attaEspace clientRéserver un audit
Retour blogBlog

MCP en pratique : 3 cas concrets PME au-delà de la définition

MCP est devenu un standard en 2026. Trois cas concrets PME (Odoo, HubSpot, Google Workspace), risques sécurité, et méthode pour démarrer sans se brûler.

GB
Gilles Braibant · Fondateur, ATTA
04 juillet 2026 · 11 min

Quand on a publié notre glossaire MCP (Model Context Protocol) en juin 2026, la question qui revenait le plus souvent en mission ATTA était toujours la même : « D'accord, j'ai compris le concept, c'est bien. Mais ça change quoi pour ma PME demain matin ? ». Cet article répond à cette question avec trois cas concrets et chiffrés en juin 2026.

L'écosystème MCP a basculé d'expérimental à standard d'infrastructure en moins de 18 mois. Anthropic a donné le protocole à la Linux Foundation en décembre 2025, les principaux éditeurs SaaS B2B publient leurs propres serveurs MCP officiels, et OWASP a publié un Top 10 des risques de sécurité dès 2025. Pour une PME wallonne, c'est le moment de comprendre ce qui est réellement faisable, ce qui doit attendre, et où sont les pièges.

Ce qu'il faut retenir avant de lire la suite :

Où en est MCP en juin 2026 ?

Le passage à la Linux Foundation a tout changé. En décembre 2025, Anthropic a donné le protocole MCP à l'Agentic AI Foundation, un fonds dirigé par la Linux Foundation. Cette fondation est co-fondée par Anthropic, Block et OpenAI, avec le soutien de Google, Microsoft, AWS, Cloudflare et Bloomberg.

Ce que ça change concrètement : MCP n'est plus le protocole de quelqu'un, c'est une infrastructure neutre. Aucun éditeur n'a intérêt à le saboter, et tous ont intérêt à le supporter. Pour une PME qui investit dans une stack IA, c'est la garantie que le protocole sera maintenu pendant des années sans dépendre d'un acteur unique.

Le dépôt GitHub officiel maintient des SDKs dans 10 langages (TypeScript, Python, Java, Kotlin, C#, Go, PHP, Ruby, Rust, Swift), et publie 42 dépôts couvrant SDKs, extensions et groupes de travail. Côté plateformes IA, ChatGPT, Cursor, Gemini, Microsoft Copilot, Visual Studio Code, Claude Desktop acceptent désormais MCP nativement selon le blog GitHub officiel.

L'écosystème de serveurs MCP est en forte croissance. Les éditeurs SaaS B2B majeurs publient leurs propres serveurs MCP officiels, et les communautés de développeurs maintiennent des serveurs pour à peu près tous les outils d'entreprise. La période expérimentale est terminée.

À retenir : où en est MCP en juin 2026

Standard hébergé Linux Foundation, supporté par tous les éditeurs IA frontière, écosystème en production. Pour une PME, le bon moment pour expérimenter sur un cas d'usage borné.

Cas 1 : Assistant IA branché sur Odoo pour la PME service

Profil : PME wallonne de 12 personnes en services aux entreprises (conseil, formation, agence). Toute l'activité tourne autour d'Odoo (CRM + facturation + projets + comptabilité). Les commerciaux passent une à deux heures par jour dans Odoo, et le dirigeant en consulte les chiffres en réunion plusieurs fois par semaine.

Le besoin : un assistant qui répond à des questions du type « combien d'heures facturées sur ABC SARL ce trimestre », « quel est le prochain rendez-vous client », « quels projets sont en retard de facturation ». Sans devoir ouvrir Odoo, sans devoir naviguer.

Comment MCP change l'équation : avec le module Odoo AI Agent MCP de l'App Store, l'assistant IA accède directement aux modèles Odoo (Partners, Sales, Invoices, Projects) en respectant les droits d'accès Odoo natifs. L'agent peut chercher, créer, mettre à jour selon le rôle de l'utilisateur connecté. Pas besoin de coder une API REST custom, pas besoin de prompts engineering compliqué pour expliquer la structure des données.

