Logo Complikey
Accueil
Produits
Normes
Consultants
Tarifs
Blog
Contact
Planifier une démo

ReCyF ANSSI : comment utiliser le Référentiel Cyber France pour préparer NIS2 ?

Par AlexV
Le 02/07/2026

Référentiel Cyber France : comment utiliser le ReCyF pour préparer sa conformité NIS2 ?


Le 17 mars 2026, l’ANSSI a dévoilé le Référentiel Cyber France, ou ReCyF, pour aider les futures entités concernées par NIS2 à atteindre les objectifs de sécurité attendus en France.

Pour les PME et ETI, cette publication apporte enfin un point d’appui beaucoup plus concret. Jusqu’ici, beaucoup d’organisations savaient qu’elles devaient anticiper NIS2, mais avaient encore du mal à traduire la directive en mesures réellement applicables.

Le ReCyF répond précisément à cette difficulté. Il présente des objectifs de sécurité et, pour chacun d’eux, des moyens acceptables de conformité proposés par l’ANSSI.

Mais télécharger le référentiel ne suffit pas.

Pour en tirer une réelle valeur, l’entreprise doit le transformer en démarche opérationnelle :

périmètre → objectifs → mesures → évaluation → preuves → écarts → plan d’action → réévaluation

C’est cette chaîne qui permet de passer d’un référentiel réglementaire à un véritable pilotage de la conformité NIS2.


Qu’est-ce que le Référentiel Cyber France ?

Le ReCyF est le référentiel de cybersécurité élaboré par l’ANSSI dans le cadre de la transposition française de la directive NIS2.

Dans sa version 2.5 du 17 mars 2026, il comprend :

  1. des objectifs de sécurité ;
  2. des moyens acceptables de conformité ;
  3. une distinction entre les attentes applicables aux entités importantes et essentielles ;
  4. des justifications liées aux risques ;
  5. des correspondances avec les dispositions de NIS2.

Le document compte vingt objectifs de sécurité.

Les quinze premiers concernent, par défaut, les entités importantes et les entités essentielles. Les objectifs 16 à 20, plus avancés, s’appliquent uniquement aux entités essentielles dans la version de travail publiée.

Les domaines couverts comprennent notamment :

  1. le recensement des systèmes d’information ;
  2. la gouvernance de la sécurité numérique ;
  3. la maîtrise des fournisseurs ;
  4. les ressources humaines ;
  5. la maîtrise des systèmes d’information ;
  6. les accès physiques et logiques ;
  7. l’architecture ;
  8. les accès distants ;
  9. les codes malveillants ;
  10. les identités et habilitations ;
  11. l’administration ;
  12. les incidents ;
  13. la continuité ;
  14. la gestion de crise ;
  15. les exercices et tests ;
  16. l’analyse de risques ;
  17. les audits ;
  18. les configurations ;
  19. l’administration sécurisée ;
  20. la supervision.

Le ReCyF ne se limite donc pas à des contrôles techniques. Il couvre aussi la gouvernance, les responsabilités, la conformité, les fournisseurs, les exercices et le pilotage dans le temps.


Le ReCyF est-il déjà définitif ?

Non.

La version publiée en mars 2026 est explicitement présentée comme un document de travail.

L’ANSSI précise qu’une version définitive ne pourra être publiée qu’après l’achèvement des travaux législatifs et réglementaires liés à la transposition de NIS2 et après la consultation prévue.

Cette précision est importante.

Une entreprise ne doit pas présenter la version actuelle comme un texte réglementaire définitivement stabilisé. Elle peut néanmoins l’utiliser dès maintenant comme base de préparation, car il décrit l’orientation retenue par l’ANSSI et les mesures recommandées pour atteindre les futurs objectifs de sécurité.

La bonne approche consiste donc à :

  1. commencer l’évaluation sans attendre ;
  2. conserver la version du référentiel utilisée ;
  3. documenter les choix réalisés ;
  4. suivre les évolutions publiées par l’ANSSI ;
  5. mettre à jour l’analyse lorsque le cadre définitif paraîtra.


