ReCyF – RÉFÉRENTIEL CYBER FRANCE – Guide complet du référentiel cyber français pour la conformité NIS2
Avec l’entrée en vigueur progressive de la directive NIS2, les organisations européennes — et en particulier françaises — doivent considérablement renforcer leur niveau de cybersécurité. Pour répondre à cet enjeu, l’ANSSI a élaboré le ReCyF (Référentiel Cyber France), dont la version v2.5 datée du 17 mars 2026 constitue une étape structurante.
Ce référentiel ne se contente pas d’énoncer des principes : il propose un cadre opérationnel concret, structuré autour d’objectifs de sécurité clairs, mesurables et adaptables selon la criticité des entités concernées.
Dans cet article, nous proposons une analyse détaillée du ReCyF v2.5, de sa structure, de ses exigences, de sa logique de conformité et de ses implications concrètes pour les entreprises.
Qu’est-ce que le ReCyF ?
Le ReCyF est le cadre opérationnel français permettant de décliner les exigences de la directive NIS2 en mesures concrètes. Il vise à harmoniser les niveaux de sécurité tout en laissant aux organisations une certaine liberté dans la manière d’atteindre les objectifs fixés.
Sa logique repose sur une distinction essentielle entre des objectifs de sécurité obligatoires et des mesures recommandées. Cette approche permet d’éviter une vision trop rigide de la conformité et favorise une adaptation aux réalités de chaque organisation. En pratique, cela signifie que les entreprises doivent démontrer leur capacité à atteindre un niveau de sécurité donné, sans être contraintes par une solution unique.
À qui s’applique le ReCyF ?
Le référentiel s’adresse aux entités concernées par la directive NIS2, qui sont classées selon leur criticité et leur impact sur la société et l’économie. Cette distinction structure directement le niveau d’exigence attendu.
Les entités dites importantes sont soumises à un socle d’obligations, tandis que les entités essentielles doivent répondre à des exigences plus étendues et plus strictes.
Cette approche repose sur un principe de proportionnalité qui constitue l’un des fondements du ReCyF et de la Directive NIS 2. L’objectif est d’adapter les efforts de cybersécurité aux risques réels, en évitant d’imposer une charge excessive aux structures les moins exposées.
Structure globale du ReCyF : les 4 piliers
Le ReCyF s’articule autour de vingt objectifs de sécurité, organisés en quatre grands piliers :
1. Gouvernance
2. Protection
3. Défense
4. Résilience
Cette structuration offre un cadre cohérent avec la structuration des mesures de traitement des risques du guide méthodologique EBIOS RM, tout en facilitant son appropriation par les directions générales.
Chaque pilier correspond à une dimension essentielle de la cybersécurité et contribue à construire une approche globale basé sur les risques et la sécurité en profondeur, allant de la stratégie cybersécurité à la gestion opérationnelle des incidents.
Pilier 1 : Gouvernance
Pilier 2 : Protection
La gouvernance constitue le socle du référentiel et marque une évolution majeure dans la manière d’aborder la cybersécurité. Celle-ci n’est plus uniquement un sujet technique porté par la DSI ou le RSSI, mais un enjeu stratégique impliquant directement la direction générale. En ça le référentiel se rapproche de la norme ISO 27001 qui vise la mise en œuvre d’une gouvernance de la cybersécurité (Système de Management de la Sécurité de l’Information).
Le ReCyF insiste sur la nécessité de disposer d’une vision claire du système d’information, à travers des inventaires et des cartographies régulièrement mis à jour. Il impose également la formalisation d’une politique de sécurité, ainsi qu’une clarification des rôles et responsabilités au sein de l’organisation.
La gestion des fournisseurs et des partenaires est également intégrée à cette logique de gouvernance, traduisant une prise en compte des risques liés à la chaîne d’approvisionnement. Enfin, pour les entités essentielles, une approche formalisée de la gestion des risques et des audits réguliers viennent renforcer ce pilier.
Dans une perspective managériale, ce volet traduit une transformation profonde : la cybersécurité devient un sujet de pilotage stratégique, intégré aux décisions de l’entreprise.
Le pilier protection vise à réduire la surface d’exposition aux menaces et à prévenir les incidents. Il repose sur une approche structurée de la sécurisation des systèmes d’information, sans entrer dans des prescriptions techniques trop détaillées.
Le ReCyF encourage les organisations à maintenir leurs systèmes à jour, à maîtriser les accès et à structurer leur architecture de manière à limiter les risques de propagation en cas d’attaque. La gestion des identités et des accès, ainsi que la sécurisation des environnements d’administration, occupent une place centrale dans cette démarche.
La protection ne se limite pas aux systèmes numériques. Elle intègre également les dimensions physiques et organisationnelles, soulignant l’importance d’une approche globale de la sécurité.
Pour les directions, ce pilier doit être compris comme un investissement visant à réduire les vulnérabilités structurelles et à sécuriser les actifs critiques de l’entreprise.
