Synthèse

Le 17 mars 2026, l'ANSSI a publié sous la direction de Vincent Strubel le référentiel ReCyF (Référentiel Cyber France), un cadre structurant pour préparer les organisations françaises à la conformité NIS 2. Organisé en 5 domaines et 4 niveaux de maturité, ReCyF vise à fournir un outil concret d'évaluation et de pilotage de la cybersécurité, particulièrement adapté aux PME, ETI et collectivités territoriales. Avec NIS 2 repoussé à juillet 2026, ce référentiel arrive à point nommé.

ReCyF n'est pas une contrainte de plus. C'est le premier outil concret de l'ANSSI qui dit aux PME et aux collectivités : voici où vous en êtes, voici où vous devez aller, et voici comment y arriver.

Qu'est-ce que ReCyF ?

ReCyF est un document de travail publié par l'ANSSI qui définit un cadre de référence pour évaluer et améliorer la maturité cyber des organisations françaises. Il ne s'agit pas (encore) d'un référentiel obligatoire, sauf dans certains cas particuliers, mais d'un outil d'évaluation et de pilotage conçu pour préparer la conformité NIS 2.

Contexte : NIS 2 en France

La directive européenne NIS 2, initialement prévue pour octobre 2024, a été repoussée à juillet 2026 pour la transposition française. Ce report a créé un flou pour les organisations concernées : que faire en attendant ? ReCyF apporte une réponse concrète en posant les bases de ce qui sera attendu.

Les 5 domaines de ReCyF

1. Gestion des actifs et des configurations

Connaître son parc informatique est le prérequis à toute démarche de sécurité. Ce domaine couvre :

  • L'inventaire exhaustif des actifs matériels et logiciels
  • La gestion des configurations et le durcissement
  • La gestion des vulnérabilités et des mises à jour
  • La cartographie des flux réseau

2. Gestion des incidents

La capacité à détecter, réagir et récupérer après un incident :

  • Détection des événements de sécurité (journalisation, SIEM)
  • Procédures de réponse à incident
  • Notification des incidents (obligation NIS 2)
  • Retour d'expérience et amélioration continue

3. Contrôle des accès

La gestion des identités et des accès, fondement de la sécurité :

  • Gestion des comptes et des privilèges
  • Authentification forte (MFA)
  • Gestion des accès distants
  • Revue périodique des droits d'accès

4. Continuité d'activité

Garantir la résilience de l'organisation face à un incident majeur :

  • Plan de continuité d'activité (PCA)
  • Plan de reprise d'activité (PRA)
  • Sauvegardes et tests de restauration
  • Exercices de crise cyber

5. Conformité et audit

Le pilotage de la démarche cyber dans la durée :

  • Politique de sécurité des systèmes d'information (PSSI)
  • Analyse de risques
  • Audits internes et externes
  • Formation et sensibilisation des collaborateurs

Les 4 niveaux de maturité

ReCyF introduit une approche par niveaux de maturité avec un principe de proportionnalité — chaque organisation n'a pas besoin d'atteindre le niveau maximal :

  1. Niveau 1 — Initial : pratiques ad hoc, pas de processus formalisé. La majorité des PME françaises se situent ici.
  2. Niveau 2 — Défini : processus documentés et appliqués. Niveau minimal recommandé par l'ANSSI pour les entités NIS 2.
  3. Niveau 3 — Géré : processus mesurés et améliorés. Attendu pour les entités essentielles au sens de NIS 2.
  4. Niveau 4 — Optimisé : amélioration continue, résilience éprouvée. Réservé aux OIV et aux organisations les plus matures.

Un constat préoccupant

Selon les premières évaluations, 74 % des PME françaises se situent sous le niveau 2, c'est-à-dire en dessous du seuil minimal recommandé. Ce chiffre illustre l'ampleur du chantier qui attend le tissu économique français pour atteindre la conformité NIS 2.

Qui est concerné ?

