ANSSI - 17 mars 2026

ReCyF : le Référentiel Cyber France de l'ANSSI décrypté

Publié le 17 mars 2026 par l'ANSSI lors d'un evenement au Campus Cyber, le Référentiel Cyber France (ReCyF) est le document de référence pour la mise en oeuvre des obligations NIS2 en France. Structure en 4 piliers, il constitue le socle des futures exigences de conformité.

A retenir

Le ReCyF n'est pas encore juridiquement obligatoire (il sera annexe aux décrets d'application de la loi Résilience), mais il fait office de référence de facto. Les entités qui l'appliquent peuvent s'en prevaloir en cas de contrôle de l'ANSSI.

Qu'est-ce que le ReCyF ?

Le Référentiel Cyber France est un document de travail correspondant a l'article 14 du projet de loi Résilience. Il définit les mesures de sécurité que les entités essentielles et importantes devront mettre en oeuvre pour se conformer à la transposition française de la directive NIS2. Il est accèssible via la plateforme MesServicesCyber (messervicescyber.cyber.gouv.fr).

Les 4 piliers du ReCyF

1. Gouvernance

Politique de sécurité des SI, responsabilité des dirigeants (article 20), formation, gestion des risques, comite de pilotage cyber.

2. Protection

Contrôle d'accès, authentification multifactorielle, chiffrement, sécurité des actifs, sécurité de la chaîne d'approvisionnement.

3. Défense

Détection des incidents, traitement des incidents, notification 24h/72h/1 mois, surveillance des indicateurs de compromission (IoC).

4. Résilience

Continuite d'activité (PCA/PRA), sauvegardes, exercices de crise, plan de reprise, tests de restauration.

ReCyF et les 10 mesures de l'article 21

Le ReCyF reprend et structure les 10 mesures de l'article 21 de la directive NIS2 dans un cadre opérationnel adapte au contexte français. Il etablit des correspondances avec les référentiels existants : ISO 27001, RGS, EBIOS RM.

Comment utiliser le ReCyF ?

  1. Telecharger le référentiel sur messervicescyber.cyber.gouv.fr
  2. Réaliser une analyse d'écart entre votre posture actuelle et les exigences du ReCyF
  3. Prioriser les actions selon votre classification (entité essentielle ou importante)
  4. Documenter les mesures mises en oeuvre pour pouvoir les présenter en cas de contrôle
  5. Utiliser l'outil de comparaison des référentiels publié par l'ANSSI pour capitaliser sur vos certifications existantes

Articulation avec MonEspaceNIS2

L'ANSSI a egalement lance la plateforme MonEspaceNIS2 pour le pre-enregistrement des entités concernees. Cette plateforme intégré un simulateur d'éligibilité et sera le point d'entree pour les déclarations de conformité. Voir notre page ANSSI et NIS2 pour le detail.

Calendrier d'application

Le ReCyF deviendra juridiquement opposable lorsque les décrets techniques d'application de la loi Résilience seront publiés (attendus Q3-Q4 2026). D'ici la, il est vivement recommande de l'utiliser comme grille de lecture pour votre mise en conformité NIS2. Voir le calendrier complet.

Sources

  1. ANSSI, Référentiel Cyber France (ReCyF), 17 mars 2026
  2. Directive (UE) 2022/2555, JOUE, 27/12/2022
  3. Projet de loi Résilience (PRMD2412608L)
  4. MesServicesCyber, cyber.gouv.fr

Dernière mise à jour :

Vérifier ma conformité NIS2