Ne découvrez pas l'examen
le jour J

Cette question correspond à l\'objectif d\'apprentissage FL-5.1.4 (K3) - Utiliser des techniques d\'estimation pour calculer l\'effort de test requis.

L\'estimation à 3 points utilise la formule : (Optimiste + 4 × Plus probable + Pessimiste) ÷ 6

Donc : (6 + 4 × 15 + 24) ÷ 6 = (6 + 60 + 24) ÷ 6 = 90 ÷ 6 = 15

● a) Correct → 15 jours-personnes est le résultat correct de la formule d\'estimation à trois points.
● b) Faux → 16 jours-personnes n\'est pas le résultat correct.
● c) Faux → 17 jours-personnes n\'est pas le résultat correct.
● d) Faux →18 jours-personnes n\'est pas le résultat correct.

Cette question correspond à l\'objectif d\'apprentissage FL-2.1.3 (K1) – Rappeler des exemples d\'approches de développement piloté par les tests.
● a) Correct → Le TDD (Test-Driven Development) est une approche où les tests sont écrits avant l’implémentation du code.
● b) Faux → Le modèle en cascade ne suit pas un développement itératif avec des tests en amont.
● c) Faux → Le modèle en V inclut une phase de test bien définie, mais les tests ne sont pas écrits avant le développement du code.
● d) Faux → L’intégration continue permet d’exécuter régulièrement des tests, mais ce n’est pas une approche de développement piloté par les tests.

Cette question correspond à l\'objectif d\'apprentissage FL-4.4.1 (K2) – Expliquer les
techniques de test basées sur l\'expérience et leur utilisation.
● a) Faux → La rédaction de cas de test détaillés nécessite une documentation
complète, ce qui n\'est pas disponible ici.
● b) Correct → Les tests exploratoires permettent de découvrir rapidement des
défauts même en l\'absence de documentation détaillée.
● c) Faux → Attendre la documentation complète retarderait inutilement le processus
de test.
● d) Faux → L\'automatisation nécessite une connaissance préalable des cas de test et
du comportement attendu, ce qui n\'est pas possible sans documentation.

Cette question correspond à l\'objectif d\'apprentissage FL-4.5.1 - Expliquer comment rédiger
des User Stories en collaboration avec des développeurs et des représentants du métier.
● a) Correct → Ce cas de test est directement aligné avec le besoin métier (voir les produits les mieux notés) et répond à un critère d’acceptation de la User Story (trivdécroissant).
● b) Faux → Ce changement de couleur n’est pas mentionné dans la User Story.
c) Faux → Le comportement sans JavaScript n’est pas un critère couvert, et relève de tests techniques spécifiques.
d) Faux → L’ouverture de la fiche produit n’est pas liée à la fonctionnalité de tri décrite dans la User Story

Cette question correspond à l\'objectif d\'apprentissage FL-4.2.1 (K3) – Utiliser les partitions d\'équivalence pour dériver les cas de test
● a) Correct → Les valeurs 9 € (juste en dessous du minimum), 10 € (minimum), 10 000 € (maximum) et 10 001 € (juste au-dessus du maximum) couvrent les limites inférieures et supérieures
● b) Faux → Les valeurs intermédiaires comme 5 000 € ne testent pas les limites.
● c) Faux → 0 € et 15 000 € sont en dehors des limites pertinentes.
● d) Faux → Tester uniquement les valeurs limites sans les valeurs juste en dehors des limites ne couvre pas tous les scénarios possibles.

Cette question correspond à l’objectif d’apprentissage FL-1.5.2 (K1) – Rappeler les avantages de l’approche intégrée.

● a) Faux → L’intégration réduit la séparation
● b) Correct → Une équipe intégrée = collaboration renforcée
● c) Faux → Le testeur reste essentiel même dans une équipe Agile
● d) Faux → La documentation existe, même si elle est plus légère

Cette question correspond à l’objectif d’apprentissage FL-1.1.1 (K1) – Identifier les objectifs habituels du test.
● a) Faux → Il est impossible de démontrer qu’un logiciel est totalement exempt de défauts.
● b) Correct → Les tests réduisent le risque de défauts et augmentent la probabilité que le logiciel réponde aux exigences.
● c) Faux → Vérifier la conformité aux spécifications est une partie des tests, mais pas leur seul objectif.
● d) Faux → Les tests ne remplacent pas l’assurance qualité, qui inclut d’autres activités comme l’analyse des processus.

Cette question correspond à l’objectif d’apprentissage FL-3.2.3 (K1) – Rappeler quelles sont les responsabilités attribuées aux rôles principaux lors des revues.
● a) Faux → Le modérateur organise la revue, mais ne corrige pas les défauts.
● b) Correct → L’auteur est la personne qui a produit l’artefact analysé et qui doit corriger les défauts détectés.
● c) Faux → Le lecteur examine les documents, mais n’effectue pas de corrections.
● d) Faux → Le responsable qualité veille au respect du processus, mais n’intervient pas directement dans la correction des défauts.

Cette question correspond à l\'objectif d\'apprentissage FL-4.5.3 (K3) - Utiliser le développement piloté par les tests d\'acceptation (ATDD) pour dériver les cas de tests.

● a) Faux → Cette approche confond les tests unitaires avec les tests d\'acceptation.
Dans l\'ATDD, l\'objectif est de créer des tests d\'acceptation automatisés qui valident les comportements attendus du point de vue de l\'utilisateur, pas de décomposer le scénario en tests unitaires.

● b) Faux → Ajouter des détails techniques d\'implémentation va à l\'encontre des principes de l\'ATDD. Les tests d\'acceptation doivent se concentrer sur le comportement observable et les critères d\'acceptation métier, pas sur les détails d\'implémentation technique.

● c) Correct → Cette approche est parfaitement alignée avec les principes de l\'ATDD.

Le scénario actuel est trop vague et ne fournit pas d\'exemples concrets permettant de déterminer si l\'implémentation est correcte. En ajoutant plusieurs exemples avec des valeurs d\'entrée spécifiques (différents niveaux de revenus, scores de crédit, valeurs de propriété) et les résultats attendus correspondants (éligible/non éligible),le scénario devient beaucoup plus clair.

d) Faux → Cette réponse contredit fondamentalement la nature collaborative de l\'ATDD. Dans l\'ATDD, l\'écriture et l\'automatisation des tests d\'acceptation font partie
intégrante du processus de développement et impliquent idéalement les développeurs, les testeurs ET les parties prenantes métier. Confier cette responsabilité uniquement aux testeurs après le développement revient à abandonner l\'approche \"piloté par les tests\" de l\'ATDD.

