Microsoft Security, Compliance, and Identity Fundamentals
175 questions de pratique
Dernière révision : April 2026
Notes personnelles et liens de ressources pour votre parcours d'étude
Filtrer par Certification
Le Microsoft Security, Compliance, and Identity Fundamentals (SC-900) est une certification fondamentale qui valide la compréhension conceptuelle du portefeuille de sécurité, conformité et identité (SCI) de Microsoft à travers Microsoft 365 et Azure. Il s'adresse aux parties prenantes métiers, aux généralistes de l'informatique, au personnel de vente et de partenariat, aux responsables de la conformité, et à toute personne débutant dans la sécurité qui a besoin d'un vocabulaire commun pour Microsoft Entra, Microsoft Defender, Microsoft Sentinel, Microsoft Purview et Intune. L'examen est conceptuel plutôt que pratique : attendez-vous à reconnaître les capacités des services, à identifier quel produit répond à un scénario donné (Zero Trust, DLP, accès conditionnel, risque d'initié) et à expliquer les principes fondamentaux de l'identité, du chiffrement et de la responsabilité partagée dans un langage clair.
Vocabulaire fondamental : Zero Trust, défense en profondeur, le modèle de responsabilité partagée, les bases du chiffrement et du hachage, et les quatre piliers de l'identité (administration, authentification, autorisation, audit). Le poids le plus faible (12 %) mais l'échafaudage conceptuel sur lequel repose le reste de l'examen.
Microsoft Entra ID (anciennement Azure AD), identités externes (B2B/B2C), accès conditionnel, authentification multifacteur, sans mot de passe, Identity Protection, Privileged Identity Management, et Entra Permissions Management / Verified ID. Environ 28 % de l'examen — le deuxième domaine le plus important.
Le domaine le plus important (38 %). Couvre Microsoft Sentinel (SIEM/SOAR natif du cloud), la famille Microsoft Defender XDR (Defender for Endpoint, Office 365, Identity, Cloud Apps), Defender for Cloud, la sécurité réseau Azure (NSGs, Azure Firewall, DDoS Protection) et Azure Bastion. Attendez-vous à des questions de scénario demandant quel produit correspond à quelle menace.
Microsoft Purview (portail de conformité, protection des informations, DLP, gestion des risques d'initiés, eDiscovery, audit), Service Trust Portal, Compliance Manager, et gouvernance des ressources via Azure Policy et Microsoft Purview Data Governance. Environ 22 % de l'examen.
Les services que vous rencontrerez à l'examen et pourquoi chacun compte.
Service de gestion des identités et des accès basé sur le cloud qui authentifie les utilisateurs, les appareils et les charges de travail par rapport aux comptes d'annuaire, aux identités externes B2B/B2C et aux fournisseurs fédérés.
Pourquoi il est à l'examen : Le Domaine 2 (Fonctionnalités de Microsoft Entra) s'appuie sur Entra ID comme fournisseur d'identité — attendez-vous à des questions sur l'authentification, le SSO, le MFA et les types de locataires.
Protection d'identité basée sur les risques qui détecte les anomalies de connexion, les informations d'identification divulguées et les schémas de déplacement impossibles, puis applique des politiques de risque.
Pourquoi il est à l'examen : Le Domaine 2 teste l'accès conditionnel basé sur les risques ; ID Protection est la source nommée des signaux de risque de connexion et d'utilisateur.
Service d'identité décentralisée qui émet et vérifie des informations d'identification numériques infalsifiables basées sur des standards ouverts (W3C DIDs, Verifiable Credentials).
Pourquoi il est à l'examen : Le Domaine 2 présente Verified ID comme le scénario d'identité décentralisée — distinguant la vérification basée sur des revendications des recherches d'annuaire traditionnelles.
Workflows d'élévation juste-à-temps et d'approbation pour les rôles privilégiés dans Entra ID, les ressources Azure et Microsoft 365, avec accès limité dans le temps et pistes d'audit.
Pourquoi il est à l'examen : Le Domaine 2 teste les modèles de moindre privilège ; PIM est la réponse nommée à « comment accorder un accès administrateur à la demande sans autorisations permanentes ».
Suite de défense unifiée avant et après incident qui corrèle les signaux des points de terminaison, des identités, des e-mails, des applications cloud et des données dans une vue d'incident unique.
Pourquoi il est à l'examen : Le Domaine 3 (Solutions de sécurité Microsoft) s'appuie sur Defender XDR comme surface d'enquête d'incident multi-charge de travail.
