Logo du Gouvernement Français Logo de France Compétences

L'essentiel

Icon de la nomenclature

Nomenclature
du niveau de qualification

Niveau 7

Icon NSF

Code(s) NSF

326m : Informatique, traitement de l'information

Icon formacode

Formacode(s)

31006 : Sécurité informatique

Icon date

Date d’échéance
de l’enregistrement

16-12-2024

Niveau 7

326m : Informatique, traitement de l'information

31006 : Sécurité informatique

16-12-2024

Certificateur(s) Résumé de la certification Blocs de compétences Secteur d’activité et type d’emploi Voie d’accès Liens avec d’autres certifications professionnelles, certifications ou habilitations Base légale Pour plus d’informations
Nom légal Siret Nom commercial Site internet
AGENCE NATIONALE DE LA SECURITE DES SYSTEMES D'INFORMATION 13000766900018 Agence nationale de la sécurité des systèmes d'information (ANSSI) https://www.ssi.gouv.fr

Objectifs et contexte de la certification :

L’expert en sécurité des systèmes d’information (ESSI) doit garantir la sécurité des systèmes d’information tout au long de leur cycle de vie, en intervenant aux différentes étapes : depuis l’expression de besoin jusqu’à l’exploitation, en passant par le développement. 

 À ce titre, l’ESSI doit notamment être conscient des enjeux de la sécurité et prendre en compte toutes les dimensions (technique, organisationnelle, humaine, juridique, réglementaire) de la problématique SSI. Il doit être capable de conseiller ou de convaincre, en tant qu’interlocuteur des décideurs et acteurs d’un projet, des spécialistes informatiques, des administrateurs et des responsables de la sécurité des systèmes d’information (RSSI). Il doit savoir formaliser les documents relatifs à la SSI et élaborer et conduire des démarches et plans, notamment pour l’audit ou l’homologation de systèmes. 

Activités visées :

L’ESSI exerce les activités suivantes : 

  • Formaliser les besoins de sécurité en en prenant en compte toutes les dimensions ;
  • Élaborer des dispositifs techniques de sécurité correspondant aux besoins de sécurité des systèmes d'information ; 
  • Estimer ou faire estimer le niveau de sécurité d’un système d'information ; 
  • Gérer la sécurité d’un système d’information (notamment en réagissant aux incidents de sécurité pendant la phase d’exploitation, pour en réduire les impacts). 


Compétences attestées :

Compétences attestées :

  • Identifier et collecter les enjeux de la sécurité d’un système d’information  en prenant en compte toutes les dimensions (technique, organisationnelle, humaine, juridique, réglementaire) de la problématique SSI ;
  • Mener, de manière formelle, l'analyse de risque d'un système d'information complexe afin d'identifier les besoins en sécurité, les menaces et les risques et d'en déduire les objectifs de sécurité ; 
  • Conseiller ou convaincre un donneur d'ordre dans le domaine de la SSI ;
  • Identifier et préciser les risques liés à un système d’information. Analyser  les forces et faiblesses des produits de sécurité, notamment ceux mettant en œuvre des mécanismes cryptographiques ;
  • Établir une architecture et définir un ensemble de solutions techniques pour protéger un système d'information selon des besoins en sécurité connus et selon les grands axes de la défense en profondeur ;
  • Estimer soi-même le niveau de sécurité d’un système d’information ;
  • Diriger et préparer un audit ; prendre en compte les résultats, élaborer et conduire un plan d'action ;
  • Élaborer une démarche d'homologation et bien la conduire ;
  • Contribuer à maintenir la sécurité d’un système, en relation avec les acteurs du projet, les spécialistes informatiques, les administrateurs et les RSSI ;
  • Veiller sur les dernières vulnérabilités, menaces et produits de sécurité et les analyser. Évaluer les impacts d’une vulnérabilité ou d’une menace ;
  • Gérer un incident de sécurité.


