Cybersécurité

ReCyF ANSSI : le référentiel cybersécurité publié en mars 2026

Publié le 17 mars 2026, le ReCyF est le référentiel ANSSI qui consolide les obligations de détection et de réponse 24/7 pour les entités essentielles NIS2.

Marc Aubert · Mis à jour le par Marc Aubert

Qu’est-ce que le ReCyF ?

Le Référentiel cybersécurité fondamental (ReCyF) est un document de référence publié par l’Agence nationale de la sécurité des systèmes d’information le 17 mars 2026. Il consolide en un seul corpus les exigences attendues des entités essentielles au sens de la directive NIS2, en matière de détection des incidents, de qualification, de notification, de réponse et de partage de signalements [1].

Sa vocation est triple. D’abord, harmoniser les attentes de l’ANSSI auparavant dispersées entre plusieurs guides sectoriels et notes techniques. Ensuite, donner aux entités assujetties une grille de lecture stable pour leurs investissements de mise en conformité. Enfin, faciliter le travail des auditeurs et des organismes de qualification en fixant un cadre commun.

Le ReCyF n’est pas un standard certifiable au sens strict. Il s’agit d’un référentiel opposable dans le cadre des contrôles ANSSI prévus par le projet de loi Résilience, et exploitable comme grille d’auto-évaluation par les entités elles-mêmes. Il s’inscrit en filiation directe avec les travaux antérieurs de l’ANSSI sur la sécurité des systèmes d’industriels (SSI), sur le cloud SecNumCloud et sur la qualification des prestataires de détection d’incidents de sécurité (PDIS).

Le contexte : pourquoi un référentiel maintenant ?

La publication du ReCyF intervient à un moment précis du calendrier réglementaire. La directive NIS2 a été adoptée en décembre 2022, sa date butoir de transposition était fixée à octobre 2024. La France a pris du retard, et la transposition par le projet de loi Résilience est attendue mi-2026, comme nous l’analysons dans notre article dédié à la transposition NIS2 + DORA + REC.

Dans cet intervalle, les entités assujetties se trouvaient face à une asymétrie inconfortable : le texte européen pose des exigences générales (détection, réponse, gestion des risques, signalement), sans préciser le niveau opérationnel attendu. L’ANSSI a donc fait le choix d’anticiper la transposition en publiant un référentiel autonome, dont les exigences sont calibrées sur le contenu de NIS2 et sur les retours d’expérience du dispositif NIS1.

Le besoin opérationnel se mesure dans les statistiques de signalements. Le CERT-FR a traité un volume croissant d’incidents au cours des trois dernières années, avec une part majoritaire d’incidents par compromission par hameçonnage ciblé, par exploitation de vulnérabilité non corrigée ou par compromission de la chaîne d’approvisionnement [2]. Ces familles d’incidents ont en commun de réclamer une capacité de détection rapide, idéalement en temps quasi réel, capacité que la majorité des entités essentielles ne possédaient pas en interne avant la publication du ReCyF.

Les 5 grands chapitres

Le ReCyF est structuré en cinq chapitres qui correspondent au cycle opérationnel de la gestion d’incident.

Chapitre 1 : Détection 24/7

Le premier chapitre fixe l’exigence cardinale du référentiel : une capacité de détection des incidents de sécurité couvrant l’intégralité du temps, sans interruption nocturne ni interruption les fins de semaine. Cette exigence ne préjuge pas du modèle d’organisation retenu (interne, externalisé, hybride) mais elle impose un résultat : un événement de sécurité significatif doit pouvoir être détecté, qualifié et escaladé dans un délai mesurable, indépendant de l’heure ou du jour [3].

Les sources de télémétrie attendues couvrent les terminaux (EDR), les serveurs, les équipements réseau (pare-feu, IDS, NDR), les identités (annuaires, fournisseurs d’identité), le courrier électronique, et les environnements cloud (logs des fournisseurs IaaS et SaaS critiques).

Chapitre 2 : Qualification d’incident

La qualification consiste à transformer une alerte en incident caractérisé, avec une typologie (compromission, intrusion, dénonciation, indisponibilité), un niveau de gravité et un périmètre impacté. Le ReCyF impose une procédure documentée, des critères objectifs de gravité, et une chaîne de validation qui ne repose pas sur une seule personne. L’objectif est d’éviter deux travers symétriques : la sous-qualification d’incidents graves et la sur-qualification d’événements bénins.

Chapitre 3 : Notification

Le chapitre 3 reprend le double délai NIS2 : alerte précoce dans les 24 heures suivant la prise de connaissance de l’incident, notification complète dans les 72 heures [4]. Le référentiel précise les éléments minimaux attendus dans chacune des deux notifications, ainsi que les canaux de transmission au CERT-FR. Il rappelle également l’obligation de notification croisée vers la CNIL lorsque l’incident implique une violation de données personnelles, et vers les autorités sectorielles compétentes (ACPR, AMF, ARS) le cas échéant.

