Livre blanc - Référentiel Cyber France (RECyF) | The Sov Company

Sommaire

01Préambule
02Partie 1 - De NIS 2 au RECyF : le contexte
03Partie 2 - Êtes-vous concerné ?
04Partie 3 - Anatomie du RECyF
05Partie 4 - Le cœur du sujet : maîtriser vos tiers
06Partie 5 - Plan d'action en 90 jours
07Partie 6 - Comment Sentinel vous accompagne
08Conclusion
09Annexes

Préambule

À qui s'adresse ce document

La directive NIS 2 et sa transposition française par le projet de loi Résilience marquent un tournant : la cybersécurité devient une obligation directe du dirigeant exécutif, avec des sanctions personnelles et financières à la clé. Et pour la première fois, un texte européen impose explicitement de maîtriser la sécurité numérique de ses tiers.

Ce livre blanc s'adresse aux COMEX, directions générales, directions des achats et directions des risques des entités françaises soumises à NIS 2, ainsi qu'à leurs partenaires et conseils. Il décrypte le Référentiel Cyber France (RECyF) publié par l'ANSSI et propose une lecture opérationnelle, avec un focus sur la chaîne de tiers - là où se concentre aujourd'hui l'essentiel du risque.

Notre objectif est triple : vous aider à comprendre ce qu'exige le RECyF, à évaluer votre exposition réelle, et à décider des actions à engager dès aujourd'hui pour entrer dans une démarche de conformité.

Partie 1

De NIS 2 au RECyF : le contexte

Sept ans après NIS 1, l'Union européenne durcit les règles. La France les transpose en élargissant à 18 secteurs et en plaçant la responsabilité au niveau du dirigeant exécutif.

1.1 De NIS 1 à NIS 2 : ce qui change

La directive NIS 1 (2016) ciblait quelques centaines d'opérateurs de services essentiels en France. NIS 2 (directive UE 2022/2555) élargit massivement le périmètre, harmonise les obligations entre États membres et introduit des sanctions financières dissuasives.

Trois ruptures majeures :

Élargissement du périmètre : passage d'environ 500 entités à plus de 15 000 attendues en France, dans 18 secteurs critiques ou hautement critiques.
Responsabilité du dirigeant exécutif : approbation des mesures, supervision de leur mise en œuvre, responsabilité personnelle en cas de manquement.
Sécurisation explicite de la chaîne de tiers : mention nouvelle dans la directive (article 21.2.d), reprise comme objectif autonome du RECyF.

1.2 La transposition française

La France transpose NIS 2 via le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité, qui regroupe également les transpositions de DORA (secteur financier) et CER (résilience des entités critiques). L'ANSSI publie en parallèle le RECyF, référentiel mentionné au 6^e alinéa de l'article 14 du PJL.

Le RECyF se compose de 20 objectifs de sécurité obligatoires et, pour chacun, de moyens acceptables de conformité (recommandations ANSSI permettant de démontrer la conformité, mais non strictement obligatoires).

1.3 Calendrier

Déc. 2022Adoption de la directive NIS 2 par l'UE
Directive (UE) 2022/2555. Délai de transposition : 17 octobre 2024.
Oct. 2024Date butoir de transposition (théorique)
La France n'a pas tenu cette échéance, comme la majorité des États membres.
Mars 2026Publication du RECyF v2.5 par l'ANSSI
Version de travail consolidée, soumise à consultation.
2026Adoption attendue du PJL Résilience
Loi française cadre, suivie de décrets d'application.
À venirDécret fixant les obligations RECyF
Publication du décret pris en application de l'article 14, qui rend les objectifs juridiquement contraignants.

Partie 2

Êtes-vous concerné ?

NIS 2 distingue deux catégories d'entités, sur la base d'un test combinant secteur d'activité et taille. La désignation entraîne des obligations différenciées.

2.1 Entités Essentielles (EE) vs Entités Importantes (EI)

NIS 2 définit deux statuts. La distinction est structurante : les EE supportent les obligations les plus exigeantes (objectifs 1 à 20 du RECyF), tandis que les EI sont soumises aux objectifs 1 à 15 uniquement, en application du principe de proportionnalité.

