WLF - Cabinet de Cybersécurité
    Réglementation17 mars 202615 min de lecture

    ReCyF de l'ANSSI : la feuille de route opérationnelle pour se mettre en conformité NIS2

    Thibaud Payan

    Thibaud Payan

    Associé WLF

    ReCyF – Référentiel Cyber France

    Le document diffusé par l'ANSSI le 17 mars 2026, intitulé ReCyF – Référentiel Cyber France, donne enfin une traduction beaucoup plus concrète des exigences de NIS2 dans le cadre de la transposition nationale. Il s'agit toutefois d'une version de travail (v2.5 du 17/03/2026), ce qui signifie que certaines formulations pourront encore évoluer. Son intérêt est néanmoins immédiat : il permet aux organisations de passer d'une lecture réglementaire de NIS2 à une lecture beaucoup plus opérationnelle des attentes de l'autorité.

    Structure du ReCyF : 20 objectifs de sécurité

    Le ReCyF est structuré autour de 20 objectifs de sécurité. Les objectifs 1 à 15 s'appliquent, par défaut, aux entités importantes et aux entités essentielles, tandis que les objectifs 16 à 20 ne concernent que les entités essentielles, au nom du principe de proportionnalité.

    Objectifs 1 → 15

    Entités importantes & essentielles

    Objectifs 16 → 20

    Entités essentielles uniquement

    Le référentiel distingue aussi très clairement les objectifs de sécurité, qui sont obligatoires, et les moyens acceptables de conformité, qui ne sont pas nécessairement obligatoires mais permettent de démontrer plus facilement la conformité lors d'un contrôle.

    Ce que change vraiment le ReCyF

    La première évolution majeure tient au fait que l'ANSSI ne se limite pas à rappeler des grands principes. Le ReCyF décrit un cadre de mise en œuvre beaucoup plus précis :

    Inventaire des activités et des SI
    Gouvernance sous le dirigeant exécutif
    Cartographie de l'écosystème fournisseurs
    PSSI formalisée
    Analyse de conformité par système
    Plan d'action suivi dans le temps
    Mécanismes d'authentification
    Segmentation réseau
    Gestion des vulnérabilités
    Réaction aux incidents
    Sauvegardes & restauration
    Continuité, reprise et exercices

    Autrement dit, le message de l'ANSSI est clair : la conformité NIS2 ne pourra pas être traitée comme un simple exercice documentaire. Elle suppose une transformation structurée de la gouvernance, des pratiques de sécurité et de la capacité de preuve.

    Le référentiel précise d'ailleurs que les entités peuvent se prévaloir, sur certains périmètres, de prestations qualifiées ANSSI ou de certifications reconnues, et cite explicitement la possibilité de s'appuyer sur un SMSI certifié ISO/IEC 27001:2022 pour démontrer le respect de l'objectif de gouvernance sur les systèmes couverts.

    Une lecture très exigeante du périmètre NIS2

    Le ReCyF adopte une vision large du système d'information concerné. L'objectif 1 impose aux entités de recenser l'ensemble de leurs activités, services et systèmes d'information contributeurs. Il ne suffit donc pas d'identifier quelques actifs "critiques" de façon intuitive.

    Point d'attention

    L'exclusion d'un système du périmètre des objectifs de sécurité doit être explicitement justifiée, sur la base d'une analyse de risques démontrant qu'il n'expose pas l'entité à des risques de dégradation de service, de divulgation d'informations sensibles ou d'altération d'informations nécessaires aux activités. La simple présence de mesures de sécurité sur un système ne suffit pas à l'exclure.

    Cette logique est renforcée par l'objectif 5, qui impose une cartographie suffisamment détaillée pour permettre à l'entité d'identifier rapidement les ressources vulnérables lors de la publication d'une alerte, mais aussi de réagir efficacement en cas d'incident. Le ReCyF rattache donc très directement la conformité à la maîtrise réelle du patrimoine numérique.

    La gouvernance et la direction générale au premier plan

    L'un des messages les plus forts du document concerne la gouvernance. L'objectif 2 place la sécurité numérique sous la responsabilité du dirigeant exécutif. Il ne s'agit plus seulement d'un sujet technique porté par la DSI ou le RSSI : la conformité NIS2 devient un enjeu de direction, avec organisation formalisée, rôles et responsabilités, PSSI approuvée, analyse de conformité et plan de remédiation suivi dans le temps.

    Pour les entités essentielles, le texte va plus loin encore en prévoyant la désignation d'un point de contact privilégié avec l'ANSSI.

    💡 Correspondance directive

    Dans les tableaux de correspondance du référentiel, l'ANSSI relie explicitement l'article 20 de NIS2 relatif à l'approbation, à la supervision et à la responsabilité des organes de direction à l'objectif de sécurité 2.

    La conformité ne s'arrête pas aux murs de l'entreprise

    Le ReCyF rappelle aussi avec force que la sécurité ne se limite pas au SI interne. L'objectif 3 impose une cartographie de l'écosystème, comprenant prestataires, fournisseurs informatiques et interconnexions, ainsi que des dispositifs de vérification, notamment contractuels, de la conformité des prestations aux obligations applicables à l'entité.

