ReCyF : le nouveau référentiel de cybersécurité de l’ANSSI, ce que votre organisation doit savoir
>
Publié par l’ANSSI en mars 2026, le Référentiel Cyber France (ReCyF) traduit concrètement les obligations NIS 2 en 20 objectifs de sécurité. Découvrez ce qu’il implique pour votre organisation et comment vous y conformer dès maintenant.
Qu’est-ce que le ReCyF ?
Depuis l’entrée en vigueur de la directive européenne NIS 2 le 17 octobre 2024, les organisations françaises attendent des clarifications sur ce que signifie concrètement « se conformer ». L’ANSSI vient d’y répondre : le 17 mars 2026, au Campus Cyber, elle a dévoilé le Référentiel Cyber France (ReCyF), en version de travail 2.5.
Le ReCyF est le référentiel de cybersécurité mentionné dans le Projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité (PJL).
Son rôle est double :
- Définir les objectifs de sécurité (le quoi) : des obligations réglementaires fixées par décret, auxquelles les entités concernées devront se conformer.
- Proposer des moyens acceptables de conformité (le comment) : des mesures recommandées par l’ANSSI, non obligatoires en tant que telles, mais qui constituent une voie reconnue pour démontrer la conformité lors d’un contrôle.
Le ReCyF est, à ce stade, un document de travail. Aucune version définitive ne sera publiée tant que la transposition de NIS 2 en droit français ne sera pas finalisée (étape attendue pour juillet 2026). Pour autant, l’ANSSI est claire : il ne faut pas attendre pour agir.
À qui s’applique le ReCyF ?
Le ReCyF distingue deux catégories d’entités, conformément à la logique de NIS 2 :
- Entités Importantes (EI)
Objectifs applicables : 1 à 15
Profil : socle gouvernance, protection, défense et résilience - Entités Essentiels (EE)
Objectifs applicables : 1 à 20
Profil : même profil que pour les EI + approche par les risques, audits, durcissement, supervision avancée
Cette distinction reflète un principe de proportionnalité fondamental du référentiel : le niveau d’effort attendu est adapté à la maturité de l’organisation et aux ressources dont elle dispose. Cela signifie qu’une PME récemment qualifiée EI n’aura pas les mêmes obligations immédiates qu’un opérateur d’importance vitale.
Les 20 objectifs de sécurité du ReCyF : une vue d’ensemble
Le ReCyF structure ses 20 objectifs en 4 blocs thématiques :
Bloc 1 : Gouvernance et pilotage (Objectifs 1 à 5)
Cartographie des systèmes d’information, définition des rôles et responsabilités, politique SSI, gestion des tiers et de la chaîne d’approvisionnement. C’est la fondation : sans gouvernance claire, aucune démarche de sécurité ne tient sur la durée.
Bloc 2 : Protection des systèmes d’information (Objectifs 6 à 10)
Contrôle des accès, chiffrement, gestion des configurations, sécurité des réseaux, intégration de la sécurité physique et logique. Le ReCyF impose notamment un lien robuste entre sécurité physique (accès aux locaux, gestion des visiteurs) et cybersécurité.
Bloc 3 : Défense et détection (Objectifs 11 à 12)
Surveillance des systèmes, détection des incidents, gestion des journaux d’événements. Ce bloc correspond à ce que l’on appelle communément les capacités SOC (Security Operations Center).
Bloc 4 : Résilience et gestion de crise (Objectifs 13 à 15)
Plans de continuité et de reprise d’activité (PCA/PRA), gestion des crises d’origine cyber, exercices et entraînements réguliers. La résilience n’est plus optionnelle : elle doit être documentée, testée et améliorée en continu.
Objectifs complémentaires pour les Entités Essentielles (16 à 20)
Approche par les risques (avec notamment la méthode EBIOS RM), audits réguliers, durcissement des configurations, administration depuis des ressources dédiées, supervision avancée de la sécurité.
Vous ne savez pas encore si votre organisation sera considérée comme Entité Importante ou Entité Essentielle ?
Nos experts vous aident à évaluer votre exposition et à prioriser les premières actions de conformité ReCyF et NIS2.
ReCyF et ISO 27001 : comment articuler les deux ?
