SC-200 vs AZ-500 : quelle certification de sécurité Microsoft passer en premier ?
L'AZ-500 s'adresse aux ingénieurs cloud qui configurent la sécurité Azure. L'SC-200 est pour les analystes SOC qui travaillent avec Sentinel. Voici celle qui correspond réellement à votre poste.
Si vous devez choisir une certification de sécurité Microsoft et que vous ne savez pas laquelle, voici la version courte : l'AZ-500 si vous construisez et configurez des ressources Azure, l'SC-200 si vous enquêtez sur les alertes et chassez les menaces. Les deux coûtent 165 $, sont basées sur les rôles de niveau associé, et sont raisonnablement difficiles. Elles couvrent des domaines qui se chevauchent — identité, réseau, Sentinel — mais le travail quotidien auquel elles correspondent est véritablement différent, et choisir la mauvaise signifie étudier pour le poste de quelqu'un d'autre.
Je reçois cette question assez souvent pour qu'elle mérite un article complet plutôt qu'une simple phrase.
Qu'est-ce que l'AZ-500
L'AZ-500 — Microsoft Certified: Azure Security Engineer Associate — teste votre capacité à implémenter des contrôles de sécurité sur Azure. Le plan actuel se divise en gros :
- Gérer l'identité et l'accès (~25–30 %) : Entra ID, Accès Conditionnel, PIM, identités gérées, configuration MFA.
- Sécuriser les réseaux (~20–25 %) : NSG, ASG, Pare-feu Azure, WAF sur Front Door / App Gateway, points de terminaison privés, protection DDoS.
- Sécuriser le calcul, le stockage, les bases de données (~20–25 %) : Defender pour le Cloud, chiffrement de disque, durcissement du stockage, Key Vault, SQL TDE / Always Encrypted.
- Gérer les opérations de sécurité (~25–30 %) : Bases de Sentinel, score de sécurité Defender pour le Cloud, Azure Policy, tableaux de bord de conformité réglementaire.
C'est vaste. Les questions donnent une impression pratique pour un QCM — les études de cas au début de l'examen vous obligent à travailler sur l'environnement d'une entreprise hypothétique. KQL est léger. Sentinel est léger. Le centre de gravité est de "configurer les ressources Azure pour qu'elles soient sécurisées".
Qu'est-ce que l'SC-200
L'SC-200 — Microsoft Certified: Security Operations Analyst Associate — teste votre capacité à opérer une pile de sécurité Microsoft au quotidien. Plan actuel :
- Atténuer les menaces à l'aide de Microsoft Defender XDR (~25–30 %) : Defender for Endpoint, Office 365, Cloud Apps, Identity. Enquête, triage, réponse.
- Atténuer les menaces à l'aide de Defender pour le Cloud (~15–20 %) : protection des charges de travail cloud, score de sécurité, conformité réglementaire du point de vue de l'analyste.
- Atténuer les menaces à l'aide de Microsoft Sentinel (~50–55 %) : connecteurs de données, règles d'analyse, requêtes de chasse, classeurs, playbooks, SOAR, KQL — KQL intensif.
Le centre de gravité de l'examen est Sentinel. Si vous ne pouvez pas écrire ou lire KQL couramment le jour de l'examen, vous aurez des difficultés. Les études de cas vous donnent souvent une requête et vous demandent ce qu'elle renvoie, ou vous présentent un scénario et vous demandent quel opérateur KQL vous utiliseriez pour l'affiner.
Correspondance des rôles
C'est la partie que personne ne mentionne clairement sur la page marketing :
| Si votre titre est... | Passez ceci en premier |
|---|---|
| Ingénieur Cloud / Ingénieur DevOps / Ingénieur Plateforme | AZ-500 |
| Ingénieur Sécurité (axé sur la configuration) | AZ-500 |
| Administrateur Azure souhaitant se spécialiser | AZ-500 |
| Analyste SOC / Analyste Niveau 1-2 | SC-200 |
| Chasseur de Menaces / Ingénieur en Détection | SC-200 |
| Intervenant en Cas d'Incident | SC-200 |
| Informaticien généraliste / souhaite les deux à terme | AZ-500 en premier |
| Reconversion en sécurité | SC-200 (plus de demande au niveau junior) |
La raison pour laquelle l'AZ-500 est prioritaire pour la plupart des rôles cloud est qu'elle couvre plus de terrain qu'une personne non purement spécialisée en sécurité doit réellement connaître. Si vous êtes un ingénieur cloud qui répond occasionnellement à des questions de sécurité, l'AZ-500 vous rendra meilleur dans votre travail quotidien. L'SC-200 ne sera rentable que si vous êtes devant Sentinel la plupart du temps.
Difficulté : à peu près égale, de formes différentes
Les deux examens comportent 40 à 60 questions, durent 100 minutes, et ont un prix catalogue de 165 $ USD (avec des tarifs régionaux pouvant descendre à environ 80 $ sur certains marchés). Les deux ont un renouvellement gratuit d'un an via une évaluation en ligne de 30 questions. Les deux utilisent des études de cas ainsi que des questions standard à choix multiple / sélection multiple / glisser-déposer.
