AZ-400 : comment réussir le seul examen Microsoft d'Ingénieur DevOps Expert
Un plan AZ-400 de 8 semaines couvrant Azure DevOps, GitHub Actions, l'IaC et le format d'étude de cas qui déstabilise les candidats autrement bien préparés.
L'AZ-400 est l'examen de Microsoft "Conception et implémentation de solutions DevOps Microsoft". 165 $ US, 40 à 60 questions, 150 minutes, deux études de cas plus des éléments standard, note de passage pondérée de 700/1000. C'est le seul chemin vers la certification Ingénieur DevOps Expert, et vous ne pouvez pas le passer sans détenir au préalable l'AZ-104 (Administrateur) ou l'AZ-204 (Développeur).
Le niveau "expert" est ce qui distingue l'AZ-400 des certifications associées basées sur les rôles. Les études de cas sont réelles. Le contenu couvre le CI/CD, l'infrastructure en tant que code, la stratégie de contrôle de code source, la sécurité et l'observabilité à travers Azure DevOps et GitHub. Huit semaines à raison de 8 à 10 heures par semaine est l'objectif réaliste si vos connaissances AZ-104 ou AZ-204 sont récentes.
Contenu de l'examen
Le guide d'examen actuel se divise en cinq domaines :
| Domaine | Poids |
|---|---|
| Conception et implémentation de processus et de communications | 10–15% |
| Conception et implémentation d'une stratégie de contrôle de code source | 10–15% |
| Conception et implémentation de pipelines de build et de release | 50–55% |
| Élaboration d'un plan de sécurité et de conformité | 10–15% |
| Implémentation d'une stratégie d'instrumentation | 5–10% |
Les pipelines de build et de release représentent la moitié de l'examen. C'est là que vous devez être au point. Tout le reste est de l'accompagnement.
Ce que "pipelines de build et de release" signifie réellement en 2026 :
- Azure DevOps Pipelines sous forme YAML (l'éditeur visuel classique existe toujours mais est essentiellement déprécié pour les nouveaux projets).
- GitHub Actions, que Microsoft positionne désormais comme étant à peu près équivalent — l'examen vous proposera des scénarios où la bonne réponse est "utiliser GitHub Actions" et les mauvaises réponses sont Azure DevOps, et vice versa. Lisez attentivement le scénario.
- Exécuteurs/agents auto-hébergés ou hébergés par Microsoft, y compris le dimensionnement du pool, la mise en cache à la demande et le coût.
- Approbations, environnements, portes de déploiement et conditions de pré/post-déploiement.
- Pipelines multi-étapes, modèles bleu-vert et canary, déploiements en anneau.
- Gestion des artefacts : Azure Artifacts, GitHub Packages, flux génériques.
- Gestion des secrets : tâches Key Vault, secrets chiffrés GitHub, fédération OpenID Connect (OIDC) entre GitHub et Azure (cela a été fortement mis en avant dans les questions 2025-2026 — les principaux de service avec secrets sont de plus en plus la mauvaise réponse).
Plus l'IaC. Bicep est la réponse native de Microsoft, Terraform est la réponse de seconde classe mais toujours testée. Les modèles ARM apparaissent dans les anciens pools de questions, mais les nouveaux éléments s'appuient sur Bicep. Attendez-vous à la syntaxe az deployment group create et terraform plan/apply dans les questions de scénario.
Prérequis — choisissez l'AZ-104 ou l'AZ-204
Microsoft exige l'un d'eux comme condition préalable à la certification expert. Choisissez en fonction de ce que vous faites réellement :
- AZ-104 si votre expérience est dans les opérations, l'infrastructure, l'administration système ou l'ingénierie de plateforme. Votre préparation à l'AZ-400 sera plus axée sur les sujets côté développeur (artefacts, branching, outils de qualité de code).
- AZ-204 si votre expérience est dans le développement logiciel. Votre préparation à l'AZ-400 sera plus axée sur les sujets côté opérations (Azure Monitor, App Insights, pools d'agents, IaC).
