Gestion des risques liés aux exigences : de quoi s'agit-il et comment les gérer ?

Voici une réalité de la gestion des exigences dont personne ne parle : 66 % des entreprises signalent des retards dans leurs projets dus à des exigences floues ou imprécises (l'un des risques courants liés aux exigences).

Par ailleurs, une étude universitaire récente portant sur 99 projets a révélé que 78 % d'entre eux avaient pris du retard et que 58 % avaient dépassé leur budget.

Qui est le véritable responsable dans cette affaire ? Des risques liés à une mauvaise gestion des exigences que personne n'avait anticipés.

La gestion des risques liés aux exigences renverse complètement la donne. Elle permet d'identifier et de traiter les problèmes et les risques avant qu'ils ne compromettent l'ensemble du projet. Même l'enquête mondiale sur les risques menée par PWC indique que les organisations qui mettent en œuvre une gestion des risques ont cinq fois plus de chances de gagner la confiance des parties prenantes et d'atteindre leurs objectifs commerciaux. 

Voyons ensemble ce qu'est la gestion des risques dans l'ingénierie des exigences, son processus étape par étape, les différents types de risques liés aux exigences, et comment les outils modernes peuvent faciliter cette tâche.

Que signifie la gestion des risques liés aux exigences ?

L'analyse ou la gestion des risques liés aux exigences est la discipline qui consiste à identifier, évaluer et atténuer les risques associés aux exigences existantes susceptibles d'avoir un impact négatif sur le projet. Elle permet de détecter les problèmes cachés dans les exigences avant qu'ils ne se répercutent sur la conception, le code et les tests.

Cette approche vise à identifier les exigences floues, manquantes, contradictoires ou irréalistes, et à évaluer leurs conséquences potentielles sur le projet. Elle oblige également les équipes à mettre au point et à mettre en œuvre des contrôles de mesure des risques afin de les atténuer.

Elle considère les exigences comme des sources de risque, et non comme de simples données d'entrée du projet. Les équipes remettent en question les hypothèses, vérifient la clarté, testent la faisabilité et s'assurent que chaque besoin peut effectivement être vérifié.

L'objectif est simple : réduire les retouches, améliorer la prise de décision, éviter les mauvaises surprises de dernière minute et assurer la stabilité des opérations en réglant les problèmes dès leur apparition.

En résumé, la gestion des risques liés aux exigences permet de maîtriser dès le début les incertitudes inhérentes aux exigences.

Types courants de risques liés aux exigences et moyens de les gérer

Avant d'aborder le processus de gestion des risques liés aux exigences, voyons quels sont les types courants de risques liés aux exigences et comment les neutraliser :

1. Exigences incomplètes ou manquantes

Lorsque le cahier des charges du produit décrit un scénario idéal pour la mise en œuvre du système, mais néglige les cas limites, les scénarios d'erreur ou les points d'intégration.

• Exemple: un système de paiement en ligne a défini des exigences précises pour la mise en place d'une passerelle de paiement, mais ne sait absolument pas comment gérer les transactions ayant échoué ou les remboursements partiels.

Conseil pour limiter les risques: organisez des séances de simulation de scénarios avec votre équipe. Remettez en question chaque exigence en envisageant des scénarios d'échec. Utilisez des listes de contrôle pour vérifier l'exhaustivité des exigences, qui vous obligent à aborder d'emblée les questions de sécurité, de performances, de gestion des erreurs et des cas limites.

2. Exigences vagues ou non vérifiables

Si les spécifications sont formulées en termes imprécis que chaque membre de l'équipe interprète différemment, on parle alors de spécifications vagues.

• Exemple: Le système devrait se charger rapidement.

Elle ne donne aucune indication sur le temps de chargement du système ni ne mentionne aucune condition. La version complète de l'exigence ci-dessus pourrait être :

• Le système devrait se charger en 3 secondes.

Conseil pour atténuer ce problème: demandez à l'équipe de ne pas utiliser du tout de termes subjectifs. Remplacez chaque description vague par des critères mesurables.

3. Risques liés aux dépendances externes

Lorsqu'une fonctionnalité dépend d'une API tierce susceptible d'évoluer sans préavis, cela engendre des risques liés aux dépendances externes.

Pour limiter les risques liés aux dépendances externes, identifiez-les comme des facteurs de risque et prévoyez des solutions de secours.

4. Risques liés à la conformité et à la réglementation

Lorsque les exigences ne respectent pas les directives réglementaires, cela engendre des risques de non-conformité pouvant entraîner de lourdes sanctions et la suspension de la licence.

Pour éviter les risques liés à la conformité, faites appel dès le début à des experts en la matière et établissez un lien direct entre les réglementations et les exigences. Utilisez également des outils d'intelligence artificielle pour suivre en permanence les mises à jour des normes réglementaires et les mettre en œuvre dès qu'elles changent.

5. Exigences non synchronisées

Lorsque le cahier des charges indique une chose, que les récits utilisateurs l'expliquent différemment et que les cas de test suivent des étapes différentes, les équipes travaillent alors en se basant sur des interprétations divergentes d'une même fonctionnalité. Cela entraîne des retouches ultérieures qui peuvent se traduire par des dépassements de budget et des retards dans le lancement du projet.

Conseil pour limiter ce risque : veillez à disposer d'une source unique de vérité et mettez en place un contrôle de version. Les équipes peuvent utiliser des outils tels qu'Azure DevOps pour la gestion des projets et des exigences. Utilisez des liens de traçabilité entre les exigences, la conception et les artefacts de test afin que les mises à jour restent synchronisées dans l'ensemble des ressources du projet. Des revues régulières permettent de détecter rapidement les incohérences.