Quelle différence entre un objectif et un moyen acceptable de conformité ?

Cette distinction est centrale pour comprendre le ReCyF.

L’objectif de sécurité répond à la question « quoi ? »

L’objectif décrit le résultat de sécurité que l’entité doit atteindre.

Par exemple :

  1. recenser ses systèmes d’information ;
  2. mettre en œuvre une gouvernance ;
  3. maîtriser les accès ;
  4. organiser la réponse aux incidents ;
  5. assurer la continuité d’activité.

Dans le cadre réglementaire envisagé, l’atteinte de ces objectifs est obligatoire pour les entités auxquelles ils s’appliquent.

Le moyen acceptable de conformité répond à la question « comment ? »

Le moyen acceptable de conformité décrit une manière proposée par l’ANSSI pour atteindre l’objectif.

Ces moyens ne sont pas toujours obligatoires en tant que tels. Une organisation peut retenir une mesure alternative, à condition de pouvoir justifier qu’elle permet effectivement d’atteindre l’objectif de sécurité.

Cette souplesse évite de réduire NIS2 à une checklist identique pour toutes les organisations.

Elle impose toutefois une vraie discipline : lorsqu’une entreprise choisit une autre méthode, elle doit documenter son choix, sa justification et les preuves permettant de démontrer son efficacité.


Pourquoi le ReCyF est important pour les PME et ETI

Pour une PME ou une ETI, la difficulté de NIS2 n’est pas uniquement de comprendre les grands thèmes de la directive.

Le vrai problème consiste à savoir :

  1. quelles mesures examiner ;
  2. quel périmètre couvrir ;
  3. ce qui est attendu d’une entité importante ou essentielle ;
  4. comment évaluer l’existant ;
  5. quelles preuves conserver ;
  6. comment transformer les écarts en actions ;
  7. comment montrer une progression.

Le ReCyF apporte une structure française beaucoup plus concrète que la lecture isolée des articles de la directive.

Il aide notamment à éviter trois erreurs fréquentes.

Se limiter à une politique générale

Une politique de sécurité est nécessaire, mais elle ne suffit pas à démontrer que les mesures sont appliquées.

Confondre certification ISO 27001 et conformité NIS2

Une certification ISO 27001 constitue un socle utile, mais elle ne crée pas automatiquement une conformité à NIS2. Il faut comparer précisément le périmètre et les exigences couvertes.

Traiter toutes les mesures avec la même priorité

Le principe de proportionnalité permet d’adapter l’effort attendu à la catégorie de l’entité, à sa maturité et à ses ressources.


Comment utiliser le ReCyF en 7 étapes

1. Confirmer votre statut NIS2

Avant d’évaluer les mesures, l’entreprise doit déterminer si elle est potentiellement concernée et sous quelle catégorie :

  1. entité importante ;
  2. entité essentielle ;
  3. organisation hors du champ direct, mais soumise à des exigences clients ou fournisseurs.

Cette qualification influence les objectifs à examiner.

Le ReCyF distingue explicitement les mesures attendues des entités importantes et celles des entités essentielles. Une entreprise doit donc éviter d’appliquer aveuglément toutes les exigences sans avoir clarifié son statut.

L’analyse doit prendre en compte :

  1. le secteur d’activité ;
  2. les services fournis ;
  3. la taille de l’entité ;
  4. la structure du groupe ;
  5. les éventuels cas de désignation indépendants de la taille ;
  6. la future transposition française.

2. Définir le périmètre des systèmes d’information

Le premier objectif du ReCyF concerne justement le recensement des activités, des services et des systèmes d’information qui les supportent.

C’est une étape essentielle.

Sans périmètre clair, il devient impossible de savoir :

  1. sur quels systèmes évaluer les mesures ;
  2. quels responsables solliciter ;
  3. quelles preuves collecter ;
  4. quels écarts sont réellement critiques.

