Qu\u2019est-ce que le référentiel ReCyF ?
Le référentiel ReCyF (Référentiel de Cybersécurité France) est le cadre opérationnel produit par l\u2019ANSSI pour structurer la mise en conformité NIS2. Dans sa version 2.5, il traduit les exigences de la directive en 20 objectifs mesurables, organisés en 4 domaines thématiques : gouvernance, protection, défense, et objectifs supplémentaires réservés aux Entités Essentielles.
Les objectifs 1 à 15 sont applicables à toutes les entités soumises à NIS2 (Entités Importantes et Entités Essentielles). Les objectifs 16 à 20 sont réservés aux Entités Essentielles en raison de leur niveau d\u2019exposition plus élevé.
Chaque objectif est associé à des mesures concrètes et des preuves attendues lors d\u2019un audit. Ce guide détaille chacun des 20 objectifs avec une description opérationnelle et les éléments de preuve correspondants.
Gouvernance des systèmes d’information
Objectifs 1 à 4 — Applicables EI + EE
Recensement des systèmes d’information
GouvernanceL’entité réalise et maintient à jour une liste de l’ensemble de ses activités et services ainsi que des systèmes d’information y contribuant. Applicable EI+EE.
Preuves attendues
Inventaire des SI daté et signé, liste des activités et services associés, procédure de mise à jour documentée
Mise en œuvre d’un cadre de gouvernance de la sécurité numérique
GouvernanceL’entité définit un cadre de gouvernance de la sécurité numérique placé sous la responsabilité du dirigeant exécutif. Comprend : organisation, rôles et responsabilités, processus de gestion de la conformité, PSSI. Applicable EI+EE.
Preuves attendues
PSSI approuvée par le dirigeant, organigramme sécurité, lettre de mission RSSI, tableau de bord de conformité présenté en CODIR
Maîtrise de l’écosystème
GouvernanceL’entité réalise et maintient à jour une liste des prestataires et fournisseurs informatiques intervenant dans la réalisation de ses activités, avec le périmètre et la nature de la prestation. Mise en place de processus contractuels de conformité. Applicable EI+EE.
Preuves attendues
Registre des prestataires et fournisseurs SI, clauses contractuelles de sécurité, procédure d’évaluation des tiers
Intégration de la sécurité numérique dans la gestion des ressources humaines
GouvernanceL’entité définit des procédures de sensibilisation et de formation à la sécurité numérique, et intègre la sécurité dans la gestion RH de l’arrivée au départ. Charte d’usage des SI, programme de sensibilisation. Applicable EI+EE.
Preuves attendues
Charte d’usage des SI signée, registre de formations et attestations, procédures d’arrivée et de départ documentées
Protection des systèmes d’information
Objectifs 5 à 11 — Applicables EI + EE
Maîtrise des systèmes d’information
ProtectionL’entité dispose d’au moins une cartographie de ses SI suffisamment détaillée pour le maintien en condition opérationnelle et de sécurité, et pour améliorer la réactivité en cas d’incident. Processus de maintien en condition de sécurité et application des correctifs. Applicable EI+EE.
Preuves attendues
Cartographie des SI à jour, politique de gestion des correctifs, tickets de patching, rapports de scan de vulnérabilités
Maîtrise des accès physiques aux locaux
ProtectionL’entité met en place des mécanismes de contrôle d’accès et de gestion des droits d’accès ainsi que des processus de gestion des visiteurs (locaux, salles serveurs, locaux techniques). Applicable EI+EE (mesures renforcées pour EE).
Preuves attendues
Système de contrôle d’accès physique, registre des accès et des visiteurs, plan de sécurité physique des locaux sensibles
Sécurisation de l’architecture des systèmes d’information
ProtectionL’entité identifie les besoins d’exposition des services et interfaces, filtre les communications entrantes et sortantes. Les EE cloisonnent leurs SI en zones de sécurité cohérentes. Applicable EI+EE.
Preuves attendues
Schéma d’architecture réseau, règles de filtrage documentées, matrice des flux autorisés, preuves de segmentation (VLAN, pare-feu)
Sécurisation des accès distants aux systèmes d’information
ProtectionL’entité sécurise les accès distants à ses SI par des mécanismes de chiffrement et d’authentification. Applicable EI+EE.
Preuves attendues
Configuration VPN avec chiffrement fort (TLS 1.2+), politique d’accès distant, activation du MFA sur les accès distants
Protection des systèmes d’information contre les codes malveillants
ProtectionL’entité met en œuvre des mesures de détection et de protection contre les codes malveillants sur l’ensemble de ses SI. Applicable EI+EE.
Preuves attendues
Déploiement antivirus/EDR sur l’ensemble du parc, politique de mise à jour des signatures, rapports de détection
Gestion des identités et des accès des utilisateurs aux systèmes d’information
ProtectionL’entité définit et met en œuvre une politique de gestion des identités et des accès logiques. Principe du moindre privilège, revue régulière des droits. Authentification multifacteur pour les accès sensibles et distants. Applicable EI+EE.
