Forward Email : Votre solution de transfert d’e-mails conforme à la Section 889

Service de messagerie gouvernementale fédérale conforme à la Section 889

Avant-propos

Chez Forward Email, nous croyons en un transfert d’e-mails simple, sécurisé et privé pour tous. Nous savons que pour de nombreuses organisations, en particulier celles travaillant avec le gouvernement américain, la conformité n’est pas qu’un mot à la mode – c’est une nécessité. Assurer le respect des réglementations fédérales pour les e-mails est crucial. C’est pourquoi nous sommes fiers de confirmer que notre service de transfert d’e-mails sécurisé est conçu pour répondre aux exigences fédérales strictes, y compris la Section 889 de la Loi sur l’autorisation de la défense nationale (NDAA).

Notre engagement envers la conformité des e-mails gouvernementaux a récemment été mis en pratique lorsque l’Académie navale des États-Unis a contacté Forward Email. Ils avaient besoin de services de transfert d’e-mails sécurisé et d’une documentation confirmant notre respect des réglementations fédérales, y compris la conformité à la Section 889. Cette expérience constitue une étude de cas précieuse, démontrant notre préparation et notre capacité à soutenir les organisations financées par le gouvernement et à répondre à leurs exigences strictes. Cette dévotion s’étend à tous nos utilisateurs recherchant une solution d’e-mail axée sur la confidentialité fiable.

Comprendre la conformité à la Section 889

Qu’est-ce que la Section 889 ? En termes simples, c’est une loi fédérale américaine qui interdit aux agences gouvernementales d’utiliser ou de contracter avec des entités qui utilisent certains équipements ou services de télécommunications et de vidéosurveillance provenant de sociétés spécifiques (comme Huawei, ZTE, Hikvision, Dahua et Hytera). Cette règle, souvent associée à l’interdiction de Huawei et à l’interdiction de ZTE, aide à protéger la sécurité nationale.

Note

La Section 889 cible spécifiquement les équipements et services de Huawei, ZTE, Hytera, Hikvision et Dahua, y compris leurs filiales et affiliés.

Pour un service de transfert d’e-mails pour contrats gouvernementaux comme Forward Email, cela signifie s’assurer qu’aucun de nos fournisseurs d’infrastructure sous-jacents n’utilise cet équipement interdit, ce qui fait de nous un service conforme à la Section 889.

Comment Forward Email atteint la conformité à la Section 889

Alors, comment Forward Email est-il conforme à la Section 889 ? Nous y parvenons grâce à une sélection rigoureuse de nos partenaires d’infrastructure. Forward Email s’appuie exclusivement sur deux fournisseurs clés pour son infrastructure conforme à la Section 889 :

Cloudflare: Notre partenaire principal pour les services réseau et la sécurité des e-mails Cloudflare.
DataPacket: Notre fournisseur principal pour l’infrastructure serveur (nous utilisons Digital Ocean et/ou Vultr pour la bascule et nous passerons bientôt exclusivement à DataPacket – bien sûr, nous avons confirmé la conformité à la Section 889 par écrit auprès de ces deux fournisseurs de bascule).

Important

Notre dépendance exclusive à Cloudflare et DataPacket, qui n’utilisent aucun équipement interdit par la Section 889, est la pierre angulaire de notre conformité. Les deux Cloudflare et DataPacket s'engagent à respecter des normes de sécurité élevées et n'utilisent pas d'équipements interdits en vertu de la Section 889. Utiliser Cloudflare et DataPacket pour la conformité à la Section 889 est fondamental pour notre service.

Engagement de Cloudflare

Cloudflare aborde explicitement la conformité à la Section 889 dans leur Code de conduite des tiers. Ils déclarent :

« En vertu de la Section 889 de la Loi sur l'autorisation de la défense nationale (NDAA), Cloudflare n'utilise pas, ni ne permet dans sa chaîne d'approvisionnement, des équipements de télécommunications, des produits de vidéosurveillance ou des services produits ou fournis par Huawei Technologies Company, ZTE Corporation, Hytera Communications Corporation, Hangzhou Hikvision Digital Technology Company, ou Dahua Technology Company (ou toute filiale ou affiliée de ces entités). »

(Source : Code de conduite des tiers de Cloudflare, consulté le 29 avril 2025)

Cette déclaration claire confirme que l'infrastructure de Cloudflare, sur laquelle s'appuie Forward Email, respecte les exigences de la Section 889.

Infrastructure de DataPacket

DataPacket, notre fournisseur de serveurs, utilise exclusivement des équipements réseau de Arista Networks et Cisco. Ni Arista ni Cisco ne figurent parmi les entreprises interdites par la Section 889. Ce sont des fournisseurs établis, largement utilisés dans des environnements d'entreprise et gouvernementaux sécurisés, connus pour respecter des normes strictes de sécurité et de conformité.

