Quelles sont les qualifications ANSSI importantes à connaître ?

L'ANSSI délivre plusieurs qualifications qui sont devenues des références du marché français et parfois européen. SecNumCloud : référentiel pour les services cloud de confiance souveraine, exigeant hébergement et opération en Europe par des acteurs non soumis à législation extraterritoriale (Cloud Act américain). OVHcloud, Outscale, Cloud Temple, NumSpot, Bleu en cours. PASSI (Prestataires d'Audit de la Sécurité des Systèmes d'Information) : qualification pour les cabinets d'audit et pentest. Environ 40 PASSI qualifiés en France dont Synacktiv, Orange Cyberdefense, Wavestone, Digital Security. PASSI LPM (Loi de Programmation Militaire) pour audits sur OIV. CSPN (Certification de Sécurité de Premier Niveau) : certification d'un produit de sécurité après évaluation par un CESTI (Centre d'Évaluation de la Sécurité des Technologies de l'Information). HDS (Hébergeur de Données de Santé) : co-géré avec l'ASIP Santé puis l'Agence du Numérique en Santé. VISA de sécurité : équivalent plus large, attestations de conformité ANSSI. PDIS (Prestataires de Détection d'Incidents de Sécurité) : qualification pour SOC managés. PRIS (Prestataires de Réponse à Incidents) : qualification pour équipes CERT/CSIRT externes. PAMS (Prestataires d'Administration et Maintenance Sécurisées). Ces qualifications sont souvent exigées dans les marchés publics et chez les OIV.

Quel est le rôle de l'ANSSI dans NIS2 ?

L'ANSSI est l'autorité française désignée pour la transposition et l'application de la directive européenne NIS2 (Network and Information Security 2), adoptée en décembre 2022 et transposée en droit français via la loi du 30 avril 2025. NIS2 étend massivement le périmètre de la NIS1 : plus de 600 secteurs d'activité concernés, environ 15 000 entités françaises (contre 500 auparavant), incluant désormais les administrations publiques, l'enseignement supérieur, les services postaux, la gestion des déchets, l'industrie agroalimentaire, etc. Les entités sont classées "essentielles" (ex-OIV/OSE, contrôles renforcés) ou "importantes" (contrôles plus légers). Obligations : mise en œuvre de mesures de sécurité, notification des incidents dans les 24h pour l'alerte initiale, formation des dirigeants, responsabilité personnelle de la direction. Sanctions : jusqu'à 10 M€ ou 2% du chiffre d'affaires mondial pour les entités essentielles. Le rôle opérationnel : accompagnement, contrôles, notification des incidents, coordination avec les CSIRT régionaux. L'ANSSI publie des guides sectoriels et fait des campagnes de sensibilisation. Entrée en vigueur progressive en 2025-2026, beaucoup d'organisations encore en phase de mise en conformité fin 2026.

Quelle différence entre ANSSI et Cybermalveillance.gouv.fr ?

Deux structures complémentaires dans l'écosystème cyber public français. ANSSI : autorité régalienne, traite les sujets stratégiques et critiques (État, OIV, NIS2), produit les référentiels, gère les grandes crises cyber, fait du renseignement technique. Cible : secteur public, grandes entreprises, OIV. Budget ~150 M€, 675+ agents. Cybermalveillance.gouv.fr : dispositif d'assistance grand public et PME, créé en 2017 par le GIP ACYMA (Groupement d'Intérêt Public Action contre la Cybermalveillance) sous l'égide de l'ANSSI et du ministère de l'Intérieur. Mission : sensibilisation, assistance aux victimes, mise en relation avec des prestataires référencés (label ExpertCyber). Offre un diagnostic en ligne, des fiches pratiques, une plateforme de signalement. Complément opérationnel grand public de l'ANSSI. Cible : particuliers, TPE, PME, collectivités territoriales, associations. Site cybermalveillance.gouv.fr très consulté (plusieurs millions de visiteurs par an). La répartition : ANSSI s'occupe du stratégique et du critique, Cybermalveillance.gouv.fr s'occupe de la diffusion grand public et l'assistance aux victimes. Ils travaillent main dans la main, financement partiellement commun.

ANSSI : définition, missions et organisation (Agence nationale de sécurité)

Q: Qu'est-ce que l'ANSSI ?

