- Chapitre 4

L’analyse de risque

- 4.1 Introduction

Les spécialistes logiciels sont d'éternels optimistes. Lors de la planification des projets logiciels, ils
supposent généralement que tout se passera exactement comme prévu. La réalité est très différente : tout
projet de développement logiciel comporte des risques. La gestion du risque est reconnue comme une
pratique éprouvée dans l'industrie du logiciel. Dans certains organismes, ceux qui lèvent le drapeau en
indiquant un nouveau risque sont souvent considérés comme des plaignards ou des fauteurs de troubles. La
réaction de l’organisme est souvent de s’attaquer à ces personnes et non pas aux risques. Ces organismes
sont souvent en mode réactif. Lorsqu’un risque devient un problème, on essaie alors de l’atténuer, ensuite
de le gérer, comme par exemple en ajoutant du personnel à un projet en retard. Quand ces deux approches
échouent, l’organisme passe alors en mode de gestion de crises. Il faut éteindre le feu.

Avec la complexité croissante et une demande croissante pour des produits logiciels plus grands, meilleurs
et plus performants, l'industrie du logiciel est une entreprise à risque élevé. Lorsque les équipes de
développement ne gèrent pas les risques, ils deviennent vulnérables à des facteurs qui peuvent causer des
reprises majeures, des coûts additionnels, des retards de livraison ou, tout simplement, l'échec du projet.

L’analyse du risque selon le SWEBOK. L’identification et l’analyse des risques (ce qui peut tourner mal,
comment et pourquoi, et quelles sont les conséquences probables), l’évaluation des risques critique (qui
sont les risques les plus significatifs en termes d'exposition, et pour lesquels on peut faire quelque chose
environ en termes de levier), réduction de risque et planification d'urgence (formuler une stratégie pour
traiter des risques et pour contrôler le profil du risque) sont tous entrepris. Des méthodes d’évaluation des
risques (par exemple, des arbres de décision et des simulations de processus) devraient être employées afin
de mettre en relief ces risques et de les évaluer. Des politiques d'abandon de projet devraient également être
déterminées en ce moment dans la discussion avec tous les autres mandataires. Les aspects du risque qui
sont uniques au logiciel, tels que la tendance des ingénieurs logiciel d'ajouter des dispositifs (features) non
désirés ou les risques propres à la nature intangible du logiciel, doivent influencer le management des
risques du projet.
-
- La norme IEEE1058, IEEE Standard for Software Project Management Plans, spécifie en ce qui
concerne la gestion du risque, l’article 5 de la norme demande de décrire les procédures de planification
d'urgence et les méthodes à utiliser pour le suivi des facteurs de risque. L’article demande aussi d’évaluer
les changements des risques et les réponses à ces changements.
-
- 4.2 La gestion du risque selon le PMI

-
Le Guide du Corpus des connaissances en management de projet (Project Management Body of
Knowledge, PMBOK) du Project Management Institute, regroupe l'ensemble des connaissances du
domaine professionnel du management de projet. Il comporte neuf domaines de connaissance, l’un d’eux
décrit le management des risques du projet. Pour le PMI, le risque du projet correspond à un événement ou
une situation dont la concrétisation, incertaine, aurait un impact positif ou négatif sur au moins un objectif
du projet tel que les délais, le coût, le contenu ou la qualité (l'objectif de délais du projet étant de livrer
conformément à l'échéancier convenu, l'objectif de coût du projet étant de livrer dans les limites de coût
convenues, etc.). La figure 4.1 tirée PMBOK, montre tout au long du projet, la différence entre l’influence
des parties prenantes des risques et incertitude, et le coût des modifications.

