👋 Hello, c'est Hicham. Ceci est ton Doctor Deep Dive, le format long de Doctor Kloud : une décision de l'écosystème Microsoft, creusée jusqu'au bout, le 3ᵉ jeudi du mois. On t'a transféré ce mail? Abonne-toi ici pour recevoir le prochain.

Trois jours. C'est le temps qu'il a fallu, après le déploiement de Copilot chez un client, pour qu'un collaborateur tape une question anodine et reçoive en réponse la grille des salaires de toute l'entreprise. Copilot n'avait rien piraté. Il avait juste lu ce qu'on l'autorisait à lire.

Cette scène, tu la reverras partout en 2026. Et elle explique pourquoi Microsoft retire AZ-500 le 31 août pour le remplacer par SC-500. Une certification qui ne parle plus seulement de sécuriser le Cloud, mais de sécuriser l'IA. AZ-500 n'est pas remplacé. Il est rattrapé par l'IA.

Si c'est la première fois que tu me lis ici, je suis Hicham. Ceci est le premier Doctor Deep Dive : une décision qui compte, une seule, creusée jusqu'au bout, chaque mois. Celle d'aujourd'hui touche tout détenteur d'AZ-500, tout candidat, et tout responsable sécurité qui a déjà allumé Copilot dans son entreprise.

Entrons dans le vif.

La décision en 60 secondes

  1. La date qui fait foi, c'est le 31 août 2026. Pas le 30 septembre que répètent la moitié des sites. C'est la date officielle de Microsoft Learn. Si tu planifies sur la mauvaise, tu perds ta fenêtre.

  2. AZ-500 ne se transforme pas en SC-500. Aucune migration automatique, aucun examen de transition, aucun bon de réduction. Ton AZ-500 reste sur ton transcript. SC-500 se passe de zéro.

  3. SC-500, c'est Cloud and AI Security Engineer. Microsoft garde tout le socle de sécurité Azure et lui ajoute une couche entière : sécuriser Copilot, les agents, les modèles, les pipelines d'IA.

  4. Le vrai signal n'est pas certifiant, il est stratégique. Microsoft acte que la sécurité de l'IA n'est plus une spécialité de niche. Elle est entrée dans la fiche de poste de l'ingénieur sécurité.

  5. Le piège qui va faire échouer les candidats AZ-500 : la partie IA pèse peu au barème, mais elle demande un effort disproportionné, et aucun support AZ-500 existant ne la couvre.

  6. Verdict express. Tu démarres de zéro : saute AZ-500, vise SC-500. Tu es à quelques jours d'AZ-500 : ne le finis que s'il te sert déjà, là, maintenant. Tu détiens déjà AZ-500 : la vraie question n'est pas l'examen, c'est de savoir si tu sais sécuriser un déploiement Copilot aujourd'hui.

  7. Si tu pilotes la sécurité (RSSI, responsable), ce n'est pas un examen à passer, c'est une grille à tenir. Qui, chez toi ou chez ton prestataire, répond du Shadow AI, des agents, de l'exposition de données via Copilot ? Le plus souvent : personne. C'est ton angle mort.

1. Ce qui se passe vraiment

Microsoft mène en 2026 l'une des plus grandes refontes de son programme de certifications depuis le passage aux certifications par rôle, en 2019. Plusieurs d'entre elles partent à la retraite entre le printemps et l'automne. Le fil rouge est limpide : l'IA est cousue dans chaque rôle technique. Le développeur doit savoir construire des applications d'IA. L'administrateur infra doit gérer des charges d'IA et l'ingénieur sécurité doit sécuriser l'IA.

AZ-500, l'une des certifications de sécurité les plus respectées et les plus détenues de l'écosystème, en fait partie.

D'abord, la date. Parce que c'est là que beaucoup vont se planter. Le study guide officiel de Microsoft annonce la retraite d'AZ-500 au 31 août 2026. C'est la seule date qui fait foi. Or plusieurs sites de préparation, parfois très bien référencés, affichent le 30 septembre. Un candidat qui cale son planning sur « fin septembre » et découvre que la porte s'est fermée le 31 août vient de perdre sa certification. Sur une date de retraite, la seule source est learn.microsoft.com. Les agrégateurs recopient, et ils se trompent.

Le remplaçant. AZ-500 cède la place à SC-500, Microsoft Certified: Cloud and AI Security Engineer Associate. La beta a ouvert le 15 mai 2026. SC-500 reprend le cœur d'AZ-500, identité, réseau, données, plateforme, et y ajoute une dimension entièrement nouvelle : la sécurité des systèmes d'IA, des modèles, des agents et des pipelines.

Le nom n'est pas cosmétique. Le préfixe passe d'AZ (Azure, l'infrastructure) à SC (Security, transverse). SC-500 rejoint la famille sécurité de Microsoft, au niveau Associate, aux côtés de SC-200, SC-300 et SC-401, avec SC-100 (Cybersecurity Architect) comme destination Expert. Microsoft sort la sécurité Azure de son silo « infra » pour la ranger dans la sécurité d'entreprise. C'est une décision de positionnement, pas un toilettage d'examen.

