IT Ops

Automatiser l'onboarding et l'offboarding IT : guide 2026

Nikolai Fomm
COO et co-fondateur
May 25, 2026
1
minute of reading
How to Automate IT Onboarding and Offboarding

Pourquoi l'onboarding et l'offboarding IT déraillent encore en 2026

Chaque nouvelle embauche oblige l'IT à provisionner des comptes dans 10 à 25 applications SaaS, configurer le SSO, préparer un poste de travail et attribuer des permissions basées sur le rôle, le plus souvent en moins de 48 heures. Chaque départ oblige l'IT à faire l'inverse sur le même périmètre, cette fois sous des contraintes de sécurité et de conformité plus strictes. La plupart des équipes font encore les deux manuellement.

Les chiffres parlent d'eux-mêmes. Selon les données sectorielles 2025 citées par BeyondTrust et SE Ranking, l'entreprise moyenne fait tourner aujourd'hui environ 275 applications SaaS, contre environ 130 en 2022. Les recherches de Sapling montrent qu'un nouvel arrivant doit accomplir en moyenne 54 tâches d'onboarding. CareerBuilder rapporte que deux RH sur cinq sans outils numériques d'onboarding passent plus de 3 heures par nouvel employé rien que sur la paperasse. Et les données StrongDM indiquent que 20% du turnover se produit dans les 45 premiers jours, avec une mauvaise préparation IT au jour 1 comme premier facteur déclenchant.

L'offboarding manuel est encore plus risqué. La fuite Capital One de 2019 a été reliée à un rôle IAM dormant aux identifiants persistants. En 2025, un incident ransomware Akira chez un industriel a été tracé à un compte fournisseur orphelin jamais désactivé. Les comptes orphelins sont aujourd'hui l'une des principales causes de breach identifiées lors des revues d'audit liées à ISO 27001, SOC 2 et NIS2.

Ce guide s'adresse aux DSI, IT Managers et responsables des opérations IT qui veulent passer d'un cycle de vie utilisateur réactif et piloté par tickets à un cycle entièrement automatisé. Nous couvrons le modèle de coût, le framework canonique Joiner-Mover-Leaver (JML), deux playbooks pas-à-pas, les fondations techniques (SCIM, SAML, IDP, sync SIRH), l'angle conformité, et comment une plateforme combinant SaaS Management et IAM comme Corma ferme la boucle de bout en bout.

Qu'est-ce que l'automatisation de l'onboarding et de l'offboarding IT ?

L'automatisation de l'onboarding et de l'offboarding IT consiste à déclencher les actions du cycle de vie utilisateur (création de comptes, accès basés sur le rôle, attribution de licences, désapprovisionnement, récupération de licences) à partir d'événements RH ou d'identité faisant autorité, sans aucun ticket manuel. En pratique, l'automatisation relie trois couches : le SIRH (système de référence), l'identity provider (IDP) et chaque application SaaS du stack.

Concrètement, l'automatisation fonctionne ainsi : lorsqu'un nouveau collaborateur apparaît dans le SIRH, la plateforme crée son identité dans l'IDP, provisionne les comptes dans toutes les applications nécessaires via SCIM ou API, attribue les bonnes permissions selon le rôle et le département, et produit une piste d'audit. Lorsque ce même collaborateur quitte l'entreprise, la plateforme inverse chaque action, récupère les licences et documente qui a perdu quel accès et à quel moment.

Cette logique se situe à l'intersection de deux catégories de produits autrefois séparées : les SaaS Management Platforms (SMP), qui donnent à l'IT la visibilité et le contrôle des coûts sur le portefeuille applicatif, et l'Identity and Access Management (IAM), qui contrôle qui accède à quoi. Les plateformes modernes comme Corma combinent les deux en une seule couche, de sorte que la visibilité SaaS et la gouvernance des identités fonctionnent sur le même modèle de données.

À retenir : l'automatisation, ce n'est pas juste une file de tickets plus rapide. C'est remplacer les tickets par des workflows déterministes déclenchés par des événements RH, et produire des preuves de conformité comme sous-produit des opérations normales.