Chapitre 4 : Plan de réponse

Le plan de réponse formalise les actions à conduire en cas d’incident confirmé : confinement, éradication, restauration, et retour d’expérience. Le ReCyF demande que ce plan soit documenté, validé par la direction, testé au moins annuellement par un exercice de simulation, et tenu à jour à chaque évolution majeure du système d’information.

Chapitre 5 : Partage de signalements

Le cinquième chapitre prévoit la contribution active des entités essentielles à la connaissance collective des menaces, par le partage d’indicateurs de compromission (IoC) avec le CERT-FR et avec les CERT sectoriels lorsqu’ils existent. Ce partage est encouragé mais encadré : il doit respecter le secret des affaires, la protection des données personnelles, et la confidentialité des éventuelles procédures judiciaires en cours.

Les options pour atteindre la conformité

Le ReCyF ne prescrit pas un modèle organisationnel unique. Il identifie quatre voies de conformité possibles, dont le choix dépend de la taille de l’entité, de son secteur, de sa maturité cyber et de ses contraintes économiques.

1. SOC interne. L’entité construit en propre son Security Operations Center, avec une équipe d’analystes répartis en trois équipes pour assurer la couverture 24/7. Cette option offre la plus grande maîtrise mais représente le coût initial le plus élevé et nécessite une politique RH spécifique pour fidéliser des analystes en tension sur le marché du travail.

2. SOC externalisé via un service MDR. L’entité confie la détection et la réponse à un prestataire spécialisé. Le service MDR (Managed Detection and Response) fournit les analystes, les playbooks et les outils. L’entité conserve la responsabilité de la décision et de la communication réglementaire. Notre comparatif EDR vs MDR vs XDR détaille les critères de sélection d’un MDR fiable.

3. Modèle hybride. L’entité dispose d’une équipe interne en horaires ouvrés, complétée par un service MDR pour la couverture nocturne, les fins de semaine et les jours fériés. Ce modèle réduit le coût total tout en préservant une expertise interne sur le contexte métier.

4. SOC mutualisé sectoriel. Plusieurs entités d’un même secteur (santé, éducation, collectivités) mutualisent leurs ressources de détection au sein d’une structure commune. Ce modèle est encouragé pour les acteurs publics de taille moyenne. L’ANSSI a indiqué soutenir le développement de SOC mutualisés régionaux et sectoriels.

Articulation avec EBIOS, NIS2 et le PSSI

Le ReCyF ne remplace pas les méthodologies existantes ; il s’y articule.

La méthode EBIOS Risk Manager, publiée par l’ANSSI, reste la référence française pour l’analyse de risque. Le ReCyF intervient en aval : une fois les risques cyber identifiés et hiérarchisés par EBIOS, le ReCyF guide la construction de la capacité opérationnelle de détection et de réponse aux scénarios redoutés.

L’articulation avec NIS2 est directe. Le ReCyF opérationnalise les articles 21 (mesures de gestion des risques) et 23 (obligations de signalement) de la directive. Il sert de grille de lecture aux audits ANSSI prévus par le projet de loi Résilience.

Enfin, la politique de sécurité des systèmes d’information (PSSI) de l’entité doit être mise à jour pour intégrer les exigences du ReCyF : engagement de la direction, organisation de la détection-réponse, plan de continuité et de reprise. La PSSI demeure le document de gouvernance ; le ReCyF en constitue l’annexe opérationnelle pour le volet détection-réponse.

Plan d’application 12 mois

Pour une entité essentielle découvrant le ReCyF, une trajectoire de mise en conformité sur douze mois est réaliste, sous réserve d’un sponsoring exécutif et d’un budget mobilisé.

Mois 1 à 3 : cadrage. Audit d’écart par rapport au référentiel, identification des sources de télémétrie manquantes, choix du modèle organisationnel (interne, externalisé, hybride, mutualisé), rédaction du dossier d’investissement, recrutement éventuel d’un RSSI ou d’un responsable SOC.

Mois 4 à 9 : déploiement. Mise en place ou consolidation de l’EDR sur l’ensemble des terminaux, intégration des sources de logs dans un SIEM ou une plateforme XDR, contractualisation d’un service MDR le cas échéant, rédaction et validation du plan de réponse, formation des équipes opérationnelles.

Mois 10 à 12 : exercices et revue. Premier exercice de simulation d’incident à grande échelle, test de la chaîne de notification CERT-FR, revue annuelle des indicateurs de performance du SOC (temps moyen de détection, temps moyen de réponse), ajustements et préparation du cycle suivant.

L’approche progressive est explicitement encouragée par l’ANSSI. Le référentiel précise qu’une entité ayant engagé un plan d’application crédible et documenté ne sera pas sanctionnée pour les écarts qui demeurent en cours de résorption à la date d’un contrôle [5].