En utilisant uniquement Cloudflare et DataPacket, Forward Email garantit que toute sa chaîne de prestation de service est exempte d'équipements interdits par la Section 889, offrant ainsi un transfert d'e-mails sécurisé pour les agences fédérales et autres utilisateurs soucieux de la sécurité.

Au-delà de la Section 889 : Conformité gouvernementale plus large

Notre engagement envers la sécurité et la conformité des e-mails gouvernementaux va au-delà de la Section 889. Bien que Forward Email ne traite ni ne stocke directement des données gouvernementales sensibles telles que les Informations non classifiées contrôlées (CUI) de la même manière qu'une grande plateforme SaaS pourrait le faire, notre architecture open-source de transfert d'e-mails et notre dépendance à des fournisseurs sécurisés et conformes s'alignent sur les principes d'autres réglementations clés :

FAR (Federal Acquisition Regulation) : En utilisant une infrastructure conforme et en offrant un service commercial simple, nous fournissons des principes de transfert d'e-mails conformes au FAR adaptés aux contractants gouvernementaux.
Loi sur la protection de la vie privée & FISMA : Nous sommes axés sur la confidentialité par conception, offrant des principes d'e-mails conformes à la Loi sur la protection de la vie privée. Nous ne stockons pas vos e-mails. Les e-mails sont transférés directement, minimisant la gestion des données. Nos fournisseurs d'infrastructure (Cloudflare, DataPacket) gèrent leurs systèmes selon des normes de sécurité élevées cohérentes avec les principes d'e-mails conformes à la FISMA.
HIPAA : Pour les organisations nécessitant un transfert d'e-mails conforme à la HIPAA, Forward Email peut faire partie d'une solution conforme. Puisque nous ne stockons pas les e-mails, la responsabilité principale de conformité incombe aux systèmes de messagerie des points finaux. Cependant, notre couche de transport sécurisée prend en charge les exigences HIPAA lorsqu'elle est utilisée correctement.

Warning

Un Accord de partenariat commercial (BAA) pourrait être nécessaire avec votre fournisseur final de messagerie, et non avec Forward Email lui-même, car nous ne stockons pas le contenu de vos e-mails (sauf si vous utilisez notre couche de stockage IMAP/POP3 chiffrée).

Notre voie à suivre : élargir les horizons de conformité

Bien que notre conformité à la Section 889 constitue une base cruciale, notamment pour les entrepreneurs fédéraux, nous comprenons que différentes organisations et agences gouvernementales ont des besoins réglementaires divers et en évolution. Chez Forward Email, la transparence est essentielle, et nous souhaitons partager notre point de vue sur le paysage plus large de la conformité et notre orientation future.

Nous reconnaissons l'importance des cadres et réglementations tels que :

System for Award Management (SAM): Essentiel pour la passation directe de marchés fédéraux.
FAR (Federal Acquisition Regulation): Incluant des clauses standard comme FAR 52.212-4 pour les services commerciaux.
DFARS (Defense Federal Acquisition Regulation Supplement): En particulier DFARS 252.239-7010 pour les services cloud du DoD.
CMMC (Cybersecurity Maturity Model Certification): Requis pour les entrepreneurs du DoD manipulant des Federal Contract Information (FCI) ou des CUI.
NIST SP 800-171: La base du CMMC Niveau 2, axé sur la protection des CUI. (NIST - Institut national des normes et de la technologie)
FedRAMP (Federal Risk and Authorization Management Program): La norme pour les services cloud utilisés par les agences fédérales.
FISMA (Federal Information Security Modernization Act): Le cadre global pour la sécurité des informations fédérales.
HIPAA (Health Insurance Portability and Accountability Act): Pour la gestion des informations de santé protégées (PHI).
FERPA (Family Educational Rights and Privacy Act): Pour la protection des dossiers scolaires des étudiants.
COPPA (Children's Online Privacy Protection Act): Pour les services destinés aux enfants de moins de 13 ans.

Notre position actuelle et nos objectifs futurs :

Le design central de Forward Email – étant axé sur la confidentialité, open-source, et minimisant la gestion des données (en particulier dans notre service de transfert d’e-mails de base) – s’aligne bien avec les principes derrière nombre de ces réglementations. Nos pratiques de sécurité existantes (chiffrement, support des normes modernes de messagerie) et la conformité à la Section 889 fournissent un point de départ solide.

Cependant, obtenir une certification ou une autorisation formelle pour des cadres comme FedRAMP ou CMMC est une entreprise importante. Cela implique une documentation rigoureuse, la mise en œuvre de contrôles techniques et procéduraux spécifiques (souvent des centaines), des évaluations indépendantes (comme 3PAO pour FedRAMP - Organisation d’évaluation tierce), et une surveillance continue.

