Analyse des risques

Tout projet nécessite de prendre des risques.

Il donc est important de savoir les quantifier et les gérer.

La première étape consiste à définir le niveau de risque, en s’aidant par exemple du diagramme d’Ishikawa.

risques

Les 5 principaux critères “TITDS” qui mènent à l’échec d’un projets sont les suivants :

  • Taille: c’est l’importance du projet, son envergure. Plus un projet est important, plus le budget et l’engagement financier est grand. Les projets stratégiques sont souvent des projets de taille importante.
  • Intégration: plus le SI est complexe ou étendu comme dans le cas des grandes organisations, plus l’intégration du système risque de poser problème lors de sa mise en œuvre.
  • Technicité: les nouvelles technologies non éprouvées ou mal maîtrisées, les solutions très innovantes introduisent des problèmes souvent inattendus. Les projets importants s’accompagnent également souvent des fonctionnalités complexes, de paramétrages fastidieux…
  • Durée: cette dimension caractérise le temps consacré au projet. Si le délai de réalisation est trop court, la réalisation risque d’être bâclée. Si au contraire il est trop long, le projet perdra de son intérêt, l’équipe projet aura tendance à se démobiliser.
  • Stabilité de l’équipe: c’est l’ambiance de l’équipe projet. Un contexte difficile lié à l’environnement social ou familial par exemple, introduit une instabilité et un manque d’objectivité : cela peut venir contrarier la réussite du projet.

Degré de criticité du risque

Pour aller plus loin dans l’analyse du risque, on pourra s’inspirer de l’AMDEC.

1. Matrice de criticité

Il est possible d’évaluer la criticité à partir d’une matrice de criticité ; on ne fait alors intervenir que deux paramètres, f et g :

  • f : indice de fréquence = probabilité du risque
  • g : indice de gravité = niveau du risque
g, niveau de Gravité
Insignifiant Marginal Critique Catastrophique
f, fréquence Fréquent Indésirable Inacceptable Inacceptable Inacceptable
Probable Acceptable Indésirable Inacceptable Inacceptable
Occasionnel Acceptable Indésirable Indésirable Inacceptable
Rare Négligeable Acceptable Indésirable Indésirable
Improbable Négligeable Négligeable Acceptable Indésirable
Invraisemblable Négligeable Négligeable Négligeable Acceptable

 

2. Diminuer le risque

En fonction de la criticité, on peut s’interroger sur les moyens pour s’en prémunir :

  • d : indice de détection = moyens de prémunir le risque.

La criticité C se détermine alors par le produit :

C = f × g × d

  • f : indice de fréquence = probabilité du risque
  • g : indice de gravité = niveau du risque
  • d : indice de détection = moyens de prémunir le risque.

Ces indices sont à définir lors de l’analyse préalable du projet.

Pour exemple, imaginons un projet de migration de logiciel utilisé par 50 salariés. Pour diminuer la criticité d’un échec jugée inacceptable, on pourrait décider de maintenir les deux versions, d’effectuer des tests auprès d’utilisateurs pilotes, avant d’effectuer le basculement en production auprès des 50 utilisateurs.

Ainsi, lors d’une phase de test on va être en mesure de minimiser :

  • l’indice de fréquence, en ne testant le logiciel que sur un échantillon de 2 personnes,
  • l’indice de gravité, en conservant l’ancienne version, temporairement,
  • l’indice de détection, en évaluant le niveau de satisfaction du nouveau logiciel, en interrogeant les utilisateurs pilotes après un laps de temps d’usage significatif, avant de décider de son implémentation.

 Notation du risque

On utilise en général des grilles d’évaluations adaptées au problème à étudier. Les différents éléments sont notés la plupart du temps de 1 à 10 (il ne faut jamais coter zéro). Cependant, l’expérience peut amener certaines entreprises à utiliser une notation de 1 à 5.

À titre d’exemple, voici 3 grilles de cotation graduées de 1 à 10 ; seuls trois niveaux sont présentés (1, 5 et 10).

Note f Fréquence ou probabilité d’apparition Note g Gravité Note d Moyens de détection
10 Permanent 10 Echec total du projet 10 Aucun moyen de prémunir le risque
5 Fréquent 5 Conséquences financières et/ou matérielles 5 Un système de détection est en place mais n’est pas infaillible
1 Invraisemblable 1 Pas grave 1 Le moyen de se prémunir est infaillible

On évalue la criticité par le produit :

C = f × g × d

Plus C est grand, plus le mode de défaillance est critique. Lorsque les indices sont notés sur 10, les entreprises fixent généralement une criticité maximale (sans action corrective) autour de 100.