Plateforme de protection des applications cloud-native (CNAPP) qui fournit la gestion de la posture de sécurité (CSPM) et la protection des charges de travail (CWP) sur Azure, AWS et GCP.
Pourquoi il est à l'examen : Le Domaine 3 attend Defender for Cloud comme la réponse de posture et de protection des charges de travail multicloud — le score de sécurité, la conformité réglementaire et les plans CWP apparaissent dans les questions.
SIEM et SOAR cloud-natifs construits sur Azure qui ingère les signaux de l'ensemble de l'environnement, chasse les menaces avec KQL et automatise la réponse via des playbooks.
Pourquoi il est à l'examen : Le Domaine 3 nomme Sentinel comme la réponse SIEM/SOAR — les questions testent la distinction SIEM vs SOAR et l'architecture des connecteurs de données.
Plateforme EDR (Enterprise Endpoint Detection and Response) avec réduction de la surface d'attaque, antimalware de nouvelle génération et investigation automatisée sur Windows, macOS, Linux, iOS, Android.
Pourquoi il est à l'examen : Le Domaine 3 teste les capacités de protection des points de terminaison ; Defender for Endpoint est l'EDR nommé pour les scénarios de menaces au niveau des appareils.
Protection des boîtes aux lettres Microsoft 365, Teams, SharePoint et OneDrive contre le phishing, l'usurpation d'identité par e-mail professionnel et les pièces jointes malveillantes via Safe Links et Safe Attachments.
Pourquoi il est à l'examen : Le Domaine 3 inclut des scénarios de menaces liés aux e-mails/collaboration ; Defender for Office 365 est le contrôle nommé pour les politiques Safe Links / Safe Attachments / anti-phishing.
CASB (Cloud Access Security Broker) qui découvre l'informatique fantôme, applique des contrôles de session et protège les applications SaaS sanctionnées via des connecteurs API et un proxy inverse.
Pourquoi il est à l'examen : Le Domaine 3 encadre les scénarios CASB — la découverte d'informatique fantôme, le contrôle d'application d'accès conditionnel et la DLP SaaS pointent tous vers Defender for Cloud Apps.
Détection des menaces Active Directory sur site qui révèle la reconnaissance, le mouvement latéral, la domination de domaine et les attaques Golden Ticket à partir du trafic des contrôleurs de domaine.
Pourquoi il est à l'examen : Le Domaine 3 couvre les menaces d'identité hybride — Defender for Identity est la couche de détection nommée axée sur AD, distincte de Entra ID Protection, qui est uniquement cloud.
Gestion unifiée des points de terminaison (UEM) pour l'inscription des appareils, la configuration, le déploiement d'applications et l'évaluation de la conformité sur Windows, macOS, iOS, Android et Linux.
Pourquoi il est à l'examen : Le Domaine 3 lie la conformité des appareils à l'accès conditionnel — Intune fournit le signal de conformité qui contrôle l'accès aux ressources.
Étiquettes de sensibilité, chiffrement et classification basée sur le contenu qui accompagnent les documents et les e-mails à travers Microsoft 365 et les applications tierces approuvées.
Pourquoi il est à l'examen : Le Domaine 4 (Solutions de conformité Microsoft) teste la manière dont les étiquettes classifient et protègent les données au repos, en transit et en cours d'utilisation.
Moteur de politique qui détecte, bloque ou audite les données sensibles en mouvement à travers les services Microsoft 365, les points de terminaison et SharePoint/OneDrive sur site.
Pourquoi il est à l'examen : Le Domaine 4 nomme la DLP comme la réponse canonique aux scénarios « empêcher le contenu sensible de quitter le locataire » à travers les e-mails, Teams et les points de terminaison.
Détection basée sur le ML des activités internes malveillantes ou involontaires — exfiltration de données, vol par un employé partant, violations de politique — avec des workflows d'investigation pseudonymisés.
Pourquoi il est à l'examen : Le Domaine 4 couvre les menaces internes comme un pilier de conformité distinct ; Insider Risk Management est la charge de travail nommée.
Capacités de conservation légale, de recherche et d'exportation sur le contenu Microsoft 365 pour les litiges, les enquêtes et les réponses réglementaires, avec les workflows de responsable eDiscovery (Premium).
Pourquoi il est à l'examen : Le Domaine 4 teste les workflows de conservation légale/réglementaire — eDiscovery est l'outillage nommé pour la préservation, la recherche et l'exportation.
