ReCyF : le référentiel ANSSI qui va cadrer NIS2 en France
Depuis le 17 mars 2026, l'ANSSI diffuse le Référentiel Cyber France (ReCyF) : 20 objectifs de sécurité, répartis en 4 blocs, qui détaillent concrètement ce que la transposition française de NIS2 attendra des entreprises régulées. Document de travail aujourd'hui, référentiel de contrôle demain : voici ce qu'il contient et par quoi commencer.
Pentest web & API, audit IA, Toulouse, méthodologie OWASP/PTES
Qu'est-ce que le ReCyF ?
Le Référentiel Cyber France (ReCyF) est le document par lequel l'ANSSI traduit les objectifs de sécurité de NIS2 en mesures concrètes. Présenté en version de travail le 17 mars 2026 et accessible via la plateforme MesServicesCyber (avec un comparateur de référentiels), il correspond au référentiel mentionné à l'article 14 du projet de loi Résilience, le texte qui transpose NIS2 en droit français.
Sa mécanique est simple et importante à comprendre : chaque exigence est formulée comme un objectif de sécurité (l'obligation réglementaire), accompagné de moyens acceptables de conformité (les mesures proposées par l'ANSSI pour l'atteindre). Les moyens ne sont pas imposés : une entité peut les suivre et s'en prévaloir en cas de contrôle, ou démontrer autrement qu'elle atteint l'objectif.
Le référentiel intègre un principe de proportionnalité : le niveau d'effort attendu s'adapte à la maturité et aux moyens de l'entité. L'ambition affichée est de protéger contre la menace cybercriminelle de masse, pas d'imposer un niveau militaire à une PME de 60 salariés.
Les 20 objectifs de sécurité, en 4 blocs
Les entités importantes (EI) et essentielles (EE) sont toutes deux soumises aux objectifs 1 à 15. Les objectifs 16 à 20 relèvent d'exigences de maturité avancée et ne concernent que les entités essentielles.
Bloc 1 : Fondation
EE + EIObjectifs 1 à 5
- 1. Recensement des systèmes d'information
- 2. Cadre de gouvernance de la sécurité
- 3. Maîtrise de l'écosystème (tiers, chaîne d'approvisionnement)
- 4. Sécurité dans la gestion RH
- 5. Maîtrise du cycle de vie des systèmes d'information
Bloc 2 : Protection technique
EE + EIObjectifs 6 à 11
- 6. Maîtrise des accès physiques
- 7. Sécurisation de l'architecture SI
- 8. Sécurisation des accès distants
- 9. Protection contre les codes malveillants
- 10. Gestion des identités et des accès
- 11. Maîtrise de l'administration du SI
Bloc 3 : Résilience
EE + EIObjectifs 12 à 15
- 12. Identification et réaction aux incidents
- 13. Continuité et reprise d'activité
- 14. Réaction aux crises cyber
- 15. Exercices, tests et entraînements
Bloc 4 : Excellence
EE uniquementObjectifs 16 à 20
- 16. Approche formalisée par les risques
- 17. Audit régulier (interne et externe)
- 18. Durcissement de la configuration des ressources
- 19. Administration depuis des ressources dédiées
- 20. Supervision active de la sécurité
Calendrier : où en est la transposition française ?
- • Mars 2025 : le projet de loi Résilience est adopté au Sénat.
- • 17 mars 2026 : l'ANSSI publie le ReCyF en version de travail.
- • Juillet 2026 : examen du texte en séance publique à l'Assemblée nationale, promulgation attendue durant l'été.
- • Fin 2026 : décrets et arrêtés d'application, notification des entités régulées, période d'enregistrement.
- • 2027 : premiers contrôles ciblés de l'ANSSI sur les entités essentielles.
Lecture pragmatique : entre la promulgation et les premiers contrôles, il reste une fenêtre courte pour construire un dossier de conformité crédible. Les entités qui attendent la publication des décrets pour démarrer découvriront que l'essentiel du travail (inventaire, gouvernance, preuves techniques) prend des mois, pas des semaines.
