SC-200 vs AZ-500 : quelle certification de sécurité Microsoft passer en premier ?
L'AZ-500 s'adresse aux ingénieurs cloud qui configurent la sécurité Azure. L'SC-200 est pour les analystes SOC qui travaillent avec Sentinel. Voici celle qui correspond réellement à votre poste.
Si vous devez choisir une certification de sĂ©curitĂ© Microsoft et que vous ne savez pas laquelle, voici la version courte : l'AZ-500 si vous construisez et configurez des ressources Azure, l'SC-200 si vous enquĂȘtez sur les alertes et chassez les menaces. Les deux coĂ»tent 165 $, sont basĂ©es sur les rĂŽles de niveau associĂ©, et sont raisonnablement difficiles. Elles couvrent des domaines qui se chevauchent â identitĂ©, rĂ©seau, Sentinel â mais le travail quotidien auquel elles correspondent est vĂ©ritablement diffĂ©rent, et choisir la mauvaise signifie Ă©tudier pour le poste de quelqu'un d'autre.
Je reçois cette question assez souvent pour qu'elle mérite un article complet plutÎt qu'une simple phrase.
Qu'est-ce que l'AZ-500
L'AZ-500 â Microsoft Certified: Azure Security Engineer Associate â teste votre capacitĂ© Ă implĂ©menter des contrĂŽles de sĂ©curitĂ© sur Azure. Le plan actuel se divise en gros :
- GĂ©rer l'identitĂ© et l'accĂšs (~25â30 %) : Entra ID, AccĂšs Conditionnel, PIM, identitĂ©s gĂ©rĂ©es, configuration MFA.
- SĂ©curiser les rĂ©seaux (~20â25 %) : NSG, ASG, Pare-feu Azure, WAF sur Front Door / App Gateway, points de terminaison privĂ©s, protection DDoS.
- SĂ©curiser le calcul, le stockage, les bases de donnĂ©es (~20â25 %) : Defender pour le Cloud, chiffrement de disque, durcissement du stockage, Key Vault, SQL TDE / Always Encrypted.
- GĂ©rer les opĂ©rations de sĂ©curitĂ© (~25â30 %) : Bases de Sentinel, score de sĂ©curitĂ© Defender pour le Cloud, Azure Policy, tableaux de bord de conformitĂ© rĂ©glementaire.
C'est vaste. Les questions donnent une impression pratique pour un QCM â les Ă©tudes de cas au dĂ©but de l'examen vous obligent Ă travailler sur l'environnement d'une entreprise hypothĂ©tique. KQL est lĂ©ger. Sentinel est lĂ©ger. Le centre de gravitĂ© est de "configurer les ressources Azure pour qu'elles soient sĂ©curisĂ©es".
Qu'est-ce que l'SC-200
L'SC-200 â Microsoft Certified: Security Operations Analyst Associate â teste votre capacitĂ© Ă opĂ©rer une pile de sĂ©curitĂ© Microsoft au quotidien. Plan actuel :
- AttĂ©nuer les menaces Ă l'aide de Microsoft Defender XDR (~25â30 %) : Defender for Endpoint, Office 365, Cloud Apps, Identity. EnquĂȘte, triage, rĂ©ponse.
- AttĂ©nuer les menaces Ă l'aide de Defender pour le Cloud (~15â20 %) : protection des charges de travail cloud, score de sĂ©curitĂ©, conformitĂ© rĂ©glementaire du point de vue de l'analyste.
- AttĂ©nuer les menaces Ă l'aide de Microsoft Sentinel (~50â55 %) : connecteurs de donnĂ©es, rĂšgles d'analyse, requĂȘtes de chasse, classeurs, playbooks, SOAR, KQL â KQL intensif.
Le centre de gravitĂ© de l'examen est Sentinel. Si vous ne pouvez pas Ă©crire ou lire KQL couramment le jour de l'examen, vous aurez des difficultĂ©s. Les Ă©tudes de cas vous donnent souvent une requĂȘte et vous demandent ce qu'elle renvoie, ou vous prĂ©sentent un scĂ©nario et vous demandent quel opĂ©rateur KQL vous utiliseriez pour l'affiner.
