Tous les articles

ReCyF : la France traduit enfin NIS 2 en obligations concrètes

L'ANSSI vient de publier le Référentiel de Cybersécurité France, version 2.5. Fini les grandes lignes : cartographie des SI, sensibilisation et formation des équipes deviennent des obligations vérifiables.

Cybershell·

Depuis que NIS 2 est entrée dans les textes, la même question revenait en boucle : "D'accord, mais concrètement, qu'est-ce qu'on doit faire ?" Les articles de la directive restaient volontairement vagues. Les décrets d'application étaient attendus. Et beaucoup d'entreprises se retrouvaient à devoir interpréter des obligations floues, sans savoir si elles allaient dans le bon sens.

Le ReCyF — Référentiel de Cybersécurité France — vient clore ce débat. L'ANSSI a publié début 2026 la version 2.5 de ce document qui traduit NIS 2 en objectifs de sécurité précis. Ce n'est plus de l'interprétation : c'est ce que l'État va contrôler.

Et parmi les grandes surprises du référentiel : la cartographie des systèmes d'information, la sensibilisation des collaborateurs et la formation des équipes techniques ne sont pas des bonnes pratiques optionnelles. Elles sont des objectifs de sécurité à part entière, avec des moyens de conformité associés.


Ce que le ReCyF change vraiment

Avant ce référentiel, les organisations concernées par NIS 2 naviguaient à vue. La directive posait des principes — gérer les risques, protéger les accès, notifier les incidents — sans dire comment. Chaque acteur bricolait sa propre lecture, souvent en fonction de ce qu'il avait déjà en place.

Le ReCyF inverse la logique. Il fixe 20 objectifs de sécurité — 15 pour toutes les entités concernées, 5 supplémentaires pour les plus critiques — et précise pour chacun les "moyens acceptables de conformité". Ces moyens ne sont pas obligatoires à la lettre : vous pouvez faire autrement. Mais si vous les appliquez, l'ANSSI ne va pas vous contester.

Ce qui est attendu dans tous les cas, c'est de démontrer que les objectifs sont atteints. Un plan d'action documenté, une analyse de conformité par système, des preuves de revue régulière — c'est le dossier que vous devrez pouvoir ouvrir lors d'un contrôle ANSSI.


Deux vitesses, une logique claire

Le référentiel distingue deux catégories d'entités :

  • Les entités importantes (EI) : soumises aux 15 premiers objectifs
  • Les entités essentielles (EE) : soumises à la totalité des 20 objectifs

Les 5 objectifs supplémentaires des EE couvrent les aspects les plus exigeants : analyse de risques formelle, audits techniques réguliers, durcissement des configurations, postes dédiés à l'administration, supervision de sécurité continue. Pour des infrastructures hospitalières, des opérateurs d'énergie ou des acteurs financiers critiques, c'est un niveau d'effort significatif.

Pour les EI — ETI dans des secteurs régulés, fournisseurs de services numériques — la charge est réelle mais structurable. Ce n'est pas hors de portée pour une organisation qui décide sérieusement de s'y mettre.


Cartographie : le point de départ que personne ne peut contourner

Les deux premiers objectifs techniques du ReCyF sont dédiés à la connaissance de son propre périmètre. Pas à la protection — à la connaissance. C'est volontaire, et révélateur de ce que l'ANSSI considère comme le problème numéro un.

L'objectif 1 impose de tenir à jour une liste exhaustive de toutes les activités, de tous les services, et des systèmes d'information qui les supportent. Avec pour chaque entrée : un responsable identifié, une justification si certains SI sont exclus du périmètre, et une revue annuelle minimum.

L'objectif 5 va plus loin : la cartographie doit être suffisamment détaillée pour permettre de réagir à un incident sans délai injustifié. Autrement dit, si vous subissez une attaque et que vous ne savez pas quelles ressources sont affectées, vous n'êtes pas conforme — et vous avez un problème opérationnel.

L'objectif 3 complète le tableau en imposant une cartographie de l'écosystème : tous les prestataires informatiques, tous les fournisseurs, toutes les interconnexions avec des systèmes tiers. Parce que votre surface d'attaque ne s'arrête pas à vos propres serveurs.

Ces trois objectifs disent la même chose sous des angles différents : vous ne pouvez pas sécuriser ce que vous ne connaissez pas. C'est un principe que beaucoup d'organisations reconnaissent en théorie et repoussent en pratique. Le ReCyF en fait une obligation contrôlable.

Si vous ne savez pas encore par où commencer sur ce sujet, notre article Cartographie du SI : par où commencer quand on ne sait pas ce qu'on a ? pose les bases de la démarche.


Sensibilisation et formation : explicitement dans le texte

C'est peut-être l'aspect le moins attendu du référentiel pour ceux qui imaginaient NIS 2 comme un texte purement technique. L'objectif 4 est entièrement consacré aux ressources humaines, et il ne parle pas de firewall.

