Aller au contenu

Sekost

Logo Sekost by YesWeHack - Bleu
Flash offert
Accueil Règlementation Référentiel ReCyF : mode d’emploi pour les PME

Référentiel ReCyF : mode d’emploi pour les PME

La directive européenne NIS 2 établit un cadre juridique pour élever le niveau de cybersécurité des organisations au sein des 27 États membres de l’UE. Cette réglementation devait être transposée dans le droit français avant le 17 octobre 2024 à travers le projet de loi nommé “Résilience des infrastructures critiques et renforcement de la cybersécurité”. Si plusieurs pays européens comme l’Italie, la Belgique, l’Allemagne, ou le Portugal ont déjà transposé la directive NIS 2, la France accuse du retard. Le projet de loi ne sera pas examiné avant juillet 2026 au plus tôt

Un homme regarde une checklist pour illustrer le guide ReCyF
L’ANSSI lance le référentiel ReCyF pour aider les entreprises à anticiper la mise en conformité NIS 2

Dans ce contexte, l’ANSSI prend les devants. Le 17 mars 2026, l’Agence nationale de la sécurité des systèmes d’information a dévoilé le ReCyF (Référentiel Cyber France), un guide structuré pour aider les organisations à anticiper les obligations de NIS 2 et à renforcer dès maintenant leur niveau de cybersécurité.

Dans cet article, vous découvrirez :

  • ce qu’est le ReCyF,
  • à qui il s’adresse et si votre entreprise est concernée,
  • ce que contient concrètement le référentiel et comment l’utiliser,
  • le calendrier législatif à anticiper.

1. Qu’est-ce que le ReCyF ?

1.1 Le ReCyF, un référentiel technique de mise en conformité à la directive NIS 2

Le ReCyF est le référentiel de cybersécurité mentionné à l’article 14 du projet de loi Résilience, qui définit les mesures techniques et organisationnelles que les entités concernées par la directive NIS 2 devront mettre en œuvre. Tant que la loi Résilience n’est pas promulguée, le ReCyF n’a pas de valeur légale contraignante.

Diffusé en tant que document de travail par l’ANSSI, ce guide d’aide à la mise en conformité à NIS 2 a été conçu pour permettre aux organisations d’engager les bonnes démarches sans attendre l’adoption de la loi. Le document peut donc encore évoluer sur certains points. Pour autant, les grands objectifs de sécurité qu’il décrit sont pertinents dès aujourd’hui. 

Toutes les organisations concernées par la directive NIS 2 devront mener un travail conséquent de mise en conformité. Le ReCyF vous permet donc d’anticiper les échéances légales, et de prioriser les actions à mettre en œuvre en fonction de votre situation.

Il est important de noter que le ReCyF intègre un principe de proportionnalité. Le niveau d’effort attendu s’adapte à la taille et à la maturité de votre entreprise… ainsi qu’aux ressources dont elle dispose. Il ne s’agit donc pas d’un référentiel conçu uniquement pour les grandes organisations.

1.2 À qui s’adresse le ReCyF ?

Le ReCyF s’adresse avant tout aux organisations soumises à la directive NIS 2. La réglementation distingue deux catégories d’acteurs :

  • Les entités essentielles (EE) : il s’agit des structures de plus de 250 salariés, ou dont le chiffre d’affaires dépasse 50 M€, et qui opèrent dans des secteurs considérés hautement critiques comme la santé, l’énergie, les transports, la banque, ou encore les infrastructures numériques.
  • Les entités importantes (EI) : il s’agit des structures de plus de 50 salariés, ou dont le chiffre d’affaires dépasse 10 M€, qui exercent dans des secteurs d’activité critiques élargis comme les services postaux, la gestion des déchets, l’industrie, les services numériques, etc.

Les entités essentielles sont soumises aux exigences les plus strictes… et aux sanctions les plus élevées en cas de manquement. Les entités importantes bénéficient d’obligations allégées, mais restent assujetties à la directive NIS 2.

