Pratiques de sécurité
Avant-propos
Chez Forward Email, la sécurité est notre priorité absolue. Nous avons mis en place des mesures de sécurité complètes pour protéger vos communications par e-mail et vos données personnelles. Ce document décrit nos pratiques de sécurité et les mesures que nous prenons pour garantir la confidentialité, l'intégrité et la disponibilité de vos e-mails.
Sécurité des infrastructures
Centres de données sécurisés
Notre infrastructure est hébergée dans des centres de données conformes à la norme SOC 2 avec :
- Sécurité physique et surveillance 24h/24 et 7j/7
- Contrôles d'accès biométriques
- Systèmes d'alimentation redondants
- Détection et suppression avancées des incendies
- Surveillance environnementale
Sécurité du réseau
Nous mettons en œuvre plusieurs couches de sécurité réseau :
- Pare-feu de niveau entreprise avec listes de contrôle d'accès strictes
- Protection et atténuation des attaques DDoS
- Analyse régulière des vulnérabilités du réseau
- Systèmes de détection et de prévention des intrusions
- Cryptage du trafic entre tous les points de terminaison de service
- Protection par analyse des ports avec blocage automatique des activités suspectes
[!IMPORTANT] Toutes les données en transit sont chiffrées à l'aide du protocole TLS 1.2+ et de suites de chiffrement modernes.
Sécurité des e-mails
Cryptage
- Sécurité de la couche de transport (TLS):Tout le trafic de courrier électronique est chiffré en transit à l'aide de TLS 1.2 ou supérieur
- Chiffrement de bout en bout: Prise en charge des normes OpenPGP/MIME et S/MIME
- Cryptage du stockage:Tous les e-mails stockés sont chiffrés au repos à l'aide du chiffrement ChaCha20-Poly1305 dans les fichiers SQLite
- Cryptage complet du disque: Cryptage LUKS v2 pour l'ensemble du disque
- Protection complète:Nous mettons en œuvre le chiffrement au repos, le chiffrement en mémoire et le chiffrement en transit
[!NOTE] Nous sommes le premier et le seul service de messagerie au monde à utiliser des boîtes aux lettres SQLite résistantes aux attaques quantiques et chiffrées individuellement.
Authentification et autorisation
- Signature DKIM:Tous les e-mails sortants sont signés avec DKIM
- SPF et DMARC: Prise en charge complète de SPF et DMARC pour empêcher l'usurpation d'adresse e-mail
- MTA-STS: Prise en charge de MTA-STS pour appliquer le chiffrement TLS
- Authentification multifacteur:Disponible pour tous les accès aux comptes
Mesures anti-abus
- Filtrage anti-spam: Détection de spam multicouche avec apprentissage automatique
- Analyse antivirus:Analyse en temps réel de toutes les pièces jointes
- Limitation du débit: Protection contre les attaques par force brute et par énumération
- Réputation IP: Surveillance de la réputation IP d'envoi
- Filtrage de contenu: Détection d'URL malveillantes et de tentatives de phishing
Protection des données
Minimisation des données
Nous suivons le principe de minimisation des données :
- Nous collectons uniquement les données nécessaires à la fourniture de notre service
- Le contenu des e-mails est traité en mémoire et n'est pas stocké de manière persistante, sauf si cela est nécessaire pour la livraison IMAP/POP3.
- Les journaux sont anonymisés et conservés uniquement aussi longtemps que nécessaire
Sauvegarde et récupération
- Sauvegardes quotidiennes automatisées avec cryptage
- Stockage de sauvegarde distribué géographiquement
- Tests réguliers de restauration de sauvegarde
- Procédures de reprise après sinistre avec RPO et RTO définis
Fournisseurs de services
Nous sélectionnons soigneusement nos prestataires de services afin de garantir qu'ils répondent à nos normes de sécurité élevées. Voici la liste des prestataires que nous utilisons pour les transferts internationaux de données et leur conformité au RGPD :
| Fournisseur | But | Certifié DPF | Page de conformité RGPD |
|---|---|---|---|
| Flare nuageuse | CDN, protection DDoS, DNS | ✅ Oui | RGPD de Cloudflare |
| Paquet de données | Infrastructure du serveur | ❌ Non | Confidentialité des paquets de données |
| Océan numérique | Infrastructure cloud | ❌ Non | DigitalOcean RGPD |
| Vultr | Infrastructure cloud | ❌ Non | Vultr RGPD |
| Bande | Traitement des paiements | ✅ Oui | Centre de confidentialité Stripe |
| Pay Pal | Traitement des paiements | ❌ Non | Confidentialité de PayPal |
Nous faisons appel à ces prestataires afin de garantir une prestation de services fiable et sécurisée, tout en respectant les réglementations internationales en matière de protection des données. Tous les transferts de données sont effectués avec les garanties appropriées pour protéger vos informations personnelles.
