En cliquant sur "Accepter tous les cookies", vous acceptez que des cookies soient stockés sur votre appareil afin d'améliorer la navigation sur le site, d'analyser l'utilisation du site et de contribuer à nos efforts de marketing. Consultez notre politique de confidentialité pour plus d'informations.

Préférences
RefuserAccept
Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.
icone fleche gauche
Retour
Conformité

ReCyF (ANSSI) : comprendre le Référentiel Cyber France et préparer NIS 2 dès maintenant

Tout savoir sur le ReCyF (ANSSI) : le référentiel français pour renforcer votre cybersécurité et préparer efficacement la directive NIS 2.

ReCyF (ANSSI) : comprendre le Référentiel Cyber France et préparer NIS 2 dès maintenant

Le Référentiel Cyber France (ReCyF) est un document de travail publié par l’ANSSI dans le cadre de la transposition nationale de la directive NIS 2. Il propose une structuration claire des objectifs de sécurité attendus des entités importantes (EI) et entités essentielles (EE), ainsi que des moyens acceptables de conformité pour y parvenir.

L’ANSSI encourage les organisations à s’engager sans attendre dans cette dynamique de sécurisation, avant même la publication du cadre définitif de transposition.

Dans cet article, on fait le point sur :

  • Qu’est-ce que ReCyF et à quoi il sert.
  • À qui il s’applique (EI/EE) et comment l’aborder de manière proportionnée.
  • Les grands objectifs de sécurité couverts par ReCyF.
  • Comment gagner du temps en outillant la conformité, notamment avec Egerie, qui intègre déjà ReCyF pour accélérer vos démarches.

Qu’est-ce que ReCyF ? (Référentiel Cyber France)

ReCyF est le référentiel de cybersécurité mentionné dans le projet de loi de transposition NIS 2. Il est structuré autour :

  • d’objectifs de sécurité (le « quoi ») : obligatoires une fois le cadre national en vigueur,
  • et de moyens acceptables de conformité (le « comment ») : des mesures proposées par l’ANSSI, qui ne sont pas obligatoires en tant que telles, mais qui constituent une façon reconnue de démontrer l’atteinte de l’objectif.

Important : l’ANSSI rappelle que ReCyF est, à ce stade, diffusé en document de travail, tant que la transposition n’est pas finalisée et qu’une consultation n’a pas eu lieu.

C’est un changement important parce qu’on passe d’un contexte où NIS 2 peut encore sembler « flou » (beaucoup d’exigences, des interprétations variables, des plans d’action difficiles à justifier) à un cadre qui met de l’ordre : ReCyF formalise ce qui est attendu sous forme d’objectifs, et propose des moyens reconnus pour démontrer la conformité. Pour les équipes cyber, cela transforme la démarche en quelque chose de pilotable : on part d’un périmètre clair, on mappe l’existant, on identifie les écarts, puis on déroule une trajectoire priorisée et traçable — au lieu d’une liste de chantiers “à l’intuition”.

Pourquoi l’ANSSI pousse à agir maintenant (avant la transposition)

Le message de l’ANSSI est clair : dans un contexte d’intensification de la menace, il faut lancer une dynamique de sécurisation à grande échelle et encourager les acteurs à s’inscrire dès maintenant dans une démarche cohérente avec NIS 2.

Cette approche vise à :

  • diffuser plus rapidement les bonnes pratiques,
  • faciliter l’appropriation des futures exigences,
  • permettre aux organisations de prioriser les actions les plus efficaces, selon leur maturité et leurs moyens.

ReCyF intègre en effet un principe de proportionnalité : l’effort attendu est adapté à la maturité et aux ressources des entités.

ReCyF, EI, EE : à qui s’appliquent les objectifs ?

Le document distingue :

  • des objectifs applicables aux entités importantes et essentielles (objectifs 1 à 15),
  • et des objectifs supplémentaires applicables uniquement aux entités essentielles (objectifs 16 à 20), en application du principe de proportionnalité.

Concrètement, cela aide à structurer une trajectoire de mise en conformité sans chercher à « tout faire d’un coup », et sans surdimensionner le niveau d’exigence pour les organisations les moins matures.

Les objectifs ReCyF : l’essentiel à retenir (et le vrai “twist” pour les entités essentielles)

ReCyF regroupe 20 objectifs de sécurité. Plutôt que de les lire un à un, il est plus utile de les comprendre comme un cadre de mise à niveau du socle de sécurité, structuré en 4 blocs.

  • Gouvernance et pilotage (obj. 1 à 5)
  • Périmètre SI, rôles/responsabilités, politique SSI, conformité, gestion des tiers, cartographie et MCO/MCS.
  • Protection des SI (obj. 6 à 11)
  • Accès physiques, segmentation et filtrage, accès distants, anti-malware, IAM, sécurisation des comptes et pratiques d’administration.
  • Détection, réponse et résilience (obj. 12 à 15)
  • Gestion des incidents, sauvegardes et tests, gestion de crise, exercices réguliers.
  • Exigences renforcées pour les entités essentielles (obj. 16 à 20)
  • Approche par les risques, audits, durcissement de configuration, administration dédiée, supervision et amélioration continue.

