L'essentiel
Nomenclature
du niveau de qualification
Niveau 7
Code(s) NSF
326 : Informatique, traitement de l'information, réseaux de transmission
Formacode(s)
31006 : Sécurité informatique
24231 : Réseau informatique
31032 : Système exploitation informatique
31008 : Système information
Date d’échéance
de l’enregistrement
26-06-2031
| Nom légal | Siret | Nom commercial | Site internet |
|---|---|---|---|
| AGENCE NATIONALE DE LA SECURITE DES SYSTEMES D'INFORMATION | 13000766900018 | - | https://cyber.gouv.fr/ |
Objectifs et contexte de la certification :
L’Expert en sécurité des systèmes d'information (ESSI) occupe des fonctions de direction stratégique et d'ingénierie complexe, agissant comme le garant de la résilience et de l'éthique numérique de l'organisation. Son périmètre d'action s'articule autour de quatre piliers majeurs :
- Architecture et Ingénierie de Sécurité
- Gouvernance et Pilotage des Risques
- Pilotage de la Stratégie et Numérique Responsable
- Conseil Stratégique et Leadership
Activités visées :
Analyse du besoin
Analyse des risques
Communication avec le donneur d'ordre
Audit des risques SI et évaluation des solutions cryptographiques
Conception d'architectures de sécurité éco-responsable, intégrant les principes de sobriété numérique et de résilience
Pilotage de l'audit et évaluation stratégique de la sécurité des SI
Pilotage de la résilience opérationnelle et gestion des incidents de sécurité
Compétences attestées :
Auditer le système d’information pour mettre en évidence les problématiques de sécurité, en modélisant, classifiant et documentant l’ensemble des éléments techniques et organisationnels du système.
Identifier et définir les besoins de sécurité propres à un système d'information complexe afin d’établir une stratégie de défense cohérente (techniques organisationnelles, juridiques et enjeux de sobriété numérique).
Piloter l’analyse de risque d’un système complexe (méthode EBIOS-RM) en intégrant les dimensions de responsabilité sociétale des entreprises (impacts sociétaux et environnementaux) pour permettre l’arbitrage des scénarios de menace au regard des contraintes stratégiques, réglementaires, juridiques, organisationnelles et environnementales du projet.
Documenter les travaux effectués, en respectant le formalisme retenu afin de garantir la traçabilité des besoins et des objectifs de sécurité.
Défendre une politique de sécurité auprès des autorités et décideurs non experts afin d’obtenir l’adhésion aux choix technologiques et la validation d’une stratégie de sécurité responsable et inclusive.
Transposer les enjeux techniques et les risques résiduels en supports décisionnels de synthèse pour permettre aux non experts d’appréhender les impacts opérationnels et de valider les arbitrages de sécurité.
Établir un diagnostic critique de la sécurité d’un système afin de hiérarchiser les vulnérabilités en fonction de leur impact stratégique sur l’organisation.
Arbitrer et justifier le choix de solutions techniques et cryptographiques afin de garantir la conformité aux exigences de souveraineté. Analyser les forces et les faiblesses des produits de sécurité, notamment ceux mettant en œuvre des mécanismes cryptographiques, afin de produire une synthèse éclairée sur la robustesse du produit en question, ses éventuelles limites d’utilisation et proposer des éventuelles améliorations.
Piloter le maintien en conditions de sécurité pour garantir la résilience et la disponibilité des infrastructures critiques.
Orchestrer la réponse aux incidents et coordonner les parties prenantes pour limiter l’impact d’une crise cyber et assurer la continuité d’activité.
Proposer des équipements et des dispositifs techniques ou organisationnels afin de réduire l’exposition aux risques du système d'information.
Améliorer la sécurité d'un système informatique dans chacune de ses composantes de façon à élever globalement le niveau de protection face aux menaces émergentes.
Concevoir une architecture de sécurité résiliente afin de garantir la protection des actifs tout en minimisant l’impact écologique et énergétique.
Identifier les vulnérabilités d'un système d'information, notamment par l'emploi d'outils d’audits afin de dresser un état des lieux précis des failles de sécurité.