Le processus de gestion des risques liés aux exigences

Après avoir lu la section précédente, vous savez déjà quels types de risques courants peuvent survenir et comment les éviter. 

De plus, la gestion des risques est un cycle continu qui s'inscrit parallèlement à l'ensemble du cycle de vie de votre projet, et vous devez en comprendre le déroulement étape par étape :

1. Identifier les risques liés aux exigences

La première étape consiste à évaluer la qualité des exigences et les risques qui y sont associés. Les équipes doivent identifier les formulations ambiguës, les besoins des utilisateurs non pris en compte, les contraintes techniques ou les règles externes susceptibles d'affecter la livraison.

Pour cela, vous pouvez constituer des équipes pluridisciplinaires et organiser des séances de réflexion. Voici quelques questions pertinentes que l'on pourrait se poser : quelles hypothèses émettons-nous ? Quelles parties prenantes n'avons-nous pas encore consultées ? Où se situent les lacunes dans nos connaissances ?

Cependant, réaliser cette analyse des risques manuellement peut s'avérer difficile et prendre beaucoup de temps. Les équipes peuvent utiliser des outils d'IA tels que Copilot4DevOps, qui s'intègre à ADO et leur permet d'analyser les exigences à l'aune de différents cadres de référence, tels que les critères INVEST, MoSCoW, PABLO, etc., et de proposer une note de qualité accompagnée de suggestions d'améliorations.

2. Analyser et hiérarchiser les risques

Une fois les risques et les améliorations nécessaires identifiés, les équipes doivent dresser la liste des conséquences de chaque tâche.

Ensuite, établissez des priorités et traitez en premier lieu les risques à fort impact. Les risques à faible impact peuvent être traités ultérieurement.

3. Planifier et mettre en œuvre les mesures de gestion des risques

Chaque risque important nécessite un plan d'action clair. Cela peut impliquer de reformuler l'exigence, d'ajouter des critères d'acceptation, de procéder à une validation technique ou de clarifier les attentes des parties prenantes.

Chaque action doit avoir un responsable et un calendrier. Sans responsabilité, les risques restent en suspens.

4. Assurer un suivi et une évaluation continus

Au fur et à mesure que le projet avance, les exigences évoluent sans cesse et font apparaître de nouveaux risques. Il est donc essentiel de surveiller et de réexaminer ces exigences en permanence.

Des revues régulières permettent de maintenir la liste des risques à jour. Les équipes vérifient si les mesures prises précédemment ont porté leurs fruits et apportent les ajustements nécessaires.

5. Assurer la traçabilité

Chaque risque, exigence et mesure d'atténuation doit rester lié aux autres. Cela garantit la transparence et aide les équipes à démontrer leur maîtrise des processus, en particulier dans les environnements réglementés. De plus, la traçabilité permet de s'assurer qu'aucun effort de gestion des risques n'est perdu au fil du temps.

Pourquoi la gestion des risques liés aux exigences nécessite un outil adapté

• Le suivi manuel s'avère inefficace à grande échelle : lorsque les équipes s'appuient sur des tableurs, des e-mails et des documents éparpillés pour gérer les risques, ce système s'effondre dès que le projet prend de l'ampleur et ne parvient plus à suivre le rythme des changements fréquents des exigences.
• Absence de traçabilité claire : sans lien entre les exigences, les risques et les tests, les équipes ne peuvent pas évaluer l'impact des risques. De plus, un seul changement peut avoir des répercussions sur de nombreux domaines.
• Le coût élevé de la détection tardive des risques : lorsque des risques liés aux exigences sont identifiés pendant les tests ou après la mise en production, leur correction nécessite d'importants travaux de retouche au niveau de la conception et du développement. Cela peut entraîner un dépassement budgétaire ou l'échec du projet.
• Difficultés à apporter la preuve de la conformité : dans les projets soumis à une réglementation, l'absence d'historique et d'autorisations crée des tensions lors des audits. Les équipes s'efforcent alors de prouver ce qui a été décidé précédemment.

Comment les exigences modernes en matière de DevOps renforcent la gestion des risques liés aux exigences

Modern Requirements4DevOps renforce la gestion des risques liés aux exigences en intégrant une structure directement dans le flux de travail quotidien de l'équipe. Au lieu de gérer les risques dans des outils distincts, tout reste interconnecté au sein d'Azure DevOps, ce qui réduit les lacunes et la confusion.

Les fonctionnalités d'évaluation de l'impact des changements de Modern Requirements4DevOps permettent aux équipes d'évaluer comment les modifications pourraient affecter d'autres exigences du projet. Les équipes peuvent ainsi traiter les risques associés avant d'apporter toute modification.

De plus, grâce à la fonctionnalité Smart Docs, les équipes peuvent créer des documents d'exigences dynamiques qui se mettent à jour dès qu'une exigence est modifiée. Ainsi, les documents restent toujours à jour, ce qui permet d'éviter les risques liés à l'utilisation de documents obsolètes.

De plus, Modern Requirements4DevOps permet de créer des matrices de traçabilité horizontales et croisées, qui offrent une visibilité entre les exigences, les tâches liées aux risques et les cas de test. La fonctionnalité de gestion des révisions permet d'effectuer des révisions des exigences avec signature électronique au sein d'Azure DevOps. Cela s'avère très utile lors de la préparation des rapports d'audit dans les secteurs soumis à une réglementation.

En résumé, lorsqu'un outil de gestion des risques liés aux exigences est utilisé efficacement, il permet de réduire les retouches, de rationaliser les audits et d'obtenir des résultats de livraison plus prévisibles.