Big ACL S'inscrire
Documentation Blog Tarifs Contact
Connexion
par L'équipe Big ACL

Joiner–Mover–Leaver

Il est temps de remettre en question le modèle Joiner–Mover–Leaver (JML)

Depuis des années, le JML est au cœur de la gouvernance des accès. On rejoint l’entreprise, on change de poste, on la quitte… et les systèmes déclenchent une série d’actions manuelles ou semi-automatisées.

Mais posons la vraie question : pourquoi faut-il encore “faire quelque chose” quand une personne arrive, bouge dans l’organisation ou la quitte ?

Dans un monde idéal, un système de gouvernance des accès devrait être suffisamment intelligent en se basant sur un référentiel de règles pour affecter et retirer dynamiquement les droits : le bon droit au bon moment.

👉 En s’appuyant sur un référentiel des règles d’autorisation, l’arrivée, les changements d’affectation et le départ deviennent très largement un non-événement.

⚡ Deuxième constat : les système de gouvernance des accès (IGA) sont étonnamment mauvais lorsqu’il s’agit de prendre en compte le risque.

Ce n’est pas vraiment surprenant. L’IGA a été conçue avant tout pour la conformité (audits, contrôles, certifications), à une époque où le risque cyber n’était pas critique pour les entreprises.

L’un des problèmes majeurs vient de son obsession pour les “entitlements”.

👉 Qu’est-ce qu’un entitlement ?

Dans les plateformes IGA, un entitlement est une autorisation technique élémentaire : un rôle applicatif, un groupe Active Directory. C’est une abstraction technique qui ne décrit pas directement ce que l’utilisateur est réellement capable de faire du point de vue métier.

Cette approche a deux effets pervers :

elle fragmente la vision des accès en milliers de droits techniques, elle masque la capacité métier réellement exposée.

👉 Quelle activité critique devient possible avec tel rôle ?

👉 Quel est l’impact business si cet accès est abusé ou compromis ?

Résultat : on gère des droits, mais on ne mesure pas le risque.

Cette abstraction masque souvent l’essentiel : 👉 quelle capacité métier réelle est exposée ? 👉 quel impact concret sur l’entreprise si cet accès est compromis ?

Résultat : on gère des droits sans les relier ou comprendre véritablement le risque.

🎯 Et si on changeait de paradigme ?

Gouverner les accès par des politiques dynamiques, pas par des workflows. Relier les accès aux capacités métier et aux scénarios de risque.

Chez Big ACL, nous sommes convaincus que la gouvernance des accès doit devenir : ➡️ policy-centric ➡️ risk-aware

Le JML n’est peut-être pas mort… mais il ne devrait plus être le cœur du système.

Qu’en pensez-vous ?