Logo du Gouvernement Français Logo de France Compétences
Recopier le code de sécurité de cette image

L'essentiel

Icon de la nomenclature

Nomenclature
du niveau de qualification

Niveau 7

Icon NSF

Code(s) NSF

326 : Informatique, traitement de l'information, réseaux de transmission

Icon formacode

Formacode(s)

31006 : Sécurité informatique

24231 : Réseau informatique

24220 : Gestion réseau informatique

31032 : Système exploitation informatique

31008 : Système information

Icon date

Date d’échéance
de l’enregistrement

03-11-2028

Niveau 7

326 : Informatique, traitement de l'information, réseaux de transmission

31006 : Sécurité informatique

24231 : Réseau informatique

24220 : Gestion réseau informatique

31032 : Système exploitation informatique

31008 : Système information

03-11-2028

Certificateur(s) Résumé de la certification Blocs de compétences Secteur d’activité et type d’emploi Voie d’accès Liens avec d’autres certifications professionnelles, certifications ou habilitations Base légale Pour plus d’informations
Nom légal Siret Nom commercial Site internet
AGENCE NATIONALE DE LA SECURITE DES SYSTEMES D'INFORMATION 13000766900018 - https://cyber.gouv.fr/

Objectifs et contexte de la certification :

L’expert en sécurité des systèmes d’information (ESSI) est destiné à occuper un emploi dans le domaine de la sécurité des systèmes d’information, par exemple en tant qu’architecte SSI au sein d’une équipe de maîtrise d’ouvrage, responsable de la sécurité des systèmes d’information ou encore conseiller SSI pour des décideurs. De manière plus spécifique à l’administration, un ESSI a vocation à occuper des postes dans le domaine de la maîtrise d’ouvrage de projets à forte composante SSI ou d’officier de programme, de chef d’équipe SSI, ou encore de fonctionnaire de sécurité des systèmes d’information (FSSI) dans un ministère.

Activités visées :

L’ESSI doit garantir la sécurité des systèmes d’information tout au long de leur cycle de vie, en intervenant aux différentes étapes, depuis l’expression de besoin jusqu’à l’exploitation, en passant par le développement. Il peut exercer les activités suivantes :

  • Formaliser les besoins de sécurité en en prenant en compte toutes les dimensions ;
  • Elaborer des dispositifs techniques de sécurité correspondant aux besoins de sécurité des systèmes d'information ;
  • Estimer ou faire estimer le niveau de sécurité d’un système d'information ;
  • Gérer la sécurité d’un système d’information (notamment en réagissant aux incidents de sécurité pendant la phase d’exploitation, pour en réduire les impacts).


À ce titre, l’ESSI doit notamment être conscient des enjeux de la sécurité et prendre en compte toutes les dimensions (technique, organisationnelle, humaine, juridique, réglementaire) de la problématique SSI. Il doit être capable de conseiller ou de convaincre, en tant qu’interlocuteur des décideurs et acteurs d’un projet, des spécialistes informatiques, des administrateurs et des responsables de la sécurité des systèmes d’information (RSSI). Il doit savoir formaliser les documents relatifs à la SSI et élaborer et conduire des démarches et plans, notamment pour l’audit ou l’homologation de systèmes.

Compétences attestées :

  • Identifier et collecter les enjeux de la sécurité d’un système d’information en prenant en compte toutes les dimensions (technique, organisationnelle, humaine, juridique, réglementaire) de la problématique SSI ;
  • Mener, de manière formelle, l'analyse de risque d'un système d'information complexe afin d'identifier les besoins en sécurité, les menaces et les risques et d'en déduire les objectifs de sécurité ;
  • Conseiller ou convaincre un donneur d'ordre dans le domaine de la SSI ;
  • Identifier et préciser les risques liés à un système d’information. Analyser les forces et faiblesses des produits de sécurité, notamment ceux mettant en œuvre des mécanismes cryptographiques ;
  • Etablir une architecture et définir un ensemble de solutions techniques pour protéger un système d'information selon des besoins en sécurité connus et selon les grands axes de la défense en profondeur
  • Estimer soi-même le niveau de sécurité d’un système d’information ;
  • Diriger et préparer un audit ; prendre en compte les résultats, élaborer et conduire un plan d'action ;
  • Elaborer une démarche d'homologation et bien la conduire ;
  • Contribuer à maintenir la sécurité d’un système, en relation avec les acteurs du projet, les spécialistes informatiques, les administrateurs et les RSSI ;
  • Veiller sur les dernières vulnérabilités, menaces et produits de sécurité et les analyser. Évaluer les impacts d’une vulnérabilité ou d’une menace ;
  • Gérer un incident de sécurité.