ReCyF s'adresse à un large spectre d'organisations :

  • PME et ETI : particulièrement celles des secteurs critiques (énergie, transport, santé, eau, numérique)
  • Collectivités territoriales : communes, intercommunalités, départements, régions
  • Secteur public : administrations, établissements publics
  • Sous-traitants : entreprises intégrées dans les chaînes d'approvisionnement des entités essentielles

Comment commencer ?

Étape 1 : Auto-évaluation

Utiliser la grille ReCyF pour évaluer votre niveau de maturité actuel dans chacun des 5 domaines. L'ANSSI devrait prochainement mettre à disposition un outil d'auto-évaluation en ligne.

Étape 2 : Identifier les écarts

Comparer votre niveau actuel avec le niveau cible (généralement niveau 2 pour les PME, niveau 3 pour les entités essentielles). Identifier les domaines prioritaires — souvent la gestion des accès et la gestion des incidents.

Étape 3 : Prioriser les actions

Les actions à fort impact et faible coût en premier :

  • MFA partout : activer l'authentification multi-facteurs sur tous les accès critiques. Coût quasi nul, impact maximal.
  • Inventaire des actifs : impossible de protéger ce qu'on ne connaît pas. Un inventaire complet est le point de départ obligatoire.
  • Sauvegardes testées : avoir des sauvegardes ne suffit pas. Il faut les tester régulièrement pour vérifier qu'elles sont restaurables.
  • Sensibilisation : former les collaborateurs au phishing et aux bonnes pratiques reste la mesure la plus rentable en termes de réduction du risque.

Étape 4 : Piloter dans la durée

ReCyF est conçu comme un outil de pilotage continu, pas comme un exercice ponctuel. Réévaluer régulièrement son niveau de maturité et ajuster les priorités en fonction de l'évolution de la menace.

Recommandations

  • Ne pas attendre juillet 2026 : la conformité NIS 2 ne se construit pas en quelques semaines. Commencer l'auto-évaluation dès maintenant.
  • Prioriser les quick wins : MFA, inventaire, sauvegardes testées. Ces trois actions couvrent 60 % des risques les plus courants.
  • Documenter : NIS 2 exige des preuves. Chaque action de sécurité doit être tracée, datée et documentée.
  • Former les équipes : la sensibilisation des collaborateurs est une exigence NIS 2, pas une option.
  • Prévoir le budget : intégrer la cybersécurité dans le budget 2026-2027, pas comme un projet ponctuel mais comme une ligne récurrente.

Enseignements clés

ReCyF marque un tournant dans l'approche de l'ANSSI : plutôt que d'imposer un cadre rigide, l'agence propose un outil pragmatique et proportionné qui reconnaît que toutes les organisations n'ont pas les mêmes moyens ni les mêmes besoins. Le principe de proportionnalité est une réponse directe aux craintes des PME face à NIS 2.

Le chiffre de 74 % des PME sous le niveau recommandé est à la fois préoccupant et révélateur : il montre que le tissu économique français a un déficit structurel de maturité cyber. NIS 2 n'est pas une contrainte bureaucratique — c'est une nécessité face à l'évolution de la menace, comme l'illustrent les incidents récents (Commission européenne, Mercor, ARS/AP-HP).

ReCyF est la boîte à outils. NIS 2 est l'échéance. Les incidents récents sont la motivation. Il ne manque plus que la volonté de commencer.

Sources

  • ANSSI — Publication du référentiel ReCyF (17 mars 2026)
  • Vincent Strubel — Présentation officielle du référentiel
  • Directive (UE) 2022/2555 (NIS 2) — Texte officiel
  • ANSSI — FAQ NIS 2 pour les entités concernées
  • Observatoire de la maturité cyber des PME françaises (2026)

Préparez votre conformité NIS 2

C-DIM vous accompagne dans l'évaluation de votre maturité cyber avec le référentiel ReCyF, l'identification des écarts et la mise en œuvre d'un plan d'action pragmatique adapté à votre taille et votre secteur.

Contactez C-DIM

Ou écrivez-nous directement à contact@c-dim.fr