AZ-500 Azure Security Technologies : Guide complet 2026

La certification AZ-500 : Microsoft Azure Security Technologies est LA certification de référence pour les ingénieurs en sécurité cloud sur Azure. Elle valide votre capacité à implémenter des contrôles de sécurité, maintenir la posture de sécurité d'une organisation, identifier et remédier aux vulnérabilités, et répondre aux incidents de sécurité dans un environnement Azure. Dans un contexte de multiplication des cybermenaces, cette certification est extrêmement valorisée.

Profil visé par l'AZ-500

L'AZ-500 s'adresse aux ingénieurs en sécurité cloud qui travaillent sur Azure. Vous devez avoir une bonne expérience préalable en :

• Administration Azure (idéalement avoir l'AZ-104 ou une expérience équivalente)
• Concepts de cybersécurité (réseau, identité, chiffrement, conformité)
• Scripting PowerShell ou Azure CLI pour l'automatisation de la sécurité

Microsoft recommande d'avoir au minimum 12 mois d'expérience pratique sur Azure avant de passer l'AZ-500. C'est une certification de niveau intermédiaire/avancé qui exige une vraie maturité technique.

Les quatre domaines de l'AZ-500

1. Gérer les identités et les accès (25-30 %)

Microsoft Entra ID (anciennement Azure AD) est au cœur de la sécurité Azure. Ce domaine couvre :

• Gestion des identités hybrides : Azure AD Connect, authentification pass-through, synchronisation de hachage de mot de passe, fédération ADFS
• Microsoft Entra ID Protection : politiques de risque (risque utilisateur, risque de connexion), détection des menaces d'identité
• Privileged Identity Management (PIM) : accès just-in-time, activation des rôles, revues d'accès
• Accès conditionnel : création de politiques d'accès conditionnel basées sur des signaux (utilisateur, device, localisation, application)
• Managed Identities : identités pour les ressources Azure afin d'éviter de stocker des credentials dans le code
• RBAC (Role-Based Access Control) : rôles built-in et personnalisés, portée d'application des rôles

2. Sécuriser le réseau (20-25 %)

La sécurité réseau Azure est un domaine dense qui couvre :

• Azure Firewall et Azure Firewall Premium : pare-feu managé avec inspection IDPS, filtrage d'URL, TLS inspection
• Network Security Groups (NSG) et Application Security Groups (ASG) : règles de filtrage au niveau des interfaces réseau et des sous-réseaux
• Azure DDoS Protection : protection Standard contre les attaques par déni de service
• Azure Web Application Firewall (WAF) : protection des applications web contre OWASP Top 10
• Private Endpoints et Private Link : accès privé aux services Azure sans passer par Internet
• VPN Gateway et ExpressRoute : connectivité hybride sécurisée
• Azure Bastion : accès RDP/SSH sécurisé aux VMs sans exposer les ports publics

3. Sécuriser les ressources de calcul, stockage et bases de données (20-25 %)

Ce domaine couvre la sécurisation des données et des charges de travail :

• Azure Key Vault : gestion des secrets, des clés et des certificats, Customer-Managed Keys (CMK)
• Chiffrement des données : chiffrement au repos (SSE avec PMK ou CMK), chiffrement en transit (TLS), Azure Disk Encryption (BitLocker/DM-Crypt)
• Microsoft Defender for Storage : détection des menaces pour les comptes de stockage
• Microsoft Defender for SQL : Advanced Threat Protection, évaluation des vulnérabilités SQL
• Container Security : Microsoft Defender for Containers, sécurité des registres de conteneurs (ACR), scanning d'images
• Endpoint Security : Microsoft Defender for Servers, gestion des vulnérabilités

4. Gérer les opérations de sécurité (25-30 %)

C'est souvent le domaine le plus difficile pour les candidats non issus du monde SOC :

• Microsoft Sentinel : configuration des connecteurs de données, création de règles analytiques, requêtes KQL (Kusto Query Language), playbooks d'automatisation (SOAR), hunting de menaces
• Microsoft Defender for Cloud : Secure Score, recommandations de sécurité, alertes de sécurité, Regulatory Compliance, Defender Plans activation
• Azure Monitor et Log Analytics : configuration des espaces de travail, requêtes de log, alertes de sécurité
• Azure Policy : création de politiques, initiatives, gouvernance des ressources à l'échelle
• Microsoft Defender Threat Intelligence et intégration avec Sentinel

KQL : une compétence indispensable pour l'AZ-500

Le Kusto Query Language (KQL) est le langage de requête utilisé dans Microsoft Sentinel, Log Analytics et Microsoft Defender for Cloud. Pour l'AZ-500, vous devez maîtriser les bases du KQL pour écrire des requêtes de recherche d'événements de sécurité. Voici quelques opérateurs fondamentaux :

• search : recherche textuelle dans toutes les tables
• where : filtrer les enregistrements selon des conditions
• project : sélectionner des colonnes spécifiques
• summarize : agréger et grouper des données
• join : combiner des données de plusieurs tables
• extend : ajouter des colonnes calculées

Pratiquez KQL dans le portail Azure (Log Analytics Workspace → Logs) ou sur le playground gratuit disponible sur le site Microsoft.

Stratégie de préparation recommandée

Prérequis : maîtrisez Azure avant la sécurité

Si vous n'avez pas encore l'AZ-104, assurez-vous d'avoir une expérience pratique solide d'Azure avant de vous attaquer à l'AZ-500. Vous devez comprendre les réseaux virtuels, les groupes de ressources, IAM et la création de ressources de base pour que la sécurité ait du sens.

Ressources recommandées

• Microsoft Learn Learning Path AZ-500 : gratuit, officiel, couvre tous les objectifs d'examen
• John Savill AZ-500 Study Cram (YouTube) : excellent résumé de l'examen en vidéo
• Pluralsight AZ-500 Path : cours vidéo complets avec labs pratiques
• Cybrary Microsoft Azure Security Technologies : formation spécialisée en sécurité Azure

Labs pratiques indispensables

Configurez et testez vous-même chaque service de sécurité dans un abonnement Azure de test. Activez Microsoft Defender for Cloud en mode gratuit, déployez Azure Firewall, configurez des politiques de Key Vault, et expérimentez avec Microsoft Sentinel et ses connecteurs de données.

Valeur sur le marché et évolutions de carrière

Les professionnels certifiés AZ-500 peuvent prétendre à des postes de Cloud Security Engineer, Azure Security Architect ou Security Operations Engineer. Les salaires associés en France varient de 55 000 € à 90 000 € selon l'expérience totale. Cette certification est souvent combinée avec SC-200 (Security Operations Analyst) pour former un profil SOC cloud très complet.