Correspondance des rĂŽles
C'est la partie que personne ne mentionne clairement sur la page marketing :
| Si votre titre est... | Passez ceci en premier |
|---|---|
| Ingénieur Cloud / Ingénieur DevOps / Ingénieur Plateforme | AZ-500 |
| Ingénieur Sécurité (axé sur la configuration) | AZ-500 |
| Administrateur Azure souhaitant se spécialiser | AZ-500 |
| Analyste SOC / Analyste Niveau 1-2 | SC-200 |
| Chasseur de Menaces / Ingénieur en Détection | SC-200 |
| Intervenant en Cas d'Incident | SC-200 |
| Informaticien généraliste / souhaite les deux à terme | AZ-500 en premier |
| Reconversion en sécurité | SC-200 (plus de demande au niveau junior) |
La raison pour laquelle l'AZ-500 est prioritaire pour la plupart des rĂŽles cloud est qu'elle couvre plus de terrain qu'une personne non purement spĂ©cialisĂ©e en sĂ©curitĂ© doit rĂ©ellement connaĂźtre. Si vous ĂȘtes un ingĂ©nieur cloud qui rĂ©pond occasionnellement Ă des questions de sĂ©curitĂ©, l'AZ-500 vous rendra meilleur dans votre travail quotidien. L'SC-200 ne sera rentable que si vous ĂȘtes devant Sentinel la plupart du temps.
Difficulté : à peu prÚs égale, de formes différentes
Les deux examens comportent 40 à 60 questions, durent 100 minutes, et ont un prix catalogue de 165 $ USD (avec des tarifs régionaux pouvant descendre à environ 80 $ sur certains marchés). Les deux ont un renouvellement gratuit d'un an via une évaluation en ligne de 30 questions. Les deux utilisent des études de cas ainsi que des questions standard à choix multiple / sélection multiple / glisser-déposer.
OĂč ils diffĂšrent :
L'AZ-500 est plus large, l'SC-200 est plus approfondie. L'AZ-500 vous demande de connaĂźtre un peu de beaucoup de choses â identitĂ©, rĂ©seau, calcul, stockage, opĂ©rations. L'SC-200 vous demande de connaĂźtre beaucoup de choses sur Sentinel et la suite Defender spĂ©cifiquement.
KQL est le facteur de diffĂ©renciation de l'SC-200. L'AZ-500 vous demande de lire des requĂȘtes KQL et de comprendre les sorties. L'SC-200 vous demande de les Ă©crire, de les optimiser, de les dĂ©boguer. Si vous n'avez jamais utilisĂ© KQL, l'SC-200 vous surprendra.
L'AZ-500 contient plus de contenu sur l'identitĂ©. AccĂšs Conditionnel, PIM, IdentitĂ©s Externes, Protection de l'IdentitĂ© â les premiers 25 Ă 30 % de l'AZ-500 sont fortement axĂ©s sur l'identitĂ©. L'SC-200 aborde l'identitĂ© mais surtout sous l'angle des alertes Defender for Identity.
Les taux de rĂ©ussite ne sont pas publiĂ©s par Microsoft, mais selon les retours, les deux se situent entre 60 et 70 % Ă la premiĂšre tentative pour les candidats prĂ©parĂ©s. La section KQL de l'SC-200 est l'endroit oĂč la plupart des gens perdent des points ; les Ă©tudes de cas de l'AZ-500 sont l'endroit oĂč la plupart des gens perdent des points.
Temps de préparation
| Contexte | AZ-500 | SC-200 |
|---|---|---|
| IngĂ©nieur sĂ©curitĂ© expĂ©rimentĂ© Azure | 40â60 h | 50â80 h |
| IngĂ©nieur Azure gĂ©nĂ©raliste | 80â100 h | 100â130 h |
| Analyste SOC, pile Microsoft | 80â100 h | 50â80 h |
| Nouveau sur Azure | 150+ h | 180+ h |
L'SC-200 tend Ă ĂȘtre lĂ©gĂšrement plus longue car la maĂźtrise de KQL doit ĂȘtre construite de zĂ©ro pour la plupart des candidats. Si vous maĂźtrisez dĂ©jĂ KQL ou un autre langage de requĂȘte avec une syntaxe similaire (Splunk SPL se transfĂšre raisonnablement bien), retirez 20 Ă 30 heures.
