.jpg)
.png)
La transposition de la directive NIS2 en droit français se précise. L'ANSSI (Agence nationale de la sécurité des systèmes d'information) a publié le ReCyF (Référentiel Cyber France) dans sa version de travail 2.5, datée du 17 mars 2026. Rattaché à l'article 14 du projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité, ce document définit 20 objectifs de sécurité assortis de moyens acceptables de conformité pour les entités régulées.
Deux niveaux d'exigences selon le statut de l'entité
Le ReCyF applique un principe de proportionnalité. Les entités importantes (EI) et les entités essentielles (EE) sont toutes soumises aux objectifs 1 à 15, couvrant la gouvernance, la protection, la défense et la résilience des systèmes d'information. Les entités essentielles sont en plus soumises aux objectifs 16 à 20, qui imposent notamment une approche par les risques, des audits de sécurité réguliers, le durcissement des configurations et la supervision continue.
Chaque objectif de sécurité constitue une obligation réglementaire. Pour les atteindre, l'ANSSI propose des moyens acceptables de conformité : ces moyens ne sont pas les seuls possibles, mais les entités qui les appliquent peuvent s'en servir pour démontrer leur conformité lors d'un contrôle.
Pour savoir si votre organisation est concernée par la mesure, l'ANSSI met à disposition un simulateur en ligne : Simulateur NIS2
Des objectifs directement liés à la sécurité mobile et applicative
Parmi les 20 objectifs du ReCyF, plusieurs concernent directement la sécurité des terminaux mobiles et la sécurité applicative, deux domaines sur lesquels les solutions françaises Pradeo et Yagaan, powered by Pradeo, apportent des réponses concrètes.
Objectif 3 – Maîtrise de l'écosystème
L'objectif 3 impose aux entités de cartographier leur écosystème de prestataires et fournisseurs informatiques, et de vérifier périodiquement la conformité de leurs prestations aux obligations de sécurité. Cette exigence de contrôle de la chaîne d'approvisionnement logicielle est au cœur de la directive NIS 2.
La solution Yagaan Mobile Application Security Testing (MAST) répond à cette exigence en auditant la sécurité et la conformité des applications mobiles fournies par des prestataires, éditeurs ou sous-traitants, directement à partir de leur binaire, sans accès au code source.
Pradeo Mobile Threat Intelligence complète ce contrôle en surveillant en continu le niveau de sécurité des applications publiques utilisées dans l'organisation.
Objectif 5 – Maîtrise des systèmes d'information
L'objectif 5 impose un processus de maintien en condition opérationnelle et de sécurité, incluant la mise à jour des bases de connaissances des outils de protection et une veille sur les vulnérabilités. Pour les entités essentielles, il exige également une procédure formalisée de maintien en condition de sécurité des ressources logicielles.
Pradeo couvre cette exigence sur la partie mobile : la solution de protection de flotte mobile met à jour automatiquement ses règles de détection, et la plateforme Pradeo Mobile Threat Intelligence, avec ses millions de rapports d'applications continuellement actualisés assure la veille sur les vulnérabilités applicatives mobiles.
Côté applicatif, le Static Application Security Testing (SAST) de Yagaan s'intègre dans les pipelines CI/CD pour détecter et corriger les vulnérabilités du code avant la mise en production.
Objectif 8 – Sécurisation des accès distants aux systèmes d'information
L'objectif 8 encadre les accès aux SI depuis des systèmes d'information tiers (télétravail, nomadisme, accès depuis un terminal mobile). Il impose le chiffrement des communications (VPN, TLS, SSH…) pour toutes les entités, et ajoute pour les entités essentielles l'obligation d'une authentification multifacteur ainsi que le chiffrement des disques des équipements mobiles utilisés pour l'accès distant.