Juger du niveau de sécurité d'un système d'information sur la base de ses composants et en prenant en compte les audits réalisés, pour fournir à la direction une évaluation objective des risques.
Documenter l’état de sécurité du système au travers d’un rapport d’audit technique afin de préconiser les actions correctives nécessaires à l’amélioration du niveau de protection.
Définir et faire appliquer une stratégie d'audit à l’ensemble des interlocuteurs afin de garantir la cohérence et l’exhaustivité des contrôles de sécurité.
Élaborer et piloter un plan d'action stratégique visant à mettre en œuvre les recommandations de l’audit.
Définir une démarche d'homologation détaillée et rédiger le dossier associé de façon à structurer le processus de décision de l’autorité compétente.
Conduire une démarche d'homologation conformément à un plan établi pour valider l’acceptabilité des risques résiduels.
Conseiller l'autorité d'homologation en adaptant son discours pour permettre une prise de décision éclairée sur l’acceptation des risques résiduels.
Maintenir la sécurité d’un système d’information en relation avec les acteurs impliqués afin d’assurer la pérennité de la posture sécurité opérationnelle.
Sensibiliser les acteurs à la sécurité des systèmes d’information de façon à développer une culture de cyber-vigilance inclusive et durable.
Situer une action SSI et agir dans le cycle de vie d'un projet pour garantir l’intégration de la sécurité dès la phase de conception.
Assurer une veille prospective sur les évolutions techniques, technologiques, pour garantir la pérennité et la responsabilité environnementale des solutions préconisées.
Porter un regard critique sur des publications en SSI afin d’évaluer la dangerosité réelle des vulnérabilités publiées.
Veiller sur les dernières vulnérabilités et menaces pour anticiper leurs impacts techniques, éthiques et la continuité d’activité.
Analyser l'efficacité et les impacts opérationnels des éventuelles contre-mesures afin d’arbitrer les solutions de remédiation les plus efficientes.
Faire appliquer la réglementation et les bonnes pratiques de façon à assurer la conformité et la réactivité de l’organisation lors de la gestion d’incidents.
Gérer une crise cyber d’ampleur et mettre en place les bonnes pratiques pour coordonner la réponse et rétablir le fonctionnement nominal du système.
Modalités d'évaluation :
Cas pratique
Mises en situation
RNCP42504BC01 - Définir et formaliser des besoins de sécurité
| Liste de compétences | Modalités d'évaluation |
|---|---|
|
Auditer le système d’information pour mettre en évidence les problématiques de sécurité, en modélisant, classifiant et documentant l’ensemble des éléments techniques et organisationnels du système. Identifier et définir les besoins de sécurité propres à un système d'information complexe afin d’établir une stratégie de défense cohérente (techniques organisationnelles, juridiques et enjeux de sobriété numérique). Piloter l’analyse de risque d’un système complexe (méthode EBIOS-RM) en intégrant les dimensions de responsabilité sociétale des entreprises (impacts sociétaux et environnementaux) pour permettre l’arbitrage des scénarios de menace au regard des contraintes stratégiques, réglementaires, juridiques, organisationnelles et environnementales du projet. Documenter les travaux effectués, en respectant le formalisme retenu afin de garantir la traçabilité des besoins et des objectifs de sécurité. Défendre une politique de sécurité auprès des autorités et décideurs non experts afin d’obtenir l’adhésion aux choix technologiques et la validation d’une stratégie de sécurité responsable et inclusive. Transposer les enjeux techniques et les risques résiduels en supports décisionnels de synthèse pour permettre aux non experts d’appréhender les impacts opérationnels et de valider les arbitrages de sécurité. |
Cas pratique Mise en situation réelle |
RNCP42504BC02 - Analyser, déployer et mettre en œuvre des solutions techniques de sécurité
| Liste de compétences | Modalités d'évaluation |
|---|---|
|
