendances historiques. L'analyse prédictive utilise des modèles statistiques et ML pour prévoir les résultats futurs, ce qui la distingue de l'analyse descriptive (ce qui s'est passé) et diagnostique (pourquoi cela s'est passé).

Un entrepôt de données (Data Warehouse) est un référentiel centralisé de données historiques optimisé pour les requêtes analytiques et le reporting. Différences avec une base opérationnelle : (1) Orientation : DW = sujets métier (ventes, clients) vs DB = processus (commandes, factures) ; (2) Temporalité : DW = données historiques sur plusieurs années vs DB = données courantes ; (3) Volumétrie : DW = téraoctets/pétaoctets vs DB = gigaoctets ; (4) Optimisation : DW = lectures complexes (OLAP) vs DB = lectures/écritures simples (OLTP). Azure Synapse SQL Pool est le DW natif d'Azure.

Atomicité : propriété garantissant qu'une transaction s'exécute entièrement ou est totalement annulée en cas d'erreur. Si une étape échoue, toutes les modifications sont révoquées, préservant l'intégrité des données. La cohérence valide les règles métier, l'isolation sépare les transactions concurrentes, et la durabilité persiste les données validées.

Durabilité (D) : propriété garantissant que toute transaction validée est écrite de façon permanente en base de données et survit aux pannes matérielles, crashes système ou coupures électriques. Contrairement à l'atomicité (tout ou rien), l'isolation (pas d'interférence) ou la cohérence (validité des données), la durabilité protège spécifiquement les données après leur validation définitive.

Réponse : Atomicité. Explication : L'atomicité est le « A » dans les propriétés ACID des bases de données transactionnelles. Elle garantit qu'une transaction est traitée comme une unité indivisible — soit toutes les opérations réussissent (commit), soit toutes échouent (rollback), sans exécution partielle.

Réponse correcte : SELECT est la seule instruction SQL utilisée pour récupérer et afficher les données d'une table. C'est l'instruction de lecture fondamentale en SQL. Pourquoi les autres réponses sont incorrectes : • INSERT ajoute de nouvelles données à une table. • UPDATE modifie des données existantes dans une table. • DELETE supprime des données d'une table. Aucune de ces trois commandes n'est destinée à la consultation ou la récupération des données.

APIs natives d'Azure Cosmos DB : Cosmos DB supporte nativement 5 APIs : SQL Core, MongoDB, Cassandra, Gremlin et Table. MySQL n'en fait pas partie. Bien que Azure propose un service MySQL séparé (Azure Database for MySQL), Cosmos DB ne l'implémente pas. Les trois autres options (MongoDB, Cassandra, Gremlin) sont toutes supportées nativement par Cosmos DB pour différents modèles de données.

Réponse : sqlcmd. Explication : sqlcmd est l'utilitaire de ligne de commande pour se connecter et interroger SQL Server et les bases de données Azure SQL. Il supporte l'exécution de requêtes T-SQL, de scripts et de procédures stockées directement depuis la ligne de commande.

Azure Queue Storage : service de messagerie asynchrone permettant le découplage entre producteurs et consommateurs de messages. Idéal pour les traitements différés et scalables. Les images (Blob Storage), données relationnelles (SQL Database) et graphes (Cosmos DB) nécessitent d'autres services spécialisés.

Azure Data Factory : service cloud d'orchestration ETL/ELT qui automatise le déplacement et la transformation de données entre sources et destinations. Il permet de créer des pipelines réutilisables avec planification et monitoring. Contrairement à Blob Storage (stockage), Monitor (surveillance) ou Power BI (visualisation), Data Factory est le seul outil d'orchestration complète des flux de données.

Ordre correct :

1. Créer le BP avec les données générales (nom, adresse)
2. Affecter le rôle fournisseur logistique (FLVN01)
3. Compléter la vue Comptabilité fournisseur (rôle FLVN00/FI)
4. Renseigner compte de réconciliation et méthode de paiement
5. Sauvegarder et valider les données bancaires (IBAN)

Ordre correct :

1. Créer dans le plan de comptes
2. Étendre au code société
3. Définir OI/Tax Category
4. Affecter Field Status Group
5. Sauvegarder

La création d'un compte G/L dans S/4HANA nécessite d'abord de le définir au niveau du plan de comptes (données communes), puis de l'étendre au niveau du code société avec ses paramètres spécifiques.

Réponse : La condition de paiement affectée au BP client (vue société).
Explication : Elle définit les pourcentages et délais d’escompte ainsi que la date de base.

Réponse : Les éléments primaires et secondaires sont des comptes G/L
Dans S/4HANA, la frontière entre FI et CO a été supprimée. Les éléments de coût (primaires et secondaires) sont désormais des comptes G/L dans le plan de comptes. Toutes les écritures CO sont directement reflétées dans ACDOCA, assurant la réconciliation en temps réel.

Réponse : Vrai
Explication : La procédure contient les niveaux, intervalles, textes et frais ; elle est effective après affectation au BP.

Réponse : On‑premise ; Cloud Private Edition ; Cloud Public (multi‑tenant).
Explication : S/4HANA existe en plusieurs modes de déploiement officiels : on‑premise, cloud public et cloud private edition. Les offres non‑SAP ou appliances IoT ne constituent pas des déploiements S/4HANA.

