L’ANSSI vient de publier ReCyF, le Référentiel Cyber France. Ce nouveau cadre de mesures de sécurité constitue la pierre angulaire de la mise en conformité NIS 2 pour les milliers d’entités françaises concernées par la directive. Quelques jours plus tard, le référentiel était intégré dans Make IT Safe. Voici ce que ReCyF change concrètement pour les RSSI et les DPO.
Ce que l’ANSSI a annoncé le 17 mars
L’Agence a réuni au Campus Cyber les fédérations professionnelles, les associations d’élus et les acteurs de la cybersécurité autour d’un objectif clair : lancer la dynamique de sécurisation à grande échelle portée par NIS 2.
À cette occasion, trois ressources majeures ont été rendues publiques :
- ReCyF (Référentiel Cyber France), diffusé en version document de travail. Il liste les mesures recommandées par l’ANSSI pour atteindre les objectifs de sécurité fixés par NIS 2 et s’articule autour de quatre niveaux de maturité. Ce principe de proportionnalité est essentiel : le niveau d’effort attendu s’adapte aux ressources et à la maturité de chaque entité.
- La correspondance ReCyF / ISO 27001, une ressource précieuse pour toutes les organisations déjà certifiées ou en cours de certification, qui peuvent ainsi mesurer leur couverture existante face aux nouvelles exigences.
- Un outil de comparaison des référentiels, qui permet de mettre ReCyF en regard d’autres normes et réglementations (sectorielles, nationales, européennes, internationales). Un levier concret pour les entités qui ont déjà engagé des démarches de sécurisation et qui souhaitent s’approprier le nouveau cadre sans repartir de zéro.
L’ANSSI a également rappelé que le service de pré-enregistrement est ouvert pour les entreprises. Une étape volontaire, mais recommandée pour anticiper l’enregistrement qui sera exigé dès l’entrée en vigueur de la réglementation. Un référentiel de mesures basiques sera également publié prochainement sur MesServicesCyber.
Pourquoi ReCyF est un tournant pour la conformité NIS 2
Jusqu’ici, les entités françaises naviguaient dans un certain flou. La transposition législative et réglementaire de NIS 2 n’étant pas finalisée, les RSSI et DPO devaient s’appuyer sur des documents de travail, des projets de « moyens acceptables de conformité » et des extrapolations à partir de la norme ISO 27001.
ReCyF change la donne. Même publié en version document de travail, il offre pour la première fois un cadre structurant, validé par l’ANSSI, avec des mesures concrètes et un découpage en quatre niveaux. Ce n’est plus de la prospective : c’est un référentiel sur lequel bâtir sa feuille de route.
Pour les organisations déjà engagées dans un SMSI ou une certification ISO 27001, la correspondance fournie par l’ANSSI permet d’identifier rapidement les écarts à combler. Pour les entités moins matures, le référentiel de mesures basiques viendra pointer les actions prioritaires à moindre coût et à fort impact.
Rapidement intégré dans Make IT Safe
Dès l’annonce de l’ANSSI, nos équipes se sont mobilisées pour analyser le contenu du référentiel et l’intégrer dans la plateforme. ReCyF est d’ores et déjà disponible dans Make IT Safe.
Nos utilisateurs peuvent dès à présent évaluer leur posture de conformité au regard des mesures ReCyF, niveau par niveau. Ils peuvent aussi identifier les écarts entre leur couverture actuelle (ISO 27001, DORA, RGPD…) et les exigences du nouveau référentiel, prioriser leurs actions de remédiation grâce à la gestion intégrée des plans d’action, et piloter la montée en maturité sur les quatre niveaux définis par l’ANSSI avec un suivi en temps réel de leurs KPI de conformité.
C’est le reflet d’un engagement constant : suivre au plus près les évolutions réglementaires pour que nos clients disposent toujours d’un outil à jour.
Ne pas attendre la version définitive pour agir
Un point important : ReCyF est un document de travail. Il évoluera probablement après les consultations et les travaux législatifs en cours. Ce n’est pas une raison pour attendre.
Les entités qui engagent dès maintenant leur démarche de sécurisation sur la base de ReCyF prennent de l’avance. Les mesures qu’elles mettront en place resteront pertinentes quelle que soit la version définitive du référentiel, car elles visent un objectif qui, lui, ne changera pas : protéger les organisations face à la menace cybercriminelle de masse.
L’ANSSI elle-même encourage cette posture. Le message porté le 17 mars était limpide : ne pas attendre la réglementation pour agir.
Passez à l’action avec Make IT Safe
Vous avez désormais les cartes en main. ReCyF vous donne un cap. Make IT Safe vous donne l’outil pour le suivre.
Vous êtes déjà client Make IT Safe ? Contactez votre CSM pour activer le référentiel ReCyF dans votre espace. Vous ne connaissez pas encore notre solution ? Contactez-nous pour en discuter.