Cette question correspond à l’objectif d\'apprentissage FL-2.1.4 (K2) - Résumer la façon dont DevOps pourrait avoir un impact sur le test.

La bonne réponse est c) i, ii, iv ont une influence significative ; iii non.

● i) Correct → DevOps nécessite un équilibre entre tests automatisés et manuels.
● ii) Correct → Les cycles de livraison rapides imposent des tests rapides et efficaces.
● iii) Faux → DevOps ne se limite pas aux tests de non-régression, d’autres types de tests sont nécessaires.
● iv) Correct → Assurer la stabilité de l’environnement de test est crucial en intégration continue.

Classification des données : Un processus systématique qui catégorise les informations en fonction de leur sensibilité et de leur valeur afin de déterminer les contrôles de sécurité appropriés. Les organisations attribuent des niveaux de protection (public, interne, confidentiel, restreint) pour s'assurer que les ressources correspondent au risque réel. Bien que la conformité et la réduction des coûts puissent en découler, l'objectif PRINCIPAL est d'établir des mesures de protection adéquates — et non d'identifier des vulnérabilités ou de réduire les dépenses.

Réponse : Un employé reçoit une demande de carte-cadeau par e-mail avec le nom d'un dirigeant affiché dans le champ d'affichage.
Explication : Les attaques de type BEC (Business Email Compromise) usurpent l'identité de dirigeants en falsifiant le nom affiché (tout en utilisant une adresse e-mail réelle différente) pour inciter les employés à effectuer des transactions financières, comme l'achat de cartes-cadeaux.

Demander des identifiants via un e-mail prétendant provenir d'un cadre dirigeant est typique d'une compromission de messagerie professionnelle (BEC), car elle exploite la confiance accordée à la hiérarchie.

Plan de données Zero Trust : La microsegmentation divise les réseaux en zones sécurisées, appliquant des contrôles d'accès granulaires basés sur la vérification en temps réel de l'identité des utilisateurs et de l'état des appareils. Cela empêche les mouvements latéraux au sein du plan de données. Contrairement au RBAC (plan de contrôle), à l'MFA adaptative (périmètre d'authentification) ou à la suppression des systèmes legacy (architecture), la microsegmentation implémente directement le Zero Trust au niveau de la couche de données où circule le trafic réel.

Analyse de vulnérabilités : Un outil de sécurité automatisé qui analyse systématiquement les systèmes pour détecter les failles, les mauvaises configurations et les logiciels non mis à jour avant que des attaquants ne les exploitent. Contrairement aux tests d'intrusion (qui simulent de véritables attaques) ou à la capture de paquets (qui intercepte le trafic réseau), l'analyse de vulnérabilités permet une identification proactive des failles de sécurité.

Réponse : Chiffrement complet du disque.
Explication : Le chiffrement complet du disque (FDE) protège l'ensemble des données d'un ordinateur portable en chiffrant la totalité du disque. En cas de perte ou de vol, les données restent inaccessibles sans la clé de déchiffrement, protégeant ainsi les informations sensibles de l'entreprise.

SIEM (Security Information and Event Management) : Une plateforme centralisée qui agrège les journaux provenant de sources diverses — systèmes, applications, réseaux — permettant la corrélation en temps réel, l'analyse et la détection des menaces. Contrairement au DLP (prévention des pertes de données), à l'IDS (détection des intrusions) ou au SNMP (protocole de surveillance réseau), le SIEM excelle particulièrement dans la centralisation et la corrélation de multiples sources de journaux pour une surveillance de sécurité complète.

L'énoncé des travaux (Statement of Work - SOW) : Un document contractuel contraignant qui précise le périmètre du projet, les livrables, le calendrier, l'allocation des ressources et les estimations horaires pour les services d'un prestataire. Contrairement aux SLA (métriques de performance), aux NDA (confidentialité) ou aux BPA (termes de partenariat), le SOW définit directement les limites de la mission et les coûts de main-d'œuvre.

Signature numérique : Une technique cryptographique qui utilise le chiffrement asymétrique pour vérifier l'identité de l'expéditeur (authentification) et confirmer que le message n'a pas été altéré (intégrité). L'expéditeur signe avec sa clé privée ; les destinataires vérifient avec la clé publique. Contrairement au chiffrement (qui masque le contenu), aux pare-feux (sécurité réseau) ou à la 2FA (contrôle d'accès), les signatures numériques prouvent spécifiquement l'origine et détectent toute falsification.

Réponse : Site tiède (Warm).
Explication : Un site tiède (warm site) dispose d'un matériel partiellement configuré et d'une capacité limitée de restauration des données, offrant un RTO/RPO de quelques heures à quelques jours. Il est économique (moins coûteux qu'un site chaud) tout en satisfaisant une exigence de reprise en 2 jours, contrairement à un site froid qui nécessiterait plusieurs semaines.

Azure SQL Managed Instance : solution cloud offrant une compatibilité quasi complète avec SQL Server on-premise, incluant les agents SQL, jobs, et la réplication native. Contrairement à Azure SQL Database (service entièrement managé avec limitations), Managed Instance émule l'environnement SQL Server complet dans une instance dédiée, facilitant la migration sans refonte majeure.

Azure Blob Storage (Binary Large Object) est le service de stockage objet d'Azure, optimisé pour les fichiers non structurés. Il propose trois niveaux d'accès : Hot (accès fréquent, coût stockage élevé), Cool (accès peu fréquent, coût moindre), Archive (stockage long terme, accès très rare, coût minimal). Il supporte jusqu'à 190 TB par blob et des milliards de blobs par compte de stockage. C'est la base du Data Lake Azure et des backups Azure.

Azure Synapse Analytics est un service d'analytique intégré qui combine : (1) Data warehousing avec Synapse SQL (pools dédiés pour OLAP à grande échelle), (2) Big Data avec Apache Spark intégré, (3) ETL/ELT avec des pipelines intégrés (similaire à Azure Data Factory), (4) Exploration avec Synapse Link (requêtes directes sur Cosmos DB et Azure SQL sans ETL). Il offre un workspace unifié où data engineers, data scientists et analystes collaborent. C'est la solution analytique de bout en bout d'Azure.

GROUP BY : clause SQL qui regroupe les lignes partageant les mêmes valeurs dans une ou plusieurs colonnes, permettant d'appliquer des fonctions d'agrégation (COUNT, SUM, AVG...). À distinguer de ORDER BY (qui trie) et PARTITION BY (qui divise les données pour des calculs analytiques sans fusionner les lignes).

Azure Machine Learning : plateforme complète dédiée à la création, l'entraînement et le déploiement de modèles d'IA/ML. Elle offre des outils pour l'expérimentation et l'automatisation du machine learning. À ne pas confondre avec Azure Databricks (analytics distribuée), Azure Synapse (data warehouse) ou Azure Functions (exécution serverless de code).