Focus : l’introduction d’une démarche de gestion des risques pour les entités essentielles (objectif 16)

C’est un point différenciant majeur du référentiel : pour les entités essentielles, ReCyF ne se limite pas à une logique de conformité. Il introduit explicitement une approche par les risques placée sous la responsabilité du dirigeant exécutif.

En pratique, cela implique :

  • de réaliser une analyse de risques (par SI, ou par activité/service couvrant les SI associés),
  • de définir et suivre un plan de traitement des risques,
  • et d’accepter les risques résiduels au bon niveau de gouvernance.

ReCyF cite notamment la possibilité d’utiliser EBIOS RM pour conduire cette analyse.

Autrement dit : pour les entités essentielles, la conformité devient indissociable d’une démarche structurée de gestion des risques cyber, qui pilote la priorisation des mesures (et pas seulement un plan d’actions “générique”).

💡 “ReCyF marque une évolution importante : la conformité ne se limite plus à une checklist, mais devient un cadre pour structurer un socle de sécurité piloté dans la durée. L’enjeu est de transformer ces objectifs en mesures concrètes et traçables, et, pour les entités qui y sont soumises, de les articuler avec une approche par les risques.” Jean Larroumets, CEO et fondateur d’Egerie

Comment mettre ReCyF en œuvre sans attendre

Pour la plupart des organisations, l’enjeu n’est pas de « cocher des cases », mais de transformer ReCyF en plan d’action pilotable.

Dans cette logique, le plus efficace est souvent de partir de l’existant et d’identifier ce qui est déjà couvert.

On constate très fréquemment sur le terrain : une organisation déjà certifiée ISO/IEC 27001 (SMSI en place) et s’appuyant sur les bonnes pratiques ISO/IEC 27002 a généralement déjà coché une grande partie des attentes liées à la gouvernance, aux politiques, au contrôle d’accès, à la gestion des incidents, à la continuité, etc.

L’enjeu n’est donc pas forcément de « recommencer », mais de :

  • savoir ce qui est déjà couvert,
  • objectiver les écarts restants,
  • et raccorder ce socle existant au cadre ReCyF / NIS 2 avec une traçabilité exploitable.

ReCyF prévoit d’ailleurs des modalités permettant de se prévaloir de certifications, notamment ISO/IEC 27001:2022, pour démontrer le respect de certains objectifs, sur le périmètre couvert.

Voici une démarche simple et efficace, alignée avec l’esprit du référentiel :

  1. Définir le périmètre : activités/services, SI associés, et responsables (objectif 1).
  2. Structurer la gouvernance et la conformité : PSSI, rôles, analyse d’écarts, plan d’action (objectif 2).
  3. Cartographier la couverture ISO → ReCyF : identifier rapidement ce qui est déjà en place via votre SMSI (ISO 27001/27002) et ce qui doit être complété.
  4. Prioriser : commencer par les mesures à impact fort et coût raisonnable (hygiène, IAM, patch, segmentation, sauvegardes, détection).
  5. Industrialiser : outiller le suivi, la preuve, les écarts, et la traçabilité, pour éviter un « projet conformité » qui dépend de fichiers dispersés.

ReCyF est déjà intégré dans Egerie

ReCyF fournit un cadre concret pour déployer un socle de sécurité cohérent avec NIS 2, avec une logique d’objectifs, de proportionnalité et de traçabilité. Il permet de démarrer tout de suite, en structurant la gouvernance, le périmètre SI, les mesures clés et le plan d’action.

Pour aider les organisations à passer du référentiel à l’exécution, Egerie a intégré ReCyF très rapidement afin que les équipes puissent démarrer sans attendre et accompagner les clients dès maintenant, même avant la transposition définitive.

Nous pouvons ainsi aider les organisations à :

  • réaliser un état des lieux de leur socle de sécurité (y compris quand une démarche ISO 27001/27002 est déjà en place),
  • identifier les mesures communes et les recouvrements entre l’existant et ReCyF,
  • objectiver les écarts restants,
  • et construire une trajectoire de mise en conformité priorisée et pilotable.

📅 Vous préparez NIS 2 / ReCyF ?

Réservez une démo (30 min) avec nos experts pour voir comment transformer ReCyF en plan d’action pilotable dans Egerie.

Apprenez comment Egerie vous aide à gérer ISO, NIS2, DORA, PART-IS, ...

L’un de nos experts vous fera une démonstration personnalisée de la plateforme Egerie, afin qu’elle réponde le plus rapidement possible à votre objectif de mise en conformité à DORA.

Articles

Vous allez aimer ces autres articles

RGPD : maîtrisez vos 5 obligations de conformité
Découvrez vos obligations de conformité RGPD en 2026 pour protéger vos données. Anticipez les risques et évitez les sanctions.
Conformité
Découvir
Egerie nommé Sample Vendor dans le Hype Cycle™ for Cyber-Risk Management, 2025 de Gartner®
Egerie nommé Sample Vendor dans le Hype Cycle™ for Cyber-Risk Management, 2025 de Gartner® dans la catégorie GRC.
Gestion des risques
Découvir
eIDAS 2 : le guide pour respecter ce règlement européen
Règlement eIDAS 2 : son impact sur votre gouvernance des données, la sécurité de vos transactions et comment Egerie vous aide à vous conformer
Conformité
Découvir
icone fleche gauche
icone fleche droite
Découvrez notre plateforme

Moins de complexité, plus d’impact.
On vous montre comment.

Demander une démo