1.3. Normes traitant la gestion de risque projet
Assurer la qualité du produit logiciel fait partie de
l'objectif de toute entreprise spécialisée dans le
développement informatique et pour y parvenir elle doit se
référer à une norme ou une certification pour garantir sa
continuité.
Richard Basque définit la norme comme suit :
« une norme doit être approuvée par un organisme dûment
mandaté par une communauté de pratiques pour imposer un ensemble
d'énoncés qui doivent être appliqués et
contrôlés ».
Face à cette définition, nous pouvons conclure
que le CMMi n'est pas considéré en tant que norme mais en tant
que modèle proposé et non imposé. Certaines entreprises
l'adopte et la juge intéressante comme critère de
sélection de prestataires.
La certification est une reconnaissance écrite d'un
système à un niveau de qualité. Elle se fait
généralement par rapport à une norme internationale, parmi
les principaux référentiels qui intègrent la gestion de
risque nous pouvons citer:
§ La famille ISO : La norme ISO
27001, interprété par « Organisation International de
Normalisation », précise les conditions pour
l'établissement, la mise en oeuvre et la documentation d'un
Système de Management de la Sécurité de l'Information
«SMSI» et elle le définit comme étant une partie du
système de gestion global, basé sur une approche de risque et
permettant d'établir, d'implémenter, de contrôler, de
maintenir et d'améliorer la sécurité de l'information.
§ CMMi : Capability Maturity Model
Integrated traduit par « Modèle d'évolution des
capacités logiciel ». Ce modèle est proposé par
Software Engineering Institue (SEI). Il est considéré à la
fois comme une certification puisqu'il traite le niveau de qualité et
comme une norme du moment qu'il permet d'organiser au mieux les processus de
management.
Il existe donc plusieurs normes et certifications traitant la
gestion de risque mais nous allons s'intéresser, dans la section
suivante, au CMMi puisque la société TELNET adopte cette
démarche.
1.4. Certification CMMi
Voulant maîtriser la qualité des projets
informatiques, le département de la défense américain
(DoD) a décidé alors de mettre en place un institut
intitulé le Software Engineering Institue (SEI), sa mission est de
promouvoir le transfert de technologie en matière de logiciel,
particulièrement pour les entreprises travaillant pour le DoD. Un leader
qui avait déjà travaillé avec IBM, Watts Humphrey, et qui
avait bénéficié d'une expérimentation au niveau de
la qualité totale, avait extrait un cadre de bonnes pratiques :
c'est là que provient le concept Capability Maturity Model (CMM). Avec
la collaboration de son équipe, Watts a publié des
référentiels et outils d'évaluation pour arriver
finalement au modèle CMMi.
D'après Xavier Borderie [2], le CMMi est « un
modèle d'évaluation de niveau de maturité d'une entreprise
en matière de développement informatique». Cette
définition montre que la certification est juste un modèle pour
suivre en ce qui concerne la conduite de projet informatique pour atteindre la
maturité au niveau des processus.
Le CMMi [3] est une extension de CMM dont il a pris quelques
notions mais avec un référentiel d'évaluation proposant un
nombre de bonnes pratiques (Best Practices) liées à la gestion,
au développement et à la maintenance d'application ou
système informatique. Ce certificat est un référentiel
professionnel destiné exclusivement aux métiers de
l'ingénierie (projets et maintenance), avec une approche
intégrant la conduite du changement dans sa démarche, en
valorisant les équipes et les savoir-faire existants.
Les différents niveaux de maturité relatifs
à la norme CMMi sont représentés par la
figure 1.1.
Figure1.1 - Les niveaux de maturité du CMMi -
1.4.1. Les représentations du
modèle CMMi
Le modèle CMMI englobe un
certain nombre de secteurs-clés (25 environ et qui seront
détaillés dans la figure 1.3), auxquels sont associés
des objectifs et des pratiques. Nous distinguons des objectifs
génériques et des objectifs spécifiques, selon qu'ils
soient partagés par tous les secteurs-clés ou qu'ils soient
spécifiques à un secteur en particulier.
La figure 1.2 représente l'architecture de l'ensemble
des secteurs clés ainsi que les différents objectifs
spécifiques et génériques accompagnés par les
pratiques spécifiques.
Figure
1.2 - Architecture des secteurs-clés de CMMi -
Deux modes de représentation du modèle
coexistent [4], correspondant à deux points de vue
légèrement différents : la représentation
continue et la représentation étagée. Les deux s'appuient
sur les mêmes secteurs clés, mais ceux-ci sont utilisés
différemment.
·
Représentation continue
Dans cette représentation, les secteurs-clés
sont regroupés en quatre catégories : Gestion de
processus (5 secteurs-clés), Gestion de projet (8
secteurs-clés), Ingénierie (6 secteurs-clés) et
Support (6
secteurs-clés).
Le tableau 1.1 présent ci-dessous montre qu'à
chaque secteur-clé est associé un niveau de capacité, sur
une échelle allant de 0 à 5.