Le coût caché d'un onboarding et offboarding IT manuels

La première raison d'automatiser est financière, et l'enjeu est plus important que la plupart des responsables IT ne le réalisent. L'analyse 2026 de Beyond Intranet estime qu'un cycle d'onboarding manuel coûte environ 1 500 à 1 800 euros en pur temps de travail, avant d'inclure les erreurs, les reprises et l'attrition. Une fois ajoutés une mauvaise expérience au jour 1, le gaspillage de licences et l'exposition sécuritaire liée aux ex-employés, le coût mixte par cycle entrée-sortie atteint 1 500 à 10 000 € et plus par collaborateur, selon la taille de l'entreprise et l'outillage.

Le tableau ci-dessous est une synthèse des benchmarks publics (Beyond Intranet, StrongDM, Sapling, BeyondTrust, Stitchflow) et des patterns observés chez les équipes IT européennes qui utilisent Corma.

Le coût caché d'un onboarding et offboarding IT manuels (par collaborateur)

Poste de coût Ce qui se passe réellement Impact estimé
Temps IT de provisionnement Création manuelle de comptes dans 10 à 25 applications SaaS, affectation aux groupes, achat de licences, suivi de tickets 4 à 6 heures par nouveau collaborateur
Coordination managers et RH Échanges par e-mail, validations, tableurs, handoffs manqués entre les équipes RH et IT 10 à 12 heures par nouveau collaborateur
Perte de productivité au jour 1 Le collaborateur attend son ordinateur, l'accès SSO, le provisionnement des applications et ses autorisations 1 à 5 jours de retard de prise de fonction
Offboarding manuel Recherche dans plus de 50 applications pour révoquer les accès, souvent à partir de tableurs obsolètes et sans piste d'audit 3 à 8 heures par départ, étalées sur plusieurs semaines
Comptes orphelins Comptes d'anciens collaborateurs laissés actifs dans une ou plusieurs applications SaaS car le désapprovisionnement est resté incomplet Exposition directe en sécurité et conformité
Gaspillage de licences Sièges payés laissés actifs pour les ex-collaborateurs, outils inutilisés jamais récupérés Jusqu'à 30% des dépenses SaaS totales
Coût mixte par cycle entrée-sortie Temps, erreurs, gaspillage de licences, exposition sécurité 1 500 à 10 000 € et plus par collaborateur

Le gaspillage de licences mérite un examen plus approfondi. Les études de Productiv, Zluri et les benchmarks clients de Corma montrent de façon constante que 20 à 30% des sièges SaaS payés sont occupés par des comptes inactifs ou d'ex-collaborateurs. Nettoyer cela dans un flux d'offboarding structuré est l'un des leviers de ROI les plus rapides pour l'IT et la finance, raison pour laquelle nous le traitons en profondeur dans le guide CFO pour optimiser les dépenses SaaS.

Le coût de ne pas automatiser ne se mesure donc pas seulement en heures. C'est aussi un poids permanent sur les dépenses SaaS, une exposition continue en conformité, et un contributeur silencieux à l'attrition des 90 premiers jours.

Le framework Joiner-Mover-Leaver (JML) expliqué

Qu'est-ce que le framework Joiner-Mover-Leaver ?

Le framework Joiner-Mover-Leaver (JML) est le modèle canonique du cycle de vie utilisateur en gestion des identités et des accès. Il définit trois événements distincts (entrée, mobilité interne, sortie) et les actions IT qui doivent se déclencher automatiquement à chacun. C'est la fondation de toute stratégie moderne d'automatisation de l'onboarding et de l'offboarding IT.

Le JML compte parce qu'il force l'IT à raisonner en déclencheurs RH plutôt qu'en tickets ad hoc. Chaque action devient déterministe : une personne entre, le système déclenche une séquence ; une personne est promue, une autre séquence se déclenche ; une personne part, une troisième séquence s'exécute. Plus d'ambiguïté sur ce qui doit se produire, plus de process parallèle où un manager envoie un e-mail en espérant que ça marche.

Que se passe-t-il à chaque phase JML ?

