Logo Complikey
Accueil
Produits
Normes
Consultants
Tarifs
Blog
Contact
Planifier une démo

ReCyF, ISO 27001 ou NIS2 : quel référentiel choisir pour votre cybersécurité ?

Par AlexV
Le 09/07/2026

ReCyF, ISO 27001 et NIS2 : quel référentiel utiliser pour structurer sa cybersécurité ?


Depuis la publication du Référentiel Cyber France en mars 2026, de nombreuses entreprises se posent la même question :

Faut-il structurer sa cybersécurité avec le ReCyF, avec ISO 27001 ou directement à partir de NIS2 ?

La réponse dépend avant tout de l’objectif poursuivi.

  1. NIS2 définit les obligations réglementaires européennes auxquelles les entités concernées doivent répondre.
  2. Le ReCyF traduit ces objectifs dans le contexte français en mesures de sécurité plus concrètes proposées par l’ANSSI.
  3. ISO 27001 fournit une méthode internationale pour organiser, piloter et améliorer un système de management de la sécurité de l’information.

Ces trois cadres sont donc moins concurrents que complémentaires.

Pour une entreprise potentiellement soumise à NIS2 en France, le parcours le plus cohérent consiste généralement à utiliser le ReCyF comme grille opérationnelle, tout en s’appuyant sur ISO 27001 pour structurer la gouvernance et l’amélioration continue.


La réponse en une phrase

Le choix peut être résumé simplement :

  1. partez de NIS2 pour savoir à quelles obligations vous êtes soumis ;
  2. utilisez le ReCyF pour déterminer les mesures à évaluer et à mettre en œuvre en France ;
  3. appuyez-vous sur ISO 27001 pour organiser durablement le pilotage, les risques, les audits et l’amélioration continue.

Il ne s’agit donc pas nécessairement de choisir un seul référentiel, mais de donner à chacun le bon rôle.


NIS2 : le cadre réglementaire à respecter

NIS2 est une directive européenne destinée à élever le niveau commun de cybersécurité dans les secteurs critiques et importants de l’Union européenne.

Elle impose notamment aux entités concernées de mettre en place des mesures de gestion des risques portant sur :

  1. l’analyse des risques et les politiques de sécurité ;
  2. la gestion des incidents ;
  3. la continuité et la reprise d’activité ;
  4. la sécurité de la chaîne d’approvisionnement ;
  5. la sécurité du développement et de la maintenance ;
  6. la gestion des vulnérabilités ;
  7. l’évaluation de l’efficacité des mesures ;
  8. l’hygiène cyber et la formation ;
  9. la cryptographie ;
  10. les ressources humaines et la gestion des accès ;
  11. l’authentification forte lorsque cela est approprié.

NIS2 définit donc ce que les organisations doivent maîtriser, mais elle ne constitue pas, à elle seule, un mode opératoire suffisamment détaillé pour une PME.

Les points forts de NIS2

  1. statut réglementaire européen ;
  2. obligations de gouvernance et de gestion des risques ;
  3. responsabilité accrue des organes de direction ;
  4. exigences de notification des incidents ;
  5. cadre commun pour les entités essentielles et importantes.

Ses limites pour le pilotage quotidien

La directive reste volontairement générale. Elle ne précise pas toujours :

  1. comment évaluer chaque mesure ;
  2. quelle preuve conserver ;
  3. quel niveau de maturité atteindre ;
  4. comment organiser un plan d’action ;
  5. quelles actions lancer en premier.

Lire directement NIS2 est indispensable pour comprendre les obligations. Mais construire tout son programme de cybersécurité uniquement à partir du texte juridique peut produire un dispositif trop abstrait.


Le ReCyF : la traduction opérationnelle française de NIS2

Le Référentiel Cyber France, ou ReCyF, a été présenté par l’ANSSI le 17 mars 2026.

Il liste les mesures recommandées par l’Agence pour atteindre les objectifs de sécurité associés à NIS2 et orienter leur mise en œuvre.

