Introduction
Le 17 mars 2026, au Campus Cyber, l’ANSSI a présenté le ReCyF, Référentiel Cyber France, en version de travail, comme point d’appui structurant pour préparer les futures entités concernées à NIS 2. L’Agence a rassemblé les acteurs institutionnels, sectoriels et publics concernés par NIS 2 afin de les encourager à s’inscrire dans la dynamique de sécurisation à grande échelle portée par la directive. À cette occasion, elle a dévoilé le Référentiel Cyber France, dit ReCyF : un document de travail structurant qui définit concrètement ce que les organisations devront mettre en place.
Pour les RSSI, les dirigeants et les équipes de conformité, ce document n’est pas une simple formalité. Il constitue la colonne vertébrale opérationnelle de NIS 2 en France. Cet article en décrypte la logique, les 20 objectifs de sécurité et leur portée différenciée selon la catégorie des entités. Pour comprendre comment NIS 2 reconfigure plus largement le marché de la cybersécurité et le rôle du conseil, vous pouvez également consulter notre analyse : NIS 2 : Vision 2026 : Comment la directive transforme le marché de la cybersécurité et le conseil
Qu'est-ce que le ReCyF ? Un référentiel conçu pour structurer la conformité NIS 2
Le ReCyF liste les mesures recommandées par l’ANSSI pour atteindre les objectifs de sécurité fixés par NIS 2. Il correspond au référentiel de cybersécurité mentionné à l’article 14 du projet de loi Résilience. Diffusé à ce stade comme document de travail et, par défaut, non obligatoire, il permettra aux futurs assujettis qui décideront de l’appliquer de s’en prévaloir en cas de contrôle de l’ANSSI.
Sa structure repose sur une mécanique précise : il se compose d’objectifs de sécurité et, pour chacun d’eux, de moyens acceptables de conformité. L’objectif de sécurité est l’obligation fixée par le décret, à laquelle doit se conformer l’entité. Les moyens acceptables de conformité sont les mesures proposées par l’ANSSI pour atteindre cet objectif, ils ne sont pas d’application obligatoire mais permettent aux entités de démontrer leur atteinte des objectifs lors d’un contrôle.
Ce modèle « objectif + moyens » tranche avec une approche purement prescriptive. Il offre une flexibilité encadrée, conforme à la philosophie de NIS 2 : exiger un résultat de sécurité tout en laissant aux organisations une marge d’adaptation à leur contexte. Le référentiel intègre un principe de proportionnalité selon lequel le niveau d’effort attendu est adapté à la maturité des entités et aux ressources dont elles disposent.
Un point juridique important à retenir : NIS 2 devait être transposé avant le 17 octobre 2024, la France accuse donc un retard significatif. À ce stade, l’examen en hémicycle du projet de loi a été annoncé pour la session extraordinaire de juillet 2026, dans un contexte de retard de transposition. Le ReCyF restera un document de travail jusqu’à cette transposition, mais le directeur général de l’ANSSI presse les entités concernées de ne surtout pas attendre pour le mettre en œuvre.
Une architecture différenciée : 15 objectifs pour tous, 5 supplémentaires pour les entités essentielles
Le ReCyF opère une distinction fondamentale entre deux catégories d’entités réglementées par NIS 2. Les entités importantes (EI) et les entités essentielles (EE) sont toutes deux soumises aux objectifs 1 à 15. Ces objectifs couvrent les fondamentaux de la cybersécurité : inventaire, gouvernance, maîtrise des accès, protection technique et gestion de crise.
Les entités essentielles : doivent en outre répondre aux objectifs 16 à 20, qui portent sur des exigences de maturité avancée : approche par les risques formalisée, audit, configuration sécurisée, administration dédiée et supervision active.
Cette gradation traduit une logique de régulation fondée sur le risque : plus l’impact potentiel d’une défaillance est élevé pour la société, plus les exigences de sécurité sont renforcées. C’est une approche cohérente avec les cadres académiques de gestion des risques des systèmes critiques, notamment les travaux du NIST sur le Cybersecurity Framework ou les publications de l’ENISA sur la mesure de la maturité cyber des opérateurs d’importance vitale.