Service de politique en tant que code qui audite et applique la configuration des ressources sur les abonnements Azure, avec Blueprints qui regroupe les politiques, les attributions de rôles et les modèles ARM en une unité déployable.
Pourquoi il est à l'examen : Le Domaine 1 et le Domaine 4 font référence à l'application des politiques comme mécanisme derrière les lignes de base de gouvernance ; Azure Policy + Blueprints est le contrôle nommé.
Portail centralisé pour la documentation de conformité cloud Microsoft, associé à Compliance Manager, qui évalue la conformité des locataires par rapport à des cadres tels qu'ISO 27001, NIST et GDPR.
Pourquoi il est à l'examen : Le Domaine 4 teste explicitement le Service Trust Portal et Compliance Manager comme les surfaces utilisées par les clients pour prouver leur posture de conformité.
Moteur de politique qui évalue les signaux — utilisateur, emplacement, état de l'appareil, application, risque — et applique des contrôles comme le MFA, un appareil conforme ou des restrictions de session avant d'accorder l'accès.
Pourquoi il est à l'examen : Le Domaine 2 traite l'accès conditionnel comme le point d'application central pour les signaux Zero Trust ; attendez-vous à des questions de scénario sur l'attribution de politiques et les exclusions.
Service géré pour les clés, les secrets et les certificats, avec protection des clés par HSM, intégration des clés gérées par le client (CMK) et politiques d'accès via RBAC ou les politiques d'accès au coffre.
Pourquoi il est à l'examen : Le Domaine 3 couvre la protection des secrets et les scénarios de chiffrement CMK — Key Vault est le magasin nommé pour toutes les charges de travail Azure.
$65k–$92k–$130k USD annuel
Le SC-900 est une certification fondamentale et est rarement le facteur décisif en matière de rémunération — ces fourchettes reflètent des rôles de début de carrière dans la sécurité et l'identité aux États-Unis, où le SC-900 est l'un des nombreux indicateurs sur le CV. Les rôles de sécurité seniors (où les certifications SC-200, SC-100, AZ-500 ou CISSP sont attendues) tendent à être significativement plus élevés.
Source : U.S. BLS OEWS May 2024 (15-1212 analystes en cybersécurité, médiane d'environ 120k $; 15-1232 support utilisateur informatique, médiane d'environ 60k $), niveaux levels.fyi 2025–2026 pour les rôles de sécurité et de support IT. Les chiffres sont approximatifs ; la rémunération réelle dépend du rôle, de la région et de l'expérience.
La suite de sécurité de Microsoft — Defender XDR, Sentinel, Purview, Entra et Intune — est la solution par défaut dans une grande partie des entreprises qui utilisent déjà Microsoft 365 et Azure, ce qui fait du SC-900 l'une des certifications de sécurité d'entrée de gamme les plus largement reconnues. Les recruteurs l'utilisent comme signal de présélection indiquant qu'un candidat peut utiliser le vocabulaire de sécurité Microsoft lors des entretiens, même avant d'occuper un rôle pratique. Il est particulièrement courant sur les CV du personnel de support technique, des généralistes de l'informatique, de la conformité et des avant-ventes partenaires qui s'orientent vers la sécurité, ainsi que pour les parties prenantes non techniques (chefs de projet, responsables de comptes, responsables GRC) qui ont besoin de crédibilité lorsqu'ils discutent de Zero Trust, d'accès conditionnel ou de DLP avec les équipes de sécurité. En soi, il ne qualifie pas quelqu'un pour des rôles d'analyste ou d'ingénieur, mais il se combine bien avec le SC-200 ou l'AZ-500 comme prochaine étape.
Il n'y a pas de prérequis formels. Microsoft recommande une familiarité avec les concepts de mise en réseau et de cloud computing, une culture informatique générale et une compréhension de base de Microsoft Azure et Microsoft 365 — mais les candidats sans expérience Microsoft réussissent régulièrement après avoir parcouru le parcours officiel Microsoft Learn (environ 10 à 14 heures) et une évaluation pratique.
Si vous n'avez jamais utilisé Azure ou Microsoft 365, compléter d'abord AZ-900 (Azure Fundamentals) ou MS-900 (Microsoft 365 Fundamentals) rendra le SC-900 sensiblement plus facile : de nombreuses questions du SC-900 supposent que vous reconnaissez les ressources Azure de base et la surface d'administration de M365. Les trois examens de niveau "900" se chevauchent de manière significative et sont souvent passés ensemble par les candidats qui construisent une base cloud Microsoft. Les laboratoires pratiques ne sont pas strictement nécessaires, mais un locataire de développement Microsoft 365 gratuit et un compte Azure gratuit vous permettent de naviguer dans les portails Entra, Purview et Defender, ce qui est bien plus efficace que la lecture seule.