Pilier 3 : Défense
Pilier 4 : Résilience
Le pilier défense se concentre sur la capacité des organisations à détecter et à réagir face aux incidents de sécurité. Dans un contexte où les attaques sont inévitables, l’enjeu n’est plus seulement de prévenir, mais aussi de savoir gérer efficacement les crises.
Le ReCyF met l’accent sur la mise en place de dispositifs de surveillance et de détection, ainsi que sur la formalisation de procédures de réponse aux incidents. Pour les entités les plus exposées (Entités essentielles), cela implique également une supervision continue et une capacité à analyser les événements de sécurité en temps réel.
D’un point de vue managérial, ce pilier souligne l’importance de la réactivité et de la coordination. Il s’agit de structurer une organisation capable de détecter, réagir et prendre des décisions rapides et adaptées en situation de crise.
La résilience constitue le dernier pilier du ReCyF et vise à garantir la continuité des activités malgré les incidents. Elle repose sur la capacité de l’organisation à anticiper les crises, à y faire face et à en tirer des enseignements.
Le référentiel insiste sur l’importance de disposer de plans de continuité et de reprise d’activité, ainsi que sur la nécessité de tester régulièrement ces dispositifs. La gestion de crise occupe également une place centrale, avec la mise en place de structures et de processus dédiés.
Au-delà des aspects techniques, ce pilier met en lumière une dimension essentielle : la capacité de l’organisation à rebondir. Pour les dirigeants, il s’agit de sécuriser la pérennité de l’entreprise face à des événements majeurs.
Logique de conformité du ReCyF
Le ReCyF introduit une approche pragmatique de la conformité, fondée sur une obligation de résultat plutôt que de moyens. Les organisations doivent démontrer leur capacité à atteindre les objectifs de sécurité, mais restent libres dans le choix des solutions mises en œuvre.
Cette flexibilité permet de s’appuyer sur des référentiels existants (ISO 27001 par exemple) ou sur des pratiques internes, à condition qu’elles soient pertinentes et justifiées. La conformité repose ainsi sur une logique de preuve, impliquant la production de documents, d’indicateurs et de résultats tangibles.
Pour les dirigeants, cela implique de structurer une démarche de pilotage et de suivi, intégrée aux processus de gouvernance.
Le ReCyF ne se substitue pas aux normes existantes, mais s’inscrit dans un écosystème plus large. Il facilite la convergence avec des référentiels internationaux reconnus, permettant aux organisations de capitaliser sur leurs démarches existantes.
Cette complémentarité constitue un atout pour les entreprises déjà engagées dans des démarches de certification ou de gestion des risques.
Impact organisationnel
L’adoption du ReCyF peut entraîner des transformations profondes au sein des organisations. Elle impose une implication accrue des directions générales et une intégration de la cybersécurité dans les décisions stratégiques.
Le rôle du RSSI évolue également, avec une dimension plus transverse et plus stratégique. Il devient un acteur clé de la gouvernance, chargé de coordonner les différentes parties prenantes.
Plus largement, la cybersécurité tend à s’intégrer dans l’ensemble des processus de l’entreprise, qu’il s’agisse des projets IT, des achats ou de la gestion des ressources humaines.
Si votre organisation est certifiée ISO 27001, cet outil proposé par l’ANSSI vous permet de comparer les exigences applicables à NIS 2 aux mesures déjà en place dans le cadre de votre certification : LIEN
Sanctions et contrôles
Limites et défis
Le cadre NIS2, auquel se rattache le ReCyF, prévoit des mécanismes de contrôle et des sanctions en cas de non-conformité. Ces sanctions peuvent être significatives, tant sur le plan financier que réputationnel.
Au-delà du risque de sanction, la conformité doit être perçue comme un levier de maîtrise des risques et de protection de l’activité. Elle contribue à renforcer la confiance des partenaires et des clients.
La mise en œuvre du ReCyF peut représenter un défi, notamment pour les structures disposant de ressources limitées. Elle nécessite un engagement fort de la direction et une capacité à conduire le changement.
Par ailleurs, la cybersécurité étant un domaine en constante évolution, les organisations doivent s’inscrire dans une logique d’amélioration continue, ce qui implique des efforts durables.
Comment se préparer concrètement ?
Il est important de commencer la mise en conformité légale à la future loi de transposition de NIS 2 en France dès maintenant car l’application de l’ensemble des exigences du ReCyF passe par une démarche progressive et structurée. Elle débute généralement par une évaluation de l’existant, permettant d’identifier les écarts par rapport aux exigences du référentiel.
Sur cette base, les organisations peuvent définir un plan d’action priorisé, en tenant compte de leurs enjeux et de leurs contraintes. La mise en œuvre doit s’accompagner d’un suivi régulier et d’une adaptation continue.
Dans une approche managériale, il est essentiel de mobiliser l’ensemble des parties prenantes et d’inscrire la cybersécurité dans une dynamique globale de gestion des risques.
>>> Télécharger le ReCyF : lien
