Référentiel - Avril 2026

ReCyF : le référentiel de l'ANSSI pour la conformité NIS2 décrypté

Publié le 17 mars 2026, le Référentiel Cyber France est le document que toute entité NIS2 doit connaitre. Structure en 4 piliers, il traduit les exigences de la directive NIS2 en mesures opérationnelles concretes. Analyse détaillée.

A retenir
  • Publié le 17 mars 2026 au Campus Cyber
  • 4 piliers : Gouvernance, Protection, Défense, Résilience
  • Correspond a l'article 14 du projet de loi Résilience
  • Non obligatoire juridiquement mais référence de facto
  • Outil de comparaison des référentiels publié simultanement

Pourquoi le ReCyF est important

Avant le ReCyF, les entités NIS2 n'avaient pas de document français precisant les mesures techniques a mettre en oeuvre. La directive NIS2 fixe des objectifs (article 21) mais ne détaillé pas les moyens. Le ReCyF comble ce vide en proposant un cadre structure, adapte au contexte français, et alignable avec les référentiels existants (ISO 27001, RGS, EBIOS RM).

Les 4 piliers en detail

Pilier 1 : Gouvernance

Politique de sécurité des SI validee par la direction, nomination d'un responsable cyber (RSSI ou equivalent), programme de formation des dirigeants (article 20), comite de pilotage cybersécurité, gestion des risques documentee.

Pilier 2 : Protection

Inventaire des actifs critiques, contrôle d'accès et principe du moindre privilege, authentification multifactorielle, politiques de chiffrement, sécurité de la chaîne d'approvisionnement, gestion des vulnérabilités et du patching, sécurité du développement.

Pilier 3 : Défense

Détection des incidents (SOC, EDR, SIEM), procédure de traitement des incidents, notification 24h/72h/1 mois au CERT-FR, surveillance des indicateurs de compromission (IoC), partage d'informations avec les CSIRT sectoriels.

Pilier 4 : Résilience

Plan de continuite d'activité (PCA) et plan de reprise (PRA), strategie de sauvegarde (regle 3-2-1, immuabilite, tests), exercices de crise cyber annuels, plan de communication de crise.

ReCyF vs ISO 27001

Le ReCyF n'est pas concurrent de l'ISO 27001 mais complémentaire. L'ANSSI a publié un outil de comparaison permettant de mapper les contrôles ISO 27001 vers les exigences du ReCyF. Une entreprise déjà certifiée ISO 27001 à une base solide mais devra completer avec les exigences spécifiques NIS2 (notification d'incidents, gouvernance dirigeants).

Comment demarrer avec le ReCyF

  1. Telecharger le document sur messervicescyber.cyber.gouv.fr
  2. Réaliser une analyse d'écart pilier par pilier
  3. Identifier les priorites selon votre profil (entité essentielle ou importante)
  4. Documenter chaque mesure mise en oeuvre
  5. Planifier les revisions annuelles

Pour la démarche globale, voir notre guide de mise en conformité. Page dédiée : tout savoir sur le ReCyF.

Sources

  1. ANSSI, ReCyF, 17 mars 2026
  2. Directive (UE) 2022/2555, article 21
  3. MesServicesCyber, cyber.gouv.fr
Vérifier ma conformité NIS2