Qu'est-ce que ReCyF ?

Le 17 mars 2026, l'ANSSI a publié le Référentiel Cyber Fondamental (ReCyF), un cadre structuré destiné à aider les organisations françaises à évaluer et améliorer leur niveau de cybersécurité en prévision de l'entrée en application de la directive NIS 2.

ReCyF s'adresse prioritairement aux PME, ETI et collectivités territoriales — des entités qui, pour la plupart, seront soumises à NIS 2 pour la première fois et ne disposent pas toujours des ressources nécessaires pour atteindre la conformité.

74 % des PME françaises se situent en dessous du niveau de maturité recommandé par ReCyF. NIS 2 arrive en juillet 2026. Le compte à rebours est lancé.

Structure du référentiel

5 domaines de sécurité

ReCyF organise les exigences de cybersécurité en 5 domaines fondamentaux :

  1. Gouvernance et organisation : politique de sécurité, responsabilités, budget alloué, implication de la direction
  2. Protection des systèmes : durcissement des configurations, gestion des accès, sécurité réseau, chiffrement
  3. Défense et détection : surveillance des événements, détection d'incidents, SOC ou service managé
  4. Résilience et continuité : sauvegardes, PCA/PRA, tests de restauration, gestion de crise
  5. Supply chain et tiers : évaluation des fournisseurs, clauses de sécurité, audits de tiers

4 niveaux de maturité

Pour chaque domaine, ReCyF définit 4 niveaux de maturité progressifs :

  • Niveau 1 — Initial : mesures de sécurité ad hoc, pas de processus formalisé. C'est le niveau où se situent la majorité des PME aujourd'hui
  • Niveau 2 — Défini : politique de sécurité formalisée, mesures de base déployées. Niveau minimum recommandé par l'ANSSI
  • Niveau 3 — Géré : processus de sécurité mesurés et améliorés en continu, détection active des incidents
  • Niveau 4 — Optimisé : sécurité intégrée dans tous les processus métier, capacité d'anticipation des menaces

NIS 2 : contexte et calendrier

Ce que change NIS 2

La directive NIS 2 élargit considérablement le périmètre des organisations soumises à des obligations de cybersécurité :

  • NIS 1 : environ 300 entités concernées en France (OIV, OSE)
  • NIS 2 : environ 15 000 à 20 000 entités concernées, incluant PME, ETI, collectivités, établissements de santé

Les nouveaux secteurs intégrés incluent la gestion des déchets, l'industrie alimentaire, les services postaux, l'administration publique et les fournisseurs de services numériques.

Calendrier

La transposition de NIS 2 en droit français a été repoussée à juillet 2026. Ce report offre un sursis, mais le temps est compté : atteindre le niveau 2 de ReCyF en partant de zéro nécessite typiquement 6 à 12 mois de travail.

État des lieux : 74 % des PME sous le niveau recommandé

L'ANSSI a accompagné la publication de ReCyF d'une étude de terrain éloquente : 74 % des PME françaises se situent au niveau 1 (Initial), en dessous du niveau 2 recommandé comme socle minimum.

Les lacunes les plus fréquentes

  • Absence de politique de sécurité formalisée : 68 % des PME n'ont aucun document de PSSI
  • Pas de détection d'incidents : 81 % n'ont ni SOC ni service de détection managé
  • Sauvegardes non testées : 57 % déclarent faire des sauvegardes mais ne les testent jamais
  • Fournisseurs non évalués : 89 % n'ont aucun processus d'évaluation de la sécurité de leurs fournisseurs
  • MFA absente : 62 % n'ont pas déployé l'authentification multifacteur sur leurs accès critiques

Comment utiliser ReCyF

Étape 1 : Auto-évaluation

ReCyF fournit une grille d'auto-évaluation permettant à chaque organisation de se positionner sur les 5 domaines. L'exercice prend environ une journée avec les bonnes personnes autour de la table (DSI, RSSI, direction générale).

