Accueil · Guides de révision · AZ-500

Guide complet AZ-500 — Microsoft

Microsoft Azure Security Technologies · Programme, plan de révision, ressources, examen blanc gratuit.

TL;DR — Le guide en 1 minute

AZ-500 Microsoft Azure Security Technologies valide les competences d'un ingenieur securite cloud sur Azure : gestion des identites, protection des plateformes, securisation des donnees et applications, gouvernance. Examen QCM/etudes de cas de 65 questions en 100 minutes, score 700/1000, prix 165 EUR. Prerequis recommandes : AZ-104 ou experience equivalente. Debouches : Cloud Security Engineer, SecOps Azure, Consultant Cybersecurite. Certification associate tres demandee en 2026 dans les ESN, banques et secteur public francais migrant vers Azure.

Pourquoi passer la certification AZ-500 ?

En 2026, la securite cloud Azure est devenue un enjeu strategique : 78% des grandes entreprises francaises utilisent Azure et la penurie de profils securite cloud atteint 35 000 postes vacants en France selon l'ANSSI. La certification AZ-500 est l'une des plus valorisees du marche Microsoft car elle combine securite, cloud et conformite (NIS2, DORA, RGPD). Le ROI est rapide : un Cloud Security Engineer certifie AZ-500 voit son salaire augmenter en moyenne de 8 a 15 KEUR brut annuel. Cette certification est exigee dans 62% des offres SecOps Azure publiees sur LinkedIn France en 2026. Elle ouvre les portes vers des roles strategiques : architecte securite, RSSI cloud, consultant Zero Trust. Microsoft ayant renforce les modules Defender for Cloud, Microsoft Sentinel et Entra ID Conditional Access, AZ-500 reste a la pointe des pratiques actuelles. Sur le CV, elle signale une expertise concrete reconnue mondialement, particulierement appreciee par les ESN (Capgemini, Sopra, Accenture), les banques (BNP, SG) et les administrations migrant vers le cloud souverain Bleu. Investissement formation : 600 a 1500 EUR finance via CPF ou OPCO.

Caractéristiques de l'examen

Format QCM, etudes de cas, drag-and-drop, 40-65 questions
Duree 100 minutes
Score requis 700/1000 (70%)
Prix officiel 165 EUR HT
Langues Francais, Anglais, Japonais, Chinois, Coreen, Allemand, Espagnol
Validite 1 an (renouvellement gratuit en ligne)
Prerequis Recommande : AZ-104 ou 1-2 ans experience Azure et securite IT

Programme détaillé par domaine

Domain 1 : Gerer les identites et les acces 25-30%

Objectifs
Ce domaine couvre la gestion des identites avec Microsoft Entra ID (anciennement Azure AD), la configuration de l'authentification multifacteur (MFA), les acces conditionnels, la gouvernance des identites privilegiees via PIM, et l'integration des identites hybrides. Le candidat doit savoir securiser les comptes utilisateurs, gerer les invites externes B2B/B2C, et configurer les revues d'acces.
Concepts clés
Maitriser Entra ID Conditional Access, Privileged Identity Management (PIM), Identity Protection, Access Reviews, Entitlement Management, Passwordless authentication (FIDO2, Windows Hello), Self-Service Password Reset (SSPR), Hybrid Identity avec Entra Connect, et la federation. Comprendre les Service Principals, Managed Identities (system-assigned et user-assigned), App Registrations, et les permissions OAuth 2.0/OpenID Connect. Connaitre les Risk Policies (sign-in risk, user risk) et l'integration avec Microsoft Defender for Identity.
Services / outils
Microsoft Entra ID P1/P2, Entra Connect, Entra Permissions Management, PIM, Conditional Access, MFA, Defender for Identity, Azure RBAC, custom roles ARM.
Temps estimé
12-15h

