@Doudou je rebondis également sur le commentaire de Chlouchloutte pour enfoncer le clou.

CMMI était la méthode d'évaluation des projets (concept qui s'oppose à produit et à équipe) dans le cadre du fameux Cycle en V ou de Rational Unified Process.

La vision de l'époque était de dire :
1) Voici la liste de tout ce qui doit être fait pour qu'un projet soit considérer comme maîtrisé.
2) Tout le monde doit faire exactement pareil (la différence c'est mal).

=> C'est une stratégie dont l'Agile et le DevSecOps se veulent être les parfaits antagonistes.

L'agile pour le fait qu'elle pousse à l'autonomisation des individus et au fait que la perfection est atteinte uniquement quand juste ce qui doit être fait a été fait. En parallèle le DevSecOps pour le fait qu'il pousse à simplifier les usages (plutôt que de rajouter une couche), casser les silos (plutôt que de diviser les métiers en rôles) et automatiser lorsqu'il n'y a plus rien ni à simplifier, ni à rassembler.

En comparaison à cela, s'évaluer via CMMI engendre :

• De la doc inutile pour "avoir une bonne note" (il faut montrer qu'on sait résister à la démission simultanée de tout le monde car c'est un cas de figure hyper fréquent n'est-ce pas).
• Des points de pilotage pour "avoir une bonne note" (il faut montrer qu'on maîtrise ce qui est fait).
  -Des points de suivi pour "avoir une bonne note" (il faut montrer que l'on contrôle les individus et leur progression comme si un être humain se contrôlait et s'estimait avec des chiffres).
• etc.

Et surtout, il faudra estimer, planifier, qualifier et budgétiser ce qui est l'inverse même de ce que prône l'Agile.

Bref, je rejoins Chlouchloutte à 100% lorsqu'elle oppose un modèle de capacité à un modèle de maturité, autre outil qui montre de quoi l'on est capable plutôt que de montrer de quelle manière on bat des bras très fort pour se rassurer.