Important

La conformité ne concerne pas seulement la technologie ; elle implique des processus documentés, des politiques et une vigilance constante. Obtenir des certifications comme FedRAMP ou CMMC nécessite un investissement et du temps considérables.

Notre engagement :

À mesure que Forward Email grandit et que les besoins de nos clients évoluent, nous nous engageons à explorer et à poursuivre les certifications de conformité pertinentes. Cela inclut des plans pour :

Enregistrement SAM : Pour faciliter l’engagement direct avec les agences fédérales américaines.
Formalisation des processus : Améliorer notre documentation interne et nos procédures pour les aligner sur des normes comme NIST SP 800-171, qui constitue la base du CMMC.
Évaluation des voies FedRAMP : Examiner les exigences et la faisabilité de la poursuite de l’autorisation FedRAMP, probablement en commençant par une base Low ou Moderate, en tirant potentiellement parti du modèle LI-SaaS lorsque cela est applicable.
Soutien aux besoins spécifiques : Répondre aux exigences telles que HIPAA (potentiellement via des BAAs et des configurations spécifiques pour les données stockées) et FERPA (via des termes contractuels et des contrôles appropriés) à mesure que nous collaborons davantage avec les établissements de santé et d’enseignement. Ce parcours nécessite une planification et un investissement minutieux. Bien que nous n'ayons pas de calendriers immédiats pour toutes les certifications, renforcer notre posture de conformité afin de répondre aux besoins des gouvernements et des industries réglementées est une partie clé de notre feuille de route.

Note

Nous croyons que notre nature open-source offre une transparence unique tout au long de ce processus, permettant à notre communauté et à nos clients de voir notre engagement de première main.

Nous continuerons à informer notre communauté à mesure que nous atteindrons des étapes importantes dans notre parcours de conformité.

Pourquoi cela compte pour vous

Choisir un service de transfert d’e-mails conforme à la Section 889 comme Forward Email signifie :

Tranquillité d’esprit : Surtout pour les agences gouvernementales, les sous-traitants et les organisations soucieuses de la sécurité.
Risque réduit : Évite les conflits potentiels avec les réglementations fédérales sur les e-mails.
Confiance : Démontre un engagement envers la sécurité et l’intégrité de la chaîne d’approvisionnement.

Forward Email offre une manière simple, fiable et conforme de gérer vos besoins de transfert d’e-mails pour domaine personnalisé.

Le transfert d’e-mails sécurisé et conforme commence ici

Forward Email s’engage à fournir un service de transfert d’e-mails sécurisé, privé et open-source. Notre conformité à la Section 889, obtenue grâce à notre partenariat avec Cloudflare et DataPacket (reflétant notre travail Forward Email conforme pour l’Académie navale des États-Unis), témoigne de cet engagement. Que vous soyez une entité gouvernementale, un sous-traitant ou que vous valorisiez simplement la sécurité des e-mails gouvernementaux, Forward Email est conçu pour vous.

Prêt pour un transfert d’e-mails sécurisé et conforme ? Inscrivez-vous gratuitement dès aujourd’hui !

Références

Section 889 (NDAA) : https://www.acquisition.gov/Section-889-Policies
Cloudflare : https://www.cloudflare.com/
Code de conduite des tiers de Cloudflare : https://cf-assets.www.cloudflare.com/slt3lc6tev37/284hiWkCYNc49GQpAeBvGN/e137cdac96d1c4cd403c6b525831d284/Third_Party_Code_of_Conduct.pdf
DataPacket : https://datapacket.com/
System for Award Management (SAM) : https://sam.gov/
Federal Acquisition Regulation (FAR) : https://www.acquisition.gov/browse/index/far
FAR 52.212-4 : https://www.acquisition.gov/far/52.212-4
Defense Federal Acquisition Regulation Supplement (DFARS) : https://www.acquisition.gov/dfars
DFARS 252.239-7010 : https://www.acquisition.gov/dfars/252.239-7010-cloud-computing-services.
Cybersecurity Maturity Model Certification (CMMC) : https://dodcio.defense.gov/cmmc/About/
NIST SP 800-171 : https://csrc.nist.gov/pubs/sp/800/171/r3/final
Federal Risk and Authorization Management Program (FedRAMP) : https://www.fedramp.gov/
Federal Information Security Modernization Act (FISMA) : https://www.cisa.gov/topics/cybersecurity-best-practices/fisma
Health Insurance Portability and Accountability Act (HIPAA) : https://www.hhs.gov/hipaa/index.html
Family Educational Rights and Privacy Act (FERPA) : https://studentprivacy.ed.gov/ferpa
Children's Online Privacy Protection Act (COPPA) : https://www.ftc.gov/legal-library/browse/rules/childrens-online-privacy-protection-rule-coppa