Modalités d'évaluation :

  • Épreuves écrites portant sur les mathématiques, la cryptographie, les systèmes d'exploitation, la sécurité du logiciel et les réseaux.
  • Épreuves orales portant sur le management de la sécurité et la réglementation devant un jury et sur un sujet bibliographique devant un jury.
  • Oral général portant sur un sujet tiré au sort en cryptographie, système d'exploitation, réseau plus des questions du jury sur les autres thèmes.
  • Enfin le candidat effectue une mise en situation professionnelle (sur plusieurs mois) sur un sujet SSI, dont la problématique contient une composante technique importante, et donnant lieu à la rédaction d'un mémoire et d'une soutenance orale devant un jury.

RNCP34342BC01 - Définir et formaliser les besoins de sécurité des systèmes d'information

Liste de compétences Modalités d'évaluation
  • Identifier et collecter les enjeux de la sécurité d'un système d'information en prenant en compte toutes les dimensions (technique, organisationnelle, humaine, juridique, réglementaire) de la problématique SSI.
  • Mener, de manière formelle, l'analyse de risque d'un projet relatif à un système d'information complexe afin d'identifier les besoins en sécurité, les menaces et les risques, et d'en déduire les objectifs de sécurité.
  • Conseiller ou convaincre un donneur d'ordre (autorité, chef de projet, chef DSI...) dans le domaine de la SSI.

Exercices (écrits ou oraux) qui portent sur les enjeux de sécurité d’un système d'information. 


Évaluation du candidat sous la forme d’une mise en situation d’analyse de risque (réalisée en groupe) avec restitution des résultats (sous forme orale). 


Enfin, le candidat effectue une mise en situation professionnelle (sur plusieurs mois) sur un sujet SSI, dont la problématique contient une composante technique importante, et donnant lieu à la rédaction d'un mémoire et d'une soutenance orale devant un jury. Ce dernier est composé d'experts SSI, de représentants de divers ministères, et de responsables de la formation.

RNCP34342BC02 - Élaborer un dispositif technique correspondant aux besoins de sécurité

Liste de compétences Modalités d'évaluation
  • Identifier et préciser les risques liés à un système d’information. Analyser  les forces et faiblesses des produits de sécurité, notamment ceux mettant en œuvre des mécanismes cryptographiques.
  • Établir une architecture et définir un ensemble de solutions techniques pour protéger un système d’information selon des besoins de sécurité connus et selon les grands axes de la défense en profondeur. Faire des recommandations relatives à la SSI auprès d’un spécialiste technique d’un système d’information.

Le candidat est évalué sur ses compétences en cryptographie, sécurité des systèmes, et des réseaux au moyen d'examens écrits et de questions orales portant sur des sujets techniques en SSI. 


Le candidat effectue également un mini-projet en sécurité logicielle. 


Enfin le candidat effectue une mise en situation professionnelle (sur plusieurs mois) sur un sujet SSI, dont la problématique contient une composante technique importante, et donnant lieu à la rédaction d'un mémoire et d'une soutenance orale devant un jury.

RNCP34342BC03 - Estimer ou faire estimer le niveau de sécurité d’un système d'information

Liste de compétences Modalités d'évaluation
  • Estimer soi-même le niveau de sécurité d’un système d’information. 
  • Diriger et préparer un audit. Prendre en compte les résultats d’un audit. Élaborer et conduire un plan d’action.
  • Élaborer une démarche d’homologation et bien la conduire. 

Réalisation d'audits sous forme de travaux pratiques. L'objectif est de superviser la réalisation d’un audit technique, d’organiser et choisir différentes prestations d’audit (type de prestation, contour retenu, etc.). 


Les candidats doivent ensuite appliquer la méthodologie d’audit, ainsi que des méthodes plus détaillées selon les domaines. 


On évalue également les candidats par le biais de la réalisation d'un mini-projet sur une étude de cas portant sur une analyse de risque et une homologation (avec restitution orale).

RNCP34342BC04 - Gérer la sécurité d’un système d’information

Liste de compétences Modalités d'évaluation
  • Contribuer à maintenir la sécurité d’un système, en relation avec les acteurs du projet, les spécialistes informatiques, les administrateurs et les RSSI. 
  • Veiller sur les dernières vulnérabilités, menaces et produits de sécurité et les analyser. Évaluer les impacts d’une vulnérabilité ou d’une menace. 
  • Gérer un incident de sécurité. 

