ReCyF, backdoors et clés USB : la France en cybersécurité, entre lucidité et anachronisme
La France produit un référentiel cyber de qualité internationale tout en étant incapable de voter la loi qui le rend applicable, parce que la DGSI veut lire vos messages Signal. Et le référentiel lui-même illustre le risque humain par une clé USB en 2026.

Imaginez qu'on vous donne le plan détaillé d'une maison, les matériaux, les outils, le terrain prêt à construire, et qu'on vous dise : « Allez-y, commencez. Mais le permis de construire, on verra plus tard. Peut-être en juillet. Si le calendrier parlementaire le permet. Et sous réserve d'une session extraordinaire. »
C'est exactement la situation dans laquelle se trouvent aujourd'hui les 15 000 entités françaises concernées par la directive européenne NIS 2.
Le 17 mars 2026, l'ANSSI a dévoilé le ReCyF (Référentiel Cyber France) au Campus Cyber. 47 pages, version 2.5, co-construit avec l'écosystème cybersécurité français. 20 objectifs de sécurité, répartis en quatre piliers (gouvernance, protection, défense, résilience), avec une distinction claire entre le « quoi » obligatoire et le « comment » recommandé. Vincent Strubel, directeur général de l'ANSSI, a résumé la situation en une phrase : « Il restera un document de travail jusqu'à la transposition de NIS 2 en droit français, mais il ne faut surtout pas attendre pour le mettre en œuvre. »
Le référentiel est prêt. La menace est là. Mais la loi est bloquée. Et la raison de ce blocage mérite qu'on s'y arrête, parce qu'elle dit quelque chose de profond sur nos priorités collectives.

Un texte bloqué par un débat sur les backdoors
Le projet de loi Résilience a été présenté en octobre 2024, adopté au Sénat le 15 octobre 2024 (deux jours avant la date-butoir européenne), puis voté à l'unanimité par la commission spéciale de l'Assemblée en septembre 2025. Depuis : rien. Pas d'examen en séance. Horizon probable : juillet 2026, sous réserve de session extraordinaire.
La raison n'est pas un embouteillage législatif. C'est un désaccord politique ciblé. L'article 16 bis, introduit au Sénat, interdit d'imposer aux fournisseurs de services de chiffrement la création de portes dérobées dans les messageries. Cette disposition déplairait à la DGSI. Et ce désaccord suffit à geler l'ensemble du texte.
Relisez ça lentement. Un projet de loi qui vise à protéger 15 000 entités contre la menace cybercriminelle de masse est retardé parce que deux institutions ne s'entendent pas sur la question de savoir si l'État doit pouvoir lire vos messages chiffrés.
La Commission supérieure du numérique et des postes (CSNP) a publié un communiqué le 18 mars pour dire ce que beaucoup pensent tout bas : ce point de clivage « ne saurait justifier de retarder volontairement l'adoption d'un texte aussi essentiel ». Le député Philippe Latombe a écrit au Premier ministre dès février pour alerter sur le risque d'amende européenne.
Pendant ce temps, 20 États membres sur 27 ont déjà transposé. La France, l'un des pays les plus visés par les cyberattaques en Europe, fait figure de retardataire. Et le signal envoyé aux 15 000 futures entités assujetties est dévastateur. Parce que le cerveau humain ne fonctionne pas en compartiments étanches : quand le Parlement ne traite pas un texte comme urgent, le dirigeant de PME reçoit le message implicite que lui non plus n'a pas à se presser. C'est un biais de cadrage classique, et il est en train de tuer la dynamique que l'ANSSI essaie de créer.

