Accueil · Guides de révision · SC-200

Guide complet SC-200 — Microsoft

Microsoft Security Operations Analyst · Programme, plan de révision, ressources, examen blanc gratuit.

TL;DR — Le guide en 1 minute

La SC-200 (Microsoft Security Operations Analyst) cible les analystes SOC, ingenieurs securite et administrateurs cloud souhaitant maitriser Microsoft Sentinel, Defender XDR et Defender for Cloud. Examen de 40 a 60 questions (QCM, etudes de cas, drag-and-drop) en 100 minutes, score requis 700/1000, tarif 165 EUR HT. Prerequis recommandes : bases Azure, Microsoft 365 et notions Kusto (KQL). Debouches : SOC Analyst L1/L2, Threat Hunter, Incident Responder, Cloud Security Engineer. Certification associate tres demandee en 2026 sur le marche EDR/SIEM.

Pourquoi passer la certification SC-200 ?

En 2026, la pression reglementaire (NIS2, DORA, AI Act) et l'explosion des attaques par ransomware et compromission d'identite font de la SC-200 l'une des certifications securite les plus recherchees en Europe. Microsoft Sentinel et Defender XDR dominent desormais le marche du SIEM/XDR cloud-native, avec plus de 60% des grands comptes francais ayant migre depuis Splunk ou QRadar. Detenir la SC-200 prouve votre capacite a operer un SOC moderne Microsoft : chasse aux menaces avec KQL, automatisation via playbooks Logic Apps, integration MITRE ATT&CK et reponse a incident orchestree. Cote ROI, un analyste SOC certifie SC-200 negocie en moyenne 8 a 15% de salaire supplementaire selon le barometre PageGroup 2026. La certification est exigee dans 35% des offres SOC en France et constitue un prerequis implicite pour les missions chez les MSSP (Orange Cyberdefense, Thales, Capgemini, Atos). Elle ouvre aussi la voie aux roles d'architecte securite cloud et complete parfaitement AZ-500 ou SC-100. Pour les freelances, c'est un differenciateur fort sur Malt et LinkedIn, avec des TJM passant de 550 a 750 EUR. Investissement modere, valeur marche elevee, recyclage annuel gratuit : un excellent levier de carriere.

Caractéristiques de l'examen

Format QCM, etudes de cas, drag-and-drop, 40-60 questions
Duree 100 minutes (+30 min non-anglophones)
Score requis 700/1000 (environ 70%)
Prix officiel 165 EUR HT en France
Langues Anglais, Francais, Japonais, Allemand, Espagnol, Chinois
Validite 1 an, renouvellement gratuit en ligne sur Microsoft Learn
Prerequis Aucun officiel ; recommande : bases Azure, M365, KQL et SOC

Programme détaillé par domaine

Domain 1 : Manage a security operations environment 25-30%

Objectifs
Ce domaine couvre la configuration et l'administration d'un environnement SOC Microsoft. Il s'agit de deployer Microsoft Defender XDR, configurer les roles RBAC, gerer les notifications, integrer les sources de donnees et mettre en place les politiques de retention. L'analyste doit savoir parametrer le portail Defender (security.microsoft.com), configurer les regles d'alerte personnalisees et orchestrer la collaboration entre Sentinel et XDR via le connecteur unifie. La gouvernance des incidents, la creation de tags, la suppression d'alertes legitimes et l'optimisation du bruit operationnel font partie integrante des objectifs evalues.
Concepts clés
Maitriser le portail unifie Defender, les workspaces Log Analytics, le multi-tenant via Lighthouse, la gestion des roles Azure AD/Entra ID (Security Operator, Security Reader, Security Admin). Comprendre la difference entre alertes, incidents et chasses. Savoir configurer les connecteurs de donnees (Office 365, AAD, AWS, GCP, syslog CEF), les Data Collection Rules (DCR) et les tables custom. Connaitre la tarification Sentinel (Pay-As-You-Go vs Commitment Tier), la retention chaude/archive, et les Workbooks pour le reporting executif. Notions de Zero Trust et integration avec Purview pour la DLP.
Services / outils
Microsoft Sentinel, Defender XDR, Defender for Endpoint, Defender for Identity, Defender for Office 365, Defender for Cloud Apps, Entra ID, Log Analytics, Azure Lighthouse, Azure Arc, Logic Apps, Azure Monitor.
Temps estimé
12-15h

