Pratiques de sécurité

Avant-propos
Chez Forward Email, la sécurité est notre priorité absolue. Nous avons mis en place des mesures de sécurité complètes pour protéger vos communications par e-mail et vos données personnelles. Ce document décrit nos pratiques de sécurité et les mesures que nous prenons pour garantir la confidentialité, l'intégrité et la disponibilité de vos e-mails.
Sécurité des infrastructures
Centres de données sécurisés
Notre infrastructure est hébergée dans des centres de données conformes à la norme SOC 2 avec :
- Sécurité physique et surveillance 24h/24 et 7j/7
- Contrôles d'accès biométriques
- Systèmes d'alimentation redondants
- Détection et extinction d'incendie avancées
- Surveillance environnementale
Sécurité du réseau
Nous mettons en œuvre plusieurs couches de sécurité réseau :
- Pare-feu d'entreprise avec listes de contrôle d'accès strictes
- Protection et atténuation des attaques DDoS
- Analyse régulière des vulnérabilités du réseau
- Systèmes de détection et de prévention des intrusions
- Chiffrement du trafic entre tous les points de terminaison du service
- Protection par analyse des ports avec blocage automatique des activités suspectes
Important
Toutes les données en transit sont chiffrées à l'aide de TLS 1.2+ et de suites de chiffrement modernes.
Sécurité des e-mails
Chiffrement
- Sécurité de la couche transport (TLS) : Tout le trafic de messagerie est chiffré en transit avec TLS 1.2 ou version ultérieure
- Chiffrement de bout en bout : Prise en charge des normes OpenPGP/MIME et S/MIME
- Chiffrement du stockage : Tous les e-mails stockés sont chiffrés au repos avec le chiffrement ChaCha20-Poly1305 dans les fichiers SQLite
- Chiffrement complet du disque : Chiffrement LUKS v2 pour l'intégralité du disque
- Protection complète : Nous mettons en œuvre le chiffrement au repos, le chiffrement en mémoire et le chiffrement en transit
Note
Nous sommes le premier et le seul service de messagerie au monde à utiliser boîtes aux lettres SQLite résistantes aux quanta et chiffrées individuellement.
Authentification et autorisation
- Signature DKIM : Tous les e-mails sortants sont signés avec DKIM
- SPF et DMARC : Prise en charge complète de SPF et DMARC pour empêcher l'usurpation d'adresse e-mail
- MTA-STS : Prise en charge de MTA-STS pour appliquer le chiffrement TLS
- Authentification multifacteur : Disponible pour tous les accès aux comptes
Mesures anti-abus
- Filtrage du spam : Détection multicouche du spam grâce à l'apprentissage automatique
- Analyse antivirus : Analyse en temps réel de toutes les pièces jointes
- Limitation du débit : Protection contre les attaques par force brute et par énumération
- Réputation IP : Surveillance de la réputation des adresses IP d'envoi
- Filtrage de contenu : Détection des URL malveillantes et des tentatives d'hameçonnage
Protection des données
Minimisation des données
Nous suivons le principe de minimisation des données :
- Nous collectons uniquement les données nécessaires à la fourniture de notre service.
- Le contenu des e-mails est traité en mémoire et non stocké de manière permanente, sauf si nécessaire pour la diffusion IMAP/POP3.
- Les journaux sont anonymisés et conservés uniquement le temps nécessaire.
Sauvegarde et récupération
- Sauvegardes quotidiennes automatisées avec chiffrement
- Stockage de sauvegarde géographiquement réparti
- Tests réguliers de restauration des sauvegardes
- Procédures de reprise après sinistre avec RPO et RTO définis
Fournisseurs de services
Nous sélectionnons soigneusement nos prestataires de services afin de garantir qu'ils répondent à nos normes de sécurité élevées. Voici la liste des prestataires que nous utilisons pour les transferts internationaux de données et leur conformité au RGPD :
Fournisseur | But | Certifié DPF | Page de conformité au RGPD |
---|---|---|---|
Cloudflare | CDN, protection DDoS, DNS | ✅ Oui | Cloudflare GDPR |
DataPacket | Infrastructure du serveur | ❌ Non | DataPacket Privacy |
Digital Ocean | Infrastructure cloud | ❌ Non | DigitalOcean GDPR |
Vultr | Infrastructure cloud | ❌ Non | Vultr GDPR |
Stripe | Traitement des paiements | ✅ Oui | Stripe Privacy Center |
PayPal | Traitement des paiements | ❌ Non | PayPal Privacy |
Nous faisons appel à ces prestataires pour garantir une prestation de services fiable et sécurisée, tout en respectant les réglementations internationales en matière de protection des données. Tous les transferts de données sont effectués avec les garanties appropriées pour protéger vos informations personnelles.
