La sécurisation de l'accès à PEP's

Un dispositif de double authentification à PEP’s est déployé à compter du 3 juillet.
Le renforcement des modalités de connexion à la plateforme PEP’s répond à un enjeu de sécurisation de l’accès à vos données et en particulier des données personnelles de vos agents.

À savoir

À la suite de la mise en place de la double authentification PEP's, avant toute démarche, il convient de vider les caches de votre navigateur, de fermer PEP's puis vous reconnecter à la plateforme.

Nous partageons avec vous l’exigence d’accroître la sécurité des données personnelles de vos agents, affiliés aux régimes de retraite gérés par la CDC.
Ces données sont accessibles à partir de votre plateforme PEP’s : c’est pourquoi nous avons engagé des travaux de sécurisation à l’inscription et à la connexion à PEP’s.

La connexion à PEP’s est sécurisée par un dispositif de double authentification :

• mise en place d’un code à usage unique pour les connexions classiques et via Net-entreprises (SMS ou vocal pour les téléphones fixes). Le code à usage unique est systématique à la 1ère connexion ; il devra être renouvelé au bout de 7 jours sur un même poste de travail
• en complément, une demande systématique d’un code à usage unique pour les actions sensibles :​
  • pour les administrateurs PEP’s : création d’un compte utilisateur ou modification des coordonnées d’un utilisateur, attribution des droits d’accès à certains services
  • pour tous les utilisateurs : modification de leurs coordonnées médiatiques (courriel et téléphone) et de leur mot de passe.

Cette exigence implique de renseigner lors de votre première connexion à PEP’s à la suite de la mise en place de la double authentification, le numéro de téléphone portable ou fixe qui est associé à chaque compte utilisateur PEP's en complément de l’adresse courriel.

La mise en œuvre de la double authentification peut nécessiter une adaptation des procédures existantes au sein de vos établissements. La sécurité ne permet pas d’envisager de dispositif dérogatoire au cas par cas.

Nous avons déjà engagé des actions de sensibilisation aux bonnes pratiques auprès des administrateurs PEP’s qui assurent au quotidien la gestion des comptes, très concrètement des actions d’apurement des comptes PEP’s inactifs.

Prenez connaissance la fonctionnalité et ses enjeux sur la FAQ Double authentification élaborée à partir des questions déjà remontées par certains employeurs.

Pour mieux vous accompagner lors de votre première connexion à la plateforme PEP’s à la suite de la mise en place de la double authentification, reportez-vous à la vidéo de présentation de la connexion à PEP's par double authentification.

Pour toute question sur la mise en place de ce dispositif, vous pouvez nous solliciter à partir du formulaire de contact PEP’s, motif « Gestion des comptes dans PEP’s ».

Bonnes pratiques administrateur PEP's

Vous êtes administrateur des comptes utilisateurs PEP’s. Vous devez respecter les règles suivantes dans le cadre de la gestion des comptes utilisateurs PEP’s :

Créer un compte

• L’identifiant PEP’s attribué à la création du compte est une donnée personnelle : vous devez créer un compte pour chaque nouvel utilisateur.
  Soyez également vigilants dans la revue systématique des comptes utilisateurs créés à partir des identifiants Net entreprises.
  Si vous quittez l’établissement, créez le compte du nouvel administrateur avant votre départ.
• Chaque utilisateur doit disposer d’un compte en propre qui mentionne ses informations personnelles : son nom, son prénom et son adresse courriel.

Supprimer un compte

Vous devez supprimer :

• le compte de tout utilisateur ou administrateur qui quitte l’établissement
• tout compte générique partagé par plusieurs utilisateurs.

Modifier un compte, Attribuer à un compte les droits d’accès aux services à partir de l’onglet « Ses Droits »

Attribuez les droits d’accès aux services en fonction des besoins de chaque utilisateur.
Les droits peuvent être modifiés à tout moment.
Vérifiez les droits d’accès lorsqu’un nouveau service est mis en ligne sur PEP’s.

Renouveler un compte avant sa date d’expiration

Veillez à faire le nécessaire sur les comptes dont le statut est expiré : renouveler ou le cas échéant supprimer le compte.
Chaque compte se voit attribué une date d’expiration pour des raisons de sécurité. Vous êtes destinataire de courriels vous invitant à renouveler les comptes des utilisateurs dont la date d’expiration approche.
Si vous ne renouvelez pas les comptes pour lesquels vous avez reçu le mail, leur statut passe à Expiré.
L’utilisateur dont le compte est expiré ne peut plus accéder à PEP’s.

Pour plus d’informations, reportez-vous :

• à la vidéo de présentation de la connexion à PEP's
• à la présentation de la connexion à PEP’s
• à la FAQ Double authentification
• au guide des actions de l’administrateur PEP’s
• à l’aide à la connexion où vous trouverez notamment les réponses aux questions concernant les identifiants PEP’s.