Réponse : PMW s’appuie sur des formats de support de paiement ; DMEE permet de modéliser la structure du fichier ; PMW peut générer des fichiers SEPA XML selon le format cible.
Explication : PMW/DMEE forment le cadre de génération de supports bancaires pour F110.

Ordre correct clôture AA :

1. Vérifier les acquisitions et cessions de la période
2. Traiter les AUC et les règlements d'ordres
3. Exécuter l'amortissement (AFAB)
4. Contrôler l'Asset History Sheet (AS02/S_ALR)
5. Justifier les écarts et effectuer les corrections si nécessaire

Réponse : Impute APC en temps réel et amortissement périodiquement. Explication : Dans la gestion des devises parallèles, la zone d'amortissement pour les devises parallèles (par ex., devise du groupe) impute les valeurs d'immobilisation en cours (APC) en temps réel pour la précision immédiate du bilan, tandis que l'amortissement est calculé et imputé périodiquement lors de l'exécution de l'amortissement.

Réponse : Le solde résiduel clôt l'original et crée un nouvel open item
En AR/AP SAP :

• Paiement partiel : conserve le document original ouvert, crée un paiement partiel séparé. Les deux restent ouverts.
• Solde résiduel : clôt le document original et crée un nouvel open item pour la différence. Une seule écriture ouverte subsiste.

La Prise de la Bastille (14 juillet 1789) : cet événement symbolise le début de la Révolution française. La Bastille, forteresse-prison représentant l'absolutisme royal, est stormiée par le peuple parisien. Le 5 mai 1789 marque l'ouverture des États généraux (réunion consultative), et le 4 août 1789 correspond à l'abolition des privilèges féodaux. C'est le 14 juillet qui reste la date fondatrice, d'où son statut de fête nationale française.

Organisation territoriale de la France : La France métropolitaine est divisée en 13 régions depuis la réforme de 2016, qui a fusionné certaines régions pour améliorer l'efficacité administrative. Les distracteurs (12, 18, 22) correspondent à d'anciens découpages ou à des comptages incluant les collectivités d'outre-mer.

Projet de vie en France : il s'agit de démontrer une intention sincère de s'établir durablement et de participer activement à la vie économique et sociale française. Contrairement aux idées fausses, cela ne signifie pas une rupture avec le pays d'origine, ni l'obligation d'acheter un bien immobilier. C'est l'engagement à contribuer à la société française qui est évalué.

Fondateur de la Ve République : Charles de Gaulle, général et homme d'État, fonde la Ve République en 1958 lors d'une grave crise politique. Il en devient le premier président jusqu'en 1969. Chirac et Mitterrand, bien que présidents ultérieurs, arrivent après l'établissement de ce régime constitutionnel qui renforce les pouvoirs exécutifs.

Le rôle du maire : élu local, il représente l'État dans sa commune et gère ses affaires (état civil, urbanisme, écoles). Contrairement au préfet nommé par l'État, le maire est élu par les citoyens et n'a pas autorité sur les départements.

La Marseillaise est l'hymne national de la France depuis 1795 (officialisé par la Constitution de 1958). Composée par Rouget de Lisle à Strasbourg en 1792 sous le titre « Chant de guerre pour l'armée du Rhin », elle fut chantée par les volontaires marseillais montant à Paris, d'où son nom. Le Chant du départ est un autre chant patriotique révolutionnaire. La Carmagnole est une chanson populaire de la Révolution française.

Le 14 juillet 1789 marque le début de la Révolution française avec la prise de la Bastille, forteresse royale parisienne symbole de l'arbitraire royal. Ce jour est depuis 1880 la fête nationale française. La Révolution avait été précédée par la réunion des États généraux (5 mai 1789) et la proclamation de l'Assemblée nationale (17 juin 1789). La Déclaration des droits de l'homme et du citoyen fut adoptée le 26 août 1789. La Révolution aboutit à l'abolition de la monarchie et à la proclamation de la République.

Le 14 juillet 1789 : date fondatrice de la Révolution française marquée par la prise de la Bastille, forteresse-prison symbole du pouvoir absolu. Cet événement incarne la liberté retrouvée et l'abolition de l'arbitraire royal. Contrairement à la fête du Travail (1er mai) ou à la fin progressive de la monarchie (1870), le 14 juillet représente le moment décisif du passage à la République.

Le Conseil constitutionnel veille à la conformité des lois à la Constitution française. Il est composé de 9 membres nommés pour 9 ans (3 par le Président de la République, 3 par le Président de l'Assemblée nationale, 3 par le Président du Sénat). Il contrôle aussi la régularité des élections présidentielles et législatives. La Cour des comptes contrôle les finances publiques. Le Conseil d'État est la plus haute juridiction administrative.

Le Président de la République est le chef de l'État en France. Il est élu au suffrage universel direct pour un mandat de 5 ans (quinquennat). Il incarne l'unité nationale, garantit les institutions, nomme le Premier ministre, préside le Conseil des ministres et est chef des armées. Le Premier ministre est le chef du gouvernement (rôle distinct). Le Président du Sénat assure l'intérim si la présidence devient vacante.

