ReCyF de l'ANSSI : la feuille de route opérationnelle pour se mettre en conformité NIS2

Thibaud Payan
Associé WLF

Le document diffusé par l'ANSSI le 17 mars 2026, intitulé ReCyF – Référentiel Cyber France, donne enfin une traduction beaucoup plus concrète des exigences de NIS2 dans le cadre de la transposition nationale. Il s'agit toutefois d'une version de travail (v2.5 du 17/03/2026), ce qui signifie que certaines formulations pourront encore évoluer. Son intérêt est néanmoins immédiat : il permet aux organisations de passer d'une lecture réglementaire de NIS2 à une lecture beaucoup plus opérationnelle des attentes de l'autorité.
Structure du ReCyF : 20 objectifs de sécurité
Le ReCyF est structuré autour de 20 objectifs de sécurité. Les objectifs 1 à 15 s'appliquent, par défaut, aux entités importantes et aux entités essentielles, tandis que les objectifs 16 à 20 ne concernent que les entités essentielles, au nom du principe de proportionnalité.
Objectifs 1 → 15
Entités importantes & essentielles
Objectifs 16 → 20
Entités essentielles uniquement
Le référentiel distingue aussi très clairement les objectifs de sécurité, qui sont obligatoires, et les moyens acceptables de conformité, qui ne sont pas nécessairement obligatoires mais permettent de démontrer plus facilement la conformité lors d'un contrôle.
Ce que change vraiment le ReCyF
La première évolution majeure tient au fait que l'ANSSI ne se limite pas à rappeler des grands principes. Le ReCyF décrit un cadre de mise en œuvre beaucoup plus précis :
Autrement dit, le message de l'ANSSI est clair : la conformité NIS2 ne pourra pas être traitée comme un simple exercice documentaire. Elle suppose une transformation structurée de la gouvernance, des pratiques de sécurité et de la capacité de preuve.
Le référentiel précise d'ailleurs que les entités peuvent se prévaloir, sur certains périmètres, de prestations qualifiées ANSSI ou de certifications reconnues, et cite explicitement la possibilité de s'appuyer sur un SMSI certifié ISO/IEC 27001:2022 pour démontrer le respect de l'objectif de gouvernance sur les systèmes couverts.
Une lecture très exigeante du périmètre NIS2
Le ReCyF adopte une vision large du système d'information concerné. L'objectif 1 impose aux entités de recenser l'ensemble de leurs activités, services et systèmes d'information contributeurs. Il ne suffit donc pas d'identifier quelques actifs "critiques" de façon intuitive.
Point d'attention
L'exclusion d'un système du périmètre des objectifs de sécurité doit être explicitement justifiée, sur la base d'une analyse de risques démontrant qu'il n'expose pas l'entité à des risques de dégradation de service, de divulgation d'informations sensibles ou d'altération d'informations nécessaires aux activités. La simple présence de mesures de sécurité sur un système ne suffit pas à l'exclure.
Cette logique est renforcée par l'objectif 5, qui impose une cartographie suffisamment détaillée pour permettre à l'entité d'identifier rapidement les ressources vulnérables lors de la publication d'une alerte, mais aussi de réagir efficacement en cas d'incident. Le ReCyF rattache donc très directement la conformité à la maîtrise réelle du patrimoine numérique.
La gouvernance et la direction générale au premier plan
L'un des messages les plus forts du document concerne la gouvernance. L'objectif 2 place la sécurité numérique sous la responsabilité du dirigeant exécutif. Il ne s'agit plus seulement d'un sujet technique porté par la DSI ou le RSSI : la conformité NIS2 devient un enjeu de direction, avec organisation formalisée, rôles et responsabilités, PSSI approuvée, analyse de conformité et plan de remédiation suivi dans le temps.
Pour les entités essentielles, le texte va plus loin encore en prévoyant la désignation d'un point de contact privilégié avec l'ANSSI.
💡 Correspondance directive
Dans les tableaux de correspondance du référentiel, l'ANSSI relie explicitement l'article 20 de NIS2 relatif à l'approbation, à la supervision et à la responsabilité des organes de direction à l'objectif de sécurité 2.
La conformité ne s'arrête pas aux murs de l'entreprise
Le ReCyF rappelle aussi avec force que la sécurité ne se limite pas au SI interne. L'objectif 3 impose une cartographie de l'écosystème, comprenant prestataires, fournisseurs informatiques et interconnexions, ainsi que des dispositifs de vérification, notamment contractuels, de la conformité des prestations aux obligations applicables à l'entité.
Cette approche se prolonge dans les objectifs techniques. L'objectif 7 impose l'identification et la documentation des interconnexions nécessaires, leur filtrage par défaut et, pour les entités essentielles, un niveau plus poussé de cloisonnement en zones ou sous-systèmes cohérents. L'objectif 8 renforce la sécurisation des accès distants, avec chiffrement, mécanismes d'authentification conformes et, pour les entités essentielles, authentification multifacteur et exigences plus fortes sur la protection des postes et équipements mobiles utilisés à distance.
Un socle technique très concret
Le référentiel est particulièrement opérationnel sur le versant technique :
Patch management (Obj. 5)
Veille de vulnérabilités, application rapide des correctifs, maintien des logiciels dans des versions supportées et mesures compensatoires lorsque le correctif n'est pas possible.
Protection malware (Obj. 9)
Montée en exigence pour les entités essentielles, maîtrise des terminaux autorisés. Le BYOD est admis en niveau 1 mais exclu pour les entités essentielles.
Gestion des identités (Obj. 10)
Comptes individuels, traçabilité et attribution des droits selon le besoin opérationnel. Preuves tangibles : politiques, revues, journaux.
Administration (Obj. 11)
Pour les entités essentielles, administration depuis des ressources dédiées avec supervision de sécurité renforcée.
Incident, supervision, continuité : la résilience devient démontrable
Le ReCyF accorde une place importante à la défense et à la résilience. Les objectifs 12, 13, 14 et 15 couvrent respectivement l'identification et la réaction aux incidents, la continuité et la reprise d'activité, la réaction aux crises d'origine cyber, puis les exercices, tests et entraînements.
Le document attend des mécanismes d'analyse et de qualification des événements, des dispositifs de réaction pour limiter les conséquences sur les services, la conservation de relevés techniques comme éléments de preuve, et, pour les entités essentielles, une analyse des causes après incident.
📋 Exigences de continuité
- Sauvegardes et restaurations opérationnelles testées au moins une fois par an pour toutes les entités concernées
- Les entités essentielles doivent en plus documenter la DMIA et le PRD
- Définition et mise en œuvre d'un PCA et d'un PRA cohérents avec ces paramètres
Pour les seules entités essentielles, le bloc 16 à 20 confirme un niveau d'exigence supplémentaire : approche par les risques, audit de sécurité, sécurisation de la configuration, administration depuis des ressources dédiées et supervision de sécurité.

