Ne découvrez pas l'examen
le jour J

Réponse : Capacité à monitorer les systèmes et améliorer les processus de support.
Explication : L’excellence opérationnelle implique d’optimiser les opérations, la surveillance et l’amélioration continue des processus.

Réponse : AWS Fargate. Explication : AWS Fargate est un moteur de calcul sans serveur pour les conteneurs qui élimine le besoin de gérer l'infrastructure du cluster EC2. Il gère automatiquement la mise en service, la mise à l'échelle et la gestion du cluster, remplaçant l'approche manuelle de Docker sur EC2.

Réponse : Des clés d’accès.
Explication : L’utilisation de la CLI nécessite l’authentification par des clés d’accès générées pour chaque utilisateur IAM.

Réponse : APN Technology Partners.
Explication : Les APN Technology Partners proposent des solutions techniques validées pour optimiser l’usage du cloud AWS.

Réponse : AWS Cost & Usage Reports.
Explication : Les rapports Cost & Usage détaillent toute l’activité de facturation par service, y compris EC2, sur la période désirée.

Réponse : D) AWS Knowledge Center. Le AWS Knowledge Center contient les réponses aux questions les plus fréquemment posées sur la sécurité et d'autres sujets généraux, fournissant un référentiel consultable des conseils, des solutions de dépannage et des informations sur les meilleures pratiques AWS.

Réponse : Patch matériel / Sécurité de l’infrastructure physique mondiale.
Explication : AWS gère le patching matériel et l’infrastructure mondiale ; les autorisations d’accès et le chiffrement relèvent du client.

Réponse : Permettre la réplication synchrone des données.
Explication : Les liens rapides entre AZ rendent possible la réplication synchrone et la haute disponibilité des applications distribuées.

Réponse : Contacter l’équipe AWS Abuse.
Explication : Pour signaler des abus, il faut contacter l’équipe AWS Abuse, même avec le support Basic.

Réponse : Régions AWS. Explication : Les régions AWS permettent aux clients de déployer des ressources dans des emplacements géographiques spécifiques. Choisir une région proche de la localisation actuelle de l'entreprise minimise la latence et peut satisfaire les exigences de résidence des données lors de la migration.

Amazon Q Business est conçu précisément pour ce cas d'usage : connecter les données internes d'une entreprise (SharePoint, Confluence, S3, Salesforce, etc.) via des connecteurs natifs, puis permettre aux employés d'interroger ces sources via un assistant IA. Il gère les permissions utilisateur (réponses filtrées selon les droits d'accès). Amazon Bedrock nécessite une architecture RAG custom. Amazon Kendra est une recherche sémantique mais sans chatbot intégré. Amazon Lex est pour les chatbots NLU basiques.

Interprétabilité des arbres de décision : Les arbres de décision suivent un chemin linéaire de conditions (if-then) lisibles à chaque nœud, permettant de tracer exactement pourquoi une prédiction est faite. À l'inverse, les réseaux profonds (deep learning) fonctionnent comme des "boîtes noires" avec des milliers de paramètres non interprétables, rendant impossible d'expliquer chaque décision précisément.

Amazon Comprehend : service NLP natif AWS spécialisé dans l'analyse de texte non structuré. Il détecte automatiquement les sentiments (positif/négatif/neutre), extrait les entités nommées (personnes, lieux, organisations) et classe les documents. Contrairement à Lex (chatbots conversationnels), Textract (OCR/documents scannés) ou DataBrew (préparation de données), Comprehend analyse exclusivement le contenu sémantique du texte.

Object detection : détecte et classe automatiquement les objets (animaux) dans les images sans annotation préalable, en localisant leurs positions via des boîtes englobantes. Contrairement à l'anomaly detection (qui identifie seulement les cas inhabituels), à la NER (qui extrait du texte) ou à l'inpainting (qui complète des images), seule la détection d'objets combine classification et segmentation spatiale pour catégoriser tous les animaux présents.

Narrativisation de données : Les modèles fondations excèlent à transformer données brutes en proses naturelles, insight business et explications. Bedrock avec prompt structuré (templates, exemples) crée rapports cohérents, scalables et professionnels à bas coût.

Data augmentation et équilibrage des classes minoritaires : technique fondamentale qui augmente la représentation des groupes sous-représentés dans le dataset d'entraînement. Cela réduit directement le biais à la source. Contrairement au monitoring passif (qui n'agit pas), au RAG (qui détourne les requêtes) ou aux watermarks (qui ne corrigent pas le problème), cette approche traite la cause racine du déséquilibre des données.

Amazon Textract : service spécialisé dans l'extraction de données structurées (champs, tableaux, paires clé/valeur) depuis documents PDF, images scannées et formulaires via OCR intelligent. Contrairement à Rekognition (détection d'objets visuels) et Comprehend (analyse NLP de texte brut), Textract préserve la structure spatiale des documents, essentielle pour traiter formulaires et factures.

Les modèles Amazon Titan sont développés par AWS et disponibles nativement sur Bedrock. Titan Text génère et résume du texte en plusieurs langues. Titan Embeddings convertit du texte en vecteurs numériques pour la recherche sémantique et les pipelines RAG. Titan Image Generator crée des images depuis des descriptions textuelles. Titan n'inclut pas nativement de synthèse vocale (c'est Amazon Polly) ni de transcription (c'est Amazon Transcribe).

Température élevée sans contrôle : augmenter la température accroît l'aléa et la créativité du modèle, rendant les réponses moins prévisibles et plus susceptibles de générer du contenu indésirable ou malveillant. Contrairement aux autres pratiques qui renforcent la sécurité (templates robustes, least-privilege IAM, filtrage des entrées), cette approche aggrave les risques d'injection de prompt en réduisant la cohérence des protections.

k-NN dans OpenSearch : algorithme de recherche par similarité qui indexe les vecteurs d'embeddings pour retrouver rapidement les documents sémantiquement proches. Contrairement à la recherche textuelle exacte, k-NN compare les distances vectorielles (cosinus, L2) permettant des recherches sémantiques à grande échelle. Indispensable pour les applications GenAI exploitant des modèles d'embeddings.

Réponse : Lorsqu'il est pertinent de le livrer.
Explication : Le Guide Scrum n'impose pas de calendrier de livraison. Le Product Owner décide du moment où livrer un Increment en fonction de la valeur métier, des besoins des utilisateurs et des conditions du marché — et non selon un rythme fixe Sprint après Sprint.

Réponse : Les équipes de développement sélectionnent les éléments de travail en accord avec le Product Owner.
Explication : Plusieurs Scrum Teams travaillant à partir d'un seul Product Backlog se coordonnent avec le Product Owner pour sélectionner les éléments, en tenant compte des dépendances, des capacités des équipes et de la feuille de route globale du produit.

Réponse : Les managers ne sont pas requis lors du Daily Scrum.
Explication : Le Daily Scrum est un événement de la Development Team destiné à la coordination de l'équipe. La présence du management externe n'est pas requise et peut même nuire à la communication ouverte si les membres de l'équipe se sentent observés ou évalués.

Réponse : Faux.
Explication : Scrum est un cadre de travail (framework), et non une méthodologie. Il ne prescrit pas de techniques d'ingénierie spécifiques ni de processus détaillés pour la construction de logiciels. Les équipes sont libres de choisir leurs propres pratiques au sein du cadre Scrum.

Réponse : Dès que possible après qu'ils ont été identifiés.
Explication : Le Sprint Backlog est un plan vivant. Les nouvelles tâches ou décompositions sont ajoutées par l'équipe de développement dès qu'elle constate qu'elles sont nécessaires pour atteindre l'Objectif du Sprint — aucun processus d'approbation n'est requis.

Réponse : La personne que la Development Team décide de désigner pour commencer.
Explication : Le Daily Scrum est auto-géré par la Development Team. C'est elle qui décide du format, de qui commence et de la façon dont elle le conduit. Le Scrum Master ne prescrit pas ces détails.

Autorité de création du Product Backlog : N'importe qui au sein de l'organisation peut créer des éléments du Product Backlog, y compris les parties prenantes, les développeurs et le Scrum Master. Cependant, le Product Owner est seul responsable du contenu, de l'ordre et de la clarté du Product Backlog. Cette distinction sépare le droit de création de la responsabilité, évitant ainsi l'idée reçue que seul le Product Owner peut rédiger des éléments.

Autorité d'ordonnancement du Product Backlog : Le Product Owner est seul responsable de l'ordonnancement du Product Backlog en fonction de la valeur, du risque, des dépendances et des priorités métier — et non le Scrum Master. Le Scrum Master facilite les processus mais ne prend pas de décisions produit. La capacité de l'équipe influence le Sprint Planning, non le séquençage du Backlog.

Composition de la Scrum Team : L'équipe est composée de 10 Developers maximum, auxquels s'ajoutent un Scrum Master et un Product Owner, ce qui porte le total à généralement 12 personnes ou moins. Cette taille optimise la communication et la collaboration tout en maintenant l'agilité. Les équipes plus petites sont souvent plus efficaces que les grandes.

Le Product Owner devrait ajouter les demandes urgentes au Product Backlog plutôt que de modifier immédiatement le Sprint. Cela protège le Sprint Goal et l'engagement de l'équipe de développement, qui sont des principes fondamentaux de Scrum. Bien que le changement puisse être priorisé lors du prochain Sprint Planning, l'intégrer en cours de Sprint ou annuler le Sprint perturberait la concentration de l'équipe et violerait la nature itérative de Scrum. Le Scrum Master soutient le processus mais ne prend pas les décisions de priorisation — c'est la responsabilité du Product Owner.

