ReCyF v2.5 : 47 pages qui décident de votre conformité NIS2

Le 17 mars 2026, l’ANSSI a publié le Référentiel Cyber France (ReCyF) en version 2.5. Ce document de 47 pages traduit les obligations de la directive NIS2 en mesures concrètes pour les entreprises françaises. Pour les PME des 18 secteurs concernés, c’est la première feuille de route officielle vers la conformité.

Voici ce que contient ce référentiel et comment vous en servir, même sans budget cybersécurité dédié.

ReCyF en trois minutes : ce que contient le référentiel

ReCyF signifie Référentiel Cyber France. C’est le cadre que l’ANSSI utilisera comme référence lors des futurs contrôles NIS2. Le document distingue deux niveaux de lecture.

Les objectifs de sécurité répondent à la question “quoi ?”. Ils couvrent la gouvernance des risques, le contrôle d’accès, la détection d’incidents, la continuité d’activité et la sécurité de la chaîne d’approvisionnement. Ces objectifs sont obligatoires pour toutes les entités concernées.

Les moyens acceptables de conformité répondent à la question “comment ?”. Ils proposent des méthodes concrètes pour atteindre chaque objectif. Ces moyens ne sont pas obligatoires : vous pouvez démontrer votre conformité par d’autres approches, notamment des certifications internationales ou des services qualifiés par l’ANSSI.

Le principe de proportionnalité intégré au référentiel est la bonne nouvelle pour les PME. L’effort attendu est ajusté à la maturité et aux ressources de chaque entité. Certaines mesures (objectifs 16 à 20) ne s’appliquent qu’aux entités essentielles — les grandes organisations des secteurs critiques. Les PME classées comme entités importantes ont des exigences calibrées à leur échelle.

Comme le souligne Vincent Strubel, directeur de l’ANSSI : le document restera un document de travail tant que NIS2 ne sera pas transposé en droit français, mais les organisations doivent commencer à l’appliquer dès maintenant.

Votre PME est-elle concernée ? Les 18 secteurs visés

Si vous avez déjà lu notre article sur la directive NIS2 et ses implications pour les PME, vous connaissez les critères de base : 50 salariés minimum, 10 millions d’euros de chiffre d’affaires, et une activité dans l’un des secteurs listés.

Les 18 secteurs se répartissent en deux catégories. Les secteurs “hautement critiques” incluent l’énergie, les transports, la santé, l’eau potable, les eaux usées, l’infrastructure numérique, l’administration publique et l’espace. Les secteurs “critiques” couvrent les services postaux, la gestion des déchets, l’industrie chimique, l’agroalimentaire, l’industrie manufacturière, les fournisseurs numériques et la recherche.

Environ 15 000 entités sont concernées en France. Si vous êtes fournisseur d’une entité régulée, l’effet cascade de NIS2 peut également vous imposer des exigences, même en dessous des seuils de taille.

Les mesures accessibles sans budget dédié

ReCyF ne se résume pas à des investissements lourds. Plusieurs mesures sont réalisables avec vos ressources actuelles.

Inventaire des actifs critiques. Listez vos serveurs, applications métier, bases de données clients et accès administrateurs. Cet exercice ne coûte rien et constitue le socle de toute démarche de conformité.

Politique de mots de passe et MFA. Imposez des mots de passe de 12 caractères minimum et activez l’authentification multifacteur sur tous les services qui la proposent. La plupart des solutions SaaS l’intègrent sans surcoût.

Sauvegardes testées. Vous faites probablement des sauvegardes. Mais les avez-vous testées en restauration ? ReCyF exige une capacité de reprise démontrable, pas simplement déclarée. Planifiez un test de restauration trimestriel.

Sensibilisation des équipes. Formez vos collaborateurs aux risques de phishing et aux bons réflexes en cas d’incident. Un atelier d’une heure par trimestre suffit pour établir une culture de base. L’ANSSI propose des ressources gratuites sur cyber.gouv.fr pour structurer ces sessions.

Inscription sur MesServicesCyber. La plateforme de l’ANSSI centralise les outils d’auto-évaluation et les référentiels sectoriels. C’est le point d’entrée opérationnel pour les entreprises qui prennent en main leur gouvernance cyber.

Délais de notification : ce que vous devez savoir

ReCyF reprend le schéma de notification en trois temps imposé par la directive NIS2.

Sous 24 heures : une alerte initiale à l’ANSSI. Pas besoin d’un rapport complet — il s’agit de signaler l’incident, sa nature présumée et son impact potentiel. L’objectif est d’activer la coordination nationale au plus vite.

Sous 72 heures : une notification détaillée qui met à jour les informations de l’alerte initiale. Vous devez décrire la nature de l’incident, sa sévérité, son impact constaté et les mesures correctives engagées.

Sous 30 jours : un rapport final avec l’analyse complète de l’incident, les causes identifiées, les impacts réels et les mesures prises pour éviter une récurrence.

Ces délais supposent d’avoir un plan de réponse aux incidents prêt avant qu’un problème ne survienne. Si vous ne savez pas aujourd’hui qui appeler en cas d’attaque, quel canal utiliser pour notifier et où trouver vos logs, vous ne tiendrez pas les 24 heures.

Pourquoi commencer maintenant, même sans obligation légale

La loi de transposition n’est pas encore votée. Le projet est attendu à l’Assemblée nationale en juillet 2026, avec un retard de 18 mois sur le calendrier européen — la France fait partie des 7 pays qui n’ont pas encore transposé la directive, alors que 20 États membres l’avaient fait au 1er janvier 2026.

Ce retard législatif ne change rien à la réalité opérationnelle. ReCyF existe, les mesures sont documentées, et l’ANSSI a clairement indiqué que ce référentiel servira de base lors des futurs audits. Les entreprises qui s’y conforment dès maintenant prendront de l’avance et réduiront leur exposition aux risques cyber qui ne faiblissent pas.

Votre première action : inscrivez-vous sur MesServicesCyber et utilisez les outils d’auto-évaluation pour mesurer votre écart avec les objectifs ReCyF. Si vous avez besoin d’un accompagnement pour structurer votre démarche de conformité, contactez-nous.