Entité Essentielle (EE)

• Secteurs hautement critiques (énergie, santé, transports, eau, bancaire, infrastructure numérique...)
• Et / ou opérateurs d'importance vitale (OIV)
• Grandes entreprises (≥ 250 salariés ou CA > 50 M€)
→ 20 objectifs de sécurité applicables

Entité Importante (EI)

• Secteurs critiques (poste, gestion des déchets, fabrication, agroalimentaire, recherche...)
• Moyennes entreprises (≥ 50 salariés ou CA > 10 M€)
• Et entreprises EE qui ne franchissent pas le seuil de taille EE
→ 15 objectifs applicables (1 à 15)

2.2 Les 18 secteurs visés

NIS 2 retient 18 secteurs : 11 hautement critiques (Annexe I) et 7 critiques (Annexe II). Les entités opérant dans plusieurs secteurs cumulent les périmètres.

Annexe I - 11 secteurs hautement critiques

Énergie (électricité, gaz, hydrogène, pétrole, chaleur)
Transports (aérien, ferroviaire, par eau, routier)
Banque
Marchés financiers
Santé
Eau potable
Eaux usées
Infrastructure numérique
Gestion services TIC (B2B)
Administration publique
Espace

Annexe II - 7 secteurs critiques

Services postaux et d'expédition
Gestion des déchets
Fabrication, production, distribution chimique
Production, transformation, distribution alimentaire
Fabrication (dispositifs médicaux, électronique, automobile, etc.)
Fournisseurs numériques (places de marché, moteurs de recherche, réseaux sociaux)
Recherche

2.3 Sanctions encourues

La directive NIS 2 fixe des planchers minimaux que les États membres doivent transposer. Pour les entités françaises, l'exposition est la suivante :

10 M€ou 2% CA

Plafond minimum pour les EE

7 M€ou 1,4% CA

Plafond minimum pour les EI

Source : Directive (UE) 2022/2555, article 34.4 (EE) et 34.5 (EI). Le montant retenu est le plus élevé entre la valeur fixe et le pourcentage du chiffre d'affaires annuel mondial total.

Partie 3

Anatomie du RECyF

20 objectifs structurés en 4 piliers, avec une logique d'obligation de résultat assortie de moyens recommandés. Comprendre cette architecture est la clé pour construire votre plan de mise en conformité.

3.1 Quatre piliers, vingt objectifs

Le RECyF reprend la structure classique du cycle de gestion du risque cyber : Gouvernance, Protection, Défense, Résilience. Les 20 objectifs sont répartis dans ces quatre piliers, et chacun est applicable soit aux EI et EE ensemble (objectifs 1 à 15), soit aux seules EE (objectifs 16 à 20).

Gouvernance (7 objectifs)

O1 - Recensement des SI
O2 - Cadre de gouvernance de la sécurité numérique
O3 - Maîtrise de l'écosystème ★
O4 - Sécurité dans les ressources humaines
O5 - Maîtrise des SI
O16 - Approche par les risques (EE)
O17 - Audit de sécurité (EE)

Protection (8 objectifs)

O6 - Accès physiques aux locaux
O7 - Sécurisation de l'architecture ★
O8 - Accès distants ★
O9 - Protection contre les codes malveillants
O10 - Identités et accès des utilisateurs
O11 - Maîtrise de l'administration
O18 - Sécurisation des configurations (EE)
O19 - Administration depuis ressources dédiées (EE)

Défense (2 objectifs)

O12 - Identification et réaction aux incidents ★
O20 - Supervision de la sécurité (EE)

Résilience (3 objectifs)

O13 - Continuité et reprise d'activité ★
O14 - Réaction aux crises cyber ★
O15 - Exercices, tests, entraînements

★ Objectifs avec composante tiers forte, traités en partie 4. (EE) Applicable aux Entités Essentielles uniquement.

3.2 Une logique d'obligation de résultat

Pour chaque objectif, le RECyF distingue deux niveaux :

Le « Quoi » - L'objectif de sécurité

Obligation de résultat fixée par le décret. Son atteinte est obligatoire. L'entité doit la respecter, peu importe les moyens mis en œuvre.