Où ils diffèrent :
L'AZ-500 est plus large, l'SC-200 est plus approfondie. L'AZ-500 vous demande de connaître un peu de beaucoup de choses — identité, réseau, calcul, stockage, opérations. L'SC-200 vous demande de connaître beaucoup de choses sur Sentinel et la suite Defender spécifiquement.
KQL est le facteur de différenciation de l'SC-200. L'AZ-500 vous demande de lire des requêtes KQL et de comprendre les sorties. L'SC-200 vous demande de les écrire, de les optimiser, de les déboguer. Si vous n'avez jamais utilisé KQL, l'SC-200 vous surprendra.
L'AZ-500 contient plus de contenu sur l'identité. Accès Conditionnel, PIM, Identités Externes, Protection de l'Identité — les premiers 25 à 30 % de l'AZ-500 sont fortement axés sur l'identité. L'SC-200 aborde l'identité mais surtout sous l'angle des alertes Defender for Identity.
Les taux de réussite ne sont pas publiés par Microsoft, mais selon les retours, les deux se situent entre 60 et 70 % à la première tentative pour les candidats préparés. La section KQL de l'SC-200 est l'endroit où la plupart des gens perdent des points ; les études de cas de l'AZ-500 sont l'endroit où la plupart des gens perdent des points.
Temps de préparation
| Contexte | AZ-500 | SC-200 |
|---|---|---|
| Ingénieur sécurité expérimenté Azure | 40–60 h | 50–80 h |
| Ingénieur Azure généraliste | 80–100 h | 100–130 h |
| Analyste SOC, pile Microsoft | 80–100 h | 50–80 h |
| Nouveau sur Azure | 150+ h | 180+ h |
L'SC-200 tend à être légèrement plus longue car la maîtrise de KQL doit être construite de zéro pour la plupart des candidats. Si vous maîtrisez déjà KQL ou un autre langage de requête avec une syntaxe similaire (Splunk SPL se transfère raisonnablement bien), retirez 20 à 30 heures.
Les parcours officiels de Microsoft Learn pour les deux examens sont gratuits et à jour. La chaîne YouTube de John Savill propose des vidéos de révision pour les deux. Pour l'SC-200 spécifiquement, "KQL from scratch" de Rod Trent est la ressource gratuite canonique pour le contenu Sentinel. Pour l'AZ-500, la création d'un abonnement Azure gratuit et l'exploration par vous-même de l'Accès Conditionnel, du PIM, de Defender pour le Cloud et du Key Vault sont non négociables — il est presque impossible de répondre aux questions des études de cas sans une familiarité au niveau du portail.
Indication salariale
Aucune des deux certifications n'impacte directement les salaires de manière nette (comparaison A/B). Les deux ouvrent des portes pour des entretiens. Selon le BLS OEWS de mai 2024, le salaire médian des analystes en sécurité de l'information (15-1212) est d'environ 124 000 $, le 90e centile étant d'environ 182 000 $. Les rôles de sécurité dans les environnements Microsoft se situent dans la moitié supérieure de cette fourchette.
Données levels.fyi 2025–2026 :
- Ingénieur Sécurité Microsoft L62, rémunération totale ~230k $.
- Spécialiste Sécurité AWS L5, rémunération totale ~245k $.
- Postes d'ingénieur sécurité de niveau intermédiaire hors FAANG (Capital One, Stripe, Atlassian) : généralement 170k–220k $ de salaire de base.
Les détenteurs de l'SC-200 dans les grandes entreprises dotées de SOC matures (banques, santé, contractants fédéraux) gagnent souvent plus que le salaire médian car les rôles de SOC 24h/24 et 7j/7 incluent des primes de poste. Les détenteurs de l'AZ-500 tendent vers les grilles salariales standard de l'ingénierie cloud.
La combinaison de certifications qui tend à être la mieux rémunérée en 2026 est AZ-500 + SC-200 + AZ-104 — cela signale que vous pouvez configurer Azure, le sécuriser et gérer la réponse. Réaliser les trois prend environ 200 heures sur 6 à 9 mois et permet à votre CV de passer les filtres de la plupart des employeurs utilisant la pile Microsoft.
Ce que je ferais
Si vous avez une formation en ingénierie cloud ou en informatique généraliste, passez l'AZ-500 en premier. C'est plus vaste, cela vous en apprend davantage sur Azure en tant que plateforme, et la plupart des emplois qui exigent des compétences en sécurité Microsoft demandent l'AZ-500 par son nom plus souvent que l'SC-200.
Si vous débutez dans un parcours SOC ou d'analyste — vous exécutez déjà des requêtes dans un SIEM, vous enquêtez quotidiennement sur des alertes — passez l'SC-200 en premier. Le contenu très axé sur la configuration de l'AZ-500 vous semblera être un détour dont vous n'avez pas encore besoin.
Si vous visez les deux à terme, l'ordre compte moins que l'écart entre eux. Ne les espacez pas de plus de 6 mois ; le chevauchement sur l'identité et les bases de Sentinel récompense une préparation consécutive.
Lorsque vous êtes prêt à vous entraîner, parcourez la banque de questions d'entraînement AZ-500 sur CertLabPro, démarrez un examen chronométré SC-200, ou utilisez les deux. Le format d'étude de cas de Microsoft est distinctif et la reconnaissance de schémas sous la pression du temps est la partie qui bénéficie le plus d'un entraînement réaliste.