nines.arewel.com

Mode d'emploi

Score de Risque des Dépendances

Chaque dépendance externe est un risque. Voici comment les évaluer, les prioriser et décider quand agir.

Votre architecture contient probablement des dizaines de dépendances tierces. Toutes ne méritent pas la même attention. Le scoring de risque vous permet de répondre à la vraie question : sur laquelle dois-je agir en premier ?

Risque = Impact × Probabilité

Tout modèle de risque repose sur deux axes. L'impact mesure à quel point une panne de cette dépendance blesse vos utilisateurs : Critique (bloque les flux de revenus), Élevé (dégrade l'expérience utilisateur principale), Moyen (ralentit les opérations secondaires), Faible (cosmétique ou non-bloquant). La probabilité découle directement du SLA : 99,9 % signifie ~8,7h de panne par an, soit ~43 minutes par mois en espérance.

Le rayon d'explosion

Une dépendance critique n'est pas seulement celle qui tombe le plus souvent — c'est celle dont la panne déclenche le plus de cascades. Un service d'authentification partagé en panne signifie que tous les endpoints protégés deviennent inaccessibles simultanément. Cartographier le rayon d'explosion de chaque dépendance révèle souvent des SPOF (Single Points of Failure) invisibles dans la topologie habituelle.

Stratégies de mitigation par tier

La stratégie de mitigation dépend du tier : Critique sans fallback → circuit breaker + dégradation gracieuse (retourner une réponse cached ou un état minimal). Élevé → retry avec backoff exponentiel + timeout agressif. Moyen → retry simple + log d'erreur. Faible → accepter le risque, monitorer. Un fallback existant réduit le score de risque effectif même si l'impact reste élevé.

Les pannes corrélées : l'angle mort

La loi du produit suppose l'indépendance des pannes. En réalité, deux fournisseurs hébergés dans la même région AWS us-east-1 partagent un mode de défaillance commun. Une panne de région peut simultanément affecter votre base RDS, vos fonctions Lambda, et plusieurs fournisseurs SaaS. Le scoring de risque doit tenir compte de ces corrélations — souvent le seul moyen d'y remédier est la multi-région ou le multi-cloud.

Pièges courants

  • ! Évaluer le risque sans tenir compte du fallback : une dépendance critique avec un fallback robuste est moins risquée qu'une dépendance 'moyenne' sans aucun filet.
  • ! Traiter les dépendances comme indépendantes : les colocalisations cloud créent des corrélations invisibles qui font exploser votre risque réel.
  • ! Mettre à jour le scoring une seule fois : les SLA changent, les architectures évoluent. Un scoring de risque non maintenu devient trompeur en quelques mois.

Articles liés

SLO Réaliste → SLI & SLO →

Essayer le simulateur →

Score Risque Dépendances →
Démarrer le wizard → ← Mode d'emploi