.w-dropdown-list { transition-delay: 0.15s; }
Publié le 17 mars 2026, le Référentiel Cyber France (ReCyF) est le premier document officiel de l'ANSSI qui traduit
les obligations NIS2 en objectifs de sécurité mesurables et vérifiables.
Pour les DSI et RSSI des entités concernées, il apporte ce que la directive européenne n'offrait pas : une réponse claire
à la question "comment savoir si mes sauvegardes sont suffisantes au regard de NIS2 ?"
Le ReCyF n'attend pas la transposition législative pour servir de référence. L'ANSSI le précise explicitement : les entités qui l'appliquent peuvent s'en prévaloir lors d'un contrôle.
Cet article détaille ce que le ReCyF exige sur la sauvegarde, ce qu'il entend par "cloisonnement" et pourquoi cette formulation ne signifie pas ce que beaucoup supposent.
Le ReCyF (version 2.5) structure les exigences NIS2 en 20 objectifs de sécurité, répartis en quatre blocs thématiques :
La sauvegarde relève principalement du bloc Résilience via l'objectif OS13. Le cloisonnement de l'infrastructure de sauvegarde relève du bloc Sécurité via l'objectif OS7.
Le ReCyF reste un document de travail jusqu'à l'adoption de la loi Résilience, attendue lors de la session extraordinaire parlementaire de juillet 2026. Son application anticipée est activement encouragée par l'ANSSI.
Le ReCyF distingue deux catégories d'entités, conformément à l'architecture NIS2 France 2026
OS13 et OS7 figurent parmi les 15 premiers objectifs : ils s'appliquent à toutes les entités NIS2, sans distinction. Il n'existe pas de dérogation sur ces deux points.
Pour savoir si votre organisation relève des entités importantes ou essentielles, consultez notre guide sur la distinction EE/EI selon NIS2
L'objectif OS13 porte sur la continuité d'activité et la récupération après sinistre. Le ReCyF le formule ainsi : PCA/PRA documenté, sauvegardes testées, objectifs de reprise définis*.
Trois exigences en découlent directement.
Un Plan de Continuité d'Activité (PCA) et un Plan de Reprise d'Activité (PRA) rédigés, datés, validés et accessibles. Un document "en cours de rédaction" ne suffit pas lors d'un contrôle.
L'OS13 ne se satisfait pas de la présence de sauvegardes. Il exige leur validation régulière. Une sauvegarde non testée
est une sauvegarde non prouvée. Les tests de restauration doivent être documentés avec date et résultats mesurés.
Le référentiel impose de fixer, pour les systèmes critiques, des objectifs de point de reprise (RPO) et de délai de reprise (RTO). Ces seuils doivent être réalistes et atteints lors des tests, pas seulement déclarés dans un document.
L'OS13 s'articule avec OS14 (gestion de crise cyber) et OS15 (exercices et tests).
Ces trois objectifs forment un bloc résilience cohérent : disposer de sauvegardes conformes (OS13), savoir réagir à un sinistre majeur (OS14), avoir répété les procédures (OS15).
Pour les exigences techniques NIS2 sur la sauvegarde au-delà du ReCyF, notre article sur les obligations techniques de sauvegarde NIS2.
L'objectif OS7 porte sur la sécurisation de l'architecture du système d'information. Il impose la segmentation réseau
et le cloisonnement des environnements sensibles.
Appliqué à la sauvegarde, cet objectif signifie que l'infrastructure de backup doit être isolée du réseau de production.
Le serveur de sauvegarde ne doit pas être accessible depuis les postes utilisateurs ou les serveurs applicatifs via le réseau courant.
L'ANSSI précise dans son guide "Sauvegarde des systèmes d'information - Les fondamentaux" (ANSSI-BP-100, novembre 2025) les moyens techniques attendus pour atteindre cet objectif :
Ces mesures sont des mesures de cloisonnement réseau. Ce point mérite d'être compris précisément.
C'est la nuance que beaucoup d'organisations interprètent mal, avec des conséquences directes sur le choix d'une architecture.
Lorsque le ReCyF mentionne le cloisonnement dans le cadre de l'OS7, il désigne une zone réseau distincte de la production*. Pas une déconnexion physique totale. Une infrastructure de sauvegarde sur un VLAN dédié, avec des flux strictement contrôlés par un pare-feu et des flux unidirectionnels, satisfait cet objectif.
L'air gap physique va plus loin. Il s'agit d'une déconnexion totale du réseau : le support de sauvegarde n'est jamais accessible depuis le réseau, même depuis la zone de sauvegarde. Il faut une intervention physique (insertion d'une bande, connexion manuelle d'un disque) pour lire ou écrire sur le support.
L'ANSSI-BP-100 est explicite sur la hiérarchie de protection :
"Une solution de sauvegarde hors ligne reste considérée comme plus robuste qu'une solution WORM en ligne."
Et sur le support offline recommandé : la bande magnétique reste la méthode la plus efficace* car elle nécessite une insertion physique pour être accessible depuis un réseau quelconque.