Établir un diagnostic critique de la sécurité d’un système afin de hiérarchiser les vulnérabilités en fonction de leur impact stratégique sur l’organisation. Arbitrer et justifier le choix de solutions techniques et cryptographiques afin de garantir la conformité aux exigences de souveraineté. Analyser les forces et les faiblesses des produits de sécurité, notamment ceux mettant en œuvre des mécanismes cryptographiques, afin de produire une synthèse éclairée sur la robustesse du produit en question, ses éventuelles limites d’utilisation et proposer des éventuelles améliorations. Piloter le maintien en conditions de sécurité pour garantir la résilience et la disponibilité des infrastructures critiques. Orchestrer la réponse aux incidents et coordonner les parties prenantes pour limiter l’impact d’une crise cyber et assurer la continuité d’activité. Proposer des équipements et des dispositifs techniques ou organisationnels afin de réduire l’exposition aux risques du système d'information. Améliorer la sécurité d'un système informatique dans chacune de ses composantes de façon à élever globalement le niveau de protection face aux menaces émergentes. Concevoir une architecture de sécurité résiliente afin de garantir la protection des actifs tout en minimisant l’impact écologique et énergétique. |
Mise en situation Cas pratique |
RNCP42504BC03 - Manager l’audit de sécurité et certification des systèmes
| Liste de compétences | Modalités d'évaluation |
|---|---|
|
Identifier les vulnérabilités d'un système d'information, notamment par l'emploi d'outils d’audits afin de dresser un état des lieux précis des failles de sécurité. Juger du niveau de sécurité d'un système d'information sur la base de ses composants et en prenant en compte les audits réalisés, pour fournir à la direction une évaluation objective des risques. Documenter l’état de sécurité du système au travers d’un rapport d’audit technique afin de préconiser les actions correctives nécessaires à l’amélioration du niveau de protection. Définir et faire appliquer une stratégie d'audit à l’ensemble des interlocuteurs afin de garantir la cohérence et l’exhaustivité des contrôles de sécurité. Élaborer et piloter un plan d'action stratégique visant à mettre en œuvre les recommandations de l’audit. Définir une démarche d'homologation détaillée et rédiger le dossier associé de façon à structurer le processus de décision de l’autorité compétente. Conduire une démarche d'homologation conformément à un plan établi pour valider l’acceptabilité des risques résiduels. Conseiller l'autorité d'homologation en adaptant son discours pour permettre une prise de décision éclairée sur l’acceptation des risques résiduels. |
Mises en situation |
RNCP42504BC04 - Gérer la sécurité opérationnelle et la résilience du système d’information
| Liste de compétences | Modalités d'évaluation |
|---|---|
|
Maintenir la sécurité d’un système d’information en relation avec les acteurs impliqués afin d’assurer la pérennité de la posture sécurité opérationnelle. Sensibiliser les acteurs à la sécurité des systèmes d’information de façon à développer une culture de cyber-vigilance inclusive et durable. Situer une action SSI et agir dans le cycle de vie d'un projet pour garantir l’intégration de la sécurité dès la phase de conception. Assurer une veille prospective sur les évolutions techniques, technologiques, pour garantir la pérennité et la responsabilité environnementale des solutions préconisées. Porter un regard critique sur des publications en SSI afin d’évaluer la dangerosité réelle des vulnérabilités publiées. Veiller sur les dernières vulnérabilités et menaces pour anticiper leurs impacts techniques, éthiques et la continuité d’activité. Analyser l'efficacité et les impacts opérationnels des éventuelles contre-mesures afin d’arbitrer les solutions de remédiation les plus efficientes. Faire appliquer la réglementation et les bonnes pratiques de façon à assurer la conformité et la réactivité de l’organisation lors de la gestion d’incidents. Gérer une crise cyber d’ampleur et mettre en place les bonnes pratiques pour coordonner la réponse et rétablir le fonctionnement nominal du système. |
Cas pratique Exercice de mise en situation |
Description des modalités d'acquisition de la certification par capitalisation des blocs de compétences et/ou par correspondance :
La certification professionnelle est réputée acquise dès lors que l’ensemble des blocs de compétences qui la composent sont validés.
Secteurs d’activités :
Secteurs de la Souveraineté et de l'État :
- Défense et Sécurité Nationale : Ministères (Armées, Intérieur), services de renseignement, et centres de réponse aux incidents étatiques.
- Administration et Services Publics : Établissements publics (EPA/EPIC), santé (Hôpitaux, GHT), et recherche académique de pointe.