Le framework Joiner-Mover-Leaver (JML) pour les équipes IT

Phase Événement déclencheur Actions IT à automatiser Preuves de conformité à produire
Joiner (entrée) Création d'un nouveau collaborateur dans le SIRH (Lucca, HiBob, Personio, Workday, BambooHR, etc.) Création de l'identité dans l'IDP, attribution du bundle d'applications basé sur le rôle, push des comptes via SCIM, e-mail de bienvenue, vérification de la préparation pour le jour 1 Journal des validations, liste des applications provisionnées, métrique de temps d'accès
Mover (changement) Changement de poste, mutation, promotion, changement de manager dans le SIRH Recalcul des droits selon le nouveau rôle, révocation des accès obsolètes, attribution des nouveaux accès, déclenchement d'une revue d'accès pour les applications sensibles Comparaison des droits avant/après, validation manager, piste d'audit
Leaver (sortie) Date de fin de contrat dans le SIRH, fin de mission, démission Désactivation du SSO, révocation de tous les accès SaaS, transfert de la propriété des documents, récupération des licences, archivage de la boîte mail, suppression des tokens API et personal access tokens Horodatage du désapprovisionnement par application, liste des comptes orphelins vérifiés, rapport de récupération de licences
Pourquoi l'automatisation change tout Chaque phase a un déclencheur clair L'automatisation comble le délai entre l'événement RH et l'action IT La piste d'audit est générée automatiquement, jamais reconstituée

Une implémentation JML propre alimente aussi les revues d'accès automatisées : si chaque droit est attribué par une règle JML, alors auditer les droits revient à se demander "les règles sont-elles toujours correctes ?" plutôt que "qu'est-ce que cette personne au hasard a comme accès ?". Pour une référence IAM plus large, Corma maintient un glossaire de la gestion des identités et des accès qui mappe le vocabulaire au JML.

Comment automatiser l'onboarding IT : un playbook en 7 étapes

Voici le playbook que nous recommandons aux équipes IT de 50 à 500 collaborateurs, basé sur ce qui fonctionne chez les clients Corma comme Brevo et Skello. Chaque étape suppose que vous passez du ticket aux workflows déclenchés par le SIRH.

Étape 1 : Faites du SIRH votre source de vérité

Décidez quel système détient la fiche collaborateur canonique (Lucca, HiBob, Personio, Workday, BambooHR, etc.) et traitez-le comme le seul déclencheur valide pour les actions IT. Aucun ticket, aucun tableur, aucun e-mail ne devrait pouvoir créer ou modifier une identité. Tout commence dans le SIRH.

Étape 2 : Construisez un modèle de rôles et de départements propre

Pour chaque combinaison rôle plus département, définissez le bundle d'applications (l'ensemble des outils SaaS dont le collaborateur a besoin) et le niveau de droits dans chaque application. C'est votre baseline de role-based access control (RBAC). Si vous sautez cette étape, l'automatisation propage juste plus vite des permissions désordonnées.

Pour aller plus loin sur la modélisation RBAC, voir le guide pas-à-pas Corma pour concevoir et implémenter un modèle RBAC.

Étape 3 : Connectez l'IDP et les applications nativement

Branchez votre IDP (Microsoft Entra ID, Okta, Google Workspace, JumpCloud) à la plateforme qui orchestrera le provisionnement. Connectez ensuite chaque application SaaS, idéalement via SCIM et SAML, et là où SCIM n'est pas disponible, via API ou playbooks robotiques. Corma supporte les deux nativement.

Étape 4 : Définissez la séquence jour -7 au jour 1

Le pre-boarding commence à la signature de l'offre. Votre automatisation doit :

  • Générer l'identité dans l'IDP à J-7
  • Provisionner les comptes dans les applications cœur à J-3
  • Envoyer les identifiants et instructions de bienvenue à l'e-mail personnel à J-1
  • Activer le SSO et déclencher les contrôles de préparation J-1 la veille de la date de démarrage

Cette logique de pre-boarding est un levier majeur sur la rétention des 90 premiers jours, comme abordé dans l'article Corma sur l'optimisation de la gestion logicielle de l'onboarding et au-delà.

Étape 5 : N'imposez des validations que là où elles apportent de la valeur

La plupart des actions d'onboarding sont déterministes et n'ont pas besoin de validation humaine. Réservez les workflows de validation aux cas sensibles : comptes à privilèges, licences coûteuses, applications réglementées. Imposer une validation sur chaque ligne reconvertit l'automatisation en file de tickets.

Étape 6 : Produisez les preuves au fur et à mesure

Chaque action de provisionnement doit produire automatiquement une entrée de journal : qui a déclenché, ce qui a été provisionné, quand, sur quelle validation. C'est ce qui rend les audits indolores et ce qui alimente vos contrôles SOC 2, ISO 27001 et NIS2.