Son intérêt principal est de réduire la distance entre le texte réglementaire et les actions à réaliser.

Le ReCyF permet notamment de structurer les sujets suivants :

  1. gouvernance ;
  2. recensement des systèmes d’information ;
  3. fournisseurs ;
  4. identités et habilitations ;
  5. accès distants ;
  6. administration ;
  7. gestion des incidents ;
  8. continuité ;
  9. gestion de crise ;
  10. exercices ;
  11. audits ;
  12. supervision ;
  13. analyse de risques.

Il applique également un principe de proportionnalité : l’effort attendu doit être adapté à la maturité et aux ressources de l’organisation.

Les points forts du ReCyF

  1. conçu spécifiquement pour le contexte français de NIS2 ;
  2. plus opérationnel que la directive seule ;
  3. mesures filtrables selon la catégorie d’entité ;
  4. rapprochements possibles avec ISO 2700X ;
  5. support pertinent pour réaliser une analyse d’écarts ;
  6. structure adaptée à la préparation des futures entités françaises.

Son point de vigilance

La version disponible en juin 2026 reste un document de travail. Elle pourra évoluer avec l’achèvement de la transposition française et les consultations à venir.

Le ReCyF peut donc servir dès maintenant de base de préparation, mais l’entreprise doit :

  1. conserver la version utilisée ;
  2. suivre les publications de l’ANSSI ;
  3. réévaluer son analyse après chaque évolution importante ;
  4. éviter de présenter la version actuelle comme un texte réglementaire définitif.


ISO 27001 : la méthode de management

ISO/IEC 27001 est une norme internationale définissant les exigences d’un système de management de la sécurité de l’information, ou SMSI.

Elle aide l’organisation à :

  1. comprendre son contexte ;
  2. définir un périmètre ;
  3. identifier et traiter ses risques ;
  4. formaliser les responsabilités ;
  5. fixer des objectifs ;
  6. mesurer les résultats ;
  7. réaliser des audits internes ;
  8. conduire des revues de direction ;
  9. améliorer continuellement son dispositif.

Contrairement à NIS2, ISO 27001 peut donner lieu à une certification volontaire réalisée par un organisme certificateur.

Les points forts d’ISO 27001

  1. méthode internationale reconnue ;
  2. pilotage fondé sur les risques ;
  3. gouvernance et responsabilités structurées ;
  4. logique d’audit et d’amélioration continue ;
  5. certification valorisable auprès des clients ;
  6. cadre applicable à toutes les tailles d’organisation.

Ses limites par rapport à NIS2

Une certification ISO 27001 ne signifie pas automatiquement que l’entreprise est conforme à NIS2.

Plusieurs raisons l’expliquent :

  1. le périmètre certifié peut être plus réduit que le périmètre NIS2 ;
  2. certaines obligations réglementaires ne sont pas équivalentes aux exigences ISO ;
  3. NIS2 impose des règles spécifiques de notification et de supervision ;
  4. la catégorie d’entité et le droit national doivent être pris en compte ;
  5. les preuves attendues peuvent différer.

ISO 27001 constitue donc un excellent socle de management, mais elle ne remplace pas une analyse spécifique NIS2 et ReCyF.


Tableau comparatif : ReCyF, ISO 27001 ou NIS2


CritèreNIS2ReCyFISO 27001
NatureDirective européenneRéférentiel ANSSINorme internationale
Objectif principalFixer des obligations de cybersécuritéProposer des mesures pour atteindre les objectifs NIS2Organiser un SMSI
StatutRéglementaire après transpositionDocument de travail en juin 2026Volontaire, sauf exigence contractuelle
CertificationNonNonOui, possible
Niveau de détailGénéralOpérationnelMéthodologique
ApprocheObligations et gestion des risquesObjectifs et mesures de sécuritéManagement et amélioration continue
Public principalEntités essentielles et importantesFutures entités françaises concernéesToute organisation
Utilité pour une PMEComprendre ses obligationsÉvaluer concrètement les mesuresStructurer durablement la démarche
Gestion des preuvesPeu détaillée dans la directiveÀ organiser autour des mesuresEncadrée par le SMSI et les audits
Plan d’actionÀ construireNaturellement exploitable pour une analyse d’écartsIssu du traitement des risques et des non-conformités


Faut-il choisir un seul référentiel ?

