Microsoft SC-900 en 30 minutes : l'introduction aux fondamentaux de la sécurité/conformité

Le SC-900 — Microsoft Certified: Security, Compliance, and Identity Fundamentals — est la plus facile des certifications de sécurité de Microsoft, et c'est à la fois son argument de vente et sa limitation. Il coûte 99 $, vous pouvez vous y préparer en environ 10 heures si vous avez déjà travaillé avec Microsoft 365 ou Azure, et les questions sont conceptuelles : définir ceci, associer cela, identifier quel produit Microsoft résout quel problème.

Si vous êtes un professionnel technique de la sécurité, vous pouvez probablement arrêter de lire et passer plutôt le SC-200 ou l'AZ-500. Le SC-900 ne vous est pas destiné. Il s'adresse aux auditeurs, aux analystes de conformité, aux ingénieurs commerciaux, aux chefs de projet et aux responsables de comptes qui ont besoin de parler de manière crédible de la pile de sécurité de Microsoft sans être ceux qui l'implémentent.

Ce qui est réellement à l'examen

Le plan d'examen actuel du SC-900 couvre quatre domaines :

• Concepts de sécurité, de conformité et d'identité (~10–15%) : les bases — défense en profondeur, responsabilité partagée, Zero Trust, chiffrement au repos vs en transit, cadres de conformité courants (RGPD, HIPAA, ISO 27001 au niveau de la reconnaissance du nom).
• Capacités de Microsoft Entra (~25–30%) : Entra ID (l'ancien Azure AD, renommé), méthodes d'authentification, MFA, Accès Conditionnel, gouvernance des identités, Identités Externes, PIM au niveau du vocabulaire.
• Solutions de sécurité Microsoft (~25–30%) : Defender for Cloud, Defender for Endpoint, Defender for Office 365, Defender for Identity, Sentinel — ce que chacun fait, pas comment le configurer. Plus Azure DDoS protection, Azure Firewall, NSGs, et Key Vault comme matériel au niveau des fonctionnalités.
• Solutions de conformité Microsoft (~25–30%) : Purview (le nom générique des outils de conformité depuis 2022), Information Protection, Data Loss Prevention, Insider Risk Management, eDiscovery, Compliance Manager, le Service Trust Portal.

L'examen comprend 40 à 60 questions, dure 60 minutes, et est à choix multiples et à sélection multiple. Pas d'études de cas, pas de laboratoires, pas de séquençage par glisser-déposer. La note de passage est de 700/1000. En ligne via Pearson VUE OnVUE ou en personne — à vous de choisir.

Prix catalogue de 99 USD (le prix régional le fait chuter à environ 50 $ sur certains marchés). La validité est d'un an, avec un renouvellement gratuit via une évaluation en ligne de 25 questions. Le processus de renouvellement de Microsoft pour les certifications fondamentales est véritablement simple.

À qui s'adresse le SC-900

Trois publics pour lesquels la certification est rentable :

Rôles non techniques dans des postes liés à la sécurité. Analystes GRC, responsables de la conformité, auditeurs internes et acheteurs qui doivent valider les allégations de sécurité des fournisseurs. Le SC-900 vous donne le vocabulaire nécessaire pour lire une évaluation de sécurité Microsoft 365 et savoir si les contrôles décrits sont réels ou marketing.

Équipes avant-vente et de comptes chez les partenaires Microsoft. C'est la catégorie la plus importante. Le statut de Partenaire de Solutions Microsoft exige des employés certifiés, et le SC-900 compte pour les minimums de niveau partenaire. Les ingénieurs commerciaux qui peuvent répondre à la question "quelle est la différence entre Defender for Endpoint et Defender for Cloud Apps ?" concluent plus de contrats que ceux qui restent vagues.

Personnes en reconversion l'utilisant comme point de départ. Si vous passez à l'informatique ou à la sécurité depuis un domaine sans rapport, le SC-900 est un moyen peu risqué de démontrer votre sérieux sans dépenser 165 $ pour un examen basé sur les rôles pour lequel vous n'êtes pas prêt. Associez-le à l'AZ-900 pour 198 $ et vous aurez un signal respectable de "je suis nouveau mais pas un touriste" avec deux certifications.

Qui devrait l'ignorer

Si vous êtes déjà ingénieur en sécurité, analyste SOC, administrateur d'identité ou ingénieur cloud avec des responsabilités en matière de sécurité — ignorez le SC-900. Le contenu est le premier chapitre des examens basés sur les rôles. Vous n'apprendrez rien, vous dépenserez 99 $, et le SC-900 sur un CV de spécialiste en sécurité senior est perçu comme du remplissage.