Pour chaque activité ou service, l’entreprise peut recenser :

  1. le responsable métier ;
  2. les applications utilisées ;
  3. les infrastructures ;
  4. les données importantes ;
  5. les prestataires ;
  6. les dépendances ;
  7. les conséquences d’une interruption ;
  8. le périmètre retenu pour NIS2.

Le ReCyF prévoit également que les exclusions soient justifiées. Une organisation ne doit donc pas écarter un système uniquement parce qu’il paraît secondaire ou déjà bien protégé.

3. Importer les objectifs et mesures dans un support de suivi

Le référentiel doit ensuite être transformé en objets de pilotage.

Pour chaque exigence, il faut au minimum prévoir les champs suivants :

ÉcartActionResponsableÉchéancePreuve attendue
Revue des accès non formaliséeOrganiser une revue trimestrielle des applications critiquesResponsable IT30-septExport, validation métiers et tickets de correction
Restaurations non testéesRéaliser un test de restauration sur l’ERPResponsable infrastructure31-octRapport de test et anomalies corrigées
Fournisseurs critiques non recensésCréer un registre des prestataires IT critiquesAchats et DSI30-novRegistre validé et contrats associés

Cette structuration permet de sortir d’une lecture purement documentaire.

4. Évaluer chaque mesure avec une méthode homogène

Une mesure ne doit pas être évaluée uniquement avec un statut « conforme » ou « non conforme ».

Pour une PME ou une ETI, une échelle de maturité est souvent plus utile :

NiveauInterprétation
0Mesure inexistante
1Pratique ponctuelle ou informelle
2Mesure partiellement définie
3Mesure formalisée et appliquée
4Mesure mesurée et améliorée

Cette note ne remplace pas l’analyse de conformité. Elle permet de représenter le niveau réel de maîtrise.

Pour chaque mesure, il faut également distinguer :

  1. ce qui est déclaré ;
  2. ce qui a été observé ;
  3. ce qui est formalisé ;
  4. ce qui est prouvé ;
  5. ce qui est réellement maintenu dans le temps.

Une procédure peut exister sans être appliquée. Une solution peut être déployée sur seulement une partie du périmètre. Une preuve peut être trop ancienne.

5. Rattacher des preuves concrètes aux mesures

Le ReCyF doit être utilisé comme une grille de démonstration, pas seulement comme une liste de recommandations.

Selon la mesure, les preuves peuvent inclure :

  1. cartographie du système d’information ;
  2. inventaire des actifs ;
  3. politique de sécurité ;
  4. matrice des rôles et responsabilités ;
  5. comptes rendus de comité ;
  6. rapports de revue des droits ;
  7. configurations MFA ;
  8. rapports de sauvegarde ;
  9. tests de restauration ;
  10. procédures d’incident ;
  11. contrats fournisseurs ;
  12. rapports de vulnérabilités ;
  13. tickets de correction ;
  14. journaux et rapports de supervision ;
  15. exercices de crise ;
  16. rapports d’audit.

Chaque preuve doit idéalement comporter :

  1. une date ;
  2. un périmètre ;
  3. un propriétaire ;
  4. une mesure associée ;
  5. une période de validité ;
  6. un commentaire expliquant ce qu’elle démontre.

Une politique générale ne doit pas être utilisée comme preuve unique lorsqu’un contrôle opérationnel est attendu.

6. Transformer les écarts en plan d’action

Le ReCyF consacre une place explicite à la gestion de la conformité.

Il prévoit que l’entité analyse sa conformité, identifie les écarts, puis établisse et suive dans le temps un plan d’action adapté à sa structure et à son environnement.

Chaque action doit comporter au minimum :

  1. un responsable ;
  2. une échéance raisonnable ;
  3. une priorité ;
  4. un périmètre ;
  5. une preuve de clôture ;
  6. un statut.

