Pratiques de sécurité

Contrôle des accès : Notion a activé la journalisation sur l'ensemble des systèmes critiques. Les journaux comprennent les tentatives de connexion et les connexions réussies, l'accès aux applications, les modifications apportées par l'administrateur et les modifications apportées au système. Les journaux sont ingérés par notre solution d'observabilité et de gestion des incidents de sécurité (SIEM) pour l'ingestion des journaux et les capacités de journalisation et d'alerte automatisées.

Sauvegardes activées : Notion est hébergé par AWS et stocke les données des clients en utilisant une combinaison de bases de données. Par défaut, AWS fournit une infrastructure durable pour stocker les données importantes et est conçue pour assurer la durabilité de 99,9 % des objets. Les sauvegardes automatisées de toutes les données des clients et du système sont activées et les données sont sauvegardées au moins une fois par jour. Les sauvegardes sont chiffrées de la même manière que les données de production en temps réel. Elles sont également surveillées et font l'objet d'alertes.

Effacement des données : les clients de Notion sont en charge du contrôle de leurs données. Chaque client est responsable des informations qu'il crée, utilise, stocke, traite et détruit. Les clients de Notion ont la possibilité de demander la suppression des données ou de procéder eux-mêmes à leur suppression, lorsque les données ne sont pas soumises à des exigences réglementaires ou légales en matière de délai de conservation. Pour plus d'informations, consultez notre Politique de confidentialité et l'Addenda relatif au traitement des données.

Chiffrement au repos : les données des clients sont chiffrées au repos à l'aide de la norme AES-256. Les données des clients sont chiffrées lorsqu'elles se trouvent sur les réseaux internes de Notion, au repos dans le stockage sur le cloud, dans les tables de base de données et dans les sauvegardes.

Chiffrement en transit : les données en transit sont chiffrées à l'aide du protocole TLS 1.2 ou d'une version supérieure.

Sécurité physique : Notion utilise Amazon Web Services (AWS) pour héberger notre application et lui confie l'ensemble des contrôles de sécurité physique du centre de données. Pour plus d'informations, consultez les contrôles de sécurité physique d'AWS ici.

Divulgation responsable : Notion maintient un programme de prime aux bugs. Pour plus d'informations, veuillez consulter notre Politique de divulgation responsable.

Analyse de code : les équipes de sécurité et de développement de Notion procèdent à des modélisations des menaces et à des examens de la conception de la sécurité pour les nouvelles versions et les mises à jour. Après la phase d’écriture de code pour les fonctionnalités importantes, nous effectuons des audits de code, des revues de code et des analyses de sécurité pour notre base de code.

Cycle de développement logiciel (SDLC) : Notion utilise un SDLC défini pour s'assurer que le code est écrit en toute sécurité. Au cours de la phase de conception, une modélisation des menaces et des examens de la conception de la sécurité sont effectués pour les nouvelles versions et les mises à jour. Après l’écriture du code pour les fonctionnalités importantes, nous effectuons des audits de code, nous faisons appel à des fournisseurs ou nous procédons à un test de pénétration en interne, et nous effectuons des analyses de sécurité pour notre base de code. Après le lancement, nous organisons des primes de bugs et disposons d'un programme de gestion des vulnérabilités pour résoudre les problèmes de sécurité graves.

Gestion des identifiants : Notion utilise un service tiers de gestion des clés (KMS) qui gère automatiquement la génération des clés, le contrôle des accès, le stockage sécurisé, la sauvegarde et la rotation des clés. Les clés de chiffrement sont attribuées à des rôles spécifiques en fonction du principe de moindre privilège et les clés font l'objet d'une rotation annuelle automatique. L'utilisation des clés est contrôlée et journalisée.