Le SC-900 est classé comme fondamental et est l'une des certifications Microsoft les plus accessibles. Prévoyez 20 à 40 heures d'étude sur 2 à 4 semaines si vous n'avez aucune expérience préalable du cloud Microsoft ou de la sécurité, ou 8 à 15 heures sur une semaine si vous maîtrisez déjà le domaine AZ-900 / MS-900. L'examen dure environ 45 minutes et contient environ 40 à 60 questions à choix multiples et à réponses multiples ; le score de réussite est de 700/1000 sur un modèle de notation pondérée.
La partie la plus difficile pour la plupart des candidats est la reconnaissance des noms de service : le portefeuille de sécurité Microsoft a été renommé et réorganisé à plusieurs reprises (Azure AD est devenu Entra ID, la suite Defender s'est consolidée en Defender XDR, Microsoft 365 Compliance est devenu Purview), et les questions d'examen testent constamment si vous pouvez associer le nom de produit actuel à la bonne capacité. Mémoriser le rôle de chaque produit — Defender for Endpoint vs. Defender for Cloud vs. Defender for Identity, Purview vs. Priva, Entra ID vs. Entra Permissions Management — est ce qui sépare le plus la réussite de l'échec.
Disponibilité générale en avril 2021 dans le cadre de la filière Microsoft Security, Compliance, and Identity Fundamentals. Les objectifs sont mis à jour périodiquement (plus récemment pour refléter le renommage d'Azure AD en Entra et le rebranding de Microsoft 365 Compliance en Purview) ; en tant qu'examen fondamental, il ne se retire pas sur un cycle d'un an et la certification n'expire pas.
SC-900 (Microsoft Security, Compliance, and Identity Fundamentals) est un examen de niveau Foundational considéré comme un examen d'entrée de gamme testant l'étendue de la compréhension conceptuelle plutôt que la profondeur de l'expérience pratique. La plupart des candidats ont besoin de 30 à 80 heures d'étude réparties sur 3 à 6 semaines pour les examens de niveau fondamental. La plupart des candidats qui obtiennent des scores constamment supérieurs au seuil de réussite lors des examens pratiques réussissent dès leur première tentative.
La plupart des candidats ont besoin de 30 à 80 heures d'étude réparties sur 3 à 6 semaines pour les examens de niveau fondamental. Le temps nécessaire pour réussir varie considérablement en fonction de l'expérience antérieure. Les ingénieurs ayant une expérience pratique en production avec la technologie sous-jacente en ont généralement besoin de moins ; les candidats novices sur la plateforme devraient viser la limite supérieure de cette fourchette.
SC-900 est une certification reconnue dans l'écosystème Microsoft et signale des connaissances validées aux employeurs, recruteurs et clients. Sa valeur en termes de temps et de coût dépend de votre rôle et de vos objectifs — elle est la plus avantageuse pour les ingénieurs cloud, architectes et consultants qui travaillent quotidiennement avec Microsoft ou souhaitent évoluer vers des rôles similaires.
Le score de réussite pour le SC-900 est de 700 / 1000. L'examen contient 40 questions et dure 45 min.
Les frais d'examen SC-900 sont de $99 USD. Les frais sont fixés par Microsoft et peuvent varier selon la région ; confirmez toujours le prix actuel sur la page de certification officielle de Microsoft avant de réserver.
Les certifications Microsoft Fundamentals n'expirent jamais (AZ-900, AI-900, DP-900, SC-900).
Oui. Vous pouvez passer l'examen en ligne (supervisé via le navigateur sécurisé du fournisseur, disponible 24h/24 et 7j/7 dans la plupart des régions) ou dans un centre de test Pearson VUE en personne pendant les heures ouvrables. Les deux formats utilisent les mêmes questions, la même limite de temps et le même score de réussite.
CertLabPro propose 15 modes d'étude à travers la banque de questions pratiques pour le SC-900. Le mode de simulation d'examen reproduit l'examen réel : 40 questions en 45 min, avec le même seuil de réussite de 700 / 1000. Le mode navigation vous permet de lire chaque Q&A de manière statique.