Réponse : Supprimer les éléments non traités depuis longtemps ; ne décrire complètement les éléments que lorsqu'ils sont susceptibles d'être implémentés.
Explication : Maintenir un Product Backlog allégé permet de réduire les gaspillages. Les éléments peu susceptibles d'être implémentés consomment inutilement des efforts de refinement. L'élaboration progressive — détailler les éléments uniquement lorsqu'ils approchent de leur mise en œuvre — évite de spécifier un travail qui pourrait ne jamais être réalisé.

Concept clé : La responsabilité du Scrum Master envers l'efficacité de l'équipe. Le Scrum Master est responsable de l'efficacité de la Scrum Team en supprimant les impediments, en facilitant les événements Scrum, en accompagnant les membres de l'équipe dans l'auto-organisation et en favorisant une culture d'amélioration continue. Bien que le Product Owner pilote la livraison de valeur et que les parties prenantes apportent leur contribution, aucun des deux n'est directement responsable de l'efficacité opérationnelle. Les managers externes aux Scrum Teams n'ont aucun rôle formel dans Scrum. L'approche de servant-leadership du Scrum Master garantit que l'équipe fonctionne de manière optimale dans le cadre de Scrum.

Réponse : Lorsque le Product Owner travaille activement sur des éléments du Sprint Backlog, il participe en tant que Developer.
Explication : Lorsqu'un Product Owner effectue également du travail de développement durant le Sprint, il participe au Daily Scrum en sa qualité de Developer, et non dans son rôle de Product Owner.

Réponse : La durée du Sprint reste inchangée et la Scrum Team apprend et s'adapte en continu.
Explication : Les Sprints ne sont jamais prolongés lorsque des travaux sont inachevés. Les éléments non terminés retournent dans le Product Backlog. L'équipe utilise la Rétrospective pour comprendre pourquoi le Sprint n'a pas été complété et s'améliorer pour la prochaine fois.

Réponse : La conformité à la Definition of Done.
Explication : Un Increment doit satisfaire à la DoD pour être considéré comme Terminé. Il doit également être utilisable et potentiellement livrable.

Réponse : Product Backlog, Sprint Backlog, Increment.
Explication : Les trois artefacts Scrum sont le Product Backlog, le Sprint Backlog et l'Increment — chacun étant associé à un engagement.

Évolution du Product Goal par l'empirisme : Le Product Goal n'est pas figé ; il représente la vision à long terme qui guide le produit. Au fur et à mesure que l'équipe Scrum inspecte les Increments du produit, recueille les retours des parties prenantes et acquiert des connaissances sur les conditions du marché, les besoins des utilisateurs et la faisabilité technique, le Product Goal peut et doit évoluer. Cela reflète l'empirisme — l'un des piliers fondamentaux de Scrum — selon lequel l'équipe s'adapte en continu sur la base de preuves et d'apprentissages. Cependant, le Product Goal fournit une orientation stratégique et ne doit pas changer de manière arbitraire ; des changements significatifs interviennent lorsque de nouvelles connaissances importantes émergent et justifient de reconsidérer la vision. Cela le distingue des Sprint Goals, qui restent fixes durant un Sprint, et du Product Backlog, qui est affiné en continu. Comprendre que le Product Goal peut évoluer permet aux équipes de rester réactives face à la réalité tout en conservant leur focus stratégique.

Réponse : Principalement le Product Owner et les Développeurs ; le Product Owner est responsable de l'ordre de priorité.
Explication : Le Refinement est une activité continue impliquant à la fois le Product Owner et les Développeurs pour clarifier, décomposer et estimer les éléments. Le Product Owner reste responsable de l'ordonnancement du Backlog.

Concept clé : Responsabilité du Product Owner et structure du rôle. Bien qu'un Product Owner puisse recevoir des contributions de la part des parties prenantes, des dirigeants et des membres de l'équipe, Scrum définit explicitement le Product Owner comme un rôle individuel occupé par une seule personne. Cela garantit une autorité de décision claire, une responsabilité nette quant à la livraison de valeur produit, et élimine toute ambiguïté sur qui détient le Product Goal et priorise le Product Backlog. Le partage du rôle entre plusieurs personnes dilue les responsabilités et crée une confusion quant à l'autorité. Le Guide Scrum est sans équivoque : « Le Product Owner est une seule personne » afin de maintenir la clarté dans la gouvernance et l'orientation stratégique.

Approche adaptative et émergence des exigences : Dans le PMBOK 7e édition, l'approche adaptative (Agile) reconnaît que les exigences ne peuvent pas être entièrement définies à l'avance, notamment dans des environnements complexes et incertains. Les exigences émergent progressivement à travers des cycles itératifs courts (sprints, itérations) où le feedback continu des parties prenantes, utilisateurs finaux et clients façonne l'évolution du produit. Ce mécanisme permet d'adapter le projet aux changements de besoins réels plutôt que de suivre un plan rigide établi initialement. Contrairement à l'approche prédictive où toutes les exigences sont gelées en amont, l'approche adaptative embrace le changement comme source de valeur. La deuxième option (exigences figées avant le sprint) caractérise une approche prédictive/Waterfall. La troisième option (refus des modifications) contredit totalement la philosophie adaptative qui valorise la flexibilité. La quatrième option (réservée à l'IT) est fausse : l'approche adaptative s'applique à tout type de projet complexe, au-delà de l'informatique (marketing, construction, recherche, etc.).

Engagement proactif des parties prenantes : L'engagement proactif est un principe fondamental du PMBOK 7e édition qui promeut une communication bidirectionnelle, intentionnelle et continue avec les parties prenantes tout au long du cycle de vie du projet. Cela signifie aller au-delà d'une simple notification d'information pour créer un véritable dialogue où les parties prenantes se sentent écoutées, respectées et impliquées dans la prise de décision. La bonne réponse met l'accent sur deux éléments critiques : la consultation régulière et l'intégration des retours. Consulter régulièrement signifie établir des points de contact planifiés et prévisibles, ce qui renforce la confiance et démontre le respect envers les parties prenantes. L'intégration des retours n'est pas une simple accumulation passive d'opinions, mais une action concrète : montrer comment leurs contributions ont influencé les décisions, les ajustements du projet ou la gestion des risques. Cela ferme la boucle du retour (feedback loop) et valide leur participation. Les autres options échouent à capturer cette essence collaborative : adapter uniquement le message (option 2) sans consultation préalable est une communication à sens unique ; prendre en compte les préoccupations (option 3) est passif sans démonstration d'int

Le burndown chart est le graphique Agile de référence pour visualiser l'évolution du travail restant au fil du sprint : axe X = jours, axe Y = points ou tâches restants. Une ligne idéale montre la progression attendue ; la ligne réelle révèle si l'équipe est en avance ou en retard. L'histogramme représente des distributions, le diagramme de Pareto analyse les causes d'erreurs (80/20), et le PERT modélise les dépendances de tâches dans les projets complexes.

Analyse de la Performance du Projet via les Indicateurs de Valeur Acquise (EVM) : La méthode de la Valeur Acquise (Earned Value Management) selon le PMBOK 7e édition utilise trois métriques fondamentales pour évaluer simultanément la performance chronologique et budgétaire d'un projet. PV (Planned Value = 320) représente le coût budgétisé du travail prévu à cette date ; EV (Earned Value = 300) est le coût budgétisé du travail réellement réalisé ; AC (Actual Cost = 280) est le coût réel engagé. Pour déterminer la situation du projet, deux comparaisons essentielles s'imposent : Analyse du délai : puisque EV (300) < PV (320), le travail réalisé représente moins de valeur que ce qui était prévu, signifiant que le projet accuse un retard dans son avancement. L'indice de performance calendaire (SPI = EV/PV = 300/320 = 0,9375 < 1,0) confirme ce retard. Analyse budgétaire : puisque EV (300) > AC (280), le projet a dépensé moins que la valeur du

Gouvernance de projet et rôles/responsabilités clairs : Selon le PMBOK 7e édition, la gouvernance de projet constitue le cadre qui guide, supervise et contrôle les initiatives de l'organisation. Un système de gouvernance efficace repose sur des fondations essentielles : des rôles et responsabilités clairement définis pour tous les intervenants (sponsor, chef de projet, équipe, comité de gouvernance). Cette clarté évite les chevauchements, les conflits de pouvoir et les ambiguïtés décisionnelles qui paralysent les projets. Bien que les mécanismes d'escalade et de décision soient importants, ils sont secondaires sans rôles explicites. L'alignement stratégique est crucial mais découle d'une gouvernance bien structurée avec responsabilités claires. La suppression de toute supervision du sponsor est dangereuse et contraire aux bonnes pratiques : le sponsor doit rester impliqué pour valider les décisions majeures et l'alignement. Le reporting uniquement en fin de projet viole le principe de gouvernance continue du PMBOK 7, qui exige une surveillance régulière. Les rôles et responsabilités explicites constituent donc le pilier fondateur sur lequel s'édifient tous les autres éléments d'

Facilitation de réunion : structure formelle plutôt que répression individuelle. Des tours de parole équitables, des questions adressées nommément et des normes de groupe explicites garantissent la participation égale et renforcent la qualité des décisions collectives.

