Architecture & souveraineté

Stack technique

L'infrastructure de Singulr repose intégralement sur des composants libres documentés et auditables. Aucune dépendance à un éditeur propriétaire, aucune extension fermée, aucun verrouillage technique.

Moteur de forge

Forgejo 15.x LTS, sous licence GPL v3+. Forgejo est un fork communautaire de Gitea, maintenu par Codeberg e.V. (Allemagne), avec une gouvernance ouverte et une feuille de route publique.

Base de données

PostgreSQL 17, sous licence PostgreSQL (équivalent BSD).

Reverse proxy & TLS

Caddy 2, sous licence Apache 2.0. Certificats Let's Encrypt renouvelés automatiquement. HTTP/2 et HTTP/3 actifs.

Système d'exploitation hôte

Ubuntu 26.04 LTS, mises à jour de sécurité non-attendues activées.

Conteneurisation

Docker Compose pour l'orchestration des services applicatifs. Données persistantes sur volumes dédiés, intégralement sauvegardées et reconstructibles.

L'intégralité de la stack peut être reproduite à l'identique sur une infrastructure tierce. Aucun composant n'est propriétaire à Singulr.

Inscription dans la fédération souveraine européenne

Le secteur public européen bâtit déjà ses forges souveraines, sur des socles libres divers :

• code.overheid.nl (Pays-Bas), soft launch avril 2026, pour les administrations néerlandaises — sur Forgejo ;
• opencode.de (Allemagne), pour le secteur public allemand — sur GitLab (ZenDiS) ;
• code.europa.eu (Union européenne), pour les institutions de l'Union — sur GitLab.

Des moteurs Git différents (Forgejo, GitLab), une même exigence : un code hébergé sous juridiction européenne et sous contrôle. Singulr a fait le choix de Forgejo (fork communautaire de Gitea sous licence GPL v3+, soutenu par Codeberg e.V.) et opère ce socle pour les organisations privées, associatives et locales que ces dispositifs publics ne couvrent pas. La souveraineté se définit par la juridiction et le contrôle, pas par le choix d'un moteur Git précis.

Hébergement physique

Les serveurs de production de Singulr sont hébergés en Belgique, chez Behostings (Diogenius SPRL), dans les datacenters InterXion BRU1 (Zaventem) et BRU3 (Nossegem), en région bruxelloise.

Le choix d'un hébergeur belge n'est pas anecdotique. Il garantit que les machines physiques sur lesquelles tournent les services Singulr sont soumises au droit belge et au droit européen, sans application extraterritoriale d'un droit tiers.

Sauvegardes

Les sauvegardes quotidiennes sont chiffrées côté client avec restic (AES-256), puis stockées sur un Storage Box Hetzner situé en Allemagne (datacenter Falkenstein). La clé de déchiffrement reste sous le contrôle exclusif de Singulr. Hetzner, en tant que stockage froid, n'a aucun accès aux données en clair.

Politique de rétention : 7 sauvegardes quotidiennes, 4 hebdomadaires, 12 mensuelles. Restaurations testées périodiquement.

Surveillance

La disponibilité des services est surveillée depuis l'Union européenne par Better Stack (Tchéquie). Les sondes contrôlent les domaines de production toutes les trois minutes. Les alertes sont notifiées par e-mail et notification mobile.

Souveraineté de droit

Entité juridique

Singulr est une marque de Singulr ASBL, association sans but lucratif de droit belge régie par le Code des sociétés et des associations du 23 mars 2019, dont le siège social est établi Avenue Louise 231, 1050 Bruxelles, Belgique.

Les accès et contrats sont conclus avec Singulr ASBL, sous droit belge, avec attribution de juridiction aux tribunaux de l'arrondissement judiciaire de Bruxelles.

Données personnelles

Le traitement des données personnelles est régi par le Règlement général sur la protection des données (UE 2016/679) et la loi belge du 30 juillet 2018. La politique de confidentialité détaille les traitements effectués, les bases légales, les durées de conservation et les droits exerçables.

Sous-traitants nominatifs

Singulr fait appel à un nombre restreint de sous-traitants, tous établis dans l'Union européenne :

• Behostings (Diogenius SPRL), Belgique — hébergement des serveurs de production.
• Hetzner Online GmbH, Allemagne — stockage des sauvegardes chiffrées côté client.
• Better Stack (Better Stack Hosting s.r.o.), Tchéquie — surveillance externe de disponibilité.
• Brevo (Sendinblue SA), France — e-mails transactionnels (réinitialisations de mot de passe, notifications).

Absence d'extraterritorialité

Singulr n'est soumis qu'au droit belge et européen. Les éventuelles demandes d'autorités étrangères sont traitées selon les procédures de coopération judiciaire prévues par ce cadre.