Conformité et audit
Évaluations de sécurité régulières
Notre équipe surveille, examine et évalue régulièrement le code source, les serveurs, l'infrastructure et les pratiques. Nous mettons en œuvre un programme de sécurité complet comprenant :
- Rotation régulière des clés SSH
- Surveillance continue des journaux d'accès
- Analyse de sécurité automatisée
- Gestion proactive des vulnérabilités
- Formation régulière à la sécurité pour tous les membres de l'équipe
Conformité
- Pratiques de traitement des données conformes à GDPR
- Accord de traitement des données (ATD) disponible pour les clients professionnels
- Contrôles de confidentialité conformes à la CCPA
- Processus audités SOC 2 Type II
Réponse aux incidents
Notre plan de réponse aux incidents de sécurité comprend :
- Détection : Systèmes automatisés de surveillance et d'alerte
- Confinement : Isolation immédiate des systèmes affectés
- Éradication : Suppression de la menace et analyse des causes profondes
- Récupération : Restauration sécurisée des services
- Notification : Communication rapide avec les utilisateurs affectés
- Analyse post-incident : Examen complet et amélioration
Warning
Si vous découvrez une faille de sécurité, veuillez la signaler immédiatement à security@forwardemail.net.
Cycle de vie du développement de la sécurité
Tout le code subit :
- Recueil des exigences de sécurité
- Modélisation des menaces lors de la conception
- Pratiques de codage sécurisées
- Tests de sécurité statiques et dynamiques des applications
- Revue de code axée sur la sécurité
- Analyse des vulnérabilités des dépendances
Renforcement du serveur
Notre Configuration d'Ansible implémente de nombreuses mesures de renforcement du serveur :
- Accès USB désactivé : Les ports physiques sont désactivés par la mise sur liste noire du module noyau usb-storage
- Règles de pare-feu : Règles iptables strictes autorisant uniquement les connexions nécessaires
- Renforcement SSH : Authentification par clé uniquement, connexion sans mot de passe, connexion root désactivée
- Isolation des services : Chaque service s'exécute avec les privilèges minimaux requis
- Mises à jour automatiques : Les correctifs de sécurité sont appliqués automatiquement
- Démarrage sécurisé : Processus de démarrage vérifié pour empêcher toute altération
- Renforcement du noyau : Paramètres du noyau et configurations sysctl sécurisés
- Restrictions du système de fichiers : Options de montage noexec, nosuid et nodev, le cas échéant
- Vidages mémoire désactivés : Système configuré pour empêcher les vidages mémoire pour des raisons de sécurité
- Swap désactivé : Mémoire d'échange désactivée pour éviter les fuites de données
- Protection contre l'analyse des ports : Détection et blocage automatiques des tentatives d'analyse des ports
- Transparent Huge Pages désactivées : THP désactivé pour améliorer les performances et Sécurité
- Renforcement des services système : Services non essentiels comme Apport désactivés
- Gestion des utilisateurs : Principe du moindre privilège avec utilisateurs de déploiement et de développement distincts
- Limites des descripteurs de fichiers : Limites accrues pour de meilleures performances et une sécurité accrue
Accord de niveau de service
Nous maintenons un niveau élevé de disponibilité et de fiabilité de nos services. Notre infrastructure est conçue pour la redondance et la tolérance aux pannes afin de garantir le bon fonctionnement de votre service de messagerie. Bien que nous ne publiions pas de contrat de niveau de service (SLA) officiel, nous nous engageons à :
- Disponibilité de plus de 99,9 % pour tous les services
- Réponse rapide aux interruptions de service
- Communication transparente en cas d'incident
- Maintenance régulière pendant les périodes de faible trafic
Sécurité Open Source
En tant que service open source, notre sécurité bénéficie de :
- Code transparent et auditable par tous
- Améliorations de sécurité pilotées par la communauté
- Identification et correction rapides des vulnérabilités
- Pas de sécurité grâce à l'obscurité
Sécurité des employés
- Vérification des antécédents de tous les employés
- Formation à la sensibilisation à la sécurité
- Principe du moindre privilège d'accès
- Formation régulière à la sécurité
Amélioration continue
Nous améliorons continuellement notre posture de sécurité grâce à :
- Suivi des tendances en matière de sécurité et des menaces émergentes
- Examen et mises à jour réguliers des politiques de sécurité
- Retours des chercheurs et des utilisateurs en sécurité
- Participation à la communauté de la sécurité
Pour plus d'informations sur nos pratiques de sécurité ou pour signaler des problèmes de sécurité, veuillez contacter security@forwardemail.net.