La sécurisation de l'accès à PEP's

Un dispositif de double authentification à PEP’s sera déployé le 3 juillet. Le renforcement des modalités de connexion à la plateforme PEP’s répond à un enjeu de sécurisation de l’accès à vos données et en particulier des données personnelles de vos agents.

Préparons la sécurisation de l’accès à PEP’s

Nous partageons avec vous l’exigence d’accroître la sécurité des données personnelles de vos agents, affiliés aux régimes de retraite gérés par la CDC.
Ces données sont accessibles à partir de votre plateforme PEP’s : c’est pourquoi nous engageons des travaux de sécurisation à l’inscription et à la connexion à PEP’s qui seront déployés le 3 juillet 2025. 

La connexion à PEP’s sera sécurisée par un dispositif de double authentification :

• mise en place d’un code à usage unique pour les connexions classiques et via Net-entreprises (SMS ou vocal pour les téléphones fixes). Le code à usage unique est systématique à la 1ère connexion ; il devra être renouvelé au bout de 7 jours sur un même poste de travail.
• en complément, une demande systématique d’un code à usage unique pour les actions sensibles :​
  • pour les administrateurs PEP’s : création d’un compte utilisateur ou modification des coordonnées d’un utilisateur, attribution des droits d’accès à certains services
  • pour tous les utilisateurs : modification de leurs coordonnées médiatiques (courriel et téléphone) et de leur mot de passe.

Cette exigence impliquera de renseigner le jour J le numéro de téléphone portable ou fixe qui sera associé à chaque compte utilisateur PEP's en complément de l’adresse courriel.

La mise en œuvre de la double authentification peut nécessiter une adaptation des procédures existantes au sein de vos établissements. La sécurité ne permet pas d’envisager de dispositif dérogatoire au cas par cas.

Nous avons déjà engagé des actions de sensibilisation aux bonnes pratiques auprès des administrateurs PEP’s qui assurent au quotidien la gestion des comptes, très concrètement des actions d’apurement des comptes PEP’s inactifs.

Nous comptons sur la mobilisation de l’ensemble des administrateurs PEP’s pour contribuer à cette démarche ainsi que des centres de gestion pour faire relais auprès des collectivités. Découvrez la fonctionnalité et ses enjeux sur la FAQ Double authentification élaborée à partir des questions déjà remontées par certains employeurs. 

Pour toute question sur la mise en place de ce dispositif, vous pouvez nous solliciter à partir du formulaire de contact PEP’s, motif « Gestion des comptes dans PEP’s ».
 

Bonnes pratiques administrateur PEP's

Vous êtes administrateur des comptes utilisateurs PEP’s. Vous devez respecter les règles suivantes dans le cadre de la gestion des comptes utilisateurs PEP’s :

Créer un compte

• L’identifiant PEP’s attribué à la création du compte est une donnée personnelle : vous devez créer un compte pour chaque nouvel utilisateur.
  Soyez également vigilants dans la revue systématique des comptes utilisateurs créés à partir des identifiants Net entreprises.
  Si vous quittez l’établissement, créez le compte du nouvel administrateur avant votre départ.  
• Chaque utilisateur doit disposer d’un compte en propre qui mentionne ses informations personnelles : son nom, son prénom et son adresse courriel. 

Supprimer un compte

Vous devez supprimer :

• le compte de tout utilisateur ou administrateur qui quitte l’établissement
• tout compte générique partagé par plusieurs utilisateurs.

Modifier un compte, Attribuer à un compte les droits d’accès aux services à partir de l’onglet « Ses Droits » 
 

Attribuez les droits d’accès aux services en fonction des besoins de chaque utilisateur. 
Les droits peuvent être modifiés à tout moment.
Vérifiez les droits d’accès lorsqu’un nouveau service est mis en ligne sur PEP’s.   
 

Renouveler un compte avant sa date d’expiration 

Veillez à faire le nécessaire sur les comptes dont le statut est expiré : renouveler ou le cas échéant supprimer le compte
Chaque compte se voit attribué une date d’expiration pour des raisons de sécurité. Vous êtes destinataire de courriels vous invitant à renouveler les comptes des utilisateurs dont la date d’expiration approche. 
Si vous ne renouvelez pas les comptes pour lesquels vous avez reçu le mail, leur statut passe à Expiré. 
L’utilisateur dont le compte est expiré ne peut plus accéder à PEP’s.

Pour plus d’informations, reportez-vous : 

• à la FAQ Double authentification
• au guide des actions de l’administrateur PEP’s
• à l’aide à la connexion où vous trouverez notamment les réponses aux questions concernant les identifiants PEP’s.