Depuis la publication du Référentiel Cyber France en mars 2026, de nombreuses entreprises se posent la même question :
Faut-il structurer sa cybersécurité avec le ReCyF, avec ISO 27001 ou directement à partir de NIS2 ?
La réponse dépend avant tout de l’objectif poursuivi.
Ces trois cadres sont donc moins concurrents que complémentaires.
Pour une entreprise potentiellement soumise à NIS2 en France, le parcours le plus cohérent consiste généralement à utiliser le ReCyF comme grille opérationnelle, tout en s’appuyant sur ISO 27001 pour structurer la gouvernance et l’amélioration continue.
Le choix peut être résumé simplement :
Il ne s’agit donc pas nécessairement de choisir un seul référentiel, mais de donner à chacun le bon rôle.
NIS2 est une directive européenne destinée à élever le niveau commun de cybersécurité dans les secteurs critiques et importants de l’Union européenne.
Elle impose notamment aux entités concernées de mettre en place des mesures de gestion des risques portant sur :
NIS2 définit donc ce que les organisations doivent maîtriser, mais elle ne constitue pas, à elle seule, un mode opératoire suffisamment détaillé pour une PME.
La directive reste volontairement générale. Elle ne précise pas toujours :
Lire directement NIS2 est indispensable pour comprendre les obligations. Mais construire tout son programme de cybersécurité uniquement à partir du texte juridique peut produire un dispositif trop abstrait.
Le Référentiel Cyber France, ou ReCyF, a été présenté par l’ANSSI le 17 mars 2026.
Il liste les mesures recommandées par l’Agence pour atteindre les objectifs de sécurité associés à NIS2 et orienter leur mise en œuvre.
Son intérêt principal est de réduire la distance entre le texte réglementaire et les actions à réaliser.
Le ReCyF permet notamment de structurer les sujets suivants :
Il applique également un principe de proportionnalité : l’effort attendu doit être adapté à la maturité et aux ressources de l’organisation.
La version disponible en juin 2026 reste un document de travail. Elle pourra évoluer avec l’achèvement de la transposition française et les consultations à venir.
Le ReCyF peut donc servir dès maintenant de base de préparation, mais l’entreprise doit :
ISO/IEC 27001 est une norme internationale définissant les exigences d’un système de management de la sécurité de l’information, ou SMSI.
Elle aide l’organisation à :
Contrairement à NIS2, ISO 27001 peut donner lieu à une certification volontaire réalisée par un organisme certificateur.
Une certification ISO 27001 ne signifie pas automatiquement que l’entreprise est conforme à NIS2.
Plusieurs raisons l’expliquent :
ISO 27001 constitue donc un excellent socle de management, mais elle ne remplace pas une analyse spécifique NIS2 et ReCyF.
| Critère | NIS2 | ReCyF | ISO 27001 |
| Nature | Directive européenne | Référentiel ANSSI | Norme internationale |
| Objectif principal | Fixer des obligations de cybersécurité | Proposer des mesures pour atteindre les objectifs NIS2 | Organiser un SMSI |
| Statut | Réglementaire après transposition | Document de travail en juin 2026 | Volontaire, sauf exigence contractuelle |
| Certification | Non | Non | Oui, possible |
| Niveau de détail | Général | Opérationnel | Méthodologique |
| Approche | Obligations et gestion des risques | Objectifs et mesures de sécurité | Management et amélioration continue |
| Public principal | Entités essentielles et importantes | Futures entités françaises concernées | Toute organisation |
| Utilité pour une PME | Comprendre ses obligations | Évaluer concrètement les mesures | Structurer durablement la démarche |
| Gestion des preuves | Peu détaillée dans la directive | À organiser autour des mesures | Encadrée par le SMSI et les audits |
| Plan d’action | À construire | Naturellement exploitable pour une analyse d’écarts | Issu du traitement des risques et des non-conformités |
Dans la plupart des cas, non.
Une entreprise peut utiliser :
Le bon modèle peut être représenté ainsi :
NIS2 définit les résultats attendus → le ReCyF aide à les traduire en mesures → ISO 27001 organise leur pilotage dans le temps
Cette combinaison évite deux erreurs opposées :
Commencer par le ReCyF.
Pour une PME peu mature, ISO 27001 peut sembler difficile à déployer immédiatement dans son intégralité. Le texte de NIS2, quant à lui, reste trop général pour constituer seul un plan d’action.