Domain 2 : Configure protections and detections 15-20%

Objectifs
Ce domaine evalue la capacite a configurer les protections preventives et les regles de detection. L'analyste doit deployer des politiques Defender for Endpoint (ASR, EDR en mode bloc, tamper protection), configurer Safe Links et Safe Attachments dans Defender for Office 365, et activer Defender for Identity sur les controleurs de domaine. Cote Sentinel, il faut savoir creer et tuner des Analytics Rules (Scheduled, NRT, Microsoft Security, Fusion), gerer les listes de surveillance (watchlists) et integrer le Threat Intelligence via TAXII ou MISP.
Concepts clés
Attack Surface Reduction rules, Conditional Access, Network Protection, Web Content Filtering, Automated Investigation and Response (AIR), Custom Detection Rules en KQL, Analytics Rules templates, MITRE ATT&CK mapping, Fusion ML, UEBA (User and Entity Behavior Analytics). Savoir distinguer une regle Scheduled d'une regle NRT (Near Real-Time), comprendre les seuils, regroupements d'evenements et suppression de faux positifs. Maitriser les Threat Intelligence Indicators (IOC) et leur cycle de vie.
Services / outils
Defender for Endpoint, Defender for Office 365, Defender for Identity, Sentinel Analytics, Watchlists, Threat Intelligence, MDE Live Response, Entra ID Identity Protection.
Temps estimé
10-12h

Domain 3 : Manage incident response 25-30%

Objectifs
Le coeur du metier d'analyste SOC : triage, investigation et remediation des incidents. L'examen teste la capacite a investiguer une chaine d'attaque dans le portail Defender, correler les alertes XDR avec les incidents Sentinel, executer des actions de reponse (isoler une machine, bloquer un utilisateur, supprimer un email malveillant) et documenter le RCA. Inclut l'usage de Live Response pour collecter des artefacts forensiques et l'execution de playbooks SOAR.
Concepts clés
Incident graph, kill chain analysis, evidence collection, automated remediation, Live Response commands (run, getfile, putfile, scan), Soft Delete vs Hard Delete d'emails, account disable via AAD, device isolation full/selective. Comprendre Automated Investigation Levels (Semi/Full), les playbooks Logic Apps declenches sur alerte ou incident, et la difference entre containment, eradication et recovery selon NIST SP 800-61.
Services / outils
Defender XDR portal, Sentinel Incidents, Logic Apps, Live Response, Advanced Hunting, eDiscovery, Purview Insider Risk, Entra ID Risky Users.
Temps estimé
15-18h

Domain 4 : Perform threat hunting 15-20%

Objectifs
Ce domaine evalue la chasse proactive aux menaces avec KQL (Kusto Query Language). L'analyste doit ecrire des requetes Advanced Hunting dans Defender et Sentinel, exploiter le schema unifie (DeviceEvents, EmailEvents, IdentityLogonEvents, AlertInfo), creer des Bookmarks, des Hunting Queries personnalisees et utiliser les Notebooks Jupyter pour des investigations avancees. La cartographie sur MITRE ATT&CK et l'usage de Livestream pour la chasse en temps reel sont attendus.
Concepts clés
Syntaxe KQL (where, project, summarize, join, mv-expand, parse), operateurs temporels (ago, bin, datetime), schema unifie M365D, jointures cross-tables, detection de Living-off-the-Land binaries (LOLBins), C2 beaconing, lateral movement via Pass-the-Hash, exfiltration DNS. Comprendre la difference entre Advanced Hunting (30 jours) et Sentinel hunting (retention configurable).
Services / outils
Advanced Hunting, KQL, Sentinel Hunting, Bookmarks, Livestream, Notebooks (Azure ML), MITRE ATT&CK Navigator, GitHub repository Microsoft Sentinel.
Temps estimé
12-15h

Domain 5 : Mitigate threats using Defender for Cloud 10-15%

Objectifs
Securisation des charges de travail cloud et hybrides via Microsoft Defender for Cloud (anciennement Azure Security Center). L'examen evalue la configuration du CSPM (Cloud Security Posture Management), l'activation des plans CWP (Cloud Workload Protection) sur serveurs, conteneurs, bases de donnees, stockage, et l'integration multi-cloud AWS/GCP. Capacite a interpreter le Secure Score, appliquer des recommandations et investiguer les alertes cloud.
Concepts clés
Secure Score, Regulatory Compliance (NIS2, ISO 27001, PCI-DSS, CIS), Just-In-Time VM access, File Integrity Monitoring, Adaptive Application Controls, Defender CSPM vs Defender for Servers Plan 1/2, agentless scanning, attack path analysis, DevOps security via Defender for DevOps (GitHub, Azure DevOps).
Services / outils
Defender for Cloud, Defender for Servers, Defender for Containers (AKS, EKS, GKE), Defender for Storage, Defender for SQL, Defender for APIs, Azure Policy, Azure Arc, Microsoft Defender External Attack Surface Management (EASM).
Temps estimé
10-12h