Domain 2 : Securiser le reseau 20-25%

Objectifs
Securiser les communications reseau Azure via la segmentation, le filtrage et le chiffrement. Configurer les Network Security Groups, Azure Firewall, Application Gateway WAF, DDoS Protection, et les connectivites privees. Le candidat doit savoir concevoir une architecture hub-and-spoke securisee et appliquer les principes Zero Trust au reseau.
Concepts clés
NSG vs ASG (Application Security Groups), Azure Firewall Standard/Premium (TLS inspection, IDPS), Azure Front Door, Application Gateway avec WAF v2 (rules OWASP), DDoS Protection Standard, Private Endpoints, Private Link, Service Endpoints, VNet Peering, ExpressRoute, VPN Gateway, Bastion. Comprendre les User Defined Routes (UDR), le Forced Tunneling, et la segmentation micro-perimetres. Maitriser JIT VM Access via Defender for Cloud.
Services / outils
Azure Firewall, NSG, WAF, DDoS Protection, Private Link, Azure Bastion, Front Door, Network Watcher.
Temps estimé
10-12h

Domain 3 : Securiser le calcul, le stockage et les bases de donnees 20-25%

Objectifs
Proteger les ressources de calcul (VM, conteneurs, App Service), les comptes de stockage et les bases de donnees Azure SQL/Cosmos DB. Mettre en oeuvre le chiffrement au repos et en transit, la gestion des cles et secrets, et la securite des workloads conteneurises (AKS, ACR).
Concepts clés
Azure Disk Encryption, Server-Side Encryption (SSE) avec Customer-Managed Keys (CMK), Storage SAS tokens, Azure Files identity-based auth, Confidential Computing, AKS RBAC + Azure Policy, ACR Content Trust, pod identity workload, Defender for Containers, Defender for SQL, Always Encrypted, Transparent Data Encryption (TDE), Dynamic Data Masking, Row-Level Security. Comprendre Key Vault (Standard vs Premium HSM), rotation des cles, soft-delete et purge protection.
Services / outils
Azure Key Vault, Defender for Servers/Containers/Storage/SQL, Azure Policy, ACR, AKS, Azure SQL, Confidential VM.
Temps estimé
12-15h

Domain 4 : Gerer la securite des operations 15-20%

Objectifs
Surveiller, detecter et repondre aux menaces avec Microsoft Sentinel et Defender for Cloud. Configurer les politiques de gouvernance, le Secure Score, et automatiser la reponse aux incidents via les playbooks Logic Apps.
Concepts clés
Microsoft Sentinel (Data Connectors, Analytics Rules, KQL queries, Workbooks, Hunting, UEBA, SOAR/playbooks), Defender for Cloud (Secure Score, CSPM, CWPP, Regulatory Compliance dashboard), Azure Monitor, Log Analytics Workspace, Diagnostic Settings, Activity Logs, Azure Policy avec initiatives, Blueprints (deprecation vers Template Specs), Resource Locks. Maitriser KQL pour analyser logs et creer des regles de detection. Comprendre MITRE ATT&CK mapping dans Sentinel.
Services / outils
Microsoft Sentinel, Defender for Cloud, Azure Monitor, Log Analytics, Azure Policy, Logic Apps.
Temps estimé
10-12h

Domain 5 : Securiser les donnees et applications 10-15%

Objectifs
Proteger les donnees sensibles via la classification, l'etiquetage et le DLP. Securiser les applications cloud-native avec API Management, Key Vault references, et integrer la securite dans le pipeline DevSecOps.
Concepts clés
Microsoft Purview Information Protection (sensitivity labels), Defender for Cloud Apps (CASB), Data Loss Prevention, Azure Information Protection, App Service authentication/authorization (Easy Auth), API Management policies (rate limiting, JWT validation, IP filtering), GitHub Advanced Security, Defender for DevOps, secrets scanning, IaC scanning avec Checkov/Terraform. Comprendre OAuth flows pour applications, certificate-based auth.
Services / outils
Microsoft Purview, Defender for Cloud Apps, API Management, Defender for DevOps, GitHub Advanced Security.
Temps estimé
8-10h

