Accueil · Guides de révision · SC-100

Guide complet SC-100 — Microsoft

Microsoft Cybersecurity Architect · Programme, plan de révision, ressources, examen blanc gratuit.

TL;DR — Le guide en 1 minute

La SC-100 Microsoft Cybersecurity Architect est la certification expert de Microsoft destinee aux architectes securite seniors concevant des strategies Zero Trust sur Azure, Microsoft 365 et environnements hybrides. Examen de 40-60 questions (QCM, cas d'etudes, drag-and-drop) en 120 minutes, score 700/1000, prix 165 EUR. Prerequis : detenir SC-200, SC-300, AZ-500 ou MS-500. Debouches : Cloud Security Architect, CISO adjoint, Consultant Zero Trust, avec salaires entre 75K et 130K EUR en France.

Pourquoi passer la certification SC-100 ?

Passer la SC-100 en 2026 represente un investissement strategique pour tout professionnel cybersecurite ambitieux. Avec l'explosion des cyberattaques (rancongiciels, supply chain, IA generative malveillante) et la generalisation du Zero Trust impose par NIS2 et DORA, les entreprises europeennes recherchent activement des architectes capables de concevoir des strategies de defense end-to-end. La SC-100 est l'unique certification Microsoft de niveau expert dedie a l'architecture securite, ce qui en fait un differenciateur majeur sur le marche. Selon LinkedIn 2026, les profils SC-100 affichent un taux de placement superieur de 38% par rapport aux certifications associate, avec une valorisation salariale moyenne de +18K EUR annuels. Le ROI est rapide : 165 EUR d'examen pour acceder a des postes remuneres 90K-130K EUR. Les grands comptes (banques, sante, defense, secteur public) exigent desormais cette certification dans leurs appels d'offres pour les missions d'architecture cloud. C'est egalement un passeport vers le programme Microsoft Certified Trainer et les communautes MVP Security. Combinee a CISSP ou TOGAF, la SC-100 positionne le candidat comme architecte senior polyvalent, capable de dialoguer aussi bien avec les RSSI qu'avec les equipes DevSecOps.

Caractéristiques de l'examen

Format 40-60 questions (QCM, cas d'etude, drag-and-drop, scenarios)
Duree 120 minutes
Score requis 700/1000 (70%)
Prix officiel 165 EUR HT
Langues Anglais, Japonais, Coreen, Chinois simplifie (pas de francais)
Validite 1 an, renouvelable gratuitement via assessment en ligne
Prerequis Une des certifications : SC-200, SC-300, AZ-500 ou MS-500

Programme détaillé par domaine

Domain 1 : Concevoir des solutions alignees sur Microsoft Cybersecurity Reference Architecture (MCRA) et Microsoft Cloud Security Benchmark (MCSB) 20-25%

Objectifs
Ce domaine evalue la capacite a concevoir une strategie de securite globale alignee sur les frameworks Microsoft. Le candidat doit comprendre MCRA, MCSB, Cloud Adoption Framework (CAF) et Well-Architected Framework. Il s'agit de definir une roadmap securite, identifier les capacites manquantes, et recommander des solutions Microsoft adaptees aux exigences business. La conception doit integrer la resilience aux ransomwares, la continuite d'activite et la conformite reglementaire (RGPD, NIS2, DORA, ISO 27001).
Concepts clés
Zero Trust principles (verify explicitly, least privilege, assume breach), defense in depth, segmentation, micro-perimetres, identity as the new perimeter, attack surface reduction. Maitrise des modeles de responsabilite partagee cloud (IaaS, PaaS, SaaS), threat modeling STRIDE, MITRE ATT&CK mapping. Comprehension des piliers MCRA : identite, endpoints, applications, data, infrastructure, network, SecOps. Integration de la securite dans les processus DevOps (DevSecOps), shift-left security, et gouvernance multi-cloud.
Services / outils
Microsoft Defender XDR, Microsoft Sentinel, Microsoft Purview, Azure Policy, Microsoft Entra ID, Azure Lighthouse, Microsoft Cloud Security Benchmark v3, Cloud Adoption Framework Secure methodology.
Temps estimé
12-15h