Réponse : 1 et 4.
Explication : La résolution d\'un problème implique l\'amélioration continue (identifier et éliminer la cause) et le contrôle des changements (implémenter la correction de manière contrôlée et sécurisée).

Réponse : Une autorité de changement doit être assignée pour chaque type et chaque modèle de changement.
Explication : Chaque type et modèle de changement doit avoir une autorité de changement désignée, garantissant une gouvernance claire et des décisions prises par les personnes appropriées selon le risque et l\'impact.

Réponse : Maximiser le nombre de changements informatiques réussis en vérifiant que les risques sont correctement évalués.
Explication : Maximiser les changements informatiques réussis en évaluant correctement les risques est un objectif central de la gestion des services, que le centre de services contribue à atteindre en coordonnant les demandes.

Réponse : En choisissant quelques méthodes clés pour les types d\'améliorations gérées par l\'organisation.
Explication : Plutôt que d\'adopter toutes les méthodes existantes, une organisation doit sélectionner quelques approches adaptées aux types d\'améliorations qu\'elle gère, pour rester cohérente et efficace.

Réponse : Le centre de services.
Explication : Le centre de services est le point d\'entrée unique pour les utilisateurs. Il inclut la classification et la propriété de toutes les questions et demandes, qu\'il redirige vers les équipes appropriées.

Réponse : L\'amélioration continue.
Explication : L\'amélioration continue est la responsabilité de chacun dans l\'organisation, pas seulement d\'une équipe dédiée. Chaque employé doit contribuer à l\'identification et à la mise en oeuvre des améliorations.

Réponse : Le problème conserve l\'état d\'erreur connue.
Explication : Lorsqu\'une solution de contournement devient permanente car le problème ne peut être résolu définitivement, le problème reste dans l\'état \'erreur connue\' : documenté mais non résolu.

Réponse : Il peut fournir un appariement automatisé des incidents aux problèmes ou aux erreurs connues.
Explication : Les outils ITSM peuvent automatiquement associer de nouveaux incidents aux problèmes ou erreurs connus, accélérant ainsi le diagnostic et permettant d\'appliquer des solutions de contournement documentées.

Réponse : Une demande d\'un utilisateur concernant quelque chose qui fait partie intégrante de la fourniture normale des services.
Explication : La gestion des demandes de services prend en charge les demandes standard faisant partie de la fourniture normale des services, comme une réinitialisation de mot de passe ou la commande d\'un équipement.

Réponse : Résultats souhaités par une partie prenante.
Explication : Les résultats (outcomes) sont les effets souhaités par une partie prenante. Ils diffèrent des livrables (outputs) : le résultat est la valeur créée pour le consommateur, pas le produit livré.

• Copilot Chat dans Microsoft Teams peut analyser les conversations et générer des tâches.

• Limitation actuelle : il peut créer des tâches dans Microsoft Planner, mais ne prend pas encore en charge la création directe de tâches dans Microsoft To Do.

• Cela signifie que si vous demandez à Copilot de convertir des éléments d’action en To Do, la commande ne fonctionnera pas directement.

• Dans un environnement hybride, vous continuez à utiliser votre infrastructure locale (CapEx) pour certains services ou serveurs AD.

• En parallèle, vous payez des abonnements cloud Azure AD Premium et éventuellement des services de synchronisation de données, ce qui constitue des dépenses d’exploitation (OpEx).

• Les autres options sont incorrectes :

  • A : Faux, le CapEx sur site reste nécessaire.

  • B : Faux, ce n’est pas un double paiement intégral.

  • C : Faux, l’utilisation d’Azure AD introduit bien des coûts OpEx.

• Proactive Remediations permet de :

  • Détecter les appareils affectés par un problème spécifique (via des scripts de détection)

  • Appliquer automatiquement des scripts de correction ou empêcher l’installation d’un pilote problématique

• Les autres options ne bloquent pas activement les mises à jour problématiques :

  • A : Startup Performance report analyse les temps de démarrage, pas les pilotes

  • C : Health Metrics fournit des scores de santé des appareils mais ne permet pas de remediation proactive

  • D : Recommended Actions exporte des suggestions, mais ne bloque rien automatiquement

• La section Token Usage :

  • Montre le nombre total de tokens AI utilisés par votre organisation sur une période donnée.

  • Permet de suivre l’utilisation et estimer les coûts liés à l’usage de Copilot.

• Les autres sections ne fournissent pas cette information :

  • User Engagement → suit l’activité des utilisateurs avec Copilot.

  • Prompt Library → contient les prompts enregistrés et réutilisables.

  • Security Insights → fournit des informations de sécurité et de conformité.

    🎯 À retenir pour l’examen MS-900 :

    • Token Usage = suivi de la consommation de tokens et des coûts Copilot

    • Les autres sections se concentrent sur activité utilisateur, sécurité ou prompts.

• Dans Teams, la messagerie vocale est liée à la boîte aux lettres Exchange Online.

• Même sans licence Phone System, Teams peut délivrer les messages vocaux dans la boîte aux lettres Exchange Online.

