Les métiers de l’Anssi

Depuis 2009, l’Anssi assure des missions de surveillance, d’accompagnement, de certification et de régulation, mais elle s’oriente de plus en plus vers l’innovation.

120 à 150 recrutements par an !

Alors qu’elle fête ses dix ans d’existence, l’Anssi poursuit sa croissance à un rythme soutenu. Elle devrait recruter cette année plus d’une centaine de collaborateurs, dont des développeurs, administrateurs systèmes, architectes réseaux ou ingénieurs. Des postes où l’expertise en cybersécurité n’est pas une condition sine qua non. Tour d’horizon des métiers de cette entité publique qui se veut ouverte à un maximum de profils. « Nous recrutons ! Et dans des domaines très variés allant de la cryptographie à la détection d’intrusion, en passant par l’accompagnement juridique, le pilotage de projets informatiques ou encore la coordination internationale. » Tel est le message porté aujourd’hui par l’Agence nationale de la sécurité des systèmes d’information (Anssi), qui fête ses dix ans cet été. Ce service, placé sous l’autorité du Premier ministre, embauche entre 120 et 150 agents chaque année. Un rythme de recrutement soutenu que l’Anssi compte maintenir encore pendant deux à trois ans. En une décennie, ses effectifs sont déjà passés de 120 à 568 collaborateurs. Afin d’attirer de nouveaux talents, l’agence a lancé en mai dernier la démarche « Paroles d’agents », qui présente les témoignages de cinq collaborateurs : une développeuse, un juriste, un analyste des codes et signatures, un coordinateur sectoriel et un certificateur (lire encadrés ci-après). « Ces témoignages démontrent qu’il n’existe pas de profil type pour rejoindre l’Anssi. Ils mettent en évidence la diversité des métiers, des profils et des parcours de nos agents, ce qui fait notre richesse », explique Michel Babeau, le SDA (sous-directeur administration) de l’agence. L’Anssi recrute à différents niveaux d’études, du bac au doctorat, en passant par le BTS, la licence pro ou le Master. Et il n’est pas indispensable d’être diplômé en cybersécurité : « Nous étudions tous les dossiers. Il faut témoigner d’une réelle passion pour la cybersécurité, mais aussi avoir envie de travailler pour l’intérêt général, de servir la nation, car ces notions sont au cœur de nos missions », poursuit Michel Babeau. La sélection reste drastique. L’agence reçoit entre 6 000 et 8 000 CV par an, pour ne retenir donc qu’une grosse centaine de candidats. L’Anssi compte 22 % de femmes dont les 2/3 sont des femmes fonctionnaires, un tiers des militaires.

Prévention, défense et expertise

Sur quoi travaillent les agents de l’Anssi ? Les missions de l’agence couvrent principalement trois axes : la prévention, la défense et l’expertise. Concrètement, l’Anssi assure un service de veille, de détection, d’alerte et de réaction aux attaques informatiques, sur les réseaux de l’État mais aussi ceux d’entreprises, désignées « opérateurs d’importance vitale (OIV) ». Il en existe 249 en France, dans 12 secteurs d’activité, de l’énergie à la santé en passant par les transports, les banques ou les activités militaires. Depuis plus d’un an, des Opérateurs de service essentiel (OSE) font également partie du périmètre de l’agence. L’Anssi intègre aussi des missions de sensibilisation, de formation et de labellisation. Pour assurer ses différentes missions, l’agence est organisée en cinq sous-directions. « Les pompiers » de l’Anssi, qui surveillent les réseaux et interviennent en cas d’attaque, sont rassemblés au sein de la SDO (sous-direction opérations). Elle compte environ deux cents collaborateurs et emploie notamment des analystes sécurité – détection d’intrusion, vulnérabilités et codes malveillants. Les 150 agents de la SDE (sous-direction Expertise) accompagnent les administrations de l’État et les OIV dans la sécurisation de leur SI. La SDE emploie des experts en sécurité et gestion des réseaux, des experts au laboratoire sécurité des composants, des chargés de qualification, ou encore des développeurs. Elle intègre en effet une activité de développement de solutions de sécurité. La SDE a notamment réalisé WooKey, un disque dur « chiffrant » pour systèmes embarqués et IoT. Elle a également développé Clip OS, un système d’exploitation sécurisé multi-niveau. Ces solutions sont proposées en Open-Source et donc accessibles aux administrations publiques comme aux entreprises. Les trois autres sous-directions sont chargées, entre autres, de la maintenance d’infrastructures IT et télécom (sous-direction du Numérique ou SDN), du suivi des relations externes de l’agence en France et à l’international, de la sensibilisation aux risques cyber (sous-direction Stratégie ou SDS) ainsi que de l’organisation interne de l’agence, la SDA (sous-direction Administration). Michel Babeau, sous-directeur Administration, le SDA de l’Anssi. Pour 2019, les postes à pourvoir son très variés : développeurs, administrateurs (systèmes / réseaux et télécoms), architectes (SI sécurisés / systèmes et réseaux), ingénieurs (réseaux et télécoms / test et validation) mais aussi des juristes, consultants et coordinateurs de projets. La liste complète est diffusée sur le site de l’agence, mais aussi via LinkedIn ou Twitter.