Azure Databricks : plateforme collaborative fondée sur Apache Spark, optimisée pour le traitement distribué de Big Data et le machine learning. Elle combine Spark (moteur de calcul puissant) avec un environnement notebook intégré et des outils ML. Contrairement à Azure Synapse Analytics (orientée data warehousing/SQL) ou Azure Machine Learning (ML spécialisé), Databricks excelle dans le traitement massif de données non structurées et les workflows Big Data collaboratifs.

Réponse : Azure SQL Database. Explication : Azure SQL Database est une base de données relationnelle entièrement gérée en tant que PaaS qui minimise la maintenance continue. Microsoft gère les mises à jour du système d'exploitation, les mises à jour de SQL Server, les sauvegardes et la haute disponibilité. C'est le choix recommandé pour les nouvelles charges de travail de bases de données relationnelles dans Azure.

Azure SQL Managed Instance offre la compatibilité la plus élevée avec SQL Server on-premises (surface d'API proche de 100%). Il prend en charge les fonctionnalités avancées comme SQL Agent, le Service Broker, les linked servers, et les CLR assemblies — fonctionnalités souvent indispensables aux applications existantes. Azure SQL Database offre moins de compatibilité mais plus d'élasticité. Azure Database Migration Service (DMS) est l'outil de migration (pas une base de données). Pour les migrations lift-and-shift, SQL MI est la cible recommandée.

Réponse : Azure SQL Database. Explication : Azure SQL Database est un service de base de données relationnelle PaaS complètement géré, optimisé pour les charges de travail OLTP dans les applications SaaS. Il fournit la mise à l'échelle automatique, la haute disponibilité intégrée et la sécurité sans nécessiter de gestion d'infrastructure.

Clé primaire : colonne ou ensemble de colonnes garantissant l'unicité de chaque enregistrement dans une table relationnelle. Elle empêche les doublons et permet l'identification précise des données. Contrairement aux clés étrangères (qui créent des relations entre tables) ou aux index (qui optimisent les performances), la clé primaire est fondamentalement un mécanisme d'intégrité et de distinction des données.

Ordre correct :

1. Créer dans le plan de comptes
2. Étendre au code société
3. Définir OI/Tax Category
4. Affecter Field Status Group
5. Sauvegarder

La création d'un compte G/L dans S/4HANA nécessite d'abord de le définir au niveau du plan de comptes (données communes), puis de l'étendre au niveau du code société avec ses paramètres spécifiques.

Réponse : Le solde résiduel clôt l'original et crée un nouvel open item
En AR/AP SAP :

• Paiement partiel : conserve le document original ouvert, crée un paiement partiel séparé. Les deux restent ouverts.
• Solde résiduel : clôt le document original et crée un nouvel open item pour la différence. Une seule écriture ouverte subsiste.

Réponse : DMEE modélise la structure du fichier de paiement
Le DMEE (Data Medium Exchange Engine) est l'outil qui définit la structure et le format des fichiers de paiement (SEPA, XML, etc.). Le Payment Medium Workbench (PMW) gère l'exécution et le suivi des fichiers de paiement générés.

Réponse : Vrai
Explication : Les modèles analytiques CDS (avec annotations) délèguent agrégations/calculs à HANA et sont consommés par Fiori/Smart Business.

Réponse : Vrai
Pour exécuter un prélèvement SEPA (SDD - SEPA Direct Debit), un mandat SEPA actif doit être associé au Business Partner client. Ce mandat contient le numéro de mandat, les coordonnées bancaires et la date de signature. Sans mandat valide, le prélèvement ne peut pas être généré.

Réponse : Migration Cockpit
Le SAP Migration Cockpit est l'outil standard recommandé pour migrer les données d'immobilisations vers S/4HANA. Il fournit des modèles de migration prêts à l'emploi, gère la validation des données et assure la cohérence entre AA et GL (via ACDOCA) lors du transfert initial.

Réponse : Une écriture d’ajustement de valeur en plus de l’amortissement planifié lorsque la valeur recouvrable diminue.
Explication : Elle corrige la valeur comptable indépendamment de la clé d’amortissement.

Réponse : Vrai
Explication : Les zones peuvent poster à des ledgers/ledger groups différents afin de couvrir plusieurs référentiels (local/IFRS).

Réponse : Un plan de comptes opérationnel
Pour créer et étendre des comptes G/L, chaque code société doit être associé à un plan de comptes opérationnel (Operating Chart of Accounts). C'est l'affectation indispensable qui détermine quels comptes sont disponibles pour ce code société.

Ordre correct Procure-to-Pay :

1. Commande d'achat (ME21N) avec imputation
2. Réception de marchandises (MIGO/GR)
3. Réception de facture (MIRO)
4. Paiement via F110 (automatique) ou F-53 (manuel)

Le flux P2P génère des écritures automatiques dans FI à la réception de marchandises (débit stock/charges / crédit GR/IR) et lors de la facture (débit GR/IR / crédit fournisseur).

Réponse : Chaque activité de la chaîne de valeur contribue à la chaîne de valeur en transformant des entrées spécifiques en livrables.
Explication : Chaque activité de la chaîne de valeur transforme des entrées en livrables spécifiques. Les activités ne sont pas séquentielles mais s\'interconnectent selon les besoins pour créer de la valeur.

Réponse : La gestion des niveaux de service.
Explication : La gestion des niveaux de service définit et suit les métriques reflétant l\'expérience réelle du client, en établissant des accords sur la qualité du service fourni.

Réponse : L\'utilisateur ou son représentant autorisé.
Explication : En ITIL 4, ce sont les utilisateurs (ou leurs représentants autorisés) qui soumettent des demandes de services, car ils sont les consommateurs directs des services fournis.

Réponse : L\'amélioration continue.
Explication : L\'amélioration continue est la responsabilité de chacun dans l\'organisation, pas seulement d\'une équipe dédiée. Chaque employé doit contribuer à l\'identification et à la mise en oeuvre des améliorations.

Réponse : Les principes directeurs peuvent guider une organisation en toutes circonstances.
Explication : Les principes directeurs ITIL 4 sont universels et s\'appliquent en toutes circonstances, à toute organisation et tout type de projet ou initiative, quelle que soit la situation.

Réponse : Une demande d\'un utilisateur concernant quelque chose qui fait partie intégrante de la fourniture normale des services.
Explication : La gestion des demandes de services prend en charge les demandes standard faisant partie de la fourniture normale des services, comme une réinitialisation de mot de passe ou la commande d\'un équipement.