Pour les parcours techniques, les alternatives :

• Parcours analyste SOC : SC-200 (Security Operations Analyst Associate), 165 $, pratique avec Sentinel et Defender.
• Parcours ingénieur sécurité cloud : AZ-500 (Azure Security Engineer Associate), 165 $, axé sur la configuration à travers Azure.
• Parcours administrateur d'identité : SC-300 (Identity and Access Administrator Associate), 165 $, approfondi sur Entra ID.
• Parcours architecte de sécurité : SC-100 (Cybersecurity Architect Expert), 165 $, nécessite l'une des certifications ci-dessus comme prérequis.

Les examens basés sur les rôles couvrent tout ce que le SC-900 couvre, plus l'implémentation réelle. Sauter les fondamentaux lorsque vous avez l'expérience pour les examens basés sur les rôles n'est pas un raccourci — c'est la bonne décision.

Temps de préparation, chiffres réalistes

Contexte	Heures	Calendrier
Travaille déjà quotidiennement avec la sécurité M365 / Azure	5–8	Un week-end
Informaticien généraliste, exposition occasionnelle à Microsoft	10–15	1–2 semaines
Débutant dans le cloud Microsoft	20–30	3–4 semaines
Reconversion professionnelle, pas d'expérience en informatique	40–60	6–8 semaines

Le parcours officiel SC-900 de Microsoft Learn est gratuit et à jour — c'est la seule ressource dont la plupart des candidats ont besoin. La chaîne YouTube de John Savill propose un "cram" d'étude pour le SC-900, utile pour ceux qui apprennent par l'écoute. Évitez les cours Udemy payants à moins qu'ils ne coûtent moins de 15 $ — le contenu officiel est suffisamment complet.

Le principal obstacle est la nomenclature des produits. Microsoft a renommé la moitié de ses produits de sécurité entre 2020 et 2024. Azure AD est devenu Entra ID. Microsoft Cloud App Security est devenu Defender for Cloud Apps. Les outils de conformité ont été consolidés sous Purview. L'examen teste les noms actuels, mais de nombreux supports d'étude plus anciens utilisent les anciens noms. Si vous lisez un guide SC-900 de 2022, vérifiez chaque nom de produit sur learn.microsoft.com avant l'examen.

Impact sur le salaire

Il n'y en a pas. Le SC-900 n'a pas d'impact direct sur les salaires. C'est une certification de vocabulaire, pas une certification de compétences. levels.fyi n'a pas de colonne pour cela. Le BLS ne le suit pas. Ce qu'il peut faire :

• Vous aider à passer un filtre RH pour un rôle de sécurité ou de conformité de niveau débutant où "certification Microsoft préférée" apparaît dans l'annonce.
• Renforcer un CV d'ingénieur commercial côté partenaire où les certifications Microsoft affectent directement les niveaux de commission.
• Servir de tremplin vers le SC-200 ou l'AZ-500, où le signal salarial est réel (Analystes en sécurité de l'information, BLS OEWS mai 2024 : médiane d'environ 124 000 $, 90e centile autour de 182 000 $ — mais cela concerne le parcours basé sur les rôles, pas le SC-900).

Si votre objectif est une augmentation de salaire, le SC-900 seul ne vous l'apportera pas. Si votre objectif est de participer intelligemment aux conversations sur la sécurité Microsoft, il le fera absolument.

Devez-vous le passer ?

Passez le SC-900 si :

• Vous occupez un rôle non technique qui nécessite de parler de la sécurité Microsoft de manière crédible.
• Vous travaillez chez un partenaire Microsoft et la certification affecte le niveau de partenariat ou la structure de commission.
• Vous débutez dans l'informatique/la sécurité et souhaitez une certification de départ à 99 $ avant de vous engager dans un parcours basé sur les rôles.

Ignorez le SC-900 si :

• Vous êtes déjà suffisamment technique pour le SC-200, l'AZ-500 ou le SC-300 — commencez par là.
• Vous ne travaillez pas dans ou ne vendez pas à des entreprises utilisant Microsoft. La certification est spécifique à un fournisseur et ne signifie rien dans une organisation AWS ou Google Cloud.
• Vous êtes à la recherche d'une augmentation de salaire. Le SC-900 ne l'apporte pas.

Si le SC-900 vous convient, parcourez les questions pratiques du SC-900 sur CertLabPro ou commencez un examen chronométré. Le modèle d'examen est fortement axé sur "associer le produit au problème" — s'exercer avec des éléments réalistes est le moyen le plus rapide d'assimiler la taxonomie de noms Microsoft qui déroute la plupart des gens.