top of page
Rechercher

Directive REC (CER) : Résilience des entités critiques – Au-delà de la cybersécurité


Trois directives convergentes, une seule vraie résilience

Vous avez probablement entendu parler de NIS2. Vous connaissez peut-être DORA si vous êtes dans le secteur financier. Mais il y en a une troisième directive, tout aussi importante, que beaucoup d'organisations ignorent encore.

C'est la directive REC - ou CER en anglais (Critical Entities Resilience Directive). Et elle change fondamentalement ce que signifie être "résilient" en Europe.

Contrairement à NIS2 qui se concentre sur la cybersécurité, et DORA qui vise la résilience opérationnelle numérique des institutions financières, la directive REC exige quelque chose de bien plus large : la résilience physique des entités critiques face à tous les types de menaces.

Naturelles ou humaines. Intentionnelles ou accidentelles.


La directive REC en France : Le contexte de la SAIV

En France, la directive REC se traduit par un renforcement du dispositif national existant : la Sécurité des Activités d'Importance Vitale (SAIV), mis en place en 2006.

Un projet de loi français, "Projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité", transpose la directive REC en droit français. Ce projet actualise et renforce le dispositif SAIV existant, piloté par le Secrétariat général de la défense et de la sécurité nationale (SGDSN).

Impact en France :

  • Les entités régulées passent de 500 à environ 15 000

  • Les secteurs régulés passent de 6 à 18 secteurs

  • Cela inclut les acteurs de la chaîne d'approvisionnement, les administrations centrales, environ 1 500 collectivités locales, et les PME/ETI de secteurs critiques


Ce que la directive REC exige réellement

Le champ d'application : 11 secteurs, des milliers d'organisations

La directive REC couvre 11 secteurs : énergie, transport, secteur bancaire, infrastructure de marché financier, santé, eau potable et eaux usées, infrastructure numérique, administration publique centrale, espace, secteur alimentaire, et déchets.

Ce n'est pas une liste restreinte. Cela signifie que si votre organisation opère dans l'un de ces secteurs et fournit des services essentiels, vous êtes probablement concerné.

Même si vous ne vous pensiez pas "critique".


Les exigences clés

La directive REC impose quatre éléments fondamentaux :

1. Identification et notification (deadline : 17 juillet 2026)

Les États membres utilisent une approche basée sur les risques pour désigner les entités critiques. Les organisations essentielles pour les fonctions économiques ou sociétales vitales dans l'un des onze secteurs seront identifiées et notifiées par les autorités compétentes.

Si vous êtes identifié, vous avez 10 mois pour vous conformer.

2. Évaluation des risques (dans les 9 mois après notification)

Les entités critiques doivent évaluer tous les risques naturels ET humains qui pourraient perturber la fourniture de leurs services essentiels. Cela inclut les accidents, les catastrophes naturelles, les urgences de santé publique, les menaces hybrides, les attaques terroristes, et les menaces antagonistes.

Ce n'est pas juste : "Pouvons-nous être hacké ?" C'est : "Qu'est-ce qui pourrait vraiment nous arrêter ?"

3. Mesures de résilience et plans (à démontrer dans les 10 mois)

Les entités doivent mettre en place des mesures pour :

  • Prévenir les incidents de se produire

  • Protéger l'infrastructure critique contre les menaces

  • Répondre rapidement en cas de perturbation

  • Récupérer et restaurer les services essentiels

Un "plan de résilience" n'est pas un document qui reste sur une étagère. C'est un ensemble de mesures concrètes, testées, et démontrables.

4. Notification des incidents (24h initial, puis 30 jours)

Les entités critiques doivent notifier les autorités compétentes dans les 24 heures après devenir conscientes d'un incident perturbateur. Un rapport détaillé est requis dans le mois suivant l'incident, incluant tous les détails nécessaires pour comprendre la nature, la cause et les conséquences potentielles, y compris les impacts transfrontaliers.


Comment la REC se relie à NIS2 et DORA

C'est le point crucial !!!


NIS2, DORA, et REC ne sont pas trois directives séparées. Ce sont trois facettes d'une même obligation : la résilience globale.