Réponse : Discuter avec l’équipe pour comprendre les préoccupations et ajuster le plan si nécessaire. L’engagement est renforcé par l’écoute.

Contrats à coûts remboursables (CR) : le fournisseur facture tous les coûts réels engagés plus une marge. L'acheteur assume le risque financier principal car il n'y a pas de plafond de dépenses préalablement fixé. Contrairement aux contrats à prix fixe qui protègent l'acheteur, les CR offrent peu d'incitation au contrôle budgétaire du prestataire.

Le tailoring évite les activités non essentielles en ajustant méthodes et artefacts au contexte, concentrant l’effort sur ce qui crée réellement de la valeur.

Plan de gestion des risques : Le seul livrable officiel du processus de planification de la gestion des risques (Plan Risk Management) selon le PMBOK 7e édition. Ce document définit comment les risques seront identifiés, analysés, répondus et surveillés tout au long du projet. Il établit les politiques, procédures, outils et responsabilités pour la gestion des risques, incluant les seuils de tolérance, les catégories de risques, et les rôles assignés. Contrairement aux autres options : la matrice probabilité/impact est un OUTIL d'analyse créé lors du processus d'analyse qualitative des risques (étape ultérieure), les stratégies de réponse aux risques sont des éléments du plan de réponse aux risques (un livrable différent généré plus tard), et le business case appartient à la phase d'initiation du projet. Le plan de gestion des risques est donc le seul résultat tangible et documenté directement produit par le processus Plan Risk Management, servant de fondation à tous les processus de gestion des risques qui suivront.

Cette question correspond à l’objectif FL-5.5.1 (K3) – Préparer un rapport de défaut.
● a) Faux → Utile, mais pas bloquant pour comprendre l’erreur.
● b) Correct → Sans résultat attendu, il est impossible de savoir ce qui aurait dû se produire → c’est l’élément clé manquant
● c) Faux → Peu utile dans la reproduction du défaut.
● d) Faux → Intéressant dans certains cas (web), mais pas toujours essentiel

Cette question correspond à l’objectif d’apprentissage FL-1.3.1 (K2) – Expliquer les sept principes du test.

● a) Faux → Les tests de régression restent nécessaires tout au long du cycle de vie du logiciel.
● b) Correct → Plus un défaut est détecté tôt, moins il est coûteux à corriger, car il est identifié avant qu’il ne se propage.
● c) Faux → Tester tôt ne garantit pas un produit exempt de défauts.
● d) Faux → Tester tôt ne signifie pas réduire le nombre total de tests nécessaires.

Cette question correspond à l’objectif FL-2.2.2 (K2) – Distinguer les différents types de tests.
La réponse correcte est a) 1A, 2C, 3B, 4D
● 1)A : Correct : Régression = vérifier que rien n’a été cassé par un changement.
● 2)C : Correct : Confirmation = retester une correction spécifique.
● 3)B : Correct : Acceptation = répondre aux besoins métier.
● 4)D : Correct : Intégration = test des interfaces entre composants.

Cette question correspond à l’objectif d\'apprentissage FL-2.1.1 (K2) – Expliquer l\'impact du cycle de vie du développement logiciel choisi sur le test.

● a) Correct → Dans le modèle en V, les tests sont planifiés dès le début, mais ils ne sont exécutés qu’après la phase de développement.
● b) Faux → En Agile, les tests sont intégrés tout au long des sprints et ne sont pas uniquement réalisés en fin de projet.
● c) Faux → Dans un modèle en cascade, les tests sont généralement exécutés après la phase de développement, pas à tout moment.
● d) Faux → Le cycle de vie influence fortement la manière dont les tests sont planifiés, exécutés et intégrés au projet.

Cette question correspond à l’objectif d’apprentissage FL-1.2.1 (K2)- Donner des exemples montrant la nécessité des tests.
● a) Faux → Les tests dynamiques détectent des défauts, mais ils ne garantissent pas qu’ils provoquent uniquement des comportements anormaux impossibles à reproduire par les utilisateurs.

● b) Correct → Les tests statiques permettent d’identifier des défauts dans le code source avant même l’exécution, ce qui réduit les coûts de correction.
● c) Faux → L’analyse statique ne garantit pas qu’un composant est prêt pour la production, elle identifie uniquement des erreurs structurelles.
● d) Faux → Les revues améliorent la qualité des spécifications, mais ne remplacent pas les tests

Cette question correspond à l\'objectif d\'apprentissage FL-4.2.1 (K3) - Appliquer le partitionnement en classes d\'équivalence pour dériver des cas de test.

● a) Correct → Pour couvrir toutes les classes d\'équivalence valides, nous avons besoin de tester : (économique, pas de vue), (économique, vue partielle), (standard,
pas de vue), (standard, vue partielle), (luxe, pas de vue), (luxe, vue partielle), et (luxe, vue panoramique). Cependant, comme seuls les hôtels de luxe peuvent avoir une vue panoramique, et que le formulaire a une validation qui empêche les
combinaisons invalides, nous pouvons couvrir toutes les classes valides avec 3 cas de test : (économique, pas de vue), (standard, vue partielle), et (luxe, vue panoramique).
● b) Faux → Trois cas de test suffisent pour couvrir toutes les classes d\'équivalence valides.
● c) Faux → Trois cas de test suffisent pour couvrir toutes les classes d\'équivalence valides.
● d) Faux →. Trois cas de test suffisent pour couvrir toutes les classes d\'équivalencevalides.

Cette question correspond à l’objectif d’apprentissage FL-1.1.1 (K1) – Identifier les objectifs habituels du test.
● a) Faux → Il est impossible de démontrer qu’un logiciel est totalement exempt de défauts.
● b) Correct → Les tests réduisent le risque de défauts et augmentent la probabilité que le logiciel réponde aux exigences.
● c) Faux → Vérifier la conformité aux spécifications est une partie des tests, mais pas leur seul objectif.
● d) Faux → Les tests ne remplacent pas l’assurance qualité, qui inclut d’autres activités comme l’analyse des processus.

Cette question correspond à l\'objectif d\'apprentissage FL-5.1.7 (K2) - Résumer les quadrants du test et leurs relations avec les niveaux et les types de tests.

La bonne réponse est b) :

1. Test d\'accessibilité - Orienté métier, critique du produit (C)
2. Test unitaire - Orienté technologie, support à l\'équipe de développement (A)
3. Test d\'acceptation utilisateur - Orienté métier, critique du produit (C)
4. Test de performance - Orienté technologie, critique du produit (D)
● a) Faux → Le test d\'acceptation utilisateur est en C (orienté métier, critique du produit), pas en B.
● b) Correct → Toutes les correspondances sont correctes.
● c) Faux →- Le test d\'accessibilité est en C, pas en D, et le test de performance est en D, pas en B.
● d) Faux → Le test d\'accessibilité est en C, pas en D, et le test unitaire est en A, pas en B.

Cette question correspond à l\'objectif d\'apprentissage FL-4.4.1 (K2) – Expliquer les
techniques de test basées sur l\'expérience et leur utilisation.
● a) Faux → La rédaction de cas de test détaillés nécessite une documentation
complète, ce qui n\'est pas disponible ici.
● b) Correct → Les tests exploratoires permettent de découvrir rapidement des
défauts même en l\'absence de documentation détaillée.
● c) Faux → Attendre la documentation complète retarderait inutilement le processus
de test.
● d) Faux → L\'automatisation nécessite une connaissance préalable des cas de test et
du comportement attendu, ce qui n\'est pas possible sans documentation.

Cette question correspond à l’objectif d’apprentissage FL-2.1.2 (K1) – Rappeler les bonnes
pratiques de test applicables à tous les cycles de vie.
● a) Faux → Cela correspond à une approche tardive (type Waterfall rigide), et va àl’encontre des bonnes pratiques modernes.
● b) Faux → Les testeurs doivent être impliqués dès les phases d’analyse et de conception.
● c) Correct → Tester dès que possible (shift-left) est une bonne pratique universelle qui réduit les coûts de détection de défauts.
● d) Faux → Collaboration entre test et développement est essentielle, peu importe le cycle.

Non-répudiation : mécanisme cryptographique garantissant l'authentification de l'origine d'un message et la vérification de son intégrité. Il empêche l'expéditeur de nier avoir créé le message (preuve d'origine) tout en confirmant qu'aucune modification n'a eu lieu (preuve d'intégrité). Contrairement aux listes de contrôle d'accès (autorisation uniquement) ou aux journaux d'audit (détection après coup), la non-répudiation fournit une preuve cryptographique au moment de la transmission.

Système de prévention des intrusions (IPS) : Un IPS bloque activement en temps réel les attaques basées sur des signatures connues en comparant le trafic réseau à une base de données de signatures d'exploits connus. Contrairement à l'IDS (qui se contente de détecter et d'alerter), l'IPS prend des mesures immédiates pour empêcher le trafic malveillant d'atteindre les systèmes. Les ACL et le DLP traitent respectivement le contrôle d'accès et la prévention des pertes de données, et non la détection des menaces.

Bastion Host : Un serveur renforcé à point d'entrée unique qui sert d'intermédiaire pour tous les accès externes aux ressources internes. Il ajoute une couche de sécurité critique en centralisant l'authentification, la surveillance et le contrôle des connexions, réduisant ainsi la surface d'attaque. Contrairement au WAF (qui filtre uniquement le trafic HTTP), aux pare-feux (filtrage de paquets basique) ou au SSO (authentification seule), un bastion host offre un contrôle d'accès complet et des capacités d'audit pour l'accès privilégié aux systèmes internes.

