Le 17 mars 2026, l’ANSSI a dévoilé le Référentiel Cyber France, ou ReCyF, pour aider les futures entités concernées par NIS2 à atteindre les objectifs de sécurité attendus en France.
Pour les PME et ETI, cette publication apporte enfin un point d’appui beaucoup plus concret. Jusqu’ici, beaucoup d’organisations savaient qu’elles devaient anticiper NIS2, mais avaient encore du mal à traduire la directive en mesures réellement applicables.
Le ReCyF répond précisément à cette difficulté. Il présente des objectifs de sécurité et, pour chacun d’eux, des moyens acceptables de conformité proposés par l’ANSSI.
Mais télécharger le référentiel ne suffit pas.
Pour en tirer une réelle valeur, l’entreprise doit le transformer en démarche opérationnelle :
périmètre → objectifs → mesures → évaluation → preuves → écarts → plan d’action → réévaluation
C’est cette chaîne qui permet de passer d’un référentiel réglementaire à un véritable pilotage de la conformité NIS2.
Le ReCyF est le référentiel de cybersécurité élaboré par l’ANSSI dans le cadre de la transposition française de la directive NIS2.
Dans sa version 2.5 du 17 mars 2026, il comprend :
Le document compte vingt objectifs de sécurité.
Les quinze premiers concernent, par défaut, les entités importantes et les entités essentielles. Les objectifs 16 à 20, plus avancés, s’appliquent uniquement aux entités essentielles dans la version de travail publiée.
Les domaines couverts comprennent notamment :
Le ReCyF ne se limite donc pas à des contrôles techniques. Il couvre aussi la gouvernance, les responsabilités, la conformité, les fournisseurs, les exercices et le pilotage dans le temps.
Non.
La version publiée en mars 2026 est explicitement présentée comme un document de travail.
L’ANSSI précise qu’une version définitive ne pourra être publiée qu’après l’achèvement des travaux législatifs et réglementaires liés à la transposition de NIS2 et après la consultation prévue.
Cette précision est importante.
Une entreprise ne doit pas présenter la version actuelle comme un texte réglementaire définitivement stabilisé. Elle peut néanmoins l’utiliser dès maintenant comme base de préparation, car il décrit l’orientation retenue par l’ANSSI et les mesures recommandées pour atteindre les futurs objectifs de sécurité.
La bonne approche consiste donc à :
Cette distinction est centrale pour comprendre le ReCyF.
L’objectif décrit le résultat de sécurité que l’entité doit atteindre.
Par exemple :
Dans le cadre réglementaire envisagé, l’atteinte de ces objectifs est obligatoire pour les entités auxquelles ils s’appliquent.
Le moyen acceptable de conformité décrit une manière proposée par l’ANSSI pour atteindre l’objectif.
Ces moyens ne sont pas toujours obligatoires en tant que tels. Une organisation peut retenir une mesure alternative, à condition de pouvoir justifier qu’elle permet effectivement d’atteindre l’objectif de sécurité.
Cette souplesse évite de réduire NIS2 à une checklist identique pour toutes les organisations.
Elle impose toutefois une vraie discipline : lorsqu’une entreprise choisit une autre méthode, elle doit documenter son choix, sa justification et les preuves permettant de démontrer son efficacité.
Pour une PME ou une ETI, la difficulté de NIS2 n’est pas uniquement de comprendre les grands thèmes de la directive.
Le vrai problème consiste à savoir :
Le ReCyF apporte une structure française beaucoup plus concrète que la lecture isolée des articles de la directive.
Il aide notamment à éviter trois erreurs fréquentes.
Une politique de sécurité est nécessaire, mais elle ne suffit pas à démontrer que les mesures sont appliquées.
Une certification ISO 27001 constitue un socle utile, mais elle ne crée pas automatiquement une conformité à NIS2. Il faut comparer précisément le périmètre et les exigences couvertes.
Le principe de proportionnalité permet d’adapter l’effort attendu à la catégorie de l’entité, à sa maturité et à ses ressources.
Avant d’évaluer les mesures, l’entreprise doit déterminer si elle est potentiellement concernée et sous quelle catégorie :
Cette qualification influence les objectifs à examiner.
Le ReCyF distingue explicitement les mesures attendues des entités importantes et celles des entités essentielles. Une entreprise doit donc éviter d’appliquer aveuglément toutes les exigences sans avoir clarifié son statut.