Plan de révision hebdomadaire

Planning recommande sur 8 semaines a raison de 8 a 10 heures hebdomadaires, soit environ 70 heures totales. Semaine 1 : prise en main de l'ecosysteme Microsoft Security. Lecture du parcours officiel Microsoft Learn SC-200 (modules 1 a 4), creation d'un tenant Microsoft 365 E5 trial de 90 jours et d'une souscription Azure gratuite. Configuration initiale de Defender XDR et Sentinel. Semaine 2 : approfondissement Defender for Endpoint et Defender for Identity. Deploiement d'agents sur 2 VMs Windows et integration avec Entra ID. Lab : simuler une attaque AtomicRedTeam et observer les alertes. Semaine 3 : Defender for Office 365 et Defender for Cloud Apps. Configuration des politiques anti-phishing, Safe Attachments, et sessions de controle CASB. Semaine 4 : immersion KQL. Suivre le module officiel Pluralsight ou KC7 (kc7cyber.com), resoudre 30 exercices Advanced Hunting. Objectif : maitriser join, summarize, mv-expand. Semaine 5 : Sentinel deep-dive. Connecteurs, Analytics Rules, Workbooks, Watchlists, Playbooks Logic Apps. Reproduire le contenu du GitHub Azure/Azure-Sentinel. Semaine 6 : Defender for Cloud et multi-cloud. Connexion d'un compte AWS, exploration du Secure Score, simulation d'une mauvaise config S3. Semaine 7 : examens blancs. MeasureUp officiel (2 sessions), Whizlabs (3 tests), analyse fine des erreurs, revision ciblee des domaines faibles. Lecture du Microsoft Sentinel Ninja Training (niveaux 1 a 3). Semaine 8 : revision finale. Re-lecture des fiches synthese, derniere passe sur KQL et MITRE ATT&CK, sessions de revision sur le canal YouTube John Savill. Reservation de l'examen via Pearson VUE 5 jours avant la fin. La veille : repos, verification ID et environnement test si online proctored.

Besoin d'un planning sur mesure ? 30 jours · 60 jours · 90 jours

Ressources recommandées

Documentation officielle Microsoft Learn

Parcours gratuit officiel avec modules, labs interactifs et fiche d'evaluation des competences a jour 2026.

Microsoft Sentinel Ninja Training

Programme communautaire de reference, niveaux 1 a 4, couvrant Sentinel en profondeur.

John Savill SC-200 Study Cram

Video synthese de 3h tres efficace pour revision finale, mise a jour annuelle.

KC7 Cyber Game

Plateforme gratuite d'entrainement KQL via scenarios SOC realistes, indispensable pour le domaine 4.

Forum Tech Community Microsoft Security

Communaute officielle, retours d'experience, annonces de nouveautes XDR et Sentinel.

5 erreurs classiques à éviter

  • Erreur 1 : Negliger KQL. 30% de l'examen tourne autour des requetes Advanced Hunting. Conseil : pratiquer 1h/jour pendant 3 semaines sur KC7 ou le GitHub Sentinel.
  • Erreur 2 : Confondre les portails. Defender XDR (security.microsoft.com), Defender for Cloud (portal.azure.com) et Sentinel ont des UI distinctes. Memoriser le mapping fonction/portail.
  • Erreur 3 : Ignorer les nouveautes 2025-2026 comme l'unification Sentinel dans le portail Defender XDR, Security Copilot et les changements de tarification Pay-As-You-Go. Verifier la fiche skills measured a J-15.
  • Erreur 4 : Sous-estimer les etudes de cas. Elles representent 20 a 30% de la note et exigent une lecture rigoureuse du contexte. Conseil : lire 2 fois l'enonce, eliminer les distracteurs.
  • Erreur 5 : Ne pas faire de labs pratiques. Repondre uniquement avec des cours theoriques mene a l'echec sur les questions de configuration. Tenant E5 trial obligatoire.