Directive

Focus

Secteurs

Horizon

NIS2

Cybersécurité

Tous les secteurs essentiels/importants

Deadline : 2025 (en cours)

DORA

Résilience numérique opérationnelle

Institutions financières

Deadline : 2025

REC

Résilience physique + tous les risques

11 secteurs critiques

Deadline : Juillet 2026

Ce qu'il faut comprendre : Elles s'ajoutent l'une à l'autre, elles ne se remplacent pas.

Une organisation qui doit respecter NIS2 ET REC ne doit pas implémenter deux cadres parallèles. Elle doit implémenter un cadre convergent qui répond aux exigences des deux.

C'est la vraie complexité. Et c'est là que beaucoup d'organisations se trompent.


Le gap critique : La convergence physique-cyber gouvernance

Voici un exemple concret de ce que cela signifie réellement.

Situation : Un hôpital, entité critiquement essentielle.

NIS2 exige :

  • Protection des systèmes IT (dossiers patients, systèmes médicaux connectés)

  • Détection rapide des incidents cyber

  • Plan de continuité numérique

  • Gouvernance cyber claire

REC exige :

  • Évaluation des risques physiques (accès aux salles critiques, générateurs de secours, stockage de médicaments)

  • Plan de résilience face aux interruptions (tempêtes, pannes électriques, sabotage, accident)

  • Capacité de continuer les services essentiels même en cas de perturbation majeure

  • Notification rapide des incidents perturbateurs

Le problème réel :

L'hôpital a une équipe IT qui gère NIS2. Elle a un responsable sûreté physique qui connaît le bâtiment. Elles opèrent généralement de manière indépendante, ce qui est normal.

Quand arrive un incident (une tempête coupe l'électricité), voici ce qui se passe :

  • L'équipe IT : "Nos générateurs de secours sont en place, nos serveurs sont protégés"

  • L'équipe physique : "Les portes de secours sont accessibles, les gens peuvent évacuer"

Le gap souvent découvert lors de tests convergents :

Quand les deux équipes se réunissent pour la première fois pour tester ensemble, certaines questions émergent :

  • Le générateur peut-il vraiment alimenter les serveurs ET les équipements médicaux en même temps ?

  • Les protocoles d'évacuation d'urgence peuvent-ils se dérouler si l'IT bascule sur batterie ?

  • Comment maintenir la continuité de soins si le Wi-Fi des équipements médicaux est affecté ?

Ces questions ne reflètent pas un manque de qualité des deux équipes. Elles reflètent simplement qu'avant REC, il n'y avait pas d'obligation d'orchestrer cette convergence. C'est précisément ce que REC change : elle exige que ces questions soient posées et répondues AVANT qu'une vrai perturbation ne se produise.


Pourquoi la directive REC change la donne

1. Elle reconnaît que la résilience n'est pas qu'une question de technologie

La directive REC reconnaît que l'impact des perturbations significatives se fait sentir bien au-delà du domaine virtuel. Elles impactent les installations, les routes, les chemins de fer, la production d'énergie et autres infrastructures sur lesquelles reposent les services essentiels.

En d'autres termes : vous ne pouvez pas être résilient en cybersécurité seul. Vous ne pouvez pas être résilient en sûreté physique seul.

Vous devez être résilient dans tout votre système.

2. Elle force les stress-tests réalistes

La directive invite les États membres à conduire des tests de résilience (stress-tests) basés sur des scénarios communs. Cela signifie que votre organisation sera peut-être testée contre des scénarios réalistes :

  • Perte totale d'électricité pendant 48 heures

  • Interruption des communications longue distance

  • Accès physique limité à vos installations

  • Indisponibilité soudaine de ressources externes critiques

Ces tests ne sont pas hypothétiques. Les organisations qui opèrent actuellement un infrastructure critique en Europe sont déjà invitées à participer.

3. Elle établit des délais clairs et proches

La directive REC s'applique à partir du 18 octobre 2024. Les États membres devaient réaliser une évaluation des risques d'ici le 17 janvier 2026 (deadline passée). Les entités critiques doivent être identifiées d'ici le 17 juillet 2026.