Modalités d'évaluation :

  • Épreuves écrites (8), la cryptographie (2), les systèmes d'exploitation (3), la
    sécurité du logiciel (1), les réseaux (2).
  • Épreuve orale portant sur le management de la sécurité et la réglementation devant un jury.
  • Épreuve orale portant sur un sujet bibliographique devant un jury.
  • Oral général portant sur un sujet tiré au sort en cryptographie, système d'exploitation, réseau plus des questions
    du jury sur les autres thèmes.
  • Enfin le candidat effectue une mise en situation professionnelle (sur plusieurs mois) sur un sujet SSI, dont la
    problématique contient une composante technique importante, et donnant lieu à la rédaction d'un mémoire et d'une
    soutenance orale devant un jury.

RNCP41382BC01 - Définir et formaliser les besoins de sécurité

Liste de compétences Modalités d'évaluation

  1. Identifier et collecter les enjeux de la sécurité d'un système d'information en prenant en compte toutes les dimensions (technique, organisationnelle, humaine, juridique, réglementaire) de la problématique SSI.


    1.1 Identifier les problématiques de sécurité spécifiques à un système d'information sous l'aspect technique et organisationnel ; 
    1.2 Poser les questions pertinentes sur la sécurité d'un système d'information afin de capturer au mieux les besoins auprès des différents interlocuteurs ;
    1.3 Recenser les contraintes d'ordre technique, organisationnel, juridique et réglementaire pouvant impacter la SSI ;

    Mener, de manière formelle, l'analyse de risque d'un projet relatif à un système d'information complexe afin d'identifier les besoins en sécurité, les menaces et les risques, et d'en déduire les objectifs de sécurité.

    1.4 Identifier et définir les besoins de sécurité propres à un système d'information complexe ;
    1.5 Mener une analyse de risque complète, de manière rationnelle, sur un système complexe ;
    1.6 Mettre en pratique une méthode d'analyse de risque (par exemple la méthode EBIOS) ;
    1.7 Rédiger, en respectant le formalisme retenu, les documents synthétisant les besoins de sécurité, les menaces, les objectifs de sécurité ;   

    Conseiller ou convaincre un donneur d'ordre (autorité, chef de projet, chef DSI...) dans le domaine de la SSI;

    1.8 Présenter une analyse de sécurité à un non-expert en SSI et le convaincre ;
    1.9 Synthétiser les documents formels sous la forme de fiches brèves accessibles à un non-expert, ne conservant que les points saillants(risques résiduels, points durs techniques, impacts opérationnels).

Exercices (écrits ou oraux) qui portent sur les enjeux de sécurité d’un système d'information. Évaluation du candidat sous la forme d’une mise en situation d’analyse de risque (réalisée en groupe) avec restitution des résultats (sous forme orale). Enfin, le candidat effectue une mise en situation professionnelle (sur plusieurs mois) sur un sujet SSI, dont la problématique contient une composante technique importante, et donnant lieu à la rédaction d'un mémoire et d'une soutenance orale devant un jury. Ce dernier est composé d'experts SSI, de représentants de divers ministères, et de responsables de la formation.

RNCP41382BC02 - Élaborer un dispositif technique correspondant aux besoins de sécurité

Liste de compétences Modalités d'évaluation

Identifier et préciser les risques liés à un système d’information. Analyser les forces et faiblesses des produits de sécurité, notamment ceux mettant en œuvre des mécanismes cryptographiques.