Acteurs étatiques : gouvernements disposant de budgets conséquents, de capacités sophistiquées et d'une motivation géopolitique pour cibler des infrastructures critiques étrangères. Contrairement aux menaces internes (portée limitée), aux attaquants peu qualifiés (ressources minimales) ou aux hacktivistes (motivés par l'idéologie et non financés par un État), les États-nations possèdent les ressources financières et techniques nécessaires pour mener des campagnes avancées et soutenues contre des cibles stratégiques à l'étranger.

Le site de secours chaud (Warm Site) : une infrastructure de reprise dont les systèmes sont partiellement configurés et les données synchronisées périodiquement, offrant un RPO/RTO de quelques heures à un coût modéré. Contrairement aux sites à disponibilité immédiate (réplication continue, coûteux), les Warm Sites équilibrent l'accessibilité financière et des délais de reprise acceptables. Les sites de secours à froid nécessitent une configuration manuelle et peuvent prendre plusieurs jours.

Classification des contrôles techniques : Un pare-feu est un contrôle technique (préventif) — il utilise la technologie pour bloquer le trafic réseau non autorisé avant qu'il n'atteigne les systèmes. Contrairement aux contrôles administratifs (politiques/procédures), aux contrôles physiques (verrous/barrières) ou aux contrôles de détection (surveillance/alertes), les pare-feux préviennent activement les menaces grâce à des mécanismes matériels et logiciels.

Chiffrement WPA3 : La dernière norme de sécurité Wi-Fi offrant un chiffrement robuste et une protection contre les attaques par force brute grâce à l'authentification simultanée des pairs (SAE). Contrairement au WEP (obsolète et compromis), aux SSID masqués (sécurité par l'obscurité) ou au filtrage par adresse MAC (facilement contournable par usurpation), le WPA3 propose une authentification cryptographique solide répondant aux exigences de sécurité modernes.

La confidentialité : garantit que les informations sensibles ne sont accessibles qu'aux personnes autorisées. L'accès non autorisé à des fichiers confidentiels viole directement ce principe en exposant des données restreintes à des utilisateurs non autorisés. Tandis que l'intégrité protège l'exactitude des données, la disponibilité assure l'accès aux utilisateurs autorisés, et l'authenticité vérifie l'identité — aucun de ces principes ne traite la divulgation non autorisée d'informations sensibles.

Chiffrement WPA3 : la dernière norme de sécurité Wi-Fi offrant une protection avancée grâce à l'authentification simultanée des égaux (SAE) et au chiffrement individualisé des données. Elle empêche les accès non autorisés plus efficacement que le masquage des SSID ou le filtrage MAC, qui sont facilement contournables. Le WEP est obsolète et cryptographiquement compromis.

Contrôle physique : Un lecteur de badge est un mécanisme tangible qui restreint physiquement l'accès aux espaces. Il empêche les entrées non autorisées en exigeant des identifiants avant d'accorder le passage. Contrairement aux contrôles logiques (basés sur des logiciels), aux contrôles administratifs (politiques) ou aux contrôles de détection (surveillance), les contrôles physiques sont des barrières matérielles qui empêchent activement l'accès.

Azure Databricks : plateforme collaborative fondée sur Apache Spark, optimisée pour le traitement distribué de Big Data et le machine learning. Elle combine Spark (moteur de calcul puissant) avec un environnement notebook intégré et des outils ML. Contrairement à Azure Synapse Analytics (orientée data warehousing/SQL) ou Azure Machine Learning (ML spécialisé), Databricks excelle dans le traitement massif de données non structurées et les workflows Big Data collaboratifs.

Réponse : Prédictive. Explication : Le graphique du quatrième trimestre montre une prévision — projeter les valeurs futures en fonction des tendances historiques. L'analyse prédictive utilise des modèles statistiques et ML pour prévoir les résultats futurs, ce qui la distingue de l'analyse descriptive (ce qui s'est passé) et diagnostique (pourquoi cela s'est passé).

Réponse : Azure Data Studio. Explication : Azure Data Studio est un outil de gestion de base de données multiplateforme qui supporte les notebooks SQL — combinant requêtes SQL, résultats, documentation textuelle et visualisations dans un seul document partageable, idéal pour le dépannage collaboratif et les runbooks.

Azure SQL Auditing enregistre les événements de base de données (connexions, requêtes, modifications de schéma) dans un journal d'audit stocké dans Azure Blob Storage, Azure Monitor Logs ou Azure Event Hubs. Il permet de détecter les accès non autorisés, les requêtes suspectes et de satisfaire aux exigences de conformité (RGPD, HIPAA, PCI-DSS). Complémentairement, Microsoft Defender for SQL (anciennement Advanced Threat Protection) détecte les comportements anormaux (injections SQL, accès depuis des IPs inconnues). Azure Monitor surveille les métriques de performance.

La clé de partition est l'attribut utilisé par Cosmos DB pour distribuer les données sur plusieurs partitions physiques. Un bon choix est critique car : (1) il doit assurer une distribution uniforme des données et des requêtes pour éviter les partitions chaudes (hot partitions), (2) les requêtes sans la clé de partition sont des cross-partition queries — plus lentes et coûteuses. Idéalement, la clé de partition est souvent utilisée dans les filtres WHERE. Exemple : CustomerID pour une app e-commerce (millions de clients répartis uniformément).

Dynamic Data Masking (DDM) limite l'exposition des données sensibles en masquant automatiquement les données pour les utilisateurs non autorisés — sans modifier les données stockées. Exemple : un numéro de carte bancaire 4532-1234-5678-9012 apparaît comme XXXX-XXXX-XXXX-9012 pour un agent de support, mais en clair pour un administrateur financier. Le masquage s'applique au moment de la requête. Les règles définissent quelles colonnes masquer et selon quel pattern (email, numéro de téléphone, texte aléatoire). C'est une protection complémentaire au RBAC, pas un remplacement du chiffrement.

Données structurées : organisées dans un schéma fixe et prédéfini (tables relationnelles avec colonnes typées). Ex. : SQL Server, Excel. Données semi-structurées : ont une organisation partielle mais pas de schéma rigide. Ex. : JSON, XML, CSV. Données non structurées : sans schéma défini. Ex. : images, vidéos, emails, PDF. Azure propose des solutions adaptées à chaque type : SQL Database (structuré), Cosmos DB (semi-structuré), Azure Blob Storage (non structuré).

OLTP (Online Transaction Processing) optimise les transactions rapides et fréquentes : insertions, mises à jour, suppressions d'enregistrements individuels (ex. : saisie d'une commande, retrait bancaire). Les requêtes sont simples et touchent peu de lignes. OLAP (Online Analytical Processing) optimise les requêtes analytiques complexes sur de grands volumes de données historiques : agrégations, tendances, dimensions multiples (ex. : ventes par région par trimestre). Azure SQL est adapté à l'OLTP ; Azure Synapse Analytics à l'OLAP (data warehouse).

Azure Cosmos DB est une base de données NoSQL multi-modèles qui supporte : (1) Document (API SQL/Core et MongoDB) — données JSON semi-structurées, (2) Clé-valeur (API Table) — paires clé/valeur simples, (3) Colonne large (API Cassandra) — familles de colonnes, (4) Graphe (API Gremlin) — nœuds et arêtes pour les relations complexes. Cosmos DB garantit une latence inférieure à 10ms au 99e percentile et une disponibilité de 99,999% avec réplication multi-région.

Réponse : Les comptes bancaires sont gérés dans Bank Account Management (Fiori) ; Les banques propres sont nécessaires pour les paiements ; Les comptes doivent être assignés aux sociétés et utilisés par F110 ; Des signataires et statuts peuvent être gérés.
Explication : BAM remplace la création classique de comptes bancaires par société et centralise la gouvernance.

Réponse : Valorisation devise, report de soldes, contrôles et publication
Les tâches de clôture GL incluent typiquement : la valorisation des devises étrangères (postes ouverts), la comptabilisation des abonnements/régularisations (accruals), le nettoyage des comptes GR/IR, le lettrage automatique (F.13), et enfin le report de soldes (FAGLGVTR) pour l'ouverture de l'exercice suivant.

Réponse : Identifier et résoudre les écarts entre transactions réciproques des entités d’un même groupe.
Explication : L’ICR compare soldes/mouvements inter‑sociétés et trace le statut de résolution des divergences.

Réponse : GGB1
La transaction GGB1 (Validations) permet de définir des règles de validation qui vérifient les données saisies dans les documents comptables avant leur enregistrement. Par exemple : bloquer une écriture si un compte de charges est utilisé avec un centre de profit non autorisé. C'est un outil de contrôle de saisie en temps réel.

Réponse : Migration Cockpit
Le SAP Migration Cockpit est l'outil standard recommandé pour migrer les données d'immobilisations vers S/4HANA. Il fournit des modèles de migration prêts à l'emploi, gère la validation des données et assure la cohérence entre AA et GL (via ACDOCA) lors du transfert initial.

FB60 (ou son équivalent Fiori) permet la saisie directe d'une facture fournisseur en FI-AP sans lien avec le processus d'achat (MM). Elle génère une écriture débitant le compte de charge et créditant le compte collectif fournisseur. En revanche, MIRO est utilisée pour les factures avec référence bon de commande (flux MM-FI). FB65 est pour les avoirs fournisseurs sans BDC. F-43 est l'ancienne transaction de saisie manuelle. Dans S/4HANA, les apps Fiori remplacent progressivement ces transactions.