Le ReCyF offre un point de départ plus concret.
Il permet d’avancer rapidement sur les attentes françaises liées à NIS2 sans lancer immédiatement un projet complet de certification.
Conserver ISO 27001 comme système de management et réaliser une analyse d’écarts vers le ReCyF.
L’entreprise dispose déjà généralement :
Il serait peu pertinent de reconstruire un second système de pilotage uniquement pour NIS2.
Il capitalise sur le travail déjà réalisé et évite de dupliquer les politiques, les preuves et les audits.
Construire un socle commun de mesures et rattacher NIS2, le ReCyF et ISO 27001 à ce même socle.
Une ETI peut devoir gérer simultanément :
Créer un tableau et un plan d’action pour chaque cadre produirait rapidement une fatigue de conformité.
Une mesure interne intitulée « revue périodique des habilitations » peut couvrir :
L’entreprise réalise une seule revue, conserve une seule preuve et la valorise dans plusieurs référentiels.
Il limite les doublons et permet de piloter la sécurité par mesure plutôt que par texte réglementaire.
Utilisez cette grille de décision.
Pour la mise en œuvre quotidienne, NIS2 seule sera rarement suffisante.
Quelle que soit la combinaison choisie, chaque exigence doit être traduite en éléments opérationnels :
Exemple :
Maîtriser les accès aux systèmes critiques.
Cette méthode fonctionne quel que soit le référentiel d’origine.
Le ReCyF n’est pas une norme de certification comparable à ISO 27001.
La norme offre une base solide, mais une analyse d’écarts reste nécessaire.
Le texte de NIS2 doit être compris, mais ses obligations doivent être traduites en mesures et responsabilités opérationnelles.
Une action corrective unique peut souvent couvrir plusieurs exigences.
Une preuve de revue des accès ou de test de restauration peut répondre à plusieurs cadres si son périmètre est approprié.
Le référentiel actuel peut déjà structurer la préparation. Il faut simplement prévoir sa mise à jour.
La difficulté n’est pas seulement de choisir entre ReCyF, ISO 27001 et NIS2. Elle est de faire vivre plusieurs cadres sans répéter le même travail.
CompliKey permet de :
L’objectif est de piloter une seule réalité opérationnelle, tout en étant capable de démontrer la conformité selon différents cadres.
NIS2, le ReCyF et ISO 27001 ne répondent pas exactement à la même question.
Pour une PME française soumise à NIS2, le ReCyF constitue souvent le meilleur point de départ opérationnel.
Pour une entreprise déjà structurée, ISO 27001 peut rester la colonne vertébrale, complétée par une analyse d’écarts ReCyF.
Pour une ETI multi-référentiels, le meilleur modèle consiste à mutualiser les mesures communes et à conserver un seul système de pilotage.
Pas nécessairement. Le ReCyF aide à préparer les attentes françaises de NIS2, tandis qu’ISO 27001 fournit une méthode de management de la sécurité. Ils peuvent être utilisés ensemble.
Non. NIS2 reste le cadre juridique européen. Le ReCyF propose des mesures recommandées par l’ANSSI pour atteindre les objectifs de sécurité correspondants en France.
Non. Elle constitue un socle important, mais il faut vérifier le périmètre, les obligations spécifiques de NIS2 et les mesures du ReCyF.
Une PME française préparant NIS2 peut commencer par le ReCyF, puis intégrer progressivement les mécanismes de gouvernance et d’amélioration continue d’ISO 27001.
Non. En juin 2026, il reste publié comme document de travail et pourra évoluer avec la transposition française de NIS2.
Oui. Une même preuve peut couvrir plusieurs exigences lorsque son contenu, sa date et son périmètre sont adaptés.
La question n’est pas vraiment de savoir quel référentiel est le meilleur.
Elle est de savoir quel rôle donner à chacun.
NIS2 donne le cadre réglementaire.
Le ReCyF facilite sa traduction en mesures concrètes.
ISO 27001 permet d’organiser durablement leur pilotage.
La démarche la plus efficace consiste donc rarement à remplacer un cadre par un autre. Elle consiste à relier leurs exigences communes, à mutualiser les preuves et à suivre un seul plan d’action.
C’est ainsi que l’entreprise évite d’empiler les référentiels et transforme plusieurs obligations en une démarche de cybersécurité cohérente.