Le 17 mars 2026, l’ANSSI a réuni l’écosystème cybersécurité au Campus Cyber pour un événement clé autour de la directive NIS2.
Objectif clair : lancer immédiatement une dynamique de sécurisation à grande échelle, sans attendre la transposition nationale.
Voici l’essentiel à retenir — et surtout ce que cela change concrètement pour les organisations.
Une position très claire de l’ANSSI : agir maintenant, pas demain
Le message principal est sans ambiguïté :
La cybersécurité ne doit plus être pilotée par la conformité réglementaire, mais par le niveau de menace.
Quelques éléments marquants partagés lors de l’événement :
- 1366 incidents traités en 2025
- Explosion des attaques liées aux fuites de données (effet domino sur les identifiants)
- Attaques majeures à impact économique massif (ex : Jaguar Land Rover > 2 milliards £)
- Tentatives de sabotage d’infrastructures critiques (électricité en Pologne)
Conclusion de l’ANSSI :
La menace est déjà là. Attendre la loi, c’est déjà être en retard.
Une opportunité de structuration et de professionnalisation des organisations :
Au-delà de la contrainte réglementaire, NIS2 représente une opportunité pour les organisations de structurer leur fonctionnement. Mise en place de processus, clarification des responsabilités, amélioration de la gestion des risques, formalisation des pratiques : autant d’éléments qui contribuent à une meilleure performance globale, au-delà de la cybersécurité.
Le rôle clé des relais de l’écosystème
L’ANSSI insiste fortement sur le rôle des relais (cabinet de conseil, fédérations, acteurs territoriaux). Le passage à l’échelle de NIS2 ne pourra pas être porté uniquement par les institutions. Les acteurs de terrain auront un rôle clé pour accompagner, traduire les exigences et adapter les approches aux réalités des organisations, notamment les PME et ETI.
ReCyF : le nouveau socle cyber français pour NIS2
L’un des points centraux de l’événement est la présentation du référentiel ReCyF (version bêta).
20260317_NIS_V2_ReCyF_v2.5.pdf
Son ambition :
Créer une colonne vertébrale unique pour harmoniser les exigences cyber en France.
Une structure simple mais structurante
Le référentiel repose sur :
- 4 piliers
- 20 objectifs de sécurité
- Une logique de proportionnalité
Les 4 piliers sont :
- Gouvernance
- Protection
- Défense
- Résilience
Une approche adaptée à la maturité des organisations
ReCyF introduit 3 niveaux :
- Basique (hygiène minimale)
- Modéré (attendu pour les entités importantes – EI)
- Avancé (attendu pour les entités essentielles – EE)
Point clé :
Toutes les organisations n’ont pas les mêmes obligations.
Par exemple :
- Analyse de risques avancée → uniquement pour EE
- Supervision SOC → uniquement pour EE
Cela marque un changement majeur : une cybersécurité proportionnée et pragmatique.
Un comparateur avec les autres référentiels
NIS2 ne doit pas être traitée isolément. Elle s’inscrit dans un paysage réglementaire plus large (DORA, CRA, RGPD, LPM, etc.). L’enjeu pour les organisations est d’éviter les doublons et de construire une approche unifiée de la cybersécurité et de la conformité, en s’appuyant notamment sur les outils de mapping proposés par l’ANSSI : NIS 2 | MesServicesCyber
Un enjeu de priorisation et de pragmatisme
Face à l’ampleur des exigences, toutes les organisations ne pourront pas tout faire immédiatement. L’approche prônée est pragmatique : commencer par les fondamentaux, prioriser les actions à fort impact, et progresser par étapes. Le référentiel ReCyF s’inscrit dans cette logique en proposant un socle accessible et évolutif.