2.1 Identifier et recenser sur un système d'information les principes et les mécanismes mis en œuvre pouvant remettre en cause les besoins de sécurité. Identifier les vulnérabilités techniques et les menaces les exploitant applicables au système d'information étudié ; 
2.2 Mettre en œuvre ou faire mettre en œuvre de manière appropriée les mécanismes de sécurité, notamment en définissant les contraintes d'installation, de configuration et d'utilisation ; 
2.3 Analyser les vulnérabilités d'un système d'information et en dégager les causes. Porter un regard critique sur un système informatique et sur ses mécanismes de sécurité, afin d'évaluer le niveau de risque et de faire des propositions d'amélioration. Établir une architecture et définir un ensemble de solutions techniques pour protéger un système d’information selon des besoins de sécurité connus et selon les grands axes de la défense en profondeur. Faire des recommandations relatives à la SSI auprès d’un spécialiste technique d’un système d’information ;
2.4 Étudier la satisfaction des besoins dans les mécanismes de sécurité mis en œuvre. Proposer des équipements et des dispositifs (techniques ou non) pour réduire les risques pour le système d'information en fonction des besoins de sécurité identifiés ; 
2.5 Appliquer le principe de défense en profondeur (notamment selon les 5 axes : prévenir, bloquer, limiter, détecter, réparer) dans une architecture de sécurité ; 
2.6 Améliorer la sécurité d'un système informatique dans son ensemble et dans chacune de ses différentes composantes ; 
2.7 Concevoir et faire appliquer les bonnes pratiques.

Le candidat est évalué sur ses compétences en cryptographie, sécurité des systèmes, et des réseaux au moyen d'examens écrits et de questions orales portant sur des sujets techniques en SSI.
Le candidat effectue également un mini-projet en sécurité logicielle. Enfin le candidat effectue une mise en situation professionnelle (sur plusieurs mois) sur un sujet SSI, dont la problématique contient une composante technique importante, et donnant lieu à la rédaction d'un mémoire et d'une soutenance orale devant un jury.

RNCP41382BC03 - Estimer ou faire estimer le niveau de sécurité d’un système d’information

Liste de compétences Modalités d'évaluation

Estimer soi-même le niveau de sécurité d’un système d’information.

3.1 Identifier les vulnérabilités d'un système d'information, notamment par l'emploi d'outils.
3.2 Juger du niveau de sécurité d'un système d'information sur la base d'une analyse de son architecture, des composants le constituant, et des informations obtenues par audits et inspections.
3.3 Utiliser des outils d'audit.
3.4 Rédiger un rapport sur l'audit mené, recensant les vulnérabilités identifiées et proposant des mesures accompagnées d'une analyse d'efficacité. Diriger et préparer un audit. Prendre en compte les résultats d’un audit. Élaborer et conduire un plan d’action.
3.5 Définir et faire appliquer une stratégie d'audit.
3.6 Appliquer de manière pertinente les recommandations émises à la suite d'un audit, après en avoir analysé l'efficacité et les conséquences opérationnelles.
3.7 Élaborer un plan d'action. Élaborer une démarche d’homologation et bien la conduire.
3.8 Définir une démarche d'homologation détaillée et rédiger le dossier associé.
3.9 Conduire une démarche d'homologation conformément à un plan établi, et en restituer l'avancement et les résultats dans des documents formels.
3.10 : Conseiller l'autorité d'homologation.

Réalisation d'audits sous forme de travaux pratiques. L'objectif est de superviser la réalisation d’un audit technique, d’organiser et choisir différentes prestations d’audit (type de prestation, contour retenu, etc.). Les candidats doivent ensuite appliquer la méthodologie d’audit, ainsi que des méthodes plus détaillées selon les domaines. On évalue également les candidats par le biais de la réalisation d'un mini-projet sur une étude de cas portant sur une analyse de risque et une homologation (avec restitution orale).

RNCP41382BC04 - Gérer la sécurité d’un système d’information

Liste de compétences Modalités d'évaluation

Contribuer à maintenir la sécurité d’un système, en relation avec les acteurs du projet, les spécialistes informatiques, les administrateurs et les RSSI.
 

4.1 Identifier les acteurs d'un projet, leur rôle et leurs besoins.
4.2 Sensibiliser à la SSI, à un niveau approprié, chacun des acteurs identifiés.
4.3 Situer une action SSI et agir dans le cycle de vie d'un projet de manière pertinente.
 

Veiller sur les dernières vulnérabilités, menaces et produits de sécurité et les analyser. Évaluer les impacts d’une vulnérabilité ou d’une menace.
 