Étape 7 : Mesurez le temps d'accès et itérez

Définissez un indicateur cardinal : le time-to-access, mesuré depuis la création de la fiche RH jusqu'au moment où "toutes les applications nécessaires sont utilisables". Les équipes IT les plus matures descendent sous les 4 heures sur cette métrique. Au-delà de 24 heures, c'est le signal qu'une étape de votre séquence est encore manuelle.

Pour la vision globale de l'architecture de provisionnement automatisé, voir l'article de référence Corma sur le provisionnement automatisé comme avenir de l'onboarding et de la gestion des accès.

Comment automatiser l'offboarding IT : un playbook en 7 étapes

L'offboarding est le côté le plus risqué du cycle de vie. Une révocation d'accès oubliée, c'est à la fois une exposition sécuritaire, une faille de conformité et un coût de licence. La même logique JML s'applique, en sens inverse.

Étape 1 : Capturez l'événement de sortie dans le SIRH

La date de fin de contrat dans le SIRH est le déclencheur canonique. Démission, fin de mission, licenciement : tout passe par le même champ. Ce qui n'est pas dans le SIRH ne déclenche pas d'offboarding, ce qui est exactement la règle voulue.

Étape 2 : Désactivez le SSO immédiatement à l'heure de fin

La première action d'une séquence d'offboarding automatisée doit être la désactivation de la session SSO dans l'IDP. Cela verrouille instantanément l'utilisateur hors de toutes les applications protégées par SAML. Le reste (désapprovisionnement complet, archivage de la boîte mail, récupération des licences) peut s'exécuter sur un calendrier légèrement plus lent, mais le SSO doit tomber au moment exact de la fin de contrat.

Étape 3 : Révoquez l'accès dans chaque application SaaS connectée

Parcourez l'inventaire complet d'applications et révoquez l'accès de façon programmatique : désapprovisionnement SCIM là où il est supporté, révocation par API quand SCIM n'est pas disponible, et playbooks pour la longue traîne d'applications sans API d'automatisation. C'est là que la plupart des offboardings manuels échouent : l'IT couvre les 5 à 10 applications évidentes et oublie les 30 restantes.

Étape 4 : Transférez la propriété des documents et des données

Fichiers dans Google Drive, pages Notion, espaces Confluence, MP Slack, dépôts GitHub : chacun nécessite un transfert de propriété explicite avant la suppression du compte. L'automatisation doit générer une checklist par application, la router au manager, et bloquer la suppression du compte tant que la propriété n'est pas réassignée.

Étape 5 : Récupérez les licences et calculez les économies

Pour chaque siège révoqué, récupérez la licence et mettez à jour vos indicateurs d'abonnement. Les meilleures plateformes le font automatiquement et produisent un rapport mensuel "licences récupérées via offboarding". La plupart des entreprises sont stupéfaites du résultat.

Étape 6 : Tuez les tokens API, personal access tokens et secrets partagés

Souvent oubliés, souvent dangereux. Les personal access tokens dans GitHub, GitLab, AWS, GCP, les consoles admin internes : ils survivent à la désactivation SSO parce qu'ils sont des identifiants à part entière. Un flux d'offboarding complet les énumère et les révoque.

Étape 7 : Produisez un rapport de désapprovisionnement par sortant

Pour l'audit et la conformité : un rapport unique par sortant qui liste chaque application, l'horodatage de désapprovisionnement, le système responsable, et toute exception. C'est le dossier de preuves qui sera demandé lors de votre prochain audit ISO 27001 ou SOC 2. Bien fait, l'automatisation le produit sans que personne n'écrive une ligne.

Les fondations techniques : SCIM, SAML, IDP et synchronisation SIRH

Que fait SCIM ?

SCIM (System for Cross-domain Identity Management) est un standard ouvert, défini par la RFC 7644, qui permet à une source d'identité de pousser des changements de compte utilisateur (création, mise à jour, suppression) dans une application SaaS cible via une API REST standard. Lorsqu'une application supporte SCIM, votre plateforme peut provisionner et désapprovisionner les comptes sans que personne ne clique dans sa console d'administration.

En pratique, SCIM est ce qui rend possible la promesse "l'événement de sortie déclenche une révocation d'accès immédiate dans 50 applications".

Que fait SAML ?