• Les autres options :

  • B : Teams Premium ajoute des fonctionnalités avancées, pas nécessaire pour la messagerie vocale basique.

  • C : Phone System est requis uniquement pour passer/recevoir des appels via le PSTN.

  • D : Power Automate ne gère pas la messagerie vocale Teams nativement.

Insider Risk Management est une solution avancée de Microsoft Purview permettant de :

• Détecter les risques liés aux utilisateurs internes (fuites de données, comportements à risque, exfiltration d’informations sensibles).

• Utiliser l’intelligence artificielle et des modèles prédéfinis pour analyser les activités suspectes.

• Aider les organisations à répondre aux exigences réglementaires et de conformité.

👉 Ces fonctionnalités avancées font partie des capacités de Microsoft 365 E5 Compliance (ou incluses dans les suites Microsoft 365 E5 complètes).

Les licences comme E3, Business Premium ou F3 ne comprennent pas les fonctionnalités complètes d’Insider Risk Management.

• Pour pouvoir réclamer un crédit SLA, il est essentiel de documenter immédiatement toute interruption et de la comparer aux seuils définis dans le SLA.

• Sans preuves précises et horodatées, Microsoft peut rejeter la demande, même si le service a été interrompu.

• Les autres options ne résolvent pas le problème de suivi et documentation :

  • Automatiser les crédits (B) n’est pas possible.

  • Migrer vers un autre tenant (C) est excessif et non nécessaire.

  • Configurer des alertes (D) aide à la notification mais ne remplace pas la documentation des interruptions.

• Office 365 Message Encryption (OME) permet de :

  • Chiffrer automatiquement les emails selon des politiques définies

  • Protéger le contenu même si le destinataire n’utilise pas Office 365

• Les autres options ne répondent pas entièrement au besoin :

  • A : S/MIME nécessite que l’expéditeur configure manuellement le certificat et le chiffrement.

  • B : TLS sécurise la transmission, mais ne chiffre pas le contenu de manière persistante.

  • C : IRM contrôle l’utilisation et l’accès aux messages mais ne déclenche pas le chiffrement automatique basé sur des règles.

• Windows 365 Cloud PC fournit des PC persistants dans le cloud :

  • Chaque utilisateur obtient son propre environnement desktop

  • Les applications et paramètres sont conservés entre les sessions

  • Toujours disponible et indépendant des autres utilisateurs

• Les autres options ne répondent pas exactement au besoin :

  • A : Pooled session hosts partagent les sessions, donc l’environnement n’est pas persistant.

  • C : Single-session desktop dans AVD peut être persistant, mais nécessite plus de gestion et de configuration.

  • D : Azure App Service Web App héberge des applications web, pas un desktop complet persistant.

• Microsoft Secure Score se trouve dans le Microsoft 365 security center.

• Il permet de :

  • Voir le score actuel de sécurité de l’organisation

  • Accéder à des recommandations et actions pour améliorer la sécurité

• Les autres options ne donnent pas l’accès complet à Secure Score :

  • A : Azure AD Security montre certains paramètres, mais pas le score complet Microsoft 365.

  • C : Microsoft 365 admin center > Reports ne fournit pas le Secure Score détaillé.

  • D : Defender for Endpoint montre le posture de sécurité endpoints, pas le score global Microsoft 365.

• Microsoft Entra Internet Access (EIA) : solution SSE qui fournit :

  • Filtrage d’accès Internet

  • Protection contre les applications non approuvées

  • Application des politiques d’usage acceptable

• Intégration avec Microsoft Defender for Cloud Apps :

  • Permet de détecter et contrôler l’usage des applications SaaS

  • Active les politiques Conditional Access pour :

    • Bloquer les connexions à des applications non sanctionnées

    • Appliquer des restrictions ou des alertes pour les applications approuvées

  • Assure visibilité, contrôle et gouvernance centralisée

• C’est la meilleure pratique Microsoft SSE pour sécuriser l’accès SaaS et Internet.

• Mailbox Intelligence : analyse le comportement des utilisateurs pour identifier des emails suspects envoyés ou reçus

• Spoof Intelligence : détecte les tentatives d’usurpation d’identité (spoofing), notamment des domaines ou adresses similaires aux comptes internes

• Ensemble, ils permettent à Defender for Office 365 de :

  • Bloquer ou marquer les emails imitant des comptes internes ou exécutifs

  • Réduire les risques d’account takeover via phishing ciblé

• MCAS / Defender for Cloud Apps :

  • Fournit visibilité complète sur les applications SaaS connectées à Entra ID

  • Identifie les applications non approuvées ou risquées

  • Permet de :

    • Appliquer des politiques d’accès

    • Restreindre ou contrôler l’usage des applications

    • Surveiller les activités et détecter les risques liés aux utilisateurs et aux sessions

• C’est la solution Microsoft recommandée pour le Shadow IT et la gouvernance SaaS.