5 questions types corrigées

Q1. Vous devez creer une regle Sentinel qui declenche un incident des qu'un evenement de connexion impossible voyage est detecte, avec un delai inferieur a 2 minutes. Quel type de regle Analytics utilisez-vous ?
Réponse : B
Les regles NRT executent leur requete KQL toutes les minutes environ, contre 5 minutes minimum pour les Scheduled rules. Microsoft Security rules se contentent de transferer des alertes Defender sans evaluation custom. Fusion est un moteur ML multi-stage non configurable au niveau de la latence. Pour un SLA inferieur a 2 minutes sur une detection custom, NRT est la seule option viable. Limite : une NRT ne peut couvrir qu'une table source et n'accepte pas certaines jointures complexes.
Q2. Un analyste souhaite isoler un endpoint compromis mais maintenir la connectivite avec les outils de remediation Microsoft. Quelle action choisir ?
Réponse : B
Selective isolation (isolation selective) coupe tout le trafic reseau sauf celui necessaire aux services Microsoft Defender, permettant a l'analyste de continuer les investigations via Live Response et la collecte d'artefacts. Full isolation coupe totalement la connectivite, y compris avec les outils MDE, rendant impossible la remediation a distance. Restrict app execution limite uniquement les binaires non signes Microsoft. Le run antivirus scan ne contient pas la menace au niveau reseau.
Q3. Dans Defender for Cloud, vous voulez detecter automatiquement des vulnerabilites sur des VMs Azure sans installer d'agent. Quelle fonctionnalite activer ?
Réponse : B
Le scan agentless, inclus dans Defender for Servers Plan 2 depuis 2023, utilise des snapshots de disques pour analyser les VMs sans installation. Plan 1 fournit uniquement l'integration MDE qui necessite un agent. L'integration Qualys est deprecation depuis 2024 au profit de Microsoft Defender Vulnerability Management. Azure Update Manager gere les patches mais ne detecte pas les CVE. Plan 2 inclut aussi File Integrity Monitoring et Just-In-Time VM access, justifiant le surcout.

Voir plus de questions gratuites →

Carrière & salaire après SC-200

Selon les baromes APEC, PageGroup et Hays 2026, un SOC Analyst junior certifie SC-200 demarre a 42-48k EUR brut en France (45-55k a Paris/Luxembourg), un profil confirme (3-5 ans) atteint 55-70k, et un Threat Hunter senior ou Security Engineer Lead depasse 75-90k. Les TJM freelance oscillent entre 550 et 800 EUR. La SC-200 ouvre vers SC-100 (Cybersecurity Architect, expert), AZ-500 (Azure Security Engineer) et CCSP (ISC2) pour une evolution vers l'architecture. Couplee a une certification offensive type CRTO ou OSCP, elle constitue un profil purple team tres recherche par les MSSP francais et les ESN. Forte demande prevue jusqu'en 2028 selon ANSSI/Numeum, notamment dans la sante, finance et industrie.

Détail des salaires SC-200 en 2026 →

FAQ — SC-200

Combien de temps faut-il pour preparer SC-200 ?

Comptez 60 a 80 heures sur 6 a 10 semaines pour un profil ayant deja des bases Azure/M365. Sans experience prealable, prevoir 100 heures et 3 mois, en incluant un detour par SC-900 (fondamentaux securite).

Cette certification est-elle reconnue en France ?

Oui, fortement. Microsoft domine le marche SIEM/XDR francais et la SC-200 figure parmi les 5 certifications securite cloud les plus demandees dans les offres d'emploi France Travail et LinkedIn en 2026. Reconnue par les MSSP (Orange Cyberdefense, Thales, Capgemini).

Quel est le taux de reussite a SC-200 ?

Microsoft ne publie pas de chiffres officiels. Les retours communautaires (Reddit r/AzureCertification, Discord Tech Community) indiquent un taux de reussite autour de 60-70% au premier essai pour les candidats bien prepares avec labs pratiques.

Quel est le salaire apres SC-200 ?

En France 2026 : 42-48k EUR brut pour un junior, 55-70k pour 3-5 ans, 75-90k pour un senior. Au Luxembourg ou en Suisse, ajouter 20 a 35%. Freelance : TJM 550-800 EUR selon experience et secteur.

Faut-il une experience prealable ?

Aucun prerequis officiel mais une experience SOC, helpdesk securite ou administration M365/Azure d'au moins 6 mois est tres recommandee. Sans cela, commencez par SC-900 et AZ-900 avant d'attaquer SC-200.

SC-200 ou cert concurrente : laquelle choisir ?

SC-200 si votre entreprise utilise Microsoft Sentinel/Defender (majoritaire en France). Splunk Core Certified Power User si environnement Splunk. CompTIA CySA+ pour un profil generaliste vendor-neutral. SC-200 reste le meilleur ROI sur le marche europeen 2026.

Combien coute l'examen SC-200 ?

165 EUR HT en France via Pearson VUE. Des reductions de 50% sont parfois disponibles via des offres Microsoft Cloud Skills Challenge ou les sessions Microsoft Ignite. Examen passable en ligne ou en centre.

Combien de fois peut-on repasser SC-200 ?

En cas d'echec, attendre 24h avant le 2e essai. Apres un second echec, delai de 14 jours. Maximum 5 tentatives par 12 mois glissants. Chaque tentative est payante au plein tarif, sauf voucher Exam Replay (achete a l'avance).

Prêt à passer à la pratique ?

Lancez votre examen blanc gratuit ou faites le test d'orientation pour valider votre choix.

Démarrer l'examen blanc SC-200 → Test d'orientation