SAML (Security Assertion Markup Language) est le standard qui permet à un utilisateur de se connecter à de nombreuses applications avec une seule identité depuis votre IDP. SAML couvre le côté authentification ("cette personne peut-elle se connecter ?") tandis que SCIM couvre le côté provisionnement ("cette personne a-t-elle un compte, et avec quelles permissions ?"). Les deux fonctionnent ensemble mais ne sont pas interchangeables.

Pour un tour rapide, voir la référence Corma sur comprendre SCIM et SAML en moins de 5 minutes.

Qu'est-ce qu'un IDP ?

Un identity provider (IDP) est le système qui stocke les identités utilisateurs, les authentifie et émet des tokens SAML ou OIDC aux applications. Les quatre IDP les plus courants dans les stacks IT mid-market européens sont Microsoft Entra ID, Okta, Google Workspace et JumpCloud. Corma s'y connecte nativement, et le choix entre eux est bien documenté dans les articles Corma sur Okta vs Google SSO et JumpCloud vs Google SSO.

Pourquoi la synchronisation SIRH est non négociable

Sans synchronisation SIRH, vous n'avez pas de déclencheur canonique. L'IDP sait qui existe en termes d'identité mais ignore quand quelqu'un est embauché ou part. Le SIRH connaît les événements du cycle de vie mais ne les pousse nulle part. La sync entre les deux ferme la boucle et fait que tout le reste (SCIM, SAML, provisionnement basé sur le rôle) se déclenche effectivement à l'heure.

Pour une vue architecturale plus poussée de la façon dont Corma orchestre SIRH, IDP et applications SaaS, voir la page tech provisionnement utilisateur et gestion des accès de Corma.

Comment l'automatisation soutient ISO 27001, NIS2, SOC 2 et RGPD

La conformité est la deuxième raison la plus forte d'automatiser le cycle de vie, et souvent celle qui compte le plus pour les CFO et les équipes sécurité. Tous les référentiels majeurs pertinents pour les équipes IT européennes ont des exigences explicites sur les preuves de provisionnement et désapprovisionnement utilisateur.

ISO/IEC 27001:2022 exige que les droits d'accès soient accordés, modifiés et révoqués selon une politique documentée, avec des preuves traçables. Les contrôles de l'Annexe A A.5.16 (gestion des identités) et A.5.18 (droits d'accès) mappent directement le JML. Corma est elle-même certifiée ISO/IEC 27001:2022. Nous couvrons le sujet en profondeur dans le guide d'implémentation ISO 27001 et IAM et la feuille de route des revues d'accès pour ISO 27001.

La directive NIS2, entrée en vigueur dans l'UE en octobre 2024, impose la révocation rapide des accès comme obligation des entités essentielles. Les transpositions varient selon les États membres, mais le fond reste cohérent : vous devez pouvoir démontrer que les accès des ex-collaborateurs sont supprimés, et le faire sur un calendrier défendable. Voir l'explicatif NIS2 de Corma sur ce que signifie la nouvelle directive NIS2 et comment atteindre la conformité.

Les Trust Services Criteria CC6.1 à CC6.3 de SOC 2 exigent la preuve que l'accès logique est provisionné selon le principe du moindre privilège, revu périodiquement, et révoqué rapidement quand il n'est plus nécessaire. L'automatisation produit cette preuve comme un livrable normal des opérations. L'article Corma sur SCIM et SAML pour SOC 2 et ISO 27001 mappe les patterns techniques aux contrôles.

Le RGPD introduit un angle distinct : minimisation des données et limitation de la conservation. Les comptes d'ex-employés qui conservent des données personnelles sont aussi une exposition RGPD, pas seulement une exposition sécurité. Héberger la plateforme IAM elle-même dans l'UE est un différenciateur significatif, et l'une des raisons pour lesquelles Corma opère entièrement sur une infrastructure européenne.

5 erreurs d'automatisation à éviter

La plupart des projets d'automatisation qui échouent suivent l'un de ces cinq patterns. Les éviter vaut souvent plus que choisir la "meilleure" plateforme.