Secteurs Industriels et Technologiques :
- Base Industrielle et Technologique de Défense (BITD) : Aéronautique, spatial, systèmes de combat navals et terrestres.
- Numérique et Télécommunications : Opérateurs de réseaux, intégrateurs de systèmes complexes, éditeurs de logiciels de cybersécurité.
Secteurs d'Infrastructures Vitales (OIV / Opérateurs de Services Essentiels) :
- Énergie et Utilités : Nucléaire, réseaux électriques, hydrocarbures, gestion de l'eau.
- Finance et Assurance : Banques systémiques, marchés boursiers, protection des données monétaires.
- Transports et Logistique : Rail, aérien, gestion portuaire et flux de marchandises.
Type d'emplois accessibles :
Pilotage et Conformité : RSSI (Responsable de la Sécurité des SI), auditeur de sécurité, consultant en analyse de risques (EBIOS RM)
Ingénierie et Architecture : Architecte Cloud sécurisé, ingénieur réseaux et télécoms, concepteur de systèmes embarqués sécurisés.
Opérations et Défense : Analyste SOC (surveillance), incident responder (intervention après attaque), analyste en menace cyber (Cyber Threat Intelligence).
Expertise Offensive : Pentesteur (tests d'intrusion), hacker éthique, auditeur de code source pour débusquer les vulnérabilités.
Code(s) ROME :
- M1801 - Administration de systèmes d''information
- M1802 - Expertise et support en systèmes d''information
- M1803 - Direction des systèmes d''information
- M1806 - Conseil et maîtrise d''ouvrage en systèmes d''information
Références juridiques des règlementations d’activité :
L'exercice de l'activité peut nécessiter des habilitations particulières selon les secteurs (par exemple, habilitation de niveau Secret ou supérieur, conformément aux dispositions de l’instruction ministérielle 1300).
Le cas échant, prérequis à l’entrée en formation :
L’admission à la formation est conditionnée par le respect des critères cumulatifs suivants :
- Profil professionnel : Être agent de la fonction publique (titulaire ou contractuel), ou employé d'un Opérateur d'Importance Vitale (OIV) ou de Services Essentiels (OSE).
- Niveau académique : Être titulaire d'un diplôme d'études supérieures à dominante scientifique de niveau 6 avec une expérience professionnelle significative dans le domaine.
- Sécurité : Être de nationalité française et titulaire d'une habilitation au niveau "Secret" en cours de validité. Conformément aux dispositions de l'instruction générale ministérielle n°1300 sur la protection du secret de la défense nationale.
- Accord hiérarchique : Disposer du soutien écrit de sa hiérarchie et de l'avis favorable du Haut Fonctionnaire de Défense et de Sécurité (HFDS) de tutelle.
Le cas échant, prérequis à la validation de la certification :
Par l’intermédiaire du CFSSI : les candidats doivent remplir quatre conditions :
- être agents de l’administration française (officiers ou fonctionnaires de catégorie A de l’une des trois fonctions publiques) ou personnel d’opérateurs d’importance vitale (OIV) et de services essentiels (OSE) ;
- posséder la nationalité française ;
- avoir fait l’objet d’une décision d’habilitation de niveau "Secret" au moins. Conformément aux dispositions de l'instruction générale ministérielle n°1300 sur la protection du secret de la défense nationale.;
- être titulaires d’un diplôme d’études supérieures scientifiques de niveau baccalauréat plus trois années d’études (licence) avec une expérience professionnelle significative dans le domaine.
En outre, le candidat doit avoir le soutien écrit de sa hiérarchie et l’accord du HFDS du ministère d’appartenance ou de tutelle. Toute demande éventuelle de dérogation à ces règles de recevabilité doit être faite par écrit par l’organisme demandeur et jointe à la candidature pour validation par la direction de l’ANSSI préalablement à l’inscription. Des prérequis – connaissances et savoir-faire scientifiques et techniques – sont identifiés, maintenus et diffusés par le CFSSI. De très bonnes capacités d’expression orale et écrite en langue française sont également exigées.