Dans la plupart des cas, non.

Une entreprise peut utiliser :

  1. NIS2 comme source de l’obligation ;
  2. le ReCyF comme grille de mesures ;
  3. ISO 27001 comme système de pilotage.

Le bon modèle peut être représenté ainsi :

NIS2 définit les résultats attendus → le ReCyF aide à les traduire en mesures → ISO 27001 organise leur pilotage dans le temps

Cette combinaison évite deux erreurs opposées :

  1. rester trop général en pilotant uniquement depuis le texte de NIS2 ;
  2. construire un SMSI ISO sans vérifier les exigences propres à NIS2.


Trois parcours selon le profil de l’entreprise

Parcours 1 : PME potentiellement concernée par NIS2, sans SMSI existant

Point de départ recommandé

Commencer par le ReCyF.

Pour une PME peu mature, ISO 27001 peut sembler difficile à déployer immédiatement dans son intégralité. Le texte de NIS2, quant à lui, reste trop général pour constituer seul un plan d’action.

Le ReCyF offre un point de départ plus concret.

Démarche proposée

  1. confirmer l’applicabilité de NIS2 ;
  2. identifier la catégorie potentielle de l’entité ;
  3. définir les activités et systèmes concernés ;
  4. sélectionner les mesures ReCyF applicables ;
  5. évaluer leur état actuel ;
  6. rattacher les preuves disponibles ;
  7. identifier les écarts ;
  8. construire un plan d’action priorisé ;
  9. ajouter progressivement les pratiques de management d’ISO 27001.

Priorités initiales

  1. gouvernance et responsabilités ;
  2. inventaire des systèmes critiques ;
  3. accès et comptes administrateurs ;
  4. sauvegardes et continuité ;
  5. gestion des incidents ;
  6. fournisseurs critiques ;
  7. preuves et suivi des actions.

Pourquoi ce parcours ?

Il permet d’avancer rapidement sur les attentes françaises liées à NIS2 sans lancer immédiatement un projet complet de certification.


Parcours 2 : entreprise déjà certifiée ou engagée dans ISO 27001

Point de départ recommandé

Conserver ISO 27001 comme système de management et réaliser une analyse d’écarts vers le ReCyF.

L’entreprise dispose déjà généralement :

  1. d’un périmètre ;
  2. d’une analyse de risques ;
  3. d’une politique ;
  4. de responsables ;
  5. d’une déclaration d’applicabilité ;
  6. d’audits internes ;
  7. d’une revue de direction ;
  8. d’un système de traitement des écarts.

Il serait peu pertinent de reconstruire un second système de pilotage uniquement pour NIS2.

Démarche proposée

  1. comparer le périmètre ISO avec le périmètre NIS2 ;
  2. importer ou examiner les mesures ReCyF ;
  3. mapper les contrôles ISO existants ;
  4. réutiliser les preuves pertinentes ;
  5. identifier les mesures partiellement ou non couvertes ;
  6. ajouter les obligations spécifiques à NIS2 ;
  7. intégrer les remédiations au SMSI existant.

Points de vigilance

  1. un périmètre ISO trop étroit ;
  2. des filiales ou services hors certification ;
  3. des obligations de notification non intégrées ;
  4. la gouvernance de la chaîne d’approvisionnement ;
  5. la responsabilité de la direction ;
  6. les mesures ReCyF plus précises que les contrôles existants.

Pourquoi ce parcours ?

Il capitalise sur le travail déjà réalisé et évite de dupliquer les politiques, les preuves et les audits.


Parcours 3 : ETI ou organisation multi-référentiels

Point de départ recommandé

Construire un socle commun de mesures et rattacher NIS2, le ReCyF et ISO 27001 à ce même socle.