Nous sommes maintenant en janvier 2026. Cela signifie :

  • Juillet 2026 : 6 mois avant l'identification officielle des entités critiques

  • Septembre 2026 : 8-9 mois avant la deadline de conformité pour la plupart des entités

Si vous êtes identifié comme entité critique, vous aurez environ 10 mois pour vous conformer. C'est serré, mais faisable si vous commencez maintenant.


L'implication pour votre organisation

Si vous avez reçu une notification de la part de vos autorités locales que votre organisation est une "entité critique" selon REC, vous devez :

Phase 1 : Diagnostic (immédiat)

Comprendre votre situation :

  • Quels sont vos services essentiels réellement critiques ?

  • Quels risques naturels vous affectent réellement ? (Climat local, géographie, saisonnalité)

  • Quels risques humains vous menacent ? (Sabotage, terrorisme, criminalité locale)

  • Quels points uniques de défaillance existent dans votre infrastructure physique ET numérique ?

Ce n'est pas une case à cocher. C'est une compréhension honnête de votre vulnérabilité.

Phase 2 : Évaluation de résilience (9 mois)

Réaliser une évaluation complète qui couvre :

  • Infrastructure physique (bâtiments, routes d'accès, sources d'énergie alternatives)

  • Infrastructure IT (systèmes critiques, sauvegarde, récupération)

  • Processus opérationnels (comment continuer si quelque chose tombe en panne)

  • Personnel et gouvernance (qui décide en cas de crise, comment ça s'organise)

Phase 3 : Mise en place des mesures (10 mois)

Implémenter les mesures de résilience appropriées basées sur votre évaluation. Cela inclut :

  • Redondance des systèmes critiques

  • Plans d'urgence testés

  • Formation du personnel

  • Communication avec les autorités


Comment CARINEL accompagne la conformité REC

CARINEL apporte une expertise spécifique : l'évaluation et le renforcement de la résilience physique des entités critiques.

Notre approche REC

1. Audit de résilience physique

Nous évaluons votre infrastructure physique critique :

  • Accessibilité des zones sensibles (salles serveurs, équipements critiques, archives)

  • Contrôles d'accès et traçabilité

  • Alimentation électrique et sources alternatives

  • Systèmes de communication de secours

  • Itinéraires d'évacuation et zones de rassemblement

  • Résilience des bâtiments face aux risques naturels locaux (tempêtes, inondations, tremblements de terre)

Nous ne cherchons pas juste à cocher des cases. Nous identifions les vraies vulnérabilités.

2. Scénarios de perturbation testés

Nous conduisons des simulations réalistes :

  • Perte d'électricité. Que se passe-t-il réellement ?

  • Accès restreint au bâtiment. Comment continuez-vous ?

  • Indisponibilité du personnel clé. Qui prend les décisions ?

Ces simulations révèlent les gaps entre ce qui est écrit (le plan) et ce qui fonctionne réellement (la pratique).

3. Convergence avec NIS2

Nous assurons que l'évaluation REC s'aligne avec vos obligations NIS2 :

  • Les mesures de résilience physique soutiennent-elles vraiment vos systèmes IT critiques ?

  • Les plans d'urgence couvrent-ils à la fois cyber et physique ?

  • Votre gouvernance de crise coordonne-t-elle vraiment IT et Physique ?

C'est l'intégration qu'une approche purement IT manquera.

4. Plans de résilience documentés

Nous vous aidons à documenté :

  • Votre stratégie de résilience (comment vous survivrez aux perturbations)

  • Vos mesures de résilience (ce que vous mettez en place concrètement)

  • Vos procédures d'escalade et de notification (qui appeler, quand, comment)

  • Votre approche de test (comment vérifier que ça marche avant que ça compte)


Trois questions critiques pour vos dirigeants

Si votre organisation opère dans l'un des 11 secteurs critiques, voici les questions que vos autorités demanderont (d'ici 2026) :

1. Êtes-vous capable de continuer vos services essentiels même si vous perdez l'électricité pendant 48 heures, vos communications longue distance, ET une partie physique de votre bâtiment ?

Pas "Y a-t-il un plan" mais "L'avez-vous testé ?"

2. Si un incident interrompt vos services, pouvez-vous le notifier aux autorités en 24 heures avec les informations requises ? Qui coordonne ce rapport : IT ou Physique ou les deux ensemble ?