Microsoft Defender for Cloud – multi-cloud capabilities :

• Permet de centraliser la gestion de la posture de sécurité sur plusieurs clouds

• Offre assessments, recommandations et alertes de sécurité pour Azure, AWS et GCP

• Les connecteurs multi-cloud :

  • Onboard facilement les comptes AWS/GCP

  • Surveillent les configurations, vulnérabilités et risques

  • Fournissent des recommandations cohérentes à travers les environnements

Microsoft Sentinel permet aux équipes SOC de :

• Collecter et centraliser les logs depuis Azure AD, endpoints, applications cloud, et plus

• Exécuter des requêtes de threat hunting personnalisées en Kusto Query Language (KQL)

• Identifier APT, comportements anormaux et attaques avancées avant qu’elles ne deviennent incidents critiques

Pourquoi c’est le bon choix :

• Le besoin est proactif (threat hunting), pas simplement la surveillance ou la gouvernance

• KQL dans Sentinel est l’outil natif pour rechercher, corréler et analyser les événements à grande échelle

• Purview Data Loss Prevention (DLP) permet :

  • De définir des politiques de protection des données basées sur le type de données sensibles (PII, informations financières, etc.)

  • D’utiliser des modèles réglementaires prédéfinis (Regulatory Templates) pour se conformer aux exigences locales :

    • GDPR → UE

    • CCPA → Californie

    • HIPAA → santé aux États-Unis, etc.

• Ces templates permettent de standardiser la classification et la protection des données selon la juridiction, tout en appliquant des règles de prévention de la perte de données adaptées à chaque région.

• Zero Trust Remote Access exige :

  • Aucun port entrant exposé sur Internet

  • Accès sécurisé aux applications internes uniquement après authentification et autorisation contextuelles

• Microsoft Entra Private Access :

  • Fournit un accès Zero Trust aux applications internes

  • Les employés se connectent via une passerelle sécurisée, sans exposer de ports publics

  • Contrôle l’accès en fonction de l’identité, du rôle et du contexte

• C’est la solution native Microsoft pour répondre à cette exigence Zero Trust.

• Customer-Managed Keys (CMK) pour Cosmos DB :

  • Permet de chiffrer les données au repos en utilisant vos propres clés stockées dans Azure Key Vault

  • Offre contrôle total sur la gestion et la rotation des clés

  • Supporte les exigences de conformité et réglementaires (HIPAA, GDPR, etc.)

• Différence avec les autres options :

A. Client-side encryption

• Chiffrement côté client → les données sont chiffrées avant envoi à Cosmos DB

• Plus complexe à gérer, mais pas nécessaire si vous voulez CMK au repos côté service

C. Transparent Data Encryption (TDE) avec service-managed keys

• Chiffrement automatique par le service

• Vous ne contrôlez pas les clés → ne répond pas à l’exigence de CMK

D. Column-level Always Encrypted

• Disponible pour SQL Server / Azure SQL Database

• Pas applicable à Cosmos DB

• Microsoft recommande pour les workloads AKS exposés aux APIs :

  • Multi-layer defense : défense en profondeur (defense-in-depth)

  • Azure Firewall pour contrôler le trafic réseau entrant/sortant

  • DDoS Protection Standard pour se protéger contre les attaques volumétriques sur le réseau

  • Application Gateway WAF pour inspecter et protéger les APIs contre :

    • SQL injection

    • Cross-site scripting

    • Autres attaques applicatives

• Cette approche est la baseline de sécurité recommandée pour AKS exposé à Internet.

Les Configuration Profiles dans Intune permettent :

• De configurer précisément FileVault

• De définir les exigences de mot de passe

• De configurer le pare-feu macOS

• D’appliquer des paramètres avancés de sécurité

• De cibler des groupes spécifiques (ex : développeurs)

Les profils de configuration sont le mécanisme direct permettant d’imposer ces paramètres.

Un seul compte Stackdriver lié à tous les projets est la solution recommandée pour consolider la surveillance multi-projets dans un même tableau de bord. C'est l'approche officielle de Google pour Stackdriver Monitoring.

La méthode recommandée pour l'authentification on-premises est d'utiliser gcloud pour créer un fichier de clé JSON pour le compte de service. Ce fichier est ensuite utilisé via la variable d'environnement GOOGLE_APPLICATION_CREDENTIALS pour l'authentification depuis l'application.

Un node pool GPU avec autoscaling (minimum 1) permet d'avoir des noeuds GPU disponibles quand nécessaire tout en les minimisant quand l'équipe ne travaille pas. Les VMs préemptibles avec GPUs ne conviennent pas pour des jobs non redémarrables.

Dans GCP, les règles de pare-feu s'appliquent par ordre de priorité (lower = higher priority). Une règle deny-all basse priorité (65534) bloque tout par défaut, et une règle allow haute priorité (1000) ouvre uniquement les ports nécessaires — principe du moindre accès.

Un SSD local offre un débit de lecture jusqu'à 3 Go/s contre ~240 Mo/s pour un SSD persistant zonal de 350 Go — soit 12x plus rapide. Augmenter la taille du disque persistant améliore le débit mais reste limité. Ajouter des vCPU n'impacte pas les I/O disque. Le SSD régional est plus cher et n'apporte pas plus de débit.

Pour créer un nouveau compte de facturation ET le lier à un projet, il faut être Project Billing Manager sur le projet. Cette option crée bien un nouveau compte de facturation (comme demandé) et le lie au projet existant.

