IA & Automation

MCP expliqué : pourquoi OpenAI, Google et Microsoft ont tous adopté l'invention d'Anthropic en six mois

En novembre 2024, Anthropic publie un protocole open source. Six mois plus tard, ses trois plus gros rivaux l'ont adopté ; un an plus tard, il appartient à la Linux Foundation. Voici ce que MCP branche concrètement pour une PME — et ce qu'il ne faut pas brancher.

4 juillet 202611 min de lecturePASCAL POTVIN
Écouter l'article

Le problème que tout le monde vivait sans le nommer

Ton assistant IA est brillant et amnésique. Il rédige un courriel parfait, mais ne peut pas l'envoyer. Il analyse ta stratégie de contenu, mais n'a jamais vu ton calendrier éditorial. Il te conseille sur tes finances, mais tes factures dorment dans un logiciel qu'il ne peut pas ouvrir. Chaque outil de ton entreprise est une île, et l'IA reste sur le quai.

Jusqu'à la fin 2024, la seule façon de relier une IA à un outil était de coder une intégration sur mesure — pour chaque paire modèle-outil. Dix modèles, vingt outils : deux cents intégrations potentielles à écrire et maintenir. Les développeurs appellent ça le problème N×M, et c'est exactement la situation des chargeurs de téléphone avant l'USB-C : un tiroir plein de câbles incompatibles. La comparaison n'est pas de moi — la documentation officielle du protocole se présente elle-même comme « un port USB-C pour les applications d'IA ». C'est ce problème que le Model Context Protocol, MCP pour les intimes, est venu régler. Et la vitesse à laquelle l'industrie l'a adopté est, à ma connaissance, sans précédent récent dans le web.

Dix-huit mois, de projet maison à standard mondial

La chronologie mérite d'être racontée, parce qu'elle explique pourquoi tu peux bâtir dessus sans crainte. Le 25 novembre 2024, Anthropic (l'entreprise derrière Claude) publie MCP en open source, avec des connecteurs prêts à l'emploi pour Google Drive, Slack, GitHub et Postgres. Un protocole de plus, aurait-on pu dire — les cimetières du web en sont pleins.

Sauf que le 26 mars 2025, l'impensable : OpenAI adopte le standard de son rival direct. Sam Altman l'annonce d'un tweet — « people love MCP ». Deux semaines plus tard, le 9 avril, Demis Hassabis confirme que Google DeepMind embarque Gemini. En mai, Microsoft annonce à sa conférence Build un support natif dans Windows 11. Trois géants qui se livrent une guerre commerciale féroce venaient de s'entendre sur la prise électrique. Et le 9 décembre 2025, Anthropic a cédé le protocole à l'Agentic AI Foundation, sous l'égide de la Linux Foundation — cofondée par Anthropic, Block et OpenAI, avec AWS, Google, Microsoft, Bloomberg et Cloudflare comme membres platine. MCP n'appartient plus à personne, ce qui veut dire qu'il appartient à tout le monde.

Les chiffres de mi-2026 donnent l'échelle : plus de 20 000 serveurs MCP recensés par l'annuaire PulseMCP en juillet 2026, 97 millions de téléchargements mensuels pour les SDK Python et TypeScript dès mars 2026, une dizaine de SDK officiels, et plus de 300 applications clientes. Pour mémoire, les « plugins ChatGPT » — la tentative propriétaire d'OpenAI de 2023 — ont été débranchés en avril 2024, après à peine un an. La leçon : les écosystèmes fermés meurent, les protocoles neutres survivent. C'est le Language Server Protocol qui a unifié les éditeurs de code ; MCP refait le même coup pour l'IA.

Concrètement : trois mots à comprendre, pas trente

Tu n'as pas besoin de lire la spec pour saisir l'architecture. Trois rôles. L'hôte, c'est l'application d'IA que tu utilises — Claude, ChatGPT, Cursor. Le serveur MCP, c'est l'adaptateur qu'un service expose — Stripe, Figma, Shopify, ta base de données. Entre les deux, le protocole définit un langage commun : le serveur annonce « voici ce que je sais faire » (chercher un fichier, créer une facture, lire des données), et l'hôte peut l'utiliser sans qu'aucune des deux parties ait jamais entendu parler de l'autre. Un serveur MCP écrit une fois fonctionne avec Claude, ChatGPT, Copilot et tous les autres. N × M devient N + M.

La partie qui m'a converti, c'est l'usage quotidien. Ce blogue que tu lis est géré par MCP : mes articles vivent dans une base Supabase, et quand je travaille avec Claude, il lit et écrit dedans directement — pas de copier-coller, pas d'export. Mes données Ahrefs arrivent par MCP. Mes maquettes Figma aussi. La frontière entre « discuter avec une IA » et « travailler avec une IA » est exactement là : le contexte réel, branché en direct.

