Norme ISO sur mesure pour les TPE

Les quatre premières parties utiles aux membres du groupe de travail sur ISO29110 et aux auditeurs en entreprises sont dejà publiées sur le site lSO. La cinquième partie, la plus intéressante pour les TPE, détaille l’organisation du travail pour la gestion de projet et l’implémentation logicielle, tests inclus. Celle-ci sera distribuée gratuitement via le site de l’ISO dans le courant de 2011.
En attendant, cette publication, les TPE peuvent déjà accéder gratuitement aux trousses de déploiement des pratiques promues par ISO29110 sur le site du professeur Laporte de l’ETS à Montréal. Notons que les grandes entreprises fatiguées de la lourdeur des normes telle que CMMI sont aussi des utilisateurs cibles d’ISO29110.

Afin de présenter le travail du CETIC sur la norme ISO 29110 et l’implication plus globale du CETIC dans le monde des standards, Berengère Fally (BF), Responsable Communication au CETIC, a interviewé Jean-Christophe Deprez (JCD), Coordinateur Scientifique au CETIC et représentant belge au sous-comité 7 (ISO JTC1-SC7) sur l’ingénierie des systèmes et des logiciels.

BF : Avant d’en venir à la publication de la norme ISO29110 pour les TPE et l’implication du CETIC sur cette norme, peux-tu me résumer en quoi il est important pour les entreprises belges de s’intéresser aux standards.

JCD : Pour être bref, nous pouvons voir les standards comme une nouvelle forme de protectionnisme. Divers régions géographiques créent des groupes de nature plus ou moins internationale qui ont la responsabilité de définir les normes à appliquer sur leur territoire. Le Japon, l’Europe, les USA ou la Chine ont tous de tels groupes. Quand une entreprise externe veut vendre ses produits ou services à l’intérieur d’un territoire choisi, elle doit obligatoirement répondre aux standards imposés par le ou les groupes de la région. Le coût d’entrée pour une entreprise externe n’est donc pas nul car il oblige l’entreprise à passer du temps à comprendre les standards, à modifier ces produits et services pour y satisfaire et finalement à certifier ses produits et services.

BF : Comment une entreprise belge peut-elle être pro-active par rapport aux groupes qui imposent certains standards ?

JCD : Il est clair que les grosses entreprises internationales ont compris l’intérêt de s’impliquer le plus tôt possible dans le développement de normes. Ces entreprises proposent même leur manière de faire en tant que standard ainsi elles répondent de facto au standard dès sa sortie. Par exemple, le standard HL7 lié à l’échange de données médicales de patients - qui vient d’ANSI (American National Standards Institute) et dont la mission est d’améliorer la compétitivité globale des entreprises américaines - a été poussé au niveau international ISO par ses auteurs et il est maintenant reconnu comme standard ISO (ISO/HL7 27931:2009). Les entreprises américaines qui ont déjà conçu leur système pour être en phase avec HL7 depuis des années ont donc bénéficié d’un avantage compétitif non négligeable en terme d’accès au marché international rapide. On pourrait croire que cette manière d’agir n’est pas possible pour les plus petites entreprises qui constituent le tissu économique wallon. Or cela n’est pas nécessairement vrai. Les centres de recherche wallons sont en effet de bons leviers pour les PME wallonnes. Par exemple, pour les standards en ingénierie système et logiciel, en sécurité et en eHealth, le CETIC peut non seulement expliquer ces standards aux entreprises wallonnes mais aussi les aider à aligner leurs produits et services sur ces standards. Finalement, les entreprises wallonnes peuvent demander au CETIC de promouvoir leurs techniques et procédures dans les divers comités de standards ISO.

BF : En résumé, tu encourages les entreprises wallonnes à interagir avec les centres de recherche en matière d’utilisation de standards et de mise à niveau de leurs produits et services pour satisfaire à ces standards. De plus, dans le cycle de développement de produits et services, tu pousserais les entreprises wallonnes à venir voir le CETIC le plus tôt possible pour définir leur stratégie vis-à-vis des standards et même d’influencer la conception des ces standards.

JCD : Exactement. Et pour le cas particulier du CETIC, nous pouvons aider les entreprises wallonnes à gérer et donner un retour sur les standards d’ingénierie de systèmes et de logiciels (le sous comité ISO JTC1-SC7), les standards eHealth (ISO TC 215), sur la sécurité (le sous comité ISO JTC1-SC27), les cartes d’identités électroniques (le sous comité ISO JTC1-SC27). Qui plus est, le ISO JTC1-SC7 a un site dédié qui présente les projets en cours au sein des divers groupes de travail. Les groupes de travail des autres comités où le CETIC est impliqué sont présentés en ligne également.