Charge de mise en place : pour une PME déjà sur Odoo Enterprise ou Community, comptez deux à cinq jours de prestation (configuration du serveur MCP, sécurisation des accès, tests sur trois cas réels, formation des utilisateurs). Coût indicatif : 2 500 à 6 000 € selon le périmètre.

Limites à anticiper : un serveur MCP donne potentiellement à l'agent IA un accès large à votre Odoo. Le périmètre minimal (n'exposer que les modèles vraiment utiles) et le contrôle strict des droits d'accès sont obligatoires. Sans ça, vous installez une porte d'entrée IA sur l'intégralité de votre comptabilité, ce qui n'est ni utile ni prudent.

Retour sur investissement : pour les commerciaux, c'est typiquement deux à quatre heures gagnées par semaine sur la consultation et la mise à jour Odoo. Pour le dirigeant, le confort d'avoir les chiffres sans naviguer dans 15 écrans. La rentabilité se compte en mois pour une PME qui facture à l'heure.

Cas 2 : Assistant IA branché sur HubSpot pour la PME commerciale

Profil : PME wallonne de 20 personnes avec une équipe commerciale de 5 à 8 personnes sur HubSpot. CRM utilisé sérieusement (contacts, deals, séquences, reporting), 1 000 à 5 000 contacts actifs, 50 à 200 deals ouverts simultanément.

Le besoin : un assistant qui prépare les briefings client avant rendez-vous, qui suggère les prochaines actions sur les deals en cours, qui résume les conversations passées par contact. Aujourd'hui, ce travail prend 15 à 30 minutes par RDV important. À 10 RDV par semaine et par commercial, c'est cinq heures hebdomadaires perdues à fouiller HubSpot.

Comment MCP change l'équation : depuis le 13 avril 2026, HubSpot expose un serveur MCP officiel en GA selon sa documentation développeurs. L'assistant IA branché lit l'historique contact, les notes, les emails, les deals, et compose un brief en quelques secondes. La même connexion permet d'écrire dans HubSpot (créer une note, mettre à jour un deal) sur demande du commercial.

Charge de mise en place : si l'équipe utilise déjà ChatGPT, Claude Desktop ou Cursor, l'activation du serveur MCP HubSpot prend une demi-journée. Comptez deux à quatre jours de prestation pour un déploiement propre avec gouvernance, charte d'usage, et formation des commerciaux. Coût indicatif : 2 000 à 4 500 €.

Limites à anticiper : la qualité des briefs dépend de la qualité des données HubSpot. Un CRM mal tenu (champs vides, doublons, notes absentes) donnera des briefs IA pauvres. Le pré-requis MCP, c'est un CRM en bon état.

Retour sur investissement : 3 à 6 heures gagnées par semaine par commercial sur la préparation de RDV, plus une meilleure qualité moyenne des briefs (l'IA ne saute pas l'historique). Pour une équipe de 5 commerciaux, c'est typiquement 60 à 120 heures par mois récupérées.

Cas 3 : Assistant IA branché sur Google Workspace pour la PME mixte

Profil : PME wallonne de 15 personnes, stack majoritairement Google Workspace (Gmail, Drive, Docs, Calendar, Sheets). Pas de CRM principal (HubSpot Free), pas d'ERP (factu sur Excel ou Yuki). L'activité tourne autour des emails, des documents partagés et de l'agenda.

Le besoin : un assistant qui retrouve un document dans Drive même quand on ne se rappelle plus du nom exact, qui résume un fil de mail Gmail trop long avant de répondre, qui propose un créneau Calendar quand on planifie une réunion à 4 personnes.

Comment MCP change l'équation : Anthropic a publié dès le lancement de MCP en novembre 2024 un serveur officiel pour Google Drive. La communauté maintient des serveurs pour Gmail, Calendar et Sheets. Combinés ensemble, l'assistant IA devient un véritable « secrétariat numérique » qui fait gagner du temps sur les tâches Google Workspace courantes.

