L'ANSSI a publié le 17 mars 2026 le Référentiel Cyber France, dit ReCyF — le document que les DSI et RSSI attendaient pour comprendre concrètement ce que NIS2 va leur imposer. Après des mois de flou réglementaire, c'est désormais noir sur blanc : voici les mesures techniques et organisationnelles attendues lors des inspections ANSSI. Depuis cinq ans que j'accompagne des organisations dans leurs démarches de sécurité, c'est la première fois qu'un texte français donne autant de prise opérationnelle à une équipe sécurité pour structurer son programme. Mais attention — le ReCyF n'est pas encore contraignant de plein droit, et c'est là que beaucoup vont se tromper dans leur interprétation. Voici ma lecture terrain. L'ANSSI publie le Référentiel Cyber France (ReCyF) le 17 mars 2026. Ayi NEDJIMI analyse ce que NIS2 va vraiment imposer aux entreprises françaises et.

  • Identification des vecteurs d'attaque et de la surface d'exposition
  • Stratégies de détection et de réponse aux incidents
  • Recommandations de durcissement et bonnes pratiques opérationnelles
  • Impact sur la conformité réglementaire (NIS2, DORA, RGPD)
\\n

Ce que le ReCyF impose réellement

\\n

Le ReCyF est le référentiel de mesures de sécurité aligné sur la directive NIS2, publié par l'ANSSI le 17 mars 2026. Il décline en exigences concrètes les obligations des entités importantes (EI) et entités essentielles (EE) soumises à NIS2. Ce n'est pas un guide de bonnes pratiques de plus — c'est le cadre sur lequel l'ANSSI s'appuiera lors de ses inspections pour évaluer la conformité.

\\n

Les mesures couvrent cinq domaines : gouvernance de la sécurité, gestion des risques, sécurité des systèmes, gestion des incidents, et continuité d'activité. Pour chaque domaine, le ReCyF distingue les mesures socles obligatoires des mesures renforcées recommandées. Ce qui m'a frappé dans la lecture du texte : les mesures socles ne sont pas révolutionnaires — elles reprennent en grande partie ce que l'ISO 27001 et les guides ANSSI préconisaient déjà. Ce qui change, c'est le caractère opposable. Une organisation qui n'a pas de politique de gestion des actifs formalisée, pas de processus de gestion des vulnérabilités documenté, ou pas de plan de réponse aux incidents testé, sera en défaut caractérisé lors d'une inspection.

\\n

L'erreur que vont faire beaucoup d'organisations

\\n

Le ReCyF n'est pas automatiquement contraignant. Les organisations qui l'adoptent formellement peuvent s'en prévaloir lors d'inspections comme preuve de leur démarche de conformité — c'est une différence majeure. Beaucoup de DSI vont interpréter cette nuance comme "on peut ignorer le ReCyF pour l'instant". C'est une erreur stratégique.

\\n

Voici pourquoi : NIS2 est transposée en droit français depuis le 17 octobre 2024. Les obligations de sécurité s'appliquent dès maintenant pour les entités identifiées. L'ANSSI n'attend pas que le ReCyF soit formellement obligatoire pour conduire des inspections — elle a déjà commencé à notifier des entités. La question n'est donc pas "dois-je adopter le ReCyF ?" mais "suis-je en mesure de démontrer que mon niveau de sécurité est proportionné au risque ?". Le ReCyF est simplement l'outil de preuve le plus efficace disponible aujourd'hui pour y répondre.

\\n

Trois priorités opérationnelles immédiates

\\n

1. Savoir si vous êtes EE ou EI. Beaucoup d'organisations ignorent encore leur statut NIS2. L'ANSSI a ouvert le processus de notification — si vous n'avez pas encore reçu de notification et que vous opérez dans un secteur critique (santé, énergie, transport, finance, infrastructure numérique, etc.), ne supposez pas que vous êtes exemptés. Vérifiez activement.

\\n

2. Cartographier votre écart par rapport aux mesures socles. Prenez les cinq domaines du ReCyF et faites un gap analysis honnête. Pas besoin d'un cabinet externe pour commencer — une feuille Excel avec les 20 mesures socles prioritaires et une auto-évaluation honnête suffit pour identifier les chantiers critiques. Ce que j'observe en audit : les lacunes les plus fréquentes sont dans la gestion des tiers (supply chain sécurité) et la gestion des identités et accès privilégiés.