Réponse : Une autorité de changement doit être assignée pour chaque type et chaque modèle de changement.
Explication : Chaque type et modèle de changement doit avoir une autorité de changement désignée, garantissant une gouvernance claire et des décisions prises par les personnes appropriées selon le risque et l\'impact.

Réponse : Le centre de services.
Explication : Le centre de services est le point d\'entrée unique pour les utilisateurs. Il inclut la classification et la propriété de toutes les questions et demandes, qu\'il redirige vers les équipes appropriées.

Réponse : Offre de service.
Explication : Une offre de service est un ensemble de produits et services proposé à un consommateur. Le package (ordinateur + logiciels + licences + support) constitue une offre de service complète et packagée.

Réponse : les résultats.
Explication : Selon ITIL 4, un service est un moyen de co-créer de la valeur en facilitant les résultats que les clients souhaitent atteindre, sans qu\'ils aient à gérer les coûts et risques spécifiques.

Dans Microsoft Viva Goals, il est possible de contrôler la visibilité des objectifs (Goals) et des OKR en configurant des autorisations au niveau de l’équipe ou de l’objectif.

👉 Les contrôles d’accès basés sur l’équipe permettent :

• De limiter la visibilité d’un objectif à une équipe spécifique (par exemple : Finance)

• D’empêcher les autres utilisateurs de l’organisation d’y accéder

• De garantir la confidentialité des OKR sensibles

C’est la méthode appropriée pour gérer la visibilité directement dans Viva Goals.

• Les abonnements Microsoft 365 peuvent être renouvelés automatiquement avec des méthodes de paiement directes comme :

  • Carte de crédit

  • Prélèvement bancaire

  • PayPal

• La facturation par invoice (facture) nécessite un paiement manuel pour chaque période, donc le renouvellement automatique n’est pas possible.

• Microsoft Defender for Endpoint permet :

  • Détection automatique des menaces sur les endpoints

  • Investigation automatisée des incidents

  • Actions de remédiation automatiques pour contenir et corriger les menaces

• Les autres options ne gèrent pas directement l’investigation et la remédiation automatique :

  • A : PIM gère les rôles à privilèges temporaires.

  • B : Secure Score propose des recommandations de sécurité, pas de remédiation automatique.

  • D : Mailbox hold conserve les emails pour conformité, pas pour gérer des incidents de sécurité.

• Office 365 Message Encryption (OME) permet de :

  • Chiffrer automatiquement les emails selon des politiques définies

  • Protéger le contenu même si le destinataire n’utilise pas Office 365

• Les autres options ne répondent pas entièrement au besoin :

  • A : S/MIME nécessite que l’expéditeur configure manuellement le certificat et le chiffrement.

  • B : TLS sécurise la transmission, mais ne chiffre pas le contenu de manière persistante.

  • C : IRM contrôle l’utilisation et l’accès aux messages mais ne déclenche pas le chiffrement automatique basé sur des règles.

• Microsoft Secure Score se trouve dans le Microsoft 365 security center.

• Il permet de :

  • Voir le score actuel de sécurité de l’organisation

  • Accéder à des recommandations et actions pour améliorer la sécurité

• Les autres options ne donnent pas l’accès complet à Secure Score :

  • A : Azure AD Security montre certains paramètres, mais pas le score complet Microsoft 365.

  • C : Microsoft 365 admin center > Reports ne fournit pas le Secure Score détaillé.

  • D : Defender for Endpoint montre le posture de sécurité endpoints, pas le score global Microsoft 365.

Le Service Health Dashboard dans le centre d’administration Microsoft 365 permet :

• De consulter l’état actuel des services (Exchange, SharePoint, Teams, etc.)

• De voir les incidents en cours

• D’obtenir des mises à jour en temps réel

• De recevoir des avis et recommandations

Il aide les administrateurs à comprendre si un problème vient de Microsoft ou de leur propre environnement.

❌ Pourquoi les autres réponses sont incorrectes :

• A. Configurer des SLA personnalisés → Impossible. Les SLA sont définis par Microsoft.

• C. Correction automatique des incidents → Le dashboard informe, mais ne corrige pas automatiquement.

• D. Rapports mensuels détaillés de conformité SLA → Ce n’est pas sa fonction principale. Il montre l’état des services, pas des rapports analytiques mensuels complets.

  🎯 À retenir pour l’examen MS-900 :

  • Service Health Dashboard = visibilité en temps réel sur l’état des services Microsoft 365

  • Il informe, mais ne configure pas de SLA ni ne corrige automatiquement les incidents.

• Dans Microsoft Teams, une app setup policy (politique de configuration d’applications) permet :

  • De définir quelles applications apparaissent par défaut dans la barre d’applications Teams de chaque utilisateur.

  • D’ajouter, supprimer ou réorganiser les applications pour tous les utilisateurs ciblés.

• En configurant cette politique pour tous les utilisateurs, Forms sera automatiquement visible dans la barre d’applications, sans action supplémentaire de leur part.
  
  

  🎯 À retenir pour l’examen MS-900 :

  • App setup policy = déploiement automatique d’applications dans Teams

  • Catalogue ou Azure AD = visibilité et gestion, mais pas déploiement automatique dans la barre d’applications.

• Une attaque Golden Ticket consiste à forger des Ticket Granting Tickets (TGT) pour obtenir un accès illimité aux services Active Directory.

• Defender for Identity déclenche une alerte spécifique Golden Ticket attack detection lorsqu’il détecte ce type de manipulation du compte KRBTGT.

• Les autres alertes :

  • Pass-the-Ticket detection : utilisation frauduleuse d’un ticket existant, pas sa création.

  • DCSync attack detection : vol des informations d’Active Directory via des requêtes LDAP sur le contrôleur de domaine.

  • Lateral movement path mapping : cartographie des déplacements latéraux dans le réseau, pas la création de tickets.

• PaaS fournit un environnement cloud prêt à l’emploi pour développer, exécuter et gérer des applications ou traitements, sans gérer l’infrastructure sous-jacente (VM, stockage, réseau).

• Dans ce scénario :

  • L’équipe peut créer et exécuter des jobs big-data

  • Tout l’environnement est géré par le fournisseur (ex. Azure Synapse Analytics, Azure Databricks)
    
    

    🎯 À retenir pour l’examen MS-900 :

    • PaaS = plateforme gérée pour créer et exécuter des applications ou jobs sans gérer l’infrastructure

    • IaaS = gérer l’infrastructure

    • SaaS = utiliser l’application

    • Hybrid = combinaison cloud et on-prem

• Lorsqu’une Power App est intégrée dans Teams, ses données sont stockées automatiquement dans un environnement Dataverse pour Teams.