La méthode la plus simple est d'installer un client RDP, définir le mot de passe Windows dans la console GCP, puis se connecter. La console GCP crée automatiquement la règle de pare-feu pour le port 3389, donc aucune vérification manuelle n'est nécessaire.

La bonne pratique est de créer un rôle personnalisé (principe du moindre privilège), l'attribuer à un groupe (pas à des individus). Cela facilite la gestion et empêche précisément les suppressions accidentelles.

Deployment Manager est l'outil GCP d'Infrastructure as Code qui permet de définir des ressources GCP dans des fichiers de configuration YAML/JSON/Python et de les provisionner dynamiquement. C'est la solution recommandée par Google pour ce cas d'usage.

Un export Stackdriver vers BigQuery avec expiration de 60 jours permet d'analyser les journaux de tous les projets avec SQL standard. BigQuery offre des capacités d'analyse rapide et interactive. Cloud Storage ne permet pas de requêtes SQL directes.

Correct answers: Options 0 and 1. The Scrum Master should first observe whether the issue surfaces in the Retrospective, creating a safe space for discussion (option 0), and facilitate full-team conflict resolution (option 1). Both approaches respect the team's autonomy and psychology. Option 2 (deference to seniority) stifles healthy debate. Option 4 (team building without addressing substance) ignores the real issue. Private coaching (option 3) alone skips collective learning.

Options B and C are correct. Unexpected technical debt encountered mid-Sprint reduces velocity (B), and teams can artificially inflate velocity by incurring debt instead of fully completing work (C). Option A incorrectly separates them—technical debt directly impacts capacity for new features. Option D is false: technical debt still consumes capacity and masks true velocity trends.

All four options (0, 1, 2, 3) are correct. The Scrum Guide identifies that Scrum helps teams address: complexity and unpredictability of requirements (A), technology stability and complexity (B), team skills and relationships (C), and work timescale (D). Options E and F are not Scrum-addressed risks—governance structures and HR incentives fall outside Scrum's scope.

Correct: Options 2, 3, and 5 - Definition of Done guides forecasting, provides real-time guidance during development, and creates transparency at the Sprint Review regarding what 'done' truly means. Option 1 treats it as a progress tracker (incorrect usage); Option 4 contradicts the goal of completing work each Sprint; Option 6 confuses Definition of Done with Sprint length.

A self-organizing Development Team collaboratively decides how to accomplish their work and owns the creation of their Sprint Backlog reflecting the Definition of Done. Options C and E are correct: Option C shows collaborative re-planning throughout the Sprint (self-organization), and Option E demonstrates the team creating their own Sprint Backlog with DoD compliance. Option A reflects role-based silos (not self-organizing), Option B involves management optimization (external direction), and Option D introduces external people (undermining autonomy).

A trendline on a release burndown chart projects when work will be completed based on the current rate of progress, assuming the Product Backlog and team capacity remain constant. Option 2 is correct because it reflects this conditional projection. Option 1 is incorrect—burndowns don't trigger new product backlogs. Option 3 oversimplifies by ignoring the conditional nature. Option 4 is unrelated to burndown mechanics.

Correct answers: Options 1 and 4. The Scrum Guide states each product needs a Product Owner who is accountable for maximizing value. Option 1 is correct because one PO per product with ability to delegate work aligns with Scrum's accountability model. Option 4 is correct because a single PO can delegate responsibilities while remaining accountable—this is how the role scales. Option 2 incorrectly bases PO count on team utilization, and Option 3 falsely prohibits delegation, which limits scalability.

Correct answers: Options 2 and 3. Option 2 correctly redirects focus to value delivery—the Product Owner's role—maintaining Scrum's empirical control. Option 3 correctly demonstrates servant leadership by de-escalating conflict and creating space for rational discussion. Option 1 defends budgets outside the Scrum Master's scope, Option 4 abdicates responsibility, and Option 5 uses busy-work, which wastes inspection and adaptation opportunities.

True. The Scrum Guide specifies only these three roles and no other preconditions to start the first Sprint. While a Product Backlog is essential, it only requires enough items for the first Sprint. Everything else (tools, documentation, infrastructure) can be determined by the Development Team.

Correct: Options 1 and 2 - Scrum enables empirical budgeting by delivering working increments each Sprint, allowing stakeholders to measure value against investment and adjust funding based on actual outcomes. Option 2 shows how releases span multiple Sprints with continuous value delivery. Options 3 and 4 are incorrect because operational costs exist and budgets are often necessary—Scrum just changes how they're managed.

Réponse : L\'approche de test qui sera appliquée aux tests d\'intégration système..
Explication : C est correct car le plan directeur de test est un document au niveau du programme qui spécifie l\'approche de test de haut niveau pour les principaux niveaux de test, y compris les tests d\'intégration système. Le plan directeur communique la portée, les objectifs, l\'approche générale de test aux parties prenantes, tandis que les détails d\'exécution relèvent des plans subordonnés.

Réponse : Pourcentage des exigences métier exercées.
Explication : La mesure la plus appropriée de couverture de test pour un rapport de progression métier hebdomadaire est le pourcentage des exigences métier exercées. Cette métrique s\'aligne directement avec les priorités métier : valider que le logiciel remplit son objectif et fournit une valeur tangible aux parties prenantes.