L’analyse doit prendre en compte :
Le premier objectif du ReCyF concerne justement le recensement des activités, des services et des systèmes d’information qui les supportent.
C’est une étape essentielle.
Sans périmètre clair, il devient impossible de savoir :
Pour chaque activité ou service, l’entreprise peut recenser :
Le ReCyF prévoit également que les exclusions soient justifiées. Une organisation ne doit donc pas écarter un système uniquement parce qu’il paraît secondaire ou déjà bien protégé.
Le référentiel doit ensuite être transformé en objets de pilotage.
Pour chaque exigence, il faut au minimum prévoir les champs suivants :
| Écart | Action | Responsable | Échéance | Preuve attendue |
| Revue des accès non formalisée | Organiser une revue trimestrielle des applications critiques | Responsable IT | 30-sept | Export, validation métiers et tickets de correction |
| Restaurations non testées | Réaliser un test de restauration sur l’ERP | Responsable infrastructure | 31-oct | Rapport de test et anomalies corrigées |
| Fournisseurs critiques non recensés | Créer un registre des prestataires IT critiques | Achats et DSI | 30-nov | Registre validé et contrats associés |
Cette structuration permet de sortir d’une lecture purement documentaire.
Une mesure ne doit pas être évaluée uniquement avec un statut « conforme » ou « non conforme ».
Pour une PME ou une ETI, une échelle de maturité est souvent plus utile :
| Niveau | Interprétation |
| 0 | Mesure inexistante |
| 1 | Pratique ponctuelle ou informelle |
| 2 | Mesure partiellement définie |
| 3 | Mesure formalisée et appliquée |
| 4 | Mesure mesurée et améliorée |
Cette note ne remplace pas l’analyse de conformité. Elle permet de représenter le niveau réel de maîtrise.
Pour chaque mesure, il faut également distinguer :
Une procédure peut exister sans être appliquée. Une solution peut être déployée sur seulement une partie du périmètre. Une preuve peut être trop ancienne.
Le ReCyF doit être utilisé comme une grille de démonstration, pas seulement comme une liste de recommandations.
Selon la mesure, les preuves peuvent inclure :
Chaque preuve doit idéalement comporter :
Une politique générale ne doit pas être utilisée comme preuve unique lorsqu’un contrôle opérationnel est attendu.
Le ReCyF consacre une place explicite à la gestion de la conformité.
Il prévoit que l’entité analyse sa conformité, identifie les écarts, puis établisse et suive dans le temps un plan d’action adapté à sa structure et à son environnement.
Chaque action doit comporter au minimum :
Une entreprise peut également ajouter :
Exemple :
| Élément | Contenu |
| Référence | Numéro de l’objectif ou de la mesure |
| Objectif | Résultat de sécurité attendu |
| Applicabilité | EI, EE ou non applicable |
| Périmètre | Systèmes ou entités concernés |
| Responsable | Pilote de la mesure |
| État actuel | Mis en œuvre, partiel, absent |
| Preuve | Document ou élément démontrant la mesure |
| Écart | Différence avec l’attendu |
| Action | Remédiation à engager |
| Échéance | Date cible |
| Statut | À lancer, en cours, terminé |
| Commentaire | Limites, choix ou mesure alternative |
Une évaluation ReCyF ne doit pas rester une photographie réalisée une seule fois.
Les mesures doivent être réexaminées :
L’historique doit permettre de voir :
Le deuxième objectif du ReCyF porte sur la mise en œuvre d’un cadre de gouvernance de la sécurité numérique placé sous la responsabilité du dirigeant exécutif.
Pris isolément, cet objectif peut paraître général.
Pour le rendre opérationnel, l’entreprise peut le décliner ainsi :
Mettre en place une gouvernance claire permettant de piloter la sécurité numérique et la conformité NIS2.
La mesure n’est alors plus une obligation abstraite. Elle devient un ensemble d’actions évaluables.
Une PME ou une ETI ne pourra pas nécessairement traiter tous les écarts en même temps.
La priorité peut être déterminée selon :
Une trajectoire réaliste peut être organisée en trois vagues.
L’ANSSI a également publié un outil permettant de comparer le ReCyF avec d’autres cadres.