Les parcours officiels de Microsoft Learn pour les deux examens sont gratuits et Ă jour. La chaĂźne YouTube de John Savill propose des vidĂ©os de rĂ©vision pour les deux. Pour l'SC-200 spĂ©cifiquement, "KQL from scratch" de Rod Trent est la ressource gratuite canonique pour le contenu Sentinel. Pour l'AZ-500, la crĂ©ation d'un abonnement Azure gratuit et l'exploration par vous-mĂȘme de l'AccĂšs Conditionnel, du PIM, de Defender pour le Cloud et du Key Vault sont non nĂ©gociables â il est presque impossible de rĂ©pondre aux questions des Ă©tudes de cas sans une familiaritĂ© au niveau du portail.
Indication salariale
Aucune des deux certifications n'impacte directement les salaires de maniÚre nette (comparaison A/B). Les deux ouvrent des portes pour des entretiens. Selon le BLS OEWS de mai 2024, le salaire médian des analystes en sécurité de l'information (15-1212) est d'environ 124 000 $, le 90e centile étant d'environ 182 000 $. Les rÎles de sécurité dans les environnements Microsoft se situent dans la moitié supérieure de cette fourchette.
DonnĂ©es levels.fyi 2025â2026 :
- Ingénieur Sécurité Microsoft L62, rémunération totale ~230k $.
- Spécialiste Sécurité AWS L5, rémunération totale ~245k $.
- Postes d'ingĂ©nieur sĂ©curitĂ© de niveau intermĂ©diaire hors FAANG (Capital One, Stripe, Atlassian) : gĂ©nĂ©ralement 170kâ220k $ de salaire de base.
Les détenteurs de l'SC-200 dans les grandes entreprises dotées de SOC matures (banques, santé, contractants fédéraux) gagnent souvent plus que le salaire médian car les rÎles de SOC 24h/24 et 7j/7 incluent des primes de poste. Les détenteurs de l'AZ-500 tendent vers les grilles salariales standard de l'ingénierie cloud.
La combinaison de certifications qui tend Ă ĂȘtre la mieux rĂ©munĂ©rĂ©e en 2026 est AZ-500 + SC-200 + AZ-104 â cela signale que vous pouvez configurer Azure, le sĂ©curiser et gĂ©rer la rĂ©ponse. RĂ©aliser les trois prend environ 200 heures sur 6 Ă 9 mois et permet Ă votre CV de passer les filtres de la plupart des employeurs utilisant la pile Microsoft.
Ce que je ferais
Si vous avez une formation en ingénierie cloud ou en informatique généraliste, passez l'AZ-500 en premier. C'est plus vaste, cela vous en apprend davantage sur Azure en tant que plateforme, et la plupart des emplois qui exigent des compétences en sécurité Microsoft demandent l'AZ-500 par son nom plus souvent que l'SC-200.
Si vous dĂ©butez dans un parcours SOC ou d'analyste â vous exĂ©cutez dĂ©jĂ des requĂȘtes dans un SIEM, vous enquĂȘtez quotidiennement sur des alertes â passez l'SC-200 en premier. Le contenu trĂšs axĂ© sur la configuration de l'AZ-500 vous semblera ĂȘtre un dĂ©tour dont vous n'avez pas encore besoin.
Si vous visez les deux à terme, l'ordre compte moins que l'écart entre eux. Ne les espacez pas de plus de 6 mois ; le chevauchement sur l'identité et les bases de Sentinel récompense une préparation consécutive.
Lorsque vous ĂȘtes prĂȘt Ă vous entraĂźner, parcourez la banque de questions d'entraĂźnement AZ-500 sur CertLabPro, dĂ©marrez un examen chronomĂ©trĂ© SC-200, ou utilisez les deux. Le format d'Ă©tude de cas de Microsoft est distinctif et la reconnaissance de schĂ©mas sous la pression du temps est la partie qui bĂ©nĂ©ficie le plus d'un entraĂźnement rĂ©aliste.