Fort Influence des parties prenantes, risque et incertitude

Degré

Coût des modifications

Faible
Temps d’écoulement du projet
Figure 4.1 – Impact des variables en fonction du temps

Dans le PMBOK, la gestion des risques comprend les processus de management suivants selon le PMI :

L’évaluation des risques Le contrôle des risques

Analyse Mettre en Planification

Identification Résolution Surveillance
des priorité les de la gestion
des risques des risques des risques
risques risques des risques

Liste des risques Risques en ordre de Plan de gestion des

Risques évalués
potentiels priorité risques

Atténuation des
Liste des risques
risques

Séance de leçons
apprises

Figure 4.2 – Les considérations pratiques de la gestion du risque

1. l’identification des risques détermine quels risques pourraient avoir un impact sur le projet et
documente leurs caractéristiques;
 2. l’analyse qualitative des risques consiste à hiérarchiser les risques pour une analyse ou une action
ultérieure en évaluant et en combinant leur probabilité d'occurrence et leur impact;
3. l’analyse quantitative des risques consiste à effectuer l'analyse chiffrée des effets des risques
identifiés sur l'ensemble des objectifs du projet;
4. la réponse aux risques permet d'élaborer des options et des actions pour améliorer les opportunités
favorables aux objectifs du projet et réduire les menaces à leur encontre;
5. la surveillance et maîtrise des risques consiste à suivre les risques identifiés, surveiller les risques
résiduels, identifier les risques nouveaux, exécuter les plans de réponse.
-

- 4.2.1 L’identification des risques

L’identification des risques produit des listes de risques, spécifiques à un projet, susceptibles de
compromettre le succès d'un projet. Les outils et techniques d'identification des risques comprennent :
revue de documentation, des listes de risques génériques (check-list), les remue-méninges (brainstorm), des
interviews, l’analyse des forces et faiblesses, la comparaison avec l'expérience passée et les rapports de
bilan de projet, le diagramme cause-effet et le diagramme d’influence. Il y a souvent, dans un organisme,
des personnes qui possèdent beaucoup d’expérience. Cette personne donnera des idées pour résoudre ces
problèmes et pourra même indiquer d’autres problèmes auxquels les membres de l’équipe n'ont pas pensés.
La figure 4.3 donne une liste des risques les plus courants selon Boehm.

Éléments de risque Techniques de gestion du risque

L'insuffisance (shortfall) du Dotation avec les meilleurs talents, la
personnel formation d'équipes et la formation croisée.
Calendriers et budgets Estimations faites de plusieurs façons,
irréalistes développement incrémental, réutilisation.
Développement des mauvaises Participation des utilisateurs, prototype,
fonctionnalités et propriétés analyse des tâches, sondage des utilisateurs,
manuel des utilisateurs disponible tôt.
Développement des mauvaises Prototype, scénario, analyse des tâches,
interfaces usager participation des utilisateurs.
Surfaire (Gold-plating) Nettoyage des exigences (scrubbing)
prototype, analyse du coût-bénéfice, budget
déterminé de conception.
Changement continuel des Développement incrémental (pour repousser
exigences les changements à d’autres incréments).
Déficiences des composantes Inspection, vérification des références, analyse
développées à l’extérieur de compatibilité,.
Déficiences dans les tâches Vérification des références, audit, contrat
effectuées à l’extérieur octroyé avec bonification.
Déficiences de la performance Simulation, jalonnage (benchmarking),
en temps réel prototype.
Capacités poussées à leur Prototype, analyse technique, analyse coût-
limite bénéfice.

Figure 4.3 – Liste des risques d’un projet logiciel selon Boehm

Un projet logiciel peut rencontrer différents types de risques : technique, de gestion, financier, de personnel
et de ressource [WES 10] :
• les risques techniques incluent des problèmes en ce qui concerne la taille du projet, la
fonctionnalité du projet, les plates-formes, les méthodes, les normes ou les processus. Ces risques
peuvent résulter de contraintes excessives, le manque d'expérience, des paramètres mal définis ou
des dépendances à des organismes en dehors du contrôle direct de l'équipe du projet;
 • les risques de gestion comprennent le manque de planification, le manque d'expérience en gestion
et de la formation, les problèmes de communication, un manque d'autorité et des problèmes de
contrôle les risques financiers comprennent les difficultés de flux de trésorerie et budgétaires;
• les risques contractuels et les risques juridiques comprennent les changements aux exigences, les
calendriers du marché, les questions reliées à la santé et à la sécurité, à la réglementation
gouvernementale et les questions de garantie du produit;
• les risques de dotation de personnel comprennent les retards à doter correctement un projet, les
problèmes reliés à l’expérience et la formation des membres d’une équipe de projet, les questions
éthiques et morales, les conflits personnels et les questions de productivité;
• les risques reliés aux autres ressources, notamment l'indisponibilité ou la livraison tardive du
matériel et des fournitures, des outils inadéquats, des installations inadéquates, l'indisponibilité des
ressources informatiques et le temps de réponses lent.