Les 20 objectifs de sécurité du ReCyF : analyse et enjeux
Objectifs 1 à 5 : La fondation : connaître, gouverner, piloter
Objectif 1 : Recensement des systèmes d'information
On ne peut protéger ce qu’on ne connaît pas. Ce premier objectif impose à toute entité de disposer d’une cartographie fiable de ses systèmes d’information. Dans un contexte où la complexité des SI s’est considérablement accrue (cloud hybride, environnements OT, télétravail généralisé, shadow IT )cette étape est à la fois la plus évidente et la plus sous-estimée. Les audits de conformité révèlent régulièrement que l’incomplétude des inventaires figure parmi les premières causes d’exposition aux attaques.
Objectif 2 : Mise en œuvre d'un cadre de gouvernance de la sécurité numérique
La gouvernance n’est plus une option stratégique : elle est une obligation réglementaire. Cet objectif impose une approche systémique de la cybersécurité. Les entités doivent mettre en place un cadre de gestion des risques intégrant une évaluation périodique, une politique de sécurité documentée et une implication explicite des parties prenantes internes, à commencer par la direction générale, dont la responsabilité personnelle peut désormais être engagée en cas de manquement avéré.
Objectif 3 : Maîtrise de l'écosystème
La chaîne d’approvisionnement numérique est devenue l’un des vecteurs d’attaque les plus exploités de la dernière décennie. L’objectif 3 impose une vigilance étendue aux tiers : prestataires, sous-traitants, fournisseurs de services cloud. Cette exigence résonne directement avec les grandes crises de supply chain cyber observées ces dernières années. Pour les entités assujetties, cela implique une contractualisation rigoureuse des exigences de sécurité et une évaluation continue des risques liés aux tiers.
Objectif 4 : Intégration de la sécurité numérique dans la gestion des ressources humaines
L’humain reste le maillon le plus sollicité par les attaquants. Cet objectif couvre le cycle complet du collaborateur : recrutement, intégration, formation, changement de poste et départ. Les dirigeants sont eux-mêmes soumis à une obligation de formation afin d’acquérir les connaissances nécessaires à l’évaluation des risques et à la supervision des pratiques de sécurité.
Objectif 5 : Maîtrise des systèmes d'information
Connaître ses SI est une condition nécessaire, mais insuffisante. Les maîtriser implique une gestion rigoureuse du cycle de vie des actifs numériques : processus de mise à jour, de décommissionnement et de qualification des changements. La dérive de configuration reste l’une des causes premières de vulnérabilités exploitables en production.
Objectifs 6 à 11 : La protection technique : sécuriser, cloisonner, contrôler
Objectif 6 : Maîtrise des accès physiques aux locaux
La sécurité physique est souvent le parent pauvre des plans de cybersécurité. Pourtant, l’accès non contrôlé à une salle serveur ou à un poste de travail non verrouillé peut contourner l’ensemble des protections logiques. Cet objectif impose une politique de contrôle d’accès physique cohérente avec les risques identifiés, intégrée dans le dispositif global de sécurité.
Objectif 7 : Sécurisation de l'architecture des systèmes d'information
La conception sécurisée est au cœur de cet objectif. Il recouvre la segmentation réseau, le cloisonnement des environnements sensibles, la gestion des flux entre zones et la réduction méthodique de la surface d’attaque. Les entités doivent réaliser un inventaire exhaustif de leurs actifs et établir une séparation des environnements selon leur criticité, notamment entre IT et OT pour les entités industrielles.
Objectif 8 : Sécurisation des accès distants aux systèmes d'information
Avec la généralisation du télétravail et des architectures hybrides, les accès distants constituent une surface d’attaque majeure. Cet objectif impose des mesures d’authentification forte, de chiffrement des flux et de contrôle des terminaux distants. Le seul recours au VPN ne suffit pas à résumer la sécurisation des accès distants : l’enjeu est de combiner authentification forte, contrôle des accès, sécurité des terminaux et protection des flux.
Objectif 9 : Protection des systèmes d'information contre les codes malveillants
Antivirus, EDR, analyse comportementale, protection des messageries et des espaces de collaboration : cet objectif couvre l’ensemble du dispositif anti-malware. Dans un contexte où les ransomwares continuent de cibler les entités publiques et privées avec une fréquence et une sophistication croissantes, cette ligne de défense représente un investissement non négociable.
