ReCyF (Référentiel Cyber France) : définition, objectifs et obligations NIS 2

‍

Le ReCyF est le référentiel de cybersécurité français issu de la directive européenne NIS 2. Il définit 20 objectifs de sécurité pour les entités importantes et essentielles, et précise les moyens acceptables pour en démontrer la conformité.

‍

Qu'est-ce que le ReCyF ?

‍

Le ReCyF (Référentiel Cyber France) est le cadre réglementaire national qui traduit concrètement les obligations de la directive européenne NIS 2 en matière de gestion des risques cyber.

Il se compose de deux niveaux distincts :

Les objectifs de sécurité : ce sont les obligations réglementaires fixées par décret. Leur atteinte est obligatoire. Ils répondent à la question "Quoi faire ?".

Les moyens acceptables de conformité : ce sont les mesures concrètes proposées par l'ANSSI pour atteindre chaque objectif. Leur application n'est pas obligatoire (une entité peut y substituer des mesures alternatives) mais les adopter permet de faciliter la démonstration de conformité lors d'un contrôle. Ils répondent à la question "Comment faire ?".

‍

Pourquoi le ReCyF a-t-il été créé ?

‍

Le ReCyF s'inscrit dans la transposition nationale de la directive NIS 2 via le Projet de Loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité (PJL).

Son objectif est double : donner aux entités concernées un cadre clair et actionnable pour élever leur niveau de sécurité, et permettre à l'ANSSI de contrôler le respect de ces obligations de manière homogène sur l'ensemble du territoire.

‍

À qui s'applique le ReCyF ?

‍

Le ReCyF s'applique à trois catégories d'entités :

Les Entités Importantes (EI)

‍Elles sont soumises aux objectifs de sécurité 1 à 15. Ce socle couvre la gouvernance, la protection des systèmes, la défense et la résilience de base.

Les Entités Essentielles (EE)

‍Elles sont soumises à l'intégralité des 20 objectifs — les 15 communs avec les EI, plus 5 objectifs supplémentaires (16 à 20) qui imposent notamment une approche par les risques, des audits réguliers, le durcissement des configurations, l'administration depuis des ressources dédiées et la supervision de sécurité.

Les Opérateurs d'Importance Vitale (OIV)

Les Opérateurs d’Importance Vitale (OIV) pourraient également être concernés pour certains systèmes d’information, en fonction de l’articulation finale entre les cadres LPM et ReCyF.

‍

Le principe de proportionnalité s'applique : les objectifs 16 à 20 ne concernent que les EE, en raison de leur niveau de criticité plus élevé.

‍

Comment fonctionne le ReCyF ? Objectifs vs Moyens de conformité

‍

La logique du ReCyF repose sur une séparation claire entre la fin (l'objectif) et les moyens (la façon d'y parvenir).

Une entité peut démontrer sa conformité à un objectif de deux façons :

• En appliquant les moyens acceptables de conformité listés dans le référentiel ;
• En mettant en œuvre des mesures alternatives, à condition d'en documenter les justifications. L'ANSSI peut alors apprécier la pertinence de ces alternatives lors d'un contrôle.

Certains moyens permettent également de se prévaloir de certifications ou qualifications reconnues : la norme ISO/IEC 27001:2022, les prestations qualifiées ANSSI (PASSI, PACS, PAMS, PDIS) constituent des preuves recevables pour couvrir tout ou partie de certains objectifs.

‍

Les 20 objectifs de sécurité du ReCyF

‍

Les 4 piliers du ReCyF

Le ReCyF organise ses 20 objectifs autour de quatre piliers :

‍

Gouvernance (6 objectifs) : poser les fondations organisationnelles et stratégiques de la sécurité numérique.

• OS1 — Recensement des systèmes d'information
• OS2 — Mise en œuvre d'un cadre de gouvernance de la sécurité numérique
• OS3 — Maîtrise de l'écosystème (fournisseurs et prestataires)
• OS4 — Intégration de la sécurité dans la gestion des ressources humaines
• OS16 — Mise en œuvre d'une approche par les risques (EE uniquement)
• OS17 — Audit de la sécurité des systèmes d'information (EE uniquement)

Protection (9 objectifs) : sécuriser les systèmes, les accès et l'architecture technique.

