ECP vs ReCyF (France) : CyFun face au référentiel NIS2 français
Le ReCyF (Référentiel Cyber France) est le cadre officiel de conformité NIS2 de l'ANSSI pour les entités françaises — un document gouvernemental qui définit 15 objectifs de sécurité pour les entités importantes et 20 pour les entités essentielles, publié en mars 2026. Easy Cyber Protection est une plateforme d'audit-readiness CyFun vendue aux MSPs belges. Les deux s'inscrivent dans l'espace NIS2, mais pour des pays et des modèles de livraison différents. Note : le post LinkedIn d'avril 2026 de Tom désignait ce référentiel de manière informelle sous le nom "CyDeF" — le nom officiel ANSSI est ReCyF.
En un coup d'œil
| ReCyF (France) | Easy Cyber Protection / CyFun | |
|---|---|---|
| Autorité responsable | ANSSI — Agence nationale de la sécurité des systèmes d'information | CCB — Centre pour la Cybersécurité Belgique (ECP implémente CyFun) |
| Publié / dernière version | v2.5, 17 mars 2026 (document de travail) | CyFun 2025 (aligné sur NIST CSF 2.0) |
| Statut juridique | Non obligatoire aujourd'hui ; devient contraignant lors de l'adoption de la Loi Résilience (attendu H2 2026) | Opérationnel — voie de conformité NIS2 belge émise par le CCB ; audits en cours |
| Couverture des entités | ~10 000–15 000 entreprises françaises dans 18 secteurs | Entités belges enregistrées sous NIS2 (portail CCB) |
| Structure | 15 objectifs (Entités Importantes) + 20 objectifs (Entités Essentielles) | 4 niveaux : Small, Basic, Important, Essential — chacun avec des contrôles implémentés en YAML |
| Certification / évaluation | Contrôles ANSSI — pas d'organisme de certification accrédité séparé ; ISO 27001:2022 reconnu comme moyen de conformité | Audit CAB par organisme accrédité ; ECP génère le bundle signé .ecpbundle.zip |
| Coût de conformité | 100–200 K€ initial (Entités Importantes) ; 450–880 K€ (Entités Essentielles) + ~10%/an (estimations ANSSI) | Le MSP facture au client 100–400 €/mois via la plateforme ECP — absorbé dans la prestation MSP |
| Modèle MSP / portefeuille | Pas de piste multi-tenant — cadre par entité ; les MSPs eux-mêmes sont classés Entités Importantes | Conçu pour la livraison en portefeuille MSP : dashboard partenaire, white-label, gestion par client |
| Relation ISO 27001 | L'ANSSI fournit une cartographie officielle ReCyF ↔ ISO 27001:2022 | CyFun 2025 chevauche NIST CSF 2.0 ; support ISO 27001 prévu |
| Géographie | France (juridiction ANSSI) | Belgique d'abord ; Irlande co-adoptant CyFun en 2026 |
Sources : ANSSI ReCyF v2.5 (mars 2026), cyber.gouv.fr, ccb.belgium.be. Dernière vérification 2026-05-11.
Où le ReCyF s'applique
- Vos clients sont des entreprises françaises relevant des 18 secteurs NIS2 obligatoires (énergie, transport, santé, infrastructure numérique, etc.) et dépassant les seuils d'Entité Importante ou Essentielle
- Vous livrez des services de conformité en France et serez contrôlé par l'ANSSI selon les objectifs ReCyF
- Vous avez besoin d'un cadre avec une cartographie ISO 27001:2022 intégrée — l'ANSSI publie un outil de cartographie officiel
- Vous êtes un MSP/prestataire IT français — vous êtes vous-même classé Entité Importante sous NIS2 et devez suivre ReCyF pour vos propres opérations
- Vous voulez un cadre émis par le gouvernement avec des "moyens de conformité acceptables" clairs pour chaque objectif de sécurité
Où ECP / CyFun s'applique
- Vos clients sont belges (ou irlandais) — CyFun est la voie officielle de conformité NIS2 du CCB, celle contre laquelle les auditeurs belges et le CCB évaluent
- Vous êtes un MSP belge et voulez packager l'audit-readiness CyFun comme un service reproductible sur votre portefeuille clients — pas un projet de conformité sur mesure à 100 K€+ par client
- Vous avez besoin de matériaux NL / FR / EN avec le contexte réglementaire belge (alignement CCB, levier VLAIO kmo-portefeuille pour les clients flamands)
- Vous voulez une économie MSP prévisible à deux axes : Starter (399 € flat) / Practice (499 € + par client) / Studio (999 € + par client) / Firm (1 999 € + par client) plus paliers de taille par client (XS 25 € / S 75 € / M 250 € / L 750 €)
- Vos clients ont besoin d'un livrable d'audit CAB — ECP génère le .ecpbundle.zip signé que l'organisme d'audit accrédité accepte
La comparaison des coûts de conformité
Cette comparaison oppose un cadre à une plateforme, pas un outil à un autre. Le ReCyF est un document gouvernemental gratuit — le coût réside dans le projet de conformité qu'il exige. ECP est une plateforme que les MSPs paient et revendent à leurs clients. Les chiffres ci-dessous illustrent ce que chaque voie coûte pour une PME belge type par rapport à une Entité Importante française type.