Ce qu'une PME peut brancher aujourd'hui, sans développeur

Le malentendu à défaire : MCP n'est plus un truc de programmeurs. Depuis le 14 juillet 2025, Claude a un répertoire de connecteurs en un clic — Notion, Canva, Stripe et une cinquantaine d'autres en date de février 2026. ChatGPT a suivi avec son mode développeur en septembre 2025. Côté services, les lancements qui comptent pour une entreprise d'ici : Figma a ouvert son serveur MCP en juin 2025 (et depuis février 2026, la connexion est bidirectionnelle — l'IA peut écrire sur le canevas, pas juste le lire) ; Canva a branché le sien en juillet 2025, et c'est ce moteur qui propulse Claude Design depuis janvier 2026 — j'ai documenté ce flux complet dans mon article sur l'import de design system Figma. Shopify active un endpoint MCP par défaut sur chaque boutique depuis l'été 2025. Stripe expose paiements et factures à mcp.stripe.com.

Traduction en scénarios réels : « Claude, sors-moi les cinq produits les plus vendus du mois et prépare trois visuels Canva pour les promouvoir » n'est plus de la science-fiction — c'est deux connecteurs cochés dans les réglages. La question pour une PME n'est plus « est-ce possible? » mais « qu'est-ce que je branche en premier, et à quelles conditions? ». Et c'est là qu'il faut ralentir.

La partie que les articles enthousiastes ne racontent pas

Brancher une IA sur tes vrais outils, c'est lui donner de vraies clés. L'année 2025 a fourni trois avertissements documentés que je raconte à chaque client. En juin, Asana a coupé son intégration MCP pendant deux semaines : un bug exposait des données de clients à d'autres clients. En juillet, Simon Willison a documenté le cas d'école Supabase : un attaquant avait glissé des instructions dans un banal ticket de support, et l'agent IA qui lisait les tickets — connecté à la base avec des droits d'administration — a obéi et exfiltré la table des jetons secrets. Willison a donné un nom à ce cocktail : la « triade létale » — données privées, contenu non fiable, canal de sortie. Quand les trois sont réunis, l'injection de prompt devient une arme. Et en septembre, premier serveur MCP malveillant confirmé : postmark-mcp, un paquet npm qui, à sa version 1.0.16, ajoutait une copie cachée de tous tes courriels vers le serveur de l'attaquant.

Les chiffres d'ensemble ne rassurent pas davantage : l'analyse d'Equixly a trouvé 43 % des serveurs MCP testés vulnérables à l'injection de commandes, et Trend Micro a recensé 492 serveurs exposés sur Internet sans aucune authentification. La spec a musclé son jeu en réponse — OAuth obligatoire pour les serveurs distants depuis la version de mars 2025, confirmations utilisateur (« elicitation ») depuis juin 2025, durcissement continu jusqu'à la version de novembre 2025 — mais le protocole ne peut pas te protéger d'un serveur que tu n'aurais jamais dû installer.

!Mes quatre règles avant de brancher quoi que ce soit

N'utiliser que les connecteurs officiels du service (celui de Stripe, pas « stripe-mcp-super-tools » trouvé sur un forum) ; donner le minimum de permissions — lecture seule tant que l'écriture n'est pas indispensable ; jamais de clés d'administration à un agent qui lit du contenu externe (courriels, tickets, formulaires — c'est la triade létale) ; et garder la confirmation humaine sur toute action irréversible : envoi, paiement, suppression.

Mon verdict de praticien

MCP est le pari d'infrastructure le plus sûr de l'écosystème IA en 2026 : gouvernance neutre à la Linux Foundation, adoption unanime des grands fournisseurs, écosystème qui double d'année en année, et une prochaine version majeure (finalisée fin juillet 2026) déjà orientée vers les besoins d'entreprise. Pour une PME, ma recommandation tient en trois temps. Commence par les connecteurs officiels en un clic dans l'outil d'IA que tu utilises déjà — c'est gratuit et réversible. Identifie ensuite le pont qui te ferait gagner le plus d'heures — chez mes clients, c'est presque toujours la comptabilité, l'inventaire ou le calendrier de contenu. Et seulement là, si un connecteur manque, envisage un serveur sur mesure : c'est quelques jours de développement, plus maintenant que le standard est stable.

L'IA de 2023 impressionnait en conversation. Celle de 2026 travaille, parce qu'elle est branchée. MCP est la prise — et pour une fois dans l'histoire de la techno, tout le monde a accepté d'utiliser la même.

Sources

§ COMMENTAIRES

Laisser un commentaire

MCP Explained: Why OpenAI, Google, and Microsoft Have All Adopted Anthropic's Invention in Six Months | Pascal Potvin