\\n

3. Tester votre plan de réponse aux incidents. NIS2 impose de notifier l'ANSSI dans les 24h suivant la détection d'un incident significatif. La plupart des organisations n'ont jamais testé ce processus. Un exercice de simulation de crise cyber — même minimal — révèle systématiquement des manques critiques : qui décide ? qui notifie ? quelles preuves sont préservées ? Anticiper les scénarios d'attaque les plus probables comme un ransomware ou une compromission de compte est indispensable.

\\n

Ce que NIS2 va vraiment changer pour les RSSI

\\n

La vraie nouveauté de NIS2 n'est pas technique — c'est la responsabilité personnelle des dirigeants. L'article 20 de la directive impose que les organes de direction approuvent les mesures de gestion des risques et peuvent être tenus personnellement responsables en cas de non-conformité. Pour les RSSI, c'est une arme à double tranchant : d'un côté, vous avez enfin un levier légal pour faire remonter les investissements sécurité jusqu'au CODIR ; de l'autre, si vous n'avez pas documenté vos recommandations et les arbitrages de la direction, vous risquez d'être celui qui absorbe la responsabilité.

\\n

Mon conseil terrain : commencez dès maintenant à documenter formellement vos recommandations sécurité et les décisions de la direction qui ne les suivent pas. Ce n'est pas de la protection juridique — c'est de la gouvernance saine. Et si vous êtes RSSI dans une entité NIS2 sans mandat clair ni budget adapté, le ReCyF vous donne enfin les arguments pour changer ça. Nos ressources sur la stratégie de continuité face aux ransomwares et sur le pentest Active Directory s'inscrivent directement dans les exigences de test et de résilience du ReCyF.

\\n
\\n

Mon avis d'expert

\\n

Le ReCyF est le meilleur outil de structuration d'un programme sécurité que l'ANSSI ait publié. Pas parce qu'il est révolutionnaire, mais parce qu'il donne enfin un cadre opposable, en français, calibré pour la réalité des organisations françaises. Les RSSI qui l'utilisent comme feuille de route dès maintenant — même sans obligation formelle — auront une longueur d'avance considérable lors des inspections. Ceux qui attendent que ce soit contraignant de plein droit risquent de se retrouver en défaut au pire moment : après un incident.

\\n
\\n

Sources et références : CERT-FR · MITRE ATT&CK

\\n
\\n

Articles connexes

\\n
\\n

Points clés à retenir

    \\n
  • Ce que le ReCyF impose réellement : Le ReCyF est le référentiel de mesures de sécurité aligné sur la directive NIS2, publié par l'ANSSI le 17 mars 2026.
    • \\n
  • L'erreur que vont faire beaucoup d'organisations : Le ReCyF n'est pas automatiquement contraignant.
    • \\n
  • Trois priorités opérationnelles immédiates : 1. Savoir si vous êtes EE ou EI. Beaucoup d'organisations ignorent encore leur statut NIS2.
    • \\n
  • Ce que NIS2 va vraiment changer pour les RSSI : La vraie nouveauté de NIS2 n'est pas technique — c'est la responsabilité personnelle des dirigeants.
    • \\n
  • FAQ : ANSSI ReCyF désigne l'ensemble des concepts, techniques et méthodologies abordés dans cet article.
    • \\n
  • Conclusion : NIS2 n'est plus une menace lointaine — elle est active, et l'ANSSI a maintenant les outils et le mandat pour inspecter.
    • \\n
\\n
\\n

FAQ

\\n

Qu'est-ce que ANSSI ReCyF ?

\\n

ANSSI ReCyF désigne l'ensemble des concepts, techniques et méthodologies abordés dans cet article. Les fondamentaux sont détaillés dans les premières sections du guide.

\\n

Pourquoi ANSSI ReCyF NIS2 est-il important ?

\\n

La maîtrise de ANSSI ReCyF NIS2 est devenue essentielle pour les équipes de sécurité. Les enjeux et le contexte opérationnel sont développés tout au long de l'article.