Le « Comment » - Les moyens acceptables de conformité

Mesures concrètes proposées par l'ANSSI pour démontrer l'atteinte de l'objectif. Non obligatoires en tant que telles, mais leur mise en œuvre permet de se prévaloir de la conformité lors d'un contrôle.

3.3 Les voies de démonstration de conformité

Le RECyF reconnaît plusieurs leviers pour démontrer le respect de tout ou partie d'un objectif :

Certification ISO/CEI 27001:2022 pour les SI couverts (notamment O2 et O16) ;
Recours à des prestataires qualifiés ANSSI : PACS (accompagnement), PASSI (audit), PDIS (détection), PAMS (administration et maintenance sécurisée) ;
Application des moyens acceptables de conformité du référentiel.

Partie 4

Le cœur du sujet : maîtriser vos tiers

L'objectif 3 du RECyF, dédié à la maîtrise de l'écosystème, est le pivot de la conformité. Mais les exigences tiers traversent en réalité dix des vingt objectifs.

4.1 Pourquoi les tiers sont LE risque NIS 2

La majorité des incidents cyber graves observés ces cinq dernières années en Europe ont eu pour origine ou pour vecteur un tiers : prestataire informatique, fournisseur logiciel, infogéreur, sous-traitant SaaS. Les attaques de type supply chain attack sont devenues le mode opératoire privilégié des attaquants étatiques et cybercriminels.

62%

Des incidents impliquent un tiers (ENISA Threat Landscape 2024)

270j

Délai médian de détection d'une compromission via prestataire (IBM 2024)

×3

Coût d'un incident avec compromission de tiers vs interne

Cas d'école : SolarWinds (2020), Kaseya (2021), MOVEit (2023). Dans chaque cas, un éditeur logiciel compromis a permis la compromission simultanée de centaines à plusieurs milliers de ses clients.

4.2 Objectif 3 - Maîtrise de l'écosystème

C'est l'objectif central. Il impose deux blocs : une cartographie tenue à jour, et une sécurité contractuelle vérifiable.

Bloc A - Cartographie de l'écosystème (mesures 3.A)

Le RECyF impose, pour chaque entité, une cartographie qui contient au minimum :

La liste des prestataires et fournisseurs informatiques contribuant aux activités ou services, y compris les flux internes au groupe (maison mère, filiales) ;
La liste des interconnexions entre vos SI et ceux des tiers ;
Pour chaque entrée, un point de contact à jour (mesure 3.A.2).

Bloc B - Sécurité dans les contrats (mesures 3.B)

Au-delà de la cartographie, l'entité doit s'assurer par voie contractuelle que les prestations sont conformes aux mêmes obligations que celles qui pèsent sur elle. Concrètement :

Clauses de sécurité dans les contrats : plan d'assurance sécurité, charte de télémaintenance, indicateurs de suivi ;
Vérification périodique de la conformité de la prestation, le cas échéant via audit (renvoi explicite aux mesures 17.2-EE, 17.4-EE, 17.5-EE relatives à l'audit).

4.3 Les obligations tiers cachées dans les autres objectifs

Au-delà de l'objectif 3, dix autres objectifs portent des exigences spécifiques aux tiers ou aux SI tiers. Cette transversalité est capitale : elle signifie que la conformité tiers se construit dans l'ensemble du dispositif de sécurité, pas dans une seule case du référentiel.

Objectif	Obligation tiers / SI tiers	Scope
O5	Application sans délai des correctifs de sécurité sur les ressources exposées à des SI tiers (serveur Web, pare-feu, messagerie...).	EI / EE
O7	Cloisonnement des SI vis-à-vis des SI tiers, filtrage par pare-feu dédié. Pour les EE : cloisonnement par sous-systèmes et passerelles entrante / sortante dédiées.	EI / EE
O8	Authentification multifacteur pour les accès distants depuis SI tiers. Chiffrement des disques des postes accédant aux SI depuis hors locaux maîtrisés.	EE
O9	Pour les EE : interdiction du BYOD. Seules les ressources matérielles maîtrisées par l'entité ou son prestataire mandaté peuvent se connecter au SI.	EE
O10	Gestion des identités et accès des prestataires externes accédant aux SI. Désactivation des comptes au départ des prestataires.	EI / EE
O11	Pour les EE : actions d'administration sur le cœur de confiance interdites depuis des ressources non dédiées (postes prestataires non maîtrisés exclus).	EE
O12	Outils permettant de collecter les signalements remontés par les prestataires et fournisseurs contractant avec l'EE.	EE
O13	Plans de continuité et reprise d'activité couvrant les infrastructures et services numériques externalisés.	EE
O14	Maintien d'un annuaire des parties prenantes externes pertinentes en gestion de crise, en s'appuyant sur la cartographie de l'écosystème.	EI / EE
O17	Pour les EE : audits de sécurité incluant les SI tiers dans le périmètre des tests d'intrusion et audits de configuration.	EE

