ReCyF v2.5 : le référentiel ANSSI qui structure la conformité NIS2 en France

Pourquoi un référentiel français ?

La directive NIS2 fixe 10 obligations à haut niveau (Article 21) mais laisse chaque État membre détailler les modalités d'application. La France a fait le choix d'un référentiel détaillé — le ReCyF — pour offrir aux entreprises un cadre opérationnel précis et auditables, plutôt que des principes abstraits.

Le ReCyF est aussi un outil de souveraineté : il évite que les PME françaises soient évaluées par des standards américains (NIST CSF, SOC 2) qui ne correspondent pas toujours au tissu économique européen et aux pratiques juridiques locales.

OS vs MAC : la distinction clé

Les Objectifs de Sécurité (OS) sont des obligations réglementaires. Le décret d'application les rendra opposables. Il y en a actuellement 24, organisés par domaine NIS2 (gouvernance, gestion des risques, incidents, etc.). Tous doivent être atteints, mais le ReCyF laisse une marge sur le "comment".

Les Moyens Acceptables de Conformité (MAC) sont la liste détaillée des contrôles qui, lorsqu'ils sont en place, font présumer la conformité aux OS. Il y en a 152. Ils ne sont pas obligatoires en eux-mêmes : vous pouvez choisir d'autres mesures équivalentes — mais c'est à vous de démontrer l'équivalence lors d'un contrôle.

En pratique : viser 100% des OS + 60-80% des MAC pertinents pour votre périmètre est un bon objectif pour une PME EI. Pour une EE, viser 90%+ des MAC.

Les 10 domaines couverts

Le ReCyF structure ses contrôles selon les 10 domaines de l'Article 21 NIS2 :

1. Gouvernance (responsabilité dirigeants, politique cyber) 2. Gestion des risques (analyse, cartographie, traitement) 3. Sécurité des systèmes d'information (durcissement, journalisation) 4. Gestion des incidents (détection, notification, post-mortem) 5. Continuité d'activité (PCA, PRA, exercices) 6. Sécurité de la chaîne d'approvisionnement (fournisseurs, sous-traitants) 7. Sécurité physique (DC, locaux, contrôle d'accès) 8. Chiffrement (au repos, en transit, gestion des clés) 9. Sécurité des ressources humaines (formation, sensibilisation, départ) 10. Contrôle d'accès (MFA, IAM, séparation des privilèges)

Chaque domaine a 2-3 OS et 10-20 MAC associés.

Comment se préparer en pratique

Étape 1 — Auto-diagnostic : utiliser le simulateur ANSSI (monespacenis2.cyber.gouv.fr/simulateur) pour confirmer votre statut EE/EI/INDIRECT.

Étape 2 — Gap analysis : passer les 80 questions Article 21 + les 24 OS ReCyF dans un outil dédié (CyberSCV par exemple). Pour chaque réponse Non ou Partiel, identifier l'écart précis et la mesure corrective.

Étape 3 — Plan d'action priorisé : trier les écarts par criticité × effort. Attaquer en premier les quick wins (MFA, sauvegardes, plan d'incident) qui couvrent à eux seuls ~60% des exigences.

Étape 4 — Mise en œuvre + documentation : chaque mesure mise en place doit être documentée avec preuves (politique, procédure, capture, contrat). Sans documentation, la mesure n'existe pas pour l'ANSSI.

Étape 5 — Rapport de conformité : produire un dossier PDF (20-40 pages) listant question par question l'état, la justification et les preuves. Ce dossier est admissible lors d'un contrôle.

Étape 6 — Revue annuelle : la conformité n'est pas un état figé. Une revue annuelle au COMEX est attendue pour les EE.