D Pour prouver la qualité de leurs services aux clients éloignés et gagner leur confiance, les SSII offshore ont tendance à asseoir leur argumentaire sur une certification CMM (Capability Maturity Model). Cette dernière indique la conformité de leurs pratiques de développement logiciel au modèle défini par le Software Engineering Institute de l'université de Carnegie Mellon. Le niveau 3 est généralement considéré comme le niveau de référence, tandis qu'un certain nombre de sociétés se démarquent en atteignant le niveau 5 (le plus haut du modèle CMM).

La certification CMM sera éventuellement complétée par le modèle CMMi (CMM integrated, mouture qui élargit les pratiques au-delà du développement logiciel), ou encore PCMM pour la gestion des ressources humaines. « Les certifications CMM prouvent dans quelle mesure les processus appliqués sont cohérents et répétables » , explique Dean Davison, analyste au Meta Group.

Même si l'application très stricte du modèle CMM peut entraîner une certaine rigidité, un haut niveau de certification est donc bénéfique. Toutefois, il ne constitue pas un critère de choix suffisant. « Les certifications CMM serviront à réduire le nombre de prestataires considérés. Mais elles ne garantissent pas le succès » , confirme Ian Marriott, analyste chez Gartner. « Pour établir un parallèle avec le recrutement d'employés, il est plus tentant d'embaucher une personne qui a décroché son diplôme avec mention, explique-t-il. Mais le parcours professionnel effectué une fois le diplôme en poche constitue une preuve bien plus significative des aptitudes du candidat. »

De même, pour témoigner de la capacité d'exécution du prestataire de services, rien ne vaut les témoignages de clients ­ les bonnes expériences comme les problèmes rencontrés : « Un prestataire peut être exemplaire lorsque tout se déroule comme prévu, mais s'avérer beaucoup moins efficace quant à la gestion d'imprévus ou de problèmes. Et cela n'apparaîtra pas sur une proposition commerciale » , note Dean Davison.

D'autres éléments donnent des indices sur la fiabilité d'un prestataire offshore - par exemple, le taux de turnover des employés. « Mais ce sera rarement un critère différenciateur » , estime Dean Davison. Quant aux différences culturelles - notamment la barrière de la langue -, elles sont généralement contournées grâce à un partenariat entre le prestataire offshore et une société proche du client. Ou via une présence dans son pays, « qui prouvera l'engagement de la SSII dans la région, tant qu'il ne s'agit pas d'une simple présence commerciale » , souligne Ian Marriott.

La notion de proximité de zone horaire avec le centre de développement pourra s'avérer déterminante : elle fera pencher la balance en faveur d'un prestataire basé en Europe de l'Est, en Israël ou en Afrique du Sud pour les entreprises européennes, tandis que les sociétés établies aux Etats-Unis se tourneront plutôt vers le Mexique ou le Canada. Par ailleurs, certains pays ­ la Russie, par exemple ­ sont plus exposés que d'autres au piratage.

« Les entreprises clientes doivent exiger des preuves de la robustesse de la sécurité pour s'assurer de la protection de leurs données confidentielles ou de leur propriété intellectuelle » , estime Ian Marriott. Mais, en définitive, il n'y pas de recette. L'évaluation du risque introduit par les services offshore reste très spécifique à chaque entreprise et aux projets concernés, et liée à leur capacité à gérer des projets déportés.