Domain 2 : Concevoir une strategie d'operations de securite (SecOps) 15-20%

Objectifs
Concevoir une architecture SOC moderne integrant SIEM, SOAR et XDR. Le candidat doit definir les processus de detection, investigation, reponse et remediation. Cela inclut la conception de playbooks automatises, la centralisation des logs multi-cloud, l'integration de threat intelligence, et la mise en place d'indicateurs de performance (MTTD, MTTR). La strategie doit couvrir les workloads hybrides Azure, AWS, GCP et on-premises.
Concepts clés
Kill chain, threat hunting proactif, UEBA (User Entity Behavior Analytics), SOAR automation, deception technology, purple teaming. Modelisation des cas d'usage SIEM, KQL (Kusto Query Language) pour la detection. Conception de niveaux de severite, escalade, et runbooks d'incident response aligned NIST SP 800-61.
Services / outils
Microsoft Sentinel (workspaces, connectors, analytics rules, playbooks Logic Apps), Microsoft Defender XDR portal unifie, Defender for Cloud, Defender for Endpoint, Defender for Identity, Defender for Office 365, Defender for Cloud Apps, Threat Intelligence (MDTI).
Temps estimé
10-12h

Domain 3 : Concevoir une strategie de securite des identites et des acces 20-25%

Objectifs
Architecturer une strategie IAM Zero Trust couvrant identites humaines, identites de service (workload identities), invites B2B et clients B2C. Le candidat concoit l'authentification forte, la gouvernance des acces privilegies, la federation hybride, et les politiques d'acces conditionnel adaptatives basees sur le risque.
Concepts clés
Phishing-resistant MFA (FIDO2, Windows Hello, certificats), Conditional Access policies, Continuous Access Evaluation (CAE), Privileged Access Workstations (PAW), tiered admin model (Tier 0/1/2), Just-In-Time access, Privileged Identity Management. Synchronisation hybride avec Entra Connect Cloud Sync, pass-through authentication. Gouvernance via Entitlement Management, access reviews, lifecycle workflows.
Services / outils
Microsoft Entra ID P2, Entra ID Governance, Entra Privileged Identity Management (PIM), Entra Identity Protection, Entra Verified ID, Entra Permissions Management (CIEM), Entra Workload Identities, Active Directory Domain Services hardening.
Temps estimé
12-15h

Domain 4 : Concevoir une strategie de securite pour la conformite reglementaire 20-25%

Objectifs
Definir une strategie de conformite couvrant RGPD, HIPAA, PCI-DSS, ISO 27001, SOC 2, NIS2 et DORA. Le candidat doit concevoir la classification des donnees, la protection contre l'exfiltration, la retention legale, et les controles de souverainete. La strategie inclut l'audit, le reporting compliance et la gestion des risques tiers.
Concepts clés
Data classification taxonomy, sensitivity labels, DLP policies, Information Rights Management, Customer Lockbox, Bring Your Own Key (BYOK) et Hold Your Own Key (HYOK), Confidential Computing, data residency, sovereign cloud. Continuous compliance assessment, regulatory compliance dashboard.
Services / outils
Microsoft Purview (Information Protection, DLP, Insider Risk Management, eDiscovery, Compliance Manager, Data Lifecycle Management), Azure Key Vault Managed HSM, Azure Confidential Computing, Microsoft Cloud for Sovereignty.
Temps estimé
10-12h

Domain 5 : Concevoir la securite de l'infrastructure, des applications et des donnees 20-25%

Objectifs
Concevoir la securisation end-to-end des workloads : endpoints, serveurs, conteneurs, applications cloud-native, APIs et donnees. Le candidat doit integrer la securite dans le cycle DevOps, proteger les chaines d'approvisionnement logicielles, et concevoir la segmentation reseau Zero Trust.
Concepts clés
CSPM (Cloud Security Posture Management), CWPP (Cloud Workload Protection), CNAPP convergence, container security (Kubernetes admission controllers, image scanning), API security (OWASP API Top 10), SBOM (Software Bill of Materials), secret scanning, IaC scanning. Network segmentation avec micro-perimetres, ZTNA, SASE. Encryption at rest, in transit, in use.
Services / outils
Microsoft Defender for Cloud (CSPM Premium, Defender CSPM), Defender for Servers, Defender for Containers, Defender for APIs, Defender for DevOps, GitHub Advanced Security, Azure Firewall Premium, Azure WAF, Azure DDoS Protection, Private Link, Azure Bastion.
Temps estimé
12-15h