\\n

Comment appliquer ces recommandations en entreprise ?

\\n

Chaque section de cet article propose des méthodologies et des outils directement utilisables. Les recommandations tiennent compte des contraintes d'environnements de production réels.

\\n

Conclusion

\\n

NIS2 n'est plus une menace lointaine — elle est active, et l'ANSSI a maintenant les outils et le mandat pour inspecter. Le ReCyF publié le 17 mars 2026 est votre guide de conformité. Commencez par identifier votre statut, faites un gap analysis honnête, et concentrez-vous sur les mesures socles : gouvernance, gestion des risques, incidents et continuité. Ce n'est pas un projet de 18 mois — c'est un programme de sécurité que vous devriez avoir engagé hier. Commencez aujourd'hui.

\\n

Article suivant recommandé

Nessus et Greenbone : Guide Scanners Vulnérabilités →

Nessus ou Greenbone : quel scanner de vulnérabilités choisir en 2026 ? Installation, scans authentifiés, exploitation de

Découvrez mon dataset

nis2-fr

Dataset directive NIS2 bilingue français-anglais

Voir →

Surface d'attaque : Ensemble des points d'entrée exploitables par un attaquant pour compromettre un système, incluant les services exposés, les interfaces utilisateur et les API.

Les techniques décrites dans cet article sont présentées à des fins éducatives et défensives uniquement. Toute utilisation non autorisée sur des systèmes tiers constitue une infraction pénale.

\\n\n

Feuille de route pratique de mise en conformité NIS 2 pour les PME

\n

La mise en conformité NIS 2 pour les PME et ETI françaises s'articule autour d'une feuille de route progressive sur 12 à 18 mois. La première étape est la qualification de l'entité : suis-je une entité essentielle (EE) ou importante (EI) selon les critères de taille et de secteur ? Ce statut détermine le niveau d'exigence applicable et les délais de notification d'incident (24h pour EE, 72h pour EI). L'ANSSI met à disposition un outil d'autodiagnostic sur cybermalveillance.gouv.fr permettant cette qualification en moins de 30 minutes.

\n

Une fois le statut établi, les chantiers prioritaires sont : gouvernance et politique de sécurité (désignation d'un responsable, rédaction d'une PSSI, approbation par la direction), gestion des risques (analyse de risques documentée selon EBIOS RM pour les EE), et sécurité de la chaîne d'approvisionnement (inventaire des prestataires critiques, questionnaires de sécurité fournisseurs, clauses contractuelles NIS 2). Le dispositif MonAideCyber de l'ANSSI, déployé via un réseau d'aidants labellisés, permet aux petites entités d'obtenir un accompagnement gratuit de premier niveau.

\n

Le volet "sécurité des chaînes d'approvisionnement" de la NIS 2 impose aux entités essentielles et importantes d'évaluer les pratiques de cybersécurité de leurs fournisseurs directs (Tier 1) mais aussi, dans une mesure raisonnable, des sous-traitants de ces fournisseurs (Tier 2). Cette exigence est nouvelle par rapport à la NIS 1 et représente un changement de paradigme : la sécurité ne s'arrête plus à la frontière contractuelle directe. Les organisations doivent développer un programme de gestion de la sécurité des fournisseurs incluant des questionnaires d'autoévaluation, des audits sur site pour les fournisseurs critiques, et des clauses contractuelles obligeant les fournisseurs à notifier les incidents qui pourraient les affecter.

Les délais de notification d'incidents NIS 2 sont parmi les contraintes opérationnelles les plus exigeantes : 24 heures pour une alerte précoce en cas d'incident significatif suspecté, 72 heures pour une notification d'incident formelle avec évaluation préliminaire, et un mois pour le rapport final. Préparer ces délais implique de s'exercer via des simulations de crise (tabletop exercises) incluant la chaîne de notification, de pré-identifier les interlocuteurs à l'ANSSI (CNA - Correspondant National Attitré), et d'avoir des modèles de rapports d'incident prêts à l'emploi.

\\n
Ayi NEDJIMI
\\n

Renforcez votre posture de sécurité

\\n

Audit, pentest, formation, conseil — une approche sur-mesure adaptée à votre contexte.

\\n\\n
\\n