• OS5 — Maîtrise des systèmes d'information (cartographie, patching)
• OS6 — Maîtrise des accès physiques aux locaux
• OS7 — Sécurisation de l'architecture des SI
• OS8 — Sécurisation des accès distants
• OS9 — Protection contre les codes malveillants
• OS10 — Gestion des identités et des accès (IAM)
• OS11 — Maîtrise de l'administration des SI
• OS18 — Sécurisation de la configuration des ressources (EE uniquement)
• OS19 — Administration depuis des ressources dédiées (EE uniquement)

Défense (2 objectifs) : détecter et réagir aux incidents.

• OS12 — Identification et réaction aux incidents de sécurité
• OS20 — Supervision de la sécurité des SI (EE uniquement)

Résilience (3 objectifs) : maintenir l'activité et se remettre des crises cyber.

• OS13 — Continuité et reprise d'activité
• OS14 — Réaction aux crises d'origine cyber
• OS15 — Exercices, tests et entraînements

‍

ReCyF et NIS 2 : quelle relation ?

‍

Le ReCyF est la traduction opérationnelle française des obligations de l'article 21 de la directive NIS 2, qui impose aux entités de prendre des mesures appropriées pour gérer les risques pesant sur leurs réseaux et systèmes d'information.

Chaque objectif de sécurité du ReCyF correspond à une ou plusieurs dispositions de NIS 2. Par exemple : l'OS12 (gestion des incidents) répond à l'article 21.2.b ; l'OS13 (continuité d'activité) à l'article 21.2.c ; l'OS10 (gestion des identités) à l'article 21.2.j.

‍

Comment démontrer sa conformité au ReCyF ?

‍

Lors d'un contrôle ANSSI, une entité peut s'appuyer sur plusieurs types de preuves :

• La documentation interne : liste des SI, analyse de conformité, plan d'action, PSSI, cartographie de l'écosystème ;
• Les certifications reconnues : ISO/IEC 27001:2022 pour les objectifs de gouvernance et de gestion des risques ;
• Les prestations qualifiées ANSSI : PASSI (audit), PACS (conseil), PAMS (administration sécurisée), PDIS (détection d'incidents) ;
• Les mesures alternatives documentées, dont la pertinence sera appréciée par l'ANSSI.

‍

FAQ

Le ReCyF est-il déjà en vigueur ?

‍Le document est actuellement une version de travail (v2.5 du 17/03/2026). Son entrée en vigueur définitive est liée à la publication du décret pris en application de l'article 14 du PJL.

Quelle est la différence entre EI et EE dans le ReCyF ?

‍Les Entités Essentielles ont des obligations plus étendues (20 objectifs contre 15) et des exigences renforcées sur certains points comme l'authentification multifacteur, le cloisonnement réseau, la supervision ou l'approche par les risques.

Peut-on utiliser une certification ISO 27001 pour se conformer au ReCyF ?

‍Oui, partiellement. Une certification ISO/IEC 27001:2022 peut être invoquée lors d'un contrôle pour démontrer la conformité aux objectifs qu'elle couvre, sur le périmètre couvert par la certification.

Qu'est-ce qu'un "moyen acceptable de conformité" ?

‍C'est une mesure concrète proposée par l'ANSSI pour atteindre un objectif. Son application n'est pas obligatoire, mais si une entité l'applique, elle peut s'en prévaloir lors d'un contrôle sans avoir à en démontrer davantage la pertinence.

Le ReCyF s'applique-t-il aux SI externalisés ?

‍Oui. Lorsqu'une entité externalise tout ou partie de son SI, celui-ci reste sous sa responsabilité et n'est pas considéré comme un SI tiers au sens du référentiel. Les obligations s'appliquent donc pleinement.

‍