Charge de mise en place : pour une PME Google Workspace, la mise en place d'un assistant IA MCP est rapide. Comptez 2 à 4 jours pour installer les serveurs MCP, configurer les permissions OAuth (lecture seule sur Drive et Gmail, lecture-écriture sur Calendar), et former l'équipe. Coût indicatif : 2 000 à 4 000 €.

Limites à anticiper : Google Workspace expose beaucoup de données personnelles et professionnelles. La conformité APD impose une réflexion sur ce qu'on autorise l'IA à voir. Lecture seule sur Gmail est généralement le bon point de départ. L'écriture (envoyer un email pour vous) demande une vraie validation utilisateur à chaque action.

Retour sur investissement : c'est le cas le plus diffus à mesurer. La règle empirique est qu'un assistant IA Google Workspace bien réglé fait gagner 30 à 60 minutes par jour par utilisateur sur les tâches répétitives. À 15 personnes, ça représente un équivalent temps-plein de productivité libérée par mois.

À retenir : les 3 cas concrets PME

Odoo MCP pour la PME service qui pilote sur l'ERP. HubSpot MCP pour la PME commerciale qui veut accélérer ses RDV. Google Workspace MCP pour la PME mixte qui veut un secrétariat IA. Chaque cas se déploie en 2 à 5 jours pour 2 000 à 6 000 €.

Et la sécurité ? Le rappel OWASP MCP Top 10

MCP ouvre par construction une nouvelle surface d'attaque. Un assistant IA qui peut lire votre CRM et écrire dans votre ERP, c'est aussi un point d'entrée potentiel pour un attaquant qui réussirait à injecter un prompt malveillant. OWASP a publié son MCP Top 10 en 2025, et le OWASP MCP Security Cheat Sheet est la référence pratique pour les déploiements en entreprise.

Les trois risques les plus critiques pour une PME :

En janvier-février 2026, plusieurs dizaines de CVE ont été déposées contre des serveurs MCP communautaires, et des centaines de serveurs MCP exposés sans authentification ont été identifiés publiquement. La leçon : ne déployer qu'avec des serveurs MCP officiels (éditeurs SaaS) ou des serveurs communautaires audités sérieusement.

Côté EU AI Act, l'article 4 (AI literacy) s'applique : tout collaborateur qui utilise un assistant IA branché par MCP doit avoir reçu une formation minimale. L'article 50 (transparence) s'applique aussi : l'utilisateur doit savoir qu'il interagit avec une IA, et les contenus générés doivent être marqués si publiés. Détails dans notre checklist EU AI Act août 2026 pour PME.

Quand MCP n'est PAS le bon outil

Le marketing pousse à voir MCP partout. Réalité : la majorité des PME n'en ont pas besoin tout de suite.

Pour les usages suivants, un LLM classique avec un bon prompt suffit largement, et MCP est même contre-productif :

MCP devient pertinent quand au moins une des conditions suivantes est vraie :

Pour une PME de 5 à 10 personnes en démarrage IA, commencer par les usages chat classiques, puis évaluer MCP au bout de 6 à 12 mois quand on a identifié les vrais besoins répétitifs. Pas l'inverse.

Notre méthode ATTA en mission MCP

En audit ATTA, on suit une séquence simple pour cadrer un projet MCP en PME.

  1. Identifier deux à trois cas d'usage répétitifs documentés. Pas de « ce serait bien si l'IA pouvait faire X » sans mesure. On veut des cas où l'utilisateur passe au moins une heure par semaine et que la qualité actuelle est acceptable.
  2. Vérifier la maturité des données dans l'outil cible. Un CRM mal tenu ne se transforme pas par magie avec MCP. Un Odoo dont les libellés de projet sont vides ne donnera pas de bons résultats. On lance d'abord une mission de nettoyage si nécessaire.
  3. Choisir le serveur MCP officiel quand il existe. HubSpot, Odoo, GitHub, Google Drive ont des serveurs officiels. C'est toujours le premier choix vs un serveur communautaire.
  4. Démarrer en lecture seule sur le périmètre minimal. On expose le strict nécessaire, on observe l'usage pendant 4 à 6 semaines, on documente les vrais besoins.
  5. Élargir progressivement. Une fois le périmètre lecture validé, on évalue les actions en écriture cas par cas avec validation utilisateur explicite.
  6. Documenter dans le registre de traitement RGPD et la cartographie AI literacy. Conformément aux exigences APD et EU AI Act.

