NIS2 / ReCyF
ReCyF/NIS2 : transformer les mesures ANSSI en preuves auditables
Le Référentiel Cyber France partagé par l'ANSSI le 17 mars 2026 donne un socle utile pour préparer NIS2 sans réduire le sujet à une grille documentaire. L'enjeu opérationnel est de transformer chaque mesure pertinente en contrôle réel, responsable identifié, preuve conservée et décision compréhensible par la direction.
Commencer par le périmètre défendable
Une mesure n'a de valeur que si elle s'applique à un périmètre clair. Avant de remplir une matrice, il faut relier services, actifs, fournisseurs, comptes privilégiés, sauvegardes et responsables.
Cette base évite de surpromettre une couverture globale alors que seules certaines briques sont réellement maîtrisées.
- services
- actifs
- fournisseurs
- responsables
- dépendances
Transformer les mesures en preuves
La preuve peut être technique, documentaire ou décisionnelle : export de configuration, ticket de correction, journal d'accès, test de restauration, compte rendu de revue ou arbitrage signé.
L'important est de conserver la preuve au même endroit que la mesure, l'écart et le responsable. Sinon, l'audit devient une chasse aux documents.
- contrôle
- preuve
- écart
- responsable
- date
Piloter les écarts comme un risque
Tous les écarts ne se corrigent pas immédiatement. Certains exigent un budget, une fenêtre de maintenance, une négociation fournisseur ou une mesure compensatoire.
Un registre court et vivant permet de distinguer ce qui est corrigé, accepté temporairement, compensé ou bloquant pour la direction.
Terrain
Décisions, signaux et preuves à ne pas perdre
Décision
À décider
- Quels services et dépendances entrent vraiment dans le périmètre NIS2 ?
- Quelle preuve démontre que la mesure est appliquée, pas seulement prévue ?
- Quel écart réduit le plus le risque dans les 30 prochains jours ?
- Quelle exception doit être acceptée par la direction plutôt que cachée dans un backlog ?
- Quel fournisseur peut empêcher la continuité ou l'investigation ?
Technique
À vérifier techniquement
- Inventaire d'actifs incomplet ou non relié aux services métier
- Mesures de sécurité décrites sans preuve technique ou organisationnelle
- Fournisseurs critiques absents du périmètre
- Exceptions non datées ou non compensées
- Incidents, PRA/PCA et sauvegardes documentés dans des fichiers séparés
Preuves
Preuves à conserver
- Cartographie services / actifs / fournisseurs / responsables
- Matrice mesure ReCyF / contrôle / preuve / écart / décision
- Exports IAM, MFA, sauvegardes, journaux, EDR, tickets et revues d'accès
- Registre des exceptions avec date, justification, mesure compensatoire et échéance
- Compte rendu d'arbitrage direction ou comité de risque
Pièges
Erreurs fréquentes
- Traiter ReCyF comme une checklist de conformité sans priorisation métier.
- Déclarer une mesure couverte sans preuve datée et vérifiable.
- Oublier les prestataires, comptes support et dépendances cloud.
- Produire un plan trop large qui ne livre aucune preuve exploitable sous 30 jours.
Questions fréquentes
ReCyF remplace-t-il une analyse de risques ?
Non. Il aide à structurer les mesures et les preuves, mais il doit être relié au périmètre, aux risques métier et aux dépendances réelles.
Quelle preuve produire en premier ?
Les preuves liées aux accès, sauvegardes, services critiques, fournisseurs et incidents sont souvent les plus utiles pour démontrer une trajectoire sérieuse.
Sources publiques
Références utilisées sans copie de contenu
Les liens ci-dessous servent de repères publics. Le contenu de cette page est reformulé, contextualisé et adapté à l'approche terrain d'AM Cyber.