Pratiques de Sécurité
Avant-propos
Chez Forward Email, la sécurité est notre priorité absolue. Nous avons mis en place des mesures de sécurité complètes pour protéger vos communications par email et vos données personnelles. Ce document décrit nos pratiques de sécurité et les étapes que nous suivons pour garantir la confidentialité, l'intégrité et la disponibilité de vos emails.
Sécurité de l'Infrastructure
Centres de Données Sécurisés
Notre infrastructure est hébergée dans des centres de données conformes SOC 2 avec :
- Sécurité physique et surveillance 24/7
- Contrôles d'accès biométriques
- Systèmes d'alimentation redondants
- Détection et suppression avancées d'incendie
- Surveillance environnementale
Sécurité Réseau
Nous mettons en œuvre plusieurs couches de sécurité réseau :
- Pare-feux de niveau entreprise avec listes de contrôle d'accès strictes
- Protection et atténuation contre les attaques DDoS
- Analyse régulière des vulnérabilités réseau
- Systèmes de détection et de prévention d'intrusion
- Chiffrement du trafic entre tous les points de service
- Protection contre le scan de ports avec blocage automatique des activités suspectes
Important
Toutes les données en transit sont chiffrées en utilisant TLS 1.2+ avec des suites de chiffrement modernes.
Sécurité des Emails
Chiffrement
- Transport Layer Security (TLS) : Tout le trafic email est chiffré en transit avec TLS 1.2 ou supérieur
- Chiffrement de bout en bout : Support des standards OpenPGP/MIME et S/MIME
- Chiffrement du stockage : Tous les emails stockés sont chiffrés au repos avec le chiffrement ChaCha20-Poly1305 dans des fichiers SQLite
- Chiffrement complet du disque : Chiffrement LUKS v2 pour l'ensemble du disque
- Protection complète : Nous mettons en œuvre le chiffrement au repos, en mémoire et en transit
Note
Nous sommes le premier et unique service email au monde à utiliser des boîtes aux lettres SQLite chiffrées individuellement et résistantes au quantique.
Authentification et Autorisation
- Signature DKIM : Tous les emails sortants sont signés avec DKIM
- SPF et DMARC : Support complet de SPF et DMARC pour prévenir l'usurpation d'email
- MTA-STS : Support de MTA-STS pour appliquer le chiffrement TLS
- Authentification Multi-facteurs : Disponible pour tous les accès aux comptes
Mesures Anti-Abus
- Filtrage Anti-Spam : Détection multi-couches du spam avec apprentissage automatique
- Analyse Antivirus : Analyse en temps réel de toutes les pièces jointes
- Limitation de Débit : Protection contre les attaques par force brute et d'énumération
- Réputation IP : Surveillance de la réputation des IP d'envoi
- Filtrage de Contenu : Détection des URL malveillantes et tentatives de phishing
Protection des Données
Minimisation des Données
Nous suivons le principe de minimisation des données :
- Nous ne collectons que les données nécessaires à la fourniture de notre service
- Le contenu des emails est traité en mémoire et n'est pas stocké de manière persistante sauf si nécessaire pour la livraison IMAP/POP3
- Les journaux sont anonymisés et conservés uniquement aussi longtemps que nécessaire
Sauvegarde et Récupération
- Sauvegardes automatisées quotidiennes avec chiffrement
- Stockage des sauvegardes réparti géographiquement
- Tests réguliers de restauration des sauvegardes
- Procédures de reprise après sinistre avec RPO et RTO définis
Fournisseurs de Services
Nous sélectionnons soigneusement nos fournisseurs de services afin de garantir qu'ils respectent nos normes de sécurité élevées. Voici les fournisseurs que nous utilisons pour le transfert international de données ainsi que leur statut de conformité au RGPD :
| Fournisseur | Usage | Certifié DPF | Page de conformité RGPD |
|---|---|---|---|
| Cloudflare | CDN, protection DDoS, DNS | ✅ Oui | Cloudflare GDPR |
| DataPacket | Infrastructure serveur | ❌ Non | DataPacket Privacy |
| Digital Ocean | Infrastructure cloud | ❌ Non | DigitalOcean GDPR |
| GitHub | Hébergement de code source, CI/CD | ✅ Oui | GitHub GDPR |
| Vultr | Infrastructure cloud | ❌ Non | Vultr GDPR |
| Stripe | Traitement des paiements | ✅ Oui | Stripe Privacy Center |
| PayPal | Traitement des paiements | ❌ Non | PayPal Privacy |
Nous utilisons ces fournisseurs pour garantir une prestation de service fiable et sécurisée tout en respectant les réglementations internationales sur la protection des données. Tous les transferts de données sont effectués avec les mesures de protection appropriées pour sécuriser vos informations personnelles.