Une entreprise peut également ajouter :

  1. le coût estimé ;
  2. la charge nécessaire ;
  3. les dépendances ;
  4. le risque traité ;
  5. le niveau de maturité cible.

Exemple :

ÉlémentContenu
RéférenceNuméro de l’objectif ou de la mesure
ObjectifRésultat de sécurité attendu
ApplicabilitéEI, EE ou non applicable
PérimètreSystèmes ou entités concernés
ResponsablePilote de la mesure
État actuelMis en œuvre, partiel, absent
PreuveDocument ou élément démontrant la mesure
ÉcartDifférence avec l’attendu
ActionRemédiation à engager
ÉchéanceDate cible
StatutÀ lancer, en cours, terminé
CommentaireLimites, choix ou mesure alternative

7. Réévaluer régulièrement

Une évaluation ReCyF ne doit pas rester une photographie réalisée une seule fois.

Les mesures doivent être réexaminées :

  1. lors d’une revue trimestrielle ;
  2. après une évolution importante du SI ;
  3. après un incident ;
  4. après l’arrivée d’un nouveau fournisseur critique ;
  5. après une réorganisation ;
  6. lors d’une nouvelle version du référentiel ;
  7. avant un contrôle ou un audit.

L’historique doit permettre de voir :

  1. le niveau initial ;
  2. les actions engagées ;
  3. les preuves ajoutées ;
  4. les écarts clôturés ;
  5. les mesures qui stagnent ;
  6. les nouvelles exigences apparues.


Exemple : rendre opérationnel l’objectif de gouvernance

Le deuxième objectif du ReCyF porte sur la mise en œuvre d’un cadre de gouvernance de la sécurité numérique placé sous la responsabilité du dirigeant exécutif.

Pris isolément, cet objectif peut paraître général.

Pour le rendre opérationnel, l’entreprise peut le décliner ainsi :

Objectif

Mettre en place une gouvernance claire permettant de piloter la sécurité numérique et la conformité NIS2.

Actions

  1. désigner un responsable sécurité ;
  2. définir les rôles et responsabilités ;
  3. établir une matrice RACI ;
  4. faire approuver une politique de sécurité ;
  5. organiser une revue régulière ;
  6. analyser la conformité au ReCyF ;
  7. construire un plan d’action ;
  8. présenter les indicateurs à la direction.

Preuves

  1. lettre de mission ;
  2. organigramme ;
  3. matrice RACI ;
  4. politique de sécurité approuvée ;
  5. comptes rendus de comités ;
  6. tableau de conformité ;
  7. plan de remédiation ;
  8. historique des arbitrages.

Indicateurs

  1. pourcentage de mesures évaluées ;
  2. nombre d’écarts critiques ;
  3. actions en retard ;
  4. preuves manquantes ;
  5. maturité par domaine ;
  6. date de la dernière revue de direction.

La mesure n’est alors plus une obligation abstraite. Elle devient un ensemble d’actions évaluables.


Comment prioriser les mesures du ReCyF

Une PME ou une ETI ne pourra pas nécessairement traiter tous les écarts en même temps.

La priorité peut être déterminée selon :

  1. le risque pour les activités essentielles ;
  2. l’exposition à la menace ;
  3. l’écart avec l’attendu ;
  4. la catégorie EI ou EE ;
  5. la dépendance à un fournisseur ;
  6. l’effort nécessaire ;
  7. le délai de mise en œuvre ;
  8. l’existence d’une exigence client ou sectorielle.

Une trajectoire réaliste peut être organisée en trois vagues.

Vague 1 : visibilité et gouvernance

  1. recenser les activités et systèmes ;
  2. désigner les responsables ;
  3. analyser l’applicabilité ;
  4. évaluer les premières mesures ;
  5. ouvrir le plan d’action.

Vague 2 : réduction des risques majeurs

  1. sécuriser les accès ;
  2. maîtriser les comptes administrateurs ;
  3. protéger les sauvegardes ;
  4. traiter les vulnérabilités critiques ;
  5. préparer la réponse aux incidents ;
  6. recenser les fournisseurs sensibles.

