Kollabe
Rétrospectives
Poker de planification
Standups
Brise-Glaces
Tarification
Tableau de bord

Articles

Qu'est-ce que MCP ? Le model context protocol expliqué pour les équipes agiles

Illustration éditoriale moderne d'un développeur sur un ordinateur portable avec des lignes de connexion translucides s'écoulant d'une fenêtre de chat vers des icônes stylisées représentant un tableau de backlog, un jeu de planning poker et un tableau de rétro, illustrant un assistant IA qui orchestre de vrais outils dans un workflow de sprint
Kelly Lewandowski

Kelly Lewandowski

Dernière mise à jour 27/04/20269 min de lecture

Si vous avez utilisé Claude, Cursor ou ChatGPT ces derniers mois, vous avez sûrement vu MCP apparaître dans le panneau des paramètres sans grande explication. Anthropic a publié la spec fin 2024, les principaux assistants de code ont déployé leur support tout au long de 2025, et début 2026 chaque outil SaaS doté d'une API se précipite pour publier un serveur MCP. Pour faire court : MCP, c'est ce qui fait qu'un assistant IA cesse d'être un chatbot et devient un coéquipier capable de réaliser de vraies tâches dans vos outils. Pour les équipes agiles qui passent déjà toute la journée dans Jira, GitHub, Linear et Slack, ce changement est plus important qu'il n'y paraît.

Ce qu'est réellement MCP

Le Model Context Protocol (MCP) est un standard ouvert, publié à l'origine par Anthropic, qui définit comment un assistant IA dialogue avec un système externe. Au lieu que chaque éditeur d'IA construise une intégration unique pour chaque outil SaaS, l'outil publie un seul serveur MCP et n'importe quel client compatible peut l'utiliser. On peut le voir comme l'USB-C des outils IA. L'hôte (Claude Desktop, Cursor, ChatGPT, votre IDE) parle le même protocole avec n'importe quel serveur MCP vers lequel on le pointe, à la manière dont n'importe quel câble USB-C fonctionne avec n'importe quel port USB-C.
Serveur MCP
Un programme (généralement géré par l'éditeur SaaS) qui expose une liste d'outils qu'une IA peut appeler, avec l'authentification et le transport pour les invoquer.
Client MCP
L'application IA qui consomme le serveur. Claude Desktop, Cursor, Zed, ChatGPT et Claude Code embarquent tous des clients MCP aujourd'hui.
Outil
Une action nommée unique avec un schéma JSON. Des choses comme retro_create_item, planning_poker_cast_vote ou standup_submit_answers.
Ressource
Un élément de contexte que le serveur peut renvoyer, comme un fichier, un tableau ou un résumé de sprint. Le modèle peut les lire sans déclencher d'action.
Quand un utilisateur sollicite l'assistant, le modèle décide quels outils appeler, le client effectue ces appels via MCP, le serveur les exécute contre l'API sous-jacente, et les résultats reviennent dans la conversation. L'utilisateur voit une seule réponse. En coulisses, il a pu y avoir entre un et plusieurs dizaines d'appels d'outils.

En quoi MCP diffère d'une API REST ou d'un webhook

Les outils agiles ont des API REST et des webhooks depuis plus d'une décennie. Alors pourquoi MCP doit-il exister ? La réponse, c'est que les API REST et les webhooks sont faits pour des développeurs, pas pour des modèles. Ils supposent qu'un humain lit la doc, décide quoi appeler, écrit du code et le déploie. MCP est conçu pour qu'une IA découvre et utilise un outil au moment de l'exécution, sans que personne ait à écrire de code d'intégration au préalable. Illustration éditoriale comparant trois approches sur trois colonnes verticales : un développeur tapant du code étiqueté API REST, une flèche automatisée se déclenchant sur un événement étiqueté webhook, et une interface de chat où une IA sélectionne des outils dans un menu étiqueté MCP, le tout en couleurs vives et à plat
AspectAPI RESTWebhookMCP
SensVous l'appelezIl vous appelleLe modèle l'appelle pour vous
Qui écrit l'intégrationUn développeur, à l'avanceUn développeur, à l'avanceLe modèle, à l'exécution, à partir d'une liste d'outils
DécouverteLire la docLire la docLe serveur renvoie une liste typée d'outils
Modèle d'authClés d'API, OAuthCharges signéesOAuth 2.1 + PKCE + Dynamic Client Registration
Idéal pourApps et scriptsRéagir à des événementsWorkflows conversationnels et d'agents
Un webhook est en push. Une API REST est en pull. MCP, c'est un modèle qui décroche le téléphone, demande « qu'est-ce que tu peux faire pour moi là, maintenant ? » et n'effectue que les appels nécessaires à ce prompt précis. L'autre point clé, c'est qu'il renvoie des définitions d'outils typées, donc le modèle sait quels arguments sont requis, lesquels sont optionnels, et à quoi la réponse va ressembler. Plus besoin de deviner depuis une page de doc.

