Guide complet SC-900 — Microsoft
Microsoft Security, Compliance, and Identity Fundamentals · Programme, plan de révision, ressources, examen blanc gratuit.
SC-900 (Microsoft Security, Compliance, and Identity Fundamentals) est la certification d'entree dans l'ecosysteme securite Microsoft. Destinee aux debutants IT, decideurs, commerciaux tech et reconvertis, elle valide la comprehension des concepts SCI et des solutions Microsoft (Entra ID, Defender, Purview, Sentinel). Examen QCM de 60 minutes, environ 40-60 questions, score 700/1000, 99 EUR, sans prerequis technique. Tremplin ideal vers SC-200, SC-300, AZ-500 et carrieres en cybersecurite cloud Azure et Microsoft 365.
Pourquoi passer la certification SC-900 ?
En 2026, la cybersecurite reste la priorite #1 des DSI europeennes avec un marche francais estime a 15 milliards EUR et une penurie chronique de 15 000 profils. Microsoft domine le marche entreprise avec 85% de penetration M365 et Azure en forte croissance, rendant SC-900 strategique. La certification valorise immediatement un CV junior ou en reconversion : elle prouve une comprehension structuree des enjeux Zero Trust, IAM, conformite RGPD/NIS2 et SIEM cloud. Le ROI est excellent : 99 EUR investis pour un differenciateur visible sur LinkedIn, souvent demande dans les offres d'analyste SOC junior, consultant avant-vente, chef de projet cybersecurite ou administrateur M365. Elle ouvre la voie au parcours role-based Microsoft (SC-200 Analyste, SC-300 Identite, SC-400 Information Protection, MS-500, AZ-500). Les ESN francaises (Capgemini, Sopra, Devoteam, Orange Cyberdefense) integrent SC-900 dans leurs plans de montee en competence. Les recruteurs apprecient la fraicheur de la cert (alignee Entra ID, Defender XDR, Purview 2026), gage de connaissances actualisees post-rebranding Azure AD. Pour les commerciaux et avant-ventes, elle credibilise les echanges techniques avec les clients et accelere la signature de contrats Microsoft Solutions Partner.
Caractéristiques de l'examen
| Format | QCM 40 a 60 questions (cas pratiques, drag and drop, choix multiples) |
|---|---|
| Duree | 45 minutes effectifs (60 minutes creneau total) |
| Score requis | 700 sur 1000 (environ 70%) |
| Prix officiel | 99 EUR HT en France |
| Langues | Francais, Anglais, Allemand, Espagnol, Japonais, Chinois |
| Validite | Permanente (pas de recertification, badge Credly a vie) |
| Prerequis | Aucun officiel, culture IT generale recommandee |
Programme détaillé par domaine
Domain 1 : Concepts de securite, conformite et identite 10-15%
- Objectifs
- Ce domaine pose les fondations conceptuelles. Il couvre la methodologie Zero Trust, le modele de responsabilite partagee cloud, la defense en profondeur et les principes de chiffrement (au repos, en transit, hachage). Le candidat doit savoir definir authentification vs autorisation, comprendre les concepts de fournisseur d'identite (IdP), federation, SSO et identite hybride. La gouvernance, le risque et la conformite (GRC) sont abordes via les principes du RGPD, la residence des donnees et le cadre Microsoft Privacy. Une comprehension claire des notions est cruciale car ce socle est reutilise dans tous les autres domaines.
- Concepts clés
- Zero Trust (verifier explicitement, moindre privilege, supposer la breche), defense en profondeur multicouche, modele de responsabilite partagee IaaS/PaaS/SaaS, chiffrement symetrique vs asymetrique, signature numerique, hachage, PKI, certificats X.509, federation SAML/OIDC/WS-Fed, identite hybride, SSO, MFA, conformite RGPD, residence des donnees, principes de Privacy by Design, classification des donnees, CIA triad (confidentialite, integrite, disponibilite).
- Services / outils
- Microsoft Privacy Statement, Service Trust Portal, Microsoft Trust Center, principes Zero Trust Architecture (ZTA NIST 800-207), protocoles SAML 2.0, OpenID Connect, OAuth 2.0.