L'ANSSI (Agence nationale de la sécurité des systèmes d'information) est l'autorité nationale française en matière de cybersécurité. Créée par décret le 7 juillet 2009, elle est rattachée au Secrétariat général de la défense et de la sécurité nationale (SGDSN) sous l'autorité directe du Premier ministre. Elle a succédé à la DCSSI (Direction centrale de la sécurité des systèmes d'information) créée en 2001. Ses trois missions principales : défense des systèmes d'information sensibles de l'État (ministères, présidence, organismes publics), protection des Opérateurs d'Importance Vitale (OIV — énergie, santé, télécoms, finance, transport, eau, alimentation) et Opérateurs de Services Essentiels (OSE, introduits par la directive NIS), production de référentiels et qualifications (SecNumCloud, HDS, PASSI, ANSSI CSPN). Effectifs passés d'environ 120 en 2009 à 675+ en 2025. Budget annuel d'environ 150 M€. Dirigée par Vincent Strubel depuis janvier 2023 (succédant à Guillaume Poupard, directeur de 2014 à fin 2022). Basée à Paris, site web cyber.gouv.fr.

Création: 7 juillet 2009 par décret n° 2009-834, succédant à la DCSSI
Rattachement: SGDSN, sous l'autorité du Premier ministre
Directeur général: Vincent Strubel depuis janvier 2023
Effectifs: 675+ agents (2025), en croissance
Budget annuel: ~150 M€
Site officiel: cyber.gouv.fr (ancien ssi.gouv.fr)

01 — DéfinitionQu'est-ce que l'ANSSI ?

L'ANSSI (Agence nationale de la sécurité des systèmes d'information) est l'autorité nationale française en matière de cybersécurité. Créée par décret le 7 juillet 2009, elle est rattachée au Secrétariat général de la défense et de la sécurité nationale (SGDSN) sous l'autorité directe du Premier ministre.

Un héritage administratif ancien

L'ANSSI succède à la DCSSI (Direction centrale de la sécurité des systèmes d'information) créée en juillet 2001, elle-même héritière du SCSSI. Lignée complète :

1943 : Direction technique du chiffre (Alger).
1951 : Service du chiffre et de la sécurité des télécommunications.
1977 : Service central du chiffre et de la sécurité des télécommunications (SCSSI).
2001 : DCSSI — premier élargissement au-delà du chiffrement.
2009 : ANSSI — extension au numérique civil, OIV, référentiels.

Cette filiation indique une culture historique profondément liée au renseignement technique et à la cryptographie étatique.

Positionnement institutionnel

L'ANSSI n'est pas une agence indépendante mais un service administratif rattaché au SGDSN, lui-même sous l'autorité du Premier ministre. Cette position particulière :

Lui donne une autorité transversale sur tous les ministères.
Distingue son rôle de celui des services de renseignement (DGSE, DGSI) et de l'ComCyber du ministère des Armées.
Lui confère un rôle défensif (protection) distinct de l'offensif cyber militaire.
Lui permet de coopérer avec l'CNIL (données personnelles), l'ARCEP (télécoms), la BdF (finance).

Indépendance vs rattachement

L'ANSSI n'est pas une autorité administrative indépendante (AAI) comme la CNIL. Son rattachement direct au Premier ministre lui donne force exécutive mais limite l'indépendance formelle. En pratique, le travail technique est largement autonome.

Positionnement international

L'ANSSI est l'équivalent fonctionnel de :

Allemagne : BSI (Bundesamt für Sicherheit in der Informationstechnik).
Royaume-Uni : NCSC (National Cyber Security Centre), rattaché au GCHQ.
États-Unis : CISA (Cybersecurity and Infrastructure Security Agency), mais avec périmètre plus large.
Union européenne : ENISA au niveau européen, mais l'ENISA est plus un centre d'expertise qu'une autorité opérationnelle.
Luxembourg : HCPN.
Belgique : CCB (Centre pour la Cybersécurité Belgique).

Ces agences coopèrent via divers réseaux (CSIRTs Network européen, Groupe de coopération NIS, accords bilatéraux).

L'ANSSI est à la cybersécurité française ce que la DGSI est au contre-espionnage : une autorité technique discrète mais centrale, qui a considérablement gagné en visibilité avec la montée en puissance des enjeux cyber depuis 2015. Son rôle évolue de l'expertise technique vers la régulation (NIS2) et la stratégie industrielle (souveraineté cloud).

