Introduction
ISO 27001 et ISO 27002 combinées couvrent environ 80 % des exigences NIS2 – soit une couverture forte ou partielle de 12 des 15 objectifs applicables aux entités importantes (EI). Mais trois objectifs restent quasiment hors de portée des normes ISO, et l’écart entre couverture partielle et conformité effective reste significatif.
1. ISO 27001 en 2026 : une adoption en forte accélération
Le 17 mars 2026, l’ANSSI a publié le Référentiel Cyber France (ReCyF), le document qui traduit concrètement les articles 20 et 21 de la directive NIS2 en 20 objectifs de sécurité. Dans ce contexte, la certification ISO 27001 connaît une accélération sans précédent à l’échelle mondiale.
Selon l’ANSSI, entre 10 000 et 15 000 entités françaises sont dans le périmètre NIS2. Cette pression réglementaire inédite pousse de nombreuses organisations à initier une démarche ISO 27001 comme point de départ structurant vers la conformité NIS2.
2. Le ReCyF : la boussole opérationnelle de NIS2 en France
Publié le 17 mars 2026 par Vincent Strubel, directeur général de l’ANSSI, le ReCyF est le premier document officiel qui traduit NIS2 en objectifs de sécurité concrets et mesurables.
Sa structure repose sur une logique claire : 20 objectifs de sécurité, avec pour chacun des moyens acceptables de conformité (MAC) permettant de démontrer l’atteinte des objectifs lors d’un contrôle ANSSI. Le ReCyF distingue deux régimes :
- Entités importantes (EI) : soumises aux 15 premiers objectifs
- Entités essentielles (EE) : soumises aux 20 objectifs, avec des exigences renforcées sur les 15 premiers
Formation NIS2 Directive Lead Implementer
Maîtrisez les 20 objectifs du ReCyF, conduisez un gap analysis et construisez un plan de mise en conformité structuré.
Formation certifiante reconnue.
3. ISO 27001 et ISO 27002 : deux outils complémentaires
ISO 27001 : le cadre de management
ISO 27001 est la norme certifiable. Elle définit les exigences pour établir, maintenir et améliorer un Système de Management de la Sécurité de l’Information (SMSI). Fondée sur une approche par les risques, elle couvre la gouvernance, la politique de sécurité, et l’amélioration continue – mais ne prescrit pas de mesures techniques concrètes.
ISO 27002 : le catalogue de contrôles
ISO 27002:2022 liste 94 contrôles répartis en 4 thèmes (organisationnels, humains, physiques, technologiques). C’est ce catalogue qui fournit les mesures techniques et organisationnelles concrètes permettant de satisfaire les sous-objectifs du ReCyF.
4. Analyse du mapping : combien d'objectifs EI sont couverts ?
L’ANSSI a publié un outil de comparaison des référentiels sur MesServicesCyber permettant de mesurer la correspondance entre les objectifs ReCyF et ISO 27001/27002/27005. Ce mapping utilise trois niveaux : faible/nulle, moyenne, élevée. Sur la base de cet outil et de l’analyse académique disponible, voici la répartition pour les 15 objectifs applicables aux entités importantes :
Lecture détaillée objectif par objectif
Besoin d'un gap analysis ReCyF pour votre organisation ?
Devforma accompagne les entités importantes et essentielles dans l’identification de leurs écarts et la construction de leur plan de remédiation.
5. Les 20 % restants : où ISO 27001/27002 ne suffit pas
Lacune 1 - La gestion de crise opérationnelle (O14)
Le ReCyF exige des procédures de crise cyber formalisées : cellule de crise constituée, plans de communication internes et externes, protocoles de contact ANSSI/CSIRT, et tests de ces procédures. ISO 27001 évoque la gestion des incidents mais n’impose pas ce niveau de préparation à la crise sectorielle.
Lacune 2 - Les exercices et entraînements (O15)
C’est l’angle mort le plus flagrant. Ni ISO 27001 ni ISO 27002 ne prescrivent d’exercices de simulation réguliers. Le ReCyF en fait un objectif à part entière, avec des attentes précises sur la fréquence et la nature des exercices (tabletop, simulation d’incident, red team).
Lacune 3 - La supply chain (O3)
ISO 27002 traite la sécurité de la chaîne d’approvisionnement, mais le ReCyF impose un niveau de formalisation contractuelle et d’évaluation des tiers qui dépasse les recommandations ISO – notamment pour les prestataires ayant un impact sur la continuité d’activité.
Formation ISO 27001 Lead Implementer
Maîtrisez la mise en œuvre complète d’un SMSI ISO 27001:2022 – le socle indispensable avant d’aborder le ReCyF et NIS2.
Formation certifiante, méthode PECB.
6. Entités importantes vs essentielles : ce que le ReCyF différencie
Une des innovations majeures du ReCyF est son principe de proportionnalité explicite. Les 5 objectifs supplémentaires réservés aux entités essentielles (O16 à O20) représentent un niveau d’exigence qualitativement différent.
Conclusion
ISO 27001 et ISO 27002 restent les meilleurs investissements structurants pour une entité soumise à NIS2. Elles couvrent 80 % des exigences globales de la directive – soit 12 des 15 objectifs EI du ReCyF – et posent les fondations indispensables de tout programme de conformité durable.
Mais les 20 % restants ne sont pas anecdotiques : ils portent sur la gestion de crise opérationnelle, les exercices de simulation et la formalisation contractuelle des tiers. Pour une organisation déjà certifiée ISO 27001, l’effort résiduel est identifiable, limité et planifiable.
Le ReCyF, publié le 17 mars 2026, offre pour la première fois un cadre précis pour conduire ce travail – et l’ANSSI presse les entités de ne pas attendre la transposition législative pour s’y engager.
Devforma vous accompagne de A à Z
Diagnostic de maturité, feuille de route priorisée, structuration de la gouvernance et préparation aux contrôles ANSSI. Nos consultants interviennent sur mesure, quelle que soit votre taille et votre niveau de maturité initial.