Il existe plusieurs techniques pour l'identification des risques : des entrevues, des sessions de remue-
méninges, la décomposition, l’analyse des hypothèses du projet, la documentation de ce qui est inconnu au
sujet d’un projet donné, l’analyse du chemin critique, la revue des risques documentés lors de la revue de
bilan de projets complétés et l'utilisation des taxonomies des risques ou de listes de vérification. À ces
techniques, il ne faut pas oublier qu’un environnement de travail approprié facilite la communication des
risques.

Un énoncé de risque se compose de deux éléments : la condition du risque et les conséquences potentielles.
La condition est un exposé du problème potentiel qui « décrit les principales circonstances, la situation
produisant le doute, l'anxiété ou l'incertitude. » [DOR 96]. La conséquence est un bref énoncé qui décrit la
perte immédiate ou le résultat négatif si la condition se transforme en un problème pour le projet. Par
exemple : étant donné qu’une équipe de développement ne livrera peut-être pas ses modules avec le niveau
de qualité demandé par le client, il faudra augmenter l’effort requis en faisant des heures supplémentaires
pendant les trois prochaines semaines.

Une fois les risques identifiés, il s’agit de les documenter. La figure 4.4 montre une grille de documentation
des risques. La colonne de gauche intitulée ‘numéro d’identification du risque’ est un numéro assigné à
chaque risque par le chef de projet ou tout simplement un numéro séquentiel. La colonne intitulée
‘description du risque’ décrit le risque en utilisant la formulation suivante: ‘si l’événement X se produit
alors la conséquence serait Y’. Par exemple, si l’estimation de l’effort est incorrecte de 10 %, alors la
livraison du produit au client sera retardée de 2 semaines.

Numéro Description P C E Réduction du risque

d’identification du du risque
risque
1

Figure 4.4 – Grille de documentation des risques (Laporte, 2011)

- 4.2.2 L’analyse qualitative des risques

Une fois les risques identifiés et documentés, on procède à l’analyse de chacun des risques. L'analyse des
risques évalue la probabilité de perte et l’ampleur de la perte pour chaque risque identifié et elle évalue les
interactions possibles entre les risques identifiés. Les outils et techniques d’analyse sont: les modèles de
coût, l’analyse des facteurs de la qualité (p.ex. fiabilité, disponibilité, sécurité), l’analyse de sensibilité,
l’analyse par arbre de décisions. Voici une liste de questions qui peuvent faciliter l’analyse :

• Quand l'événement pourrait-il se produire?

o Dans quelles circonstances?
o Quand devons-nous agir afin de léviter ou de l’atténuer?
o Que pourrait–t-il arriver par la suite?
• Quelle est la probabilité?
• Quel est l'impact?
o Comment peut-on quantifier l’impact?
• Qu'est-ce que nous pouvons contrôler ou influencer?
o La probabilité de l'événement lui-même?
o La probabilité des résultats possibles?
o L'impact sur le résultat?

