SC-900 Microsoft Security Fundamentals : Guide 2026

La certification SC-900 : Microsoft Security, Compliance, and Identity Fundamentals est la certification d'entrée de gamme de Microsoft dans le domaine de la cybersécurité. Elle s'adresse à ceux qui souhaitent comprendre les concepts fondamentaux de sécurité, de conformité et d'identité dans l'écosystème Microsoft, sans nécessiter d'expertise technique préalable approfondie.

À qui s'adresse le SC-900 ?

Contrairement à des certifications comme l'AZ-500 ou le CompTIA Security+, le SC-900 est véritablement accessible à un large public :

• Professionnels non techniques (juristes, auditeurs, responsables conformité) évoluant dans des environnements Microsoft
• Étudiants en informatique souhaitant une première certification de sécurité reconnue
• Professionnels IT souhaitant élargir leurs connaissances vers la sécurité Microsoft 365 et Azure
• Commerciaux et avant-vente travaillant sur des solutions Microsoft Security

Les quatre domaines de l'examen SC-900

1. Concepts de sécurité, conformité et identité (10-15 %)

Ce domaine introductif couvre les principes fondamentaux de la sécurité informatique : la triade CIA (Confidentialité, Intégrité, Disponibilité), les modèles Zero Trust, la défense en profondeur, le chiffrement, et les grands principes de gouvernance, de risque et de conformité (GRC). Vous devez comprendre pourquoi la sécurité est un enjeu stratégique pour les organisations modernes.

2. Concepts et capacités de Microsoft Entra (25-30 %)

Microsoft Entra (anciennement Azure Active Directory) est au cœur de ce domaine. Vous apprendrez les concepts d'identité (authentification, autorisation, fédération, SSO), les types d'identités (utilisateurs, services, appareils), l'authentification multifacteur (MFA), l'accès conditionnel, la gestion des identités privilégiées (PIM), Identity Protection et les fondamentaux de la gestion des identités dans un environnement hybride.

3. Capacités des solutions de sécurité Microsoft (35-40 %)

C'est le domaine le plus vaste et il couvre les principaux produits de sécurité Microsoft :

• Microsoft Defender for Cloud : protection de la posture de sécurité cloud (CSPM) et protection des charges de travail
• Microsoft Sentinel : SIEM et SOAR cloud-natif pour la détection et la réponse aux menaces
• Microsoft Defender XDR : protection étendue (endpoint, identité, email, applications cloud)
• Microsoft Defender for Endpoint : protection des appareils, EDR
• Microsoft Defender for Office 365 : protection de la messagerie et de la collaboration
• Azure Firewall, NSG, DDoS Protection : sécurité réseau Azure

4. Capacités des solutions de conformité Microsoft (25-30 %)

Ce domaine aborde les outils Microsoft pour la conformité réglementaire :

• Microsoft Purview : gouvernance des données, protection des informations, prévention des pertes de données (DLP), gestion des risques internes
• Microsoft Priva : gestion de la confidentialité des données
• Compliance Manager : suivi des actions de conformité et score de conformité
• eDiscovery et Audit : outils d'investigation et d'audit légal

Concepts clés à bien comprendre

Le modèle Zero Trust

Zero Trust est un concept fondamental dans le SC-900. Le principe de base est simple : ne jamais faire confiance, toujours vérifier. Contrairement aux modèles traditionnels qui font confiance aux utilisateurs internes par défaut, Zero Trust suppose qu'aucun utilisateur, appareil ou réseau ne doit être automatiquement approuvé. Chaque accès doit être vérifié explicitement, le principe du moindre privilège appliqué, et la compromission éventuelle doit être anticipée.

Authentification versus Autorisation

L'authentification (AuthN) répond à la question "Qui es-tu ?" — c'est la vérification de l'identité via un mot de passe, une empreinte digitale, ou un token. L'autorisation (AuthZ) répond à "Qu'as-tu le droit de faire ?" — c'est la vérification des permissions accordées à une identité authentifiée. Ces deux concepts sont omniprésents dans l'examen.

MFA et méthodes d'authentification

L'authentification multifacteur combine plusieurs facteurs : quelque chose que vous savez (mot de passe), quelque chose que vous possédez (téléphone, carte à puce), et quelque chose que vous êtes (biométrie). Microsoft propose plusieurs méthodes MFA : application Microsoft Authenticator, SMS, appel téléphonique, clés FIDO2, et Windows Hello for Business.

L'accès conditionnel

L'accès conditionnel dans Microsoft Entra permet de définir des politiques qui s'appliquent selon les conditions d'accès : qui accède, depuis quel appareil, depuis quel emplacement géographique, à quelle application. Selon les conditions, l'accès peut être autorisé, bloqué, ou soumis à des conditions supplémentaires (MFA obligatoire, appareil conforme exigé).

Ressources de préparation

Microsoft Learn (gratuit)

Microsoft propose un parcours d'apprentissage officiel et gratuit pour le SC-900 sur learn.microsoft.com. Ce parcours est découpé en modules interactifs qui couvrent chaque domaine de l'examen. Les modules incluent des exercices et des évaluations de fin de module. C'est la ressource de référence absolue pour se préparer.

Documentation officielle Microsoft

La documentation Microsoft (docs.microsoft.com) est très complète et gratuite. Consultez notamment les pages dédiées à Microsoft Entra ID, Microsoft Defender for Cloud, Microsoft Sentinel et Microsoft Purview. Les "Learn more" links dans Microsoft Learn vous dirigeront vers les pages de documentation pertinentes.

Examens de pratique

Utilisez des examens blancs pour tester vos connaissances. Visez 80 % ou plus sur les examens d'entraînement avant de passer l'examen réel. Les questions portent souvent sur la capacité à identifier le bon produit Microsoft pour un scénario donné.

Stratégie de préparation en 3 semaines

1. Semaine 1 : Parcourez le learning path officiel Microsoft Learn pour le SC-900. Prenez des notes sur les produits et leur rôle principal.
2. Semaine 2 : Approfondissez les domaines 2 et 3 (Entra ID et solutions de sécurité). Explorez les interfaces des produits dans une version de démonstration ou d'essai Microsoft 365.
3. Semaine 3 : Révision du domaine 4 (conformité) et examens blancs intensifs. Révisez les points faibles identifiés.

Après le SC-900 : poursuivre en sécurité Microsoft

Le SC-900 ouvre la voie vers des certifications de sécurité plus avancées dans l'écosystème Microsoft :

• SC-200 : Microsoft Security Operations Analyst (analyste SOC)
• SC-300 : Microsoft Identity and Access Administrator
• SC-400 : Microsoft Information Protection Administrator
• AZ-500 : Azure Security Technologies (pour les ingénieurs sécurité Azure)

Si vous souhaitez vous spécialiser dans la cybersécurité au sens large, CompTIA Security+ est également une excellente certification complémentaire au SC-900, apportant une perspective vendor-neutral.