Preuves attendues
Politique IAM documentée, résultats de revue des droits d’accès (semestrielle), rapport MFA activé sur comptes sensibles et distants
Maîtrise de l’administration des systèmes d’information
ProtectionL’entité définit et met en œuvre une politique d’administration de ses SI. Comptes d’administration dédiés, séparation des usages. Les EE utilisent des ressources d’administration dédiées. Applicable EI+EE (mesures renforcées pour EE).
Preuves attendues
Politique d’administration documentée, inventaire des comptes d’administration dédiés, preuves de séparation des usages
Défense des systèmes d’information
Objectifs 12 à 15 — Applicables EI + EE
Identification et réaction aux incidents de sécurité
DéfenseL’entité met en place des dispositifs permettant d’identifier les incidents de sécurité et d’y réagir. Journalisation des événements de sécurité, corrélation et analyse. Applicable EI+EE.
Preuves attendues
Configuration de la journalisation sur les systèmes critiques, procédure de qualification des alertes, historique des incidents traités
Continuité et reprise d’activité
DéfenseL’entité définit et met en œuvre des procédures de continuité et de reprise d’activité en cas d’incident majeur. PCA/PRA, sauvegardes régulières testées. Applicable EI+EE.
Preuves attendues
PCA/PRA documentés et signés, politique de sauvegarde, résultats de tests de restauration avec RTO/RPO mesurés
Réaction aux crises d’origine cyber
DéfenseL’entité définit et met en œuvre un dispositif de gestion de crise en cas de crise d’origine cyber. Communication de crise, coordination avec l’ANSSI. Applicable EI+EE.
Preuves attendues
Plan de gestion de crise cyber, procédure de notification ANSSI (délais 24h/72h/1 mois), annuaire de crise, résultats d’exercices de crise
Exercices, tests et entraînements
DéfenseL’entité réalise régulièrement des exercices et tests pour vérifier l’efficacité de ses mesures de sécurité et de ses procédures de continuité/reprise. Applicable EI+EE.
Preuves attendues
Rapports d’exercices de crise, résultats de tests de continuité, plans d’amélioration post-exercice, planification des exercices à venir
Objectifs supplémentaires — EE uniquement
Objectifs 16 à 20 — Applicables aux Entités Essentielles uniquement
Ces 5 objectifs sont applicables uniquement aux Entités Essentielles. Les Entités Importantes (EI) ne sont pas tenues de les satisfaire, mais peuvent s\u2019en inspirer pour renforcer leur posture de sécurité.
Mise en œuvre d’une approche par les risques
EE uniquementL’entité essentielle réalise et maintient à jour une analyse de risques de ses SI. Cette analyse est formalisée (type EBIOS RM) et sert de base au plan d’action de sécurité. EE uniquement.
Preuves attendues
Rapport d’analyse de risques EBIOS RM daté, plan de traitement des risques, décisions de la direction sur les risques résiduels acceptés
Audit de la sécurité des systèmes d’information
EE uniquementL’entité essentielle fait réaliser des audits de sécurité de ses SI par des prestataires qualifiés (PASSI). Audits réguliers et après modifications majeures. EE uniquement.
Preuves attendues
Rapports d’audit PASSI, plan de remédiation associé, calendrier des prochains audits, preuves de traitement des écarts
Sécurisation de la configuration des ressources des systèmes d’information
EE uniquementL’entité essentielle définit et applique des procédures de durcissement de la configuration de ses ressources (serveurs, postes, équipements réseau). EE uniquement.
Preuves attendues
Politiques de durcissement documentées (type CIS Benchmarks), résultats d’audit de configuration, preuves d’application des baselines
Administration des systèmes d’information depuis des ressources d’administration dédiées
EE uniquementL’entité essentielle administre ses SI depuis des ressources dédiées, cloisonnées et sécurisées (principe du cœur de confiance). EE uniquement.
Preuves attendues
Architecture des ressources d’administration dédiées, inventaire des postes d’administration, preuves de cloisonnement (réseau dédié, accès restreint)
Supervision de la sécurité des systèmes d’information
EE uniquementL’entité essentielle met en place un dispositif de supervision de la sécurité (SOC, SIEM) pour détecter en temps réel les incidents. Recours possible à un prestataire qualifié (PDIS). EE uniquement.
Preuves attendues
Architecture SOC/SIEM documentée, contrat PDIS le cas échéant, tableaux de bord de supervision, statistiques de détection et temps de réponse
Points clés à retenir
- Les 20 objectifs ReCyF v2.5 sont organisés en 4 domaines : gouvernance, protection, défense, et objectifs EE.
- Les objectifs 1 à 15 s’appliquent à toutes les entités NIS2 (EI et EE).
- Les objectifs 16 à 20 sont réservés aux Entités Essentielles : analyse de risques, audits PASSI, durcissement, administration dédiée, supervision SOC/SIEM.
- Chaque objectif doit être prouvé par des éléments vérifiables (documents, logs, rapports API).
- Sentinel NIS2 automatise la collecte de preuves pour 16 des 20 objectifs via des connecteurs API.