Une ETI peut devoir gérer simultanément :

  1. ISO 27001 ;
  2. NIS2 ;
  3. le ReCyF ;
  4. des exigences clients ;
  5. le RGPD ;
  6. DORA ou le CRA ;
  7. des politiques internes.

Créer un tableau et un plan d’action pour chaque cadre produirait rapidement une fatigue de conformité.

Démarche proposée

  1. définir un référentiel interne de mesures ;
  2. rattacher chaque exigence NIS2 aux mesures concernées ;
  3. mapper les mesures ReCyF ;
  4. intégrer les exigences du SMSI ISO 27001 ;
  5. mutualiser les preuves ;
  6. maintenir un seul plan de remédiation ;
  7. produire différentes vues selon le besoin.

Exemple

Une mesure interne intitulée « revue périodique des habilitations » peut couvrir :

  1. une mesure ReCyF ;
  2. un contrôle de l’Annexe A d’ISO 27001 ;
  3. une exigence NIS2 relative à la gestion des accès ;
  4. une exigence client.

L’entreprise réalise une seule revue, conserve une seule preuve et la valorise dans plusieurs référentiels.

Pourquoi ce parcours ?

Il limite les doublons et permet de piloter la sécurité par mesure plutôt que par texte réglementaire.


Comment décider rapidement ?

Utilisez cette grille de décision.

Choisissez principalement le ReCyF si :

  1. vous êtes une organisation française préparant NIS2 ;
  2. vous ne disposez pas encore d’un SMSI structuré ;
  3. vous cherchez des mesures concrètes à évaluer ;
  4. votre priorité est la conformité NIS2 en France.

Choisissez principalement ISO 27001 si :

  1. vous souhaitez structurer un système de management durable ;
  2. une certification est demandée par vos clients ;
  3. vous voulez organiser la sécurité autour des risques ;
  4. vous devez encadrer les audits et l’amélioration continue.

Travaillez directement depuis NIS2 si :

  1. vous analysez votre assujettissement ;
  2. vous devez interpréter une obligation juridique ;
  3. vous préparez la gouvernance ou les notifications réglementaires ;
  4. vous devez vérifier ce que le droit impose réellement.

Pour la mise en œuvre quotidienne, NIS2 seule sera rarement suffisante.


Comment transformer ces cadres en système de pilotage

Quelle que soit la combinaison choisie, chaque exigence doit être traduite en éléments opérationnels :

  1. mesure ;
  2. périmètre ;
  3. responsable ;
  4. état actuel ;
  5. niveau cible ;
  6. preuve ;
  7. écart ;
  8. action ;
  9. échéance ;
  10. fréquence de revue.

Exemple :

Exigence

Maîtriser les accès aux systèmes critiques.

Déclinaison opérationnelle

  1. responsable : DSI ;
  2. périmètre : Microsoft 365, VPN, ERP et comptes administrateurs ;
  3. état actuel : MFA partielle et absence de revue formelle ;
  4. preuve : rapport de couverture MFA et export des comptes ;
  5. écart : comptes sensibles non protégés ;
  6. action : généraliser la MFA et organiser une revue trimestrielle ;
  7. échéance : trois mois ;
  8. niveau cible : processus formalisé, appliqué et revu.

Cette méthode fonctionne quel que soit le référentiel d’origine.


Les erreurs à éviter

Considérer ReCyF comme une certification

Le ReCyF n’est pas une norme de certification comparable à ISO 27001.

Considérer ISO 27001 comme une conformité NIS2 automatique

La norme offre une base solide, mais une analyse d’écarts reste nécessaire.

Piloter directement depuis le texte juridique

Le texte de NIS2 doit être compris, mais ses obligations doivent être traduites en mesures et responsabilités opérationnelles.

Maintenir trois plans d’action séparés

Une action corrective unique peut souvent couvrir plusieurs exigences.