3. Avez-vous une gouvernance claire qui coordonne cybersécurité (NIS2) et résilience physique (REC) ? Ou sont-ce deux silos qui reportent séparément ?

La plupart des organisations répond "Oui, nous avons un plan" aux trois questions. Très peu peuvent dire "Oui, nous l'avons testé ET nous l'avons mis à jour basé sur ce que nous avons appris."

C'est la vraie différence entre "conforme sur le papier" et "résilient en pratique".


Le timing est critique - Nous sommes en janvier 2026

Si vous n'êtes pas immédiatement identifié comme entité critique, considérez si vous pourriez être un fournisseur pour une entité critique. Vous pourriez avoir des obligations indirectes.

Les délais accélèrent maintenant :

  • Janvier 2026 : Évaluation des risques au niveau national en cours (deadline passée pour cette phase)

  • Juillet 2026 : Identification des entités critiques (6 mois)

  • Mai 2027 : Deadline de conformité pour la plupart des entités (10 mois après identification)

Si votre organisation n'a pas encore reçu de notification, une notification officielle pourrait arriver d'ici juillet 2026. À ce moment, vous aurez environ 10 mois pour être conforme (jusqu'en mai 2027).

Ce n'est pas beaucoup de temps pour évaluer, mettre en place, tester et documenter votre résilience physique convergente.


Comment CARINEL peut vous aider maintenant

Phase précoce (avant identification officielle)

  • Diagnostic : êtes-vous probablement une entité critique selon REC ?

  • Auto-évaluation : où sont vos vulnérabilités physiques de résilience ?

  • Préparation : quelles mesures commencer maintenant pour être prêt quand la notification arrive ?

Après identification

  • Accompagnement complet d'ici septembre 2026

  • Évaluation de résilience détaillée

  • Tests et simulations

  • Documentation de conformité

Long terme

  • Maintien de la résilience (simulation annuelle, mise à jour selon risques changeants)

  • Intégration avec NIS2 et DORA si applicable

À retenir

La directive REC est un signal : la résilience n'est plus optionnelle. C'est une obligation légale.

Et contrairement à NIS2 qui reste relativement technique et IT-focused, REC exige quelque chose de plus fondamental : une organisation capable de fonctionner même quand tout s'écroule.

Ce n'est pas juste une question de technology. C'est une question de gouvernance, de culture, et de structures organisationnelles.

CARINEL apporte l'expertise pour évaluer votre résilience physique, identifier vos vrais risques, et vous aider à construire une résilience qui fonctionne réellement—pas juste sur le papier.


Prochaines étapes

Vous pensez que votre organisation pourrait être une entité critique selon REC ? Ou vous savez déjà que vous êtes concerné et vous ne savez pas par où commencer ?

Nous proposons un diagnostic de résilience REC rapide (2-3 jours) pour :

  1. Évaluer si vous êtes probablement une entité critique

  2. Identifier vos vulnérabilités principales (physiques et opérationnelles)

  3. Proposer un plan d'action réaliste vers la conformité

Pas de jargon. Pas de boîte noire. Juste une évaluation honnête de votre résilience réelle.

Contactez-nous si vous souhaitez en discuter.

CARINEL accompagne les organisations essentielles et critiques dans la mise en place de résilience physique convergente, en ligne avec les obligations REC, NIS2, et DORA.

Pour explorer comment orchestrer cette transformation organisationnelle :


Contactez nos experts


📞 Échange téléphonique découverte (30 min) : - Prenez rendez-vous pour un premier diagnostic téléphonique gratuit au 01 89 71 59 06

📧 Contact expert : Envoyez-nous votre contexte au info@carinel.com ou https://www.carinel.com/contact, - nous vous rappelons sous 48h.


CARINEL – Cabinet de conseil en sécurité physique et sûreté – Organisme de formation certifié QUALIOPI

Sources et références

Directive REC (Résilience des Entités Critiques)

Directive NIS2 (Cybersécurité)

DORA (Résilience opérationnelle numérique - Secteur financier)

Projet de loi français de transposition

Contexte français - SAIV

Ressources complémentaires

 
 
 

Commentaires

bottom of page