Conformité ReCyF — Entité Importante française (EI), ~100 employés
- • Document ReCyF : gratuit (PDF sur messervicescyber.fr)
- • Projet de conformité initial (analyse d'écart, rédaction de politiques, implémentation des contrôles) : 100–200 K€ (estimation ANSSI)
- • Coût récurrent annuel (maintenance, audits, tests) : ~10% de l'initial = 10–20 K€/an
- • RSSI interne ou consultant externe requis — aucun "assistant guidé" ne réduit la complexité
- • L'ANSSI contrôle directement ; amendes jusqu'à 7 M€ ou 2% du chiffre d'affaires pour les Entités Importantes
Les estimations de coûts ANSSI sont des chiffres officiels partagés lors de briefings publics, non des devis indépendamment vérifiés. Les coûts varient largement selon la complexité de l'entité, le secteur et la maturité existante.
ECP / CyFun — PME belge via MSP (portefeuille 20 clients, taille S en moyenne)
- • Base MSP (palier Practice, 10–49 clients) : 499 € / mois
- • Par client (taille S, 100–999 entités) : 20 × 75 € = 1 500 € / mois
- • Coût total plateforme ECP pour le MSP : 1 999 € / mois
- • Le MSP facture au client PME : 200 € / mois (fourchette suggérée 100–400 €)
- • Coût annuel du client : 2 400 € — vs 100 K€+ de projet ReCyF direct
- • Revenu MSP : 20 × 200 € = 4 000 € / mois — marge brute ~2 000 € / mois (~24 K€ / an)
Les paliers par client (XS 25 € / S 75 € / M 250 € / L 750 €) sont uniformes sur tous les paliers ECP — ce qui change c'est la base mensuelle. Starter (< 10 clients) est 399 € flat sans frais par client. Studio (50–99 clients) est 999 € + par client. Firm (100–999) est 1 999 € + par client. Enterprise (1 000+) sur mesure.
Chevauchement de couverture des cadres
ReCyF et CyFun implémentent tous deux les exigences de sécurité NIS2 — dans leurs pays respectifs. Les domaines de contrôle se chevauchent considérablement (tous deux remontent à l'Article 21 de NIS2 et aux influences NIST CSF 2.0). La différence est la juridiction, pas la philosophie.
| Domaine de contrôle | ReCyF (France) | CyFun / ECP |
|---|---|---|
| Gouvernance & gestion des risques | Objectifs 1–2 (EI + EE) ; approche par les risques obligatoire pour EE uniquement | Contrôles de gouvernance CyFun Basic + Important ; le wiki ECP impose la propriété des politiques |
| Contrôle d'accès & identité | Objectif 10 — gestion des identités ; objectif 11 — maîtrise de l'administration | Contrôles CyFun PR.AC ; registre d'accès ECP + collecte de preuves |
| Détection des incidents & réponse | Objectifs 12–14 — réponse aux incidents, continuité d'activité, gestion de crise | Contrôles CyFun DE.CM + RS ; journal d'incidents ECP + workflow de notification CSIRT |
| Chaîne d'approvisionnement / écosystème | Objectif 3 — maîtrise de l'écosystème (les MSPs doivent eux-mêmes se conformer en tant qu'EI) | CyFun ID.SC ; modèle de registre fournisseurs ECP |
| Configuration sécurisée & durcissement | Objectif 18 (EE uniquement) — configuration des ressources | Contrôles CyFun PR.IP dans Basic et au-dessus |
| Supervision de la sécurité (SOC/SIEM) | Objectif 20 (EE uniquement) — supervision active | CyFun DE.CM ; inclus dans les niveaux Important / Essential |
| Cartographie ISO 27001:2022 | Cartographie officielle ANSSI disponible (comparateur messervicescyber.fr) | Chevauchement significatif ; support ISO 27001 dédié prévu mais pas encore livré |
| Conformité Article 21 NIS2 | Oui — ReCyF est l'implémentation française des obligations de l'Article 21 | Oui — CyFun est l'implémentation belge de l'Article 21 ; émis par le CCB |
Sources : ANSSI ReCyF v2.5 (mars 2026) ; documentation CCB CyFun 2025. La cartographie est indicative — une analyse d'écart réelle nécessite une évaluation professionnelle.
