Skills vs MCP : quand utiliser l'un, quand utiliser l'autre ?

Avec l'essor des assistants IA en entreprise — qu'il s'agisse de Claude, de Copilot ou de vos propres agents — deux patterns d'extension s'imposent dans les architectures modernes : les Skills et les MCP servers (Model Context Protocol). Ils semblent proches en surface. Les deux permettent d'étendre les capacités d'un LLM. Mais ils répondent à des besoins très différents, opèrent à des niveaux distincts, et se trompent de rôle l'un pour l'autre a des conséquences réelles sur la maintenabilité et la sécurité de vos systèmes.

C'est quoi un Skill ?

Un Skill est une instruction comportementale donnée à l'IA. C'est un prompt structuré — souvent un fichier Markdown — qui décrit comment l'assistant doit se comporter dans un contexte précis : quelle logique appliquer, quelles étapes suivre, quel ton adopter, quels outils utiliser dans quel ordre.

Le Skill ne donne pas à l'IA de nouveaux accès à des systèmes externes. Il change la façon dont elle raisonne et agit avec ce qu'elle a déjà à disposition.

Exemple concret

Un Skill "code-review" pourrait dire à l'assistant :

• Commence par identifier les risques de sécurité
• Vérifie la cohérence avec les conventions du projet
• Propose des refactorisations uniquement si elles améliorent la lisibilité
• Termine par un résumé des points critiques vs mineurs

Ce Skill ne donne pas accès à GitHub, ne lit pas de fichier externe. Il structure le raisonnement de l'IA sur le code qui lui est soumis.

---

C'est quoi un MCP server ?

Un MCP server (Model Context Protocol) est un connecteur d'accès à des ressources ou des outils externes. C'est un serveur léger qui expose des capacités concrètes à l'IA : lire des fichiers, interroger une base de données, appeler une API, exécuter du code, récupérer des emails…

Le MCP ne change pas le comportement de l'IA. Il lui donne de nouveaux bras — des capacités d'action sur des systèmes extérieurs.

Exemple concret

Un MCP server "github" expose des outils comme :

• list_repos() — liste les dépôts d'une organisation
• get_pr_diff(pr_id) — récupère le diff d'une pull request
• post_comment(pr_id, body) — publie un commentaire

L'IA peut maintenant interagir avec GitHub directement. Mais c'est toujours elle qui décide quand et comment utiliser ces outils.

---

La distinction fondamentale

Dimension	Skill	MCP Server
Nature	Instruction comportementale	Connecteur d'accès
Ce que ça change	Comment l'IA raisonne	Ce à quoi l'IA a accès
Où ça vit	Fichier de configuration (Markdown)	Serveur/processus externe
Accès réseau requis	Non	Oui
Surface d'attaque	Minimale	À sécuriser
Versioning	Simple (fichier texte)	Déploiement applicatif

---

Quand utiliser un Skill

Utilisez un Skill quand vous voulez standardiser un comportement de l'IA sur une tâche récurrente, sans lui donner accès à de nouveaux systèmes.

Cas typiques :

• Définir un processus de revue de code spécifique à votre équipe
• Structurer la façon dont l'assistant rédige des tickets ou des rapports
• Encoder une méthodologie de diagnostic ou d'analyse
• Créer un persona d'assistant adapté à un contexte métier (support, finance, RH)
• Automatiser des workflows de réflexion (chaîne de prompts structurés)

Signal d'alerte : si vous vous retrouvez à écrire des instructions très longues dans chaque prompt pour que l'IA se comporte correctement sur une tâche → c'est un Skill qui manque.

---

Quand utiliser un MCP server

Utilisez un MCP server quand l'IA doit lire ou écrire dans des systèmes externes pour accomplir sa tâche.

Cas typiques :

• Donner à l'assistant accès à votre base de code (filesystem MCP)
• Connecter l'IA à votre CRM ou ERP pour récupérer des données client
• Permettre à l'agent de créer des tickets dans Jira ou Linear
• Exposer des APIs internes à l'IA (inventaire, planification, facturation)
• Donner accès à des sources de données en temps réel (météo, cours, actualités)

Signal d'alerte : si l'IA doit copier-coller des données depuis un autre outil pour fonctionner → c'est un MCP server qui manque.

---

Ils se combinent, pas se remplacent

Le pattern le plus puissant — et le plus courant en production — combine les deux :

Un Skill définit comment l'agent doit traiter les demandes clients Un MCP server lui donne accès au CRM pour lire l'historique et au ticketing pour créer des escalades

Sans le Skill, l'agent a accès au CRM mais ne sait pas comment structurer son analyse. Sans le MCP, l'agent sait analyser mais n'a pas de données réelles. Les deux ensemble créent un agent opérationnel.

---

Questions pratiques pour choisir

Posez-vous ces questions :

→ Est-ce que je veux que l'IA fasse les choses différemment ? Oui → Skill

→ Est-ce que je veux que l'IA ait accès à quelque chose de nouveau ? Oui → MCP server

→ Est-ce que les deux réponses sont "oui" ? Oui → Skill + MCP server, dans des couches séparées

→ Est-ce que je peux résoudre le problème avec du prompt engineering dans l'interface ? Si oui pour un usage ponctuel → pas besoin de Skill. Si c'est récurrent et partagé → Skill.

---

Un mot sur la sécurité

Les MCP servers méritent une attention particulière. En donnant à l'IA accès à des systèmes externes, vous créez une surface d'attaque supplémentaire. Quelques principes :

• Principe du moindre privilège : n'exposez que les outils strictement nécessaires
• Pas d'opérations destructives sans confirmation : les outils delete ou update doivent passer par une validation humaine
• Logs exhaustifs : toutes les actions via MCP doivent être tracées
• Isolation : un MCP server par domaine fonctionnel, pas un serveur fourre-tout

Les Skills, eux, ont une surface d'attaque minimale — ce sont des fichiers texte. Le risque principal est celui d'un Skill mal conçu qui pousse l'IA à un comportement non souhaité (biais, fuite d'information dans les réponses).

---

Vous concevez une architecture d'agents IA pour votre organisation ? Discutons de votre cas.