Le composant ACL n'est nécessaire que si vous devez fournir l'accès à certaines parties du site à certains groupes d'utilisateurs et pas à d'autres. Si vous avez seulement besoin de savoir si quelqu'un est un utilisateur ou non, l'authentification vous couvrira.
Par défaut, les sessions sont créées pour tout le monde. Si vous ne les utilisez pas pour des utilisateurs anonymes, il est bon de les laisser allumés tout le temps car a) c'est plus facile et b) les frais généraux sont extrêmement minimes. Si vous décidez d'aller de l'avant et de les désactiver lorsqu'il n'est pas utilisé, vous pouvez set Session.start to false dans app/config/core.php.
Toutefois, vous devrez ajouter du code pour démarrer la session lorsqu'un utilisateur est connecté. Vous pouvez également rencontrer des problèmes avec le composant Auth. Il utilise le composant Session et je pense qu'il s'attend à ce que les sessions soient démarrées à chaque chargement de page.