2. L'analyse : qu'est-ce qui change vraiment ?

Ce qui ne change pas

Si tu maîtrises AZ-500, une grande partie de SC-500 t'est familière. Le socle de sécurité Azure reste là, et il reste central.

Identité et accès : Microsoft Entra ID, Privileged Identity Management, Conditional Access. Réseau et infrastructure : topologies Hub-and-Spoke, Azure Firewall, Web Application Firewall, Bastion, trafic hybride et multicloud. Posture et protection : Microsoft Defender for Cloud, Defender CSPM, Defender for Servers. Données : Microsoft Purview, classification, sensitivity labels, Data Loss Prevention, Insider Risk. Operations : Microsoft Sentinel et KQL pour la détection et l'incident response, historiquement le domaine le plus lourd des certifications sécurité de Microsoft, et ça ne bouge pas.

En clair : SC-500 n'est pas une rupture pour qui connaît Azure security. C'est une extension.

Ce qui change : la couche AI Security

Voilà le contenu neuf. Celui qu'aucun support AZ-500 ne couvre, parce qu'il n'existait pas il y a dix-huit mois.

Purview DSPM for AI. Identifier les risques d'exposition de données via Copilot et les applications d'IA. Le scénario type, c'est celui de mon ouverture : des fichiers trop largement partagés qui remontent dans les réponses de Copilot. La bonne réponse n'est pas de patcher des serveurs, c'est de resserrer les permissions à la source, à partir des évidences DSPM.

Entra Agent ID. Du Conditional Access appliqué aux agents, et l'analyse du « blast radius » d'un agent compromis via Defender XDR. Sécuriser une identité non humaine, c'est un exercice neuf.

Defender for Cloud (volet IA), AI Gateway, Microsoft Foundry. Protéger les déploiements de modèles et les passerelles d'IA. Plus la défense contre le prompt injection, le jailbreaking, le data poisoning, et la mise en place de guardrails. Plus la sécurisation des agents Copilot Studio en temps réel. Plus Security Copilot et la gouvernance du Shadow AI.

Le piège qui fera échouer les candidats AZ-500

Voici ce que les comparatifs ne disent pas. La partie AI Security pèse peu dans le barème officiel. Un candidat AZ-500 sera donc tenté de la survoler. Erreur. Cette partie a une surface d'apprentissage unique, Entra Agent ID, Defender for Cloud (volet IA), Purview DSPM for AI, et rien dans ton bagage AZ-500 ne t'y prépare. Peu de points au barème, mais un effort réel bien supérieur à son poids. C'est là, précisément, que se jouera le passage ou l'échec.

🎙️ REX : avant même que SC-500 existe

Fin 2025, un groupe de logistique et Supply Chain, plusieurs milliers de collaborateurs, dimension internationale, me fait venir pour accompagner le déploiement de Copilot. Réunion de lancement, direction emballée, tout le monde veut sa licence. On déploie. Trois jours plus tard, un collaborateur tape une question banale, quelque chose comme « quelle est notre grille de rémunération ? », et Copilot lui répond. Proprement. Avec le fichier RH complet.

Ce fichier dormait dans un SharePoint partagé avec toute l'organisation depuis des années. Personne ne l'avait rouvert depuis. Copilot n'a rien piraté, exploité aucune faille. Il a lu ce que les permissions l'autorisaient à lire, et fait son travail. Le problème n'était pas l'IA. C'étaient des années de permissions jamais nettoyées, invisibles tant que personne n'allait fouiller. Copilot n'a pas créé le risque. Il l'a rendu visible en une requête.

C'est exactement ce que SC-500 te demande de savoir gérer. Purview DSPM for AI, ce n'est pas une case d'examen. C'est l'outil qui aurait évité à ce client de découvrir sa grille de salaires dans un chat.

Copilot n'est que le premier angle mort. Le second est plus discret encore : des agents déployés avec des permissions trop larges, souvent via une identité de service jamais auditée, qui agissent hors du champ des radars de sécurité pensés pour les humains. Pas de MFA, pas de revue d'accès, absents du SIEM. C'est précisément pour ça que SC-500 introduit Entra Agent ID, le Conditional Access pour agents et l'analyse de blast radius dans Defender XDR. Un sujet de Deep Dive à lui seul. J'y reviendrai.

Où SC-500 te place

SC-500 n'est plus un cul-de-sac « Azure ». C'est une marche vers SC-100, l'architecte cybersécurité. Pour l'ingénieur et l'architecte sécurité, c'est une bonne nouvelle : le titre s'aligne enfin sur une carrière, pas sur un produit. Le RSSI, lui, n'y lit pas un examen à passer, mais la carte de ce que ses équipes doivent couvrir.

