.w-dropdown-list { transition-delay: 0.15s; }

ReCyF : ce que l'ANSSI exige
en terme de sauvegarde

Dernière mise à jour : Juin 2026
Temps de lecture : 20 minutes
Conforme aux attentes NIS2 2026

Publié le 17 mars 2026, le Référentiel Cyber France (ReCyF) est le premier document officiel de l'ANSSI qui traduit
les obligations NIS2 en objectifs de sécurité mesurables et vérifiables.
Pour les DSI et RSSI des entités concernées, il apporte ce que la directive européenne n'offrait pas : une réponse claire
à la question "comment savoir si mes sauvegardes sont suffisantes au regard de NIS2 ?"

Le ReCyF n'attend pas la transposition législative pour servir de référence. L'ANSSI le précise explicitement : les entités qui l'appliquent peuvent s'en prévaloir lors d'un contrôle.

Cet article détaille ce que le ReCyF exige sur la sauvegarde, ce qu'il entend par "cloisonnement" et pourquoi cette formulation ne signifie pas ce que beaucoup supposent.

1. Le ReCyF en contexte

Le ReCyF (version 2.5) structure les exigences NIS2 en 20 objectifs de sécurité, répartis en quatre blocs thématiques :

  • Gouvernance : OS1 à OS4 (inventaire, gouvernance, fournisseurs, RH), OS16 à OS17 (EE uniquement)
  • Sécurité : OS5 à OS11 (maintenance, accès physique, architecture, accès distant, antimalware, IAM, administration),
    OS18 à OS19 (EE uniquement)
  • Défense : OS12 (incidents), OS20 (EE uniquement)
  • Résilience : OS13 à OS15 (continuité, gestion de crise, exercices)

La sauvegarde relève principalement du bloc Résilience via l'objectif OS13. Le cloisonnement de l'infrastructure de sauvegarde relève du bloc Sécurité via l'objectif OS7.

Le ReCyF reste un document de travail jusqu'à l'adoption de la loi Résilience, attendue lors de la session extraordinaire parlementaire de juillet 2026. Son application anticipée est activement encouragée par l'ANSSI.

2. EI ou EE : qui doit faire quoi sur la sauvegarde ?

Le ReCyF distingue deux catégories d'entités, conformément à l'architecture NIS2 France 2026

Entités Importantes (EI)
Entités Essentielles (EE)
Objectifs applicables
OS1 à OS15
OS1 à OS20
Sauvegarde et continuité (OS13)
Oui
Oui
Cloisonnement architecture (OS7)
Oui
Oui
Approche par les risques (OS16)
Non
Oui
Audits de sécurité (OS17)
Non
Oui
Durcissement des configurations (OS18)
Non
Oui
Administration depuis ressources dédiées (OS19)
Non
Oui
Supervision SOC/SIEM (OS20)
Non
Oui

OS13 et OS7 figurent parmi les 15 premiers objectifs : ils s'appliquent à toutes les entités NIS2, sans distinction. Il n'existe pas de dérogation sur ces deux points.

Pour savoir si votre organisation relève des entités importantes ou essentielles, consultez notre guide sur la distinction EE/EI selon NIS2

3. OS13 : les trois exigences concrètes sur la sauvegarde

L'objectif OS13 porte sur la continuité d'activité et la récupération après sinistre. Le ReCyF le formule ainsi : PCA/PRA documenté, sauvegardes testées, objectifs de reprise définis*.

Trois exigences en découlent directement.

Plans formalisés

Un Plan de Continuité d'Activité (PCA) et un Plan de Reprise d'Activité (PRA) rédigés, datés, validés et accessibles. Un document "en cours de rédaction" ne suffit pas lors d'un contrôle.

Sauvegardes testées

L'OS13 ne se satisfait pas de la présence de sauvegardes. Il exige leur validation régulière. Une sauvegarde non testée
est une sauvegarde non prouvée. Les tests de restauration doivent être documentés avec date et résultats mesurés.

RPO et RTO définis

Le référentiel impose de fixer, pour les systèmes critiques, des objectifs de point de reprise (RPO) et de délai de reprise (RTO). Ces seuils doivent être réalistes et atteints lors des tests, pas seulement déclarés dans un document.

L'OS13 s'articule avec OS14 (gestion de crise cyber) et OS15 (exercices et tests).
Ces trois objectifs forment un bloc résilience cohérent : disposer de sauvegardes conformes (OS13), savoir réagir à un sinistre majeur (OS14), avoir répété les procédures (OS15).

Pour les exigences techniques NIS2 sur la sauvegarde au-delà du ReCyF, notre article sur les obligations techniques de sauvegarde NIS2.

4. OS7 : le cloisonnement de l'infrastructure de sauvegarde

L'objectif OS7 porte sur la sécurisation de l'architecture du système d'information. Il impose la segmentation réseau
et le cloisonnement des environnements sensibles.

Appliqué à la sauvegarde, cet objectif signifie que l'infrastructure de backup doit être isolée du réseau de production.
Le serveur de sauvegarde ne doit pas être accessible depuis les postes utilisateurs ou les serveurs applicatifs via le réseau courant.


L'ANSSI précise dans son guide "Sauvegarde des systèmes d'information - Les fondamentaux" (ANSSI-BP-100, novembre 2025) les moyens techniques attendus pour atteindre cet objectif :

  • Serveur de sauvegarde dans une zone réseau distincte de la zone de production
  • VLANs dédiés avec règles de pare-feu strictes
  • Flux de sauvegarde à l'initiative du serveur vers les clients (et non l'inverse)
  • Journalisation et traçabilité complètes des flux

Ces mesures sont des mesures de cloisonnement réseau. Ce point mérite d'être compris précisément.