Ce que couvrent concrètement les 4 piliers
1. Gouvernance
- Cartographie des SI
- Pilotage de la sécurité
- Gestion des prestataires
- Intégration RH
- Audit et approche par les risques (EE)
2. Protection
- Contrôle des accès
- Sécurisation des architectures
- Gestion des identités
- Protection contre les malwares
- Administration sécurisée
3. Défense
- Détection des incidents
- Réaction rapide
- Supervision (EE)
4. Résilience
- PCA / PRA
- Gestion de crise
- Exercices cyber
MesServicesCyber : le point d’entrée opérationnel
L’ANSSI met en avant une plateforme clé : MesServicesCyber
Ce qu’elle permet :
- Diagnostics cyber
- Ressources pédagogiques
- Pré-enregistrement NIS2
- Accès aux outils et référentiels
- Fiches réflexes (à venir)
C’est clairement identifié comme le hub central pour démarrer.
Un enjeu critique : la gestion des tiers
Un message fort ressort :
La cybersécurité ne s’arrête pas au SI interne.
Les organisations doivent :
- Structurer leurs exigences contractuelles
- Intégrer la cybersécurité dans les appels d’offres
- Identifier leurs prestataires critiques
- Définir des points de contact et des obligations de notification
C’est un changement majeur pour les directions achats et juridiques.
Ce que l’ANSSI dit sur les prestataires
Deux constats importants :
- Les prestataires qualifiés ANSSI sont peu nombreux
- Le marché va devoir monter en compétence rapidement
Évolution annoncée :
Le label Expert Cyber va évoluer vers un modèle plus adapté à NIS2, avec plus de lisibilité pour les clients.
Les zones d’incertitude (et donc de risque)
Malgré les avancées, plusieurs points restent flous :
- Qui sera réellement EI ou EE ?
- Comment gérer les environnements industriels (OT) ?
- Comment standardiser les exigences dans les contrats ?
- Quel modèle de notification au niveau européen ?
Conclusion :
L’incertitude réglementaire reste forte → mais cela ne doit pas ralentir les actions.
Les 5 actions prioritaires à lancer dès maintenant
Voici la synthèse opérationnelle pour les organisations.
1. Structurer la gouvernance cyber
- Désigner un responsable
- Impliquer la direction
- Formaliser les responsabilités
2. Cartographier son SI
- Identifier les actifs critiques
- Comprendre les dépendances
- Prioriser les risques
3. Mettre en place les fondamentaux
- Sauvegardes robustes
- Gestion des accès
- Durcissement des configurations
4. Se préparer à l’incident
- Procédures de réponse
- Organisation de crise
- Exercices réguliers
5. Travailler son écosystème
- Encadrer les prestataires
- Intégrer la cyber dans les contrats
- Anticiper les exigences NIS2
Le vrai message à retenir
NIS2 n’est pas un sujet réglementaire. C’est un changement de paradigme.
- On passe d’une logique de conformité à une logique de résilience
- On passe d’une cybersécurité IT à une cybersécurité organisationnelle
- On passe d’actions ponctuelles à une transformation continue
Et surtout :
Les organisations qui attendent la loi seront déjà en retard.
Conclusion
L’événement de l’ANSSI confirme une chose :
La dynamique NIS2 est déjà lancée, le référentiel ReCyF devient le socle de référence, et MesServicesCyber le point d’entrée opérationnel.
Mais la réussite reposera sur un élément clé :
La capacité des organisations à s’approprier rapidement ces exigences et à les traduire en actions concrètes.
Une logique d’amélioration continue plutôt qu’un objectif de conformité ponctuel
Contrairement à certaines réglementations, NIS2 ne doit pas être abordée comme un projet ponctuel avec une date de fin. Il s’agit d’une transformation continue de la posture de sécurité, avec une logique d’amélioration permanente. Les organisations doivent structurer une trajectoire de maturité cyber sur plusieurs années, avec des jalons clairs et mesurables.
Un changement de posture attendu des directions générales
Au-delà des équipes IT, NIS2 impose un changement de posture au niveau des directions générales. La cybersécurité devient un sujet de gouvernance stratégique engageant la responsabilité des dirigeants. Cela implique une implication directe du COMEX/CODIR, une capacité à piloter le risque cyber au même titre que les risques financiers ou opérationnels, et une prise de décision éclairée sur les investissements de sécurité.