Réponse : En fournissant un atelier sur les techniques de conception de tests.
Explication : Un atelier sur les techniques de conception de tests remédie directement à la faible efficacité de détection des défauts en dotant les testeurs de méthodes systématiques et répétables pour dériver des cas de test de meilleure qualité. Les techniques pratiques (partitionnement des équivalences, analyse des valeurs limites, tables de décision, transitions d\'état, techniques d\'appairage) améliorent la couverture et augmentent la probabilité de détection des défauts.

Réponse : Qualité d\'entrée inconnue due au développement par un tiers.
Explication : D est correct car la qualité d\'entrée inconnue provenant du développement par un tiers crée le plus grand risque d\'estimateur : variance élevée des taux de défauts, comportements d\'intégration imprévisibles et efforts de vérification imprévisibles qui gonflent directement les estimations de temps et ressources. Les hypothèses quantifiées deviennent invalides avec les entrées tierces.

Réponse : Chaque niveau de test a des objectifs de test spécifiques à ce niveau..
Explication : C est correct car la définition d\'objectifs de test pour chaque niveau de test garantit que les tests sont intentionnels, mesurables et traçables aux risques correspondants. Le bon test dans tout modèle de cycle de vie exige que les activités de test soient planifiées et exécutées avec des objectifs spécifiques au niveau.

Réponse : Organiser une réunion avec la direction générale pour qu\'elle aborde l\'importance d\'une bonne qualité de test pour ce projet.
Explication : D est correct car l\'appui visible de la direction générale élève la priorité organisationnelle des tests, fournit une reconnaissance et supprime les obstacles systémiques. Cela augmente la signification de la tâche et aligne l\'effort individuel avec les objectifs organisationnels, motivant durablement l\'équipe.

Réponse : TMMi ne peut être utilisé qu\'avec le modèle V traditionnel, tandis que TPI peut être utilisé avec tous les types de cycles de vie logiciels..
Explication : D est incorrect car TMMi n\'est pas limité au modèle V ; il est indépendant du cycle de vie et applicable aux modèles V, itératifs et agiles. TPI l\'est aussi, contredisant l\'affirmation d\'une dichotomie entre les deux approches.

Réponse : Inspections.
Explication : Les inspections (B) sont les moins appropriées car c\'est une technique d\'examen statique, axée sur les défauts, destinée à trouver des non-conformités dans les produits de travail plutôt qu\'à identifier proactivement les risques projet et produit. Les inspections utilisent des listes de contrôle et une approche orientée détection de défauts, tandis que l\'identification des risques nécessite une exploration prospective des incertitudes futures.

Réponse : Critère A = NON OK, critère B = NON OK, critère C = OK.
Explication : L\'évaluation des critères de test révèle que seul le critère C satisfait aux exigences de qualité. Les critères A et B présentent des défaillances qui nécessitent une correction avant d\'accepter le produit testé.

Réponse : Prévoir un environnement de test de secours en cas de défaillance de l\'environnement existant pendant les tests.
Explication : C est correct car prévoir un environnement de test de secours est une mesure d\'atténuation proactive et au niveau du projet qui réduit la probabilité et l\'impact d\'une défaillance d\'environnement. L\'atténuation des risques projet consiste en actions anticipées et délibérées réduisant l\'exposition aux menaces identifiées. Un environnement redondant est une mesure classique car une défaillance d\'environnement est un point de défaillance unique fréquent pouvant arrêter complètement les tests et augmenter les coûts.

A. Immediately send an API request with the update as a synthetic user message, generating an unsolicited assistant response. Incorrect. This creates an unsolicited interruption, which can feel unnatural and confusing in an active conversation. B. Append the status update as a prefix to the next user message before calling the API. Incorrect. This pollutes the user message and mixes system state with user intent, which can lead to misinterpretation. C. Configure the assistant to call a get_order_status tool at the start of every response. Incorrect. This is inefficient and unnecessary, especially when you already have the update via webhook. D. Add the current shipping status to the system prompt before the next API call. Correct. This cleanly injects up-to-date system state into context, allowing the assistant to naturally incorporate it into the next response without disrupting the conversation flow.

A. Choosing from 18 tools instead of 4­5 relevant ones increases decision complexity beyond reliable selection thresholds. Correct. This is the core issue: as the number of available tools grows, especially across multiple unrelated domains, the model's tool selection accuracy degrades due to increased choice entropy and decision load. Even if each tool is well-described, having too many options in the same context makes it harder for the model to reliably pick the correct one, leading to cross-role tool misuse. Why the others are not correct: B. Role-description conflict Incorrect Role prompts influence behavior, but they don't inherently break tool selection when tools are available. C. Context window usage Incorrect There's no indication of truncation or missing tool definitions--this is a selection problem, not a capacity problem. D. Coordinator tracking issue Incorrect The failure happens at the subagent decision level, not because the coordinator lacks awareness of tools.