Objectif 10 : Gestion des identités et des accès des utilisateurs
La gestion des identités constitue l’un des chantiers les plus structurants pour les organisations. Il s’agit d’appliquer rigoureusement le principe du moindre privilège, de contrôler les accès de bout en bout, de gérer les cycles de vie des comptes et de garantir que chaque utilisateur n’accède qu’aux ressources strictement nécessaires à ses missions.
Objectif 11 : Maîtrise de l'administration des systèmes d'information
Les comptes d’administration sont les clés du royaume numérique. Cet objectif impose une traçabilité et une sécurisation renforcées de toutes les opérations d’administration : journalisation exhaustive, séparation des rôles et des responsabilités, interdiction formelle des usages mixtes. La compromission d’un compte administrateur est statistiquement le point de bascule le plus fréquent dans les attaques avancées.
Objectifs 12 à 15 : La résilience : détecter, répondre, apprendra
Objectif 12 : Identification et réaction aux incidents de sécurité
Aucune organisation n’est à l’abri d’un incident. Ce qui différencie celles qui s’en remettent rapidement de celles qui en sortent durablement fragilisées, c’est leur capacité à détecter tôt et à répondre avec méthode. Cet objectif impose la mise en place de processus structurés de détection, d’analyse et de réponse aux incidents, incluant les obligations de notification à l’ANSSI dans les délais prévus par la directive.
Objectif 13 : Continuité et reprise d'activité
Plans de continuité (PCA) et plans de reprise (PRA) ne sont plus des options. Les entités doivent définir et maintenir à jour des plans adaptés aux besoins réels de leurs activités et services. Le test régulier de ces plans est une condition sine qua non de leur efficacité : un plan non exercé n’est qu’une hypothèse non vérifiée.
Objectif 14 : Réaction aux crises d'origine cyber
Au-delà de l’incident technique, la crise cyber engage la direction générale, les équipes de communication, les partenaires et les autorités. Cet objectif impose une organisation de gestion de crise spécifiquement calibrée pour les événements d’origine cyber, distincte et complémentaire des processus de gestion de crise généraux. La dimension décisionnelle et communicationnelle y est aussi importante que la dimension technique.
Objectif 15 : Exercices, tests et entraînements
Les entités sont tenues d’organiser des exercices à intervalles réguliers pour vérifier la capacité de leur organisation, de leurs processus, de leurs outils et de leurs équipes à faire face concrètement aux incidents de sécurité et aux crises d’origine cyber. S’entraîner régulièrement est la seule façon de valider que les dispositifs fonctionnent réellement sous pression et d’identifier les failles avant qu’un attaquant ne les découvre.
À ce stade, une question devient centrale : Comment transformer ces objectifs en trajectoire de mise en conformité réaliste, priorisée et pilotable ? C’est là que se joue la différence entre lecture du référentiel et mise en œuvre effective.
Comprendre les exigences du ReCyF est une chose. Savoir les opérationnaliser ; conduire un gap analysis rigoureux, prioriser les chantiers, définir une trajectoire de mise en conformité réaliste et piloter sa mise en œuvre, en est une autre. Notre formation NIS 2 Directive Lead Implementer vous donne précisément ces compétences. Elle s’adresse aux RSSI, DSI, consultants en cybersécurité, risk managers et dirigeants d’entités assujetties qui veulent jouer un rôle actif dans la conformité NIS 2 de leur organisation.
Objectifs 16 à 20 : L'excellence : réservés aux entités essentielles
Ces cinq objectifs supplémentaires s’adressent aux entités dont la défaillance aurait les conséquences les plus graves pour la société. Ils traduisent une exigence de maturité cybersécurité avancée, au-delà de la mise en conformité de base.
Objectif 16 : Mise en œuvre d'une approche par les risques
Au-delà d’une conformité formelle aux mesures techniques, cet objectif impose une démarche analytique et continue : identification méthodique des menaces spécifiques à l’entité, évaluation des impacts potentiels, priorisation des traitements selon l’exposition réelle. L’entité est responsable d’une approche « tous risques » qui couvre non seulement les cyberattaques malveillantes, mais aussi les erreurs humaines, les pannes système et les incidents d’origine physique.