Réponse : Vrai
Explication : Le report est réexécutable pour refléter d’éventuels ajustements tardifs avant l’ouverture définitive de l’exercice suivant.

Réponse : FAGLGVTR (ou app Fiori équivalente).
Explication : Ce programme reporte les soldes GL de l’exercice N vers N+1.

Réponse : ACDOCA
La table ACDOCA (Universal Journal Entry Line Items) est la table centrale du Journal Universel en SAP S/4HANA. Elle remplace BSEG (FI), COEP (CO) et ANEK (AA) en consolidant toutes les écritures comptables dans un référentiel unique.

Réponse : Elle mappe les opérations AA (APC, amortissement, cession) vers des comptes GL via des clés configurées par classe d’actifs et zone.
Explication : La détermination des comptes pilote la comptabilisation automatique AA→GL.

Concept clé : Détection des biais dans les données d'entraînement. L'analyse de parité démographique évalue si les résultats du modèle sont équitables entre les groupes démographiques. L'échantillonnage stratifié garantit la représentation de tous les attributs protégés, permettant aux testeurs d'identifier les problèmes d'équité avant le déploiement.

Réponse : S\'assurer que les fournisseurs de l\'organisation et leurs performances sont gérés de manière appropriée afin de supporter l\'approvisionnement continu de produits et services de qualité.
Explication : La gestion des fournisseurs assure que les relations avec les fournisseurs externes sont correctement gérées pour garantir un approvisionnement continu en produits et services de qualité.

Réponse : Le centre de services.
Explication : Le centre de services constitue le point de contact unique (SPOC) entre le fournisseur de services et les utilisateurs pour toutes les communications, demandes et incidents.

Réponse : Des procédures détaillées pour diagnostiquer les incidents.
Explication : La gestion des incidents vise une résolution rapide, pas la documentation détaillée de procédures de diagnostic. Les procédures détaillées relèvent de la gestion des problèmes et de la base de connaissances.

Réponse : L\'utilisateur ou son représentant autorisé.
Explication : En ITIL 4, ce sont les utilisateurs (ou leurs représentants autorisés) qui soumettent des demandes de services, car ils sont les consommateurs directs des services fournis.

Réponse : Maximiser le nombre de changements informatiques réussis en vérifiant que les risques sont correctement évalués.
Explication : Maximiser les changements informatiques réussis en évaluant correctement les risques est un objectif central de la gestion des services, que le centre de services contribue à atteindre en coordonnant les demandes.

Réponse : La gestion des mises en production.
Explication : La gestion des mises en production a pour but de mettre à disposition des services et fonctionnalités nouveaux ou modifiés, en coordonnant le packaging et le déploiement des releases.

Réponse : Déterminer qui est le consommateur du service dans chaque situation.
Explication : Lors de l\'application du principe \'Privilégier la valeur\', la première étape est d\'identifier qui est le consommateur, car la valeur est toujours définie du point de vue du consommateur du service.

Réponse : Une autorité de changement doit être assignée pour chaque type et chaque modèle de changement.
Explication : Chaque type et modèle de changement doit avoir une autorité de changement désignée, garantissant une gouvernance claire et des décisions prises par les personnes appropriées selon le risque et l\'impact.

Réponse : Comprendre comment chaque élément contribue à la création de valeur.
Explication : Le principe \'Opter pour la simplicité\' demande de comprendre comment chaque élément contribue à la valeur, en éliminant ce qui n\'en apporte pas et en évitant la complexité inutile.

Réponse : Flux de valeur et processus.
Explication : La dimension \'Flux de valeur et processus\' se concentre sur les activités et leur coordination pour créer de la valeur. Elle définit comment les différentes parties d\'une organisation collaborent pour livrer des services.

• Customer Key permet à une organisation de :

  • Utiliser et gérer ses propres clés de chiffrement

  • Contrôler le cycle de vie des clés (création, rotation, révocation)

  • Répondre aux exigences réglementaires strictes (comme le RGPD)

Cela donne un contrôle renforcé sur le chiffrement des données Microsoft 365.

❌ Pourquoi les autres réponses sont incorrectes :

• A. Azure PIM → Gère les rôles administratifs temporaires, pas les clés de chiffrement.

• B. Customer Lockbox → Permet de contrôler l’accès des ingénieurs Microsoft aux données, mais ne gère pas les clés de chiffrement.

• C. Azure Information Protection → Sert à classifier et protéger les documents, mais ne donne pas le contrôle des clés de chiffrement au niveau service.

🎯 À retenir pour l’examen MS-900 :

• Customer Key = contrôle des clés de chiffrement par le client

• Customer Lockbox = contrôle de l’accès support Microsoft

• PIM = gestion des privilèges

• AIP = classification et protection des données

• Copilot Chat dans Microsoft Teams peut analyser les conversations et générer des tâches.

• Limitation actuelle : il peut créer des tâches dans Microsoft Planner, mais ne prend pas encore en charge la création directe de tâches dans Microsoft To Do.

• Cela signifie que si vous demandez à Copilot de convertir des éléments d’action en To Do, la commande ne fonctionnera pas directement.

• Privileged Identity Management (PIM) permet :

  • D’attribuer des rôles à durée limitée (ex : Intune Service Administrator)

  • De respecter le principe du moindre privilège, car le technicien n’a les droits élevés que pendant le dépannage

• Les autres options ne donnent pas un accès temporaire contrôlé :

  • Conditional Access → contrôle l’accès, pas la durée des droits

  • Defender for Endpoint → gère la sécurité des appareils, pas les permissions

  • Access Reviews / Global Reader permanent → donne un accès permanent, contraire au principe du moindre privilège

🎯 À retenir pour l’examen MS-900 :

• PIM = droits élevés temporaires pour dépannage ou administration

• Toujours attribuer des permissions limitées dans le temps, plutôt que permanentes, pour sécuriser les comptes administrateurs.

Le programme Cloud Solution Provider (CSP) permet aux organisations :

• D’acheter des licences Microsoft 365 via un partenaire Microsoft, qui gère la facturation et le support.

• De modifier le nombre de licences chaque mois (ajouter ou supprimer des utilisateurs) sans engagement annuel rigide.

• De bénéficier d’un accompagnement personnalisé via le partenaire.

Pour protéger l’accès aux données d’entreprise sur les appareils mobiles :

1. Intune App Protection Policies (politiques de protection d’application) :

   • Permettent de protéger les applications professionnelles (ex : Outlook, Teams) même sur des appareils personnels.

   • Restreignent l’accès aux applications si l’appareil ne respecte pas les règles de conformité (ex : pas de chiffrement, jailbreak détecté).

2. Conditional Access (Accès conditionnel) :

   • Applique des conditions pour accéder aux ressources cloud (ex : Exchange Online).

   • Peut bloquer l’accès aux e-mails si l’appareil est non conforme ou compromis selon les signaux d’Intune.

✅ Ensemble, ces deux fonctionnalités permettent de sécuriser l’accès aux e-mails sur mobiles sans recourir à des solutions tierces.

• La section Token Usage :

  • Montre le nombre total de tokens AI utilisés par votre organisation sur une période donnée.

  • Permet de suivre l’utilisation et estimer les coûts liés à l’usage de Copilot.

• Les autres sections ne fournissent pas cette information :

  • User Engagement → suit l’activité des utilisateurs avec Copilot.

  • Prompt Library → contient les prompts enregistrés et réutilisables.

  • Security Insights → fournit des informations de sécurité et de conformité.

    🎯 À retenir pour l’examen MS-900 :

    • Token Usage = suivi de la consommation de tokens et des coûts Copilot

    • Les autres sections se concentrent sur activité utilisateur, sécurité ou prompts.

• Lorsqu’une Power App est intégrée dans Teams, ses données sont stockées automatiquement dans un environnement Dataverse pour Teams.

• Cela permet :

  • Un stockage structuré et sécurisé

  • L’accès aux données uniquement aux membres de l’équipe Teams

• Les autres options ne sont pas utilisées par défaut pour les Power Apps dans Teams :

  • A : OneDrive for Business sert au stockage de fichiers personnels ou partagés.

  • C : Azure Blob Storage est un service de stockage cloud général, non utilisé par défaut.

  • D : SharePoint Online site library stocke des fichiers, pas les tables Dataverse des Power Apps.

• Viva Insights mesure des indicateurs de productivité et de bien-être :

  • Temps de concentration (Focus time hours)

  • Pauses après réunions (After-meeting breaks)

  • Indicateurs d’efficacité des réunions (Meeting effectiveness score)

• Le coût des licences Microsoft 365 n’est pas un indicateur suivi par Viva Insights, car il relève de la gestion financière et non de la productivité.

Dans Microsoft Teams (Téléphonie Teams / Direct Routing) :

• Les voice routes définissent le chemin que les appels doivent suivre.

• Les PSTN usages permettent d’associer ces routes à des stratégies.

• Cependant, pour que les utilisateurs puissent réellement utiliser ces routes, il faut leur attribuer une stratégie de routage vocal (Voice Routing Policy).

👉 La stratégie de routage vocal est le composant qui associe les enregistrements d’utilisation PSTN aux utilisateurs.
Sans cette stratégie attribuée à l’utilisateur, les routes configurées ne seront pas accessibles, même si elles sont correctement définies dans le système.

