Le ReCyF, un nouveau cadre cyber pour toutes les organisations françaises
L’ANSSI vient de publier le ReCyF, le Référentiel Cyber France. Ce document structurant vise à établir un socle commun de maturité cyber pour l’ensemble des organisations françaises, des PME aux collectivités territoriales en passant par les ETI et le secteur public.
Dans un contexte où 74% des PME françaises se situent sous le niveau de maturité recommandé par l’ANSSI, ce référentiel arrive à un moment critique. La directive NIS2, repoussée à juillet 2026, va imposer des obligations concrètes de cybersécurité à des milliers d’entités qui n’y étaient pas préparées.
Le ReCyF n’est pas une simple recommandation. C’est un outil d’évaluation et de pilotage qui permet aux DSI de mesurer leur posture cyber, d’identifier les lacunes et de construire une feuille de route réaliste.
Pourquoi le ReCyF concerne directement les équipes IT et les DSI
Le référentiel couvre plusieurs domaines qui touchent directement les outils et processus gérés par les directions informatiques :
- Gestion des actifs et des configurations : inventaire du parc, cartographie des systèmes, suivi des versions et des correctifs
- Gestion des incidents : détection, qualification, escalade, traçabilité et reporting des incidents de sécurité
- Contrôle des accès : gestion des identités, des droits, des comptes à privilèges et du cycle de vie des utilisateurs
- Continuité d’activité : plans de reprise, sauvegardes, tests réguliers et documentation des procédures
- Conformité et audit : preuves de conformité, journaux d’audit, indicateurs de suivi
Chacun de ces domaines repose sur des processus ITSM bien structurés. Sans outil adapté pour centraliser, automatiser et tracer ces activités, la mise en conformité reste théorique.
PME et collectivités : les plus exposées, les moins équipées
Les grandes entreprises disposent généralement d’équipes dédiées à la cybersécurité et d’outils spécialisés. Pour les PME, les ETI et les collectivités territoriales, la situation est très différente.
Les DSI de ces structures cumulent plusieurs rôles : support utilisateur, infrastructure, projets métiers, et maintenant conformité cyber. Le ReCyF ajoute une couche d’exigences que ces équipes doivent absorber avec des ressources limitées.
Les collectivités territoriales sont particulièrement concernées. Les cyberattaques contre des mairies, des hôpitaux et des intercommunalités se multiplient depuis 2023. Le ReCyF leur fournit un cadre, mais encore faut-il disposer des outils pour le mettre en pratique.
Concrètement, une collectivité qui souhaite se conformer au ReCyF doit pouvoir :
- Suivre chaque incident de sécurité avec un historique complet
- Maintenir un inventaire à jour de ses actifs informatiques
- Prouver que les correctifs critiques sont appliqués dans les délais
- Documenter ses procédures de gestion de crise
- Produire des rapports d’audit exploitables
L’ITSM comme socle de conformité cyber
Ce que le ReCyF met en lumière, c’est que la cybersécurité n’est pas qu’une affaire de pare-feu et d’antivirus. C’est avant tout une question de processus, de traçabilité et de rigueur opérationnelle.
Un outil ITSM bien configuré couvre naturellement une partie significative des exigences du référentiel :
Gestion des incidents : chaque ticket de sécurité est horodaté, qualifié, assigné et suivi jusqu’à résolution. L’historique complet est conservé pour les audits.
Gestion des changements : chaque modification d’infrastructure passe par un workflow d’approbation avec évaluation des risques. Les changements d’urgence sont tracés et justifiés.
Base de connaissances : les procédures de réponse aux incidents, les guides de durcissement et les politiques de sécurité sont centralisés et accessibles aux équipes.
CMDB et inventaire : la cartographie des actifs, des dépendances et des configurations permet d’évaluer rapidement l’impact d’une vulnérabilité sur le système d’information.
Reporting et tableaux de bord : les indicateurs de conformité (temps de résolution des incidents critiques, taux d’application des correctifs, couverture de l’inventaire) sont disponibles en temps réel.
NIS2 et ReCyF : deux cadres complémentaires à anticiper maintenant
La directive NIS2, dont la transposition française est désormais attendue pour juillet 2026, va rendre obligatoires des mesures que le ReCyF recommande déjà. Les organisations qui commencent dès maintenant à structurer leurs processus IT selon le ReCyF seront en avance sur les exigences NIS2.
Les points de convergence sont nombreux :
- Obligation de notification des incidents significatifs sous 24 heures
- Mise en place de mesures techniques et organisationnelles proportionnées
- Responsabilité de la direction générale sur la posture cyber
- Audits réguliers et capacité à démontrer la conformité
Pour les PME et ETI qui découvrent ces obligations, le ReCyF constitue une grille de lecture accessible. Il traduit les exigences réglementaires en actions concrètes que les équipes IT peuvent planifier et exécuter.
Comment structurer sa conformité ReCyF avec un outil adapté
La démarche de mise en conformité peut se décomposer en quatre étapes :
1. Évaluation initiale : utilisez la grille ReCyF pour mesurer votre niveau actuel sur chaque domaine. Identifiez les écarts critiques entre votre situation et le niveau recommandé.
2. Centralisation des processus : regroupez la gestion des incidents, des changements, des actifs et des demandes dans un outil unique. La dispersion entre emails, tableurs et outils multiples est le premier facteur de non-conformité.
3. Automatisation des workflows : configurez des circuits d’approbation, des escalades automatiques et des notifications pour garantir que chaque événement de sécurité est traité dans les délais requis.
4. Pilotage par les indicateurs : mettez en place des tableaux de bord qui reflètent les domaines du ReCyF. Suivez votre progression et identifiez les points de blocage.
KLX ESM a été conçu pour répondre à ces besoins. La plateforme intègre nativement la gestion des incidents, des changements, la CMDB, les workflows automatisés et le reporting, le tout dans un environnement souverain hébergé en France. Les PME, ETI et collectivités y trouvent un outil à la fois complet et accessible, sans la complexité ni le coût des solutions internationales.
Agir maintenant pour ne pas subir en juillet 2026
Le ReCyF de l’ANSSI envoie un signal clair : la maturité cyber des organisations françaises doit progresser rapidement. Les DSI qui attendent la transposition définitive de NIS2 pour agir prendront un retard difficile à rattraper.
Les outils ITSM modernes permettent de poser les fondations de cette conformité dès aujourd’hui. Inventaire des actifs, traçabilité des incidents, gestion des changements, reporting : ces briques sont à la fois des bonnes pratiques IT et des exigences réglementaires.
La question n’est plus de savoir si votre organisation doit structurer sa posture cyber, mais comment le faire efficacement avec les ressources dont vous disposez.