Un référentiel solide, mais ancré dans une vision du monde qui date
Passons au contenu. Parce que le ReCyF mérite mieux que le traitement « voici les 4 piliers et les 20 objectifs » qu'on lit partout cette semaine. J'ai lu les 47 pages. Ce que j'y ai trouvé, c'est un travail sérieux, structurellement intelligent, avec un vrai principe de proportionnalité intégré dès la conception. L'outil de comparaison avec ISO 27001 est un apport réel. Les tableaux de correspondance avec NIS 2 sont propres. C'est du bon travail de l'ANSSI.
Mais le ReCyF porte en lui un angle mort que je retrouve dans presque tous les cadres de conformité que j'audite depuis dix ans. Il sécurise des systèmes en présumant que les humains qui les utilisent sont des variables contrôlées. Ils ne le sont pas. Et plusieurs choix du document le révèlent de façon criante.
L'exemple qui dit tout. La justification de l'objectif 4 (facteur humain), en page 39, illustre le risque par « la connexion d'un support amovible infecté ». En 2026. La clé USB infectée. Un vecteur de compromission qui représente une fraction marginale des incidents réels. Pas le phishing ciblé, pas le vishing par deepfake vocal, pas le prompt injection sur un agent IA interne, pas la compromission de credentials via un infostealer sur le poste personnel d'un salarié en télétravail. L'exemple choisi par l'ANSSI pour illustrer le danger humain, c'est un objet physique qu'on branche. Pas le clic cognitif qui se produit dans le cerveau d'un humain fatigué face à un mail bien construit. Ce n'est pas un détail : c'est un révélateur du modèle mental qui sous-tend le référentiel.
Le facteur humain réduit à une charte. L'objectif 4, c'est cinq mesures : charte d'usage, programme de sensibilisation, clauses contractuelles, processus arrivées/départs, formation des fonctions numériques. Autrement dit : expliquez les règles, faites signer un papier, formez ceux qui touchent aux machines. Aucune mention de culture de sécurité, de biais cognitifs, de mesure d'efficacité réelle de la sensibilisation, de charge cognitive imposée par les contrôles de sécurité. Le phishing ne fonctionne pas parce que les gens n'ont pas été sensibilisés. Il fonctionne parce que le cerveau humain est câblé pour répondre à l'urgence, à l'autorité et à la curiosité, et que les attaquants le savent mieux que les rédacteurs de référentiels.
La conformité aveugle des entités importantes. L'analyse de risques (objectif 16) n'est exigée que des entités essentielles. Les entités importantes appliquent les 15 objectifs du socle commun sans avoir à identifier ce qui les menace spécifiquement. Une PME de la santé et une PME du transport auront le même cadre, sans savoir si ce cadre répond à leurs expositions réelles. La conformité sans analyse de risques, c'est de la conformité les yeux fermés. Entre l'EBIOS RM complète et rien du tout, il y avait un espace immense pour un outil simplifié de priorisation par exposition. Le ReCyF ne le comble pas.
La gestion des risques est dans notre quotidien: quand on ferme la porte à clé ou bien lorsqu'on applique de la crème solaire. C'est une stratégie de gestion de risques. Alors pour en exclure une frange importante des entités concernées par NIS2?
Et d'ailleurs, en parlant d'EBIOS RM, il va falloir qu'on en parle un jour de cette méthodologie qui relève plus de la religion que de la gestion des risques.
L'interdiction du BYOD en 2026. L'objectif 9.2 interdit le BYOD pour les entités essentielles. En 2026, c'est nier une réalité d'usage. Le télétravail est structurel. Les salariés consultent Teams sur leur téléphone personnel, vérifient un mail à 22h, scannent un document depuis l'app mobile. Interdire le BYOD ne sécurise pas un périmètre, ça pousse vers le shadow IT : les gens utiliseront quand même leur appareil, mais sans cadre contrôlé, sans visibilité pour le RSSI. Un BYOD encadré est infiniment plus sûr qu'un BYOD clandestin.
Aucune mention de l'IA ni de la supply chain logicielle. Pas un mot sur les deepfakes, le phishing automatisé, les agents IA déployés en interne. Rien sur les SBOM, l'intégrité des dépendances logicielles, les bibliothèques open source non maintenues. En mars 2026, après SolarWinds, Log4Shell et XZ Utils, c'est un silence qui sera vite rattrapé par la réalité.