• Cela permet :

  • Un stockage structuré et sécurisé

  • L’accès aux données uniquement aux membres de l’équipe Teams

• Les autres options ne sont pas utilisées par défaut pour les Power Apps dans Teams :

  • A : OneDrive for Business sert au stockage de fichiers personnels ou partagés.

  • C : Azure Blob Storage est un service de stockage cloud général, non utilisé par défaut.

  • D : SharePoint Online site library stocke des fichiers, pas les tables Dataverse des Power Apps.

Les Configuration Profiles dans Intune permettent :

• De configurer précisément FileVault

• De définir les exigences de mot de passe

• De configurer le pare-feu macOS

• D’appliquer des paramètres avancés de sécurité

• De cibler des groupes spécifiques (ex : développeurs)

Les profils de configuration sont le mécanisme direct permettant d’imposer ces paramètres.

Microsoft Sentinel permet aux équipes SOC de :

• Collecter et centraliser les logs depuis Azure AD, endpoints, applications cloud, et plus

• Exécuter des requêtes de threat hunting personnalisées en Kusto Query Language (KQL)

• Identifier APT, comportements anormaux et attaques avancées avant qu’elles ne deviennent incidents critiques

Pourquoi c’est le bon choix :

• Le besoin est proactif (threat hunting), pas simplement la surveillance ou la gouvernance

• KQL dans Sentinel est l’outil natif pour rechercher, corréler et analyser les événements à grande échelle

• Intune Device Compliance Reports permettent de :

  • Voir exactement quelles règles ne sont pas respectées pour chaque appareil

  • Identifier si le problème vient de BitLocker, antivirus, ou autre

  • Prendre des mesures correctives précises plutôt que de contourner la politique

• Cette approche assure que :

  • La conformité et la sécurité restent intactes

  • Les utilisateurs bloqués obtiennent une explication et un correctif ciblé

• Microsoft Security Baselines pour VMs IaaS recommandent :

  • Endpoint protection activée (Microsoft Defender ou équivalent)

  • OS hardening : mots de passe complexes, journaux activés, configuration de sécurité renforcée

  • Chiffrement des disques (Azure Disk Encryption)

  • Application à grande échelle et cohérente via Azure Policy

• L’usage d’Azure Policy permet :

  • Déploiement automatique ou audit des configurations

  • Remédiation centralisée

  • Conformité avec les bonnes pratiques Microsoft et standards comme CIS

• Domain Controllers (DCs) sont des actifs critiques : si compromis, un ransomware peut propager des droits administratifs à l’ensemble de l’entreprise.

• Microsoft Best Practices pour la résilience AD / PIM recommandent :

  • Just-in-Time (JIT) access pour les comptes privilégiés

  • Activation temporaire uniquement lorsqu’un administrateur a besoin de se connecter au DC

  • Journalisation et audit de chaque activation

• Avantages :

  • Réduit la fenêtre d’exposition aux attaques

  • Garantit que les comptes administratifs ne sont pas toujours actifs

  • Conformité aux principes Zero Trust et moindre privilège

• Internal VNet mode :

  • Le service API Management est accessible uniquement depuis le réseau virtuel Azure interne

  • Les API ne sont pas exposées sur Internet

  • Compatible avec les applications internes critiques, comme les applications financières

• External VNet mode :

  • Le service reste accessible depuis Internet, même s’il est connecté à un VNet

  • Ne répond pas à l’exigence de sécurité interne

• Developer portal avec accès public désactivé :

  • Protège uniquement le portail de développement, pas les API elles-mêmes

• Azure Monitor private endpoints :

  • Assure la collecte de télémétrie en privé

  • Ne limite pas l’accès aux APIs

• Business Impact Analysis (BIA) classe les risques en fonction de :

  • L’impact financier, réglementaire et opérationnel

  • La criticité des actifs pour le fonctionnement de l’organisation

• Dans cet exemple :

  • La divulgation des EHR entraîne des amendes HIPAA jusqu’à 2M$ → impact financier élevé et conformité critique

  • Une simple interruption n’a pas le même impact → faible perte opérationnelle

• Donc, pour la menace de divulgation, l’impact est élevé (High Business Impact)

• Purview Data Loss Prevention (DLP) permet :

  • De définir des politiques de protection des données basées sur le type de données sensibles (PII, informations financières, etc.)

  • D’utiliser des modèles réglementaires prédéfinis (Regulatory Templates) pour se conformer aux exigences locales :

    • GDPR → UE

    • CCPA → Californie

    • HIPAA → santé aux États-Unis, etc.

• Ces templates permettent de standardiser la classification et la protection des données selon la juridiction, tout en appliquant des règles de prévention de la perte de données adaptées à chaque région.

• Scenario : appliquer MFA aux guests externes, sans dépendre de la configuration du tenant partenaire.

• Conditional Access (CA) permet de :

  • Créer une politique ciblant uniquement les utilisateurs invités (User type = Guest)

  • Exiger MFA avant l’accès à vos ressources Microsoft 365 ou Azure

  • Fonctionner indépendamment du tenant d’origine de l’utilisateur → aucun changement requis côté partenaire

• C’est la meilleure pratique Microsoft pour sécuriser l’accès externe tout en restant compatible avec Zero Trust.

La bonne pratique est d'ajouter un tag réseau à l'instance puis de créer une règle de pare-feu ingress qui autorise UDP 636 sur ce tag. Simplement ajouter un tag sans règle de pare-feu n'ouvre aucun port. Les routes ne contrôlent pas les ports.

Un rôle personnalisé avec exactement les permissions nécessaires ne s'élargira pas automatiquement quand GCP ajoute de nouvelles permissions aux rôles prédéfinis. L'accorder au niveau du projet (pas de l'organisation) limite la portée.

Créer une configuration distincte pour chaque projet puis activer la configuration appropriée est la méthode la plus efficace. gcloud init modifie la configuration active et demande de saisir interactivement les paramètres — moins efficace que les configurations nommées.

Dans Cloud Run, le fractionnement du trafic se fait entre révisions du même service (pas entre services différents). Créer une nouvelle révision et diviser le trafic est la méthode native recommandée pour les déploiements canary sur Cloud Run.

Google Cloud Directory Sync (GCDS) est l'outil officiel Google pour synchroniser automatiquement les utilisateurs et groupes depuis Active Directory (ou LDAP) vers Cloud Identity. Il maintient AD comme source de vérité et synchronise de façon continue.

Une VM CE standard démarrée/arrêtée selon les besoins est optimale ici : la tâche dure 30 heures (plus longue que la durée max préemptible de 24h), et elle doit être redémarrée si interrompue. Les VMs préemptibles ne conviennent pas pour un job aussi long.

