Des logiciels certifiés en Belgique ?

Les fondements théoriques

Valérie Paulus, du CETIC, a introduit une méthode de définition et de validation de mesures mise au point au CETIC (voir les slides), qui pourrait servir de base pour la certification de logiciels. Celle-ci, selon le CETIC, consiste à vérifier qu’un logiciel respecte un certain nombre d’exigences, et ce par un processus de mesures valides. Cette définition, base de la recherche au CETIC dans ce domaine, permet de poser le cadre nécessaire à l’élaboration de ce processus. Ses différentes caractéristiques ont été brièvement passées en revue.

Un cas concret : la certification chez Techspace-Aero

Daniel Gobbe, responsable qualité pour le département informatique de la société Techspace-Aero a décrit le procédé de certification mis en place au sein de son département (voir les slides). Les critères évalués concernent aussi bien les processus de développement suivis que les qualités du produit logiciel en lui-même :

• la mise en place d’une procédure de validation qui sera appliquée à diverses étapes du cycle de développement ;
• la description claire de la procédure de développement et le suivi par les informaticiens de cette dernière ;
• la mise en place de revues de code systématiques ;
• d’autres aspects comme la documentation, la gestion de configuration, la compétence du personnel, la formation, l’assurance-qualité ou la gestion de projet.

Les avantages de la certification logicielle, selon Daniel Gobbe sont :

• la satisfaction du client ;
• la réduction des coûts ;
• la maîtrise des risques ;
• la diffusion des connaissances ;
• la meilleure gestion des projets et des ressources.

Daniel GOBBE, certificateur de logiciels chez Techspace-Aero : "La conception de logiciels ne s’apparente pas aux mathématiques. Pour s’assurer du résultat final, vous êtes obligé d’évaluer les processus qui l’ont engendré."

Quelles bases légales pour la certification ?

Eric Gheur, consultant de la société Galaxia et président du Comité de Normalisation-Ingénierie des Systèmes d’Information au sein de l’IBN, nous a présenté le cadre réglementaire dans lequel se jouait la certification, tant au niveau national qu’européen (voir les slides). La constatation la plus surprenante est le manque important de prise de position en Belgique dans le domaine de la certification. Beaucoup de travail reste à faire pour atteindre la niveau de professionnalisme de nos voisins européens.

Eric Gheur, président du comité de normalisation "Ingénierie des Systèmes d’Information", à l’IBN : "En Belgique, aucune loi n’impose le contrôle de la compétence des certificateurs. En conséquence, bon nombre de certificateurs ISO 9000, par exemple, n’ont pas les connaissances nécessaires".

A-t-on besoin de certification logicielle ?

Durant le débat, alors que tout le monde s’est accordé pour souligner l’importance de la certification de logiciels dans des domaines critiques, où la vie humaine est en jeu (domaines nucléaire et médical, par exemple, régis principalement par des normes internationales), des divergences émergent pour les systèmes n’ayant pas cette caractéristique. Un participant mentionne qu’actuellement il n’y a pas de besoin fort en matière de certification dans le monde de l’informatique belge, car il n’y a pas de réel intérêt économique, tout simplement (au contraire du domaine des ascenseurs, par exemple). Le client n’est actuellement pas prêt à supporter le surcoût lié à la certification, même pour une qualité accrue. Comme exemple, il mentionne la Banque Carrefour des Entreprises, flop fédéral pour lequel l’Etat avait choisi le soumissionnaire le meilleur marché. Un autre intervenant souligne néanmoins que la pression internationale en matière de certification se fait sentir de plus en plus et qu’il est grand temps d’en tenir compte aux niveaux belge et européen. Il souligne le poids que la Belgique a dans les comités de normalisation de l’ISO, grâce à ses lettres de noblesse, acquises notamment dans le domaine de la cryptographie. Un troisième voit dans les méthodes de certification issues du monde académique, comme celle proposée par le CETIC, une opportunité d’atténuer les copinages entre certificateurs et certifiés, comme c’est le cas à présent pour les certificats ISO 9000, souvent utilisés
à des fins de marketing. Un autre participant, au sujet de cette même norme, décrit son inutilité vis-à-vis de son entreprise : les processus réels, utiles, ne sont pas exprimables selon la norme qui est plus un poids qu’une aide.

Certification de processus vs certification de produits

Y a-t-il un lien entre la qualité des processus de développement (évaluée par des normes comme ISO 9000, SPICE ou CMM) et la qualité des produits logiciels qui en résultent ? Alors que cela paraît évident pour bon nombre d’intervenants (et explicitement décrit dans la norme ISO/IEC 9126, référence en matière de qualité des produits logiciels), le CETIC souligne qu’actuellement aucun lien de cause a effet n’a été établi entre la qualité des processus et qualité des produits, d’où l’intérêt d’entamer des démarches de certification de logiciels.

La notion même de qualité

Après avoir évoqué le nivellement général de la qualité par le bas dans le monde de l’informatique belge, un participant a mentionné que la notion de qualité est relative : elle s’entend par rapport aux exigences et aux besoins qu’ont des utilisateurs sur un logiciel.