    Cette approche se prolonge dans les objectifs techniques. L'objectif 7 impose l'identification et la documentation des interconnexions nécessaires, leur filtrage par défaut et, pour les entités essentielles, un niveau plus poussé de cloisonnement en zones ou sous-systèmes cohérents. L'objectif 8 renforce la sécurisation des accès distants, avec chiffrement, mécanismes d'authentification conformes et, pour les entités essentielles, authentification multifacteur et exigences plus fortes sur la protection des postes et équipements mobiles utilisés à distance.

    Un socle technique très concret

    Le référentiel est particulièrement opérationnel sur le versant technique :

    Patch management (Obj. 5)

    Veille de vulnérabilités, application rapide des correctifs, maintien des logiciels dans des versions supportées et mesures compensatoires lorsque le correctif n'est pas possible.

    Protection malware (Obj. 9)

    Montée en exigence pour les entités essentielles, maîtrise des terminaux autorisés. Le BYOD est admis en niveau 1 mais exclu pour les entités essentielles.

    Gestion des identités (Obj. 10)

    Comptes individuels, traçabilité et attribution des droits selon le besoin opérationnel. Preuves tangibles : politiques, revues, journaux.

    Administration (Obj. 11)

    Pour les entités essentielles, administration depuis des ressources dédiées avec supervision de sécurité renforcée.

    Incident, supervision, continuité : la résilience devient démontrable

    Le ReCyF accorde une place importante à la défense et à la résilience. Les objectifs 12, 13, 14 et 15 couvrent respectivement l'identification et la réaction aux incidents, la continuité et la reprise d'activité, la réaction aux crises d'origine cyber, puis les exercices, tests et entraînements.

    Le document attend des mécanismes d'analyse et de qualification des événements, des dispositifs de réaction pour limiter les conséquences sur les services, la conservation de relevés techniques comme éléments de preuve, et, pour les entités essentielles, une analyse des causes après incident.

    📋 Exigences de continuité

    • Sauvegardes et restaurations opérationnelles testées au moins une fois par an pour toutes les entités concernées
    • Les entités essentielles doivent en plus documenter la DMIA et le PRD
    • Définition et mise en œuvre d'un PCA et d'un PRA cohérents avec ces paramètres

    Pour les seules entités essentielles, le bloc 16 à 20 confirme un niveau d'exigence supplémentaire : approche par les risques, audit de sécurité, sécurisation de la configuration, administration depuis des ressources dédiées et supervision de sécurité.

    Sunburst ReCyF – Les 20 objectifs de sécurité de l'ANSSI

    Ce que les entreprises doivent faire dès maintenant

    La lecture du ReCyF conduit à une conclusion simple : les organisations concernées par NIS2 ont intérêt à lancer sans attendre un diagnostic structuré de maturité et d'écart. Le bon point de départ n'est pas la rédaction d'une politique supplémentaire, mais la clarification de cinq questions :

    01

    Statut NIS2

    Quel est le statut de l'entité au regard de NIS2 ?

    02

    Périmètre réel

    Quel est le périmètre réel de systèmes et de services concernés ?

    03

    Niveau de conformité

    Quel est le niveau de conformité actuel face aux objectifs du ReCyF ?

    04

    Capacité de preuve

    Quelles preuves l'entité peut-elle produire aujourd'hui ?

    05

    Plan d'action priorisé

    Quel plan d'action priorisé doit être engagé ?

    🎯 Chantiers prioritaires identifiés

    Cartographie du SI et de l'écosystème
    Gouvernance portée par la direction
    PSSI et politiques associées
    Revue des accès et des comptes
    Stratégie de patch management
    Préparation à l'incident
    Tests de sauvegarde
    PCA / PRA
    Analyse de risques (entités essentielles)
    Audit et supervision (entités essentielles)

    L'enjeu pour WLF

    Pour un cabinet comme WLF, ce texte confirme que l'accompagnement à NIS2 doit articuler trois dimensions : interprétation réglementaire, mise en conformité opérationnelle et production des éléments de preuve. Le ReCyF n'est pas seulement un document de doctrine : c'est une matrice de transformation que les entreprises doivent traduire en gouvernance, en architecture, en processus et en contrôles.

    Chez WLF, notre conviction est que la conformité NIS2 ne se résume ni à une checklist ni à un audit ponctuel. Elle doit être pilotée comme un programme de résilience. Le ReCyF de l'ANSSI donne désormais un cadre beaucoup plus lisible pour structurer ce programme. Reste à le décliner dans la réalité de chaque organisation, avec pragmatisme, priorisation et capacité d'exécution.

    Besoin d'accompagnement ?

    Les consultants de WLF maîtrisent les référentiels de l'ANSSI et les exigences de NIS2. Nous vous aidons à transformer le ReCyF en programme opérationnel de mise en conformité. Contactez-nous pour un premier échange.