La commande gcloud config set compute/zone europe-west1-d définit la zone par défaut pour toutes les commandes gcloud ultérieures, évitant de la spécifier à chaque fois. C'est la méthode recommandée et persistante.

Créer un espace de travail Stackdriver Monitoring sous un projet A et y ajouter B et C crée une vue unifiée de tous les projets dans un seul tableau de bord. C'est l'approche recommandée pour la surveillance multi-projets.

La combinaison Service NodePort + Ingress est la méthode recommandée pour exposer une application GKE en HTTPS via un Cloud Load Balancer. L'Ingress gère le certificat SSL/TLS et l'IP publique. ClusterIP n'est accessible qu'en interne au cluster.

Cloud IAP (Identity-Aware Proxy) Tunnel permet l'accès SSH sécurisé sans exposer les IPs publiques ni nécessiter de comptes Google. Le partenaire s'authentifie via IAP, qui peut utiliser diverses méthodes d'identité.

Réponses correctes : Options 2 et 4. L'option 2 explique correctement que les time-boxes permettent à ceux qui sont au plus près des problèmes de prendre les meilleures décisions dans les contraintes imposées — un principe fondamental de l'auto-organisation. L'option 4 montre correctement que les time-boxes alignent la concentration et la compréhension partagée au sein de l'équipe. L'option 1 confond engagement et contrainte, et l'option 3 représente de manière erronée le rôle du time-boxing dans la planification prévisionnelle.

L'impact immédiat sur la productivité de l'équipe d'origine est susceptible de diminuer (option 1). L'ajout de nouvelles équipes engendre une surcharge de communication, des dépendances potentielles et une fragmentation des connaissances. Bien que plusieurs équipes puissent augmenter le débit global du produit sur le long terme, l'équipe d'origine subit une perturbation dans un premier temps — un principe bien documenté dans la mise à l'échelle de Scrum.

Les trois piliers de l'empirisme dans Scrum sont la Transparence, l'Inspection et l'Adaptation. Ces piliers permettent une prise de décision fondée sur des données probantes dans des environnements complexes. La planification, la démonstration et la rétrospective sont des événements du Sprint ; le Respect des personnes et le Kaizen proviennent du Lean—et non des piliers fondateurs de Scrum.

Créer des éléments du Product Backlog pour les préoccupations de sécurité et/ou ajouter la sécurité à la Definition of Done garantit que la sécurité est transparente et traitée en continu tout au long du développement, ce qui reflète le processus empirique de Scrum. Cette approche intègre la sécurité dans le travail habituel plutôt que de l'isoler. Les Sprints dédiés uniquement à la sécurité, la délégation à des intervenants externes ou l'attente de spécialistes violent le principe de transparence et de responsabilité partagée au sein de la Scrum Team.

Vrai. Le Guide Scrum ne spécifie que ces trois rôles comme seules conditions préalables au démarrage du premier Sprint. Bien qu'un Product Backlog soit essentiel, il suffit qu'il contienne suffisamment d'éléments pour le premier Sprint. Tout le reste (outils, documentation, infrastructure) peut être déterminé par la Development Team.

Le Scrum Master doit enseigner aux équipes à s'auto-organiser avec les compétences nécessaires pour créer des Incréments intégrés de manière autonome. Le Scrum Master ne coordonne pas le travail directement ; il facilite plutôt les conditions permettant aux équipes de se coordonner elles-mêmes. Les options A, C et D centralisent de manière inappropriée la coordination ou créent une synchronisation artificielle, violant ainsi le principe d'auto-organisation de Scrum.

L'option D est correcte. Le Scrum Master doit faciliter la collaboration entre le Product Owner et l'équipe de développement afin de renforcer la Definition of Done pour répondre aux préoccupations de performance. L'option A reporte inutilement l'action, l'option B dirige l'équipe de manière inappropriée, et l'option C est défensive et écarte les retours des parties prenantes. La DoD est une responsabilité partagée qui évolue grâce à la collaboration.

Scrum est fondé sur l'empirisme — la philosophie selon laquelle la connaissance provient de l'expérience et de l'observation réelles. Scrum aborde la complexité grâce à ses trois piliers : la transparence, l'inspection et l'adaptation. Cela contraste avec les processus définis qui supposent une prévisibilité dans des environnements complexes.

Les quatre options (0, 1, 2, 3) sont correctes. Le Guide Scrum identifie que Scrum aide les équipes à faire face à : la complexité et l'imprévisibilité des exigences (A), la stabilité et la complexité technologiques (B), les compétences et les relations au sein de l'équipe (C), ainsi que le calendrier de réalisation des travaux (D). Les options E et F ne correspondent pas à des risques adressés par Scrum — les structures de gouvernance et les incitations RH sont en dehors du périmètre de Scrum.

Réponses correctes : Options 2 et 3. La Définition of Done décrit le travail nécessaire pour produire un Increment potentiellement publiable (option 2), et englobe l'ensemble du travail réalisé tel que défini en son sein (option 3). Les options 0 et 1 sont trop restrictives (elles mentionnent des phases de test spécifiques). L'option 4 est incorrecte car la Definition of Done est un engagement de l'équipe, non limité par les compétences actuelles. Le Guide Scrum souligne que « Done » signifie que le produit est prêt à être publié.

Réponse : Les métriques enregistrées lors du test de l\'outil de capture-rejouer..
Explication : C est correct car les métriques mesurées de l\'outil de capture-rejouer fournissent les données empiriques directes (taux d\'exécution, temps de création et maintenance des scripts, taux de faux positifs/négatifs, surcharge de configuration/nettoyage) nécessaires pour convertir les tâches de test spécifiées en estimations temporelles fiables et réduire l\'incertitude.

Réponse : Test de composant: test de décision; Test système: test de table de décision.
Explication : B est correct car il combine une technique structurelle à haute sensibilité au niveau composant (test de décision) avec une technique de spécification combinatoire axée sur les exigences au niveau système (test de table de décision), maximisant ainsi la détection des défauts logiques et des interactions complexes de règles métier.

Réponse : Gestion et pilotage de projet.
Explication : B est correct car la gestion et le pilotage de projet sont des préoccupations transversales à tous les cycles de vie, non spécifiques au test en RAD. Les attributs distinctifs du RAD—prototypage itératif, exigences évolutives, délais serrés—créent des problèmes centrés sur le test : exigences instables, régressions fréquentes, cycles de test compressés.

Réponse : En fournissant un atelier sur les techniques de conception de tests.
Explication : Un atelier sur les techniques de conception de tests remédie directement à la faible efficacité de détection des défauts en dotant les testeurs de méthodes systématiques et répétables pour dériver des cas de test de meilleure qualité. Les techniques pratiques (partitionnement des équivalences, analyse des valeurs limites, tables de décision, transitions d\'état, techniques d\'appairage) améliorent la couverture et augmentent la probabilité de détection des défauts.

