Note : 5 ; Une appréhension remarquable du sujet, mais exposée de façon par trop abstraite.

Les ouvrages publiés sous le sceau du SEI ont la réputation d’être pointus et hermétiques. Celui-ci ne fait pas exception. L’auteur est une consultante reconnue qui a entre autres œuvré sur des contrats militaires. L’humour et la poésie n’ont guère leur place et, comme nous allons le voir, l’approche est très structurée. De quoi donner froid dans le dos aux tenants de l’agilité à première vue, mais cela peut être différent en y regardant de plus près.
L’ouvrage n’est pas anecdotique avec ses 360 pages hors annexes. Il ne compte pas moins de 5 parties pour un total de 23 chapitres. Au moins cela rythme-t-il la lecture ! Dans la première partie, nous allons partir à la découverte de la gestion des risques, le tarif est de 65 pages sur 3 chapitres. Le premier chapitre est aussi le plus conséquent de cette partie, et il est même assez dense. Il présente nombre de concepts insoupçonnés de la gestion de risque. Les plus importants (que l’on retrouvera plus tard) sont le risque à grande échelle et le risque à petite échelle.

Au chapitre 2, il est question de la formule du succès selon l’auteur, le P2I2 : People, Processus, Infrastructure et Implémentation ! On y trouve quelques graines d’agilité, avec la volonté d’impliquer tout le monde et de procéder par petites étapes, par exemple. Cette première partie se conclut par le « risk management map », pour progresser depuis le traitement du problème (mode réactif) à une vision d’opportunités. La déclinaison de cette progression sur les 4 thèmes vus au chapitre précédent reste quand même à ce stade assez abstraite.

La 2nd partie (comme les 3 suivantes) aborde l’un des axes du P2I2, à savoir ici : le processus. Le thème est couvert par 5 chapitres pour un total de 85 pages. Le chapitre 4 qui débute cette partie va s’attaquer à l’identification des risques. Le chapitre est vraiment très « processus », avec des checklists, un template d’identification de risque, des tâches et des étapes. Mais la maitrise du sujet par l’auteure est indéniable, il n’y a qu’à regarder la taxonomie des risques qu’elle nous propose. Au chapitre 5 on passe à l’analyse. Je l’ai trouvé plus intéressant : il se divise en une partie consacrée aux méthodes d’analyses et une seconde dédiée aux techniques d’évaluation. De l’analyse en kit, en quelque sorte.

Au chapitre 6 on attaque la planification. Comme on pouvait s’y attendre : retour à la case processus avec l’élaboration des scénarios, le développement d’un plan d’action, etc. C’est du classique, bien fait mais guère passionnant. Pour ensuite traquer les risques, l’auteur nous propose un tableau de bord. D’accord il faut le construire, mais c’est déjà plus amusant. Le reste du chapitre évoque les mesures et les seuils de déclenchements et c’est plutôt pointu. Le chapitre 8 qui clôt cette partie traite de la résolution des risques. Ce n’est pas le meilleur chapitre, car il tourne plus autour du sujet qu’il ne l’adresse.

La 3ème partie s’occupe de l’axe infrastructure. Elle totalise 60 pages sur 5 chapitres. Il est question, au chapitre 9, d’établir un politique de traitement des risques. On parle ici de stratégie d’entreprise, mais le propos est un peu trop abstrait à mon goût. Le chapitre 10 n’arrange rien : il y est question d’établir un processus standard de gestion des risques et le chapitre tourne surtout autour de la modélisation du processus, spécifiquement en utilisant la notation IDEF0 (utilisée par ailleurs dans l’ouvrage). Un chapitre à oublier.

Plus original, le chapitre 11 adresse la question de la formation à la terminologie des risques. Et vous pouvez faire confiance à l’auteure pour vous convaincre que cette terminologie peut être très conséquente ! Dommage que le chapitre ne rentre pas à fond dans le sujet ! L’ouvrage ne saurait être digne du SEI s’il n’était question de vérification de conformité ! C’est chose faite au chapitre 12. On n’y échappe pas à l’avalanche de norme, mais la grille d’audit une fois très adaptée pourrait être de quelque usage. Cette partie se referme sur un chapitre 13 s’attachant aux pratiques d’amélioration, essentiellement articulé autour de la mesure de la performance. J’avoue avoir été peu convaincu de la faisabilité de l’approche, en tout cas tel que décrit.

La 4ème partie se focalise sur l’implémentation. Elle compte également 60 pages avec aussi 5 chapitres. Mettre en place une « initiative risque » est au programme du chapitre 14. Il nous prodigue une trame organisationnelle assez générique et cette partie n’est pas des plus passionnantes. Le développement du plan, sujet du chapitre 15 est moins générique, mais se limite à évoquer les objectifs et les missions afférentes aux différents rôles de l’organisation. C’est un peu court.

C’est de l’adaptation du processus standard dont il est question au chapitre 16. Appeler cela « déviation » est déjà un certain parti pris à cet égard, à mon avis, et la manière très formelle de documenter cela n’est qu’un frein supplémentaire. L’évaluation ou l’audit devrais-je dire des risques est le point d’orgue de cette partie. C’est un processus à part entière planifié sur 3 jours que nous propose l’auteure. Il est aisé de voir que l’on touche là à son expertise. C’est solide et bien documenté. Un des points forts du livre. Cette quatrième partie se referme par un chapitre 18 consacré au contrôle des risques. Il n’y pas grand-chose à en dire. La lecture donne même un peu l’impression de tourner en boucle…

La 5ème et dernière partie se focalise sur les personnes. Elle compte aussi 5 chapitres, mais cette fois sur 100 pages. Le chapitre 19 qui ouvre le bal est sobrement intitulé « problem ». Plus exactement il s’attaque à la phase de caractérisation des problèmes. Je n’avais pas idée que l’on puisse imaginer quelque chose d’aussi complexe pour cela ! Je suis loin d’avoir été convaincu par le propos. Réduire l’ampleur des problèmes fait aussi l’objet d’un traitement assez lourd et disons administratif au chapitre 20, il semble toutefois un peu plus concret qu’au chapitre 19.

Place à la prévention des risques au chapitre 21. L’auteure nous propose fort logiquement de nous appuyer sur les expériences passées et leur distribution des types de risques. On pourra y cueillir quelques idées, bien que le propos reste fort générique. On passe de la prévention à l’anticipation au chapitre 22. Les abaques assez impressionnants et la logique de prédictibilité ne m’ont pas réellement accroché. Enfin le livre se termine avec le chapitre 24 et une vue orientée « opportunités » des risques. Malheureusement, là non plus je ne trouve guère de quoi m’intéresser, à part peut être l’introduction à la « power pyramid ».

Ce n’est pas une lecture du dimanche (sauf sans doute pour moi), mais cela était au programme. Le manque de matière concrète, comme une étude de cas à l’appuis, et un plan un peu trop rigide que l’auteur s’est contraint à suivre rendent la lecture de ce livre vraiment difficile. Au final, même si le livre est riche (et cher, d’ailleurs !), on doute d’être capable de mettre en œuvre des idées exposées de façon si abstraite.

Référence complète : Managing Risk, methods for software systems development – Elaine M. Hall – Addison Wesley / SEI series 1998 – ISBN: 0-201-25592-8