Plan de révision hebdomadaire

Planning sur 8 semaines a raison de 8-10h par semaine. Semaine 1 : decouverte du portail Azure et revisions AZ-104 si necessaire. Creer un tenant Azure gratuit (200 USD credits), parcourir Microsoft Learn parcours AZ-500. Semaine 2 : Domaine Identites. Lire la doc Entra ID, configurer MFA, Conditional Access, PIM en lab. Realiser 15 quiz Microsoft Learn. Semaine 3 : Securite reseau. Deployer une architecture hub-spoke avec Azure Firewall, NSG, Private Endpoints. Travailler le module Network Security sur Microsoft Learn et faire les labs Whizlabs. Semaine 4 : Securite des ressources compute/storage/databases. Configurer Key Vault avec rotation, deployer Defender for Servers, activer TDE sur Azure SQL. Pratiquer la creation de Managed Identities pour acceder a Key Vault. Semaine 5 : Operations de securite. Deployer Microsoft Sentinel, ingerer des logs Azure Activity, ecrire 5 regles KQL, creer un playbook Logic App. Etudier Defender for Cloud et Secure Score. Semaine 6 : Donnees et applications. Configurer Purview sensitivity labels, securiser une API avec APIM policies, scanner un repo GitHub avec Advanced Security. Semaine 7 : Examens blancs intensifs. Realiser 3 examens MeasureUp ou Tutorials Dojo, analyser chaque erreur, relire la doc sur les sujets faibles. Semaine 8 : revision finale, focus sur etudes de cas, flashcards Anki sur services et ports, simulation chronometree 100 minutes. Reservation examen via Pearson VUE en ligne ou centre. La veille : reposez-vous, relisez vos fiches PIM et KQL.

Besoin d'un planning sur mesure ? 30 jours · 60 jours · 90 jours

Ressources recommandées

Documentation officielle Microsoft Learn

Parcours officiel gratuit AZ-500 avec modules theoriques et labs sandbox inclus, mis a jour 2026.

John Savill AZ-500 Study Cram

Chaine YouTube gratuite reference, video de revision intensive 4h tres complete et a jour.

Tutorials Dojo Practice Tests

Examens blancs payants (15 EUR) avec explications detaillees, simulent fidelement le format Microsoft.

Communaute Microsoft Tech Community

Forum officiel et serveur Discord Azure France pour echanger avec professionnels certifies et MVP.

5 erreurs classiques à éviter

  • Erreur 1 : Negliger KQL (Kusto Query Language). Sentinel et Log Analytics utilisent KQL intensivement. Solution : pratiquer 30 min/jour sur le portail demo Log Analytics.
  • Erreur 2 : Confondre NSG et Azure Firewall. NSG = filtrage L4 stateful par ressource ; Firewall = service manages L4-L7 centralise. Faire un tableau comparatif clair.
  • Erreur 3 : Sous-estimer Conditional Access et PIM. Ces sujets representent 15% de l'examen. Pratiquer en lab tous les types de policies et roles eligibles vs actifs.
  • Erreur 4 : Memoriser sans pratiquer. L'examen contient des etudes de cas concretes. Solution : deployer reellement chaque service via portail, CLI et ARM/Bicep.
  • Erreur 5 : Ignorer les nouveautes 2025-2026 comme Defender for DevOps, Purview rebrand et Entra renaming. Toujours verifier la date de mise a jour des ressources d'apprentissage.

5 questions types corrigées

Q1. Vous devez autoriser l'acces a un compte de stockage Azure uniquement depuis une VM specifique, sans exposer le storage sur Internet public. Quelle solution recommandez-vous ?
Réponse : B
Private Endpoint cree une interface reseau privee dans le VNet avec une IP privee, route le trafic via le backbone Microsoft sans transiter par Internet. La Private DNS Zone resout le FQDN du storage vers l'IP privee. Service Endpoint garde une IP publique (option A insuffisante). Storage Firewall par IP publique expose le service (C). SAS token ne resout pas le probleme reseau (D). Private Endpoint est la solution Zero Trust recommandee par Microsoft pour PaaS.
Q2. Dans Microsoft Sentinel, vous voulez detecter automatiquement les connexions suspectes depuis des pays inhabituels. Quelle ressource creer ?
Réponse : C
Les Analytics Rules de type Scheduled executent une requete KQL a intervalle regulier et generent automatiquement des incidents lorsque les conditions sont remplies. Elles peuvent declencher des playbooks SOAR. Les Workbooks sont des dashboards de visualisation (A). Les Hunting queries sont manuelles et investigation-oriented (B). Les Data connectors ingestent les logs mais ne detectent pas (D). Pour une detection automatique avec alerting, Scheduled Analytics rule est la reponse.
Q3. Vous deployez une application qui doit acceder a Azure Key Vault sans stocker de credentials. Quelle methode utiliser ?
Réponse : B
Une System-Assigned Managed Identity fournit une identite Entra ID automatiquement geree par Azure, sans secret a stocker. L'application obtient un token via l'IMDS endpoint pour s'authentifier aupres de Key Vault, avec acces controle par RBAC ou Access Policies. Le Service Principal avec secret (A) viole le principe no-secrets. Connection string en clair (C) est non securise. Certificat local (D) cree de la dette operationnelle. Managed Identity est la best practice Microsoft pour les workloads Azure.