4.4 Le piège conceptuel : externalisation totale ≠ SI tiers

Une lecture trop rapide du RECyF pourrait laisser croire que confier la totalité d'un SI à un prestataire (infogérance complète, SaaS) le sort du périmètre d'obligations de l'entité. C'est faux. Le glossaire RECyF est sans ambiguïté :

Conséquence majeure : tous les objectifs RECyF s'appliquent aux SI externalisés, comme s'ils étaient internes. La confidentialité de fait, l'administration, la supervision, la continuité, l'audit : tout reste du devoir du donneur d'ordre, qui doit l'encadrer contractuellement et le contrôler en pratique.

Inversement, un SI tiers au sens du référentiel est un SI partagé ou mutualisé qui n'est pas sous votre responsabilité : le SI d'un partenaire qui se connecte au vôtre, un service public auquel vous êtes raccordé, une plateforme d'échange interentreprises.

4.5 Clauses cyber type à intégrer dans vos contrats

La mesure 3.B.1 impose de disposer d'assurances contractuelles. Voici les clauses minimales à négocier ou imposer dans vos contrats avec les prestataires et fournisseurs informatiques :

1. Conformité aux objectifs RECyF applicables
Engagement du prestataire à mettre en œuvre les objectifs de sécurité du RECyF applicables à la prestation, et à pouvoir en démontrer la mise en œuvre.
2. Plan d'assurance sécurité (PAS)
Document décrivant les mesures techniques et organisationnelles, opposable et révisable annuellement.
3. Charte de télémaintenance
Conditions d'accès à distance, traçabilité, MFA, durée de conservation des journaux.
4. Notification d'incident
Délai maximal pour notifier un incident de sécurité affectant la prestation (recommandé : 24h pour les EE, aligné sur l'article 17 du PJL).
5. Droit d'audit
Faculté pour le donneur d'ordre, ou un tiers qu'il mandate (PASSI), de réaliser un audit annuel sur la prestation.
6. Indicateurs de suivi
KPI sécurité publiés trimestriellement (taux de patch, incidents évités, MFA effectif, etc.).
7. Réversibilité et plan de sortie
En cohérence avec O13 (continuité), le contrat doit prévoir la restitution des données et la portabilité de la prestation.
8. Sous-traitance encadrée
Liste des sous-traitants matériels du prestataire, droit d'opposition à l'ajout d'un nouveau sous-traitant.

Partie 5

Plan d'action en 90 jours

Une trajectoire opérationnelle pour démarrer concrètement, sans attendre la publication du décret. Les livrables sont conçus pour être réutilisables dans la conformité finale.

Jours 0 à 30

Cadrage et recensement

Désigner le responsable RECyF (RSSI ou délégué de la direction générale)
Recenser les activités et services de l'entité (mesure 1.1)
Recenser les SI supportant ces activités (mesure 1.1)
Statuer sur les SI exclus (analyse de risques justifiant la non-application)

Livrable : registre activités & SI versionné

Jours 30 à 60

Cartographie de l'écosystème et analyse d'écarts

Cartographier tous les prestataires et fournisseurs informatiques (mesure 3.A.1)
Lister les interconnexions SI (mesure 3.A.1)
Renseigner les points de contact (mesure 3.A.2)
Réaliser une analyse d'écarts mesure par mesure vis-à-vis du RECyF (mesure 2.C.1)
Hiérarchiser les écarts par risque résiduel

Livrable : cartographie écosystème + matrice d'écarts hiérarchisée

Jours 60 à 90

Plan de remédiation et engagement contractuel

Plan d'action priorisé sur 12-24 mois (mesure 2.C.2)
Avenant cyber type à proposer aux prestataires critiques
Cadre de gouvernance : RACI sécurité, comitologie, validation par le dirigeant exécutif (mesure 2.A et 2.B.3)
Politique de sécurité des SI (PSSI) approuvée par le dirigeant (mesures 2.B)

Livrable : PSSI + plan d'action + 1 avenant cyber type

Partie 6

Comment Sentinel vous accompagne

Sentinel, plateforme souveraine de The Sov Company, automatise les obligations RECyF qui touchent à la chaîne de tiers : cartographie continue, screening, score cyber et continuité.