BF : Passons maintenant aux choses plus concrètes concernant la norme, ISO29110... De quoi s’agit-il au juste ?

JCD : En 2006, un groupe de travail a d’abord lancé un sondage au près des très petites entreprises afin de mieux comprendre leurs besoins en matière de normes sur les processus (= organisation du travail) de développement logiciel. Les résultats de ce sondage ont d’ailleurs été publiés dans IEEE Computer [1] (téléchargeable sur le site du Prof. Claude Laporte). Ce sondage montre que les TPE trouvent les normes beaucoup trop lourdes et inadaptées à leur contexte. En revanche, les TPE se montraient intéressées par les normes, en particulier, ISO 9000 qu’elles pensent valorisable au près de leur clientèle. Sur cette base, le groupe 24 de l’ISO fut crée avec donc comme objectif de produire une norme, utilisable par les TPE, de développement logiciel qui les amènerait graduellement vers une certification ISO9000. Afin de ne pas recommencer d’une feuille blanche, ce groupe a décidé de piocher dans les normes existantes pour en extraire les parties applicables aux TPE. Les normes ISO 12207 sur les processus du cycle de vie de développement logiciel, 15504 sur l’évaluation de processus et 15288 sur le document/produit du travail ont été consultées pour créer ISO29110.

BF : Et ceci va donc être publié par l’ISO ?

JCD : Effectivement, la première version va sortir dans le courant 2011. Cette première version est composée de 5 parties. Les 4 premières parties présentent le contexte global et font le lien avec les autres normes que je viens juste de mentionner. Finalement, la 5eme partie décrit les processus (l’organisation de travail) pour une gestion de projet et une implémentation de logiciel adaptée aux TPE. C’est surtout cette dernière partie qui a un intérêt pour les TPE. Le groupe 24 a d’ailleurs obtenu l’accord de l’ISO pour que cette 5eme partie soit publiée gratuitement. De plus, il est très utile de noter que l’ETS (université canadienne) à Montréal, mets aussi à disposition un ensemble d’outils facilitant la mise en place de la norme ISO29110 au sein d’une TPE. Elle propose par exemple une spreadsheet qui reprend les points importants à aborder lors de la définition d’un cahier de charge ou encore, un descriptif de comment utiliser SVN pour atteindre les objectifs fixés par la norme ne matière de gestion de versions. Il y a aussi des outils pour guider la phase de tests logiciels. Le dépôt de l’ETS s’est enrichi au cours du temps et il va continuer à s’améliorer dans le futur. La section ’trousse de déploiement’ donne accès à tous ces outils.

BF : Votre travail sur ISO29110 est-il clôturé ?

JCD : Absolument pas, cette première version de la norme ne répond pas encore à l’aspect « amener graduellement une TPE vers une certification ISO9000 ». Pour le moment, ISO29110 n’élabore qu’un niveau de processus appelé niveau de base. Après des débats au courant des 2 dernières années, le représentants canadien, luxembourgeois et moi-même (représentant belge) avons convaincu les autres pays sur le fait que le niveau de base semblait déjà fort haut pour la plus part de TPE. Nous travaillons donc sur une version plus légère qui proposera le niveau d’entrée. D’autre part, il est clair que le niveau de base n’est pas assez complet pour obtenir une certification ISO9000. Le groupe 24 travaille donc aussi sur la production d’un niveau supplémentaire qui rajoute une marche vers ISO9000. Ces deux niveaux feront partie de la seconde version de la norme qui devrait sortir au plus tôt fin 2012. C’est vrai que cela peut sembler long mais malheureusement, cela reste l’ISO, fait de débats et de consensus et cela prend donc obligatoirement du temps. Mais bon, grâce au système et à nos représentants politiques belges, nous comprenons déjà très bien cela.

BF : Aucun autre point à l’agenda ?

JCD : Si, mais ceci est beaucoup plus embryonnaire. Un autre groupe de travail ISO (le groupe 10) travaille sur la standardisation de la gestion de service IT (se basant sur des modèles comme ITIL). Il vient aussi de publier la première version de leur norme (ISO20000). Les représentants de ce groupe sont conscients que leur version initiale n’est pas adaptée au TPE. Or, les TPE rencontrent aussi beaucoup de problèmes de gestion de service IT. Il y a maintenant un début d’initiative pour produire un standard de gestion de service IT pour TPE. J’en saurai plus après la réunion plénière du sous-comité 7 prévue pour mai à Paris.

Jean-Christophe DEPREZ et Bérengère FALLY