- Temps estimé
- 5-8h
Domain 2 : Solutions de gestion des identites et acces Microsoft Entra 25-30%
- Objectifs
- Le plus gros domaine. Il couvre Microsoft Entra ID (ex-Azure AD) : types d'identites (utilisateurs, groupes, identites externes B2B/B2C, identites managees, principaux de service), methodes d'authentification (mot de passe, Windows Hello, FIDO2, Microsoft Authenticator, SMS), MFA, acces conditionnel, Identity Protection. La protection contre le risque utilisateur et les connexions a risque est cruciale. La gouvernance des identites via Entra ID Governance (revues d'acces, packages d'acces, gestion du cycle de vie) et PIM (Privileged Identity Management) sont incontournables.
- Concepts clés
- Tenant Entra ID, utilisateurs membres vs invites, B2B collaboration, B2C, identites managees systeme/utilisateur, principal de service, applications d'entreprise, hybride avec Entra Connect, PHS, PTA, federation ADFS, MFA, SSPR, acces conditionnel (signaux, decisions, controles), Identity Protection (risque utilisateur/connexion), PIM (eligibilite, activation JIT), Entitlement Management, revues d'acces, Terms of Use.
- Services / outils
- Microsoft Entra ID (P1/P2), Entra Connect, Entra Connect Cloud Sync, Entra ID Protection, Entra Privileged Identity Management, Entra ID Governance, Entra Permissions Management, Entra Verified ID, Entra External ID.
- Temps estimé
- 12-15h
Domain 3 : Solutions de securite Microsoft 25-30%
- Objectifs
- Ce domaine couvre la securite Azure et Microsoft 365. Cote Azure : DDoS Protection, Azure Firewall, NSG, Bastion, Web Application Firewall, chiffrement Azure Key Vault. Microsoft Defender for Cloud (anciennement Security Center) avec son Secure Score et CSPM/CWP. Cote SIEM/SOAR : Microsoft Sentinel pour la detection et reponse. Cote XDR : la famille Microsoft Defender (Endpoint, Office 365, Identity, Cloud Apps) qui protege endpoints, emails, identites et applications SaaS. Le candidat doit comprendre les cas d'usage de chaque produit et leur integration.
- Concepts clés
- Defense reseau Azure (NSG, ASG, Azure Firewall, DDoS Standard, Bastion, JIT VM Access), chiffrement (Key Vault, Managed HSM, BYOK), Defender for Cloud (Secure Score, recommandations, conformite reglementaire), Microsoft Sentinel (workspace Log Analytics, connecteurs, regles analytiques, incidents, playbooks Logic Apps, hunting KQL), Microsoft 365 Defender portal, Defender XDR, kill chain MITRE ATT&CK, EDR, CASB.
- Services / outils
- Microsoft Defender for Cloud, Microsoft Sentinel, Defender for Endpoint, Defender for Office 365, Defender for Identity, Defender for Cloud Apps, Azure Firewall, Azure DDoS Protection, Azure Bastion, Azure Key Vault, Azure WAF.
- Temps estimé
- 12-15h
Domain 4 : Solutions de conformite Microsoft Purview 25-30%
- Objectifs
- Microsoft Purview est la plateforme unifiee de gouvernance, risque et conformite. Le domaine couvre la classification et l'etiquetage des donnees (sensitivity labels), la protection contre la perte de donnees (DLP), la gestion des enregistrements et retention, l'eDiscovery (Standard et Premium), l'audit unifie. Cote risque interne : Insider Risk Management, Communication Compliance, Information Barriers. Cote gouvernance : Purview Data Map, Data Catalog. Le Compliance Manager avec son score de conformite et les modeles d'evaluation reglementaire (RGPD, ISO 27001, NIS2) cloture le domaine.
- Concepts clés
- Sensitivity labels (etiquettes de confidentialite), Information Protection, DLP (politiques, emplacements, conditions, actions), retention labels et policies, records management, eDiscovery Standard/Premium, Content Search, Audit Standard/Premium, Insider Risk Management, Communication Compliance, Compliance Manager, score de conformite, Data Map, Data Catalog, lineage des donnees.
- Services / outils
- Microsoft Purview Portal, Purview Information Protection, Purview DLP, Purview Data Lifecycle Management, Purview eDiscovery, Purview Audit, Purview Insider Risk Management, Purview Communication Compliance, Purview Compliance Manager, Purview Data Governance.
