Renforcez la résilience de votre entreprise avec la méthode M.E.R.C.I

En 2026, la résilience d’entreprise n’est plus une bonne pratique mais une obligation portée par NIS2 et le Référentiel Cyber France de l’ANSSI. La méthode M.E.R.C.I, articulée autour de cinq étapes (Management, Élaboration, Réalisation, Contrôle, Information), offre un cadre pragmatique pour répondre aux exigences de continuité, de gestion de crise et de tests réguliers attendus par les autorités.
- La résilience est devenue une obligation réglementaire : NIS2 et le ReCyF de l’ANSSI imposent un PCA, un PRA et des exercices documentés aux entités essentielles et importantes.
- La méthode M.E.R.C.I structure la démarche en 5 étapes : Management, Élaboration, Réalisation, Contrôle, Information.
- Le Référentiel Cyber France (ReCyF) publié le 17 mars 2026 formalise 20 objectifs de sécurité, dont la continuité et la reprise d’activité.
- 48 % des victimes de ransomwares en 2025 sont des PME, TPE et ETI : la résilience structurée n’est plus réservée aux grandes entreprises.
- adista propose un plan de reprise externalisé managé via Veeam Cloud Connect, conforme aux exigences NIS2 et hébergé en datacenters souverains français.
Sommaire
Méthode M.E.R.C.I, conformité NIS2 et ReCyF de l’ANSSI en 2026.
Pourquoi la résilience est devenue obligatoire en 2026
Le contexte cyber et réglementaire a profondément évolué depuis la publication initiale de cet article. L’ANSSI a traité 1 366 incidents de sécurité confirmés en 2025, dont 128 attaques majeures par rançongiciel ciblant à 48 % des PME, TPE et ETI. Selon les données publiques, le coût moyen d’une cyberattaque pour une PME française se situe entre 59 000 et 466 000 euros, soit 5 à 10 % de son chiffre d’affaires.
Surtout, le cadre réglementaire s’est durci. La directive NIS2, qui concerne en France entre 10 000 et 15 000 entités selon l’étude d’impact gouvernementale, impose désormais aux entreprises essentielles et importantes de disposer d’un plan de continuité d’activité et d’un plan de reprise d’activité documentés, testés régulièrement, avec des RTO et RPO mesurables. Le 17 mars 2026, l’ANSSI a publié le Référentiel Cyber France (ReCyF) v2.5, qui formalise 20 objectifs de sécurité dont trois portent directement sur la résilience :
- Objectif 13 : continuité et reprise d’activité
- Objectif 14 : réaction aux crises d’origine cyber
- Objectif 15 : exercices, tests et entraînements
Face à ces exigences, la méthode M.E.R.C.I offre un cadre opérationnel structuré, transposable à toute organisation quelle que soit sa taille.
La méthode M.E.R.C.I : un cadre en 5 étapes
M · Management
À l’instar du RSSI et du DPO, il est indispensable de nommer un Responsable des Activités Résilientes (RAR), qui doit disposer d’une bonne connaissance des activités métiers de l’entreprise. Le RAR assure le pilotage du projet en coordination avec les métiers, la qualité, l’informatique et les prestataires externes.
En 2026, le ReCyF impose la désignation d’un point de contact unique en charge de la cybersécurité, qui peut endosser ce rôle. La gouvernance résilience doit être portée au plus haut niveau de l’organisation : NIS2 introduit la responsabilité personnelle des dirigeants en cas de manquements.
E · Élaboration
Cette phase d’étude combine l’analyse des risques et la conception du système de résilience.
Analyse des risques
Étude de contexte, définition du périmètre, identification des activités critiques, liste des sources de menaces, définition des critères de sécurité, définition des objectifs de continuité, cartographie du système, des processus, des ressources et des applications. Étude des événements redoutés, étude des scénarios de menaces, étude des risques et étude des mesures de sécurité.
En 2026, la méthode EBIOS Risk Manager, développée par l’ANSSI, est devenue la référence pour structurer cette analyse. Elle est explicitement citée par le ReCyF (objectif 16) comme moyen acceptable de conformité.
Exemple : il a été accepté de ne pas créer de site secondaire pour des raisons de coûts. Cependant, en cas de sinistre majeur dans la salle informatique principale, trois applications critiques doivent pouvoir repartir en moins de 72 heures (ERP/CRM, messagerie, comptabilité).
Conception des processus
Selon les résultats de l’analyse des risques et des mesures de réduction des risques, cette étape permet de concevoir les mesures organisationnelles et techniques à mettre en œuvre dans chacun des services métier concernés.
Exemples de processus :
- Sauvegarde externalisée : identification des données à externaliser selon les niveaux de services définis (SLA), choix de l’hébergeur, choix du logiciel de sauvegarde, définition des scénarios de test et de restauration, formation du personnel informatique. La règle de sauvegarde de référence en 2026 est la 3-2-1-1-0 : 3 copies, 2 supports, 1 hors site, 1 immuable, 0 erreur vérifiée.
- Hébergement des trois applications critiques : méthodologie, accès distants, réhydratation des données, test, formation du personnel informatique.
R · Réalisation
Cette phase est l’implémentation des processus définis en phase de conception. Exemple avec la technologie Veeam, qui permet de répliquer les machines virtuelles on-premise au sein du datacenter de l’hébergeur et de créer le repository hébergeant les sauvegardes des données.