Pradeo Mobile Threat Defense contribue à cette exigence sur le vecteur mobile en détectant les attaques réseau ciblant les terminaux : connexions Wi-Fi non sécurisées, attaques man-in-the-middle, interceptions de données, points d'accès frauduleux. La solution vérifie également l'intégrité du terminal (rootage, jailbreak, configurations à risque) avant et pendant l'accès au SI.
Le module Yagaan Runtime Application Self-Protection (RASP) complète ce dispositif en protégeant les applications métier directement sur le terminal, neutralisant les attaques en temps réel, y compris hors connexion.
Objectif 9 – Protection des systèmes d'information contre les codes malveillants
L'objectif 9 impose la mise en œuvre de mécanismes de protection contre les codes malveillants sur les ressources des SI, et cite explicitement les équipements mobiles. Il exige que les terminaux disposent de protections contre l'exécution de codes malveillants et que les données provenant de sources externes soient analysées à la réception.
Les entités importantes peuvent autoriser le BYOD à condition de définir les terminaux autorisés et d'empêcher la connexion des autres. Les entités essentielles doivent interdire le BYOD, seuls les terminaux gérés par l'entité ou son prestataire mandaté peuvent se connecter au SI.
Pradeo Mobile Threat Defense répond directement à cet objectif en détectant en temps réel les malwares, les tentatives de phishing, les applications intrusives et les attaques réseau sur les terminaux Android et iOS. La solution permet facilement d'enrôler et de retirer des terminaux autorisés.
Pour les entités importantes qui maintiennent une politique BYOD, le Secure Private Store va plus loin: seuls les terminaux disposant de l'application accèdent aux ressources de l'entreprise
Objectif 12 – Identification et réaction aux incidents de sécurité
L'objectif 12 exige la mise en œuvre de mécanismes permettant d'analyser et qualifier les événements de sécurité remontés, afin d'identifier les incidents potentiels ou avérés. Il impose également la conservation des relevés techniques, y compris les alertes remontées par les outils de protection contre les codes malveillants, pouvant servir d'éléments de preuve.
Pradeo Mobile Threat Defense alimente directement cette capacité en générant et centralisant les événements de sécurité du périmètre mobile : détection de malwares, tentatives de phishing, connexions suspectes, applications à risque. Ces données contribuent à la qualification des incidents et peuvent être remontées dans les outils de supervision existants via les intégrations UEM ou SIEM.
Objectif 17 – Audit de la sécurité des systèmes d'information
Applicable uniquement aux entités essentielles, l'objectif 17 impose la réalisation d'audits de sécurité à intervalles réguliers. Le ReCyF mentionne explicitement l'audit de code comme l'une des activités possibles, aux côtés des tests d'intrusion, audits de configuration, d'architecture et audits organisationnels.
Les solutions Yagaan répondent directement à cet objectif. La solution Static Application Security Testing (SAST) permet l'audit du code source des applications web et mobiles, avec priorisation des failles, réduction des faux positifs et aide contextuelle à la remédiation.
Yagaan Mobile Application Security Testing (MAST ) complète ce dispositif en auditant les applications mobiles à partir de leur code binaire (Android et iOS), sans accès au code source, couvrant aussi bien les applications internes que celles de fournisseurs tiers.
Le moment d'anticiper
Le ReCyF v2.5 est encore une version de travail, des ajustements restent possibles. Mais les grandes orientations sont posées et les organisations ont tout intérêt à anticiper dès maintenant leur mise en conformité.
Le référentiel impose une approche globale articulée autour de quatre piliers : Gouvernance, Protection, Défense, Résilience. La sécurité mobile et la sécurité applicative en sont des composantes essentielles. Pradeo, seul acteur européen reconnu leader mondial, pour la protection des terminaux mobiles, et Yagaan, powered by Pradeo, expert dans la sécurité applicative. Deux briques complémentaires au sein de la stratégie globale que le ReCyF impose.
.jpg?height=100&name=1711636314862%20(1).jpg)
-2.png)
-1.png)