4.4 Veiller sur les évolutions techniques, technologiques, les offres de produits et de services dans le domaine de la SSI, ainsi que sur les nouvelles menaces.
4.5 Porter un regard critique et pertinent sur des articles publiés ou des communications dans le domaine de la SSI.
4.6 Analyser l'impact de nouvelles vulnérabilités sur le système d'information considéré, ainsi que l'efficacité et les impacts opérationnels des éventuelles contre-mesures proposées.
 

Gérer un incident de sécurité.
 

4.7 Faire appliquer la réglementation et les bonnes pratiques dans la gestion des incidents.
4.8 Mettre en place des mesures pertinentes pour limiter les impacts d'un incident

Le candidat est évalué sur la réalisation d'un mini-projet sur le thème « management de la sécurité » et sa restitution orale. Le candidat doit écrire et soutenir à l’oral une étude bibliographique sur une vulnérabilité liée à la SSI, identifiée par des articles scientifiques et/ou grand public.

Description des modalités d'acquisition de la certification par capitalisation des blocs de compétences et/ou par correspondance :

La certification s'obtient par la validation de tous les blocs de compétences ; chaque bloc peut être obtenu individuellement.

Secteurs d’activités :

Fonction publique et assimilé (établissements publics par exemple), entreprises privées concernées par le domaine des systèmes d’information (secteurs défense, informatique, télécommunications) ou ayant de forts enjeux en SSI (opérateurs d’importance vitale en particulier).

Type d'emplois accessibles :

Fonctionnaire de la sécurité des systèmes d’information, responsable de la sécurité des systèmes d’information, chef d’équipe de spécialistes de la sécurité des systèmes d’information, architecte SSI, responsable de SOC, consultant sécurité, analyste de la menace, intégrateur de sécurité.

Code(s) ROME :

  • M1800 - Systèmes d'information et de télécommunication

Références juridiques des règlementations d’activité :

L'exercice de l'activité peut nécessiter des habilitations particulières selon les secteurs (par exemple, habilitation de niveau Secret ou supérieur, conformément aux dispositions de l’instruction ministérielle 1300).

Le cas échant, prérequis à l’entrée en formation :

Pour intégrer la formation délivrée par l'ANSSI : résultat satisfaisant au test d'admission (sur la base d'un questionnaire (voir le document en annexe) avec entretien oral (environ deux à trois heures) portant sur des questions scientifiques et techniques, sur le parcours professionnel... Ce questionnaire permet de valider les prérequis scientifiques et techniques dans les domaines des mathématiques, des réseaux, des systèmes, des langages (C essentiellement), etc. ; travailler dans la fonction publique (fonctionnaire ou contractuel), un OIV ou OSE (sous conditions) ; être habilité au niveau "Secret" minimum ; être de nationalité française ; avoir le soutien écrit de sa hiérarchie et l'accord du HFDS du ministère d'appartenance ou de tutelle être titulaire d'un diplôme d'études supérieures scientifiques de niveau Bac + 3 années d'études. Pour l'obtention de la certification : justifier d'un niveau 750 au TOEIC (ou équivalent).

Le cas échant, prérequis à la validation de la certification :

Deux voies de formation pour l’accès au titre ESSI sont proposées, la cohérence étant assurée par l’existence d’un unique jury d’attribution du titre ESSI.
 

A. Par l’intermédiaire du CFSSI - La formation ESSI du CFSSI est gratuite. L’inscription doit être demandée par une administration.
 

Les candidats doivent remplir quatre conditions :

  • être agents de l’administration française (officiers ou fonctionnaires de catégorie A de l’une des trois fonctions publiques) ou personnel d’opérateurs d’importance vitale (OIV) et de services essentiels (OSE) ;
  • posséder la nationalité française ;
  • avoir fait l’objet d’une décision d’habilitation de niveau Secret au moins ;
  • être titulaires d’un diplôme d’études supérieures scientifiques de niveau baccalauréat plus trois années d’études (licence).