La grille, illustrée à la figure 4.4, indique comment documenter l’analyse des risques d’un projet logiciel.
La colonne ‘P’, est la probabilité d’occurrence du risque, exprimée par un nombre entre 1 (très peu
probable) et 5 (certain de survenir). Alternativement, vous pouvez exprimer la probabilité par la notation
faible, moyenne ou élevée. La colonne ‘C’, indique la conséquence si ce risque se transforme en problème,
exprimé par un nombre compris entre 1 (conséquence minimale) et 5 (consquence importante).
Alternativement, vous pouvez estimer la conséquence par la notation faible, moyen ou élevé. La colonne
‘E’, indique l’exposition au risque. Si des valeurs numériques ont été utilisées pour l’estimation de la
probabilité et de la conséquence, alors l’exposition au risque E = P X C. Si des valeurs relatives ont été
utilisées (p.ex. faible, moyen, haut), on peut estimer l'exposition au risque en utilisant la figure 4.5. Si on
utilise des valeurs numériques pour la probabilité et l’impact, on peut ainsi calculer l’exposition ou une
valeur de la priorité (probabilité X conséquence) de ce risque. Par exemple, pour une probabilité de 3 et une
conséquence de 4, on obtiendrait une priorité de 12.

Impact
Probabilité Faible Moyen Élevé

Faible Faible Faible Moyen

Moyenne Faible Moyen Élevé
Élevée Moyen Élevé Élevé

Figure 4.5 – Grille de classification des risques (Laporte, 2011)

La figure 4.6 présente un gabarit de description d’un risque suggéré par Carl Wiegers. Il comporte plus
d’information que le gabarit de la grille présentée ci-dessus. Un champ, intitulé ‘Premier indicateur’,
permet de noter le les premiers indicateurs ou les facteurs de déclenchement (de l’anglais trigger) qui
pourrait indiquer que ce risque va se transformer en problème. Un champ identifie la personne responsable
de mettre en œuvre des actions d’atténuation de ce risque. Un autre champ indique le moment où cette
mitigation devrait être complétée.
 Identification : <numéro séquentiel ou une étiquette plus pertinente>
Description : <Énumérez chaque risque majeur du projet. Décrivez chaque risque en utilisant la notation ‘condition-
conséquence’>
Probabilité : <Quelle est la probabilité Perte : <Quel est le dommage si ce Exposition : <Multipliez la probabilité
que ce risque se transforme en risque devient un problème?> par la perte.>
problème?>
Premier indicateur : <Décrivez les premiers indicateurs ou les facteurs de déclenchement (trigger) qui pourrait indiquer que ce
risque se transforme en problème.>
Approches d’atténuation : <Énumérez une ou des actions pour contrôler, éviter, minimiser, ou mitiger ce risque.>
Propriétaire : <Assigner chaque action de mitigation à une Date d’échéance : <Indiquez la date où la mitigation devrait
personne pour résolution.> être complétée.>

Figure 4.6 – Formulaire de documentation des risques (WIE 07 traduit par Claude Laporte)

Maintenant que les risques ont été évalués, on peut procéder aux activités de contrôle des risques.

- 4.2.3 L’analyse quantitative et la réponse aux risques

La résolution des risques produit une situation dans laquelle les risques identifiés sont éliminés ou résolus
autrement (par exemple par l’assouplissement des exigences). Les techniques comprennent : prototype,
simulation, jalonnage (benchmarking), analyse de mission et le développement incrémental.
Les stratégies de résolution des risques sont :
• évitement : s'abstenir d'exercer une activité ou de développer une composante à risque;
• confinement : établir des réserves;
• atténuation : mettre au point une stratégie de dégagement;
• évasion : ne pas tenir compte des risques.

Afin de prendre cette décision il est intéressant de quantifier les risques. L'évaluation des risques nécessite,
au minimum, les mesures suivantes. La mesure de la probabilité : une mesure de la probabilité qu'une
menace se produira. Par exemple, cette mesure peut être une valeur variant de 0 à 5 ou de 0 à 10, une valeur
qualitative telle que faible/moyenne/élevée. La figure 4.7 montre un exemple de catégories de probabilité.