Tableau
1.1 - Représentation continue -
|
Niveau
|
Description
|
|
Niveau 0 - Incomplet
|
Les objectifs associés à ce secteur-clé
ne sont pas remplis.
|
|
Niveau 1 - Réalisé
|
Les objectifs sont atteints, mais cette réussite repose
essentiellement sur les individus.
|
|
Niveau 2 - Géré
|
Les objectifs sont remplis en suivant des plans
préétablis.
|
|
Niveau 3 - Défini
|
Une politique de normalisation des processus est mise en place
au niveau de l'organisation.
|
|
Niveau 4 - Maîtrisé
|
Des mesures sont effectuées pour contrôler les
processus et agir en cas de déviation par rapport aux objectifs de
l'organisation
|
|
Niveau 5 - En optimisation
|
Les processus sont sans cesse remis en question afin
d'être toujours en adéquation avec les objectifs de
l'organisation.
|
Il est ainsi possible de déterminer le profil d'une
organisation, en étudiant pour chaque secteur-clé son niveau de
capacité. Tous les secteurs-clés n'atteignent pas
forcément le même niveau, ce qui permet d'apercevoir les points
forts et les points faibles de l'organisation.
·
Représentation étagée
Dans cette représentation, illustrée par la
figure 1.3, un niveau global de maturité de l'organisation va être
déterminé, et non pas un niveau par secteur-clé. Les 25
secteurs clés sont regroupés par niveaux de maturité sur
une échelle de 1 à 5, comprenant chacun respectivement 0, 7, 14,
2 et 2 secteurs-clés. Les niveaux de maturité ont les
caractéristiques suivantes :
Dans le niveau initial, les processus sont
imprévisibles et incontrôlables. Ce niveau est équivalent
à l'obtention de la norme ISO 9001. Ensuite, dans le niveau
géré, des procédures sont mises alors en place pour chaque
projet en utilisant les 7 processus pour permettre une bonne conduite de
projet. Puis, les processus sont définis et documentés au niveau
de l'organisation au niveau défini avec les 14 processus.
Par la suite, l'organisation se fixe des objectifs
quantitatifs et qualitatifs et se dote de moyens pour contrôler qu'ils
sont atteints au niveau maîtrisé. Et enfin les processus sont en
continuelle amélioration pour être toujours dans le niveau
optimisé et ceci est bien résumé dans le tableau 1.2.
Seuls les processus qui sont marqués en gras dans la
figure 1.3 sont en relation avec le processus de gestion de risque, ce point
sera détaillé dans la section suivante.
Figure
1.3 - Les domaines de processus selon la représentation
étagée -
Tableau
1.2 - Représentation étagée -
|
Niveau
|
Description
|
Nombre de secteurs clés
|
|
Niveau 1 - Initial
|
Les processus sont imprévisibles et
incontrôlables.
|
0
|
|
Niveau 2 - Géré
|
Des procédures sont mises en place pour chaque
projet.
|
7
|
|
Niveau 3 - Défini
|
Les processus sont définis et documentés au
niveau de l'organisation.
|
14
|
|
Niveau 4 -Maîtrisé
|
L'organisation se fixe des objectifs quantitatifs et
qualitatifs et se dote de moyens pour contrôler qu'ils sont atteints.
|
2
|
|
Niveau 5 - En optimisation
|
Les processus sont en continuelle amélioration.
|
2
|
Le niveau de maturité de l'organisation va être
ainsi déterminé en examinant les secteurs clés dont les
objectifs sont remplis. Tant que les 7 secteurs-clés du niveau 2 ne sont
pas validés, l'organisation reste au niveau de maturité initial.
Une fois atteint le niveau 2, elle y restera tant qu'elle n'aura pas
validé les 14 secteurs-clés du niveau 3, et ainsi de suite
jusqu'à atteindre le niveau de maturité 5 ce qui est le cas pour
TELNET.
· Différence
entre les représentations du CMMi
Les deux représentations permettent d'aborder le
problème de l'amélioration des processus au sein d'une
organisation sous deux angles différents. La première
représentation, continue, donne une grande liberté dans le choix
des secteurs-clés à améliorer en priorité, puisque
ce choix n'est nullement contraint.
La seconde représentation, étagée, laisse
moins de liberté et donne moins de détails sur l'organisation,
puisque seul un niveau global de maturité est déterminé.
Mais elle fournit un guide appréciable pour la conduite de
l'amélioration en imposant l'ordre des secteurs à
améliorer. Elle est en outre plus facile à mettre en oeuvre :
pour chaque secteur-clé, il s'agit simplement de savoir s'il est
validé ou pas.
La représentation continue sera ainsi plus
adaptée aux petites structures, dont nous maîtrisons les moindres
enchaînements et pour lesquelles le risque de se perdre dans les
détails est relativement faible ; la représentation
étagée sera plus adaptée aux grosses structures,
auxquelles elle fournira des règles solides et une vue
synthétique.
Notons qu'il est possible de passer sans difficulté de
la représentation continue à la représentation
étagée : il suffit de prendre tous les secteurs-clés d'un
niveau de maturité donné; pour chacun de ces
secteurs-clés, nous pourrons déduire de son niveau de
capacité s'il est validé ou pas.
| 