• La Timeline view (vue Chronologie) permet :

  • D’afficher les tâches ou phases sur une ligne de temps

  • De visualiser clairement les dates de début et de fin

  • D’avoir une vue simple et synthétique adaptée à un partage dans Teams

Elle est idéale pour donner une vue globale rapide du projet.

❌ Pourquoi les autres réponses sont incorrectes :

• A. Gantt Chart view → Plus détaillée et orientée gestion avancée (dépendances, planification complexe). Moins “simple” pour un aperçu rapide.

• B. Project Roadmap → Sert à consolider plusieurs projets, pas juste à afficher un planning simple d’un projet.

• D. Calendar view → Affiche les tâches par date dans un calendrier, mais ne donne pas une vision linéaire claire des phases.

🎯 À retenir pour l’examen MS-900 :

• Timeline view = vue simple et visuelle des dates de début et fin

• Gantt = gestion avancée

• Calendar = vue mensuelle/journalière
  Roadmap = consolidation multi-projets
  
  

• Microsoft Sentinel Playbooks (basés sur Logic Apps) permettent de :

  • Automatiser la réponse aux incidents (SOAR – Security Orchestration, Automation, and Response)

  • Déclencher des workflows de restauration depuis les backups dès qu’un incident est détecté

  • Réagir rapidement et de manière cohérente face à un ransomware

• Cela offre un processus automatique de containment et de récupération, exactement ce que demande le SOC.

• Objectif d’un tabletop exercise :

  • Identifier lacunes dans les procédures, rôles et responsabilités

  • Former les parties prenantes à la coordination et aux étapes critiques

• Observation : les chemins d’escalade ne sont pas clairs

  • Correctif immédiat = mettre à jour la documentation BCDR

  • Validation = planifier un nouvel exercice pour s’assurer que tous comprennent les procédures

• Cette approche :

  • Est non intrusive, sécurisée et pédagogique

  • Permet de corriger les processus sans risquer les systèmes en production

• Contexte : en cas de panne régionale Azure, les utilisateurs critiques ne peuvent plus s’authentifier via Entra ID.

• Break-glass accounts (comptes de secours) :

  • Comptes hors des dépendances normales d’Azure AD

  • Permettent aux administrateurs et opérateurs critiques d’accéder aux systèmes essentiels

  • Généralement cloud-only, non soumis aux politiques Conditional Access complexes

  • Doivent être audités, sécurisés et testés régulièrement

• C’est une bonne pratique Microsoft pour la continuité et la résilience :

  • Garantit que les opérations critiques peuvent continuer même si Entra ID ou Azure rencontre une panne

• Microsoft Security Baselines pour VMs IaaS recommandent :

  • Endpoint protection activée (Microsoft Defender ou équivalent)

  • OS hardening : mots de passe complexes, journaux activés, configuration de sécurité renforcée

  • Chiffrement des disques (Azure Disk Encryption)

  • Application à grande échelle et cohérente via Azure Policy

• L’usage d’Azure Policy permet :

  • Déploiement automatique ou audit des configurations

  • Remédiation centralisée

  • Conformité avec les bonnes pratiques Microsoft et standards comme CIS

• Microsoft recommande pour les workloads AKS exposés aux APIs :

  • Multi-layer defense : défense en profondeur (defense-in-depth)

  • Azure Firewall pour contrôler le trafic réseau entrant/sortant

  • DDoS Protection Standard pour se protéger contre les attaques volumétriques sur le réseau

  • Application Gateway WAF pour inspecter et protéger les APIs contre :

    • SQL injection

    • Cross-site scripting

    • Autres attaques applicatives

• Cette approche est la baseline de sécurité recommandée pour AKS exposé à Internet.

• Customer-Managed Keys (CMK) pour Cosmos DB :

  • Permet de chiffrer les données au repos en utilisant vos propres clés stockées dans Azure Key Vault

  • Offre contrôle total sur la gestion et la rotation des clés

  • Supporte les exigences de conformité et réglementaires (HIPAA, GDPR, etc.)

• Différence avec les autres options :

A. Client-side encryption

• Chiffrement côté client → les données sont chiffrées avant envoi à Cosmos DB

• Plus complexe à gérer, mais pas nécessaire si vous voulez CMK au repos côté service

C. Transparent Data Encryption (TDE) avec service-managed keys

• Chiffrement automatique par le service

• Vous ne contrôlez pas les clés → ne répond pas à l’exigence de CMK

D. Column-level Always Encrypted

• Disponible pour SQL Server / Azure SQL Database

• Pas applicable à Cosmos DB

Microsoft Defender for IoT (anciennement Azure Defender for IoT) permet de :

• Surveiller passivement le trafic réseau des PLC et autres équipements industriels

• Détecter des anomalies de protocole, mouvements latéraux et comportements suspects

• Ne nécessite pas d’installation directe sur les PLC → aucune perturbation des lignes de production

• Utilise port mirroring sur les switchs pour analyser le trafic réseau de manière non intrusive

Pourquoi c’est adapté :

• Les PLC sont souvent systèmes propriétaires où l’installation d’agents est risquée ou impossible

• La surveillance passive permet de détecter les menaces sans interrompre la production

• Microsoft Intune Device Compliance Policies permet de :

  • Appliquer le chiffrement FileVault sur macOS

  • Contrôler l’exécution des applications via des règles de conformité et d’application

  • Reporter la posture de sécurité des endpoints à Microsoft Entra Conditional Access, permettant de bloquer l’accès aux ressources si le poste n’est pas conforme

• Cette solution couvre tous les objectifs de sécurité demandés pour les postes macOS.

Microsoft Sentinel permet aux équipes SOC de :

• Collecter et centraliser les logs depuis Azure AD, endpoints, applications cloud, et plus

• Exécuter des requêtes de threat hunting personnalisées en Kusto Query Language (KQL)

• Identifier APT, comportements anormaux et attaques avancées avant qu’elles ne deviennent incidents critiques

Pourquoi c’est le bon choix :

• Le besoin est proactif (threat hunting), pas simplement la surveillance ou la gouvernance

• KQL dans Sentinel est l’outil natif pour rechercher, corréler et analyser les événements à grande échelle

Azure AD PIM permet de :

• Gérer les rôles Azure AD et Azure RBAC sensibles

• Fournir un accès Just-in-Time (JIT) pour limiter le temps pendant lequel un utilisateur a des privilèges élevés

• Exiger approbations ou vérifications périodiques pour l’accès aux rôles privilégiés

• Générer des logs d’audit et rapports pour le suivi des activités

Pourquoi c’est adapté :

• Le besoin est validation continue de l’accès privilégié

• PIM est la solution native Microsoft pour le contrôle et la gouvernance des comptes à privilèges élevés

• JIT réduit la fenêtre de risque en n’octroyant des droits qu’au moment nécessaire

Un DaemonSet garantit qu'exactement un pod s'exécute sur chaque noeud du cluster, y compris les nouveaux noeuds créés par l'autoscaling. C'est la ressource Kubernetes conçue pour les agents de surveillance per-noeud.

Cloud Functions supporte nativement les déclencheurs Cloud Storage — la fonction est invoquée automatiquement à chaque upload de fichier. C'est la solution la plus simple et recommandée pour ce pattern événementiel.

Pour créer des budgets et alertes sur un compte de facturation, il faut être administrateur de facturation du projet (project billing administrator). Le budget peut être filtré par projet et par service (Compute Engine), ce qui permet l'alerte spécifique demandée.

GCP Marketplace propose des solutions pré-configurées comme Jenkins qui se déploient en quelques clics. C'est la méthode la plus rapide — tout est automatisé : création de VM, installation, configuration initiale. Aucune installation manuelle n'est nécessaire.

Les snapshot schedules (planifications de snapshots) permettent de définir automatiquement la fréquence des sauvegardes et une règle de rétention (suppression automatique des anciens snapshots). C'est la solution native GCP recommandée, sans scripts ni services supplémentaires.

Google Cloud Marketplace permet de déployer Jenkins entièrement configuré en quelques clics, sans installation manuelle. C'est la méthode la plus rapide et la plus simple — tout est automatisé, y compris la création de la VM et la configuration initiale.

Un export Stackdriver vers BigQuery avec expiration de 60 jours permet d'analyser les journaux de tous les projets avec SQL standard. BigQuery offre des capacités d'analyse rapide et interactive. Cloud Storage ne permet pas de requêtes SQL directes.

Le flux correct est : build image Docker → push vers Container Registry → créer YAML Deployment → kubectl apply. Container Registry est le registre d'images GCP. Cloud Storage ne peut pas servir d'images Docker. kubectl ne déploie pas directement des Dockerfiles.

La bonne pratique est d'utiliser un abonnement Pub/Sub en mode push vers Cloud Run avec un compte de service ayant le rôle Cloud Run Invoker. Cela évite la gestion d'un processus de pull et est la méthode officiellement recommandée par Google.

La protection contre la suppression (deletion protection) empêche toute suppression accidentelle de l'instance, même pour les utilisateurs avec des droits d'administration. Il faut explicitement désactiver cette protection avant de pouvoir supprimer l'instance.

Organiser une réunion de triage avec les chefs de projet serait le moins utile, car cela retire la prise de décision à la Scrum Team et à la gouvernance appropriée de l'organisation. Le Scrum Master devrait plutôt consulter le Development Team, prioriser les obstacles et escalader auprès de la direction concernant l'impact — en maintenant d'abord la responsabilité au sein de la Scrum Team.

