Aller au contenu principal
RETOUR_AU_BLOG
Cybersécurité4 mai 20269 MIN DE LECTURE

NIS2 en France et le référentiel ReCyF de l’ANSSI : ce que votre organisation doit savoir

Octobre 2024 a marqué un tournant pour la cybersécurité européenne : la directive NIS2 (Network and Information Security 2) est officiellement entrée en application dans l’Union européenne. En France, l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) pilote la transposition et a publié le référentiel ReCyF (Référentiel de Cybersécurité des Fonctions) pour guider les organisations dans leur mise en conformité. Ce que beaucoup sous-estiment : NIS2 ne concerne plus seulement les opérateurs d’importance vitale. Des milliers de PME et ETI françaises sont désormais dans le périmètre.

NIS2 : la plus grande réforme cyber européenne depuis dix ans

La directive NIS1 de 2016 avait posé les premières bases d’une cybersécurité harmonisée au niveau européen. Huit ans plus tard, le paysage des menaces a radicalement changé — ransomwares d’État, attaques sur les chaînes d’approvisionnement, compromissions massives d’infrastructures critiques — et NIS1 avait montré ses limites : périmètre trop restreint, exigences insuffisantes, sanctions symboliques.

La directive 2022/2555/UE, dite NIS2, adoptée en décembre 2022 par le Parlement européen, corrige ces lacunes en profondeur. Son ambition est claire : élever significativement le niveau de cybersécurité de l’ensemble du tissu économique européen, pas seulement de ses acteurs les plus critiques.

Chiffres clés

NIS2 multiplie par 10 le nombre d’entités couvertes en France par rapport à NIS1. On passe d’environ 500 opérateurs régulés à plusieurs dizaines de milliers d’organisations concernées — incluant pour la première fois un grand nombre de PME et d’ETI.

La transposition française : état des lieux

Comme la majorité des États membres, la France n’a pas finalisé sa transposition législative dans le délai du 17 octobre 2024 — un projet de loi est en cours d’examen au Parlement pour inscrire NIS2 dans le droit national. Pour autant, la Commission européenne considère la directive directement applicable depuis cette date dans les pays en retard, et l’ANSSI a maintenu son calendrier de mise en conformité.

L’ANSSI a été désignée autorité nationale compétente pour NIS2. Elle est responsable de l’identification des entités régulées, de la supervision de la conformité et, en dernier ressort, du prononcé des sanctions. Son rôle est à la fois prescripteur (elle définit les règles) et accompagnateur (elle publie des guides, référentiels et outils d’auto-évaluation).

Qui est concerné ? Entités Essentielles et Entités Importantes

NIS2 introduit une distinction fondamentale entre deux catégories d’entités, avec des exigences et des régimes de supervision différenciés.

Les Entités Essentielles (EE)

Les EE sont les organisations dont la défaillance aurait un impact majeur sur la continuité de services critiques pour la société. Elles font l’objet d’une supervision proactive de l’ANSSI (audits, inspections à l’initiative du régulateur). On y trouve notamment : les opérateurs d’énergie, les opérateurs de transport ferroviaire et aérien, les établissements bancaires et de marché financier, les hôpitaux et laboratoires d’analyse, les opérateurs d’infrastructure numérique (DNS, cloud, datacenters), et les administrations centrales.

Les Entités Importantes (EI)

Les EI regroupent des organisations de taille plus modeste ou dans des secteurs considérés comme moins critiques. Leur supervision est réactive : l’ANSSI intervient principalement en cas d’incident ou de signalement. C’est dans cette catégorie que se trouvent la majorité des PME et ETI nouvellement concernées — notamment dans les secteurs de la fabrication, de la chimie, de la recherche, de la gestion des déchets ou encore des services postaux.

Êtes-vous concerné ?

NIS2 s’applique aux organisations qui remplissent deux conditions cumulatives : appartenir à l’un des 18 secteurs listés (dont l’IT, la santé, l’énergie, les transports, la fabrication industrielle) ET dépasser des seuils de taille (50 salariés OU 10 M€ de chiffre d’affaires). Les micro-entreprises sont en principe exemptées, sauf si elles opèrent des infrastructures critiques.

Les 10 mesures de sécurité obligatoires

NIS2 impose à toutes les entités régulées la mise en place de mesures proportionnées à leur niveau de risque, couvrant au minimum dix domaines définis à l’article 21 de la directive.

  1. 01Politiques de sécurité des systèmes d’information et d’analyse des risques
  2. 02Gestion des incidents : détection, réponse, notification
  3. 03Continuité d’activité et plans de reprise (BCP/DRP)
  4. 04Sécurité de la chaîne d’approvisionnement (tiers, sous-traitants)
  5. 05Sécurité dans l’acquisition, le développement et la maintenance des systèmes
  6. 06Politiques et procédures d’évaluation de l’efficacité des mesures
  7. 07Pratiques de base d’hygiène cyber et formation des collaborateurs
  8. 08Politiques de cryptographie et, le cas échéant, de chiffrement
  9. 09Sécurité des ressources humaines, contrôle d’accès, gestion des actifs
  10. 10Authentification multi-facteurs (MFA) et communications sécurisées

Le référentiel ReCyF de l’ANSSI : la boussole de la conformité

Pour aider les organisations à opérationnaliser les exigences abstraites de NIS2, l’ANSSI a publié le Référentiel de Cybersécurité des Fonctions (ReCyF). Ce document constitue le cadre de référence officiel pour évaluer et démontrer la conformité aux obligations NIS2 sur le territoire français.