Valeur
1 Peu probable
2 Faible probabilité
3 Probable
4 Très probable
5 Presque sûr

Figure 4.7 – Exemple de catégorie de risque (Laporte, 2011)

Ensuite, la mesure de l’impact qui une mesure de la perte se produira si une menace se réalise. Par
exemple, cette mesure peut être une valeur variant de 0 à 5 ou de 0 à 10, une valeur qualitative telle que
faible/moyenne/élevée. La figure 4.8 montre un exemple de catégories d’impact;
 Valeur Technique Calendrier Coût

1 Minimal ou sans Minimal ou sans Minimal ou sans

impact impact impact
2 Dégradation Activités Augmentation
mineure additionnelles du budget < 5%
requises
3 Dégradation Glissement du Augmentation du
moyenne calendrier budget <10%
acceptable
4 Dégradation Chemin critique Augmentation du
inacceptable, mais affecté budget <15%
solution alternative
existe
5 Inacceptable, Ne peu pas Augmentation du
aucune solution rencontrer les budget >15%
alternative jalons

Figure 4.8 – Exemple de catégorie d ‘impact (Laporte, 2011)

Ensuite déterminer la mesure d'exposition qui est une mesure de l'ampleur d'un risque fondée sur les
valeurs de la probabilité et de l'impact. Il est plus facile de fournir cette mesure si les mesures de probabilité
et d’impact ont été chiffrées. La portion de la grille qui se trouve en bas à gauche indique la zone de faible
exposition, la région en haut à droite indique une exposition élevée et la zone intermédiaire indique une
exposition moyenne.
Moyen
Élevé

4
Probabilité
3

Faible
1

1 2 3 4 5
Impact
Figure 4.9 – Grille d’exposition au risque (Laporte, 2011)

- La figure 4.9 décrit 3 exemples de risques. Le premier risque est un risque moyen puisqu’il est
probable et que le glissement du calendrier est acceptable, le deuxième risque est faible et le risque 3 est
élevé. Quand on met tous ces éléments ensemble il est facile de représenter l’ensemble des risques du
projet.
 -
Valeur
1 Peu probable
2 Faible probabilité
5 3
3 Probable
4
4 Très probable

Probabilité
5 Presque sûr 3 1
2
Valeur Technique Calendrier Coût
1 2
1 Minimal ou sans Minimal ou sans Minimal ou sans
impact impact impact 1 2 3 4 5
Conséquence
2 Dégradation Activités Augmentation
mineure additionnelles du budget < 5%
requises
3 Dégradation Glissement du Augmentation du
moyenne calendrier budget <10%
acceptable
4 Dégradation Chemin critique Augmentation du
inacceptable, mais affecté budget <15%
solution alternative
existe
5 Inacceptable, Ne peu pas Augmentation du
aucune solution rencontrer les budget >15%
alternative jalons

Figure 4.10 – Exemple de risques pour un projet logiciel donné (Laporte, 2011)

Pour un risque faible, on ne prendra pas d’action spécifique, pour un risque moyen, une surveillance serrée
sera suffisante tandis que pour un risque élevé, une action doit être prise dès que possible.
On peut aussi mesurer différents éléments de gestion du risque pendant le déroulement d’un projet. Par
exemple :
• le nombre de risques identifiés;
• le nombre de risques actifs;
• le nombre de risques par catégorie d’exposition (p. ex. faible, moyen, élevé);
• l’effort de gestion du risque (heure-personne);
• nombre des risques identifiés, gérés et surveillés;
• nombre de risques qui n’avaient pas été identifiés;
• nombre d’audits du processus de gestion du risque;
• nombre de risques fermés depuis le début du projet par rapport au nombre identifié au départ;
• pourcentage du budget consacré aux activités de gestion du risque.

On rappelle ici, qu’en ce qui concerne la mesure, il faut y aller avec prudence surtout que la gestion du
risque est, au départ, un sujet délicat à gérer.
- 4.2.4 La surveillance et la maîtrise des risques

La surveillance des risques implique le suivi de progrès du projet pour résoudre les éléments de risque et
prendre des mesures correctives le cas échéant. Les techniques et outils comprennent : des audits des
risques, l’analyse des écarts et des tendances, les revues de projet, le suivi des jalons, la liste des risques les
plus importants.