Ce que les entreprises doivent faire dès maintenant
La lecture du ReCyF conduit à une conclusion simple : les organisations concernées par NIS2 ont intérêt à lancer sans attendre un diagnostic structuré de maturité et d'écart. Le bon point de départ n'est pas la rédaction d'une politique supplémentaire, mais la clarification de cinq questions :
Statut NIS2
Quel est le statut de l'entité au regard de NIS2 ?
Périmètre réel
Quel est le périmètre réel de systèmes et de services concernés ?
Niveau de conformité
Quel est le niveau de conformité actuel face aux objectifs du ReCyF ?
Capacité de preuve
Quelles preuves l'entité peut-elle produire aujourd'hui ?
Plan d'action priorisé
Quel plan d'action priorisé doit être engagé ?
🎯 Chantiers prioritaires identifiés
L'enjeu pour WLF
Pour un cabinet comme WLF, ce texte confirme que l'accompagnement à NIS2 doit articuler trois dimensions : interprétation réglementaire, mise en conformité opérationnelle et production des éléments de preuve. Le ReCyF n'est pas seulement un document de doctrine : c'est une matrice de transformation que les entreprises doivent traduire en gouvernance, en architecture, en processus et en contrôles.
Chez WLF, notre conviction est que la conformité NIS2 ne se résume ni à une checklist ni à un audit ponctuel. Elle doit être pilotée comme un programme de résilience. Le ReCyF de l'ANSSI donne désormais un cadre beaucoup plus lisible pour structurer ce programme. Reste à le décliner dans la réalité de chaque organisation, avec pragmatisme, priorisation et capacité d'exécution.
Besoin d'accompagnement ?
Les consultants de WLF maîtrisent les référentiels de l'ANSSI et les exigences de NIS2. Nous vous aidons à transformer le ReCyF en programme opérationnel de mise en conformité. Contactez-nous pour un premier échange.