Conformité et audit
Évaluations de sécurité régulières
Notre équipe surveille, examine et évalue régulièrement le code source, les serveurs, l'infrastructure et les pratiques. Nous mettons en œuvre un programme de sécurité complet comprenant :
- Rotation régulière des clés SSH
- Surveillance continue des journaux d'accès
- Analyse de sécurité automatisée
- Gestion proactive des vulnérabilités
- Formation régulière en matière de sécurité pour tous les membres de l'équipe
Conformité
- GDPR pratiques de traitement des données conformes
- Accord de traitement des données (ATD) disponible pour les clients professionnels
- Contrôles de confidentialité conformes au CCPA
- Processus audités SOC 2 Type II
Réponse aux incidents
Notre plan de réponse aux incidents de sécurité comprend :
- Détection:Systèmes automatisés de surveillance et d'alerte
- Endiguement: Isolement immédiat des systèmes affectés
- Éradication:Suppression de la menace et analyse des causes profondes
- Récupération: Restauration sécurisée des services
- Notification: Communication rapide avec les utilisateurs concernés
- Analyse post-incident: Examen complet et amélioration
[!AVERTISSEMENT] Si vous découvrez une faille de sécurité, veuillez la signaler immédiatement à security@forwardemail.net.
Cycle de vie du développement de la sécurité
flowchart LR
A[Requirements] --> B[Design]
B --> C[Implementation]
C --> D[Verification]
D --> E[Release]
E --> F[Maintenance]
F --> A
B -.-> G[Threat Modeling]
C -.-> H[Static Analysis]
D -.-> I[Security Testing]
E -.-> J[Final Security Review]
F -.-> K[Vulnerability Management]
Tout le code subit :
- Collecte des exigences de sécurité
- Modélisation des menaces lors de la conception
- Pratiques de codage sécurisées
- Tests de sécurité des applications statiques et dynamiques
- Revue de code axée sur la sécurité
- Analyse des vulnérabilités des dépendances
Renforcement du serveur
Notre Configuration d'Ansible met en œuvre de nombreuses mesures de renforcement du serveur :
- Accès USB désactivé: Les ports physiques sont désactivés en mettant sur liste noire le module du noyau usb-storage
- Règles de pare-feu: Règles iptables strictes autorisant uniquement les connexions nécessaires
- Renforcement SSH: Authentification par clé uniquement, connexion sans mot de passe, connexion root désactivée
- Isolation des services: Chaque service s'exécute avec les privilèges minimaux requis
- Mises à jour automatiques:Les correctifs de sécurité sont appliqués automatiquement
- Démarrage sécurisé: Processus de démarrage vérifié pour éviter toute falsification
- Durcissement du noyau: Paramètres du noyau sécurisés et configurations sysctl
- Restrictions du système de fichiers: options de montage noexec, nosuid et nodev le cas échéant
- Vidages de mémoire désactivés:Système configuré pour empêcher les vidages de mémoire pour des raisons de sécurité
- Swap désactivé: Mémoire d'échange désactivée pour éviter les fuites de données
- Protection contre l'analyse des ports: Détection et blocage automatisés des tentatives d'analyse des ports
- Pages géantes transparentes désactivées: THP désactivé pour améliorer les performances et la sécurité
- Renforcement des services système:Services non essentiels comme Apport handicapés
- Gestion des utilisateurs:Principe du moindre privilège avec des utilisateurs de déploiement et de développement distincts
- Limites des descripteurs de fichiers: Des limites augmentées pour de meilleures performances et une meilleure sécurité
Accord de niveau de service
Nous maintenons un niveau élevé de disponibilité et de fiabilité de service. Notre infrastructure est conçue pour la redondance et la tolérance aux pannes afin de garantir le bon fonctionnement de votre service de messagerie. Bien que nous ne publiions pas de contrat de niveau de service (SLA) officiel, nous nous engageons à :
- 99,9 %+ de disponibilité pour tous les services
- Réponse rapide aux interruptions de service
- Communication transparente lors d'incidents
- Entretien régulier pendant les périodes de faible trafic
Sécurité Open Source
En tant que service open source, notre sécurité bénéficie de :
- Code transparent pouvant être audité par n'importe qui
- Améliorations de la sécurité pilotées par la communauté
- Identification et correction rapides des vulnérabilités
- Pas de sécurité dans l'obscurité
Sécurité des employés
- Vérification des antécédents de tous les employés
- Formation de sensibilisation à la sécurité
- Principe de l'accès au moindre privilège
- Éducation régulière en matière de sécurité
Amélioration continue
Nous améliorons continuellement notre posture de sécurité grâce à :
- Surveillance des tendances en matière de sécurité et des menaces émergentes
- Examen et mises à jour réguliers des politiques de sécurité
- Commentaires des chercheurs et des utilisateurs en sécurité
- Participation à la communauté de sécurité
Pour plus d'informations sur nos pratiques de sécurité ou pour signaler des problèmes de sécurité, veuillez contacter security@forwardemail.net.