Voir plus de questions gratuites →

Carrière & salaire après AZ-500

En France en 2026, un Cloud Security Engineer certifie AZ-500 percoit entre 55 et 75 KEUR brut annuel en debut de carriere, 75 a 95 KEUR avec 3-5 ans d'experience, et jusqu'a 120 KEUR pour un Senior ou Architect en region parisienne. En freelance, le TJM oscille entre 700 et 1100 EUR. Les secteurs porteurs : banque-assurance, defense, sante, ESN. Evolution naturelle vers Cybersecurity Architect Expert (SC-100), Azure Solutions Architect (AZ-305) ou RSSI Cloud. Certifications complementaires recommandees : SC-200 (Security Operations Analyst), SC-300 (Identity), SC-100 (Cybersecurity Architect Expert) pour atteindre le statut Microsoft Certified Expert, tres recherche en 2026.

Détail des salaires AZ-500 en 2026 →

FAQ — AZ-500

Combien de temps faut-il pour preparer AZ-500 ?

Comptez 8 a 12 semaines a raison de 8-10h hebdomadaires si vous avez AZ-104 ou une experience Azure. Sans prerequis, prevoir 4 mois en passant d'abord AZ-900 puis AZ-104.

Cette certification est-elle reconnue en France ?

Oui, AZ-500 est largement reconnue par les recruteurs francais et europeens. Elle figure dans 62% des offres SecOps Azure et est valorisee par les ESN, banques et administrations migrant vers Bleu et S3NS.

Quel est le taux de reussite a AZ-500 ?

Le taux de reussite avoisine 65-70% au premier passage selon les retours communautaires. Microsoft ne publie pas de statistiques officielles. Une preparation labs + examens blancs porte le taux a plus de 85%.

Quel est le salaire apres AZ-500 ?

En France 2026 : 55-75 KEUR junior, 75-95 KEUR confirme, 95-120 KEUR senior/architect. En freelance, TJM entre 700 et 1100 EUR selon experience et localisation.

Faut-il une experience prealable ?

Officiellement non, mais Microsoft recommande fortement 1-2 ans d'experience Azure et en securite IT. AZ-104 est un excellent tremplin avant AZ-500.

AZ-500 ou cert concurrente : laquelle choisir ?

AZ-500 si votre cible est Azure (Microsoft-centric). AWS Security Specialty si vous travaillez sur AWS. CCSP (ISC2) pour une approche vendor-neutral et strategique. Les trois sont complementaires.

Combien coute l'examen AZ-500 ?

165 EUR HT en France via Pearson VUE en 2026. Reduction de 50% possible apres certains MOOC Microsoft Learn challenges. Finance via CPF, OPCO ou plan de formation entreprise.

Combien de fois peut-on repasser AZ-500 ?

En cas d'echec, 24h d'attente avant le 2e passage. Apres le 2e echec, 14 jours d'attente. Maximum 5 tentatives par an. Chaque tentative est facturee 165 EUR sauf si vous avez un Exam Replay.

Prêt à passer à la pratique ?

Lancez votre examen blanc gratuit ou faites le test d'orientation pour valider votre choix.

Démarrer l'examen blanc AZ-500 → Test d'orientation