Dupliquer les preuves

Une preuve de revue des accès ou de test de restauration peut répondre à plusieurs cadres si son périmètre est approprié.

Attendre la version définitive du ReCyF

Le référentiel actuel peut déjà structurer la préparation. Il faut simplement prévoir sa mise à jour.


Là où CompliKey apporte une réponse concrète

La difficulté n’est pas seulement de choisir entre ReCyF, ISO 27001 et NIS2. Elle est de faire vivre plusieurs cadres sans répéter le même travail.

CompliKey permet de :

  1. gérer plusieurs référentiels dans un même espace ;
  2. évaluer les mesures applicables ;
  3. suivre leur maturité ;
  4. mutualiser les contrôles communs ;
  5. rattacher une preuve à plusieurs exigences ;
  6. centraliser les écarts ;
  7. maintenir un plan de remédiation unique ;
  8. produire des vues par référentiel, périmètre ou client.

L’objectif est de piloter une seule réalité opérationnelle, tout en étant capable de démontrer la conformité selon différents cadres.


En bref

NIS2, le ReCyF et ISO 27001 ne répondent pas exactement à la même question.

  1. NIS2 indique les obligations réglementaires.
  2. Le ReCyF propose une traduction opérationnelle française.
  3. ISO 27001 organise le système de management et l’amélioration continue.

Pour une PME française soumise à NIS2, le ReCyF constitue souvent le meilleur point de départ opérationnel.

Pour une entreprise déjà structurée, ISO 27001 peut rester la colonne vertébrale, complétée par une analyse d’écarts ReCyF.

Pour une ETI multi-référentiels, le meilleur modèle consiste à mutualiser les mesures communes et à conserver un seul système de pilotage.


FAQ

Faut-il choisir entre ReCyF et ISO 27001 ?

Pas nécessairement. Le ReCyF aide à préparer les attentes françaises de NIS2, tandis qu’ISO 27001 fournit une méthode de management de la sécurité. Ils peuvent être utilisés ensemble.

Le ReCyF remplace-t-il NIS2 ?

Non. NIS2 reste le cadre juridique européen. Le ReCyF propose des mesures recommandées par l’ANSSI pour atteindre les objectifs de sécurité correspondants en France.

ISO 27001 suffit-elle pour être conforme à NIS2 ?

Non. Elle constitue un socle important, mais il faut vérifier le périmètre, les obligations spécifiques de NIS2 et les mesures du ReCyF.

Quel référentiel choisir pour une PME ?

Une PME française préparant NIS2 peut commencer par le ReCyF, puis intégrer progressivement les mécanismes de gouvernance et d’amélioration continue d’ISO 27001.

Le ReCyF est-il définitif ?

Non. En juin 2026, il reste publié comme document de travail et pourra évoluer avec la transposition française de NIS2.

Peut-on mutualiser les preuves entre les trois cadres ?

Oui. Une même preuve peut couvrir plusieurs exigences lorsque son contenu, sa date et son périmètre sont adaptés.


Conclusion

La question n’est pas vraiment de savoir quel référentiel est le meilleur.

Elle est de savoir quel rôle donner à chacun.

NIS2 donne le cadre réglementaire.

Le ReCyF facilite sa traduction en mesures concrètes.

ISO 27001 permet d’organiser durablement leur pilotage.

La démarche la plus efficace consiste donc rarement à remplacer un cadre par un autre. Elle consiste à relier leurs exigences communes, à mutualiser les preuves et à suivre un seul plan d’action.

C’est ainsi que l’entreprise évite d’empiler les référentiels et transforme plusieurs obligations en une démarche de cybersécurité cohérente.

COMPLIKEY
La méthode de supervision cyber incarnée
dans un logiciel
  • Tableau de conformité centralisé
  • Plan de traitement des risques & analyse
  • Tableaux de bord & KPIs en temps réel
  • Guidage et automatisation des revues/documentation
Logo complikey
COMPLIKEY
LinkedIn
Copyright 2026 CompliKey - Tous droits réservés.