Le référentiel ReCyF de l’ANSSI, publié en mars 2026, traduit les exigences NIS2 en 15 mesures concrètes pour les entités importantes — dont plusieurs portent directement sur la configuration sécurisée des endpoints Windows. La Loi Résilience française étant attendue à l’Assemblée nationale en juillet 2026, les DSI et RSSI de PME et ETI ont un délai contraint pour aligner leur parc.

Qu’est-ce que le référentiel ReCyF, et pourquoi vos endpoints en sont au cœur ?

Le référentiel ReCyF (Référentiel de Cybersécurité Français) est le texte d’application national de la directive NIS2 (UE 2022/2555). Publié par l’ANSSI en mars 2026, il structure les obligations des entités essentielles et importantes en 20 objectifs de sécurité (15 pour les entités importantes). Contrairement aux guides de bonnes pratiques habituels, le ReCyF s’imposera comme un référentiel opposable dès la promulgation de la Loi Résilience.

Ce qui distingue ce texte des directives précédentes : il exige des preuves de configurations sécurisées, pas de simples déclarations d’intention. Pour vos endpoints Windows — postes de travail comme serveurs membres — cela se traduit par une obligation de gestion de configuration documentée, vérifiable, et continue.

Trois objectifs ReCyF sur quinze concernent directement les endpoints :

  • Objectif 4 — Gestion des accès : restriction des comptes à privilèges, MFA sur les accès sensibles, suppression des comptes orphelins.
  • Objectif 7 — Sécurité des postes de travail : configuration sécurisée de référence basée sur un standard reconnu (CIS Benchmarks, baselines ANSSI), désactivation des fonctionnalités inutiles, gestion des supports amovibles.
  • Objectif 10 — Gestion des vulnérabilités : inventaire continu, priorisation et déploiement des correctifs dans un délai défini, traçabilité.

Sans durcissement structuré de vos endpoints Windows, ces trois objectifs sont pratiquement inatteignables.

Quelles sont les mesures concrètes attendues sur vos endpoints Windows ?

Le ReCyF ne liste pas de contrôles techniques ligne par ligne, mais les mesures attendues convergent avec les référentiels CIS Benchmarks Windows et les guides de durcissement ANSSI. Voici les configurations directement exigibles :

Gestion des comptes et des privilèges

Le principe du moindre privilège doit être appliqué sur chaque poste. Cela implique la désactivation du compte administrateur local par défaut ou son remplacement par LAPS (Local Administrator Password Solution), la suppression des droits d’administration aux utilisateurs standards, et l’activation des stratégies d’audit d’accès aux objets sensibles.

Sur un parc Windows, ces contrôles correspondent aux paramètres de la section Security Options des GPO et aux contrôles CIS Benchmark Windows niveaux L1/L2.

Configuration sécurisée de référence

L’objectif 7 exige une baseline documentée. Dans la pratique, cela signifie :

  • Désactivation de SMBv1, LM/NTLMv1, WDigest et autres protocoles legacy.
  • Activation de Windows Defender Credential Guard.
  • Restriction de PowerShell (mode Constrained Language ou signature de scripts).
  • Activation du pare-feu Windows Defender sur tous les profils.
  • Chiffrement des volumes système avec BitLocker (algorithme AES-256).
  • Désactivation de l’autorun sur les supports amovibles.

Ces contrôles figurent dans les CIS Benchmarks Windows 11/Server 2025, référence explicitement citée dans les documents d’accompagnement de l’ANSSI.

Gestion des vulnérabilités et des correctifs

L’objectif 10 impose un délai de déploiement des correctifs proportionné à la criticité : les CVE critiques exploitées activement (catégorie KEV de la CISA) doivent être corrigées en priorité. La semaine du 11 au 17 mai 2026, le CERT-FR a signalé l’exploitation active de CVE-2026-42897 sur Exchange Server (CVSS 8.1) et CVE-2026-42945 sur NGINX (CVSS 8.1). Ces deux vulnérabilités illustrent qu’un système non patché sur un endpoint exposé constitue un risque NIS2 documenté.

Quelles sanctions pour les entités non conformes au ReCyF ?

La Loi Résilience transpose les sanctions NIS2 dans le droit français. Pour les entités importantes, les amendes atteignent 7 millions d’euros ou 1,4 % du chiffre d’affaires mondial (contre 10 M€ / 2 % pour les entités essentielles). L’ANSSI dispose d’un pouvoir d’injonction, d’audit et de sanction pécuniaire.

Deux points distinguent le régime NIS2/ReCyF du régime NIS1 :

  1. La responsabilité des dirigeants est engagée : les organes de direction doivent approuver les mesures de gestion des risques et peuvent être tenus responsables personnellement en cas de non-respect répété.
  2. La charge de la preuve est inversée : l’entité doit démontrer sa conformité, pas l’ANSSI prouver la défaillance.

Ces deux points rendent incontournable la traçabilité automatisée des configurations de sécurité — un simple audit annuel ponctuel ne suffit plus.