Plan de révision hebdomadaire

Semaine 1 : Lecture du Exam Skills Outline officiel et de la Microsoft Cybersecurity Reference Architecture (MCRA). Visionner la serie Microsoft Learn 'SC-100 Cybersecurity Architect' (parcours complet 8 modules). Prendre des notes sous forme de mind map par domaine. Objectif : 10h. Semaine 2 : Approfondissement Domain 1 et 2. Lire le Cloud Adoption Framework Secure methodology et le Microsoft Cloud Security Benchmark v3. Realiser un lab Sentinel : creer workspace, connecter Azure AD, deployer 3 analytics rules, ecrire un playbook Logic App. Objectif : 12h. Semaine 3 : Domain 3 (Identite). Deployer un tenant Entra ID P2, configurer PIM, Conditional Access avec authentication strengths FIDO2, Identity Protection. Etudier les patterns de federation hybride. Objectif : 12h. Semaine 4 : Domain 4 (Compliance). Naviguer dans Purview Compliance Portal, creer sensitivity labels, DLP policies, audit Insider Risk. Lire les chapitres NIS2 et DORA. Objectif : 10h. Semaine 5 : Domain 5 (Infrastructure). Lab Defender for Cloud avec score securite, Defender for Containers sur AKS, Defender for DevOps connecte a GitHub. Etudier les patterns ZTNA et SASE. Objectif : 12h. Semaine 6 : Examens blancs MeasureUp et Whizlabs (3 examens minimum, viser 80%+). Analyser chaque erreur, retourner sur la documentation officielle. Semaine 7 : Revision finale, flashcards Anki sur services et acronymes, relecture des case studies Microsoft officiels. Reposer 48h avant l'examen, planifier en matinee.

Besoin d'un planning sur mesure ? 30 jours · 60 jours · 90 jours

Ressources recommandées

Documentation officielle Microsoft Learn SC-100

Parcours d'apprentissage officiel gratuit avec modules interactifs, sandbox Azure, et exam skills outline detaille.

Microsoft Cybersecurity Reference Architecture (MCRA)

Document de reference incontournable presentant tous les patterns d'architecture securite Microsoft, mis a jour trimestriellement.

John Savill SC-100 Study Cram (YouTube)

Synthese video de 4h tres dense par un MVP Azure, ideale pour la revision finale en couvrant tous les domaines.

MeasureUp SC-100 Practice Test

Examens blancs officiels Microsoft (environ 100 EUR) avec questions tres proches du vrai examen et explications detaillees.

Communaute Microsoft Tech Community Security

Forum officiel avec retours d'experience SC-100, AMA avec ingenieurs produit Microsoft, et annonces de nouveautes.

5 erreurs classiques à éviter

  • Erreur 1 : Apprendre par coeur les services sans comprendre l'architecture. La SC-100 ne teste pas la configuration mais la conception. Pratiquez les cas d'etude en justifiant chaque choix par un principe Zero Trust ou MCRA.
  • Erreur 2 : Negliger les case studies. 30-40% du score provient de scenarios complexes multi-pages. Entrainez-vous a lire rapidement, identifier les contraintes business et reglementaires, puis mapper aux services Microsoft.
  • Erreur 3 : Confondre les Defender. Maitrisez precisement le perimetre de Defender for Cloud (workloads), Defender XDR (endpoints/identites/email), Defender for Cloud Apps (SaaS) et Defender EASM (attack surface externe).
  • Erreur 4 : Oublier les frameworks non-Microsoft. L'examen reference NIST CSF, ISO 27001, MITRE ATT&CK et les reglementations EU (NIS2, DORA, RGPD). Une preparation purement Microsoft est insuffisante.
  • Erreur 5 : Sous-estimer les prerequis. Tenter SC-100 sans solides bases SC-200/SC-300/AZ-500 conduit a un echec quasi-certain. Validez d'abord une certification associate avant de vous lancer.

5 questions types corrigées

Q1. Une entreprise multinationale souhaite implementer le principe 'assume breach' du Zero Trust pour ses 50 000 endpoints Windows et macOS. Elle exige une detection comportementale, une isolation automatique et une investigation forensique centralisee. Quelle combinaison de services Microsoft recommandez-vous comme architecte ?
Réponse : B
Defender for Endpoint Plan 2 fournit EDR avec detection comportementale, isolation automatique d'appareil et timeline forensique. Defender XDR correle les signaux endpoints avec identites, email et apps SaaS pour une investigation cross-domain. Microsoft Sentinel agrege ces signaux dans un SIEM centralise avec analytics rules avancees et SOAR. Cette combinaison incarne le principe 'assume breach' avec detection, reponse automatisee et chasse proactive. Les autres options sont incompletes : A manque l'EDR, C est focus prevention, D ne couvre pas les endpoints.
Q2. Une banque europeenne doit se conformer a DORA et NIS2. Elle souhaite chiffrer ses donnees clients dans Azure SQL avec des cles dont elle conserve le controle exclusif, meme face a Microsoft. Quelle solution proposez-vous ?
Réponse : C
Managed HSM offre des modules FIPS 140-2 Level 3 dedies au client, conformes aux exigences DORA pour la cryptographie. HYOK garantit que la cle n'est jamais exposee a Microsoft. Customer Lockbox impose une approbation explicite du client pour tout acces support Microsoft aux donnees, satisfaisant les principes de souverainete. Cette combinaison est la seule offrant un controle exclusif verifiable. BYOK standard (B) stocke la cle dans un HSM partage, et TDE classique (A) laisse Microsoft gerer la cle, incompatibles avec les exigences strictes.
Q3. Vous concevez l'architecture d'acces privilegie pour 200 administrateurs Azure. L'objectif : zero standing privilege, MFA resistant au phishing, et acces depuis des stations dediees. Quelle architecture recommandez-vous ?
Réponse : A
PIM elimine le standing privilege via activation just-in-time avec approbation et duree limitee. L'authentication strength FIDO2 garantit un MFA phishing-resistant, contrairement au SMS vulnerable au SIM swapping. Les PAW sont des endpoints durcis dedies a l'administration, isolant les taches sensibles des stations bureautiques exposees au web et email. Cette architecture aligne le tiered admin model Microsoft (Tier 0). Les autres options conservent des privileges permanents ou utilisent un MFA faible, violant les principes Zero Trust et exposant a la compromission.