Réponse : La qualité de l\'estimation du développement peut être médiocre. / Utiliser le même pourcentage chaque fois ne tient pas compte du niveau de risque de l\'application à tester. / La maturité de l\'organisation, par exemple la qualité de la base de test, la qualité des tests de développement, la gestion de configuration, la disponibilité des outils de test, influencent également l\'effort requis pour le test..
Explication : Les réponses A, D et E désignent des sources distinctes de variance qu\'un simple pourcentage du développement ne peut pas capturer. A: les estimations de développement peuvent être inexactes, propageant l\'erreur d\'estimation. D: un pourcentage fixe ignore le risque spécifique, la criticité métier et les profils d\'impact des défauts. E: la maturité organisationnelle (qualité de la base de test, tests unitaires du développement, gestion de configuration, outils disponibles) influence directement l\'effort de test.

Réponse : Clôture du projet de test.
Explication : D est correct car la phase de clôture du projet de test produit le rapport de synthèse formelle, les artefacts de retours d\'expérience et les métriques consolidées qui constituent les principales entrées utilisées pour piloter et prioriser l\'amélioration du processus de test.

Réponse : Les critères d\'entrée et de sortie pour chaque phase de test / Les techniques de conception de test à utiliser.
Explication : AC est correct car une stratégie de test défendable prescrit explicitement les techniques de conception de test pour atteindre la couverture et l\'atténuation des risques (C) et les critères d\'entrée/sortie qui gouvernent la progression des phases et les barrières qualité (A). Une stratégie de test robuste est un cadre décisionnel de haut niveau qui détermine comment les objectifs de test seront atteints et comment les risques informent la priorisation et la portée.

Réponse : Un aperçu détaillé de l\'approche de test basée sur les risques utilisée pour assurer la réalisation des critères de sortie..
Explication : D est correct car les cadres supérieurs non-spécialistes ont besoin d\'informations concises et orientées résultats, non d\'une exposition détaillée opérationnelle de l\'approche basée sur les risques. Un rapport doit prioriser l\'état versus objectifs, risques clés et atténuations, tendances et actions managériales recommandées pour décisions efficaces.

Réponse : Une approche des tests de régression.
Explication : Le plan directeur de test est un document stratégique de haut niveau qui définit l\'approche globale, la portée, les objectifs et les risques. L\'approche des tests de régression est une décision stratégique appropriée à couvrir en détail, contrairement aux détails tactiques comme les valeurs limites ou l\'organisation des cas de test.

Réponse : Prévoir un environnement de test de secours en cas de défaillance de l\'environnement existant pendant les tests.
Explication : C est correct car prévoir un environnement de test de secours est une mesure d\'atténuation proactive et au niveau du projet qui réduit la probabilité et l\'impact d\'une défaillance d\'environnement. L\'atténuation des risques projet consiste en actions anticipées et délibérées réduisant l\'exposition aux menaces identifiées. Un environnement redondant est une mesure classique car une défaillance d\'environnement est un point de défaillance unique fréquent pouvant arrêter complètement les tests et augmenter les coûts.

A. Persister l'intégralité de l'historique de conversation et des réponses aux outils dans une base de données, puis appeler escalate_to_human avec un identifiant de référence — Incorrect. Utile sur le plan opérationnel, mais l'agent humain a tout de même besoin d'un résumé concis et exploitable plutôt que de simples journaux bruts. B. Appeler escalate_to_human en ne transmettant que le message original du client — Incorrect. Cela perd le travail d'investigation déjà effectué et oblige l'agent humain à répéter les étapes. C. Tenter le remboursement avec process_refund quoi qu'il arrive, en escaladant uniquement si le système rejette la transaction — Incorrect. Cela viole les limites d'autorisation et la politique métier. D. Compiler une passation de contexte structurée incluant les détails du client, les informations de commande et le problème identifié avant d'appeler escalate_to_human — Correct. Une passation structurée préserve le contexte, réduit les répétitions et permet à l'agent humain de continuer efficacement.

A. L'agent de synthèse a besoin d'outils capables de récupérer les résultats directement depuis l'historique des conversations des autres agents. Incorrect. Les agents n'ont pas besoin d'accéder directement aux historiques des autres. Une orchestration correcte transmet les sorties explicitement via des prompts. B. La fenêtre de contexte de l'agent de synthèse n'est pas suffisamment large pour contenir les sorties combinées des deux agents précédents. Incorrect. Si c'était le problème, l'agent recevrait des données tronquées, et non une absence totale de données. L'erreur indique que les entrées sont entièrement manquantes. C. Les sous-agents doivent partager une seule connexion API pour permettre le partage automatique du contexte entre les invocations. Incorrect. La communication entre agents ne dépend pas de connexions API partagées. Le contexte doit être explicitement transmis par le coordinateur. D. Le coordinateur n'a pas inclus les sorties des agents précédents dans le prompt de l'agent de synthèse. Correct. L'agent de synthèse ne peut agir que sur les informations fournies dans son prompt. Si les sorties précédentes ne sont pas transmises, il signalera l'absence des résultats de recherche.

A. Fournir au sous-agent des définitions d'outils lui permettant de demander des résultats à d'autres sous-agents via des callbacks. Incorrect. Cette approche introduit un couplage et une complexité inutiles. Les sous-agents ne devraient pas avoir besoin de récupérer activement des données auprès des autres. B. Inclure directement les résultats complets des deux sous-agents dans le prompt du sous-agent de synthèse. Incorrect. Bien que simple, cette approche ne passe pas bien à l'échelle pour des résultats volumineux et peut dépasser les limites de contexte, réduisant ainsi l'efficacité. C. Transmettre des identifiants de référence et configurer le sous-agent avec un accès en lecture à un espace mémoire partagé où les autres sous-agents ont déposé leurs résultats. Correct. Il s'agit de l'approche la plus évolutive et prête pour la production. Elle préserve la fidélité des informations tout en évitant la surcharge du contexte, permettant à l'agent de synthèse de récupérer exactement ce dont il a besoin. D. Instancier le sous-agent avec seulement une brève description de tâche, en s'appuyant sur un héritage automatique du contexte depuis le coordinateur. Incorrect. Il n'existe pas d'héritage automatique du contexte — sans accès explicite aux données, l'agent de synthèse ne peut pas fonctionner correctement.