02 — MissionsTrois missions principales

Mission 1 — Défense des SI de l'État

Protection des systèmes d'information sensibles des administrations, ministères, présidence, assemblées. Activités :

Architecture et conseil : accompagnement des projets numériques sensibles.
Audits et inspections : vérification des niveaux de sécurité.
Réponse aux incidents : via le CERT-FR pour la sphère étatique.
Développement de produits souverains : CLIP OS (système d'exploitation haute sécurité), outils de chiffrement.
Agréments classifiés : Confidentiel/Secret Défense pour systèmes traitant des informations classifiées.
Opérations 24/7 : centre opérationnel (COSSI).

Mission 2 — Protection des OIV et OSE

Les Opérateurs d'Importance Vitale (OIV) sont des entreprises/organismes dont la défaillance porterait atteinte à la nation :

12 secteurs : santé, énergie, transports, communications électroniques, finance, alimentation, eau, industrie, etc.
~250 OIV désignés en France (liste classifiée).
Cadre légal : articles L. 1332-1 à L. 1332-7 du Code de la défense, loi de programmation militaire (LPM) 2014, renforcée en 2018.

Les OSE (Opérateurs de Services Essentiels), introduits par la directive NIS1 en 2016, ont étendu le périmètre. Avec NIS2 depuis 2023-2025, la catégorie entités essentielles et importantes couvre environ 15 000 organisations françaises.

Obligations des OIV/OSE

Mettre en œuvre des règles de sécurité validées par l'ANSSI.
Déclarer les incidents significatifs sous 72h.
Se soumettre à des audits par des prestataires qualifiés (PASSI LPM).
Nommer un responsable sécurité identifié.
Exercer des exercices de crise.

Mission 3 — Référentiels et qualifications

L'ANSSI produit les normes de sécurité applicables en France :

Guides techniques : SSI, chiffrement, architecture sécurisée, durcissement OS, annuaire AD, etc. Publiés librement sur cyber.gouv.fr.
Référentiels de qualification : SecNumCloud, HDS, PASSI, PDIS, PRIS, PAMS.
Certifications de produits : CSPN, Critères Communs (niveau européen).
Référentiels sectoriels : recommandations pour santé, finance, OT/SCADA.

Détails dans la section « Référentiels » plus bas.

Missions additionnelles

Veille et alerte : bulletins d'actualité, avis de sécurité sur CVE critiques.
Sensibilisation : MOOC SecNumAcadémie, guides grand public, partenariat avec Cybermalveillance.gouv.fr.
Appui crise : intervention en cas d'incidents majeurs sur OIV ou étatiques.
Influence internationale : représentation française dans les instances UE et internationales.
Recherche et développement : laboratoires internes, participation à des projets R&D.
Relations industrielles : partenariat avec les grands acteurs FR (Thales, Atos/Eviden, Orange Cyberdefense, Sopra Steria, Dassault Systèmes).

03 — OrganisationStructure interne et moyens

Direction

Directeur général : Vincent Strubel depuis janvier 2023. Ingénieur général des Mines, polytechnicien, ancien directeur du laboratoire ANSSI puis de l'OSIIC.
Directrice/Directeur général adjoint : Emmanuel Naëgelen.

Anciens directeurs généraux

Patrick Pailloux : 2009-2014 (directeur fondateur).
Guillaume Poupard : 2014-2022. Figure très médiatique, a fortement développé l'agence. Est parti chez Docaposte en 2023 puis chez Orange en février 2026.
Vincent Strubel : 2023 à ce jour.

Effectifs en croissance

2009 : ~120 agents à la création.
2015 : 460 agents.
2018 : 567 agents.
2021 : 675 agents.
2025-2026 : 700+ agents, objectif continu de croissance selon plans gouvernementaux.

La plupart des agents sont techniques : experts cyber, ingénieurs, auditeurs. L'ANSSI recrute largement chez les jeunes diplômés (Polytechnique, Télécom Paris, ENSIMAG, ENSIBS, Mines, Centrale) et dispose de son propre Centre de formation à la cybersécurité (CFSSI).

