PRÉSENTATION DE LA FORMATION ESSI

L’Expert en sécurité des systèmes d’information doit garantir la sécurité des systèmes d’information
tout au long de leur cycle de vie, en intervenant aux différentes étapes, depuis l’expression de besoin
jusqu’à l’exploitation, en passant par le développement. Il peut exercer les activités suivantes :
- formaliser les besoins de sécurité en prenant en compte toutes les dimensions ;
- élaborer des dispositifs techniques de sécurité correspondant aux besoins de sécurité ;
- estimer ou faire estimer le niveau de sécurité d’un dispositif ;
- gérer la sécurité d’un système d’information (notamment en réagissant aux incidents de sécurité
pendant la phase d’exploitation, pour en réduire les impacts).
À ce titre, l’ESSI doit notamment être conscient des enjeux de la sécurité et prendre en compte toutes
les dimensions (technique, organisationnelle, humaine, juridique, règlementaire) de la problématique
SSI. Il doit être capable de conseiller ou de convaincre, en tant qu’interlocuteur des décideurs et
acteurs d’un projet, des spécialistes informatiques, des administrateurs et des responsables de la
sécurité des systèmes d’information (RSSI). Il doit savoir formaliser les documents relatifs à la SSI et
élaborer et conduire des démarches et plans, notamment pour l’audit ou l’homologation de systèmes.

La formation ESSI délivrée au CFSSI doit en outre contribuer à développer l’esprit critique et la
curiosité des stagiaires afin qu’ils soient capables, si nécessaire, de remettre en cause de manière
pertinente et justifiée des propositions techniques et d’élaborer des alternatives crédibles.

Organisation de la formation

La formation ESSI est une activité à temps plein, organisée chaque année de début septembre à fin
septembre de l’année suivante.

Elle s’articule en deux périodes :

- une période d’enseignement (cours magistraux, TD, TP, examens…) d’environ 760 heures
dispensées de début septembre à début avril de l’année suivante, qui donne lieu à une note
d’enseignement. Le programme pédagogique est organisé en différents modules :
o cryptographie (contenant les unités de compétence de mathématiques et de cryptographie) ;
o sécurité système et applicatif (contenant les unités de compétence de système, Windows et
sécurité logicielle) ;
o sécurité réseau (contenant les unités de compétence de technologies IP et de réseaux) ;
o politique de sécurité (contenant notamment un projet de management en sécurité) ;
o module additionnel (contenant un projet bibliographique et un oral général).
 (Pour plus d’informations concernant le programme pédagogique, se référer au Syllabus
disponible sur le site web de l’ANSSI : https://www.ssi.gouv.fr/uploads/2015/07/syllabus_essi.pdf)
- un stage d’application de 6 mois (de mi-avril à fin septembre) se déroulant en milieu professionnel
sous la direction d’un chef de projet. Les sujets de stage sont sélectionnés par le CFSSI parmi les
propositions reçues. Le stage se conclut par la rédaction d’un mémoire et par une soutenance fin
septembre devant un jury composé du directeur général de l’ANSSI, de deux représentants des
sous-directions de l’agence, d’un représentant du corps enseignant externe à l’ANSSI, d’un
représentant du CFSSI, d’au moins un représentant d’un établissement partenaire ESSI, d’un
représentant industriel et d’un représentant ESSI en activité. Le rapport puis la soutenance donnent
lieu à une note de stage.
Pour être éligible au titre ESSI, la note de stage doit être supérieure ou égale à 8/20. En outre, pour
obtenir le titre ESSI, il faut obtenir une note générale supérieure à 10/20, note obtenue par la moyenne
de la note d’enseignement et de la note de stage. La hiérarchie des élèves ESSI est informée à la
demande des résultats de la formation.
Les candidats n’ayant pas obtenu le titre ont la possibilité de faire un recours gracieux auprès du
directeur général de l’ANSSI afin de contester l’acte de refus de délivrance du titre ESSI. Le silence
gardé par l’ANSSI pendant deux mois à compter de sa saisine vaut décision de refus implicite. Le
candidat a deux mois suivant la date de la décision de refus implicite ou explicite pour saisir le tribunal
administratif territorialement compétent.

Procédures

Conditions d’accès
- appartenir à l’administration française, officiers ou fonctionnaires de catégorie A de l’une des trois
fonctions publiques, ou personnel d’opérateurs d’importance vitale (OIV) et de services essentiels
(OSE) ;
- être de nationalité française ;
- détenir une décision d’habilitation de niveau au moins Confidentiel Défense couvrant la période de
formation ;
- avoir le soutien écrit de sa hiérarchie et l’accord du HFDS du ministère d’appartenance ou de
tutelle ;
- être titulaire d’un diplôme d’études supérieures scientifiques de niveau baccalauréat plus trois
années d’études.

Prérequis
La formation ESSI est considérée comme étant de niveau élevé et d’une grande densité. Elle exige des
prérequis, une forte motivation et une grande disponibilité. La liste des connaissances et des savoir-
faire scientifiques et techniques exigés est précisée en annexe.