Objectif 17 : Audit de la sécurité des systèmes d'information
Les entités essentielles doivent soumettre leur sécurité à des audits réguliers, internes et externes. Ce n’est pas une auto-évaluation : c’est une vérification tierce indépendante de l’efficacité réelle des mesures mises en place. Les résultats d’audit ne sont pas une fin en soi, ils alimentent directement le processus d’amélioration continue et la démonstration de conformité en cas de contrôle ANSSI.
Objectif 18 : Sécurisation de la configuration des ressources des systèmes d'information
Le durcissement de configuration (hardening) constitue l’une des mesures à plus fort retour sur investissement en cybersécurité. Cet objectif impose de s’écarter des configurations par défaut, généralement trop permissives,pour appliquer des référentiels de configuration sécurisée adaptés à chaque type de ressource. C’est une mesure d’hygiène fondamentale dont l’absence continue d’expliquer un grand nombre d’intrusions réussies.
Objectif 19 : Administration des systèmes d'information depuis des ressources dédiées
Les opérations d’administration doivent être conduites depuis des environnements isolés et dédiés, pour éviter qu’un attaquant ayant compromis un poste utilisateur standard ne puisse rebondir vers les systèmes d’administration. C’est le principe du bastion d’administration, recommandé de longue date par l’ANSSI dans ses guides de sécurité pour les opérateurs critiques.
Objectif 20 : Supervision de la sécurité des systèmes d'information
La supervision active représente le niveau ultime de maturité opérationnelle. Elle suppose une capacité de surveillance continue des événements de sécurité, d’analyse des anomalies et de réponse en temps quasi-réel. Pour les entités essentielles, cela implique soit de constituer un SOC interne, soit de faire appel à un SOC externalisé qualifié par l’ANSSI. Sans supervision active, les objectifs 1 à 19 restent des dispositifs aveugles.
Ce que ce référentiel change pour votre organisation
NIS 2 ne doit pas être traité comme un projet ponctuel avec une date de fin. Il s’agit d’une transformation continue de la posture de sécurité, avec une logique d’amélioration permanente. Les organisations doivent structurer une trajectoire de maturité cyber sur plusieurs années, avec des jalons clairs, mesurables et auditables.
Au-delà des équipes techniques, NIS 2 impose un changement de posture au niveau des directions générales. Les dirigeants ne peuvent plus déléguer intégralement la cybersécurité à leur RSSI ou DSI : leur responsabilité personnelle peut désormais être engagée en cas de manquement avéré. C’est un changement de paradigme majeur dans la gouvernance des organisations françaises.
Les organisations qui abordent cette transformation avec méthode, en s’appuyant sur une lecture rigoureuse du ReCyF, une priorisation fondée sur leur exposition réelle et une montée en compétences ciblée, sortiront renforcées de cet exercice. Celles qui attendent seront prises dans une course contre la montre réglementaire.
Conclusion : préparez votre conformité NIS 2 dès maintenant
L’ANSSI est claire : ne pas attendre la réglementation pour agir. Le ReCyF est disponible. La fenêtre d’action est ouverte. Et le temps que prend une mise en conformité sérieuse sur 20 objectifs ne laisse aucune place à la procrastination. Pour passer de la lecture du ReCyF à une trajectoire opérationnelle, deux leviers sont particulièrement utiles : la montée en compétences des équipes en charge de la conformité et un accompagnement structuré sur les chantiers prioritaires. Se former pour piloter la conformité : Notre formation NIS 2 Directive Lead Implementer vous donne les méthodes pour conduire un gap analysis, construire un plan de mise en conformité structuré et piloter les chantiers correspondant aux 20 objectifs du ReCyF. Une certification reconnue, ancrée dans la réalité opérationnelle de la directive. Être accompagné sur mesure : Notre équipe de consultants spécialisés vous accompagne de l’analyse initiale jusqu’à la mise en place opérationnelle des 20 objectifs : diagnostic de maturité, feuille de route priorisée, structuration de la gouvernance, préparation aux contrôles ANSSI, intégration avec vos démarches réglementaires existantes (DORA, RGPD…). Chaque mission est calibrée à votre secteur, taille et à votre niveau de maturité initial → Prenez contact avec notre équipe conseil NIS2