Par l’intermédiaire de Télécom SudParis
Pour être éligible au titre ESSI par équivalence, l’étudiant TSP doit avoir suivi en 3e année l’option (« voie d’approfondissement ») Sécurité des systèmes et des réseaux et validé l’ensemble des modules. Par ailleurs, il doit réunir certains critères :
- posséder la nationalité française ;
- effectué leur stage de fin d’études sur un sujet en rapport avec les activités d’un ESSI ;
- fait preuve d’assiduité dans leur cursus ;
- au moins 11/20 de moyenne par module de la spécialité.
Par l’intermédiaire de l’ESIEA
Pour être éligible au titre ESSI par équivalence, l’étudiant ESIEA doit avoir suivi le cursus MS-SIS. Par ailleurs, il doit réunir certains critères :
- posséder la nationalité française ;
- avoir au moins 10/20 à tous les modules,
- avoir au moins 10/20 à tous les projets,
- avoir une moyenne générale supérieure ou égale à 14/20.
- avoir une note de stage supérieure ou égale à 15/20.
Pré-requis disctincts pour les blocs de compétences :
Oui
| Voie d’accès à la certification | Oui | Non | Composition des jurys | Date de dernière modification |
|---|---|---|---|---|
| Après un parcours de formation sous statut d’élève ou d’étudiant | X |
Minimum de 50% de professionnels (employeurs et salariés) extérieurs à l’ANSSI n’ayant exercé aucune mission pédagogique auprès de la promotion évaluée ou n’ayant aucun lien avec les candidats au titre. |
26-06-2026 | |
| En contrat d’apprentissage | X | - | - | |
| Après un parcours de formation continue | X |
Minimum de 50% de professionnels (employeurs et salariés) extérieurs à l’ANSSI n’ayant exercé aucune mission pédagogique auprès de la promotion évaluée ou n’ayant aucun lien avec les candidats au titre. |
26-06-2026 | |
| En contrat de professionnalisation | X | - | - | |
| Par candidature individuelle | X |
Minimum de 50% de professionnels (employeurs et salariés) extérieurs à l’ANSSI n’ayant exercé aucune mission pédagogique auprès de la promotion évaluée ou n’ayant aucun lien avec les candidats au titre. |
26-06-2026 | |
| Par expérience | X |
Minimum de 50% de professionnels (employeurs et salariés) extérieurs à l’ANSSI n’ayant exercé aucune mission pédagogique auprès de la promotion évaluée ou n’ayant aucun lien avec les candidats au titre. |
26-06-2026 |
| Oui | Non | |
|---|---|---|
| Inscrite au cadre de la Nouvelle Calédonie | X | |
| Inscrite au cadre de la Polynésie française | X |
Anciennes versions de la certification professionnelle reconnues en correspondance totale :
| Code et intitulé de la certification professionnelle reconnue en correspondance |
|---|
| RNCP34342 - Expert en sécurité des systèmes d'information |
Aucune correspondance
Date du dernier Journal Officiel ou Bulletin Officiel :
16-12-2019
| Date de décision | 26-06-2026 |
|---|---|
| Durée de l'enregistrement en années | 5 |
| Date d'échéance de l'enregistrement | 26-06-2031 |
| Date de dernière délivrance possible de la certification | 26-06-2035 |
Statistiques :
| Année d'obtention de la certification | Nombre de certifiés | Nombre de certifiés à la suite d’un parcours vae | Taux d'insertion global à 6 mois (en %) | Taux d'insertion dans le métier visé à 6 mois (en %) | Taux d'insertion dans le métier visé à 2 ans (en %) |
|---|---|---|---|---|---|
| 2025 | 25 | 0 | 85 | 65 | 67 |
| 2024 | 22 | 1 | 94 | 83 | 79 |
| 2023 | 38 | 0 | 100 | 73 | 75 |
| 2022 | 24 | 0 | 100 | 95 | 94 |
| 2021 | 32 | 0 | 100 | 81 | 72 |
Lien internet vers le descriptif de la certification :
Liste des organismes préparant à la certification :
Certification(s) antérieure(s) :
| Code de la fiche | Intitulé de la certification remplacée |
|---|---|
| RNCP34342 | Expert en sécurité des systèmes d'information |