Le grimoire du magicien
Notion est une application qui peut être difficile à sécuriser. Je te présente quelques éléments pour améliorer la sécurité le plus possible.
🌘 Une sécurité qui progresse lentement
Notion est une application qui peut être difficile à sécuriser si on ne structure pas son contenu selon la même hiérarchie que je t'ai présentée précédemment.
En ce qui concerne la version gratuite de Notion, il y a assez peu de configuration de sécurité possible. Tous les membres que tu invites ont les mêmes accès que toi, et il y a peu de possibilités de sécuriser les accès au contenu de manière granulaire.
C'était au départ une application de prise de notes personnelle qui a évolué vers une application de gestion de projet, et la sécurité n'a pas suivi comme on pourrait s'y attendre.
Notion n'est pas conçu et n'a pas le niveau de sécurité adéquat pour y entreposer des informations personnelles et confidentielles. Notamment, les données ne sont pas chiffrées sur les serveurs. Ce qui signifie, par exemple, que les employés de Notion peuvent accéder à ton contenu.
Il a fallu attendre la moitié de 2024 pour avoir une double authentification en place, ce qui laisse croire que la sécurité applicative n'est pas dans les priorités de cette entreprise.
🌘 Le partage par liens
Le partage de contenu au niveau gratuit se fait au travers de liens publics qui sont accessibles à n'importe qui l'a obtenu. De plus, ils ne peuvent pas être changés ni révoqués. Une fois que tu partages une page, tu en perds un peu le contrôle.
C'est donc important de garder des traces de tout ce que tu partages et à quel endroit se trouve tes liens. Je te conseille de garder une page dans ton Notion pour y mettre un tableau de tout ce que tu as partagé.
Voici un exemple de tableau:
| Page | Lien créé | Localisation du lien | Parties prenantes qui y ont accès |
|---|---|---|---|
| (mets le lien interne ici) | (mets le lien partagé ici) | (met l'URL de la page où tu as mis le lien, ou dans quel système il se trouve) | (liste ici tous les groupes qui ont accès au lien) |
Le seul moyen d'annuler un lien c'est de supprimer la page et d'en créer une nouvelle. C'est donc important de contrôler les liens que tu crées et, idéalement, d'en tenir un registre séparément !
🌘 Données médicales
Notion n'a pas de certification HIPAA et n'inclus aucune fonctionnalité permettant d'étiqueter le niveau de sensibilité des informations qu'il contient. Il n'inclut aucune capacité de journalisation des accès ni de prévention des fuites de données. Ça en fait donc un outil à éviter pour tout ce qui est de données médicales en particulier, et données personnelles sensibles en général.
🌘 Double authentification
Notion a enfin implanté la double authentification à la mi 2024, sans grande pompe ! C'est une fonctionnalité importante pour toute application susceptible de contenir des données personnelles. Voici comment l'activer:
- Depuis Settings and members, sélectionne My Account, puis 2-step verification
Tu pourras ensuite ajouter un appareil avec Add Authenticator. Par la suite, numérise le code QR et entre le prochain nombre dans la case.
Enregistre les codes de secours qui ont été générés et place-les dans ton répertoire de codes de secours et copie-les dans un champ de texte de ton gestionnaire de mots de passe.
Tu auras ensuite à entrer un 2e nombre pour revenir à l'écran de paramétrage. C'est possible d'ajouter un 2e appareil ou un code par SMS, mais je te conseille plutôt de synchroniser tes codes entre tes appareils si ton application le permet.
🌘 Groupes et utilisateurs
L’application Notion permet de définir des groupes d'utilisateurs. C'est une façon efficace de gérer les permissions. Pour y accéder, il faut avoir la version Plus
Notion permet aussi d'inviter d'autres utilisateurs depuis l'extérieur avec un lien d'invitation. Je t'invite à faire attention au partage de tels liens parce que ça peut amener n'importe qui dans ton espace. C'est préférable d'ajouter les utilisateurs manuellement.
À la page suivante, je te présente le concept de Teamspaces, une manière de gérer du contenu à l'intérieur d'une équipe.
🌘 Teamspaces
Une des particularités de Notion, c'est qu'on peut imbriquer des pages dans d'autres pages, et celles-ci peuvent avoir des niveaux de permission différents. C'est le niveau de permission le plus près de la racine des pages qui est alors utilisé pour la page.
C'est donc important de ne partager du contenu que dans une même hiérarchie. Pour simplifier ce travail, dans la version Business de Notion, il y a une fonctionnalité nommée Teamspaces.
Cette fonctionnalité permet d'avoir un espace Notion complet personnalisé et dédié pour une équipe en particulier. Ce peut-être une approche intéressante, par exemple, pour des projets avec des collaborateurs externes à ton entreprise.
Pour accéder aux Teamspaces, clique sur All teamspaces en haut à gauche
Tu peux ensuite gérer les accès pour ce teamspace comme si c'était un espace Notion à part entière, avec ses propres membres et règles de sécurité.
Il y a deux niveaux d'accès: Propriétaire et membres
Les niveaux d'accès peuvent aussi être raffinés pour prévenir la fuite de données vers l'extérieur de Notion.
Avec ces mesures, tu pourras offrir un environnement davantage sécurité à ton équipe. Note que, pour avoir toutes ces options, tu dois avoir un abonnement plus élevé.
🌘 Intégration avec des services externes
Notion permet des intégrations à des services externes pour y lire et manipuler des données. Ces fonctionnalités sont populaires pour automatiser le marketing, les relations client et pour entretenir les bases de données. Un des enjeux avec les clés API de Notion, c'est qu'elles sont globales et offrent beaucoup de permissions par défaut. C'est donc difficile de restreindre les accès seulement à certaines sections d'un espace de travail.
S'il y a des données confidentielles dans ton Notion, tu dois considérer que tout logiciel qui peut s'y connecter avec une clé API a accès à ces informations. Tu dois donc obtenir le consentement pour utiliser cet outil de la part de toutes les personnes dont tu entreposes des renseignements.
Oui, ça a le potentiel de devenir un cauchemar de gestion. Raison de plus pour limiter les données personnelles dans ce logiciel !
🌘 Sauvegardes
Notion permet d'exporter des sauvegardes complètes d'un espace. Cependant, j'ai eu un retour de plusieurs gros utilisateurs de cette plateforme qui n'ont jamais réussi à exporter leur contenu avec cette fonctionnalité, parce que ça plante avant de compléter.
De plus, j'ai découvert, en expérimentant avec la plateforme, que les sauvegardes produites ne sont pas complètes et que les formats de fichiers produits ne permettent pas de restaurer les sauvegardes facilement. Encore une fois, ici, tu dois considérer que les informations présentes dans Notion ne sont pas sécurisées au niveau de la disponibilité.
Notion présente un concept d'historique pour les pages, mais il est linéaire, ce qui rend difficile la gestion si on fonctionne avec des modèles dupliqués, comme c'est souvent le cas.
Divers fournisseurs offrent un service de sauvegardes pour Notion, qui sont pour l'instant très incomplètes et plutôt coûteuses. Mon opinion à ce sujet est que, si tu as besoin d'un second SaaS pour sauvegarder le contenu d'un premier SaaS, tu ne devrais pas toucher à ça !
🌘 Conclusion
Notion n'est pas un outil facile à utiliser si tu veux avoir de bonnes pratiques de sécurité de l'information, pour diverses raisons. Cependant, si tu dois travailler avec cet outil, cet article te propose diverses façons d'améliorer la sécurité, en particulier au niveau de la gestion des accès.
Consultation Express