Attention : en tant que PME, votre entreprise peut être concernée par la directive NIS 2 de façon indirecte. En effet, les EE et les EI ont l’obligation de maîtriser les risques cyber liés à leurs sous-traitants, fournisseurs et prestataires. Si vos clients sont soumis à NIS 2, ils peuvent être tenus de vous imposer des exigences contractuelles en matière de cybersécurité.

Plus largement, le ReCyF peut servir de guide de référence à toute organisation qui souhaite structurer sa démarche cyber, indépendamment de toute obligation légale. 

Pour vérifier si votre organisation est dans le périmètre NIS 2, l’ANSSI met à disposition un simulateur sur la plateforme MonEspaceNIS2.

2. ReCyF : 20 objectifs pour structurer votre mise en conformité NIS 2

2.1 La structure du référentiel ReCyF

Le ReCyF s’articule autour de 20 objectifs de sécurité.

Applicables aux entités importantes et essentielles (EI et EE) :

  1. Recenser ses systèmes d’information
  2. Mettre en œuvre un cadre de gouvernance de la sécurité numérique
  3. Maîtriser son écosystème
  4. Intégrer la sécurité numérique dans la gestion des ressources humaines
  5. Maîtriser ses systèmes d’information
  6. Maîtriser les accès physiques à ses locaux
  7. Sécuriser l’architecture de ses systèmes d’information
  8. Sécuriser les accès distants à ses systèmes d’information
  9. Protéger ses systèmes d’information contre les codes malveillants
  10. Gérer les identités et les accès des utilisateurs à ses systèmes d’information
  11. Maîtriser l’administration de ses systèmes d’information
  12. Identifier et réagir aux incidents de sécurité
  13. Assurer la continuité et la reprise d’activité
  14. Réagir aux crises d’origine cyber
  15. Organiser des exercices, tests et entraînements

Applicables aux entités essentielles uniquement (EE) :

  1. Mettre en œuvre une approche par les risques
  2. Auditer la sécurité de ses systèmes d’information
  3. Sécuriser la configuration des ressources de ses systèmes d’information
  4. Administrer ses systèmes d’information depuis des ressources dédiées
  5. Superviser la sécurité de ses systèmes d’information

Pour atteindre ces objectifs, vous devez développer une vision claire du niveau d’exposition de votre entreprise aux cybermenaces. Pour y parvenir, votre PME peut commencer par réaliser un audit de cybersécurité afin de mesurer son niveau d’exposition. Sekost vous accompagne dans cette démarche, en effectuant à distance une cartographie complète de votre environnement numérique afin de vous aider à prioriser les actions correctives à mener.

Le ReCyF effectue une distinction importante entre :

  • Les objectifs de sécurité, qui décrivent le résultat attendu. Ils sont prescriptifs et ont vocation à devenir obligatoires avec l’entrée en vigueur de la loi.
  • Les moyens acceptables de conformité, qui décrivent les moyens pour parvenir à ce résultat. Ils sont indicatifs : votre organisation est libre de choisir d’autres approches, à condition de pouvoir démontrer qu’elle atteint l’objectif visé. Cette flexibilité permet aux structures de s’adapter selon leur contexte, leur secteur et leurs contraintes, sans être enfermées dans une approche unique.

Pour aller plus loin sur la réglementation NIS 2, vous pouvez également consulter notre article dédié sur les obligations de la directive pour les entreprises.

2.2 Un outil de comparaison des référentiels

En plus du ReCyF, l’ANSSI a mis en ligne un outil de comparaison des référentiels, accessible sur le site MesServicesCyber. Il permet de comparer le ReCyF avec d’autres référentiels cyber existants comme les normes ISO 27001, ISO 27002, ISO 27005, ainsi que des normes sectorielles ou des réglementations nationales et européennes.