Notre conviction : la cartographie de l'écosystème exigée par l'objectif 3 ne peut pas être tenue manuellement. À l'échelle d'une entité moyenne (quelques centaines à dizaines de milliers de fournisseurs), seul un outil capable de croiser comptabilité, registres publics, sources de risque et enrichissement continu permet de produire un livrable auditable et opérationnel.

Sentinel a été conçu autour de cette obligation. Le tableau ci-dessous met en regard les mesures du RECyF et les fonctionnalités qui les couvrent.

Mesure RECyF	Obligation	Sentinel
3.A.1	Cartographie de l'écosystème : prestataires, fournisseurs informatiques, interconnexions	Cartographie supply chain à 3 rangs (R1 / R2 / R3), enrichie automatiquement depuis SIRENE, INPI, COFACE
3.A.2	Point de contact à jour pour chaque tiers	Fiche fournisseur avec contacts, dirigeants, UBO et liens capitalistiques
3.B.1 / 3.B.2	Vérification périodique de conformité contractuelle	Score cyber tiers, screening continu OpenSanctions, alertes sur changement de contrôle
12.2 / 14.4	Détection et signalement d'incidents tiers, annuaire de crise	Monitoring ransomware.live et veille presse spécialisée, alertes incident sur fournisseur stratégique
13.4 / 13.6	Plans de continuité et reprise pour les SI externalisés	Module PCA fournisseurs critiques avec DMIA, PRD et taux de couverture
14.4	Annuaire des parties prenantes externes en gestion de crise	Export crise au format imprimé et numérique, accessible hors-ligne
17.3	Audits incluant les SI tiers	Score de posture sécurité tiers (Shodan, Observatory) - non substitutif d'un PASSI mais utile en pré-audit

6.1 Une plateforme souveraine par construction

Sentinel est conçu comme une plateforme souveraine au sens strict : les données traitées ne quittent pas le territoire français, et l'essentiel des enrichissements (registres, sanctions, indicateurs cyber) tourne sur des bases locales.

Hébergement France métropolitaine (Scaleway, Paris) ;
Données structurelles fournisseurs (SIRENE, INPI, OpenSanctions, COFACE) : copies locales, pas d'appel temps réel à des API tierces pour la consultation ;
Registres OpenSanctions, INPI, OCDE-ICIO : actualisés via cron mensuel local ;
Aucune extraction de données vers des juridictions extra-européennes.

Cette architecture est conçue pour être compatible avec les exigences DGSSI applicables aux opérateurs publics, et avec une démarche SecNumCloud à terme.

6.2 Notre démarche d'accompagnement

Au-delà de la plateforme, nous proposons aux entités soumises au RECyF :

Audit RECyF gratuit en amont du projet : 30 minutes pour cadrer votre exposition, identifier les écarts critiques et estimer l'effort de mise en conformité ;
Cartographie initiale de votre écosystème depuis vos données comptables (FEC, Pennylane, Chorus Pro), livrée sous 5 jours ouvrés ;
Suivi continu via la plateforme avec alertes hebdomadaires sur vos fournisseurs stratégiques.

Pour aller plus loin

Audit RECyF gratuit

30 minutes en visio avec Tristan Méneret, fondateur de The Sov Company, pour cadrer votre exposition et prioriser les premières actions.

Réserver un créneau tme@thesovcie.com

Conclusion

La cybersécurité ne s'arrête pas à votre périmètre

Le RECyF marque une transformation en profondeur. La cybersécurité devient une obligation directe du dirigeant exécutif, mesurable, documentée, contrôlable. Et pour la première fois, un texte impose explicitement de regarder au-delà de son propre système d'information : la résilience d'une entité dépend désormais de celle de ses tiers.