Une majorité de CDD

Quelles sont les conditions de travail à l’Anssi ? Contrairement à certaines idées reçues, la majorité des salariés ne sont pas fonctionnaires. Les contractuels représentent 79 % des agents, les fonctionnaires 14 % et les militaires 7 %. Autre point important : ils travaillent pour la plupart en CDD. De trois ans renouvelables une fois, ils représentent en effet 70 % des contrats, contre 30 % pour les CDI. Côté salaires, l’Anssi est dans la moyenne nationale. « Nous nous alignons, mais nous ne suivons pas les prétentions trop élevées », précise-t-on à l’agence. D’un point de vue géographique, les candidats doivent accepter de travailler à Paris, où sont localisés les bureaux de l’agence. Seul un nombre limité d’agents sont détachés en région. L’âge moyen des 568 agents de l’Anssi est de 37 ans. Enfin, l’ambiance dans les locaux serait plutôt « conviviale » avec un management « traditionnel ». Si l’organisation de l’agence se veut plutôt structurée, le rapport hiérarchique n’aurait rien à voir avec celui de l’armée, assure Michel Babeau, lui-même ancien militaire. L’Anssi assure ne pas « écraser » ses agents sous le poids de la hiérarchie, offrir une relative souplesse sur les horaires et vouloir faciliter le développement des projets personnels en dégageant du temps ou des moyens.

L’état de l’art en cybersécurité

Outre l’intérêt général et le souhait de servir la Nation, travailler à l’Anssi serait un gage de posséder des compétences à l’état de l’art. « Nous veillons à maintenir ce niveau d’excellence, notamment grâce à nos formations internes », souligne Michel Babeau. Sur le CV, un passage par l’Anssi ouvrirait bien des portes, dans la sphère publique comme privée. Mais le principal intérêt de travailler à l’Agence reste tout simplement de vivre au quotidien l’actualité de la cybersécurité. En 2018, elle a reçu 1 869 signalements, géré 16 incidents majeurs et 14 opérations de cyberdéfense. « Peu de structures vous permettent de plonger au cœur de la cybersécurité », conclut Michel Babeau, « au niveau national comme international. » ❍

Émeric : chef de bureau analyse des codes et signatures

Depuis l’enfance, Émeric est passionné par l’informatique. « La première chose que j’ai fait, c’est de casser l’ordinateur familial pour voir comment ça marchait. » Après une école d’ingénieur en informatique, avec une spécialisation en sécurité, il rejoint d’abord un cabinet de conseil privé, avant d’entrer à l’Anssi en 2015. « De l’extérieur, cela avait l’air passionnant et je ne me suis pas trompé […] Ma principale crainte était de ne pas être au niveau. Mais on ne s’attend pas à ce que les nouveaux arrivants connaissent déjà le métier entièrement. Cela n’est pas possible ! » Une semaine après son arrivée, il est sur le terrain et participe au traitement de la cyberattaque ciblant TV5 Monde, qui avait entraîné un arrêt de la diffusion des programmes. « J’ai travaillé sur la bascule, c’est-à-dire le transfert d’anciennes informations sur un nouveau système sain. C’était sur place, en une soirée ». Ce qu’il apprécie à l’Anssi, c’est justement de travailler au cœur de l’actualité de la cybersécurité. « Cela me permet de voir comment ça se passe au quotidien, au jour le jour, quand il y a des attaques informatiques, quand il faut y répondre, quand il faut essayer de les éviter. » Il évoque également avec fierté l’« aura » qui émane de l’agence, lorsqu’elle émet des avis de sécurité ou intervient en réponse à un incident. Enfin, le fait de « travailler pour son pays » ajoute une autre dimension à son travail.

Catherine : développeuse et intégratrice

Autodidacte, Catherine a appris l’informatique et le codage par elle-même. « J’ai toujours eu des PC, que je démontais et remontais moi-même. » Elle ne trouve pas tout de suite de travail dans l’informatique et commence par une expérience de manager. Mais elle demeure frustrée de ne pas vivre de sa passion pour l’IT. Elle connaissait l’Anssi de nom, mais craignait de ne pas être à sa place, estimant que l’agence a surtout besoin « de gros spécialistes de la cybersécurité ». Elle finit pourtant par postuler et réussi à entrer à l’agence en 2018. « L’Anssi possède son propre centre de formation en interne. On peut venir à l’agence comme on est, avec juste une forte envie d’apprendre. » Une fois digérée la « masse d’information » qui lui est transmise, elle commence à développer. Son poste consiste à concevoir et intégrer des solutions techniques répondant aux besoins des métiers de l’agence et de ses partenaires. Elle souligne « les petits bonheurs » du développeur, qui a la chance de voir ses projets se concrétiser au service des autres. Une vraie satisfaction pour elle, qui se dit très attachée au service public. Elle apprécie également de ne jamais avoir de journée ressemblant à la précédente. Catherine mène différents projets de front, en jonglant de l’un à l’autre. « C’est ce qui me plaît. Si on m’avait proposé de faire toujours la même chose, tous les jours… je serais partie. »