Le candidat est évalué sur la réalisation d'un mini-projet sur le thème « management de la sécurité » et sa restitution orale. 


Le candidat doit écrire et soutenir à l’oral une étude bibliographique sur une vulnérabilité liée à la SSI, identifiée par des articles scientifiques et/ou grand public (les sources d'information sont majoritairement en anglais).

Description des modalités d'acquisition de la certification par capitalisation des blocs de compétences et/ou par correspondance :

La certification s'obtient par la validation de tous les blocs de compétences ; chaque bloc peut être obtenu individuellement.

Secteurs d’activités :

Fonction publique et assimilé (établissements publics par exemple), entreprises privées concernées par le domaine des systèmes d’information (secteurs défense, informatique, télécommunications) ou ayant de forts enjeux en SSI (opérateurs d’importance vitale en particulier).

Type d'emplois accessibles :

L’expert en sécurité des systèmes d’information (ESSI) est destiné à occuper un emploi dans le domaine de la sécurité des systèmes d’information, par exemple en tant qu’architecte SSI au sein d’une équipe de maîtrise d’ouvrage, responsable de la sécurité des systèmes d’information, responsable de SOC, analyste de la menace, intégrateur de sécurité ou encore conseiller SSI pour des décideurs. De manière plus spécifique à l’administration, un ESSI a vocation à occuper des postes dans le domaine de la maîtrise d’ouvrage de projets à forte composante SSI ou d’officier de programme, de chef d’équipe SSI, ou encore de fonctionnaire de sécurité des systèmes d’information (FSSI) dans un ministère. 

Références juridiques des règlementations d’activité :

L'exercice de l'activité peut nécessiter des habilitations particulières selon les secteurs (par exemple,  habilitation de niveau Confidentiel Défense ou supérieur, conformément aux dispositions de l’instruction ministérielle 1300).

Le cas échant, prérequis à l’entrée en formation :

Pour intégrer la formation délivrée par l'ANSSI, il est nécessaire d'obtenir un résultat satisfaisant au test d'admission (sur la base d'un questionnaire (voir le document 2018_01_09_RESSI_submission_cyberfizzbuzz.pdf sur le site internet de la conférence RESSI) avec entretien oral (environ deux à trois heures) portant sur des questions scientifiques et techniques, sur le parcours professionnel... Ce questionnaire permet de valider les prérequis scientifiques et techniques dans les domaines des mathématiques, des réseaux, des systèmes, des langages (C essentiellement), etc. ; travailler dans la fonction publique (fonctionnaire ou contractuel), un OIV ou OSE (sous conditions) ; être habilité au niveau "Confidentiel défense" minimum ; être de nationalité française ; avoir le soutien écrit de sa hiérarchie et l'accord du HFDS du ministère d'appartenance ou de tutelle. 


Le cas échant, prérequis à la validation de la certification :

Pré-requis disctincts pour les blocs de compétences :

Non

Validité des composantes acquises :

Validité des composantes acquises
Voie d’accès à la certification Oui Non Composition des jurys
Après un parcours de formation sous statut d’élève ou d’étudiant X

Au minimum : le directeur général de l'ANSSI, deux représentants des sous-directions de l'ANSSI, deux représentants des ministères (dont le ministère des armées), un représentant du corps enseignant externe à l’ANSSI, un représentant du CFSSI, au moins un représentant d’un établissement partenaire ESSI, un représentant industriel, un représentant ESSI en activité.
En contrat d’apprentissage X -
Après un parcours de formation continue X

Au minimum : le directeur général de l'ANSSI, deux représentants des sous-directions de l'ANSSI, deux représentants des ministères (dont le ministère des armées), un représentant du corps enseignant externe à l'ANSSI, un représentant du CFSSI, au moins un représentant d'un établissement partenaire ESSI, un représentant industriel, un représentant ESSI en activité.
En contrat de professionnalisation X -
Par candidature individuelle X