Budget

Budget annuel d'environ 150 M€ en 2025, en croissance continue depuis 80 M€ en 2014. Financement principalement étatique via le SGDSN. Comparaison internationale : NCSC britannique et BSI allemand ont des budgets comparables ou supérieurs (BSI ~200 M€). CISA américaine est largement plus dotée (3+ milliards USD).

Sous-directions principales

Opérations (SDO) : le CERT-FR, centre de réponse aux incidents, surveillance des menaces.
Expertise (SDE) : audits, inspections, laboratoires techniques, expertise produits.
Systèmes d'information sécurisés (SDSIS) : développement de produits (CLIP OS, outils crypto) pour l'État.
Stratégie (SDS) : doctrine, politiques publiques, affaires européennes et internationales.
Administration (SDA) : fonctions support.
COSSI : Centre opérationnel de la sécurité des SI, fonctionnement 24/7.

Structures rattachées ou proches

OSIIC : Opérateur des systèmes d'information interministériels classifiés. Gère les SI classifiés. Créé en 2020.
CERT-FR : CERT gouvernemental français, intégré à l'ANSSI.
CFSSI : Centre de formation à la sécurité des SI. Diplômes inscrits au RNCP.
GIP ACYMA : porteur de Cybermalveillance.gouv.fr, co-piloté par ANSSI + ministère de l'Intérieur.

Implantation

Siège principal rue Delpech, Paris 7e, dans les anciens locaux de la rue des Saints-Pères (proche Matignon). Un deuxième site à Issy-les-Moulineaux. Antennes régionales embryonnaires (Rennes notamment).

Enjeux de recrutement

L'ANSSI lutte pour attirer et garder les talents face à la concurrence privée qui paie beaucoup mieux (multiplicateur 2-3 sur certains profils). Avantages compensatoires mis en avant : missions d'intérêt général, niveau technique élevé, accès à des infrastructures uniques, formation continue, stabilité.

04 — RéférentielsLes qualifications ANSSI

SecNumCloud — cloud de confiance

Référentiel pour les services cloud de confiance souveraine. Voir notre fiche dédiée SecNumCloud. Points clés :

Hébergement et opération en Europe par des acteurs non soumis à législation extraterritoriale (Cloud Act américain).
Exigences techniques de sécurité + exigences de contrôle capitalistique.
Qualifiés 2025-2026 : OVHcloud, Outscale (Dassault), Cloud Temple, NumSpot.
En cours : Bleu (Orange + Capgemini avec tech Microsoft), S3NS (Thales + Google Cloud).
Les solutions « cloud de confiance » (avec technologie hyperscaler étrangère mais hébergement européen par un acteur français) nécessitent aussi cette qualification.

PASSI — Audits et pentests

Qualification pour les Prestataires d'Audit de la Sécurité des Systèmes d'Information. Voir pentester. Environ 40 PASSI qualifiés en France :

Synacktiv : référence française, vainqueur de Pwn2Own à plusieurs reprises.
Orange Cyberdefense, Thales, Atos/Eviden, Sopra Steria, Capgemini : grands comptes.
Digital Security, Wavestone, Advens, Lexfo, Yogosha : acteurs spécialisés.
XMCO, Amossys, Opale Security, Amossys : spécialistes reconnus.

Variantes :

PASSI standard : audits en général.
PASSI LPM : habilité à auditer les OIV.
PASSI FR : variantes spécifiques.

HDS — Hébergement de Données de Santé

Voir notre fiche HDS. Certification obligatoire pour héberger des données de santé à caractère personnel en France. Co-gérée avec l'Agence du Numérique en Santé (ANS). Environ 200 hébergeurs certifiés.

CSPN — Certification de produits

Certification de Sécurité de Premier Niveau. Évaluation d'un produit de sécurité par un CESTI (Centre d'Évaluation de la Sécurité des Technologies de l'Information) agréé ANSSI.

Durée d'évaluation typique : 2-4 mois.
Coût typique : 60-150 k€.
Cibles typiques : pare-feux, chiffreurs, HSM, antivirus, solutions d'authentification.
Alternative : Critères Communs au niveau européen, plus exigeant (EAL1 à EAL7), plus coûteux, plus long.