- Temps estimé
- 10-12h
Domain 5 : Concepts transverses et integration 5-10%
- Objectifs
- Domaine transverse evaluant la capacite a relier les solutions entre elles dans des scenarios reels. Le candidat doit savoir choisir la bonne solution Microsoft pour un besoin metier donne : proteger un endpoint, securiser un email, gouverner les acces privilegies, repondre a un incident, demontrer la conformite RGPD. Comprehension des licences M365 E3/E5, Microsoft 365 Business Premium, Azure AD P1/P2 et de leurs inclusions de fonctionnalites. Connaissance du Service Trust Portal, des rapports SOC, ISO et de la documentation Microsoft Learn officielle.
- Concepts clés
- Cartographie solutions/besoins, licences M365 E3 vs E5, Azure AD Premium P1 vs P2, Microsoft 365 Business Premium, integration Defender XDR + Sentinel, modeles de deploiement Zero Trust, scenarios de reponse a incident, conformite reglementaire (RGPD, NIS2, ISO 27001, SOC 2).
- Services / outils
- Microsoft 365 Admin Center, Azure Portal, Microsoft Entra Admin Center, Microsoft Purview Portal, Microsoft Defender Portal, Service Trust Portal, Microsoft Learn.
- Temps estimé
- 5-8h
Plan de révision hebdomadaire
Planning recommande sur 4 semaines a raison de 8-10h par semaine, soit environ 40h au total. Semaine 1 - Fondations (10h) : lecture du parcours officiel Microsoft Learn SC-900 (4 modules gratuits), focus sur Zero Trust, modele de responsabilite partagee, chiffrement, RGPD. Realiser le module 1 complet et commencer le module 2 sur Entra ID. Prendre des fiches synthetiques sur les definitions cles. Semaine 2 - Identite Entra (10h) : approfondir Microsoft Entra ID en creant un tenant gratuit (essai Microsoft 365 E5 Developer 90 jours). Manipuler utilisateurs, groupes, MFA, acces conditionnel, PIM, Identity Protection. Visionner les videos John Savill SC-900 sur YouTube (playlist complete environ 6h). Faire un premier examen blanc MeasureUp ou ExamTopics pour identifier les lacunes. Semaine 3 - Securite et conformite (12h) : explorer Defender for Cloud, Sentinel, la famille Defender XDR via labs Microsoft Learn sandbox. Parcourir Microsoft Purview portal : creer sensitivity labels, politique DLP test, retention policy. Comprendre Compliance Manager et son scoring. Refaire un examen blanc complet en conditions reelles (60 minutes chrono). Semaine 4 - Consolidation (8h) : reviser les zones faibles identifiees, refaire 2-3 examens blancs (MeasureUp officiel recommande), memoriser les mappings produit/cas d'usage et les inclusions de licences. La veille de l'examen : revision legere des fiches, sommeil de qualite, verification du materiel pour le passage online Pearson VUE OnVUE ou centre Pearson VUE.
Besoin d'un planning sur mesure ? 30 jours · 60 jours · 90 jours
Ressources recommandées
Parcours officiel gratuit en francais structure en 4 modules avec quiz integres, sandbox gratuites Azure et estimations de duree.
Playlist SC-900 Study Cram et deep-dives gratuits, reference mondiale absolue pour les certifications Microsoft Azure et Security.
Tenant Microsoft 365 E5 gratuit 90 jours renouvelables pour pratiquer Entra ID, Defender, Purview en conditions reelles.
Examen blanc officiel Microsoft (environ 89 EUR) avec questions tres proches du format reel, mode etude et certification.
5 erreurs classiques à éviter
- Erreur 1 : Confondre Entra ID (cloud) et Active Directory Domain Services (on-premise). Bien retenir qu'Entra ID utilise SAML/OIDC/OAuth alors qu'AD DS utilise Kerberos/LDAP/NTLM. Le rebranding 2023 d'Azure AD en Entra ID piege encore beaucoup de candidats.
- Erreur 2 : Sous-estimer les questions sur les licences (E3 vs E5, P1 vs P2). Microsoft teste systematiquement quelle fonctionnalite necessite quelle licence : PIM et Identity Protection exigent Entra ID P2, pas P1. Memoriser un tableau recapitulatif.
- Erreur 3 : Negliger Microsoft Purview au profit d'Entra et Defender. Le domaine conformite pese 25-30% et la terminologie Purview (sensitivity labels, DLP, eDiscovery, Insider Risk) est tres specifique. Bachoter le portail Purview en pratique.
- Erreur 4 : Reviser uniquement avec des dumps obsoletes ExamTopics. Beaucoup de questions referent encore a 'Azure AD' ou 'Security Center', noms abandonnes. Utiliser MeasureUp ou Microsoft Learn pour des contenus 2026 a jour.