Au minimum : le directeur général de l'ANSSI, deux représentants des sous-directions de l'ANSSI, deux représentants des ministères (dont le ministère des armées), un représentant du corps enseignant externe à l’ANSSI, un représentant du CFSSI, au moins un représentant d’un établissement partenaire ESSI, un représentant industriel, un représentant ESSI en activité.
Par expérience X

Au minimum : le directeur général de l'ANSSI, deux représentants des sous-directions de l'ANSSI, deux représentants des ministères (dont le ministère des armées), un représentant du corps enseignant externe à l’ANSSI, un représentant du CFSSI, au moins un représentant d’un établissement partenaire ESSI, un représentant industriel, un représentant ESSI en activité.
Validité des composantes acquises
Oui Non
Inscrite au cadre de la Nouvelle Calédonie X
Inscrite au cadre de la Polynésie française X

Aucune correspondance

Référence des arrêtés et décisions publiés au Journal Officiel ou au Bulletin Officiel (enregistrement au RNCP, création diplôme, accréditation…) :

Référence des arrêtés et décisions publiés au Journal Officiel ou au Bulletin Officiel (enregistrement au RNCP, création diplôme, accréditation…)
Date du JO/BO Référence au JO/BO
21/08/1980

 
Arrêté du 17 juin 1980 publié au Journal Officiel du 21 août 1980  portant homologation de titres et diplômes de l’enseignement  technologique sous l'intitulé 'Brevet d'études cryptographiques  supérieures'. Titre délivré par le CENTRE D'ETUDES CRYPTOGRAPHIQUES  SUPERIEURES (CECS). 
03/07/1997

 Arrêté du 3 juillet 1997 publié au Journal Officiel du 18 juillet 1997  portant homologation de titres et diplômes de l’enseignement  technologique.   
22/02/2004

 Décret n° 2004-171 du 19 février 2004 modifiant le décret n° 2002-616 du  26 avril 2002 relatif au répertoire national des certifications  professionnelles (publié au Journal Officiel du 22 février 2004). La  validité du titre est prorogée jusqu’au 31 décembre 2005. 
03/07/2014

 Arrêté du 16 avril 2014 publié au Journal Officiel du 03 juillet 2014  portant enregistrement au répertoire national des certifications  professionnelles. Enregistrement pour cinq ans, au niveau I, sous  l'intitulé "Expert en sécurité des systèmes d'information" avec effet au  27 août 2013, jusqu'au 03 juillet 2019. 
11/08/2000

 Arrêté du 1er août 2000 publié au Journal Officiel du 11 août 2000  portant homologation de titres et diplômes de l’enseignement  technologique.    
12/10/2002

 Arrêté du 3 octobre 2002 publié au Journal Officiel du 12 octobre 2002  portant homologation de titres et diplômes de l’enseignement  technologique. Observations : L'homologation prend effet à compter du  1er janvier 1987 et jusqu'au 31 décembre 2003. 
13/10/1991

 Arrêté du 16 septembre 1991 publié au Journal Officiel du 13 octobre  1991 portant homologation de titres et diplômes de l’enseignement  technologique sous l'intitulé 'Brevet d'études supérieures de la  sécurité des systèmes d'information (BESSSI)'    
31/01/2006

 Arrêté du 21 décembre 2005 publié au Journal Officiel du 31 janvier 2006  portant enregistrement au répertoire national des certifications  professionnelles. Enregistrement pour deux ans, au niveau I sous  l'intitulé Expert en sécurité des systèmes d'information (BESSSI)  avec  effet au 31 janvier 2006, jusqu'au 31 janvier 2008 
27/08/2008

 Arrêté du 7 août 2008 publié au Journal Officiel du 27 août 2008 portant  enregistrement au répertoire national des certifications  professionnelles. Enregistrement pour cinq ans, au niveau I, sous  l'intitulé Expert en sécurité des systèmes d'information (BESSSI), avec  effet au 27 août 2008, jusqu'au 27 août 2013. 
04/01/2019

 Arrêté du 27 décembre 2018 publié au Journal Officiel du 4 janvier 2019  portant enregistrement au répertoire national des certifications  professionnelles. Enregistrement pour un an, au niveau I, avec effet au 4  janvier 2019 jusqu'au 4 janvier 2020. 
Référence des arrêtés et décisions publiés au Journal Officiel ou au Bulletin Officiel (enregistrement au RNCP, création diplôme, accréditation…)
Date de décision 16-12-2019
Durée de l'enregistrement en années 5
Date d'échéance de l'enregistrement 16-12-2024