De très bonnes capacités d’expression orale et écrite en langue française sont aussi exigées, ainsi
qu’un bon niveau en langue anglaise (TOEIC 750 ou équivalent).

Page 2 sur 5
 Candidature
Un dossier de candidature complet doit être transmis au CFSSI avant le 30 mai (sauf cas particuliers1),
comportant :
- un curriculum vitae, indiquant notamment le statut administratif et l’emploi actuel ;
- des pièces justificatives (copie des diplômes, niveau TOEIC ou équivalent, etc.) ;
- une lettre de motivation ;
- le questionnaire d’évaluation rempli. Ces questionnaires, réactualisés régulièrement, sont remis au
candidat par le CFSSI.

La procédure de candidature est complétée par un entretien oral avec le CFSSI (2 à 3h environ), visant
à valider les prérequis scientifiques et techniques du candidat dans les domaines des mathématiques,
des réseaux, des systèmes, des langages (C essentiellement) et à évaluer sa capacité à suivre la
formation avec succès.

Inscription
La formation ESSI délivrée par le CFSSI est gratuite.
Une fiche d’inscription complétée et portant la signature du responsable hiérarchique du candidat et
selon les cas du HFDS, du FSSI ou de la DRH, doit être fournie, accompagnée d’un courrier officiel
du ministère ou de l’administration concernée, précisant les motivations de la demande. Sauf cas
particuliers, cette demande officielle d’inscription doit être communiquée au CFSSI avant le 31 mai.
L’inscription définitive relève d’une décision du directeur général de l’ANSSI, selon les besoins de
l’administration et sur la base des recommandations du CFSSI, prenant notamment en compte le
nombre de places disponibles, l’entretien avec le candidat, les motivations fournies.
L’organisme d’appartenance du candidat est officiellement informé de la décision d’inscription
environ 3 semaines après l’entretien.
Pour les candidats provenant des OIV et OSE, la demande doit préalablement être validée par le
correspondant sectoriel de l’ANSSI en charge du secteur de l’OIV ou de l’OSE.

Validation de la formation
La période d’enseignement est sanctionnée par des notes obtenues pour certains projets, devoirs,
examens. La poursuite de la formation est conditionnée par l’obtention :
- pour chaque module, d’une note supérieure ou égale à 6/20 ;
- d’une moyenne supérieure ou égale à 10/20 (les étudiants ESSI sont informés des pondérations des
différents modules ainsi que de la formule permettant de calculer cette note d’enseignement via le
dossier d’accueil qui leur est fourni en début d’année).

Le stage est sanctionné par un jury sous la forme d’une note prenant en compte le déroulement du
stage, le mémoire et la soutenance.
Comme mentionné précédemment, la délivrance du titre à l’issue de la formation est conditionnée par
l’obtention :
- d’une note de stage supérieure ou égale à 8/20 ;

1
Exemple : certaines organisations ne peuvent présenter un candidat que tardivement dans l’année scolaire. Ces organisations sont
invitées à se faire connaitre auprès du CFSSI (vers décembre de l’année précédant la rentrée scolaire visée) pour que leur cas
puisse être pris en compte.

Page 3 sur 5
- d’une note générale supérieure ou égale à 10/20, note obtenue par la moyenne de la note
d’enseignement et de la note de stage.

Page 4 sur 5
 Annexe : Connaissances et savoir-faire scientifiques et techniques exigés

Mathématiques

Notions élémentaires sur la théorie naïve des ensembles :

 ensemble des parties ;
 opérations (propriétés) ;
 applications (définitions et propriétés) ;
 relations d'équivalences (exemples).
Le corps des complexes (pas de géométrie).
Résolution de systèmes linéaires de n équations à p inconnues.
Vocabulaire de l'algèbre linéaire :
 espace vectoriel ;
 sous-espace vectoriel ;
 base ;
 dimension.
Calculs élémentaires de dénombrement.
Probabilités sur un univers fini.
Les suites :
 définitions ;
 définies par une relation de récurrence :
 arithmétiques (propriétés) ;
 géométriques (propriétés) ;
 arithmético-géométriques (propriétés) ;
 linéaires (équation caractéristique, expression du terme d'indice n).
Les fonctions logarithmes et exponentielles.

Langage C

Savoir élaborer un programme utilisant des :

 tests conditionnels et des boucles ;
 manipulations de tableaux et de pointeurs ;
 fonctions avec passage d’arguments par valeurs.

Commandes UNIX

Connaître et savoir utiliser :

 l’organisation et la gestion des fichiers avec Unix ;
 les mécanismes de redirection de sortie, d’entrée et les pipes ;
 les commandes : ls, cd, pwd, cat, cp, mv, mkdir, rmdir, read, grep, sed, etc. ;
 l’éditeur de texte vi ;
 le shell : réalisation de programmes simples intégrant des branchements conditionnels et des
boucles.

Système
Posséder des notions générales sur l’architecture d’un système, hors matériels, (processeur, mémoire,
système d’entrée, sortie) : rôles et relations.

Page 5 sur 5