En outre, le candidat doit avoir le soutien écrit de sa hiérarchie et l’accord du HFDS du ministère d’appartenance ou de tutelle. Toute demande éventuelle de dérogation à ces règles de recevabilité doit être faite par écrit par l’organisme demandeur et jointe à la candidature pour validation par la direction de l’ANSSI préalablement à l’inscription. Des prérequis – connaissances et savoir-faire scientifiques et techniques – sont identifiés, maintenus et diffusés par le CFSSI. De très bonnes capacités d’expression orale et écrite en langue française sont également exigées, ainsi qu’un niveau en anglais d’au moins 750 au TOEIC (ou niveau jugé équivalent). La décision d’inscription est prise par le directeur général de l’ANSSI, sur avis d’une commission d’admissibilité qui se prononce sur l’aptitude des candidats à suivre la formation, notamment en estimant la réelle maîtrise des prérequis.
 

Plus précisément :


Un dossier de candidature complet à la formation qui prépare à la certification doit être transmis au CFSSI avant le 30 mai, comportant :

  • un curriculum vitae, indiquant notamment le statut administratif et l’emploi actuel ;
  • des pièces justificatives (copie des diplômes, niveau TOEIC ou équivalent, etc.) ;
  • une lettre de motivation ;
  • le questionnaire d’évaluation rempli. Ces questionnaires, réactualisés régulièrement, sont remis au candidat par le CFSSI.
     

La procédure de candidature est complétée par un entretien du candidat avec le CFSSI, visant à évaluer la capacité du candidat à suivre la formation avec succès. Pour plus d’informations concernant ce processus, voir le document joint au dossier appelé « Processus et procédures pour la certification ESSI ». La période d’enseignement est sanctionnée par des notes obtenues pour certains projets, devoirs, examens. La poursuite de la formation est conditionnée par l’obtention :

  • pour chaque module, d’une note supérieure ou égale à 6/20 ;
  • d’une moyenne supérieure ou égale à 10/20.
     

Le stage est sanctionné par un jury sous la forme d’une note prenant en compte le déroulement du stage, le mémoire et la soutenance. Pour plus d’informations concernant le déroulement de la soutenance orale (et notamment la composition du jury).
 

La délivrance du titre à l’issue de la formation est conditionnée par l’obtention :

  • d’une note de stage supérieure ou égale à 8/20 ;
  • d’une note générale supérieure ou égale à 10/20, note obtenue par la moyenne de la note d’enseignement et de la note de stage.


B. Par l’intermédiaire de Télécom SudParis


Le titre ESSI peut être attribué par équivalence, sans frais et sans aucune condition de statut ou de nationalité, aux élèves ingénieurs de Télécom SudParis qui ont suivi en 3e année l’option (« voie d’approfondissement ») Sécurité des systèmes et des réseaux et validé l’ensemble des modules ;

  • effectué leur stage de fin d’études sur un sujet en rapport avec les activités d’un ESSI ;
  • fait preuve d’assiduité dans leur cursus ;
  • au moins 11 de moyenne par module de la spécialité.


Ces critères étant plus stricts que ceux établis pour l’obtention du diplôme d’ingénieur, tout élève de Télécom-SudParis obtenant le titre ESSI obtient également le titre d’ingénieur de TélécomSudParis.
 

C. Par l’intermédiaire de l’ESIEA


Pour être éligible au titre ESSI par équivalence, l’étudiant ESIEA doit avoir suivi le cursus MS-SIS et doit être de nationalité française. Par ailleurs, il doit réunir certains critères :

  • avoir au moins 10/20 à tous les modules,
  • avoir au moins 10/20 à tous les projets,
  • avoir une moyenne générale supérieure ou égale à 14/20.
  • avoir une note de stage supérieure ou égale à 15/20.


Tout manquement à l’un, au moins, de ces critères entrainera une inéligibilité au Titre ESSI. L’obtention du Titre ESSI ne pourra se faire qu’à l’issue du cursus MS-SIS. Une fois toutes les notes collectées auprès des intervenants, les différentes demandes seront analysées par le jury ESSI qui est souverain. Ce n’est qu’à l’issue de ce processus que le Titre ESSI pourra être décerné aux étudiants méritants.