3. Le verdict, par profil

Voici quoi faire, selon qui tu es :

Tu es à quelques jours de passer AZ-500. Finis-le seulement s'il te sert déjà, là, maintenant : un appel d'offres, une exigence client, une grille RH. Sinon, ne certifie pas un examen qui disparaît cet été. Bascule ton effort sur SC-500. Un AZ-500 décroché le 30 août est déjà daté dès le 1er septembre.

Tu démarres de zéro. Saute AZ-500. Vise SC-500 directement. Aucune raison d'investir des semaines dans un examen retiré dans l'année, et tu gagnes la couche IA, qui sera la norme attendue en entretien dès 2027.

Tu détiens déjà AZ-500. Ta certification reste sur ton transcript, tu ne perds rien. Mais la vraie question n'est pas « dois-je repasser un examen ». C'est : sais-tu sécuriser un déploiement Copilot, un agent, un usage de Shadow AI, aujourd'hui ? Si non, le manque est réel, certifié ou pas. SC-500 est le chemin le plus rapide pour le combler.

Tu pilotes la sécurité, tu ne passes pas la certif (RSSI, responsable sécurité). SC-500 n'est pas ton examen, c'est ton référentiel : la cartographie de ce que ton organisation doit couvrir en 2026. Lis-la comme une grille d'audit : pour chaque domaine, qui en répond chez toi, ou chez ton prestataire ? Le plus souvent, personne. C'est ton angle mort. À ne pas confondre avec l'ingénieur ou l'architecte sécurité, eux candidats : ils se reconnaissent dans les trois cas ci-dessus.

🎙️ Mon verdict de recruteur

À un consultant junior de mon équipe qui me demande quoi passer, je réponds en une phrase : oublie AZ-500, vise SC-500, et passe deux fois plus de temps que tu ne crois sur la partie IA. C'est là qu'on te jugera en entretien dans un an.

Et à mes clients, je dis l'inverse de ce qu'ils attendent. Votre chantier, ce n'est pas « sécuriser l'IA ». C'est que l'IA vient de rendre public le fait que vous n'aviez jamais sécurisé vos données. SC-500, au fond, ce n'est pas une certification de plus. C'est la liste de tout ce que vous auriez dû faire avant d'allumer Copilot.

4. La playbook

Si tu vises SC-500.

Pars du socle. Si tu connais AZ-500, valide vite identité, réseau, Defender, Sentinel. C'est de la révision.

Investis lourd sur Sentinel et KQL. C'est le domaine le plus dense, testé par de vraies questions d'écriture de requêtes. Si ton KQL est faible, c'est ta priorité numéro un.

Bloque un tiers de ton temps d'étude sur l'AI Security, malgré son faible poids au barème. Travaille concrètement : Purview DSPM for AI, sensitivity labels sur les sorties d'IA, DLP qui intercepte les données sensibles dans les interactions, Entra Agent ID et blast radius dans Defender XDR.

Pratique en environnement réel, pas en lecture. Portail Azure, Defender for Cloud, Sentinel, Entra admin center, Purview, Security Copilot.

Décide pour la beta. Ouverte depuis le 15 mai, elle te permet de certifier tôt, en échange d'un résultat qui arrive après la finalisation du scoring. À jouer si tu veux être parmi les premiers SC-500 du marché francophone. Peu de candidats pourront en dire autant.

Si tu pilotes ou tu conseilles (RSSI, responsable sécurité, Security Manager, ou consultant en mission d'audit).

Transforme les domaines de SC-500 en grille d'audit interne. Pour chacun, un nom de responsable, un niveau de maturité.

Priorité immédiate : l'exposition de données via Copilot (Purview DSPM) et le Shadow AI. Ce sont les risques déjà actifs, pas théoriques.

Le mois prochain : du pourquoi au comment

Ce dossier a posé le constat. Sécuriser l'IA est entré dans ta fiche de poste. Le prochain attaque le comment, sur le cas le plus brûlant, celui de mon ouverture.

Doctor Deep Dive #2 : comment sécuriser un déploiement Copilot, sans découvrir ta grille de salaires dans un chat

Au programme : les cinq contrôles à poser avant le go-live, Purview DSPM for AI en pratique, le piège de l'Oversharing, et la checklist de gouvernance Copilot que tu pourras dérouler en COMEX. Rendez-vous le 16 juillet, 8h00.

Tu connais quelqu'un qui déploie Copilot en ce moment ? Transfère-lui ce dossier. Il te remerciera avant son go-live.

Tu viens de lire le premier Doctor Deep Dive. Un nouveau, chaque 3ᵉ jeudi du mois, en plus de la newsletter du lundi. Reçu en transfert ? Abonne-toi pour le recevoir.

À lundi prochain.

Hicham

🩺WhoAmI.exe
📕Echo “Mon dernier livre” > Azure Application Gateway - Guide du Consultant
📅 Un projet Microsoft dans le pipe ? Cale un appel de cadrage avec moi

Reply

Avatar

or to participate

Continuer la lecture