Par quoi commencer : plan d'action en 5 étapes
1. Vérifier votre statut
Passez le test d'éligibilité MonEspaceNIS2 de l'ANSSI pour savoir si vous êtes entité essentielle, entité importante ou hors périmètre. Le résultat conditionne les objectifs applicables (1-15 ou 1-20).
2. Mesurer l’écart sur les blocs 1 à 3
Inventaire, gouvernance, accès, incidents, continuité : évaluez chaque objectif en trois états (couvert, partiel, absent). C'est la matrice qui pilotera le budget et les priorités.
3. Traiter les objectifs à preuve rapide
MFA sur les accès critiques (objectif 10), sécurisation des accès distants (8), procédure de notification d'incident sous 24 h (12) : des mesures bornées, démontrables, qui pèsent lourd en contrôle.
4. Éprouver par le test (objectif 15)
Un test d'intrusion sur le périmètre exposé et un exercice de crise documenté produisent les preuves datées attendues. Pour les EE, le cycle d'audit régulier (objectif 17) se planifie dès maintenant.
5. Documenter au format objectif / preuve
Le ReCyF fonctionne par démonstration : pour chaque objectif, tracez la mesure en place, la preuve associée et la date. Ce dossier devient votre défense en cas de contrôle ANSSI.
Où le test d'intrusion s'insère dans le ReCyF
Quatre objectifs s'appuient directement sur des preuves techniques que produit un pentest ou un audit offensif :
- • Objectif 15 (exercices, tests et entraînements) : un test d'intrusion daté, avec rapport et re-test, est la preuve la plus directe que les mesures sont éprouvées.
- • Objectif 17 (audit régulier, EE) : le cycle d'audits externes se planifie sur 12-24 mois ; le pentest en est le volet technique.
- • Objectifs 11 et 19 (administration du SI) : un audit Active Directory vérifie concrètement les chemins d'attaque vers les comptes d'administration.
- • Objectif 20 (supervision active, EE) : la détection se construit côté SOC managé / MDR, et se valide par des scénarios offensifs.
Si vous êtes sous-traitant d'une entité régulée sans être vous-même dans le périmètre, les exigences arrivent par vos clients : voir NIS2 pour les sous-traitants.
FAQ ReCyF
Le ReCyF est-il obligatoire aujourd'hui ?
Non. C'est un document de travail, non contraignant tant que la loi Résilience n'est pas promulguée et ses textes d'application publiés. Mais les objectifs qu'il décline deviendront l'obligation réglementaire, et l'appliquer dès maintenant permet de s'en prévaloir lors d'un futur contrôle ANSSI.
ReCyF ou ISO 27001 : faut-il choisir ?
Non, les deux se renforcent. ISO 27001 est une norme certifiable de système de management ; le ReCyF est le référentiel réglementaire français adossé à NIS2. Les recouvrements sont larges sur la gouvernance, les accès, les incidents et la continuité. Une démarche ISO 27001 couvre une grande partie des objectifs 1 à 15, et les preuves servent aux deux.
Comment savoir si je suis entité essentielle ou importante ?
Le test d'éligibilité MonEspaceNIS2 de l'ANSSI croise votre secteur (18 secteurs couverts) et votre taille (plus de 50 salariés ou plus de 10 M€ de CA, avec des exceptions). Le statut détermine les objectifs applicables : 1 à 15 pour les EI, 1 à 20 pour les EE, et le régime de supervision (réactif ou proactif).
Que se passe-t-il si le texte final diffère du ReCyF actuel ?
Des ajustements sont probables entre la version de travail et le référentiel arrêté après promulgation. Mais la structure (objectifs, moyens acceptables, proportionnalité) et le socle des blocs 1 à 3 correspondent aux fondamentaux déjà exigés par l'article 21 de la directive NIS2 : ce travail ne sera pas perdu.
Mesurez votre écart ReCyF sur le périmètre exposé
Le diagnostic gratuit Laucked cartographie votre surface d'attaque externe et la met en regard des objectifs 7, 8, 10 et 15 du ReCyF. Sans engagement, résultat sous quelques jours.