PDIS / PRIS — Détection et réponse à incidents

PDIS : Prestataires de Détection d'Incidents de Sécurité. Qualification pour les SOC managés et MDR.
PRIS : Prestataires de Réponse à Incidents de Sécurité. Qualification pour les équipes CERT/CSIRT externes.

Obligations pour les OIV : faire appel à des PDIS/PRIS qualifiés pour leur surveillance et réponse à incidents.

Autres qualifications

PAMS : Prestataires d'Administration et Maintenance Sécurisées (pour les tiers opérant des SI sensibles).
PACS : Prestataires d'Accompagnement et de Conseil en SSI.
Visa de sécurité : attestation plus large pour certaines solutions.
eIDAS : certifications pour signature électronique (niveau européen, mais délivrance ANSSI en France).

Guides ANSSI incontournables

Publications techniques de référence, accessibles gratuitement sur cyber.gouv.fr :

Hygiène informatique — 42 règles : document fondateur pour les bases de sécurité.
Guide d'achat public de produits et de prestations de sécurité.
Recommandations pour la sécurisation de l'annuaire Active Directory.
Recommandations de sécurité relatives à OpenSSH.
Recommandations sur le nomadisme numérique.
Recommandations de sécurité pour la journalisation.
Méthode EBIOS RM : gestion des risques de sécurité.
Guide de chiffrement : choix d'algorithmes et de tailles de clés.
Guide post-quantique : préparation à la cryptographie post-quantique.

Ces guides sont des références techniques utilisées bien au-delà de la France.

05 — RégulationsNIS2, DORA, CRA

NIS2 — Le changement majeur 2025-2026

La directive européenne NIS2 (Network and Information Security 2), adoptée en décembre 2022, transposée en droit français par la loi du 30 avril 2025, est LE dossier majeur de l'ANSSI ces dernières années. Voir notre fiche NIS2 pour détails.

Extension massive du périmètre

NIS1 (2016) : ~500 OSE en France.
NIS2 (2025) : ~15 000 entités essentielles et importantes.
18 secteurs couverts : énergie, transport, banque, santé, eau, infrastructures numériques, administrations publiques, enseignement, fabricants industriels, agroalimentaire, etc.

Obligations principales

Mesures de sécurité techniques et organisationnelles.
Notification des incidents sous 24h (alerte initiale) et 72h (rapport).
Formation obligatoire des dirigeants.
Responsabilité personnelle de la direction.
Gestion des risques chaîne d'approvisionnement.

Sanctions

Entités essentielles : jusqu'à 10 M€ ou 2% du CA annuel mondial.
Entités importantes : jusqu'à 7 M€ ou 1,4% du CA.

DORA — secteur financier

Digital Operational Resilience Act, règlement européen entré en application en janvier 2025. Voir DORA. L'ACPR est l'autorité principale, mais l'ANSSI intervient sur les aspects techniques et coordination.

CRA — Cyber Resilience Act

Règlement européen adopté fin 2024, application progressive 2026-2027. Impose des exigences de cybersécurité aux fabricants de produits avec éléments numériques mis sur le marché européen. Voir CRA. L'ANSSI participe à la définition des exigences et au contrôle du marché français.

Référentiels internationaux

L'ANSSI participe activement aux travaux :

ENISA : agence européenne, dont l'ANSSI est un contributeur majeur.
EUCS (EU Cybersecurity Certification Scheme for Cloud) : schéma européen inspiré de SecNumCloud — débats sur l'intégration des exigences de souveraineté.
Common Criteria : certification internationale des produits.
CSIRTs Network : coopération des CERTs européens.
Groupe de coopération NIS : coordination politique NIS2.

Souveraineté et Cloud Act

Dossier politique central de l'ANSSI depuis 2020 : exigence de protection contre le Cloud Act américain dans le référentiel SecNumCloud. Le Cloud Act permet au gouvernement US d'accéder à des données stockées par des entreprises soumises à sa juridiction, même si les données sont hébergées à l'étranger. L'ANSSI a défendu que les services cloud critiques français soient opérés par des entités non soumises à ce droit. Débat européen animé, position française controversée par certains partenaires (notamment l'Allemagne initialement). Positions évolutives depuis 2025.

06 — ÉcosystèmeCyber public français

Les acteurs publics cyber en France

ANSSI — Stratégique et critique

Décrit dans les sections précédentes. Cible : État, OIV, grandes entreprises, NIS2.