A. Implement semantic deduplication to identify and remove redundant information across the accumulated RAG results and conversation turns Incorrect. This reduces redundancy but doesn't solve the core issue of unbounded accumulation of RAG context. B. Implement a sliding window for RAG results from the last 2­3 queries while preserving conversation history Correct. This directly addresses context crowding by limiting RAG growth while keeping conversation continuity intact. C. Shift context budget to favor RAG results while reducing conversation history allocation Incorrect. This worsens coherence by sacrificing conversation context. D. Compress all RAG results into a consolidated summary document that updates incrementally after each retrieval Incorrect. This can introduce information loss and summary drift, especially across many turns.

A. Implement post-processing to detect and strip common greeting phrases from response beginnings Incorrect. This is a fragile fix and can accidentally remove useful or context-specific language. B. Add system prompt instructions specifying phrases to avoid, such as "Never begin responses with 'Certainly' or similar affirmations" Correct. This directly addresses the root cause by guiding generation behavior consistently across all turns. It prevents repetition before it happens, rather than cleaning it up afterward. C. Lower the temperature parameter to make response openings more deterministic and less variable Incorrect. Lower temperature reduces variability but often increases repetition patterns, not reduces them. D. Append a partial assistant message with a direct response opening that the model will continue from Incorrect. This can shape a single response style, but it does not reliably eliminate repetitive openings across an entire conversation.

A. The synthesis agent needs tools that can fetch results directly from the other agents' conversation histories. Incorrect. Agents do not require direct access to each other's histories. Proper orchestration passes outputs explicitly via prompts. B. The synthesis agent's context window is not large enough to hold the combined outputs from both previous agents. Incorrect. If this were the issue, the agent would receive truncated data, not no data at all. The error indicates missing inputs entirely. C. The subagents need to share a single API connection to enable automatic context sharing between invocations. Incorrect. Agent communication does not depend on shared API connections. Context must be explicitly passed by the coordinator. D. The coordinator did not include the outputs from the previous agents in the synthesis agent's prompt. Correct. The synthesis agent can only act on the information provided in its prompt. If prior outputs are not passed, it will report missing research findings.

A. Create a new "Focus" playlist with curated tracks and notify the user it's ready. Incorrect. This assumes intent and may do the wrong action, frustrating users. B. Ask one clarifying question about action type: play now or configure for later Correct. This minimizes friction while resolving ambiguity, enabling the assistant to take the right action quickly. C. Play popular focus tracks immediately and let the user redirect if needed Incorrect. Acts prematurely and may not match user intent. D. Start preference configuration by asking about genres, tempo, and artists Incorrect. Too heavy upfront--adds unnecessary friction before confirming intent.

A. URLs that users can click to open the document in their browser. Incorrect. URLs are useful for users, but not ideal for agents performing multi-step workflows that require reliable referencing and further operations. B. Structured data containing document IDs and metadata for each result. Correct. This enables the agent to programmatically reference specific documents (via IDs) across multiple steps, making workflows like follow-up queries or document retrieval precise and reliable. C. A JSON array of document titles extracted from the search results. Incorrect. Titles alone are ambiguous and not stable identifiers, making it difficult for agents to reliably act on specific documents. D. More detailed human-readable descriptions including the size and authors. Incorrect. Helpful for users, but still unstructured and not suitable for precise multi-step agent operations.

A. Provide the subagent with tool definitions that allow it to request outputs from other subagents via callbacks. Incorrect. This introduces unnecessary coupling and complexity. Subagents shouldn't need to actively fetch data from others. B. Include the complete findings from both subagents directly in the synthesis subagent's prompt. Incorrect. While simple, this approach does not scale well for large outputs and can exceed context limits, reducing efficiency. C. Pass reference identifiers and configure the subagent with read access to a shared memory store where other subagents deposited their results. Correct. This is the most scalable and production-ready approach. It preserves information fidelity while avoiding context bloat, allowing the synthesis agent to retrieve exactly what it needs. D. Spawn the subagent with only a brief task description, relying on automatic context inheritance from the coordinator. Incorrect. There is no automatic context inheritance--without explicit data access, the synthesis agent cannot function properly.

A. The model's context window has been exceeded by the conversation length Incorrect. This would only happen in very long conversations, and the issue appears early within just a few turns. B. The Claude API requires a session_id parameter that you haven't configured Incorrect. There is no required session_id--context must be explicitly managed by the application. C. Claude requires a vector database connection to maintain conversation memory Incorrect. A vector database is optional for retrieval, not required for basic conversation memory. D. Your application isn't including prior messages in the messages array Correct. Claude does not retain memory between calls--if previous messages aren't included, it cannot recall earlier user preferences.

A. Your system prompt needs explicit instructions telling Claude to remember information from earlier turns. Incorrect. Instructions alone don't give the model memory--context must be provided with each request. B. You're not including prior messages in each API request--the stateless API doesn't retain conversation history. Correct. Claude is stateless. If earlier messages aren't passed in the request, it has no awareness of prior vocabulary. C. You need to enable conversation persistence by passing a session ID parameter with each API call. Incorrect. There's no required session ID--memory is handled by including past messages. D. The model's context window has filled up, causing earlier conversation content to be dropped. Incorrect. This would only happen in very long conversations, not typical early testing scenarios.