Guillaume : certificateur

Après une classe préparatoire et une école d’ingénieurs en informatique et mathématiques appliquées, Guillaume devient développeur dans le domaine de l’imagerie. Il explique ensuite être venu à la sécurité, un peu par accident… « J’ai basculé dans la sécurité par goût. Je trouvais les sujets très intéressants ». Inquiet de ne pas être au niveau techniquement, il se retient de postuler à plusieurs reprises à l’Anssi, avant de tenter sa chance en 2016. « J’avais également comme crainte que l’Anssi soit quelque chose de très franco-français, d’un peu poussiéreux… Et heureusement, j’ai été détrompé sur les deux aspects. D’une part notre rôle à la certification n’est pas celui d’un expert technique. On échange avec les experts, mais on n’a pas nécessairement besoin d’en être un soi-même. Et sur le côté franco-français : quelques mois après mon arrivée, je me retrouvais en Nouvelle-Zélande à discuter en anglais de sujets un peu compliqués. C’était plutôt très stimulant. » Au quotidien, Guillaume exerce des missions très diverses. Il rencontre beaucoup de monde « du privé comme du public et de différents pays ». Il évoque des enjeux très variés : technologiques, économiques, réglementaires ou de gouvernance. Il se dit particulièrement attaché à la notion de service public. « Le lundi matin, je ne me pose pas la question “ Pourquoi je fais ça ? ” Ici on a vraiment le sentiment de servir à quelque chose. »

Thomas : juriste

Après des études de droit « classiques », comprenant une licence puis un Master de droit fiscal, Thomas complète sa formation par un Master en droit du numérique. Il conclut ce cursus par un mémoire sur le droit de la cryptologie. L’occasion pour lui de rencontrer des experts, dont certains travaillant à l’Anssi. C’est donc tout naturellement qu’il postule à l’agence, en 2015, tout d’abord en tant que stagiaire. Après ses six mois au cours desquels il estime « avoir appris plus qu’en cinq ans d’études », Thomas postule à un poste de juriste et se fait embaucher. Sans nécessairement être un expert technique : « pour rejoindre l’Anssi, il faut tout de même avoir une forte appétence cyber, au moins personnelle. Peut-être que j’aurais été ingénieur informaticien, si je ne m’étais pas orienté vers le droit. » Il ne se considère pas simple juriste, mais « juriste pour l’État ». « Les préoccupations sont bien entendu différentes. Mais surtout, nous avons un axe réglementaire dans le cadre duquel nous aidons à faire des lois, des arrêtés. Ainsi nous contribuons à créer le droit, ce qui est rare pour un juriste qui, en général, travaille plutôt à l’appliquer. » Il apprécie également de n’avoir aucune journée type à l’Anssi et de se sentir utile. « Travailler à l’Agence, c’est traiter des sujets d’importances, au service de l’État, en améliorant la sécurité générale du pays. »

Sadio : coordinateur sectoriel

Les études de Sadio le prédestinaient initialement à la recherche. Après un diplôme en physiques appliquées et en électromagnétisme, il complète ce cursus par un cycle en management et administration des entreprises. Il poursuit ensuite son parcours en obtenant un diplôme spécialisé en réseaux et systèmes informatiques à l’École centrale de Paris. Sadio rejoint l’Anssi en 2014 où il exerce une mission de coordinateur sectoriel, dans les domaines du transport et de l’assainissement de l’eau. « J’assure l’interface entre l’agence et les opérateurs extérieurs, qu’il s’agisse de ministères, d’établissements publics ou d’opérateurs privés. » Un travail basé sur le dialogue qui l’amène à travailler sur des sujets très variés et en phase avec l’actualité, comme récemment les véhicules autonomes. Ce qu’il apprécie particulièrement à l’Anssi, c’est la possibilité d’apprendre continuellement. « Je suis quelqu’un qui aime apprendre, et j’ai beaucoup appris à l’agence. Je me tiens notamment au courant des dernières tendances technologiques, comme l’IA, l’IoT ou la ville intelligente. » Plus qu’un « geek », il se définit comme un « early adopter », qui suit surtout les enjeux du numérique, à commencer par la cybersécurité. Il fait d’ailleurs un constat : « On manque de compétences en France. On ne forme pas assez d’ingénieurs en cybersécurité. Et un passage par l’agence est un très bon tremplin ».