Les trois piliers de l'empirisme dans Scrum sont la Transparence, l'Inspection et l'Adaptation. Ces piliers permettent une prise de décision fondée sur des données probantes dans des environnements complexes. La planification, la démonstration et la rétrospective sont des événements du Sprint ; le Respect des personnes et le Kaizen proviennent du Lean—et non des piliers fondateurs de Scrum.

Réponses correctes : Options 1 et 4. Le Guide Scrum stipule que chaque produit nécessite un Product Owner responsable de la maximisation de la valeur. L'option 1 est correcte car un seul PO par produit avec la capacité de déléguer le travail s'aligne sur le modèle de responsabilité de Scrum. L'option 4 est correcte car un seul PO peut déléguer des responsabilités tout en restant redevable — c'est ainsi que le rôle peut s'adapter à l'échelle. L'option 2 base incorrectement le nombre de PO sur le taux d'utilisation des équipes, et l'option 3 interdit à tort la délégation, ce qui limite la capacité de mise à l'échelle.

Les outils de gestion de versions seuls ne peuvent pas résoudre les problèmes de collaboration et de dépendances ; ce sont fondamentalement des problèmes organisationnels et de processus qui nécessitent de la communication, de la planification et un affinage approprié du Backlog. La technologie est un outil, pas une solution aux défis de collaboration humaine dans Scrum.

Les options B et C sont correctes. Une dette technique imprévue rencontrée en cours de Sprint réduit la vélocité (B), et les équipes peuvent artificiellement gonfler leur vélocité en accumulant de la dette plutôt qu'en complétant pleinement le travail (C). L'option A est incorrecte car elle les sépare artificiellement — la dette technique impacte directement la capacité à développer de nouvelles fonctionnalités. L'option D est fausse : la dette technique consomme tout de même de la capacité et masque les tendances réelles de la vélocité.

Réponses correctes : Options 2 et 4. L'option 2 explique correctement que les time-boxes permettent à ceux qui sont au plus près des problèmes de prendre les meilleures décisions dans les contraintes imposées — un principe fondamental de l'auto-organisation. L'option 4 montre correctement que les time-boxes alignent la concentration et la compréhension partagée au sein de l'équipe. L'option 1 confond engagement et contrainte, et l'option 3 représente de manière erronée le rôle du time-boxing dans la planification prévisionnelle.

Le Scrum Master doit enseigner aux équipes à s'auto-organiser avec les compétences nécessaires pour créer des Incréments intégrés de manière autonome. Le Scrum Master ne coordonne pas le travail directement ; il facilite plutôt les conditions permettant aux équipes de se coordonner elles-mêmes. Les options A, C et D centralisent de manière inappropriée la coordination ou créent une synchronisation artificielle, violant ainsi le principe d'auto-organisation de Scrum.

Le Scrum Master doit observer et faciliter la communication entre le Product Owner et la Development Team selon les besoins, sans filtrer toutes les échanges. L'option 1 crée un goulot d'étranglement ; les options 2 et 4 suggèrent que le Scrum Master devrait modifier la façon dont les personnes communiquent, plutôt que de leur apprendre à communiquer efficacement dans le cadre de leurs rôles respectifs.

L'option B est correcte. Le Scrum Master doit accompagner le Product Owner en lui expliquant que l'empirisme et l'émergence sont au cœur de Scrum ; la complexité rend toute prévision parfaite impossible. Les nouveaux apprentissages réalisés durant le Sprint affectent naturellement le Sprint Backlog. L'option A démotive l'équipe par une pression irréaliste, l'option C est défensive et ignore les préoccupations des parties prenantes, et l'option D enfreint le principe selon lequel l'ajout de personnes en cours de Sprint réduit la productivité et ne résout pas les problèmes de fond.

Ces trois facteurs ont un impact sur les résultats du Sprint. Le Guide Scrum souligne que les résultats d'un Sprint dépendent de la composition de l'équipe, des compétences, des relations de travail, de la complexité technologique et de la clarté des exigences. Ce sont des variables interdépendantes qui déterminent collectivement ce qu'une équipe peut accomplir au cours d'un Sprint donné.

Réponse : En fournissant un atelier sur les techniques de conception de tests.
Explication : Un atelier sur les techniques de conception de tests remédie directement à la faible efficacité de détection des défauts en dotant les testeurs de méthodes systématiques et répétables pour dériver des cas de test de meilleure qualité. Les techniques pratiques (partitionnement des équivalences, analyse des valeurs limites, tables de décision, transitions d\'état, techniques d\'appairage) améliorent la couverture et augmentent la probabilité de détection des défauts.

Réponse : Un aperçu détaillé de l\'approche de test basée sur les risques utilisée pour assurer la réalisation des critères de sortie..
Explication : D est correct car les cadres supérieurs non-spécialistes ont besoin d\'informations concises et orientées résultats, non d\'une exposition détaillée opérationnelle de l\'approche basée sur les risques. Un rapport doit prioriser l\'état versus objectifs, risques clés et atténuations, tendances et actions managériales recommandées pour décisions efficaces.

Réponse : Inspections.
Explication : Les inspections (B) sont les moins appropriées car c\'est une technique d\'examen statique, axée sur les défauts, destinée à trouver des non-conformités dans les produits de travail plutôt qu\'à identifier proactivement les risques projet et produit. Les inspections utilisent des listes de contrôle et une approche orientée détection de défauts, tandis que l\'identification des risques nécessite une exploration prospective des incertitudes futures.

Réponse : Qualité d\'entrée inconnue due au développement par un tiers.
Explication : D est correct car la qualité d\'entrée inconnue provenant du développement par un tiers crée le plus grand risque d\'estimateur : variance élevée des taux de défauts, comportements d\'intégration imprévisibles et efforts de vérification imprévisibles qui gonflent directement les estimations de temps et ressources. Les hypothèses quantifiées deviennent invalides avec les entrées tierces.

Réponse : Portabilité.
Explication : C est correct car la portabilité est un attribut non-fonctionnel de faible priorité pour un système de surveillance médicale critique pour la sécurité, normalement lié à des piles matériel/système d\'exploitation certifiées. La disponibilité, la sécurité et la fiabilité ont un impact direct sur le risque patient et les preuves réglementaires.

Réponse : Créer une estimation basée sur la technique d\'analyse de points de fonction et l\'analyse de points de test.
Explication : La réponse A est correcte car l\'analyse de points de fonction combinée à l\'analyse de points de test produit une estimation précoce basée sur la taille, spécifique aux tests, indépendante de la disponibilité du code source. L\'APF fournit une métrique de taille fonctionnelle, l\'APT traduit cette taille en effort de test en appliquant les facteurs de testabilité et de qualité.

Réponse : Les critères d\'entrée et de sortie pour chaque phase de test / Les techniques de conception de test à utiliser.
Explication : AC est correct car une stratégie de test défendable prescrit explicitement les techniques de conception de test pour atteindre la couverture et l\'atténuation des risques (C) et les critères d\'entrée/sortie qui gouvernent la progression des phases et les barrières qualité (A). Une stratégie de test robuste est un cadre décisionnel de haut niveau qui détermine comment les objectifs de test seront atteints et comment les risques informent la priorisation et la portée.

Réponse : Pourcentage de couverture des exigences.
Explication : B est correct car le pourcentage de couverture des exigences quantifie directement l\'adéquation des tests par rapport à l\'objectif déclaré de valider que le système satisfait ses exigences. L\'efficacité du test dans un contexte piloté par les exigences repose sur la mesure objective de la complétude de la couverture des exigences et de la détection des non-conformités.

Réponse : Définir les attentes concernant les tâches et les livrables / Canaux de communication clairs / Cultures possiblement différentes.
Explication : BCD est correct. L\'externalisation introduit des ambiguïtés contractuelles sur les livrables, nécessite des canaux de communication robustes et expose le projet à des différences culturelles. La définition précise des attentes, des critères d\'acceptation et des SLA est essentielle pour éviter les dérives de périmètre et les litiges.

Réponse : Prévoir un environnement de test de secours en cas de défaillance de l\'environnement existant pendant les tests.
Explication : C est correct car prévoir un environnement de test de secours est une mesure d\'atténuation proactive et au niveau du projet qui réduit la probabilité et l\'impact d\'une défaillance d\'environnement. L\'atténuation des risques projet consiste en actions anticipées et délibérées réduisant l\'exposition aux menaces identifiées. Un environnement redondant est une mesure classique car une défaillance d\'environnement est un point de défaillance unique fréquent pouvant arrêter complètement les tests et augmenter les coûts.

A. Retourner une liste de vols vide comme si la recherche avait réussi mais n'avait trouvé aucun vol correspondant. Incorrect. Cela masque l'échec et induit le système en erreur en lui faisant croire qu'aucun vol n'existe, ce qui peut conduire à des conclusions incorrectes. B. Enregistrer l'erreur en interne et retourner une réponse vide, laissant le modèle continuer sans les données de vols. Incorrect. Cela supprime également le signal d'échec, empêchant l'agent de prendre des mesures correctives. C. Retourner un message d'erreur dans le résultat de l'outil expliquant que le service est temporairement indisponible. Incorrect. Bien que transparent, cela ne tente pas à lui seul une récupération et peut dégrader inutilement l'expérience utilisateur. D. Réessayer automatiquement la requête jusqu'à cinq fois avec un backoff exponentiel avant de retourner les résultats à l'agent. Correct. Il s'agit de l'approche la plus efficace : elle gère les pannes transitoires de manière élégante, améliore la fiabilité et ne remonte les erreurs que si les tentatives échouent.

