- Maersk (2017) : le contrôleur de domaine situé en Ukraine — un composant central dont peu de personnes connaissaient l\'existence et l\'importance — était la dépendance invisible qui avait paralysé l\'authentification mondiale. Sa redécouverte fortuite a sauvé l\'opération de reprise.
- Les dépendances invisibles se répartissent en quatre catégories : techniques (composants non documentés), humaines (personnes clés dont le rôle critique n\'est pas formalisé), processuelles (étapes manuelles non documentées) et externes (fournisseurs dont le rôle critique n\'est pas reconnu).
- Les systèmes legacy sont une source majeure de dépendances invisibles : ils sont souvent critiques pour des processus que les équipes actuelles ne maîtrisent plus et leur documentation est incomplète ou obsolète.
- Les dépendances aux personnes sont parmi les plus dangereuses : des compétences critiques concentrées chez une seule personne créent un risque de continuité que ni les plans techniques ni les sauvegardes ne peuvent couvrir.
- Les intégrations entre systèmes (APIs, flux de données, webhooks) sont souvent des dépendances invisibles — leur importance n\'est découverte qu\'au moment où l\'un des systèmes intégrés tombe en panne.
- L\'audit des dépendances invisibles requiert des entretiens avec les équipes opérationnelles — les dépendances les plus critiques sont souvent connues des opérationnels mais jamais documentées.
Les plans de continuité documentent ce que les équipes savent — les systèmes identifiés, les dépendances connues, les processus formalisés. Mais les crises révèlent invariablement des dépendances que personne n\'avait documentées, des composants dont personne ne connaissait l\'importance critique et des processus manuels que tout le monde croyait automatisés. Ces dépendances invisibles sont les angles morts des plans de continuité — et les premières à se manifester lors des incidents.
L\'identification des dépendances invisibles avant la crise est l\'exercice le plus difficile et le plus précieux de la préparation à la continuité. Il requiert une approche délibérément adversariale — penser comme un attaquant ou comme quelqu\'un qui cherche les failles plutôt que comme quelqu\'un qui valide ce qui fonctionne.
Les dépendances techniques invisibles
Les composants techniques non documentés constituent la première catégorie de dépendances invisibles. Ces composants peuvent être des services middleware qui assurent la communication entre des systèmes, des scripts de synchronisation développés en interne pour résoudre un problème ponctuel et jamais documentés, ou des composants partagés entre plusieurs applications dont l\'indisponibilité affecterait toutes les applications qui en dépendent.
Les intégrations entre systèmes via des APIs ou des flux de données sont une source particulièrement fréquente de dépendances invisibles. Lorsqu\'un système A envoie des données à un système B via une API, cette dépendance est souvent connue des équipes de développement mais pas documentée dans les plans de continuité. Si le système A tombe en panne, les équipes de continuité doivent savoir que le système B sera également affecté — même si le système B lui-même est disponible.
La dépendance invisible à l\'origine de l\'attaque Colonial Pipeline était un compte VPN d\'ancien employé resté actif après son départ. Cette dépendance — un accès accordé dans le passé, jamais révoqué — n\'apparaissait dans aucun inventaire des accès actifs parce que le processus de révocation lors des départs n\'incluait pas ce type de compte. La découverte de cette dépendance après l\'incident a conduit Colonial Pipeline à revoir entièrement son processus de gestion des accès, incluant la révocation des accès VPN et la vérification périodique de tous les comptes actifs. Cette dépendance invisible — un compte existant depuis des mois sans être utilisé — avait constitué le vecteur d\'une attaque à 4,4 millions de dollars de rançon.
Les dépendances humaines
Les dépendances aux personnes sont parmi les plus dangereuses et les moins bien gérées dans les plans de continuité. Lorsque la connaissance d\'un système critique, d\'un processus ou d\'une relation partenariale est concentrée chez une seule personne, le départ ou l\'indisponibilité de cette personne crée une dépendance que ni les sauvegardes ni les systèmes de secours ne peuvent couvrir.
Les "personnes bus" — celles dont l\'indisponibilité hypothétique lors d\'un incident (le "bus test") créerait des blocages opérationnels majeurs — sont rarement identifiées dans les plans de continuité. Leur identification est politiquement délicate mais opérationnellement essentielle. Une fois identifiées, les mesures de mitigation peuvent inclure la documentation formalisée des connaissances critiques, la formation de backup et le transfert progressif des responsabilités.
Les dépendances processuelles invisibles
Les dépendances processuelles invisibles sont les étapes manuelles non documentées qui conditionnent le bon fonctionnement d\'un processus automatisé. Dans beaucoup d\'organisations, des processus qui semblent entièrement automatisés requièrent en réalité une intervention humaine périodique — un fichier à préparer manuellement, une validation à effectuer, une exception à traiter. Si cette intervention humaine n\'est pas documentée et que la personne qui la réalise est indisponible lors d\'un incident, le processus automatisé s\'arrête pour une raison que personne ne comprend immédiatement.
La compromission SolarWinds a révélé des dépendances invisibles dans les organisations affectées : SolarWinds Orion était utilisé pour des fonctions de supervision dont l\'étendue n\'était pas toujours documentée dans les plans de continuité. Quand il est devenu nécessaire de déconnecter ces outils pour limiter la propagation, les organisations ont découvert qu\'elles n\'avaient pas d\'alternative pour les fonctions de supervision que SolarWinds assurait — fonctions critiques pour la gestion de l\'incident lui-même. Cette situation — l\'outil de supervision rendu indisponible précisément lors de l\'incident qu\'il aurait dû aider à gérer — illustre parfaitement la catégorie des dépendances invisibles qui se manifestent dans les pires conditions.
L\'incident Deutsche Bank de 2019 — transmission de données de 1 200 employés au mauvais destinataire — résultait d\'une dépendance invisible dans le processus de communication : l\'envoi de fichiers contenant des données personnelles sensibles reposait sur une validation manuelle dont le processus n\'était pas formalisé. Cette étape non documentée était connue de l\'équipe qui la réalisait mais absente des procédures officielles. Lorsque la personne habituelle a été absente et qu\'un substitut a dû effectuer la tâche, l\'absence de documentation précise a conduit à une erreur. Les dépendances aux pratiques informelles non documentées sont une catégorie de risque processuel fréquemment identifiée lors des enquêtes post-incident.
L\'arrêt de production Toyota causé par l\'attaque sur Kojima Industries en 2022 a révélé une dépendance invisible dans le système de production Toyota : la réception des données de commande de pièces via les systèmes Kojima était une étape critique du processus de production en flux tendu (just-in-time). Cette dépendance était connue des équipes de production mais n\'avait pas été formalisée dans les plans de continuité de la chaîne d\'approvisionnement. L\'absence d\'alternative documentée pour recevoir ces données de commande a conduit à l\'arrêt complet de la production pendant une journée. Toyota a depuis formalisé cette dépendance et développé des alternatives pour ce type de scénario.