Vulnérabilité et gestion des correctifs : Notion effectue une analyse des vulnérabilités et une surveillance des packages sur tous les hôtes liés à l'infrastructure, ainsi que sur les produits de l'entreprise de façon continue. Les services utilisables par les utilisateurs finaux et internes sont corrigés à intervalles réguliers. Tout problème découvert est priorisé et résolu en fonction de sa gravité dans l'environnement de Notion.

Web Application Firewall (WAF) : tous les points d'accès (endpoints) publics utilisent un Web Application Firewall afin d'empêcher les tentatives d'exploitation des vulnérabilités les plus courantes.

Niveau d’accès aux données : interne (les employés de Notion accéderont à vos données uniquement pour résoudre un problème ou récupérer du contenu en votre nom.)

Dépendance à des tiers : oui. Vous pouvez consulter la liste de nos sous-traitants ici.

Hébergement : Notion est hébergé sur Amazon Web Services (AWS), l'un des principaux fournisseurs de services cloud.

Objectif de délai de rétablissement (Recovery Time Objective) : 2 heures (estimation).

Objectif de point de reprise (Recovery Point Objective) : 24 heures (estimation).

Formation des employés : une formation à la sécurité est obligatoire lors du processus d'intégration des employés. Celle-ci doit être renouvelée chaque année. Les employés doivent également lire et respecter le Code de conduite de Notion et la Politique de sécurité.

Sécurité relative aux RH : Notion vérifie les antécédents des employés lors de leur embauche, conformément aux lois et aux réglementations locales.

Réponse aux incidents : Notion dispose d'un plan de gestion des incidents qui contient des étapes de préparation, d'identification, d'endiguement, d'investigation, d'élimination, de récupération et de suivi/d'analyse à froid, qui est revu et testé au moins une fois par an.

Évaluations internes : des audits internes de sécurité sont réalisés au moins une fois par an chez Notion.

SSO interne : l'authentification multifacteurs (MFA) est obligatoire pour permettre à tous les employés de Notion de se connecter au fournisseur d'identité de Notion.

Accès aux données : en interne, Notion base les accès sur le modèle du moindre privilège. Cela signifie que chaque utilisateur reçoit un accès permettant uniquement de répondre aux besoins métiers et aux nécessités liées à son poste. Des vérifications sont réalisées à intervalles réguliers afin de déterminer si l’accès des différents utilisateurs aux systèmes critiques est toujours justifié.

Journalisation : Notion s’appuie sur un système de gestion des informations et des événements de sécurité (SIEM) pour assurer l’ingestion des journaux et les capacités de journalisation et d’alerte automatisées. Ces journaux sont issus de systèmes critiques. Les règles d’alerte nous permettent de générer des alertes d’événement de sécurité lorsque nécessaire.

Sécurité des mots de passe : Notion impose l’activation de l’authentification multifacteur (MFA) sur tous les systèmes compatibles. Lorsque cette option n’est pas disponible, nous appliquons une politique interne stricte de gestion des mots de passe fixant des critères de complexité et de longueur.

Anti-DDoS : Notion fait appel à des applications tierces pour se protéger des attaques par déni de service (DDoS).

Centre de données : Notion est hébergée sur AWS, qui assure la sécurité physique de ses centres de données. Pour plus d’informations, consultez la documentation d’AWS en matière de sécurité.

Sécurité de l’infrastructure : l’infrastructure de Notion est hébergée dans un environnement sécurisé et entièrement redondant. Les données des clients de Notion sont hébergées par AWS. AWS tient une liste de rapports, de certifications et d’évaluations par des tiers afin de respecter les bonnes pratiques de sécurité. Vous trouverez plus d’informations sur la conformité d’AWS ici.
L’infrastructure AWS est hébergée dans des centres de données gérés par Amazon partout dans le monde. Les centres de données à proprement parler sont soumis à divers contrôles de sécurité physiques qui empêchent tout accès non autorisé. Vous trouverez plus d’informations sur les centres de données d’AWS et leurs contrôles de sécurité ici.