5. Ce que le "cloisonnement physique" ReCyF signifie réellement

C'est la nuance que beaucoup d'organisations interprètent mal, avec des conséquences directes sur le choix d'une architecture.

Lorsque le ReCyF mentionne le cloisonnement dans le cadre de l'OS7, il désigne une zone réseau distincte de la production*. Pas une déconnexion physique totale. Une infrastructure de sauvegarde sur un VLAN dédié, avec des flux strictement contrôlés par un pare-feu et des flux unidirectionnels, satisfait cet objectif.

L'air gap physique va plus loin. Il s'agit d'une déconnexion totale du réseau : le support de sauvegarde n'est jamais accessible depuis le réseau, même depuis la zone de sauvegarde. Il faut une intervention physique (insertion d'une bande, connexion manuelle d'un disque) pour lire ou écrire sur le support.

L'ANSSI-BP-100 est explicite sur la hiérarchie de protection :

"Une solution de sauvegarde hors ligne reste considérée comme plus robuste qu'une solution WORM en ligne."

Et sur le support offline recommandé : la bande magnétique reste la méthode la plus efficace* car elle nécessite une insertion physique pour être accessible depuis un réseau quelconque.

En pratique : le ReCyF oblige au cloisonnement réseau de l'infrastructure de sauvegarde. L'air gap physique n'est pas requis par le texte. Mais l'ANSSI le considère comme le niveau de protection supérieur, notamment pour les entités exposées à des attaques ransomware sophistiquées.

Pour les entités essentielles, la logique de l'approche par les risques (OS16) pousse naturellement vers des architectures plus robustes. Une entité hospitalière ou industrielle relevant de NIS2 Annexe I trouvera, dans son analyse de risques, des scénarios qui justifient l'air gap physique au-delà du minimum réglementaire.

6. Les sauvegardes immuables (WORM) : que dit l'ANSSI ?

Le stockage WORM (Write Once Read Many) est souvent présenté comme l'alternative à l'air gap. L'ANSSI-BP-100 donne une position nuancée :

"Un compromis acceptable peut être d'effectuer des sauvegardes régulières avec une solution WORM et d'effectuer des sauvegardes hors ligne à une fréquence moindre."

Le WORM satisfait l'exigence de cloisonnement OS7 s'il est déployé dans une zone réseau dédiée. Il ne remplace pas la copie offline dans le cadre de la règle 3-2-1-1-0.


Pour une entité NIS2, l'architecture minimale conforme au ReCyF combine :

  1. Une infrastructure de sauvegarde dans une zone réseau distincte (OS7)
  2. Des sauvegardes testées avec RPO/RTO documentés (OS13)
  3. Au moins une copie offline ou WORM pour la résilience contre le ransomware

7. Faut-il attendre la loi Résilience pour se mettre en conformité ?

La réponse de l'ANSSI est sans ambiguïté : non.

Le ReCyF a été publié en avance de la transposition pour permettre aux entités d'anticiper. L'ANSSI précise que les organisations qui appliquent le référentiel avant l'adoption de la loi peuvent s'en prévaloir lors d'un contrôle. Ce signal compte : le ReCyF est déjà la grille de lecture des contrôleurs.

La loi Résilience, attendue en juillet 2026, rendra les obligations contraignantes. Mais l'ANSSI a déjà ouvert le processus d'enregistrement des entités concernées. Les premières notifications de contrôle pourraient intervenir dans les mois suivant la promulgation.

Mettre en conformité l'infrastructure de sauvegarde maintenant, avec le ReCyF comme référence, évite une mise sous pression au second semestre 2026.

8. Ce que le ReCyF ne prescrit pas

Le référentiel fixe des objectifs, pas des architectures techniques précises. Plusieurs points restent à l'appréciation de l'entité.

Le ReCyF ne prescrit pas de technologie de stockage spécifique. Il ne définit pas de fréquence de sauvegarde minimale. Il ne fixe pas de durée de rétention obligatoire. Ces paramètres relèvent de l'analyse de risques (OS16 pour les EE) et des référentiels sectoriels complémentaires : HDS pour la santé, DORA pour le secteur financier.

Pour les entités importantes, cette latitude est aussi un risque : en l'absence de référence technique documentée, un contrôle ANSSI suivant un incident constituera un facteur aggravant si les sauvegardes n'étaient pas testées.

Questions fréquentes

En résumé

Le ReCyF structure les exigences NIS2 en objectifs atteignables. Pour la sauvegarde, deux objectifs comptent : OS13 pour la continuité (PCA/PRA, tests, RPO/RTO documentés) et OS7 pour le cloisonnement de l'infrastructure de backup dans une zone réseau distincte de la production.

Le cloisonnement réseau satisfait le ReCyF. L'air gap physique le dépasse, avec un niveau de protection supérieur que l'ANSSI reconnaît explicitement dans son guide ANSSI-BP-100.

Pour les entités qui souhaitent faire le point sur leur architecture de sauvegarde au regard du ReCyF et de NIS2, notre équipe intervient en évaluation et déploiement. Découvrez notre offre de sauvegarde managée conforme NIS2
Pour approfondir les obligations techniques NIS2 au-delà du ReCyF, consultez les obligations techniques de sauvegarde NIS2
et notre guide complet NIS2 France 2026
Faire le lien entre NIS2
et votre environnement opérationnel
Un entretien dédié pour examiner votre situation,
confronter vos pratiques aux exigences de la directive
et proposer des actions opérationnelles prioritaires à engager.
Planifier un rendez-vous