Ne passez pas les deux avant l'AZ-400. La certification supplémentaire ne vous aidera pas pour l'AZ-400 en soi, et vous pourrez combler celle qui compte pour votre travail plus tard si vous en avez réellement besoin.
Plan semaine par semaine
Semaine 1 : contrôle de code source et branching
Le domaine le plus léger en termes de poids, mais le point d'entrée. Renseignez-vous sur les modèles de workflow Git : GitHub Flow, GitFlow (toujours demandé malgré sa désuétude), le développement basé sur le trunk, les branches de release, les branches de correctifs. Apprenez la différence entre une fusion de pull-request, une fusion par squash et une fusion par rebase.
Dans Azure DevOps Repos et GitHub : stratégies de branche, réviseurs requis, validation de build, vérifications d'état. Entraînez-vous à les configurer manuellement dans les deux produits. Microsoft adore le modèle de question "configurer une stratégie de branche qui exige X", et le menu se trouve à un endroit légèrement différent dans chaque produit.
Semaine 2 : Plongée approfondie dans Azure DevOps Pipelines
Passez la semaine sur les pipelines YAML. Construisez-en au moins trois :
- Un pipeline simple de build et de test pour une application exemple.
- Un pipeline multi-étapes avec des environnements
dev,staging,prodet des approbations sur staging et prod. - Un pipeline qui utilise un pool d'agents auto-hébergé et un autre qui utilise un pool hébergé par Microsoft.
Maîtrisez les modèles et les paramètres de modèle. Microsoft teste directement les modèles d'extension de modèle et d'inclusion de modèle. Connaissez la syntaxe extends vs template.
Semaine 3 : GitHub Actions
Reflétez la semaine 2 mais dans GitHub Actions. Construisez les trois mêmes pipelines. Portez une attention particulière à :
- Le bloc
permissionssur un job — le principe du moindre privilège est important ici et c'est un modèle d'examen. - Workflows réutilisables (
workflow_call) et actions composites — sachez faire la différence. - Environnements et réviseurs requis, qui reflètent le concept d'Azure DevOps mais avec leur propre interface utilisateur.
- Fédération OIDC : configurez une accréditation fédérée sur une inscription d'application Microsoft Entra ID et authentifiez-vous à partir d'un workflow GitHub Actions sans aucun secret client. Cet exercice unique vous apprend ce qui est susceptible de figurer dans trois questions d'examen.
Semaine 4 : IaC
Bicep d'abord. Créez un fichier Bicep qui déploie un plan App Service, un App Service et une ressource Application Insights. Déployez-le avec az deployment group create. Refactorisez-le en modules. Ajoutez une étape what-if. Ajoutez-le à un pipeline.
Puis Terraform. Déployez la même forme avec le fournisseur AzureRM. Configurez un backend distant dans Azure Storage. Notez les différences dans la gestion de l'état — c'est là que Bicep et ARM diffèrent fondamentalement de Terraform, et l'examen s'attend à ce que vous le sachiez.
Modèles ARM : lisez-en suffisamment pour reconnaître la syntaxe. Vous n'aurez pas à en écrire un mais vous en verrez dans les études de cas.
Semaine 5 : sécurité et conformité
Intégration de Key Vault dans les pipelines : groupes de variables liés à Key Vault, la tâche Azure Key Vault, l'action azure/get-keyvault-secrets de GitHub.
Defender pour DevOps et les recommandations de sécurité DevOps de Microsoft Defender pour le cloud. La mise à jour de l'examen 2024-2025 en a ajouté davantage — sachez à quoi Defender pour DevOps se connecte (GitHub, Azure DevOps, GitLab, Bitbucket) et ce qu'il met en évidence (analyse des secrets, analyse IaC, analyse de code, analyse des dépendances).
GitHub Advanced Security : analyse de code avec CodeQL, analyse de secrets, revue des dépendances. Sachez quelles fonctionnalités sont GHAS (payantes) et lesquelles sont gratuites.