En pratique : le ReCyF oblige au cloisonnement réseau de l'infrastructure de sauvegarde. L'air gap physique n'est pas requis par le texte. Mais l'ANSSI le considère comme le niveau de protection supérieur, notamment pour les entités exposées à des attaques ransomware sophistiquées.
Pour les entités essentielles, la logique de l'approche par les risques (OS16) pousse naturellement vers des architectures plus robustes. Une entité hospitalière ou industrielle relevant de NIS2 Annexe I trouvera, dans son analyse de risques, des scénarios qui justifient l'air gap physique au-delà du minimum réglementaire.
Le stockage WORM (Write Once Read Many) est souvent présenté comme l'alternative à l'air gap. L'ANSSI-BP-100 donne une position nuancée :
"Un compromis acceptable peut être d'effectuer des sauvegardes régulières avec une solution WORM et d'effectuer des sauvegardes hors ligne à une fréquence moindre."
Le WORM satisfait l'exigence de cloisonnement OS7 s'il est déployé dans une zone réseau dédiée. Il ne remplace pas la copie offline dans le cadre de la règle 3-2-1-1-0.
Pour une entité NIS2, l'architecture minimale conforme au ReCyF combine :
La réponse de l'ANSSI est sans ambiguïté : non.
Le ReCyF a été publié en avance de la transposition pour permettre aux entités d'anticiper. L'ANSSI précise que les organisations qui appliquent le référentiel avant l'adoption de la loi peuvent s'en prévaloir lors d'un contrôle. Ce signal compte : le ReCyF est déjà la grille de lecture des contrôleurs.
La loi Résilience, attendue en juillet 2026, rendra les obligations contraignantes. Mais l'ANSSI a déjà ouvert le processus d'enregistrement des entités concernées. Les premières notifications de contrôle pourraient intervenir dans les mois suivant la promulgation.
Mettre en conformité l'infrastructure de sauvegarde maintenant, avec le ReCyF comme référence, évite une mise sous pression au second semestre 2026.
Le référentiel fixe des objectifs, pas des architectures techniques précises. Plusieurs points restent à l'appréciation de l'entité.
Le ReCyF ne prescrit pas de technologie de stockage spécifique. Il ne définit pas de fréquence de sauvegarde minimale. Il ne fixe pas de durée de rétention obligatoire. Ces paramètres relèvent de l'analyse de risques (OS16 pour les EE) et des référentiels sectoriels complémentaires : HDS pour la santé, DORA pour le secteur financier.
Pour les entités importantes, cette latitude est aussi un risque : en l'absence de référence technique documentée, un contrôle ANSSI suivant un incident constituera un facteur aggravant si les sauvegardes n'étaient pas testées.
OS13 s'applique à toutes les entités NIS2, importantes (EI) comme essentielles (EE). Les objectifs 16 à 20, dont l'approche par les risques (OS16) et la supervision SOC (OS20), sont réservés aux entités essentielles.
Seulement si le service cloud est configuré dans une zone réseau distincte de la production avec des flux strictement contrôlés. Un backup synchronisé en continu vers un cloud public accessible depuis le réseau de production ne satisfait pas le cloisonnement OS7. Par ailleurs, NIS2 précise que le backup via réseau ne constitue pas une sauvegarde isolée au sens strict de la réglementation.
Le cloisonnement OS7 exige une zone réseau distincte de la production : VLAN dédié, pare-feu strict, flux unidirectionnels. L'air gap physique va au-delà : aucune connexion réseau, support accessible uniquement par intervention physique. L'air gap satisfait et dépasse l'exigence OS7. Il correspond au niveau de protection recommandé par l'ANSSI-BP-100 pour les environnements critiques.
Un WORM dans une zone réseau dédiée satisfait l'OS7. Pour l'OS13, l'ANSSI recommande de le combiner avec des sauvegardes hors ligne périodiques plutôt que de s'appuyer uniquement sur le WORM. Les deux approches sont complémentaires, pas substituables.
Le ReCyF structure les exigences NIS2 en objectifs atteignables. Pour la sauvegarde, deux objectifs comptent : OS13 pour la continuité (PCA/PRA, tests, RPO/RTO documentés) et OS7 pour le cloisonnement de l'infrastructure de backup dans une zone réseau distincte de la production.
Le cloisonnement réseau satisfait le ReCyF. L'air gap physique le dépasse, avec un niveau de protection supérieur que l'ANSSI reconnaît explicitement dans son guide ANSSI-BP-100.
Pour les entités qui souhaitent faire le point sur leur architecture de sauvegarde au regard du ReCyF et de NIS2, notre équipe intervient en évaluation et déploiement. Découvrez notre offre de sauvegarde managée conforme NIS2
Pour approfondir les obligations techniques NIS2 au-delà du ReCyF, consultez les obligations techniques de sauvegarde NIS2
et notre guide complet NIS2 France 2026