Pré-requis disctincts pour les blocs de compétences :

Non

Validité des composantes acquises
Voie d’accès à la certification Oui Non Composition des jurys Date de dernière modification
Après un parcours de formation sous statut d’élève ou d’étudiant X

XXXXXXXXXX

 -
En contrat d’apprentissage X - -
Après un parcours de formation continue X - -
En contrat de professionnalisation X - -
Par candidature individuelle X

XXXXXXXXXX

 -
Par expérience X

XXXXXXXXXX

 -
Validité des composantes acquises
Oui Non
Inscrite au cadre de la Nouvelle Calédonie X
Inscrite au cadre de la Polynésie française X

Aucune correspondance

Date de décision 03-11-2025
Durée de l'enregistrement en années 3
Date d'échéance de l'enregistrement 03-11-2028
Date de dernière délivrance possible de la certification 03-11-2030

Statistiques :

Statistiques
Année d'obtention de la certification Nombre de certifiés Nombre de certifiés à la suite d’un parcours vae Taux d'insertion global à 6 mois (en %) Taux d'insertion dans le métier visé à 6 mois (en %) Taux d'insertion dans le métier visé à 2 ans (en %)
2023 5 1 100 100 -
2022 11 0 100 100 -
2021 4 0 100 100 -
2020 8 0 100 100 -
2019 6 0 100 100 -

Lien internet vers le descriptif de la certification :

Formation ESSI « Expert en Sécurité des Systèmes d’Information » | ANSSI (cyber.gouv.fr)

Liste des organismes préparant à la certification :

Liste des organismes préparant à la certification

Certification(s) antérieure(s) :

Certification(s) antérieure(s)
Code de la fiche Intitulé de la certification remplacée
RNCP34342 Expert en sécurité des systèmes d'information

Référentiel d'activité, de compétences et d'évaluation :

Référentiel d’activité, de compétences et d’évaluation
Médiation International

Nos missions

Financer

Financement du système Répartition des contributions Pilotage de la péréquation interbranches Veille sur la soutenabilité du système

Réguler

Régulation du marché Certification professionnelle Niveaux de prise en charge des contrats d’apprentissage Observation des coûts Conseil en évolution professionnelle Qualité de la formation Transition professionnelle

Améliorer

Amélioration de l'écosystème Études et évaluations Grande Bibliothèque Trouver son OPCO Médiation

Notre organisation

Stratégie

Notre feuille de route stratégique

Gouvernance

Conseil d'administration Président du Conseil d'administration Commissions thématiques

Organisation interne

Nos équipes Directeur général et délégations de signature Nous rejoindre

Publications institutionnelles

Rapports d'activité Comptes annuels

Certification
professionnelle

Trouver une certification professionnelle Enregistrer une certification professionnelle Icône sortir Qu'est-ce que la certification professionnelle Documentation et aide Décisions d'enregistrement

Comprendre
l'écosystème

Qui fait quoi Le rôle de France compétences

Je suis professionnel
du secteur

Je souhaite

Enregistrer une certification professionnelle Icône sortir Trouver une certification professionnelle Déposer mes données comptables et analytiques Télécharger le référentiel des niveaux de prise en charge Trouver mon OPCO Icône sortir Accéder à la Grande Bibliothèque Icône sortir Consulter les études et publications de France compétences Me reporter aux délibérations de France compétences Parcourir l'espace tutoriel de la certification pofessionnelle

Je suis salarié, demandeur
d’emploi, apprenti

Je souhaite

Accéder à mon compte formation Icône sortir Trouver une certification professionnelle Faire un point sur ma carrière Icône sortir Connaitre les dispositifs de la formation Icône sortir Me renseigner sur l’apprentissage Icône sortir Engager une médiation (CEP ou PTP) Consulter les études et publications de France compétences

Je suis
employeur

Je souhaite

Trouver mon OPCO Icône sortir Trouver une certification professionnelle Connaitre les niveaux de prise en charge de l'apprentissage Accompagner mes salariés Icône sortir Accéder à des études sectorielles Icône sortir Consulter les études et publications de France compétences

Ressources
de la certification professionnelle

Guides et Vadémécum Notices d'aide et Notes d'analyse Rapport de référencement du cadre français au cadre européen des certifications

Travaux
d’évaluation

Toutes les publications Notes d'études Rapports d'études

Rapports
annuels

Rapports d'activité Rapport sur l'usage des fonds Rapports de la médiation Rapports d'exécution de la feuille de route stratégique

Délibérations
du Conseil
d’administration

Délibérations du Conseil d’administration

Décisions d’enregistrement
des certifications professionnelles

Décisions d’enregistrements aux répertoires nationaux

Textes légaux
et réglementaires

Textes de lois, décrets et arrêtés Cadre normatif de la certification professionnelle