Structure du ReCyF

Le ReCyF organise les exigences de sécurité autour de fonctions cyber, elles-mêmes déclinées en catégories et sous-catégories mesurables. Cette architecture s’inspire du cadre NIST Cybersecurity Framework, tout en l’adaptant aux spécificités du contexte réglementaire français et aux obligations NIS2. Chaque exigence est associée à un niveau de maturité attendu (de la mise en place initiale à l’optimisation continue), ce qui permet aux organisations de se situer et de planifier leur progression.

Les cinq fonctions du ReCyF

  • Identifier — inventaire des actifs, cartographie des risques, gouvernance cyber
  • Protéger — contrôles d’accès, durcissement des systèmes, chiffrement, formation
  • Détecter — supervision des journaux, détection d’anomalies, tests de pénétration
  • Répondre — plans de réponse aux incidents, notification à l’ANSSI, communication de crise
  • Rétablir — continuité d’activité, plans de reprise, retours d’expérience

L’intérêt majeur du ReCyF est de fournir un langage commun entre les organisations, leurs prestataires et l’ANSSI. Il sert à la fois d’outil d’auto-évaluation, de base pour les audits de conformité et de référence pour les prestataires de services de cybersécurité intervenant auprès des entités régulées.

Bon à savoir

Le ReCyF est conçu pour être compatible avec les certifications existantes (ISO 27001, SOC 2). Si votre organisation est déjà certifiée ISO 27001, une large partie des exigences ReCyF est probablement déjà couverte. Un gap analysis ciblé permet d’identifier rapidement les points résiduels à traiter.

Les obligations de notification d’incident

NIS2 durcit considérablement les délais de notification des incidents significatifs. Toute entité régulée victime d’un incident ayant un impact sur la continuité ou la confidentialité de ses services doit respecter le calendrier suivant :

  • 24 heures : alerte initiale à l’ANSSI (incident significatif suspecté ou avéré)
  • 72 heures : notification complète avec évaluation préliminaire de l’impact
  • 1 mois : rapport final détaillé incluant l’analyse des causes, les mesures correctives et les leçons apprises

Ces délais supposent une organisation mature : les organisations qui découvrent un incident après plusieurs semaines (faute de détection), ou qui ne disposent pas de procédure de gestion des incidents documentée, sont immédiatement en défaut de conformité. La détection et la réponse aux incidents ne sont plus des options.

Les sanctions : une réalité nouvelle pour les PME

L’une des ruptures majeures de NIS2 par rapport à NIS1 concerne le régime de sanctions. L’ANSSI dispose désormais de pouvoirs de mise en demeure et de sanction pécuniaire significatifs :

  • Entités Essentielles : jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires mondial
  • Entités Importantes : jusqu’à 7 millions d’euros ou 1,4 % du chiffre d’affaires mondial
  • Responsabilité personnelle des dirigeants possible en cas de négligence grave

Si les premières années de mise en œuvre seront probablement centrées sur l’accompagnement plutôt que la sanction, il serait imprudent de parier sur une bienveillance durable du régulateur — d’autant que la pression des incidents cyber réels accélère le durcissement de la supervision.

NIS2 et les PME : ne pas attendre le dernier moment

Une idée reçue persistante veut que NIS2 ne concerne que les grandes entreprises. C’est inexact. Dès lors qu’une PME dépasse le seuil de 50 salariés ou 10 M€ de CA et opère dans un secteur couvert, elle est dans le périmètre — souvent en tant qu’Entité Importante.

La réalité est même plus large : même les PME sous les seuils peuvent être indirectement concernées via leur position dans la chaîne d’approvisionnement d’une EE. NIS2 impose aux entités régulées d’évaluer et de maîtriser les risques cyber de leurs prestataires et sous-traitants. Une PME fournissant des services IT, de maintenance ou de logistique à un hôpital, un opérateur d’énergie ou une banque sera soumise à des exigences contractuelles renforcées.

L’effet cascade de la chaîne d’approvisionnement

Les grandes entités régulées vont progressivement imposer à leurs fournisseurs stratégiques des exigences de conformité NIS2 ou ReCyF via leurs contrats. Si vous êtes sous-traitant d’une EE, vous recevrez probablement des questionnaires de sécurité ou des demandes d’audit dans les 12 à 18 prochains mois.

Par où commencer ?

Refacto vous accompagne dans la mise en conformité cyber en construisant une feuille de route claire et progressive. La première étape consiste à déterminer si votre organisation est concernée, en analysant votre secteur d’activité, vos seuils de taille et votre position dans la chaîne d’approvisionnement.

Nous réalisons ensuite un gap analysis ReCyF afin d’évaluer votre niveau de maturité actuel au regard des cinq fonctions du référentiel. Refacto vous aide également à structurer une gouvernance cyber adaptée, en désignant les responsabilités, en impliquant la direction et en formalisant les politiques essentielles. Sur cette base, nous priorisons les mesures techniques les plus importantes, comme l’authentification multifacteur, les sauvegardes testées, la gestion des correctifs, la journalisation ou encore le plan de réponse aux incidents.

Enfin, nous vous aidons à préparer les procédures internes nécessaires à la notification ANSSI, afin de respecter les délais réglementaires de 24h et 72h en cas d’incident.

INITIALIZE_CONTACT

CET ARTICLE VOUS CONCERNE ?

PARLONS DE VOTRE SITUATION. ON VOUS RÉPOND SOUS 48H AVEC UNE APPROCHE CONCRÈTE.

INITIALIZE_CONTACT

Contactez-nous