Uncia
FR / EN

Glossaire

ReCyF

Le ReCyF (Référentiel Cybersécurité France) est le référentiel publié par l'ANSSI qui structure les exigences de cybersécurité applicables aux entités essentielles et importantes au titre de NIS2. Il décline une vingtaine d'objectifs concrets, audités selon une grille de maturité.

Définition du ReCyF

ReCyF est l'acronyme de Référentiel Cybersécurité France. Il a été publié par l'ANSSI (Agence nationale de la sécurité des systèmes d'information) pour formaliser les exigences cybersécurité applicables aux entités essentielles et importantes dans le cadre de la transposition française de la directive NIS2.

La version actuelle, ReCyF v2.5, propose un cadre commun à toutes les organisations soumises à NIS2 pour démontrer leur conformité. Il s'appuie sur les bonnes pratiques sectorielles antérieures de l'ANSSI (notamment le guide d'hygiène informatique et les référentiels OIV/OSE), mais les structure pour rendre l'audit et la preuve opérationnels.

Structure du ReCyF

Le ReCyF est organisé en une vingtaine d'objectifs regroupés en grands domaines : gouvernance, gestion des risques, maîtrise du SI, sécurité de l'architecture, gestion des incidents, continuité, supervision et audit. Chaque objectif est un thème de sécurité au sens NIS2, et chacun fait l'objet d'une fiche dédiée précisant le contexte, les exigences et la méthode d'évaluation.

Chaque objectif est évalué sur une échelle de maturité, généralement à cinq niveaux : non couvert, partiel, documenté, effectif, optimisé. Ce barème permet à l'entité concernée d'identifier ses zones de faiblesse et de prioriser ses actions correctives, et à l'ANSSI d'objectiver son contrôle.

Les principaux objectifs du ReCyF

Sans entrer dans le détail des fiches, voici les objectifs les plus structurants pour un RSSI :

Le recensement des systèmes d'information impose de maintenir une liste à jour des activités essentielles, des services et des SI qui les supportent, avec un responsable identifié. C'est le fondement de toute la démarche.

La gouvernance et la PSSI imposent une analyse de la conformité par SI, l'identification des écarts, et un plan d'action approuvé en comité.

La maîtrise de l'écosystème exige le traçage des fournisseurs, prestataires et de leurs accès aux SI. Point central avec la multiplication des attaques par la chaîne d'approvisionnement.

La maîtrise des SI impose la connaissance des composants, des configurations, des propriétaires et des dépendances. C'est ici que la cartographie applicative joue un rôle décisif.

La sécurisation de l'architecture demande le cloisonnement, le zonage par criticité et une défense en profondeur documentée.

La réaction aux incidents formalise les procédures de notification dans les délais NIS2 (24h, 72h, un mois).

La continuité d'activité demande l'identification des SI critiques, la documentation des dépendances et le test régulier des plans de reprise.

L'audit de la sécurité impose des audits réguliers, avec suivi des recommandations dans le temps. La supervision exige la centralisation et l'analyse des évènements de sécurité.

Comment s'évaluer contre le ReCyF

L'auto-évaluation ReCyF se déroule en trois temps.

Temps 1 : prendre connaissance des fiches objectifs et identifier celles qui s'appliquent à l'organisation. Toutes ne sont pas obligatoires : certaines (par exemple Audit de la sécurité ou Approche par les risques) ne s'appliquent qu'aux entités essentielles, pas aux entités importantes.

Temps 2 : pour chaque objectif applicable, évaluer son niveau de maturité actuel et le justifier par des preuves (politique formalisée, procédure documentée, journal d'audit, capture d'écran d'outil). Cette phase suppose une bonne connaissance du SI, ce qui ramène à l'importance d'une cartographie à jour.

Temps 3 : construire un plan d'action priorisé. La logique typique consiste à identifier les trois ou quatre objectifs au plus bas niveau et à se fixer des cibles à 30, 90 et 180 jours.

Le ReCyF est-il obligatoire ?

Le ReCyF n'est pas strictement imposé par la loi de transposition NIS2 publiée le 30 octobre 2024, mais il est officiellement publié par l'ANSSI comme cadre de référence pour démontrer la conformité. En pratique, dans un contexte de contrôle, présenter une évaluation structurée selon le ReCyF est la voie la plus crédible et la plus directe.

Les organisations qui adoptent le ReCyF dès maintenant prennent une avance considérable sur la phase de contrôle ANSSI qui s'intensifie en 2025-2026.

Questions fréquentes

Où télécharger le ReCyF ?

Le ReCyF est publié librement sur le site de l'ANSSI (cyber.gouv.fr), dans la section consacrée à NIS2. Sa dernière version au moment de la rédaction est la 2.5, publiée fin 2024.

Le ReCyF remplace-t-il ISO 27001 ?

Non. ISO 27001 reste une norme internationale de management de la sécurité de l'information. Le ReCyF est un référentiel français spécifique à NIS2. Les deux sont complémentaires : ISO 27001 décrit le système de management, le ReCyF décrit les exigences techniques et organisationnelles. Beaucoup d'organisations utilisent ISO 27001 comme socle et alignent leur preuve NIS2 sur le ReCyF.

Combien d'objectifs faut-il atteindre pour être conforme ?

La conformité NIS2 n'est pas une note binaire « tous les objectifs au niveau maximal ». L'ANSSI évalue la cohérence globale, la progression dans le temps et la cohérence du plan d'action. L'enjeu est moins d'être parfait partout que de démontrer un pilotage maîtrisé et une trajectoire crédible.

Pour aller plus loin

Souscrivez à notre newsletter

Restez informés de nos actualités et nos analyses.

Être recontacté

Laissez-nous vos coordonnées, un membre de l'équipe vous recontactera sous 48h.

Demande bien reçue

Vos informations ont été enregistrées. Un membre de l'équipe Uncia vous recontacte sous 48h.