Une question revient souvent : si mon organisation est déjà certifiée ISO 27001, suis-je couverte par le ReCyF ?
La réponse est nuancée. L’ANSSI a mis en place un outil de comparaison disponible sur MesServicesCyber permettant de cartographier les correspondances entre les objectifs ReCyF et les référentiels ISO 2700X, ainsi que l’Annexe au Règlement d’exécution européen 2024/2690.
Les certifications et prestations qualifiées ANSSI (ISO/IEC 27001:2022, PASSI, PACS, PAMS, PDIS) constituent des preuves recevables pour couvrir tout ou partie de certains objectifs. Mais elles ne couvrent pas l’intégralité du référentiel : une analyse d’écart reste indispensable pour identifier les zones non couvertes.
Qu’est-ce que le ReCyF change concrètement ?
La conformité devient pilotée par les risques
Pour les Entités Essentielles, le ReCyF introduit une approche explicitement fondée sur les risques, placée sous la responsabilité du dirigeant exécutif. La conformité ne se résume plus à une checklist : elle devient un cadre de pilotage dans la durée.
La chaîne d’approvisionnement entre dans le scope
La gestion des tiers est un objectif à part entière. Vos prestataires cloud, vos éditeurs de logiciels, vos ESN partenaires : tous doivent être intégrés dans votre stratégie de sécurité. La question « mon prestataire est-il de confiance ? » devient une obligation réglementaire.
Le choix de vos partenaires prend une dimension stratégique. Le ReCyF prévoit explicitement que les entités peuvent se prévaloir, lors d’un contrôle ANSSI, du recours à des prestataires qualifiés ou certifiés pour démontrer leur conformité. Le Groupe Asten est certifié ISO 27001, HDS (Hébergement de Données de Santé) et SecNumCloud (le visa de sécurité le plus exigeant de l’ANSSI pour les services cloud). Choisir Asten comme partenaire cloud ou cyber, c’est donc non seulement sécuriser vos systèmes, mais aussi simplifier votre propre démonstration de conformité ReCyF vis-à-vis de vos obligations de gestion de la chaîne d’approvisionnement.
Les exercices de crise deviennent obligatoires
Tester sa capacité de réaction ne sera plus une bonne pratique réservée aux grandes organisations : c’est un objectif de sécurité à part entière. Les entités devront démontrer qu’elles organisent régulièrement des exercices de crise d’origine cyber et qu’elles en tirent des plans d’action.
Comment le Groupe Asten vous accompagne dans votre mise en conformité ReCyF et NIS2 ?
Pour aider les organisations à répondre aux exigences de la directive NIS2 et du référentiel ReCyf, le Groupe Asten propose un accompagnement structuré et pragmatique, fondé sur la méthode EBIOS Risk Manager recommandée par l’ANSSI. L’approche se concentre volontairement sur les étapes clés permettant d’atteindre rapidement un premier niveau de conformité, tout en tenant compte des réalités opérationnelles et métiers.
La démarche débute par la sensibilisation des dirigeants, afin d’ancrer la cybersécurité au niveau de la gouvernance, puis se poursuit par un cadrage stratégique permettant d’évaluer la maturité existante et d’identifier les écarts avec les exigences réglementaires.
À partir de cette analyse, nos experts RSSI accompagnent les équipes dans la priorisation des risques et des actions, pour construire une feuille de route claire, proportionnée et cohérente avec les principes du référentiel ReCyf : approche par les risques, amélioration continue et pilotage dans la durée.
Cet accompagnement transforme ainsi la contrainte réglementaire NIS2 en un levier de structuration et de montée en maturité cybersécurité, au service de la résilience des organisations.
Avec une transposition prévue pour juillet 2026, les organisations qui attendent prennent un risque double : réglementaire, bien sûr, mais surtout opérationnel face à une menace cyber qui ne fait pas de pause.
Prêt à transformer vos obligations ReCyF en actions concrètes ?
Le Groupe Asten vous accompagne de l’analyse d’écart jusqu’à la mise en œuvre : expertise EBIOS RM certifiée, cloud souverain SecNumCloud, hardening, sensibilisation et pilotage RSSI.