Cette méthode évite les deux pièges les plus fréquents : déployer trop large trop vite (et créer un risque de sécurité), ou déployer trop tard parce qu'on attend la « solution parfaite » qui n'arrivera jamais.

Pour aller plus loin

FAQ

Q: Est-ce que MCP remplace les API REST classiques ?

Non. MCP s'ajoute. Une API REST reste utile pour les intégrations entre logiciels (votre CRM qui parle à votre facturation). MCP est conçu pour les intégrations entre un agent IA et vos outils. Les deux coexistent et se renforcent : les éditeurs SaaS qui ont une bonne API REST ont aussi tendance à publier de bons serveurs MCP plus rapidement.

Q: Mon prestataire IA me parle de MCP pour tout. Est-ce justifié ?

Souvent non. MCP est utile quand l'agent IA doit lire et écrire dans plusieurs outils en autonomie sur des tâches répétitives. Pour la rédaction, la traduction, l'analyse ponctuelle, une interface chat classique suffit. Demandez à votre prestataire de chiffrer le ROI avant de proposer du MCP partout. Si la réponse est floue, prudence.

Q: Quel coût indicatif pour démarrer un projet MCP en PME ?

Pour un déploiement borné sur un outil principal (Odoo OU HubSpot OU Google Workspace), comptez 2 à 5 jours de prestation, soit 2 000 à 6 000 € selon le périmètre et la maturité de votre stack. Si vous voulez démarrer sur les trois en même temps, comptez 6 000 à 15 000 €. Le retour sur investissement se compte en quelques mois pour une PME qui facture à l'heure.

Q: Quel risque de sécurité si on néglige le sujet ?

Sérieux. En 2026, des centaines de serveurs MCP communautaires ont été identifiés exposés sans authentification, et plusieurs dizaines de CVE ont été déposées. La conformité avec les recommandations OWASP MCP Top 10 est la base minimum. En PME, le bon réflexe est de ne déployer que des serveurs MCP officiels ou audités sérieusement, et de démarrer en lecture seule.

Q: Quel est le premier pas concret si je veux explorer MCP pour ma PME ?

Identifier un cas d'usage clair où vous perdez régulièrement du temps dans un outil principal (Odoo, HubSpot, Google Workspace), puis demander un cadrage rapide à un prestataire qui maîtrise vraiment MCP. Évitez les ateliers généralistes « on va découvrir l'IA ensemble » et privilégiez un projet borné avec un livrable concret en deux à quatre semaines.

Conclusion

MCP a quitté la phase expérimentale en 2026. C'est un standard d'infrastructure soutenu par les principaux éditeurs IA et hébergé par la Linux Foundation. Pour une PME wallonne, trois cas d'usage sont prêts pour la production : assistant connecté à Odoo, à HubSpot ou à Google Workspace.

Le bon réflexe n'est pas de déployer MCP partout, c'est de démarrer sur un cas d'usage borné, en lecture seule, avec un serveur officiel, et de respecter les recommandations de sécurité OWASP dès le premier jour. La rentabilité se mesure en heures gagnées par semaine par utilisateur, pas en innovation pour l'innovation.

Pour un cadrage rapide sur le cas d'usage MCP le plus pertinent pour votre PME, l'estimation du coût et le plan de déploiement sécurisé, prenez rendez-vous avec ATTA. Trente minutes, sans engagement, retour clair sur la priorité à activer.

On choisit l'outil pour vous

Pendant l'audit Quick Wins, on teste votre cas réel et on vous recommande la meilleure approche — sans parti pris.

Réserver un audit

À lire ensuite

Blog

Aides Digital Wallonia 2026 pour automatiser sa PME : panorama complet

Blog

EU AI Act au 2 août 2026 : la checklist PME pour la rentrée

Blog

Automatisation pour plombier indépendant : 4 tâches à déléguer en 2026