Questions fréquentes
Suivre le ReCyF satisfait-il NIS2 en Belgique?
Non. Le ReCyF est le cadre national français de conformité NIS2, évalué par l'ANSSI. La voie de conformité NIS2 belge est CyFun, émis par le CCB. Une entité belge auditée par un organisme CAB belge est évaluée contre CyFun — pas contre ReCyF. Les deux cadres se chevauchent dans l'esprit (tous deux implémentent l'Article 21 de NIS2) mais ne sont pas interchangeables entre pays. Si vous opérez en France et en Belgique, vous devrez satisfaire à la fois l'ANSSI (ReCyF) et le CCB (CyFun) — ils ne se reconnaissent pas mutuellement aujourd'hui.
ECP peut-il aider les clients français à se conformer au ReCyF?
Pas nativement aujourd'hui. ECP implémente CyFun (le cadre belge du CCB). Les domaines de contrôle se chevauchent considérablement — les 20 objectifs du ReCyF et les contrôles CyFun dérivent tous deux de l'Article 21 de NIS2 et des influences NIST CSF 2.0 — mais ECP ne génère pas un bundle de conformité prêt pour l'ANSSI. Une entité française utilisant ECP obtiendrait une bonne avance sur les domaines de contrôle, mais devrait encore mapper les preuves au langage spécifique des "moyens de conformité acceptables" du ReCyF pour une inspection ANSSI.
Pourquoi la conformité ReCyF est-elle tellement plus coûteuse que CyFun via ECP?
Des modèles de livraison différents. Le ReCyF est un cadre de conformité gouvernemental — il fixe des obligations mais n'intègre pas de plateforme guidée, de modèles prêts à l'emploi ou de workflows de collecte de preuves. La conformité nécessite l'embauche d'un RSSI ou d'un consultant pour mener le projet de zéro, ce qui explique les estimations officielles de l'ANSSI de 100–200 K€ pour les Entités Importantes. ECP intègre la conformité CyFun dans une plateforme guidée avec des modèles de politiques, des workflows de collecte de preuves et des bundles d'audit — le MSP livre cela comme un service mensuel plutôt qu'un projet ponctuel.
Quelle est la différence entre une "Entité Importante" ReCyF et le niveau "Basic" de CyFun?
Portée globalement similaire, structure différente. Les deux ciblent les organisations de taille intermédiaire qui sont importantes mais pas l'infrastructure nationale la plus critique. Le niveau Entité Importante de ReCyF couvre 15 objectifs et s'applique aux organisations de 250+ employés ou 50 M€+ de chiffre d'affaires dans 18 secteurs réglementés. Le niveau Basic de CyFun est un ensemble de contrôles définis par le CCB pour les organisations belges relevant de la définition d'Entité Importante de NIS2. Une analyse d'écart professionnelle est requise pour les entités actives dans les deux pays.
Livrez l'audit-readiness CyFun à vos clients belges
Vous êtes un MSP belge? CyFun — pas ReCyF — est la voie de conformité dont vos clients ont besoin. ECP la package comme un service MSP mensuel : workflows guidés, collecte de preuves, rapports white-label et un bundle d'audit signé que votre auditeur CAB accepte.
Ressources liées
Vérification des faits
| Affirmation | Source | Consulté le |
|---|---|---|
| ReCyF v2.5 publié le 17 mars 2026 par l'ANSSI | ANSSI / messervicescyber.fr — PDF ReCyF v2.5 | 2026-05-11 |
| 15 objectifs pour Entités Importantes, 20 pour Entités Essentielles | Structure ANSSI ReCyF v2.5 | 2026-05-11 |
| ~10 000–15 000 entreprises françaises concernées par NIS2 | ANSSI / SPAC Alliance briefings NIS2 France | 2026-05-11 |
| Coût conformité EI : 100–200 K€ initial + ~10%/an ; EE : 450–880 K€ | Estimations officielles ANSSI dans les briefings NIS2 | 2026-05-11 |
| Loi Résilience attendue H2 2026 ; France a manqué la date d'octobre 2024 | Copla / SPAC Alliance calendrier de transposition | 2026-05-11 |
| Paliers MSP ECP : Starter 399 € flat, Practice 499 €, Studio 999 €, Firm 1 999 € | ECP ADR-0009 + mise à jour newsletter semaine 19 | 2026-05-11 |