Avec la transposition de la directive NIS2, l'ANSSI a publié le ReCyF, le Référentiel Cyber France, qui traduit les exigences réglementaires en mesures de sécurité concrètes. C'est désormais le document de travail central pour toute entité concernée par NIS2 en France.
Qu'est-ce que le ReCyF ?
Le Référentiel Cyber France (ReCyF) est le référentiel de mesures de cybersécurité publié par l'ANSSI dans le cadre de NIS2. Sa version 2.5 (mars 2026) définit 20 objectifs de sécurité déclinés en plus de 120 mesures concrètes. L'objectif de l'ANSSI : donner aux organisations un cadre clair et homogène pour atteindre le niveau de sécurité attendu, plutôt que de les laisser interpréter seules le texte réglementaire.
Les 4 thèmes du ReCyF
L'ANSSI organise les 20 objectifs de sécurité autour de quatre grands thèmes :
- ✓Gouvernance des systèmes d'information (objectifs 1 à 5)
- ✓Protection des systèmes d'information (objectifs 6 à 11)
- ✓Défense des systèmes d'information (objectif 12)
- ✓Résilience des systèmes d'information (objectifs 13 à 15)
Les objectifs 16 à 20 viennent compléter ces thèmes et concernent les exigences les plus avancées.
Entités importantes (EI) ou essentielles (EE) : le principe de proportionnalité
Le ReCyF applique un principe de proportionnalité selon le statut de l'entité : les entités importantes (EI) sont soumises aux objectifs 1 à 15 (certaines sous-mesures étant exclues), tandis que les entités essentielles (EE) doivent couvrir les 20 objectifs et l'ensemble des mesures. Première étape indispensable : déterminer votre catégorie.
Les 20 objectifs de sécurité du ReCyF
- ✓1. Recensement des systèmes d'information
- ✓2. Mise en œuvre d'un cadre de gouvernance de la sécurité numérique
- ✓3. Maîtrise de l'écosystème
- ✓4. Prise en compte de la sécurité numérique dans la gestion des ressources humaines
- ✓5. Maîtrise des systèmes d'information
- ✓6. Maîtrise des accès physiques aux locaux
- ✓7. Sécurisation de l'architecture des systèmes d'information
- ✓8. Sécurisation des accès distants
- ✓9. Protection contre les codes malveillants
- ✓10. Gestion des identités et des accès des utilisateurs
- ✓11. Maîtrise de l'administration des systèmes d'information
- ✓12. Identification et réaction aux incidents de sécurité
- ✓13. Continuité et reprise d'activité
- ✓14. Réaction aux crises d'origine cyber
- ✓15. Exercices, tests et entraînements
- ✓16. Mise en œuvre d'une approche par les risques
- ✓17. Audit de la sécurité des systèmes d'information
- ✓18. Sécurisation de la configuration des ressources
- ✓19. Administration depuis des ressources dédiées
- ✓20. Supervision de la sécurité des systèmes d'information
Pourquoi commencer par l'analyse de risque (AR) ?
Même si l'approche par les risques constitue l'objectif 16 du ReCyF, c'est par elle qu'il faut commencer en pratique. L'analyse de risque (AR) est la fondation qui conditionne toute la démarche, pour trois raisons :
- ✓Elle conditionne le périmètre : le recensement des SI et l'AR déterminent quels systèmes sont réellement exposés. Le ReCyF permet d'ailleurs de justifier l'exclusion d'un système non exposé à un risque, à condition de le documenter.
- ✓Elle permet d'appliquer la proportionnalité : sans AR, impossible de prioriser les 120+ mesures ni d'adapter l'effort au niveau de risque réel.
- ✓Elle rend la conformité défendable : face à l'ANSSI ou à l'autorité de contrôle, les choix de mise en œuvre doivent reposer sur une analyse de risque tracée et justifiée.
En clair
Commencer par l'AR évite de dérouler aveuglément 120 mesures. On sécurise d'abord ce qui compte, on justifie ce qu'on écarte, et on construit un plan de mise en conformité réaliste.
Comment se mettre en conformité avec le ReCyF
- ✓Déterminer votre statut (EI ou EE) et le périmètre des systèmes d'information concernés.
- ✓Recenser les SI (objectif 1) et mener l'analyse de risque (AR).
- ✓Réaliser une analyse d'écart entre vos pratiques et les objectifs applicables du ReCyF.
- ✓Construire un plan de mise en conformité priorisé par le risque.
- ✓Formaliser la gouvernance et la PSSI, puis déployer les mesures techniques et organisationnelles.
- ✓Mettre en place l'audit et la supervision pour entretenir la conformité dans la durée.
Cyber-SSI vous accompagne sur le ReCyF
Nous menons votre analyse de risque, réalisons l'analyse d'écart par rapport aux objectifs du ReCyF de l'ANSSI et construisons votre plan de mise en conformité NIS2, étape par étape.
Le ReCyF n'est pas une simple liste de contrôles : bien abordé, en partant de l'analyse de risque, il devient une feuille de route claire vers la conformité NIS2 et un meilleur niveau de sécurité réel.
Pour aller plus loin
Conformité →