Voir plus de questions gratuites →

Carrière & salaire après SC-100

La SC-100 ouvre l'acces aux postes les plus remunerateurs de la cybersecurite cloud. En France 2026, les salaires constates sont : Cloud Security Architect 80-110K EUR, Lead Security Architect 100-130K EUR, Principal Architect 120-160K EUR. En region parisienne et Suisse romande, ajoutez 15-25%. Les freelances facturent entre 750 et 1200 EUR/jour. Les debouches couvrent ESN (Capgemini, Sopra Steria, Accenture), editeurs (Microsoft, Orange Cyberdefense), grands comptes (banques, sante, defense, energie) et cabinets de conseil (PwC, Deloitte). Evolution naturelle vers RSSI adjoint, CISO, ou expert independant. Certifications complementaires recommandees : CISSP (gouvernance), CCSP (multi-cloud), TOGAF (architecture entreprise), et SC-200 si non detenue.

Détail des salaires SC-100 en 2026 →

FAQ — SC-100

Combien de temps faut-il pour preparer SC-100 ?

Comptez 60 a 80 heures sur 6-8 semaines si vous detenez deja une certification associate Microsoft Security. Sans experience prealable significative, prevoyez 120 heures sur 3 mois avec labs pratiques intensifs.

Cette certification est-elle reconnue en France ?

Oui, fortement. Microsoft est l'editeur dominant en entreprise francaise (80%+ des grands comptes). La SC-100 est citee explicitement dans de nombreux appels d'offres publics et prives, et reconnue par les cabinets de recrutement specialises cyber comme Michael Page Tech et Hays.

Quel est le taux de reussite a SC-100 ?

Le taux de reussite global est estime entre 55% et 65% au premier passage, ce qui en fait l'une des certifications Microsoft les plus selectives. Avec une preparation rigoureuse incluant 3 examens blancs a 80%+, le taux monte a 85%.

Quel est le salaire apres SC-100 ?

En France 2026, un Cloud Security Architect certifie SC-100 percoit entre 80K et 110K EUR brut annuel. Les profils seniors avec 8+ ans d'experience atteignent 130-160K EUR. En freelance, le TJM moyen est de 950 EUR.

Faut-il une experience prealable ?

Microsoft recommande 5-10 ans d'experience en cybersecurite dont 3+ ans en architecture cloud Microsoft. Une certification prerequise (SC-200, SC-300, AZ-500 ou MS-500) doit etre detenue ou passee conjointement. L'examen est inadapte aux debutants.

SC-100 ou cert concurrente : laquelle choisir ?

SC-100 est imbattable pour les ecosystemes Microsoft/Azure. Pour du multi-cloud generique, preferez CCSP (ISC2) ou CCSK. Pour de la gouvernance pure, CISSP. Ideal : combiner SC-100 et CISSP pour un profil architecte complet.

Combien coute l'examen SC-100 ?

Le tarif officiel est de 165 EUR HT en France. Des reductions existent : voucher gratuit via Microsoft Cloud Skills Challenge, -50% via Microsoft Ignite, gratuit pour les enseignants via Microsoft Learn for Educators.

Combien de fois peut-on repasser SC-100 ?

En cas d'echec, vous devez attendre 24h pour le 2e essai, 14 jours entre les tentatives 2 et 3, puis entre 3 et 4, puis entre 4 et 5. Maximum 5 tentatives par an. Chaque tentative est payante au tarif plein.

Prêt à passer à la pratique ?

Lancez votre examen blanc gratuit ou faites le test d'orientation pour valider votre choix.

Démarrer l'examen blanc SC-100 → Test d'orientation