Indicateurs de pilotage attendus

Le ReCyF identifie une série d’indicateurs que les entités essentielles sont attendues de produire, à des fins de pilotage interne et de réponse aux contrôles. Cinq indicateurs structurants se dégagent.

Le taux de couverture EDR, exprimé en pourcentage de postes et serveurs disposant d’un agent EDR actif et remontant sa télémétrie. Un objectif cible de 95 % est cohérent avec l’esprit du référentiel ; un taux inférieur à 80 % constitue un signal de risque.

Le temps moyen de détection (MTTD), mesuré entre le premier événement significatif d’un incident et la génération de l’alerte qualifiée. Les ordres de grandeur attendus se situent en heures, voire en minutes pour les scénarios les plus critiques. Un MTTD se mesurant en jours dénote une posture défaillante.

Le temps moyen de réponse (MTTR), entre la qualification d’un incident et le confinement effectif. Cet indicateur dépend fortement du périmètre d’autorisation des analystes : un MDR sans autorisation d’isolement de poste génère mécaniquement un MTTR plus élevé qu’un SOC interne investi de cette autorisation.

Le nombre d’incidents notifiés au CERT-FR, ventilé par typologie et par gravité. Le suivi dans la durée de cet indicateur révèle des tendances de menace propres à l’entité ou à son secteur.

Le taux de réussite des exercices de simulation, mesuré par la proportion d’objectifs atteints lors des exercices annuels de plan de réponse. Le ReCyF demande au minimum un exercice par an, avec un retour d’expérience formalisé.

Cas particulier des entités de petite taille

Le ReCyF a été calibré pour les entités essentielles, généralement de taille significative. Les entités importantes au sens NIS2 (ETI, structures intermédiaires) ne sont pas formellement assujetties au référentiel, mais peuvent s’y appuyer comme grille d’auto-évaluation. L’ANSSI propose un niveau d’exigence dégradé pour ces entités, articulé autour des fondamentaux : EDR généralisé, sauvegardes hors-ligne, plan de continuité, sensibilisation du personnel et procédure de notification simplifiée. Le recours à un service MDR ou à un SOC mutualisé sectoriel est particulièrement adapté à ce segment.

Références

[1] ANSSI, Référentiel cybersécurité fondamental (ReCyF), version 1.0, publié le 17 mars 2026. [2] CERT-FR, panorama de la menace, rapports annuels publiés par l’ANSSI. [3] Article 21 de la directive (UE) 2022/2555 (NIS2) sur les mesures de gestion des risques. [4] Article 23 de la directive (UE) 2022/2555 (NIS2) sur les obligations d’information. [5] ANSSI, doctrine d’application progressive du ReCyF, communication accompagnant la publication.

Sources primaires : ANSSI, CERT-FR, Cyber.gouv.fr, ENISA, Légifrance.

Questions fréquentes

Le ReCyF est-il obligatoire pour toutes les entités NIS2 ?

Le ReCyF est opposable aux entités essentielles. Pour les entités importantes, il constitue un référentiel d'appui mais la conformité s'apprécie au regard des exigences NIS2 plutôt que du ReCyF lui-même.

Un MDR seul suffit-il à se conformer au ReCyF ?

Un service MDR couvre la détection 24/7 et le triage des alertes. Il ne dispense pas l'entité de disposer en interne d'une fonction de décision, d'un plan de réponse formalisé et d'une articulation avec le CERT-FR.

Quel délai pour se mettre en conformité ?

L'ANSSI n'a pas fixé un délai unique. Le plan d'application recommandé s'étale sur douze mois, avec une phase de cadrage de trois mois, un déploiement opérationnel de six mois et une phase d'exercices et de revue de trois mois.

Sources citées

  1. https://www.ssi.gouv.fr/
  2. https://www.cert.ssi.gouv.fr/
  3. https://www.enisa.europa.eu/
  4. https://www.legifrance.gouv.fr/
  5. https://cyber.gouv.fr/
#ReCyF#ANSSI#NIS2#SOC#MDR#détection 24/7
Cybersécurité

Cybersécurité entreprise : l'observatoire 2026 (NIS2, DORA, ReCyF, attaques, marché FR)

Ce qu'un DSI ou RSSI doit retenir de la cybersécurité d'entreprise en 2026 : NIS2, DORA, ReCyF ANSSI, détection, marché français et obligations à venir.
Cybersécurité

DORA : obligations cyber du secteur financier au 17 janvier 2025

Le règlement DORA est en vigueur depuis le 17 janvier 2025. Périmètre, obligations, tests, prestataires tiers critiques : ce qu'un RSSI bancaire ou assureur doit retenir.
Cybersécurité

EDR vs MDR vs XDR : comparatif RSSI 2026 (différence et choix)

Trois acronymes, trois logiques. EDR, MDR et XDR répondent à trois questions distinctes. Voici la matrice de décision pour un RSSI en 2026.