Sécurisation de l’accès à PEP’s : la Double authentification

La CNRACL engage des travaux de sécurisation à l’inscription et à la connexion à la plateforme PEPs afin d’accroître la sécurité des données personnelles de vos agents, affiliés aux régimes de retraite gérés par la CDC.
Un dispositif de double authentification à PEP’s sera déployé courant juillet pour sécuriser la connexion à PEP’s. Cette exigence implique qu’un numéro de téléphone portable ou fixe soit associé à chaque compte utilisateur PEP’s en complément d’une adresse courriel.
La double authentification
L’inscription et la connexion à PEP’s (classique ou avec vos identifiants Net entreprises) seront sécurisées par un dispositif de double authentification par un code transmis soit sur un numéro de téléphone portable, soit par un appel sur un numéro de téléphone fixe.
Cette exigence impliquera qu’à chaque compte utilisateur PEP’s soit associé un numéro de téléphone portable ou fixe, en complément d’une adresse courriel. Il sera possible de renseigner son numéro de téléphone voire de le modifier, à l’inscription ou à la 1ère connexion.
La CNRACL compte sur la mobilisation de l’ensemble des administrateurs PEP’s pour contribuer à cette démarche.
La mise en œuvre de la double authentification peut nécessiter une adaptation des procédures existantes au sein de vos établissements. La sécurité ne permet pas d’envisager de dispositif dérogatoire au cas par cas.
Restez vigilants face aux courriels et appels téléphoniques frauduleux : aucun collaborateur de la Caisse des Dépôts (CDC) ou représentant d’un régime de retraite n’est susceptible de vous contacter pour vous demander de lui communiquer des informations, relatives à la connexion ou à l’utilisation de la plateforme PEP’s, vous ne devez en aucun cas transmettre votre identifiant et/ou votre mot de passe.
Rappel des bonnes pratiques de l’administrateur PEP’s de la collectivité.
Les administrateurs assurent au quotidien la gestion des comptes utilisateurs PEP’s (différents fonds et services CNRACL,IRCANTEC, FIPHFP, DSN…) de leur collectivité.
Ils doivent respecter les règles suivantes dans le cadre de la gestion de ces comptes et veiller à l’apurement des comptes PEP’s inactifs.
Créer un compte
- L’identifiant PEP’s attribué à la création du compte est une donnée personnelle : vous devez créer un compte pour chaque nouvel utilisateur. Soyez également vigilants dans la revue systématique des comptes utilisateurs créés à partir des identifiants Net entreprises. Si vous quittez l’établissement, créez le compte du nouvel administrateur avant votre départ.
- Chaque utilisateur doit disposer d’un compte en propre qui mentionne ses informations personnelles : son nom, son prénom et son adresse courriel.
Supprimer un compte
Vous devez supprimer :
- le compte de tout utilisateur ou administrateur qui quitte l’établissement
- tout compte générique partagé par plusieurs utilisateurs.
Modifier un compte, Attribuer à un compte les droits d’accès aux services à partir de l’onglet « Ses Droits »
Attribuez les droits d’accès aux services en fonction des besoins de chaque utilisateur.
Les droits peuvent être modifiés à tout moment.
Vérifiez les droits d’accès lorsqu’un nouveau service est mis en ligne sur PEP’s.
Renouveler un compte avant sa date d’expiration
Veillez à faire le nécessaire sur les comptes dont le statut est expiré : renouveler ou le cas échéant supprimer le compte.
Chaque compte se voit attribué une date d’expiration pour des raisons de sécurité.
Vous êtes destinataire de courriels vous invitant à renouveler les comptes des utilisateurs dont la date d’expiration approche.
Si vous ne renouvelez pas les comptes pour lesquels vous avez reçu le mail, leur statut passe à Expiré.
L’utilisateur dont le compte est expiré ne peut plus accéder à PEP’s.
La CNRACL vous accompagnera tout au long de la mise en œuvre du dispositif Double Authentification.
Elle reviendra prochainement vers vous.