A. L'agent coordinateur reçoit la sortie de l'agent de recherche web et inclut les résultats pertinents dans le prompt lors de l'invocation de l'agent d'analyse de documents. Correct. Cela suit le modèle d'orchestration standard où le coordinateur gère tous les flux de données, en transmettant explicitement les sorties entre les sous-agents. B. Les agents communiquent via une file de messages orientée événements, l'agent d'analyse de documents s'abonnant aux événements de fin de recherche web. Incorrect. Cela introduit une complexité d'infrastructure inutile et ne correspond pas au modèle d'orchestration d'agents habituel. C. L'agent de recherche web invoque directement l'agent d'analyse de documents, en utilisant les sources découvertes comme paramètres. Incorrect. Les sous-agents ne doivent pas s'invoquer directement entre eux ; cela rompt le contrôle centralisé et la traçabilité. D. Les deux agents accèdent à un espace mémoire partagé où l'agent de recherche web écrit les résultats et l'agent d'analyse de documents les lit. Incorrect. Bien que cela soit possible dans des systèmes avancés, ce n'est pas l'approche standard ou la plus simple ; cela ajoute de la complexité sans nécessité évidente dans les pipelines classiques.

A. Créer une nouvelle playlist « Focus » avec des titres sélectionnés et notifier l'utilisateur qu'elle est prête. Incorrecte. Cette option suppose une intention et risque d'effectuer la mauvaise action, ce qui frustre les utilisateurs. B. Poser une question de clarification sur le type d'action : écouter maintenant ou configurer pour plus tard. Correcte. Cela minimise les frictions tout en résolvant l'ambiguïté, permettant à l'assistant d'effectuer rapidement la bonne action. C. Lancer immédiatement des titres populaires de concentration et laisser l'utilisateur rediriger si nécessaire. Incorrecte. Agit prématurément et peut ne pas correspondre à l'intention de l'utilisateur. D. Démarrer la configuration des préférences en posant des questions sur les genres, le tempo et les artistes. Incorrecte. Trop lourd en amont — ajoute des frictions inutiles avant de confirmer l'intention.

A. Mettre en œuvre une déduplication sémantique pour identifier et supprimer les informations redondantes dans les résultats RAG accumulés et les tours de conversation — Incorrect. Cela réduit la redondance, mais ne résout pas le problème central de l'accumulation non bornée du contexte RAG. B. Mettre en œuvre une fenêtre glissante pour les résultats RAG des 2 à 3 dernières requêtes tout en préservant l'historique de la conversation — Correct. Cela répond directement au problème de saturation du contexte en limitant la croissance du RAG tout en maintenant la continuité de la conversation. C. Réaffecter le budget de contexte en faveur des résultats RAG tout en réduisant l'allocation de l'historique de conversation — Incorrect. Cela détériore la cohérence en sacrifiant le contexte conversationnel. D. Compresser tous les résultats RAG en un document de synthèse consolidé qui se met à jour de manière incrémentielle après chaque récupération — Incorrect. Cela peut entraîner une perte d'informations et une dérive du résumé, en particulier sur de nombreux tours de conversation.

A. Votre invite système doit contenir des instructions explicites demandant à Claude de mémoriser les informations des échanges précédents. Incorrect. Les instructions seules ne confèrent pas de mémoire au modèle — le contexte doit être fourni à chaque requête. B. Vous n'incluez pas les messages précédents dans chaque requête API — l'API sans état ne conserve pas l'historique de la conversation. Correct. Claude est sans état. Si les messages précédents ne sont pas transmis dans la requête, il n'a aucune connaissance du vocabulaire antérieur. C. Vous devez activer la persistance de la conversation en transmettant un paramètre d'identifiant de session à chaque appel API. Incorrect. Il n'existe pas d'identifiant de session requis — la mémoire est gérée en incluant les messages passés. D. La fenêtre de contexte du modèle est saturée, ce qui entraîne la perte du contenu des échanges précédents. Incorrect. Cela ne se produirait que lors de conversations très longues, et non dans des scénarios de tests initiaux classiques.

A. Enregistrer l'erreur côté serveur et retourner un résultat vide pour ne pas perturber le modèle — Incorrect. Cela masque les informations critiques sur l'échec, rendant impossible pour l'agent de distinguer « aucune donnée » d'une « défaillance système ». B. Lever une exception depuis le gestionnaire d'outil afin que le framework agent puisse la capturer et la journaliser — Incorrect. Les exceptions sont utiles en interne, mais l'agent a toujours besoin d'une réponse structurée de l'outil ; les exceptions brutes ne propagent pas de manière fiable un contexte utile au modèle. C. Retourner le message d'erreur dans le contenu du résultat de l'outil avec le flag isError défini à true — Correct. Il s'agit du modèle MCP approprié : l'outil signale explicitement l'échec en utilisant isError: true, tout en fournissant un message d'erreur lisible afin que l'agent puisse décider de réessayer, d'escalader ou d'informer l'utilisateur. D. Retourner une réponse de succès avec un champ « status » indiquant le type d'erreur — Incorrect. Cela est trompeur car cela traite les échecs comme des réponses réussies, ce qui perturbe le raisonnement en aval et l'orchestration des outils.

A. Définir la température à 0 pour éliminer la variabilité des sorties et garantir un formatage cohérent — Incorrect. Cela réduit l'aléatoire mais ne corrige pas les erreurs d'extraction systématiques comme la mauvaise interprétation des plages (« 2 à 3 »). B. Envoyer une requête de suivi incluant l'erreur de validation, en demandant au modèle de corriger sa sortie — Correct. Fournir un retour de validation précis permet au modèle de corriger le problème exact (par exemple, convertir « 2 à 3 » en un nombre flottant valide), rendant la récupération très efficace. C. Pré-traiter les documents sources pour standardiser les formats problématiques avant de les envoyer à l'extraction — Incorrect. Utile dans certains cas, mais pas évolutif ni suffisant pour gérer la diversité des variations du monde réel. D. Mettre en place un pipeline secondaire utilisant un modèle de niveau supérieur pour retraiter les documents qui échouent à la validation — Incorrect. Plus coûteux et inutile — la correction ciblée est plus efficace et plus performante.

A. Des descriptions de paramètres claires expliquant le format attendu, par exemple « user_id : UUID de l'utilisateur à mettre à jour (obligatoire) » — Correct. Des descriptions claires et lisibles sont le facteur le plus important pour aider Claude à comprendre quelles valeurs fournir et comment les paramètres doivent être structurés. B. Des noms de paramètres verbeux encodant des indications de format, comme user_id_string_uuid_format — Incorrect. Des noms excessivement verbeux réduisent la lisibilité et sont moins efficaces que des descriptions appropriées. C. Des contraintes de type JSON Schema strictes marquant user_id comme obligatoire et définissant fields_to_update comme type objet — Incorrect. Les contraintes de schéma facilitent la validation, mais n'expliquent pas suffisamment les attentes sémantiques comme le format UUID requis. D. Des réponses d'erreur détaillées expliquant pourquoi des valeurs de paramètres invalides ont été rejetées — Incorrect. Utiles après un échec, mais pas le facteur le plus critique pour prévenir les erreurs en amont.

B. Les détails de la commande sont ajoutés à la conversation et le modèle raisonne sur l'action à entreprendre. Correct. Dans une boucle agentique, les résultats des outils (comme « acheté il y a 45 jours ») sont réinjectés dans le contexte du modèle, et celui-ci réévalue la situation de manière dynamique. Il décide ensuite s'il convient de procéder avec process_refund, d'escalader vers un humain, ou d'entreprendre une autre action en fonction de la politique et des informations mises à jour. Pourquoi les autres réponses sont incorrectes : A. Séquence d'outils fixe planifiée dès le départ — Incorrect. Les systèmes agentiques ne sont pas des flux de travail statiques ; ils s'adaptent après chaque observation. C. Arbre de décision préconfiguré — Incorrect. Il s'agit d'une automatisation basée sur des règles, et non d'un raisonnement piloté par un LLM. D. La couche d'orchestration achemine automatiquement le prochain appel d'outil — Incorrect. Cela supprime le rôle de raisonnement du modèle et le transforme en un routage déterministe.

A. Persister l'intégralité de l'historique de conversation et des réponses aux outils dans une base de données, puis appeler escalate_to_human avec un identifiant de référence — Incorrect. Utile sur le plan opérationnel, mais l'agent humain a tout de même besoin d'un résumé concis et exploitable plutôt que de simples journaux bruts. B. Appeler escalate_to_human en ne transmettant que le message original du client — Incorrect. Cela perd le travail d'investigation déjà effectué et oblige l'agent humain à répéter les étapes. C. Tenter le remboursement avec process_refund quoi qu'il arrive, en escaladant uniquement si le système rejette la transaction — Incorrect. Cela viole les limites d'autorisation et la politique métier. D. Compiler une passation de contexte structurée incluant les détails du client, les informations de commande et le problème identifié avant d'appeler escalate_to_human — Correct. Une passation structurée préserve le contexte, réduit les répétitions et permet à l'agent humain de continuer efficacement.