
29 octobre 2025 | Blog

- La transposition de la directive NIS2 en France est retardée, mais l’ANSSI encourage fortement les entreprises à commencer leur démarche de mise en conformité dès maintenant avec l’aide du ReCyf, un guide complet qui transforme les exigences NIS2 en actions concrètes ;
- En complément du Référentiel Cyber France, l’Agence Nationale de Sécurité des Systèmes d’Information propose des services et outils dédiés à disposition des Entités essentielles (EE) et des Entités importantes (EI) ;
- L’expertise de bout en bout d’Orange Cyberdefense est à même d’accompagner la mise en conformité des entreprises concernées sur une majorité des exigences de la directive NIS2.
Le 17 mars 2026, l’ANSSI - l’Agence Nationale de la Sécurité des Systèmes d’Information – publiait le ReCyf. Le Référentiel Cyber France est un outil conçu pour aider les entreprises concernées à entamer leur mise en conformité NIS2 dès aujourd’hui. Au travers de cet article, Yann Lonlas, Consultant sécurité référent sur la réglementation cyber chez Orange Cyberdefense, nous guide au travers du ReCyf.
La France, au même titre que l’Espagne et les Pays-Bas, fait partie des pays retardataires sur la transposition de la directive NIS2. Face au retard conséquent, la commission européenne accentue la pression et s’apprête à assigner la France devant la CGUE (Cour de Justice de l’Union Européenne).
Plusieurs éléments expliquent en partie ce retard :
Faute de texte définitif, de nombreuses entreprises ont gelé leurs investissements et suspendu leurs démarches de mise en conformité.
Ne plus attendre le vote de la directive NIS2 pour entamer sa mise en conformité : tel est en substance le message fort que l’Agence Nationale de la Sécurité des Systèmes d’Information a adressé le 17 mars dernier en publiant le ReCyf en amont du vote final.
Prise en « sandwich » entre le retard du gouvernement et son rôle de contrôle – on rappelle que les amendes en cas de non-conformité pourront s’élever de 7 à 10 millions d’euros pour les entités importantes (EI) et les entités essentielles (EI) - l’agence incite ces dernières à s’identifier et se pré-enregistrer en ligne afin d’entamer leur process de mise en conformité.
A ce stade, les exigences de la directive NIS2 sont parfaitement identifiées et il n’y aura plus de changements majeurs. Le process de mise en conformité demande un investissement financier et humain important et il est impératif que les entreprises suivent dès aujourd’hui les recommandations du ReCyf publié par l’ANSSI. Un accompagnement sur 3 ans ne sera pas de trop pour se mettre en conformité avec les exigences de la directive NIS2. C’est pourquoi nous conseillons fortement aux entreprises de démarrer les étapes dès aujourd’hui. Cela va leur permettre de lisser la charge financière et humaine, préconise Yann Lonlas, consultant sécurité référent sur la réglementation cyber et la directive NIS2 chez Orange Cyberdefense.
L'ANSSI a d'ailleurs publié plusieurs outils disponibles sur sa plateforme d'accompagnement MesServicesCyber, avec notamment :
Le ReCyf ou Référentiel Cyber Français est un guide publié par l’ANSSI pour faciliter la mise en conformité NIS2 des entreprises en France.
Ce guide formule 20 objectifs, qui regroupent chacun plusieurs mesures. Ces 20 objectifs s'articulent autour de 4 grand piliers : Gouvernance, Protection, Défense et Résilience.
Dans ce cadre, les Entités Importantes (EI) et les Entités Essentielles (EE) ne sont pas soumises au même niveau d’exigences. Les EI, souvent de plus petits acteurs ou nouveaux entrants, ont des obligations allégées, se concentrant sur 15 des 20 objectifs principaux du ReCyf, tandis que les EE doivent couvrir la totalité.
Les entités importantes doivent se concentrer sur la mise en place d'un cadre de la gouvernance cyber, d'une cartographie de leur système d’information, séparer le réseau de l’entreprise de certaines ressources (web, mail, DNS…) hébergées en externe, sécuriser les accès distants et assurer des sauvegardes régulières.
Les entités essentielles regroupent notamment les entreprises ayant au moins 250 salariés ou réalisant un chiffre d’affaires supérieur à 50 millions d'euros et un bilan annuel supérieur à 43 millions d’euros à l’année.
Elles évoluent dans des secteurs critiques comme l’énergie, l’eau, le transport, le numérique, la banque, la santé, etc... Ces entreprises se retrouvent soumises à des obligations de cybersécurité beaucoup plus approffondies, comprenant :
A titre d’exemple, dans le cadre la segmentation interne, cela implique de réaliser une refonte de l’architecture réseau, d’évaluer les niveaux de sensibilité de chaque sous-système de son SI, de mettre en place des plateformes DMZ (pour Zone Démilitarisée en français) entrante et sortante, ainsi que de prévoir le réseau d’administration dédiée.
On parle de 200 à 250 jours homme uniquement pour l’architecte qui aura la charge de redéfinir le réseau d’une EE. Pour l’implémentation, compter 3 à 4 fois plus de temps nécessaire. C’est donc un investissement humain et financier non négligeable. C’est pourquoi nous conseillons aux entreprises d’entamer leur mise en conformité sans attendre, afin de lisser le coût budgétaire et humain sur la durée, explique Yann Lonlas.
Les premiers retours concrets liés à des missions d'accompagnement NIS2 disent l'ampleur de la tâche et les problématiques spécifiques aux EE et aux EI.
Nos premiers audits NIS2 montrent que la problématique des entités importantes est avant tout humaine. Leurs départements IT sont déjà saturés et n’ont pas le temps pour se consacrer à une tâche de cette ampleur. Du côté des entreprises essentielles, l’investissement matériel peut s’avérer conséquent. C’est donc leur capacité financière qui va devenir bloquante, clonclut Yann Lonlas.
Face à ces challenges structurels, un accompagnement de bout en bout est un sérieux atout. En apportant leur expertise multidisciplinaire et leur fine connaissance en matière de réglementation en cybersécurité, les experts d'Orange Cyberdefense contribuent efficacement à assurer la conformité des entreprises concernées par la directive NIS2.
Pour bénéficier d'une analyse et de recommandations plus poussées concernant le champ d'application du ReCyf, vous pouvez écouter notre webinar « Comprendre le Référentiel Cyber France (ReCyF) pour faciliter votre mise en conformité » en date du 02 juillet 2026. Il vous suffit de cliquer sur le bouton ci-dessous.

29 octobre 2025 | Blog

13 février 2024 | Blog

8 février 2024 | Blog