Environnement de production ségrégué : les données des clients ne sont jamais stockées dans des environnements hors production. Les comptes des clients bénéficient d’un espace logique distinct au sein de notre environnement de production. Nous disposons d’environnements de développement, de test et de production distincts.

Chiffrement des disques : les disques des ordinateurs portables de nos employés sont chiffrés pour assurer la protection des données.

Détection et réponse aux menaces : des logiciels de détection sont installés sur tous les points d’accès. Par ailleurs, Notion a déployé de nombreux contrôles de sécurité permettant d’assurer la sécurité des solutions et données des clients. Avec ces contrôles, nous disposons d’une visibilité permanente sur l’activité des points d’accès, nous permettant de détecter toute altération ou menace et d'y répondre rapidement. Nous pouvons aussi journaliser l’activité et faire appliquer des règles.

Gestion des appareils mobiles : les appareils des employés et la configuration de leurs logiciels sont gérés à distance par le service informatique et l’équipe de sécurité à l’aide d’un logiciel de gestion des appareils mobiles.

Détection des menaces : Notion utilise un logiciel de protection des points d’accès tiers pour se prémunir des menaces. Celui-ci détecte les intrusions, malwares et activités malveillantes en lien avec les points d’accès et facilite l’élimination ou le traitement rapide des menaces.

Pare-feu : les réseaux des bureaux de Notion sont équipés d’un pare-feu. Les services réseau accessibles via le réseau étendu ne sont pas hébergés au sein de l’environnement bureautique.

IDS/IPS : Notion associe systèmes IDS/IPS sur réseau et hébergés dans le cadre de son approche de protection globale, permettant de détecter les activités suspectes en analysant à la fois les signatures et les anomalies.

Gestion des informations et des événements de sécurité (SIEM) : Notion utilise une solution SIEM pour gérer les incidents et événements. Notre personnel de sécurité est notifié des événements en temps réel.

Sécurité sans fil : les réseaux sans fil utilisés dans les bureaux de Notion bénéficient d’un chiffrement fort. Notion ne dispose d’aucun réseau sans fil lié aux données des clients ou aux systèmes de production.

Gestion de domaine : le terme « domaine » désigne le domaine de l’adresse e-mail associé à un compte Notion. La vérification de domaine permet aux propriétaires d’espace de travail de revendiquer la propriété d’un domaine, ce qui leur donne accès à des paramètres de gestion de domaine dans Notion.

Authentification unique (SSO) SAML : Notion fournit une fonctionnalité d’authentification unique (aussi appelée Single Sign-On ou SSO) qui permet à nos clients souscrivant à un forfait Business ou Enterprise d’accéder à Notion par le biais d’une source unique.

Provisionnement et révocation SCIM : les espaces de travail Notion sont compatibles avec la norme API SCIM (System for Cross-domain Identity Management).

Journal d’audit : le journal d’audit de Notion fournit aux administrateurs d’espace de travail des informations détaillées sur les activités liées à la sécurité pour leur permettre d’identifier les problèmes potentiels, d’enquêter sur les comportements suspects, de résoudre les difficultés d’accès, etc.

2FA (MFA) : la vérification en 2 étapes constitue une couche de protection supplémentaire pour votre compte Notion. Tous les forfaits bénéficient de cette fonctionnalité. Vous pouvez la configurer en quelques clics dans les paramètres de votre compte.

Gestion des autorisations: Notion permet aux propriétaires de contrôler les niveaux d’autorisation afin de maîtriser la façon dont leurs utilisateurs consultent leur contenu et interagissent avec lui.

Gestion des espaces d’équipe : les propriétaires d’espaces de travail peuvent afficher une vue d’ensemble de tous les espaces d’équipe, en modifier les paramètres, et accéder à des outils de gestion supplémentaires.

Intégrations SIEM et DLP : Notion peut s'intégrer à votre DLP ou SIEM de votre choix pour détecter les événements.