- Erreur 5 : Repondre trop vite sans lire les scenarios. Les questions de type cas pratique decrivent un besoin metier (compliance RGPD, protection mobile, gouvernance acces) et attendent LA solution Microsoft adaptee. Bien identifier le mot-cle avant de choisir.
5 questions types corrigées
Carrière & salaire après SC-900
SC-900 ouvre des postes juniors en cybersecurite Microsoft : analyste SOC niveau 1 (35-42k EUR brut/an en France 2026), administrateur M365 securite (38-45k EUR), consultant avant-vente junior (40-50k EUR + variable), chef de projet cybersecurite junior (42-48k EUR). En Ile-de-France, ajouter 10-15%. A Luxembourg, Suisse ou Belgique, comptez 55-70k EUR. La cert est rarement suffisante seule : combinee avec SC-200 (Analyste SOC), SC-300 (Identite), SC-400 (Information Protection) ou AZ-500 (Security Engineer Azure), elle accelere significativement les promotions. Apres 2-3 ans d'experience plus parcours role-based complet, vise 60-80k EUR comme ingenieur cybersecurite Microsoft. Les ESN et integrateurs Microsoft Solutions Partner (Avanade, Devoteam, Insight) recrutent activement ces profils.
FAQ — SC-900
Combien de temps faut-il pour preparer SC-900 ?
Comptez 30 a 50 heures de revision sur 3 a 5 semaines pour un profil debutant en cloud Microsoft. Avec une experience M365 ou Azure prealable, 15-20 heures suffisent. Le parcours Microsoft Learn officiel (environ 10h) plus 2-3 examens blancs et un peu de pratique en sandbox constituent un socle suffisant.
Cette certification est-elle reconnue en France ?
Oui, SC-900 est une certification Microsoft reconnue mondialement et fortement valorisee en France, notamment dans les ESN (Capgemini, Sopra Steria, Devoteam, Orange Cyberdefense) et chez les integrateurs Microsoft Solutions Partner. Elle apparait frequemment dans les offres d'emploi cybersecurite junior et avant-vente.
Quel est le taux de reussite a SC-900 ?
Microsoft ne publie pas de chiffres officiels, mais les retours communautaires estiment le taux de reussite a 75-85% au premier passage pour les candidats ayant suivi le parcours Microsoft Learn complet. C'est l'une des certifications Microsoft les plus accessibles, classee fundamentals.
Quel est le salaire apres SC-900 ?
Seule, SC-900 valorise un poste junior entre 35 000 et 45 000 EUR brut annuel en France (2026). Combinee avec SC-200, SC-300 ou AZ-500 et 2 ans d'experience, les remunerations atteignent 50 000 a 65 000 EUR. Les profils confirmes en cybersecurite Microsoft depassent 70 000 EUR.
Faut-il une experience prealable ?
Non, SC-900 est explicitement conçue sans prerequis technique. Microsoft recommande simplement une comprehension generale des concepts cloud et reseau. Elle est ideale pour les reconvertis, etudiants, commerciaux tech, chefs de projet et toute personne souhaitant entrer dans l'ecosysteme securite Microsoft.
SC-900 ou cert concurrente : laquelle choisir ?
Si vous travaillez deja en environnement Microsoft 365 ou Azure, choisissez SC-900. Pour un parcours plus generaliste vendor-neutral, optez pour CompTIA Security+ (plus chere, environ 350 EUR, plus technique). Pour AWS, choisissez AWS Certified Security. SC-900 et Security+ sont parfaitement complementaires.
Combien coute l'examen SC-900 ?
Le prix officiel en France est de 99 EUR HT en 2026, payable lors de l'inscription sur le portail Microsoft Learn ou Pearson VUE. Des reductions etudiantes existent (Microsoft Imagine Academy). Les examens beta sont parfois gratuits ou remboursables. Le voucher inclut un seul passage.
Combien de fois peut-on repasser SC-900 ?
En cas d'echec, attendez 24 heures avant le 2eme passage, puis 14 jours entre chaque tentative suivante. Maximum 5 passages par an et par certification. Chaque tentative est facturee 99 EUR. Une fois certifie, vous ne pouvez pas repasser SC-900 pour ameliorer votre score.
Prêt à passer à la pratique ?
Lancez votre examen blanc gratuit ou faites le test d'orientation pour valider votre choix.
Démarrer l'examen blanc SC-900 → Test d'orientation