Comment le référentiel ReCyF s’articule avec CIS Benchmarks et ISO 27001 ?

Le ReCyF ne crée pas un nouveau référentiel technique : il s’appuie explicitement sur les standards existants. La correspondance est la suivante :

CIS Benchmarks Windows couvrent environ 80 % des contrôles techniques attendus par les objectifs 4, 7 et 10 du ReCyF. Les niveaux L1 (configuration de base) et L2 (haute sécurité) correspondent respectivement aux entités importantes et essentielles.

ISO 27001 (A.8.9 — Configuration management) partage la même philosophie mais reste un cadre managérial. Le ReCyF ajoute une dimension d’opposabilité légale que l’ISO 27001 seule n’apporte pas.

Le MITRE ATT&CK permet de valider que les contrôles de hardening bloquent effectivement les techniques d’attaque répertoriées. Par exemple, la désactivation de NTLM v1 coupe les chemins d’attaque T1187 (Forced Authentication) et T1550 (Pass-the-Hash).

Pour une organisation déjà certifiée ISO 27001, la mise en conformité ReCyF représente un effort incrémental centré sur l’automatisation et la traçabilité des configurations d’endpoints.

Quel est le calendrier exact pour la France ?

La situation réglementaire au 27 mai 2026 est la suivante :

  • Octobre 2024 : date limite de transposition NIS2 dans l’UE (dépassée par la France).
  • Mars 2026 : publication du référentiel ReCyF par l’ANSSI.
  • Juillet 2026 : examen de la Loi Résilience en séance publique à l’Assemblée nationale (prévu).
  • Été 2026 : promulgation attendue de la Loi Résilience.
  • 3 ans après promulgation : délai de mise en conformité pour les entités concernées.

Le délai de trois ans peut sembler long. Mais il masque un risque opérationnel immédiat : les organisations qui attendent la promulgation pour commencer leur mise en conformité auront deux ans pour réaliser un chantier qui demande en réalité 18 à 24 mois (inventaire, baseline, déploiement, audit, remédiation).

L’approche pragmatique est de démarrer dès maintenant avec les contrôles les plus impactants — durcissement des endpoints, MFA, gestion des accès privilégiés — qui réduisent le risque opérationnel indépendamment du calendrier réglementaire.

FAQ — Loi Résilience, ReCyF et hardening des endpoints

Mon entreprise est-elle concernée par NIS2 et le ReCyF ?

Oui si votre organisation compte plus de 50 salariés ou réalise plus de 10 millions d’euros de chiffre d’affaires dans l’un des 18 secteurs couverts par NIS2 (industrie, santé, transport, services numériques, etc.). L’ANSSI propose un simulateur indicatif sur MonEspaceNIS2. Les fournisseurs d’entités essentielles peuvent également être concernés quelle que soit leur taille.

Que risque concrètement mon entreprise si ses endpoints ne sont pas durcis lors d’un contrôle ANSSI ?

L’ANSSI peut émettre une injonction de mise en conformité, réaliser un audit, et en cas de manquement persistant, infliger des amendes jusqu’à 7 M€ ou 1,4 % du CA mondial pour les entités importantes. La responsabilité personnelle des dirigeants est également engagée.

Le référentiel ReCyF impose-t-il CIS Benchmarks ou les baselines ANSSI spécifiquement ?

Non, le ReCyF n’impose pas un référentiel technique précis. Il exige une « configuration sécurisée de référence basée sur un standard reconnu ». CIS Benchmarks et les guides de durcissement ANSSI sont les deux références les plus citées dans les documents d’accompagnement officiels.

Un audit ISO 27001 récent remplace-t-il la conformité NIS2/ReCyF ?

Non. L’ISO 27001 est une certification volontaire qui ne tient pas lieu de conformité légale NIS2. Elle peut accélérer la mise en conformité ReCyF mais elle ne couvre pas l’obligation de notification d’incident à l’ANSSI ni les exigences de traçabilité continue des configurations.

Combien de temps faut-il pour durcir un parc Windows de 200 postes en vue du ReCyF ?

En partant de zéro, comptez 12 à 18 mois : inventaire et audit initial (1 à 2 mois), définition de la baseline de référence (1 mois), déploiement (3 à 6 mois), validation et remédiation des écarts (3 à 6 mois), mise en place du contrôle continu (3 mois). Une plateforme de hardening automatisé peut diviser ces délais par deux à trois.

Quelle différence entre un EDR et un outil de hardening pour répondre aux exigences ReCyF ?

L’EDR surveille les comportements suspects en temps réel. Le hardening réduit la surface d’attaque en durcissant les configurations avant qu’un incident ne survienne. Les deux répondent à des objectifs ReCyF distincts et sont complémentaires.

Sources

Cyberlib est une plateforme SaaS agentless de hardening des endpoints Windows. Elle automatise la mesure, le pilotage et la remédiation des configurations de sécurité en s’appuyant sur les baselines CIS, ANSSI et les exigences ReCyF. Demandez une démonstration