VORN°clarity before control
Retour aux ressources
Cheat Sheet

ReCyF — Les 20 objectifs NIS2

Structurer, prioriser et démontrer — en 1 page.

ReCyF — Préparation NIS2

Le ReCyF organise, priorise et rend démontrable — pas un catalogue de mesures.

VORN°

Parcours de mise en œuvre

Entrer dans le texte, produire des preuves, et rester proportionné EI / EE.

1Recenser activités, services et SI supports
  • Activités et services couverts
  • SI qui les supportent
  • Tiers qui y contribuent
  • Sites / zones sensibles
  • Comptes à privilèges / accès distants / interconnexions
2Qualifier hors périmètre et le justifier
  • Hors périmètre = motif + risque associé
  • Trace de décision et responsable
  • Impacts sur tiers / interconnexions
3Poser gouvernance + PSSI + politiques minimales
  • Gouvernance formalisée (rôles, arbitrages)
  • PSSI + politiques dérivées prioritaires
  • Maintien en condition de sécurité
4Cartographier l’écosystème et les interconnexions
  • Point de contact par entrée
  • Exigences + notification incidents
  • Vérification périodique de conformité
5Mettre sous contrôle accès, architecture et administration
  • Habilitations et revues
  • Ségrégation admin / quotidien
  • Filtrage des connexions externes (EE)
6Structurer incident, continuité, crise, exercices
  • Tests de restauration
  • Procédure de crise + liste imprimée
  • Entraînement + exercices (EE : triennal)

Livrables vraiment utiles

Bloc 3 — Guide pratique : par où commencer (ETI / consultants).

À produire en priorité (ETI / consultants).

Cartographie SI exploitableCartographie tiers / interconnexions + points de contact (obj. 3)PSSI + politiques dérivéesMatrice habilitations / accèsProcédure incident + crise (liste imprimée, annuaire externe)PCA / PRA + preuves de tests de restaurationEE : analyse de risque vivanteEE : programme d’audit + preuves de remédiationEE : plan de remédiation piloté

Règle d’or

Un objectif sans périmètre, sans responsable et sans preuve n’existe pas en contrôle.

Les 20 objectifs — structuration ANSSI (ReCyF)

20 objectifs = niveau attenduMoyens acceptables = preuve simpleObjectifs 1–15 : EI + EEObjectifs 16–20 : EE uniquementVersion de travail — à intégrer dès maintenant
Message clé : couvrir les bons risques, sur le bon périmètre, avec des preuves mobilisables.
Gouvernance1,2,3,4,16,17,5
  • 1. Recensement des systèmes d’information
  • 2. Cadre de gouvernance de la sécurité numérique
  • 3. Maîtrise de l’écosystème
  • 4. Sécurité numérique & RH
  • 16 (EE). Approche par les risques
  • 17 (EE). Audit SSI
  • 5. Maîtrise des SI
Ce que ça implique concrètement
  • Cartographie SI exploitable + responsables identifiés
  • PSSI / politiques minimales opposables
  • Objectif 3 : points de contact + contrôle périodique de conformité des prestations (risques, notification des incidents importants)
  • EE : analyse de risque vivante + arbitrage du risque résiduel + programme d’audit
Piège classique

Avoir des documents sans dispositif cohérent ni preuves mobilisables.

Protection6–11,18–19
  • 6. Accès physiques
  • 7. Architecture SI
  • 8. Accès distants
  • 9. Protection contre codes malveillants
  • 10. IAM
  • 11. Administration SI
  • 18 (EE). Durcissement / configuration sous contrôle
  • 19 (EE). Administration depuis ressources dédiées
Ce que ça implique concrètement
  • 6/7/8/10 — accès & architecture : qui accède, d’où, selon quelle architecture
  • 9/18 — protection sous contrôle : anti‑malware, durcissement, revues de configuration
  • 11/19 — administration sensible : cœur de confiance + ressources/comptes dédiés + filtrage des connexions externes
Message fort

La protection couvre accès physiques, logiques, distants et administrateurs : cohérence > empilement d’outils.

Défense

12. Identification et réaction aux incidents de sécurité
20 (EE). Supervision SSI (journaux, événements, amélioration)
Ce que ça implique concrètement
  • Objectif 12 : procédure de traitement + collecte des signalements + analyse/qualification + réaction
  • EE : analyse des causes + conservation des relevés techniques + protection des relevés
  • Objectif 20 (EE) : prise en compte des journaux/événements sans retard injustifié (au plus sous 24h ouvrés) + amélioration continue
  • Objectif 20 (EE) : conservation ≥ 3 mois + protection des données de supervision
Piège : logs conservés sans exploitation (collecter ≠ superviser).

Résilience

13. Continuité et reprise d’activité
14. Réaction aux crises d’origine cyber
15. Exercices, tests et entraînements (EE : programme triennal)
Ce que ça implique concrètement
  • Sauvegardes et restaurations testées + PCA/PRA cohérents
  • Objectif 14 : procédure de crise + liste imprimée des mobilisables + format adapté + annuaire parties prenantes externes
  • EE (objectif 15) : stratégie d’entraînement (acteurs, scénarios, comitologie) + programme triennal
Piège : PCA / crise / exercices non testés — aucune valeur en contrôle.

Ce que l’autorité pourra venir regarder

Preuves fortes
  • Périmètre SI justifié (hors périmètre tracé)
  • Cartographie tiers/interconnexions + points de contact
  • PSSI/politiques minimales opposables
  • Habilitations + séparation admin / usage quotidien
  • Procédures incident/crise (incl. annuaire externe)
  • Preuves de tests de restauration
Preuves faibles
  • Documents non reliés au périmètre / responsables
  • Checklists sans démonstration ni traces
  • Sauvegardes “faites” mais jamais restaurées
  • Administration “sécurisée” affichée sans dispositif
Infographie réalisée par Arthur Chédeville — conformité (NIS2)
VORN°