La première version permet notamment de rapprocher ses exigences :
Cet outil est utile pour une entreprise déjà engagée dans ISO 27001 ou dans un autre programme de conformité.
Il permet d’identifier :
Il faut toutefois éviter une conclusion trop rapide.
Une correspondance entre deux exigences ne signifie pas automatiquement que la preuve existante couvre totalement l’attendu ReCyF. Il faut vérifier le contenu, le périmètre et le niveau d’application réel.
Non.
ISO 27001 et le ReCyF peuvent être complémentaires.
ISO 27001 fournit notamment :
Le ReCyF décrit les objectifs et mesures retenus par l’ANSSI pour atteindre le niveau de sécurité attendu dans le contexte français de NIS2.
Une entreprise certifiée ISO 27001 peut donc partir de son SMSI, mais elle doit réaliser un rapprochement avec le ReCyF et identifier les exigences qui ne sont pas totalement couvertes.
La certification ne doit pas être considérée comme une présomption automatique de conformité à NIS2.
Le document pourra évoluer, mais les domaines couverts sont suffisamment structurants pour commencer à travailler.
Une mesure évaluée sans système d’information ou activité clairement identifié produit un résultat peu exploitable.
La maturité, les preuves et les limites doivent être prises en compte.
Une déclaration doit être soutenue par des éléments vérifiables.
Les écarts doivent être hiérarchisés selon leur risque et leur faisabilité.
Les attentes ne sont pas identiques pour les deux catégories.
La correspondance facilite l’analyse, mais ne remplace pas la vérification concrète.
Un tableau de bord ReCyF peut rester simple.
Les indicateurs les plus utiles sont :
Pour la direction, l’objectif n’est pas de lire chaque mesure. Elle doit comprendre :
Le ReCyF fournit la structure de référence. Il faut ensuite le transformer en système de pilotage.
CompliKey permet de :
L’objectif n’est pas de remplacer les ressources de l’ANSSI ni de garantir automatiquement la conformité NIS2.
Il est d’aider les PME, ETI et consultants à faire vivre le référentiel dans le temps, sans le laisser sous la forme d’un PDF ou d’un tableau difficile à maintenir.
Le Référentiel Cyber France est le nouveau point d’appui proposé par l’ANSSI pour atteindre les objectifs de sécurité associés à NIS2 en France.
Pour l’utiliser efficacement, une organisation doit :
Le ReCyF répond à la question réglementaire « quoi atteindre ? » et propose des moyens pour répondre à la question « comment y parvenir ? ».
La valeur apparaît lorsque ces exigences deviennent des responsabilités, des preuves, des échéances et des décisions suivies.
Le ReCyF est le Référentiel Cyber France publié par l’ANSSI pour présenter les objectifs de sécurité et les moyens acceptables de conformité associés à la transposition française de NIS2.
La version publiée en mars 2026 est encore un document de travail. Les futurs objectifs de sécurité auront une portée obligatoire selon les textes définitifs. Les moyens acceptables de conformité proposés par l’ANSSI ne sont pas tous obligatoires en eux-mêmes, mais permettent de démontrer l’atteinte des objectifs.
La version 2.5 comprend vingt objectifs de sécurité. Les quinze premiers concernent les entités importantes et essentielles, tandis que les objectifs 16 à 20 sont prévus pour les entités essentielles.
Non. Les deux cadres sont complémentaires. ISO 27001 apporte une méthode de management, tandis que le ReCyF détaille les objectifs et mesures attendus dans le cadre français de NIS2.
Non. Elle constitue un socle utile, mais une analyse de correspondance avec le ReCyF reste nécessaire.
Oui. Elle doit cependant conserver la version utilisée et prévoir une mise à jour de son analyse lorsque le référentiel et les textes de transposition évolueront.
Le ReCyF constitue une étape majeure dans la préparation française à NIS2.
Il offre aux organisations une structure plus concrète pour comprendre les objectifs de sécurité, comparer leur dispositif existant et identifier les mesures à mettre en œuvre.
Mais le référentiel ne produira aucune amélioration s’il reste simplement téléchargé, lu puis archivé.
Pour une PME ou une ETI, la bonne démarche consiste à transformer chaque objectif en :
périmètre → responsable → mesure → preuve → écart → action → échéance → réévaluation
C’est cette transformation qui permet de passer d’une conformité NIS2 théorique à une démarche réellement pilotée.