Cybermalveillance.gouv.fr — Grand public et PME

Dispositif opéré par le GIP ACYMA (Groupement d'Intérêt Public Action contre la Cybermalveillance). Créé en 2017, co-piloté par l'ANSSI et le ministère de l'Intérieur. Financement partagé.

Cible : particuliers, TPE/PME, collectivités territoriales, associations.
Services : diagnostic en ligne, fiches pratiques, mise en relation avec prestataires labellisés ExpertCyber.
Label ExpertCyber : pour prestataires de proximité (Pyx4, AVA6, etc. pour PME).
Signalements : plateforme Thésée pour e-arnaques (exploitée par la police).
Site : cybermalveillance.gouv.fr, plusieurs millions de visiteurs/an.

ComCyber — Militaire

Commandement de la cyberdéfense, créé en 2017, rattaché au ministère des Armées. Responsabilité :

Cyberdéfense des systèmes militaires.
Capacités cyber offensives (LIO — Lutte Informatique Offensive).
Coopération internationale avec les alliés (OTAN).

Distinction claire : ANSSI = défensif civil + opérateurs critiques. ComCyber = militaire avec capacité offensive. Les deux coopèrent mais ont des mandats séparés.

DGSI — Renseignement intérieur

Direction générale de la sécurité intérieure. Traite les aspects contre-espionnage et contre-ingérence étrangère dans le cyber. Volet judiciaire en coordination avec les services de police.

DGSE — Renseignement extérieur

Capacités de renseignement cyber à l'étranger. Coopération limitée et cloisonnée avec l'ANSSI (missions différentes).

Police et Gendarmerie spécialisées

OCLCTIC (Office central de lutte contre la criminalité liée aux technologies de l'information et de la communication).
C3N (Centre de lutte contre les criminalités numériques) — gendarmerie.
SCN (Service central numérique).
Plateforme Thésée : pour e-escroqueries.
Plateforme Pharos : signalement de contenus illicites.

CNIL — Données personnelles

Voir notre fiche CNIL. Traite les aspects données personnelles du cyber (RGPD, notifications de violations de données personnelles). Coopération naturelle avec l'ANSSI sur incidents cyber impactant données personnelles.

Hub cyber régional

Les CSIRT régionaux sont en cours de déploiement pour couvrir les PME/collectivités territoriales : CSIRT Bretagne, Normandie, Nouvelle-Aquitaine, Grand Est, Hauts-de-France, Pays de la Loire, etc. Financement France 2030 et régions. Permettent une assistance de proximité aux entités non-OIV.

Industriels et ESN du cyber français

Écosystème industriel que l'ANSSI accompagne et coordonne :

Éditeurs : Stormshield (firewalls), Thales (crypto, défense), Atos/Eviden, Dassault Systèmes (3DS Outscale), Tehtris (EDR), Harfanglab (EDR), Gatewatcher (NDR), Dust Mobile, Docaposte.
Services : Orange Cyberdefense, Sopra Steria, Capgemini, Advens, Wavestone, Synacktiv, Lexfo, Digital Security.
Pôles d'excellence : Pôle d'excellence cyber en Bretagne (Rennes).
Écosystème startup : Station F, French Tech cyber, financements BPI.

Campus Cyber

Inauguré en février 2022 à La Défense. Regroupe industriels, ANSSI, services de l'État, startups, universités dans un même lieu. 20 000 m², objectif d'être le hub cyber français et européen. Déclinaisons régionales lancées.

Coopération internationale

L'ANSSI est active dans :

Coopérations bilatérales avec les partenaires (Allemagne, Royaume-Uni, USA, Canada, Japon).
Plusieurs accords de partenariat avec des CERTs étrangers.
Participations aux sommets internationaux (Conférence de Paris sur la cybersécurité, FIC, etc.).
Appels des responsables pour une approche européenne souveraine.

07 — FAQQuestions fréquentes

Comment contacter l'ANSSI en cas d'incident ?