Étape 2 : Identification des écarts

Une fois le niveau actuel établi, ReCyF identifie automatiquement les écarts avec le niveau cible (typiquement le niveau 2 pour les PME, le niveau 3 pour les ETI). Chaque écart est assorti de recommandations concrètes et priorisées.

Étape 3 : Plan d'action

ReCyF propose un modèle de plan d'action avec des jalons trimestriels. Les mesures sont classées par impact et par effort :

  • Quick wins (1-3 mois) : MFA, politique de mots de passe, sensibilisation, inventaire des actifs
  • Fondamentaux (3-6 mois) : PSSI, segmentation réseau, sauvegardes testées, gestion des vulnérabilités
  • Avancés (6-12 mois) : SOC/détection, PCA/PRA, évaluation fournisseurs, exercices de crise

ReCyF vs. autres référentiels

ReCyF se positionne comme un référentiel pragmatique et accessible, complémentaire des cadres existants :

  • ISO 27001 : exhaustif mais lourd à mettre en œuvre. ReCyF est plus léger et ciblé sur les essentiels
  • NIST CSF : excellent cadre mais conçu pour le marché américain. ReCyF est aligné sur la réglementation européenne
  • Guide d'hygiène ANSSI : ReCyF en est l'évolution structurée, avec une dimension maturité et conformité NIS 2

Recommandations

Pour les PME et ETI

  • Réaliser l'auto-évaluation immédiatement : le référentiel est gratuit et disponible sur le site de l'ANSSI. Une journée d'investissement pour une visibilité claire sur votre niveau
  • Viser le niveau 2 avant juillet 2026 : c'est le socle minimum attendu par NIS 2. Concentrez-vous sur les quick wins
  • Impliquer la direction générale : NIS 2 prévoit la responsabilité personnelle des dirigeants. La cybersécurité n'est plus un sujet technique — c'est un sujet de gouvernance
  • Documenter vos actions : en cas de contrôle, pouvoir démontrer une démarche d'amélioration continue est aussi important que le niveau atteint

Pour les collectivités territoriales

  • Mutualiser les efforts : les EPCI et communautés de communes peuvent partager un RSSI mutualisé et des outils communs
  • Solliciter l'ANSSI : des dispositifs d'accompagnement spécifiques aux collectivités sont disponibles via les délégués régionaux de l'ANSSI
  • Prioriser la résilience : les collectivités sont des cibles fréquentes (28 % des signalements à l'ANSSI en 2025). PCA et sauvegardes testées sont prioritaires

Enseignements clés

ReCyF comble un vide important dans l'écosystème français de cybersécurité : il offre aux organisations de taille intermédiaire un cadre concret, progressif et aligné sur NIS 2 pour structurer leur démarche de sécurité.

Le chiffre de 74 % de PME sous le niveau recommandé est un signal d'alarme. Avec l'entrée en application de NIS 2 en juillet 2026, le temps des démarches volontaires est révolu : la cybersécurité devient une obligation légale pour des milliers d'organisations qui n'y étaient pas préparées.

ReCyF n'est pas un référentiel de plus. C'est la traduction opérationnelle de NIS 2 pour les PME françaises. Ceux qui l'ignorent aujourd'hui le subiront demain.

Sources

  • ANSSI — Publication du Référentiel Cyber Fondamental (ReCyF), mars 2026
  • ANSSI — Étude de maturité cyber des PME françaises 2026
  • Directive (UE) 2022/2555 (NIS 2) — Journal officiel de l'Union européenne
  • Ministère de l'Économie — Transposition NIS 2 : calendrier et modalités

Préparez votre conformité NIS 2

Auto-évaluation ReCyF, plan d'action, mise en conformité : ORAMA accompagne les PME, ETI et collectivités dans leur parcours vers la conformité NIS 2.

Contactez ORAMA

Ou écrivez-nous directement à contact@orama-ops.com