  1. Automatiser un process cassé. Si votre modèle de rôles et votre inventaire d'applications sont désordonnés, l'automatisation propage juste plus vite le désordre. Consacrez les deux premières semaines au nettoyage des rôles et à la dé-duplication des applications avant de brancher quoi que ce soit.
  2. Sauter la longue traîne d'applications. La couverture SCIM est excellente pour les 10 premières applications de votre stack. Les 40 suivantes sont typiquement celles qui cassent l'offboarding. Choisissez une plateforme qui supporte SCIM, API et provisionnement robotique pour que la longue traîne ne reste pas manuelle.
  3. Traiter l'offboarding comme une checklist au lieu d'une séquence. Une checklist est une liste de choses que des humains doivent faire. Une séquence est un flux déterministe que la plateforme exécute. Ce n'est pas la même chose.
  4. Oublier les comptes de service et les tokens. Les personal access tokens et les comptes de service partagés sont la surface de désapprovisionnement la plus négligée. Ce sont aussi les plus couramment exploités dans les breaches post-emploi.
  5. Ne pas mesurer le time-to-access et le time-to-deprovision. Sans métriques, vous ne pouvez pas dire si l'automatisation est réellement plus rapide que l'ancien process. Deux métriques, deux dashboards, revue mensuelle.

Pour plus de contexte sur les causes profondes et la perspective d'un IT leader, voir l'article Corma sur la crise silencieuse du SaaS sprawl pour les responsables IT.

Pourquoi Corma est conçu pour les équipes IT qui veulent automatiser le cycle de vie

La plupart des plateformes du marché couvrent un seul côté du problème : soit l'IAM pur (Okta, JumpCloud, Entra ID), soit le SaaS Management pur (Zluri, BetterCloud, Productiv). Corma combine les deux couches nativement, et est conçu pour les équipes IT mid-market européennes (50 à 500 collaborateurs) qui ont besoin d'une vraie automatisation sans compromis de résidence des données US.

Comment Corma se compare aux alternatives habituelles pour automatiser l'onboarding et l'offboarding IT

Capacité Setup IDP seul
(Okta, Entra ID, Google Workspace)		 SMP+IAM US
(Zluri, BetterCloud, Productiv)		 Corma
Provisionnement SCIM et SAML Oui (limité aux applications qui supportent SCIM) Oui Oui, avec playbooks pour les applications non-SCIM
Automatisation déclenchée par le SIRH Add-on, souvent intégration sur mesure Oui Native, avec SIRH comme source de vérité
SaaS Management et IAM dans une seule plateforme Non (IAM seul) Partiel Oui, les deux couches nativement combinées
Récupération de licences au moment du départ Non Oui Oui, avec reporting des économies réalisées
Revues d'accès automatisées Add-on ou outil tiers Oui Oui, prêt pour ISO 27001 et NIS2
Hébergement réellement européen Options disponibles sur certains plans entreprise Conforme RGPD, mais données hébergées hors UE Oui, hébergé en UE par défaut, certifié ISO/IEC 27001:2022
Adapté aux équipes IT européennes (50 à 500 collaborateurs) Forte sur l'identité, faible sur la visibilité SaaS Bonnes fonctionnalités, mais résidence des données hors UE Conçu pour les DSI européennes qui ont besoin des deux

Ce que Corma fait concrètement pour l'onboarding et l'offboarding IT

Corma se connecte à votre SIRH et à votre IDP, puis orchestre l'intégralité du cycle de vie sur chaque application SaaS connectée. La plateforme supporte SCIM et SAML là où ils sont disponibles, et exécute des playbooks scriptés pour les applications qui résistent au provisionnement standard. Elle produit des preuves de qualité audit par défaut, récupère les licences à chaque événement de sortie, et intègre le résultat dans votre reporting de dépenses SaaS.

Concrètement, les équipes IT qui utilisent Corma rapportent typiquement :

  • Time-to-access réduit de plusieurs jours à moins de 4 heures
  • Time-to-deprovision réduit de plusieurs semaines à moins d'1 heure pour le SSO, moins de 24 heures pour l'ensemble du stack applicatif
  • Jusqu'à 30% de réduction des dépenses SaaS grâce à la récupération automatisée de licences
  • Dossiers de preuves d'audit produits à la demande pour ISO 27001, NIS2, SOC 2

Pour la page spécifique aux équipes IT, voir la solution IAM Corma pour les équipes IT. Pour une vue centrée sur la couche provisionnement et onboarding, voir la solution IAM Corma pour le provisionnement et l'onboarding automatisés. Et pour l'angle collaboration RH-IT, voir comment Corma aide les équipes RH à automatiser les onboardings et offboardings sur toutes les applications.