Il impose trois choses distinctes :

Un programme de sensibilisation pour tous les utilisateurs, continu, tout au long de leur présence dans l'organisation. Pas une session de bienvenue à l'embauche et plus rien. Un programme qui se renouvelle, qui couvre les menaces actuelles, et dont la mise en œuvre peut être démontrée.

Une formation spécifique pour les personnes qui ont des responsabilités dans le domaine numérique — les administrateurs systèmes, les équipes IT, les RSSI, les chefs de projet digital. Cette formation doit être adaptée à leurs responsabilités réelles, pas générique.

Un processus formalisé pour les arrivées et les départs : attribution des bons accès dès l'arrivée, mise à jour lors d'un changement de poste, désactivation complète de tous les accès physiques et logiques lors du départ — dans les délais fixés par la politique interne. Pour les EE, des clauses de confidentialité dans les contrats de travail viennent compléter le dispositif.

Ce qui change concrètement : une sensibilisation ponctuelle et informelle ne suffit plus. L'ANSSI veut voir un programme structuré, avec une fréquence, un contenu, et une traçabilité. La question qu'on vous posera lors d'un contrôle : "Comment prouvez-vous que vos collaborateurs ont été sensibilisés, et à quelle fréquence ?"

Pour comprendre comment construire ce programme, nos modules de formation en cybersécurité couvrent les thématiques que le ReCyF considère comme prioritaires : phishing, gestion des mots de passe, comportements à risque, ingénierie sociale.


Ce qui va aussi surprendre les organisations

Le dirigeant est personnellement dans la boucle

Le ReCyF est explicite : le dirigeant exécutif est responsable de la sécurité numérique. Il approuve la politique de sécurité. Il porte le plan d'action. Pour les entités essentielles, il doit désigner un point de contact avec l'ANSSI. La cybersécurité ne peut plus être entièrement déléguée à la DSI — elle remonte jusqu'au sommet de la gouvernance.

Vos prestataires font partie de votre périmètre

Si vous avez externalisé votre infogérance, votre messagerie ou votre hébergement, vous restez responsable de la sécurité de ces systèmes. Pas votre prestataire — vous. Le référentiel impose des clauses contractuelles garantissant la conformité de vos fournisseurs, et une vérification périodique que ces clauses sont effectivement respectées. Les contrats signés avant ce référentiel méritent probablement une relecture.

Le BYOD disparaît pour les EE

Pour les entités essentielles, seuls les équipements gérés par l'organisation peuvent se connecter aux systèmes d'information. Le Bring Your Own Device n'est plus autorisé — les accès depuis des postes personnels non maîtrisés sont explicitement exclus.

Les revues annuelles deviennent une obligation

Comptes utilisateurs, règles de filtrage réseau, liste des systèmes, politique de sécurité — tout doit être revu au minimum une fois par an, et mis à jour à chaque évolution majeure. Ces revues doivent être planifiées, leurs résultats tracés, et les anomalies corrigées dans des délais formalisés.


ISO 27001 : un avantage à ne pas négliger

Le référentiel reconnaît explicitement qu'une certification ISO/CEI 27001:2022 permet de démontrer la conformité à l'objectif de gouvernance sur le périmètre couvert. Ce n'est pas une exemption totale, mais c'est une reconnaissance formelle qui simplifie le dialogue avec l'ANSSI. Pour les organisations qui envisageaient ISO 27001 sans franchir le pas, le ReCyF leur donne une raison concrète de le faire.


Par où commencer ?

La tentation est de vouloir traiter tous les objectifs en même temps. Voici une séquence plus raisonnable.

Premier mois — Cartographiez. Listez vos activités, vos services, les systèmes qui les supportent, vos prestataires et leurs accès. Ce travail préalable conditionne tous les objectifs suivants. Vous ne pouvez pas évaluer vos risques sur un périmètre que vous n'avez pas défini.

Deuxième mois — Évaluez vos écarts. Pour chacun des objectifs applicables, posez-vous honnêtement la question : est-ce qu'on a ça en place, et est-ce qu'on peut le prouver ? L'objectif n'est pas de passer pour conforme, mais de savoir précisément ce qui manque.

Troisième mois et au-delà — Construisez et lancez. Plan d'action avec délais et responsables. Et en parallèle, démarrez la sensibilisation des collaborateurs — c'est l'une des mesures les plus rapides à mettre en place, et l'une de celles que l'ANSSI regardera en premier, parce qu'elle touche l'ensemble des utilisateurs.


Le ReCyF n'est pas un texte de plus à classer dans un tiroir de conformité. C'est le premier document officiel qui dit précisément à quoi ressemble la cybersécurité suffisante pour ne pas être sanctionné. Et il place la cartographie du SI, la formation et la sensibilisation au même niveau que les mesures techniques — pas comme des à-côtés, mais comme des fondations.

Chez Cybershell, c'est exactement ce que nous aidons les organisations à construire : une cartographie claire de leur périmètre, et des programmes de formation et sensibilisation que leurs équipes retiennent vraiment.