Cette extension du périmètre n'est pas qu'une exigence réglementaire : c'est un alignement avec la réalité opérationnelle des cinq dernières années. Les attaques majeures qui ont marqué notre paysage sont quasi systématiquement passées par un tiers. Le RECyF reconnaît cette réalité et impose d'y répondre par la cartographie, la contractualisation, le contrôle continu et la préparation à la crise.

Trois convictions à retenir :

Démarrer maintenant est rationnel. La conformité prend 12 à 24 mois. Attendre le décret expose à un retard structurel.
L'écosystème ne se cartographie plus à la main. Aux échelles modernes, seule une plateforme outillée permet de tenir un livrable auditable.
La conformité tiers se construit dans tous les objectifs. Penser que l'objectif 3 suffit est une erreur. Dix objectifs portent des exigences tiers.

Nous sommes à votre disposition pour discuter de votre situation. Le RECyF est un sujet qui se cadre vite avec les bonnes questions.

Tristan Méneret

Fondateur, The Sov Company

tme@thesovcie.com - cal.thesovcompany.com/tme

Annexes

A.1 Glossaire

EE - Entité Essentielle: Entité opérant dans un secteur hautement critique au sens NIS 2 (annexe I), soumise aux 20 objectifs RECyF.
EI - Entité Importante: Entité opérant dans un secteur critique au sens NIS 2 (annexe II), soumise aux 15 premiers objectifs RECyF.
SI tiers: Système d'information ou ressource informatique partagé ou mutualisé qui n'est pas sous la responsabilité de l'entité. Note : un SI externalisé reste sous la responsabilité de l'entité, donc n'est PAS un SI tiers.
DMIA - Durée Maximale d'Interruption Admissible: Temps maximum d'interruption d'une activité au-delà duquel les conséquences deviennent inacceptables. Source ISO 22300:2025.
PRD - Point de Rétablissement de Données: Point à partir duquel les données utilisées par une activité sont restaurées en reprise (équivalent du RPO anglo-saxon).
Cœur de confiance: Annuaires + ressources hébergeant ou contrôlant ces annuaires (ex : Active Directory Tier 0). Cible privilégiée des attaquants.
PACS / PASSI / PDIS / PAMS: Familles de prestataires qualifiés ANSSI : Accompagnement et Conseil en Sécurité, Audit, Détection d'Incidents, Administration et Maintenance Sécurisée.

A.2 Correspondance synthétique RECyF ↔ NIS 2 (article 21)

Article NIS 2	Objectif RECyF correspondant
Art. 21.2.a (analyse de risques)	O2, O16
Art. 21.2.b (gestion des incidents)	O12, O15, O20
Art. 21.2.c (continuité)	O13, O14, O15
Art. 21.2.d (chaîne d'approvisionnement)	O3
Art. 21.2.e (acquisition / dev / maintenance)	O5, O7, O8, O9, O10, O11, O17, O18, O19
Art. 21.2.f (évaluation efficacité)	O2, O17, O20
Art. 21.2.g (cyberhygiène, formation)	O4, O15
Art. 21.2.h (cryptographie)	O2, O7, O8
Art. 21.2.i (RH, contrôle d'accès, gestion des actifs)	O1, O2, O3, O5, O10
Art. 21.2.j (MFA, communications sécurisées)	O8, O10, O11, O14

A.3 Pour aller plus loin

• cyber.gouv.fr - Portail de l'ANSSI dédié aux entités NIS 2
• RECyF v2.5 - Texte intégral du référentiel (PDF, 47 pages)
• Directive (UE) 2022/2555 - NIS 2
• ISO/CEI 27001:2022 - Système de management de la sécurité de l'information
• EBIOS Risk Manager - Méthode d'analyse de risques recommandée par l'ANSSI

Avertissement. Ce livre blanc constitue une lecture pédagogique du RECyF v2.5 publié le 17 mars 2026 en version de travail. Il ne se substitue pas au texte officiel ni à un avis juridique. Les obligations finales seront fixées par décret. The Sov Company ne saurait être tenue pour responsable d'une décision prise sur la base seule de ce document.