Sécurité opérationnelle

Transport

Tout le trafic entrant est chiffré en TLS 1.2 ou 1.3. HSTS activé avec max-age=63072000 (deux ans) et includeSubDomains. Aucun port non chiffré n'est exposé.

Authentification & protection des accès

Authentification par mot de passe avec hachage moderne (bcrypt). Clés SSH supportées pour l'accès aux dépôts Git. Tentatives d'authentification échouées surveillées par fail2ban avec bannissement automatique au-delà d'un seuil paramétré.

En-têtes de réponse

Les en-têtes HTTP de sécurité standards sont appliqués : Strict-Transport-Security, X-Content-Type-Options: nosniff, X-Frame-Options: SAMEORIGIN, Referrer-Policy: strict-origin-when-cross-origin, Permissions-Policy restrictive. L'en-tête Server est masqué.

Mises à jour

Le système d'exploitation hôte applique automatiquement les mises à jour de sécurité non-attendues. Les versions de Forgejo, PostgreSQL et Caddy sont suivies activement, avec déploiement des correctifs de sécurité dans des délais documentés dans le SLA applicable au plan souscrit.

Continuité

La continuité de service repose sur trois couches indépendantes :

1. Sauvegardes quotidiennes chiffrées, stockées sur un fournisseur distinct du fournisseur d'hébergement primaire (Hetzner Allemagne vs Behostings Belgique), avec rétention multi-paliers.
2. Surveillance externe de la disponibilité applicative depuis un fournisseur tiers (Better Stack), indépendant des deux précédents, avec alertes en temps réel.
3. Procédure de restauration documentée, testée, permettant la reconstruction complète d'un service Singulr sur une infrastructure neuve à partir des sauvegardes seules.

En cas de défaillance du fournisseur d'hébergement primaire, le service peut être reconstruit chez un fournisseur belge ou européen tiers à partir des sauvegardes, sans dépendance à un éditeur logiciel propriétaire.

Ce que Singulr ne propose pas actuellement

Par honnêteté envers les organisations qui évaluent la solution, voici les fonctionnalités qui ne sont pas intégrées au périmètre Singulr à la date de publication de cette page :

• Pas de service d'intégration et de déploiement continus (CI/CD) intégré. Forgejo Actions est disponible mais nécessite un runner dédié, non inclus par défaut dans les plans Cloud.
• Pas de registre Docker ou OCI hébergé.
• Pas de service de gestion de paquets (npm, Maven, PyPI) hébergé.
• Pas de chiffrement côté client des dépôts Git eux-mêmes. Le chiffrement TLS protège le transport ; le chiffrement AES-256 protège les sauvegardes. Les dépôts au repos sur le serveur primaire ne sont pas chiffrés côté Singulr (ils peuvent l'être au niveau disque selon la configuration de l'hébergeur).
• Pas de SLA contractuel sur les plans gratuits ou d'évaluation. Les SLA sont attachés aux plans payants.

Ces points peuvent évoluer. Singulr préfère ne pas annoncer de feuille de route spéculative, et documenter chaque ajout au moment de sa mise en production.

Écosystème souverain européen

Singulr couvre la brique forge Git. Une infrastructure complète demande d'autres briques : base de données managée, stockage objet, calcul, CDN, observabilité, email transactionnel. Des fournisseurs souverains européens existent pour chacune de ces briques.

Cette liste documente, à la date de publication, qu'une stack 100 % souveraine européenne est techniquement constituable aujourd'hui. Singulr ne revend ni n'opère ces services et n'a aucun lien commercial avec ces fournisseurs.

Bases de données managées et calcul

Scaleway (SAS française, Paris), Clever Cloud (SAS française, Nantes), OVHcloud (SAS française, Roubaix).

Stockage, serveurs et infrastructure

Hetzner (GmbH allemande, Gunzenhausen, datacenters Allemagne et Finlande), Infomaniak (SA suisse, Genève, contrôle transféré le 13 mai 2026 à une fondation d'utilité publique de droit suisse pour garantir l'incessibilité).

Email transactionnel et marketing

Brevo (SAS française, Paris), Mailjet (SAS française, Paris).

Le critère retenu pour cette liste : siège social en Europe (UE ou Suisse), juridiction européenne applicable aux contrats, infrastructure physique localisée en Europe. Les solutions opérant par-dessus une infrastructure hyperscaler américaine (AWS, GCP, Azure) ne figurent pas ici, leur statut au regard du CLOUD Act et du FISA 702 n'étant pas équivalent.

Contact technique

Les questions techniques liées à l'architecture, aux engagements de sécurité, ou aux modalités de migration depuis un fournisseur tiers peuvent être adressées à contact@singulr.be.

Un appel technique de cadrage peut être organisé sur demande, sans engagement.

← Retour à la forge · Candidater à la bêta →