En 2026, la conception doit explicitement prévoir l’immutabilité des sauvegardes : selon Veeam, 96 % des attaques par rançongiciel ciblent les référentiels de sauvegarde. L’immutabilité (Object Lock, snapshots WORM) ou l’air-gap physique deviennent des prérequis pour passer un audit NIS2.
C · Contrôle
Cette phase concerne tout ce qui permet d’améliorer la résilience : tests réguliers, revues de conception, retours d’expérience, mesures d’indicateurs de satisfaction, identification des modifications applicatives, tableaux de bord.
Exemple : test de bascule durant un week-end, accès distant via un client léger, test de bascule on-premise, mesures des temps d’accès.
Le ReCyF (objectif 15) impose désormais des exercices réguliers, documentés et améliorés en continu. La pratique de référence en 2026 prévoit un test partiel trimestriel par périmètre et un test complet annuel en conditions réelles. La conformité devient traçable et auditable.
I · Information
Cette dernière phase est fondamentale car elle permet de mettre à niveau l’ensemble des interlocuteurs de l’entreprise : collaborateurs, clients, Direction, actionnaires, fournisseurs, assureurs. Elle a pour vocation de démontrer la maîtrise de la résilience d’entreprise et donc de rassurer tout un écosystème. Elle s’inscrit dans le processus de communication ad hoc.
En 2026, NIS2 impose une notification d’incident à l’ANSSI sous 24 heures pour les entités essentielles. La phase Information doit donc être structurée en amont pour respecter ce délai en cas de crise réelle.
M.E.R.C.I face à NIS2 et au ReCyF de l’ANSSI
La méthode M.E.R.C.I anticipe naturellement les exigences du Référentiel Cyber France. Voici comment chaque étape contribue à la conformité.
Cette correspondance fait de M.E.R.C.I un cadre méthodologique compatible avec la norme ISO 22301 (continuité d’activité) et avec les attendus de NIS2. Pour les entités essentielles soumises à audit, la documentation produite à chaque étape (RAR désigné, analyse EBIOS RM, processus formalisés, comptes-rendus de tests, plan de communication) constitue les preuves attendues par l’ANSSI.
Plan de reprise externalisé avec Veeam et adista
adista s’appuie sur Veeam Cloud Connect pour proposer un Plan de Reprise externalisé, managé par ses experts (Disaster Recovery as a Service, DRaaS). Deux solutions packagées répondent aux enjeux des entreprises soumises à NIS2.
Garantir la reprise du SI
- Stockage des données sur un datacenter souverain français
- Disponibilité 99,90 %
- Licence Veeam Cloud Connect pour Backup Copy ou serveur déclaré
- Ressources vServer par gabarit
- Allocation volume par To
- Assistance au déclenchement en réel H24
Sécuriser la survie de votre entreprise
- Stockage des données sur un datacenter souverain français
- Disponibilité 99,90 %
- Licence Veeam Cloud Connect pour Backup Copy ou serveur déclaré
- Ressources vServer par gabarit
- Allocation volume par To
- EDR managé sur serveurs on-premise
- Contrôle des jobs de réplication
- Test de déclenchement annuel
- Assistance au déclenchement en réel H24
Pour approfondir la construction d’un PRA (BIA, RTO/RPO, DRaaS, gestion de crise), consultez notre guide complet du plan de reprise d’activité informatique.
Pourquoi choisir adista pour votre PRA ?
- Certification ISO 27001
- Un réseau unique de 16 datacenters de proximité en France
- Support 24/7 en France métropolitaine
- Infrastructures à l’état de l’art, redondées et résilientes
- PRA sur mesure
- Certification HDS (Hébergeur de Données de Santé)
- Propriétaire de son backbone
- Plus hauts niveaux d’expertise sur les meilleures technologies (Gold Partner Dell, Veeam VAR Gold et Cloud & Service Provider Platinum, Nutanix Professional, VMware Cloud Service Provider, Cisco Premier Partner)
FAQ
La méthode M.E.R.C.I est un cadre méthodologique en 5 étapes (Management, Élaboration, Réalisation, Contrôle, Information) destiné à structurer la résilience d’une entreprise face aux incidents cyber et opérationnels. Elle permet de couvrir l’ensemble du cycle de la résilience, de la gouvernance jusqu’à la communication post-incident, et s’aligne avec les exigences NIS2 et du ReCyF de l’ANSSI.
Le Référentiel Cyber France (ReCyF) est le cadre publié par l’ANSSI le 17 mars 2026 pour traduire les obligations de la directive NIS2. Il définit 20 objectifs de sécurité dont trois portent directement sur la résilience : continuité et reprise d’activité (objectif 13), réaction aux crises cyber (objectif 14) et exercices réguliers (objectif 15). Les entités essentielles doivent désormais démontrer leur conformité, pas simplement la déclarer.
Le RAR (Responsable des Activités Résilientes) est la personne désignée pour piloter la résilience de l’entreprise. Il doit posséder une bonne connaissance des activités métiers et coordonner les équipes opérationnelles, qualité, informatique et prestataires externes. Son rôle est désormais incontournable pour répondre aux exigences de gouvernance de NIS2, qui engage la responsabilité personnelle des dirigeants.
Chaque étape de la méthode M.E.R.C.I correspond à un ou plusieurs objectifs du ReCyF de l’ANSSI : la gouvernance (Management), l’analyse de risques avec EBIOS RM (Élaboration), la mise en œuvre technique du PCA et du PRA (Réalisation), les tests et exercices réguliers (Contrôle), la notification d’incident sous 24 heures (Information). En suivant cette méthode, une entreprise produit naturellement les preuves attendues lors d’un audit NIS2.