Analyse de conformité dans les pipelines : WhiteSource Bolt a disparu — Mend Bolt est la version renommée, et la réponse de première partie de Microsoft est désormais Defender pour DevOps plus GHAS. Les anciens supports d'étude se tromperont à ce sujet.
Semaine 6 : surveillance et feedback
Intégration d'Application Insights dans un pipeline (annotations de release, marqueurs de déploiement). Alertes Azure Monitor qui bloquent les déploiements. L'intégration entre les alertes et Azure Boards / GitHub Issues pour la création automatique de tickets.
Drapeaux de fonctionnalités via Azure App Configuration et la bibliothèque Microsoft.FeatureManagement. Microsoft teste la réponse du modèle de conception — sachez quand un drapeau de fonctionnalité est la bonne approche par rapport à un anneau de déploiement ou un canary.
Semaine 7 : pratique des études de cas
Passez un examen blanc complet dans des conditions chronométrées, avec les études de cas. Deux études de cas prendront 35 à 45 minutes sur vos 150 minutes — adaptez votre budget temps en conséquence. L'erreur que font la plupart des candidats est d'essayer de lire l'intégralité de l'étude de cas au premier passage ; au lieu de cela, survolez-la une fois, passez aux questions, et relisez uniquement les sections de l'étude de cas pertinentes pour chaque question.
Après l'examen blanc, identifiez les domaines faibles. Pour la plupart des candidats, il s'agit de la syntaxe IaC (modules Bicep vs. modules Terraform), des outils de sécurité (quel Defender fait quoi), ou du flux de fédération OIDC.
Semaine 8 : entraînement, combler les lacunes, examen
Examens blancs tous les deux jours. Lisez l'explication de chaque mauvaise réponse. Le parcours officiel AZ-400 de Microsoft Learn est la source de vérité pour tout désaccord entre les sources — les guides d'étude des fournisseurs ont pris du retard sur la mise à jour de l'examen 2024-2025.
Planifiez l'examen. Pearson VUE ou surveillé en ligne. Les études de cas semblent différentes en ligne — vous ne pouvez pas facilement passer d'une section à l'autre — donc si vous n'êtes pas à l'aise avec le format, passez-le dans un centre d'examen.
Style de l'examen
Deux choses déstabilisent les candidats par ailleurs bien préparés :
- Les études de cas. Elles sont longues, très textuelles, et les questions qu'elles contiennent vous obligent à retenir beaucoup de contexte à la fois. Entraînez-vous.
- Le cadrage de la "meilleure réponse". Plusieurs options sont techniquement correctes ; l'examen attend la réponse la plus claire, la plus conforme aux meilleures pratiques de Microsoft. Lorsqu'une question liste Azure DevOps Pipelines et GitHub Actions comme alternatives et que le scénario ne favorise pas fortement l'un ou l'autre, la réponse est généralement celui sur lequel le reste de l'étude de cas s'est déjà normalisé.
Adéquation à la carrière
L'AZ-400 est une certification utile si vous êtes un ingénieur DevOps / plateforme travaillant dans un environnement Microsoft et que vous souhaitez ajouter le niveau expert à votre CV. Ce n'est pas la bonne certification pour quelqu'un qui essaie de se lancer dans le DevOps sans expérience préalable — acquérez d'abord une expérience pratique, puis revenez. La rémunération totale pour les ingénieurs DevOps seniors aux États-Unis en 2026 se situe entre 150 000 $ et 220 000 $ de salaire de base selon la région, les rôles adjacents aux FAANG pouvant être plus élevés ; l'AZ-400 est un bon filtre pour atteindre cette fourchette mais ne créera pas l'expérience.
Lorsque vous êtes prêt à vous attaquer aux questions, la banque de questions AZ-400 sur CertLabPro couvre le format d'étude de cas. Traitez les études de cas comme une discipline à part entière — c'est la partie de l'AZ-400 pour laquelle l'expérience pratique seule ne vous prépare pas entièrement.