Conformité et Audit
Évaluations de Sécurité Régulières
Notre équipe surveille, examine et évalue régulièrement la base de code, les serveurs, l'infrastructure et les pratiques. Nous mettons en œuvre un programme de sécurité complet qui inclut :
- Rotation régulière des clés SSH
- Surveillance continue des journaux d'accès
- Analyse de sécurité automatisée
- Gestion proactive des vulnérabilités
- Formation régulière à la sécurité pour tous les membres de l'équipe
Conformité
- Pratiques de gestion des données conformes au RGPD
- Contrat de traitement des données (DPA) disponible pour les clients professionnels
- Contrôles de confidentialité conformes au CCPA
- Processus audités SOC 2 Type II
Réponse aux Incidents
Notre plan de réponse aux incidents de sécurité comprend :
- Détection : Systèmes automatisés de surveillance et d’alerte
- Confinement : Isolement immédiat des systèmes affectés
- Éradication : Suppression de la menace et analyse des causes profondes
- Récupération : Restauration sécurisée des services
- Notification : Communication rapide avec les utilisateurs concernés
- Analyse post-incident : Revue complète et amélioration
Warning
Si vous découvrez une vulnérabilité de sécurité, veuillez la signaler immédiatement à security@forwardemail.net.
Cycle de Développement Sécurisé
Tout le code subit :
- Collecte des exigences de sécurité
- Modélisation des menaces lors de la conception
- Pratiques de codage sécurisé
- Tests de sécurité des applications statiques et dynamiques
- Revue de code avec un focus sur la sécurité
- Analyse des vulnérabilités des dépendances
Durcissement du serveur
Notre configuration Ansible met en œuvre de nombreuses mesures de durcissement du serveur :
- Accès USB désactivé : Les ports physiques sont désactivés en mettant sur liste noire le module kernel usb-storage
- Règles de pare-feu : Règles iptables strictes autorisant uniquement les connexions nécessaires
- Durcissement SSH : Authentification par clé uniquement, pas de connexion par mot de passe, connexion root désactivée
- Isolation des services : Chaque service fonctionne avec les privilèges minimaux requis
- Mises à jour automatiques : Les correctifs de sécurité sont appliqués automatiquement
- Démarrage sécurisé : Processus de démarrage vérifié pour empêcher toute altération
- Durcissement du kernel : Paramètres kernel sécurisés et configurations sysctl
- Restrictions du système de fichiers : options de montage noexec, nosuid et nodev là où approprié
- Dumps mémoire désactivés : Système configuré pour empêcher les dumps mémoire pour la sécurité
- Swap désactivé : Mémoire swap désactivée pour éviter les fuites de données
- Protection contre le scan de ports : Détection et blocage automatisés des tentatives de scan de ports
- Transparent Huge Pages désactivé : THP désactivé pour améliorer les performances et la sécurité
- Durcissement des services système : Services non essentiels comme Apport désactivés
- Gestion des utilisateurs : Principe du moindre privilège avec des utilisateurs déploy et devops séparés
- Limites des descripteurs de fichiers : Limites augmentées pour de meilleures performances et sécurité
Accord de niveau de service
Nous maintenons un niveau élevé de disponibilité et de fiabilité du service. Notre infrastructure est conçue pour la redondance et la tolérance aux pannes afin d'assurer que votre service de messagerie reste opérationnel. Bien que nous ne publions pas de document SLA formel, nous nous engageons à :
- 99,9 %+ de disponibilité pour tous les services
- Réponse rapide aux interruptions de service
- Communication transparente lors des incidents
- Maintenance régulière pendant les périodes de faible trafic
Sécurité Open Source
En tant que service open-source, notre sécurité bénéficie de :
- Code transparent pouvant être audité par tous
- Améliorations de sécurité pilotées par la communauté
- Identification rapide et correction des vulnérabilités
- Pas de sécurité par l'obscurité
Sécurité des employés
- Vérifications des antécédents pour tous les employés
- Formation à la sensibilisation à la sécurité
- Accès selon le principe du moindre privilège
- Éducation régulière à la sécurité
Amélioration continue
Nous améliorons continuellement notre posture de sécurité grâce à :
- Surveillance des tendances de sécurité et des menaces émergentes
- Revue régulière et mises à jour des politiques de sécurité
- Retours des chercheurs en sécurité et des utilisateurs
- Participation à la communauté de la sécurité
Pour plus d'informations sur nos pratiques de sécurité ou pour signaler des préoccupations de sécurité, veuillez contacter security@forwardemail.net.