Le flux d'authentification : OAuth 2.1, PKCE et DCR en clair

C'est la partie que la plupart des gens survolent, et c'est précisément celle qui rend MCP utilisable en entreprise. Quatre éléments s'assemblent, et chacun résout un problème précis.
  1. Dynamic Client Registration (DCR, RFC 7591)
    L'OAuth à l'ancienne exigeait que chaque client soit pré-enregistré à la main : un développeur se connecte au panneau d'admin du SaaS, remplit un formulaire, copie un client ID et un secret, puis les colle quelque part. Ça ne tient pas la charge quand « le client » correspond à toutes les installations Claude de la planète. DCR permet au client MCP de se présenter au serveur de manière programmatique (« je suis Claude Desktop sur le portable de cet utilisateur, voici mon redirect URI ») et le serveur lui renvoie un client ID tout neuf. Aucune intervention d'admin.
  2. Flux authorization code OAuth 2.1
    Une fois qu'il a un client ID, l'assistant ouvre votre navigateur, redirige vers la page de connexion du fournisseur SaaS et vous demande d'approuver la connexion. C'est exactement le même flux que celui que vous utilisez pour « Se connecter avec Google » sur un site tiers. Vous voyez précisément à quelle organisation vous vous connectez et quels scopes (lecture, écriture) l'assistant demande. Le fournisseur SaaS renvoie un authorization code, que le client échange contre un access token.
  3. PKCE (Proof Key for Code Exchange)
    PKCE empêche que l'authorization code soit volé en cours de route. Le client génère un secret à usage unique, le hashe en SHA-256 et envoie le hash en amont. Quand il échange ensuite le code, il doit envoyer le secret original. Un attaquant qui intercepte le code ne peut pas l'échanger sans ce secret. La spec MCP impose PKCE avec la méthode S256, sans repli vers des variantes plus faibles.
  4. Resource indicators (RFC 8707)
    La spec MCP de 2026 exige aussi du client qu'il nomme le serveur précis qu'il compte appeler quand il demande un token. Cela empêche qu'un token émis pour un serveur MCP soit rejoué contre un autre. Le token est lié à une seule audience.
Résultat, du point de vue de l'utilisateur : un seul clic dans son navigateur. Du point de vue de l'équipe sécurité, c'est de l'OAuth bien fait : par utilisateur, scopé, lié à une audience, révocable, et sans secrets partagés qui traînent dans des fichiers de config.

Pourquoi les équipes agiles, en particulier, devraient s'y intéresser

La plupart des premiers contenus sur MCP se concentrent sur des développeurs qui utilisent l'IA pour lire du code ou interroger des bases de données. C'est sous-vendre la chose. Les équipes agiles occupent une position particulière : une grosse partie de la prépa de réunion consiste à agréger du contexte depuis cinq outils (PRs, tickets, incidents, releases, retours clients) pour ensuite l'écrire dans un seul outil (le standup, le tableau de rétro, la salle de planning poker). C'est exactement la forme de travail dans laquelle MCP excelle.
🌅Les standups se rédigent tout seuls

Votre assistant récupère les PRs et l'activité des tickets de la veille depuis vos outils de dev, formate vos trois réponses et les soumet au standup du jour avant que vous n'ouvriez Slack.

🃏Du planning poker depuis le backlog

« Récupère les 10 prochains tickets non estimés, ouvre une salle de planning poker appelée Sprint 47, et ajoute chaque ticket en tant que round. » Un seul prompt, salle de sprint prête.

🪞Des rétros pré-alimentées avec de vraies données

Arrivez en rétro avec les incidents, releases et signalements clients de ce sprint déjà sur le tableau, regroupés par colonne. L'équipe discute, elle ne transcrit pas.

Des actions avec contexte

L'assistant transforme les discussions de rétro en actions, attribue des responsables, et relie chacune au thread ou au ticket d'origine. Plus de copier-coller à la chaîne.