Ça dépend de votre profil. OIV ou entité essentielle NIS2 : contact direct via le CERT-FR (cert-fr.cossi@ssi.gouv.fr), ligne d'urgence pour déclaration d'incident, process spécifique négocié. Entreprise classique ou PME : passer par Cybermalveillance.gouv.fr pour assistance, ou directement contacter un CSIRT régional si disponible dans votre région. Particulier : Cybermalveillance.gouv.fr, dépôt de plainte en gendarmerie/commissariat, signalement sur Thésée pour e-arnaques ou Pharos pour contenus illicites. L'ANSSI elle-même ne traite pas les incidents grand public — elle délègue via l'écosystème (Cybermalveillance, CSIRTs régionaux, prestataires ExpertCyber).

L'ANSSI fait-elle du renseignement offensif ?

Non. L'ANSSI a un mandat strictement défensif. Les capacités cyber offensives françaises relèvent : du ComCyber (ministère des Armées) pour les opérations militaires dans le cadre de la LPM, de la DGSE pour le renseignement extérieur, de la DGSI pour le contre-espionnage domestique. Cette séparation stricte est un choix institutionnel français, contrairement par exemple au NCSC britannique qui est rattaché au GCHQ (renseignement). La séparation a ses avantages (clarté du mandat, confiance du privé) et ses inconvénients (pas toujours fluide pour le partage de renseignement technique).

Faut-il travailler à l'ANSSI ?

Arbitrage classique public/privé cyber. Avantages ANSSI : missions d'intérêt général, accès à des projets critiques et uniques, niveau technique élevé des équipes, formation continue de qualité, stabilité de l'emploi, possibilité de voyages (intervention crise), bonne école pour la suite de carrière. Inconvénients : rémunération nettement inférieure au privé (surtout pour profils expérimentés, écart x2-x3 avec ESN cyber ou startups), lenteur administrative, process de recrutement long, contraintes sécuritaires (habilitations, confidentialité). Profils qui en sortent bien : après 3-7 ans à l'ANSSI, beaucoup rejoignent le privé (Docaposte, Orange Cyberdefense, startups) avec un CV très recherché et une rémunération multipliée. L'ANSSI accepte généralement bien ces départs comme partie de son rôle de formation. Guillaume Poupard en est l'exemple emblématique.

Quelle différence entre ANSSI et ENISA ?

L'ENISA (European Union Agency for Cybersecurity) est l'agence européenne équivalente, basée à Athènes. Périmètres distincts :

ANSSI : autorité nationale avec pouvoirs opérationnels et réglementaires en France. Traite des incidents, émet des alertes, qualifie des produits.
ENISA : agence non opérationnelle, rôle de coordination, expertise, publications, animation de réseaux. Pas de pouvoir direct sur les entités.

ENISA coordonne les ANSSI des 27 États membres, développe des schémas européens (EUCS pour le cloud), produit des rapports annuels (ENISA Threat Landscape). L'ANSSI contribue à ENISA et peut s'appuyer sur ses travaux mais conserve son autorité nationale. Complémentarité sans hiérarchie directe.

Les qualifications ANSSI sont-elles reconnues en Europe ?

Progressivement oui, mais avec nuances. Les Critères Communs sont internationalement reconnus (CCRA). SecNumCloud n'a pas d'équivalent européen formel actuellement — l'équivalent européen EUCS est en négociation avec des débats sur le niveau d'exigence souveraineté. PASSI, HDS, PDIS, PRIS restent principalement des qualifications françaises reconnues localement — certaines entreprises européennes demandent ces certifications pour leurs opérations en France, et les grandes ESN cyber européennes ont souvent des équipes PASSI-qualifiées en France. Tendance : à mesure que NIS2 se déploie, les équivalences entre référentiels nationaux deviennent enjeu européen.

Comment se préparer à une inspection ANSSI ?

Pour les OIV et entités essentielles NIS2, l'ANSSI peut effectuer des inspections. Préparation structurelle : suivre scrupuleusement les référentiels et guides ANSSI applicables, faire réaliser des audits préalables par PASSI, tenir à jour une documentation complète (PSSI, analyse de risques EBIOS, plans de continuité), préparer les traces (logs, preuves de mise en œuvre), former les équipes techniques à répondre aux questions d'auditeurs. Lors de l'inspection : coopération complète, transparence sur les défauts connus, plans d'action clairs pour les remédiations. L'ANSSI préfère largement une organisation en progression avec faiblesses reconnues et plan d'action qu'une organisation affichant une conformité parfaite non crédible. Une bonne préparation limite aussi les délais d'inspection.