Statistiques :

Statistiques
Année d'obtention de la certification Nombre de certifiés Nombre de certifiés à la suite d’un parcours vae Taux d'insertion global à 6 mois (en %) Taux d'insertion dans le métier visé à 6 mois (en %) Taux d'insertion dans le métier visé à 2 ans (en %)
2017 10 1 100 70 70
2016 10 2 100 80 80
2015 9 1 100 80 80

Lien internet vers le descriptif de la certification :

https://www.ssi.gouv.fr/entreprise/formations/titre-essi/


Liste des organismes préparant à la certification :

Liste des organismes préparant à la certification

Certification(s) antérieure(s) :

Certification(s) antérieure(s)
Code de la fiche Intitulé de la certification remplacée
RNCP4245 Expert en sécurité des systèmes d'information

Référentiel d'activité, de compétences et d'évaluation :

Référentiel d’activité, de compétences et d’évaluation
Médiation International

Nos missions

Financer

Financement du système Répartition des contributions Pilotage de la péréquation interbranches Veille sur la soutenabilité du système

Réguler

Régulation du marché Certification professionnelle Niveaux de prise en charge des contrats d’apprentissage Observation des coûts Conseil en évolution professionnelle Qualité de la formation Transition professionnelle

Améliorer

Amélioration de l'écosystème Études et évaluations Grande Bibliothèque Trouver son OPCO Médiation

Notre organisation

Stratégie

Notre feuille de route stratégique

Gouvernance

Conseil d'administration Président du Conseil d'administration Commissions thématiques

Organisation interne

Nos équipes Directeur général et délégations de signature Nous rejoindre

Publications institutionnelles

Rapports d'activité Comptes annuels

Certification
professionnelle

Trouver une certification professionnelle Enregistrer une certification professionnelle Icon sortir Qu'est-ce que la certification professionnelle Documentation et aide Décisions d'enregistrement

Comprendre
l'écosystème

Qui fait quoi Le rôle de France compétences

Je suis professionnel
du secteur

Je souhaite

Enregistrer une certification professionnelle Icon sortir Trouver une certification professionnelle Déposer mes données comptables et analytiques Télécharger le référentiel des niveaux de prise en charge Trouver mon OPCO Icon sortir Accéder à la Grande Bibliothèque Icon sortir Consulter les études et publications de France compétences Me reporter aux délibérations de France compétences Parcourir l'espace tutoriel de la certification pofessionnelle

Je suis salarié, demandeur
d’emploi, apprenti

Je souhaite

Accéder à mon compte formation Icon sortir Trouver une certification professionnelle Faire un point sur ma carrière Icon sortir Connaitre les dispositifs de la formation Icon sortir Me renseigner sur l’apprentissage Icon sortir Engager une médiation (CEP ou PTP) Consulter les études et publications de France compétences

Je suis
employeur

Je souhaite

Trouver mon OPCO Icon sortir Trouver une certification professionnelle Connaitre les niveaux de prise en charge de l'apprentissage Accompagner mes salariés Icon sortir Accéder à des études sectorielles Icon sortir Consulter les études et publications de France compétences

Ressources
de la certification professionnelle

Guides et Vadémécum Notices d'aide et Notes d'analyse Notes - anciennes versions archivées Rapport de référencement du cadre français au cadre européen des certifications

Travaux
d’évaluation

Toutes les publications Notes d'études Rapports d'études

Rapports
annuels

Rapports d'activité Rapports sur l'usage des fonds Rapports de la médiation Rapports d'exécution de la feuille de route stratégique

Délibérations
du Conseil
d’administration

Délibérations du Conseil d’administration

Décisions d’enregistrement
des certifications professionnelles

Décisions d’enregistrements aux répertoires nationaux

Textes légaux
et réglementaires

Textes de lois, décrets et arrêtés Cadre normatif de la certification professionnelle