Par exemple, si votre organisation est déjà certifiée ISO 27001 ou engagée dans une démarche similaire, l’outil identifie les écarts à combler pour s’aligner sur le ReCyF et NIS 2. Il évite les doublons, valorise le travail déjà réalisé et accélère la mise en conformité.

Cet outil s’adresse en priorité aux entités déjà engagées dans une démarche d’amélioration continue de leur niveau de cybersécurité. Si votre PME part de zéro, mieux vaut commencer par suivre les objectifs de sécurité du ReCyF lui-même.

3. ReCyF et NIS 2 : les prochaines échéances

Le projet de loi Résilience sera examiné à l’Assemblée nationale au mois de juillet 2026 au plus tôt. Une fois adopté, le texte devra être promulgué et publié au Journal officiel. Le ReCyF ne deviendra un référentiel définitif qu’après cette étape, et la consultation publique qui s’en suivra.

Une fois la loi promulguée, les entités concernées disposeront de trois ans pour se mettre en conformité. L’ANSSI débutera ses contrôles à l’issue de ce délai. Certaines obligations, comme la notification des incidents significatifs à l’ANSSI, seront exigibles dès l’entrée en vigueur de la loi. Les sanctions prévues en cas de non-conformité sont significatives :

  • Pour les entités essentielles : jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires mondial.
  • Pour les entités importantes : jusqu’à 7 millions d’euros ou 1,4 % du chiffre d’affaires mondial.

En attendant cette échéance, l’ANSSI a ouvert un service de pré-enregistrement volontaire sur la plateforme MonEspaceNIS2. Cette démarche permet aux entreprises de se faire connaître de l’ANSSI en amont de l’entrée en vigueur de la loi, de faciliter leur enregistrement officiel le moment venu, et de recevoir les communications et mises à jour de l’Agence sur le sujet. 

N’attendez pas pour agir. La mise en conformité est un travail de long terme qui doit débuter dès maintenant. Votre entreprise peut en tirer une valeur ajoutée à court terme, car les cyber-assureurs exigent de plus en plus des preuves de démarches de sécurisation pour maintenir leur couverture ou éviter une hausse des primes. C’est également le cas de vos clients grands comptes, qui renforcent leurs exigences en matière de cybersécurité : pour rester dans la course et continuer à collaborer avec ces entreprises, vous pouvez suivre les préconisations du ReCyF.

Pour les structures les moins matures, l’ANSSI prévoit la publication prochaine d’un référentiel de mesures basiques. Celui-ci sera publié dans le cadre du programme Cyber Départ, un dispositif d’accompagnement de l’ANSSI destiné aux organisations qui souhaitent initier leur première démarche de cybersécurité.  Ce document identifiera les mesures les moins coûteuses à mettre en œuvre et à fort impact immédiat : il s’agira donc d’un point de départ particulièrement adapté pour les TPE et PME qui n’ont pas encore amorcé de démarche structurée.

Conclusion

Le ReCyF n’est pas une réglementation supplémentaire, mais un outil d’aide à la mise en conformité publié par l’ANSSI. Son objectif est de vous permettre d’anticiper la transposition de la directive NIS 2 et de renforcer votre niveau de cybersécurité, sans attendre que le cadre légal soit finalisé. 

Que votre organisation soit directement assujettie à NIS 2, sous-traitante d’une entité concernée, ou simplement soucieuse de progresser sur ces sujets, le ReCyF offre un cadre clair et actionnable. 

Les entreprises qui entament dès maintenant une démarche pour répondre aux objectifs du ReCyF auront déjà accompli une grande partie de leur mise en conformité le jour où la loi entrera en vigueur. Et surtout : elles n’attendront pas trois ans de plus pour réduire leur niveau d’exposition aux cybermenaces.

une jauge graduée du vert au rouge foncé qui point vers le rouge clair

Besoin d’un audit cyber ?

Notre équipe identifie les failles avant les attaquants. 100% à distance, sans rien installer.

Demander un audit gratuit