Vague 3 : contrôle et amélioration

  1. réaliser des tests ;
  2. organiser des exercices ;
  3. suivre les indicateurs ;
  4. conduire les audits ;
  5. améliorer la supervision ;
  6. réévaluer régulièrement le dispositif.


Comment utiliser le comparateur de référentiels de l’ANSSI

L’ANSSI a également publié un outil permettant de comparer le ReCyF avec d’autres cadres.

La première version permet notamment de rapprocher ses exigences :

  1. des normes ISO 2700X ;
  2. de l’annexe du règlement d’exécution européen 2024/2690.

Cet outil est utile pour une entreprise déjà engagée dans ISO 27001 ou dans un autre programme de conformité.

Il permet d’identifier :

  1. les mesures déjà partiellement couvertes ;
  2. les exigences supplémentaires ;
  3. les différences de périmètre ;
  4. les preuves potentiellement réutilisables ;
  5. les écarts propres au ReCyF.

Il faut toutefois éviter une conclusion trop rapide.

Une correspondance entre deux exigences ne signifie pas automatiquement que la preuve existante couvre totalement l’attendu ReCyF. Il faut vérifier le contenu, le périmètre et le niveau d’application réel.


ReCyF et ISO 27001 : faut-il choisir ?

Non.

ISO 27001 et le ReCyF peuvent être complémentaires.

ISO 27001 fournit notamment :

  1. une méthode de management ;
  2. une approche fondée sur le risque ;
  3. des processus d’audit ;
  4. une logique d’amélioration continue ;
  5. une certification reconnue.

Le ReCyF décrit les objectifs et mesures retenus par l’ANSSI pour atteindre le niveau de sécurité attendu dans le contexte français de NIS2.

Une entreprise certifiée ISO 27001 peut donc partir de son SMSI, mais elle doit réaliser un rapprochement avec le ReCyF et identifier les exigences qui ne sont pas totalement couvertes.

La certification ne doit pas être considérée comme une présomption automatique de conformité à NIS2.


Les erreurs à éviter

Attendre la version définitive pour commencer

Le document pourra évoluer, mais les domaines couverts sont suffisamment structurants pour commencer à travailler.

Copier les mesures sans définir de périmètre

Une mesure évaluée sans système d’information ou activité clairement identifié produit un résultat peu exploitable.

Répondre uniquement par oui ou non

La maturité, les preuves et les limites doivent être prises en compte.

Marquer une mesure conforme sans preuve

Une déclaration doit être soutenue par des éléments vérifiables.

Ouvrir trop d’actions simultanément

Les écarts doivent être hiérarchisés selon leur risque et leur faisabilité.

Oublier la distinction entre EI et EE

Les attentes ne sont pas identiques pour les deux catégories.

Considérer une correspondance ISO comme une couverture automatique

La correspondance facilite l’analyse, mais ne remplace pas la vérification concrète.


Quels indicateurs suivre ?

Un tableau de bord ReCyF peut rester simple.

Les indicateurs les plus utiles sont :

  1. pourcentage de mesures applicables évaluées ;
  2. maturité globale et par objectif ;
  3. taux de mesures disposant d’une preuve récente ;
  4. nombre d’écarts critiques ;
  5. nombre d’actions en retard ;
  6. taux de remédiation ;
  7. progression depuis la dernière revue ;
  8. objectifs non encore évalués ;
  9. mesures alternatives restant à justifier.

Pour la direction, l’objectif n’est pas de lire chaque mesure. Elle doit comprendre :

  1. où en est l’organisation ;
  2. quels sont les principaux risques ;
  3. quelles actions nécessitent un arbitrage ;
  4. si la trajectoire progresse.


Là où CompliKey peut aider

Le ReCyF fournit la structure de référence. Il faut ensuite le transformer en système de pilotage.