Ce que ça signifie pour les organisations
Le ReCyF reste la meilleure feuille de route disponible pour anticiper NIS 2 en France. L'ANSSI dit que les entités qui l'appliquent dès maintenant pourront s'en prévaloir en cas de contrôle. C'est un signal clair, et il faut le prendre au sérieux.
Mais si vous êtes RSSI ou dirigeant d'une entité concernée, ne traitez pas ce référentiel comme une checklist. Faites un gap analysis, oui. Utilisez l'outil de comparaison sur MesServicesCyber si vous êtes déjà certifié ISO 27001. Mais surtout : même si le ReCyF ne vous y oblige pas, faites une analyse de risques. Et investissez dans le facteur humain au-delà d'une charte et d'une sensibilisation annuelle. Simulations de phishing avec mesure d'impact. Retours d'expérience post-incident qui incluent l'analyse comportementale, pas seulement la technique. Réflexion sur les points où vos équipes contournent les contrôles non pas par malveillance, mais parce que le processus est mal conçu.
La conformité protège devant un auditeur. Seule la compréhension réelle de votre exposition protège devant un attaquant.
Le mot de la fin
La France est capable de produire un référentiel de cybersécurité de qualité internationale, co-construit en deux ans avec l'ensemble de l'écosystème, tout en étant incapable de voter la loi qui le rend applicable parce que la DGSI veut pouvoir lire vos messages Signal. Et le référentiel lui-même, aussi sérieux soit-il, illustre le risque humain par une clé USB en 2026.
Il y a dans cette double image quelque chose de très français : l'excellence technique, la lucidité stratégique, et en même temps, un décalage persistant avec la réalité du terrain. Le ReCyF protège les systèmes. Mais la cybersécurité en 2026, ce n'est plus une affaire de systèmes. C'est une affaire de décisions humaines sous contrainte cognitive. Et tant que nos référentiels ne l'intégreront pas, les attaquants continueront de passer par la porte que nous laissons grande ouverte : celle qui se trouve entre la chaise et le clavier.
Encore et toujours, le facteur humain.
Liens utiles
- ReCyF v2.5 (PDF) : https://messervicescyber-ressources.cellar-c2.services.clever-cloud.com/20260317_NIS_V2_ReCyF_v2.5.pdf
- Outil de comparaison des référentiels : https://messervices.cyber.gouv.fr/nis2#exigences
Questions fréquentes
Qu'est-ce que le ReCyF ?
Le Référentiel Cyber France, dévoilé par l'ANSSI le 17 mars 2026 au Campus Cyber. En version 2.5 (47 pages), il comporte 20 objectifs de sécurité répartis en quatre piliers (gouvernance, protection, défense, résilience), avec une distinction entre le « quoi » obligatoire et le « comment » recommandé.
Pourquoi le projet de loi Résilience est-il bloqué ?
À cause de l'article 16 bis, introduit au Sénat, qui interdit d'imposer aux fournisseurs de chiffrement la création de portes dérobées dans les messageries. Cette disposition déplaît à la DGSI, et ce désaccord gèle l'ensemble du texte, dont l'examen est repoussé à l'horizon de juillet 2026.
Faut-il attendre la transposition de NIS 2 pour appliquer le ReCyF ?
Non. L'ANSSI invite à le mettre en œuvre dès maintenant ; les entités qui l'appliquent pourront s'en prévaloir en cas de contrôle. C'est la meilleure feuille de route disponible pour anticiper NIS 2 en France.
Quelles sont les principales limites du ReCyF selon l'article ?
Il traite le facteur humain comme une simple charte de sensibilisation, illustre le risque humain par une clé USB infectée, dispense les entités importantes d'analyse de risques, interdit le BYOD aux entités essentielles, et ne mentionne ni l'IA ni la supply chain logicielle (SBOM, dépendances).
Que devraient faire concrètement les RSSI et dirigeants concernés ?
Mener un gap analysis, utiliser l'outil de comparaison sur MesServicesCyber si déjà certifié ISO 27001, et réaliser une analyse de risques même quand le référentiel ne l'impose pas. Il faut aussi investir dans le facteur humain au-delà d'une charte : simulations de phishing mesurées, retours d'expérience comportementaux et réflexion sur les contournements de contrôles.
Sources & méthodologie

Être en cybersécurité
Une feuille de route cyber en clair, pour tout le monde, pas seulement les experts.