Le changement plus profond, c'est que le rôle du scrum master commence à prendre une autre forme. Une grande partie de la tuyauterie de réunion (collecter les mises à jour, retrouver les retardataires, résumer le sprint précédent) est un travail qu'une IA peut faire de façon fiable si on lui donne la bonne surface d'outils. Le temps humain repart vers les conversations qui demandent vraiment un humain : animer la rétro difficile, accompagner l'équipe sur un blocage récurrent, aider un nouvel arrivant à mieux écrire ses stories. Pour aller plus loin sur ce que cela donne en pratique, voyez notre article sur comment les agents IA changent l'estimation et le raffinement de backlog assisté par IA.

Ce que vous pouvez réellement faire aujourd'hui

Les clients qui supportent MCP aujourd'hui sont Claude Desktop, Claude Code, Cursor, Zed, ChatGPT, ainsi qu'une liste croissante de frameworks d'agents. Côté serveur, GitHub, Linear, Sentry, PagerDuty, Notion, Slack, Atlassian et la plupart des outils SaaS modernes proposent un serveur MCP ou en ont un en bêta. Illustration éditoriale d'un tableau de sprint flottant au premier plan avec des bulles de chat stylisées qui s'y déversent depuis la gauche, chaque bulle portant une petite icône pour du code, un ticket, un incident ou un message, dans des couleurs vives et plates sur un fond en dégradé doux Kollabe propose aussi un serveur MCP. Connectez-le au client IA de votre choix et vous obtenez l'ensemble complet d'outils standup, rétro, planning poker et action items, avec le même modèle d'authentification décrit plus haut, scopé à une seule organisation, et une révocation en un clic si vous changez d'avis. Le tout est sur kollabe.com/mcp, avec des extraits de configuration prêts à coller pour chaque client. Si vous préférez bâtir quelque chose de plus sur mesure qu'une session de chat, les mêmes endpoints sont exposés via l'API REST publique de Kollabe avec des personal access tokens. Même modèle d'auth, mêmes structures, sans client MCP requis. Pratique pour un Claude Skill qui exécute le format de standup exact de votre équipe, un job CI qui ouvre une salle de planning poker au démarrage d'un sprint, ou un cron qui ferme une rétro un vendredi sur deux.

Un point de départ raisonnable

Si votre équipe n'a pas encore touché à MCP, la rampe d'accès la moins risquée consiste à choisir un rituel que vous trouvez fastidieux et à connecter un seul serveur MCP. Les standups sont en général la première victoire évidente parce que la valeur saute aux yeux dès la première matinée. Ensuite, le sprint suivant trouve généralement un deuxième cas d'usage de lui-même. Essayez notre générateur de templates de rétrospective comme point de départ sans MCP si vous voulez voir comment l'IA s'intègre aux rituels agiles avant de câbler un serveur, puis revenez à cet article quand vous serez prêt à brancher un assistant à vos vrais outils.

Non. Anthropic a publié la spec, mais elle est ouverte. OpenAI, Google et plusieurs clients open-source l'implémentent, et n'importe quel modèle peut se trouver derrière un client conforme. Le protocole se moque de savoir quel modèle est à l'autre bout.

Pour l'utiliser, non. Connecter un serveur MCP à Claude Desktop ou Cursor, c'est quelques clics dans les paramètres plus une approbation OAuth. Pour construire un serveur, oui, cette partie reste du domaine des développeurs, mais la plupart des équipes ne feront que consommer les serveurs publiés par leurs fournisseurs.

Le function calling est une fonctionnalité d'un modèle. Les plugins ChatGPT étaient propres à OpenAI. MCP est un standard de transport et d'authentification que n'importe quel modèle et n'importe quel outil peuvent implémenter, donc un serveur que vous publiez une fois fonctionne dans tous les clients conformes. C'est précisément l'interopérabilité qui compte.

Elles continuent de fonctionner. MCP s'appuie en général sur la même API interne que celle qu'utilise votre application web. Vous ne migrez rien ; vous exposez une nouvelle surface pour les clients IA pendant que vos dashboards et vos scripts continuent d'attaquer l'API comme avant.

Avec OAuth 2.1, PKCE, des tokens scopés et un chemin de révocation clair, la posture de sécurité est la même que pour la connexion de n'importe quelle app tierce. Le plus gros risque, ce sont les mauvais prompts, pas la mauvaise conception du protocole. Commencez par des scopes en lecture seule, observez ce que l'assistant fait pendant un sprint, et accordez l'écriture une fois que vous avez confiance dans le workflow.