CompliKey permet de :

  1. intégrer un référentiel comme le ReCyF ;
  2. définir son applicabilité ;
  3. évaluer les mesures ;
  4. suivre leur niveau de maturité ;
  5. rattacher les preuves ;
  6. identifier les écarts ;
  7. créer des remédiations ;
  8. désigner les responsables ;
  9. suivre les échéances ;
  10. conserver l’historique des évaluations.

L’objectif n’est pas de remplacer les ressources de l’ANSSI ni de garantir automatiquement la conformité NIS2.

Il est d’aider les PME, ETI et consultants à faire vivre le référentiel dans le temps, sans le laisser sous la forme d’un PDF ou d’un tableau difficile à maintenir.


En bref

Le Référentiel Cyber France est le nouveau point d’appui proposé par l’ANSSI pour atteindre les objectifs de sécurité associés à NIS2 en France.

Pour l’utiliser efficacement, une organisation doit :

  1. confirmer son statut et son périmètre ;
  2. sélectionner les mesures applicables ;
  3. évaluer son niveau actuel ;
  4. rattacher des preuves ;
  5. identifier les écarts ;
  6. construire un plan d’action ;
  7. réévaluer régulièrement sa progression.

Le ReCyF répond à la question réglementaire « quoi atteindre ? » et propose des moyens pour répondre à la question « comment y parvenir ? ».

La valeur apparaît lorsque ces exigences deviennent des responsabilités, des preuves, des échéances et des décisions suivies.


FAQ

Qu’est-ce que le ReCyF ?

Le ReCyF est le Référentiel Cyber France publié par l’ANSSI pour présenter les objectifs de sécurité et les moyens acceptables de conformité associés à la transposition française de NIS2.

Le ReCyF est-il obligatoire ?

La version publiée en mars 2026 est encore un document de travail. Les futurs objectifs de sécurité auront une portée obligatoire selon les textes définitifs. Les moyens acceptables de conformité proposés par l’ANSSI ne sont pas tous obligatoires en eux-mêmes, mais permettent de démontrer l’atteinte des objectifs.

Combien d’objectifs contient le ReCyF ?

La version 2.5 comprend vingt objectifs de sécurité. Les quinze premiers concernent les entités importantes et essentielles, tandis que les objectifs 16 à 20 sont prévus pour les entités essentielles.

Le ReCyF remplace-t-il ISO 27001 ?

Non. Les deux cadres sont complémentaires. ISO 27001 apporte une méthode de management, tandis que le ReCyF détaille les objectifs et mesures attendus dans le cadre français de NIS2.

Une certification ISO 27001 suffit-elle pour être conforme à NIS2 ?

Non. Elle constitue un socle utile, mais une analyse de correspondance avec le ReCyF reste nécessaire.

Une PME peut-elle déjà commencer son évaluation ?

Oui. Elle doit cependant conserver la version utilisée et prévoir une mise à jour de son analyse lorsque le référentiel et les textes de transposition évolueront.


Conclusion

Le ReCyF constitue une étape majeure dans la préparation française à NIS2.

Il offre aux organisations une structure plus concrète pour comprendre les objectifs de sécurité, comparer leur dispositif existant et identifier les mesures à mettre en œuvre.

Mais le référentiel ne produira aucune amélioration s’il reste simplement téléchargé, lu puis archivé.

Pour une PME ou une ETI, la bonne démarche consiste à transformer chaque objectif en :

périmètre → responsable → mesure → preuve → écart → action → échéance → réévaluation

C’est cette transformation qui permet de passer d’une conformité NIS2 théorique à une démarche réellement pilotée.

COMPLIKEY
La méthode de supervision cyber incarnée
dans un logiciel
  • Tableau de conformité centralisé
  • Plan de traitement des risques & analyse
  • Tableaux de bord & KPIs en temps réel
  • Guidage et automatisation des revues/documentation
Logo complikey
COMPLIKEY
LinkedIn
Copyright 2026 CompliKey - Tous droits réservés.