Envie de voir ce que ça donne sur votre stack ? Demandez une démo de Corma et nous passerons en revue votre SIRH, votre IDP et vos 10 principales applications SaaS.

FAQ : automatisation de l'onboarding et de l'offboarding IT

Combien de temps doit prendre un onboarding IT en 2026 ?

Pour un stack entièrement automatisé, l'onboarding technique (identité, comptes, SSO, accès basés sur le rôle) doit être terminé en moins de 4 heures à partir du moment où le SIRH enregistre l'embauche. L'onboarding culturel s'étale toujours sur 30 à 90 jours, mais c'est la préparation IT qui détermine l'expérience du jour 1 et le risque d'attrition à 45 jours.

Quelle est la différence entre onboarding et provisionnement ?

L'onboarding est le process humain plus large (accueil, formation, équipement, culture). Le provisionnement est le sous-ensemble technique : créer l'identité, accorder les accès, attribuer les licences. Le provisionnement est ce que l'IT pilote et ce que l'automatisation adresse directement. Un bon onboarding nécessite un bon provisionnement, mais le provisionnement seul n'est pas l'onboarding.

Quelle est la façon la plus sûre de gérer un offboarding ?

La séquence d'offboarding la plus sûre désactive le SSO à l'heure exacte de fin de contrat, puis désapprovisionne chaque application connectée en parallèle via SCIM ou API, transfère la propriété des documents, tue les tokens API et personal access tokens, et produit un rapport de preuves par sortant. L'ensemble de la séquence doit s'exécuter dans les 24 heures suivant l'événement RH, et la désactivation SSO doit être immédiate.

Ai-je besoin à la fois d'un IDP et d'une plateforme de SaaS Management ?

Oui pour la plupart des équipes IT mid-market. L'IDP gère l'authentification et l'identité canonique. La plateforme combinée SaaS Management et IAM gère le provisionnement applicatif, le désapprovisionnement, la récupération de licences et la visibilité sur les dépenses. Les deux couvrent des parties différentes du stack et se complètent. Corma est conçu pour se brancher à votre IDP existant, pas pour le remplacer.

Comment automatiser les applications qui ne supportent ni SCIM ni SAML ?

Pour les applications sans SCIM ni SAML, trois options : intégration native par API (la voie la plus courante), playbooks robotiques qui scriptent la console d'administration, ou imports CSV fournis par l'éditeur. Corma combine les trois pour que la longue traîne d'applications cesse d'être manuelle. Pour aller plus loin sur SCIM et SAML, voir le glossaire IAM de Corma.

Qu'est-ce qu'un compte orphelin, et pourquoi est-il dangereux ?

Un compte orphelin est un compte utilisateur actif dans une application SaaS ou un annuaire qui ne correspond plus à un collaborateur en poste. Les comptes orphelins sont dangereux parce qu'ils conservent des accès (souvent privilégiés) sans propriétaire pour superviser ou faire tourner les identifiants, ce qui en fait des cibles de premier choix pour le credential stuffing et le détournement post-emploi. Des breaches majeurs (Capital One 2019, ransomware Akira 2025) ont été tracés à des comptes orphelins.

Corma est-il adapté aux équipes IT européennes attentives à la résidence des données ?

Oui. Corma est hébergé entièrement dans l'UE, certifié ISO/IEC 27001:2022, et conçu pour s'aligner sur les attentes RGPD, NIS2 et DORA dès le premier jour. La plupart des concurrents basés aux US sont conformes RGPD par contrat mais hébergent les données clients hors de l'UE, ce qui est une différence significative pour les équipes IT dans des industries réglementées ou sous le regard d'un CSE.

Read Next
View all articles
How to Automate IT Onboarding and Offboarding
IT Ops
May 25, 2026

Automatiser l'onboarding et l'offboarding IT : guide 2026

Read Article
Identity governance vs identity management
IT Knowledge
May 18, 2026

Gouvernance des identités vs gestion des identités : les différences clés

Read Article
SaaS Management
May 12, 2026

SaaS Management for MSPs: Automating Licensing, Controlling SaaS Sprawl, and Reducing Client Software Spend in 2026

Read Article

The new standard in license management

Êtes-vous prêt à révolutionner votre gouvernance informatique ?