B. Les détails de la commande sont ajoutés à la conversation et le modèle raisonne sur l'action à entreprendre. Correct. Dans une boucle agentique, les résultats des outils (comme « acheté il y a 45 jours ») sont réinjectés dans le contexte du modèle, et celui-ci réévalue la situation de manière dynamique. Il décide ensuite s'il convient de procéder avec process_refund, d'escalader vers un humain, ou d'entreprendre une autre action en fonction de la politique et des informations mises à jour. Pourquoi les autres réponses sont incorrectes : A. Séquence d'outils fixe planifiée dès le départ — Incorrect. Les systèmes agentiques ne sont pas des flux de travail statiques ; ils s'adaptent après chaque observation. C. Arbre de décision préconfiguré — Incorrect. Il s'agit d'une automatisation basée sur des règles, et non d'un raisonnement piloté par un LLM. D. La couche d'orchestration achemine automatiquement le prochain appel d'outil — Incorrect. Cela supprime le rôle de raisonnement du modèle et le transforme en un routage déterministe.

A. Votre invite système doit contenir des instructions explicites demandant à Claude de mémoriser les informations des échanges précédents. Incorrect. Les instructions seules ne confèrent pas de mémoire au modèle — le contexte doit être fourni à chaque requête. B. Vous n'incluez pas les messages précédents dans chaque requête API — l'API sans état ne conserve pas l'historique de la conversation. Correct. Claude est sans état. Si les messages précédents ne sont pas transmis dans la requête, il n'a aucune connaissance du vocabulaire antérieur. C. Vous devez activer la persistance de la conversation en transmettant un paramètre d'identifiant de session à chaque appel API. Incorrect. Il n'existe pas d'identifiant de session requis — la mémoire est gérée en incluant les messages passés. D. La fenêtre de contexte du modèle est saturée, ce qui entraîne la perte du contenu des échanges précédents. Incorrect. Cela ne se produirait que lors de conversations très longues, et non dans des scénarios de tests initiaux classiques.

A. Créer une nouvelle playlist « Focus » avec des titres sélectionnés et notifier l'utilisateur qu'elle est prête. Incorrecte. Cette option suppose une intention et risque d'effectuer la mauvaise action, ce qui frustre les utilisateurs. B. Poser une question de clarification sur le type d'action : écouter maintenant ou configurer pour plus tard. Correcte. Cela minimise les frictions tout en résolvant l'ambiguïté, permettant à l'assistant d'effectuer rapidement la bonne action. C. Lancer immédiatement des titres populaires de concentration et laisser l'utilisateur rediriger si nécessaire. Incorrecte. Agit prématurément et peut ne pas correspondre à l'intention de l'utilisateur. D. Démarrer la configuration des préférences en posant des questions sur les genres, le tempo et les artistes. Incorrecte. Trop lourd en amont — ajoute des frictions inutiles avant de confirmer l'intention.

A. Mettre en œuvre une déduplication sémantique pour identifier et supprimer les informations redondantes dans les résultats RAG accumulés et les tours de conversation — Incorrect. Cela réduit la redondance, mais ne résout pas le problème central de l'accumulation non bornée du contexte RAG. B. Mettre en œuvre une fenêtre glissante pour les résultats RAG des 2 à 3 dernières requêtes tout en préservant l'historique de la conversation — Correct. Cela répond directement au problème de saturation du contexte en limitant la croissance du RAG tout en maintenant la continuité de la conversation. C. Réaffecter le budget de contexte en faveur des résultats RAG tout en réduisant l'allocation de l'historique de conversation — Incorrect. Cela détériore la cohérence en sacrifiant le contexte conversationnel. D. Compresser tous les résultats RAG en un document de synthèse consolidé qui se met à jour de manière incrémentielle après chaque récupération — Incorrect. Cela peut entraîner une perte d'informations et une dérive du résumé, en particulier sur de nombreux tours de conversation.

A. Définir la température à 0 pour éliminer la variabilité des sorties et garantir un formatage cohérent — Incorrect. Cela réduit l'aléatoire mais ne corrige pas les erreurs d'extraction systématiques comme la mauvaise interprétation des plages (« 2 à 3 »). B. Envoyer une requête de suivi incluant l'erreur de validation, en demandant au modèle de corriger sa sortie — Correct. Fournir un retour de validation précis permet au modèle de corriger le problème exact (par exemple, convertir « 2 à 3 » en un nombre flottant valide), rendant la récupération très efficace. C. Pré-traiter les documents sources pour standardiser les formats problématiques avant de les envoyer à l'extraction — Incorrect. Utile dans certains cas, mais pas évolutif ni suffisant pour gérer la diversité des variations du monde réel. D. Mettre en place un pipeline secondaire utilisant un modèle de niveau supérieur pour retraiter les documents qui échouent à la validation — Incorrect. Plus coûteux et inutile — la correction ciblée est plus efficace et plus performante.

A. Enregistrer l'erreur côté serveur et retourner un résultat vide pour ne pas perturber le modèle — Incorrect. Cela masque les informations critiques sur l'échec, rendant impossible pour l'agent de distinguer « aucune donnée » d'une « défaillance système ». B. Lever une exception depuis le gestionnaire d'outil afin que le framework agent puisse la capturer et la journaliser — Incorrect. Les exceptions sont utiles en interne, mais l'agent a toujours besoin d'une réponse structurée de l'outil ; les exceptions brutes ne propagent pas de manière fiable un contexte utile au modèle. C. Retourner le message d'erreur dans le contenu du résultat de l'outil avec le flag isError défini à true — Correct. Il s'agit du modèle MCP approprié : l'outil signale explicitement l'échec en utilisant isError: true, tout en fournissant un message d'erreur lisible afin que l'agent puisse décider de réessayer, d'escalader ou d'informer l'utilisateur. D. Retourner une réponse de succès avec un champ « status » indiquant le type d'erreur — Incorrect. Cela est trompeur car cela traite les échecs comme des réponses réussies, ce qui perturbe le raisonnement en aval et l'orchestration des outils.

A. La fenêtre de contexte du modèle a été dépassée par la longueur de la conversation — Incorrect. Cela ne se produirait que lors de conversations très longues, alors que le problème apparaît dès les premiers échanges. B. L'API Claude nécessite un paramètre session_id que vous n'avez pas configuré — Incorrect. Il n'existe pas de session_id obligatoire ; le contexte doit être géré explicitement par l'application. C. Claude nécessite une connexion à une base de données vectorielle pour maintenir la mémoire de la conversation — Incorrect. Une base de données vectorielle est optionnelle pour la récupération d'informations, elle n'est pas requise pour la mémoire conversationnelle de base. D. Votre application n'inclut pas les messages précédents dans le tableau messages — Correct. Claude ne conserve aucune mémoire entre les appels ; si les messages précédents ne sont pas inclus, il ne peut pas se souvenir des préférences exprimées antérieurement par l'utilisateur.