Points clés
- Certains systèmes concentrent une dépendance disproportionnée par rapport à leur visibilité dans l'organisation.
- Ces systèmes clés ne sont pas nécessairement les plus imposants techniquement, mais les plus structurants fonctionnellement.
- La panne du London Stock Exchange en 2019 a immobilisé les échanges pendant huit heures en raison d'un composant de gestion des connexions considéré comme secondaire.
- L'analyse de dépendance est un prérequis à tout plan de continuité d'activité crédible.
- MAS Technology Risk Management guidelines imposent aux institutions financières de cartographier leurs dépendances critiques.
La notion de criticité d'un système ne se réduit pas à sa taille ou à son coût. Des composants discrets — un annuaire d'authentification, un middleware de messagerie, un système de synchronisation temporelle — peuvent s'avérer être le point de défaillance unique d'une architecture apparemment robuste. C'est la dépendance fonctionnelle qui détermine la criticité, non la visibilité dans l'organigramme IT.
Pour la direction générale, comprendre cette réalité est une condition de gouvernance. Les décisions d'investissement, les arbitrages de continuité et les priorités de réponse aux incidents reposent sur une cartographie précise de ces dépendances. Sans cette cartographie, les plans de continuité sont des documents de façade.
Le concept de Single Point of Failure
Un Single Point of Failure (SPOF) est un composant dont la défaillance entraîne l'arrêt d'un service ou d'une chaîne de valeur entière. Les SPOF les plus dangereux sont ceux qui ne sont pas identifiés comme tels. NIST SP 800-34 et ISO 22301 imposent leur identification systématique dans le cadre de l'analyse des impacts métiers (BIA).
L'expérience montre que les SPOF se trouvent souvent dans des couches d'infrastructure considérées comme stables : la synchronisation NTP, le DNS interne, les certificats SSL, les systèmes d'authentification centralisée. Ces composants fonctionnent sans interruption jusqu'au jour où ils ne fonctionnent plus — et leur absence révèle alors l'étendue réelle des dépendances.
Boeing et la leçon du MCAS
Le système MCAS du Boeing 737 MAX illustre la notion de dépendance invisible à une échelle critique. Conçu comme un système de correction automatique, MCAS s'est avéré piloter l'ensemble de la trajectoire de l'appareil dans certaines conditions. Sa défaillance — liée à un capteur unique non redondant — a entraîné deux catastrophes et l'immobilisation d'une flotte mondiale pendant 20 mois. La dépendance de l'appareil à ce composant n'était pas visible dans les manuels de formation des pilotes.
Cette leçon s'applique aux organisations : les dépendances critiques non documentées constituent un risque existentiel que ni les équipes opérationnelles ni la direction ne peuvent anticiper.
Identifier les dépendances dans les organisations complexes
La cartographie des dépendances critiques nécessite une approche descendante : partir des processus métiers essentiels, identifier les systèmes qui les supportent, puis remonter les dépendances techniques de chaque système. Cette démarche doit associer les responsables métiers, qui connaissent les processus, aux architectes techniques, qui connaissent les dépendances système.
MAS TRM recommande de documenter cette cartographie au niveau des ICT assets critiques et de la mettre à jour à chaque modification significative d'architecture. DORA impose une exigence similaire avec la notion de fonctions critiques ou importantes (FCI) et la documentation de leurs dépendances envers les prestataires tiers.
Le New York Stock Exchange a suspendu ses échanges pendant près de quatre heures le 8 juillet 2015 en raison d'une mise à jour logicielle défectueuse sur un système de gestion des connexions clients. Ce système, considéré comme un composant de routage secondaire, s'est avéré être un point de passage unique pour l'ensemble des ordres entrants. La dépendance n'avait pas été identifiée comme critique dans l'architecture de risque.
Une interruption de huit heures en août 2019 a empêché l'introduction en Bourse de plusieurs entreprises et suspendu les échanges sur les marchés britanniques. L'origine : un composant de gestion de la connectivité des membres du marché, dont la défaillance a empêché les nouvelles admissions et perturbé les échanges existants. La Financial Conduct Authority a demandé un rapport de post-incident détaillé sur les dépendances identifiées.
Une défaillance du système d'authentification centralisé de l'Airports Authority of India a perturbé les communications entre contrôleurs et pilotes sur plusieurs aéroports majeurs. Ce système, initialement classifié comme infrastructure de support, s'est révélé être une dépendance directe des outils de contrôle aérien. L'incident a conduit à une révision complète de la classification des composants critiques dans l'architecture ATC indienne.