Un agent pour convertir vos API en MCP sans code

Résumer cet article avec :

Les assistants IA d’entreprise restent souvent aveugles aux données internes, faute de connecteurs simples, fiables et économiques. C’est ce qu’a décidé de changer Agoda en 2025 avec son API Agent, une solution open-source qui simplifie drastiquement l’intégration des modèles de langage aux systèmes existants. Lancé en réponse à un défi majeur – l’écosystème fragmenté des API – cet outil permet à n’importe quel modèle de langage (comme Claude ou GPT-4) d’interroger des centaines de services internes en langage naturel. Selon les premiers retours d’entreprises utilisatrices, il pourrait réduire de 80 % les coûts de maintenance liés aux intégrations d’agents IA.

À retenir
API Agent : outil open-source d’Agoda qui connecte les modèles IA (LLM) aux API internes (GraphQL/REST) sans code ni déploiement, via le Model Context Protocol (MCP).
MCP : standard ouvert créé par Anthropic en 2024 pour structurer l’accès aux données des LLM et limiter les hallucinations grâce à des données fraîches et fiables.
Zero-code : l’agent scanne automatiquement les schémas OpenAPI/GraphQL, génère les requêtes et traite les résultats avec DuckDB (base de données en mémoire) pour des jointures SQL sans modifier les API existantes.
Cas d’usage clé : Agoda l’utilise pour analyser des catalogues de 10 000 lignes, filtrer les données via SQL, et réduire l’usage de tokens de 70 % en ne renvoyant que les résultats pertinents au LLM.
Sécurité : mode lecture seule par défaut, observabilité via OpenTelemetry et validation des schémas pour éviter les injections de prompts.
Coût : gratuit (open-source sur GitHub), avec une courbe d’adoption estimée à 2 semaines pour les premières intégrations.
Limites : non conçu pour l’exécution de code arbitraire ; nécessite une gouvernance des permissions stricte et un post-traitement SQL pour les requêtes complexes.

Un pont entre le langage naturel et les données techniques

Avant API Agent, les entreprises faisaient face à un casse-tête d’intégration : pour permettre à un assistant IA d’accéder à leurs données internes, elles devaient développer des serveurs MCP dédiés pour chaque service, une tâche chronophage et coûteuse. Prenons l’exemple d’Agoda, géant du voyage en ligne : son équipe d’ingénierie gère des centaines d’API internes, allant des réservations hôtelières aux systèmes de paiement, en passant par les catalogues de services. Chaque fois qu’un nouveau modèle IA devait interagir avec ces données, les développeurs écrivaient des wrappers personnalisés, ce qui ralentissait les projets et augmentait les risques d’erreurs.

Photo d’un chef de produit français interrogeant un assistant IA en langage naturel devant un écran affichant un réseau d’API techniques orchestrées par API Agent. — API Agent sert de passerelle entre les questions en langage naturel et les API techniques, en générant et orchestrant automatiquement les requêtes nécessaires.

C’est ce problème qu’a attaqué Agoda Engineering en 2025 avec son API Agent. L’idée : créer un serveur MCP universel capable de s’interfacer avec n’importe quelle API – GraphQL, REST ou même certaines bases de données – sans développement supplémentaire. Concrètement, l’outil agit comme un traducteur intelligent : un utilisateur pose une question en langage naturel (par exemple : “Quels sont les hôtels 5 étoiles disponibles à Paris avec un spa, réservables avant le 20 février 2026 ?”), et l’API Agent se charge de :

Analyser la requête pour identifier les données nécessaires (ici, les hôtels, leurs étoiles, les services spa et les disponibilités).
Introspecter automatiquement les schémas des API cibles via OpenAPI (pour REST) ou l’introspection GraphQL, afin de comprendre leur structure.
Générer et exécuter les requêtes techniques correspondantes (par exemple une requête GraphQL pour les hôtels et une requête REST pour les disponibilités).
Traiter les résultats avec DuckDB, une base de données en mémoire, pour effectuer des jointures SQL, des tris ou des agrégations, même si les API originales ne le permettent pas.
Renvoyer uniquement les données pertinentes au modèle IA, en format structuré, pour éviter de saturer sa fenêtre de contexte (le nombre limité d’informations qu’un LLM peut traiter à la fois).

Selon les tests internes d’Agoda, le dispositif permet une réduction de 70 % des tokens utilisés, ces unités de texte que les LLM “consomment” pour traiter une requête. L’impact se voit immédiatement sur les factures cloud et sur les temps de réponse, surtout pour les cas d’usage analytiques.

“Avant, nous envoyions des milliers de lignes brutes au modèle, ce qui augmentait les coûts et rallongeait les délais de réponse.”
Mark Zhang, chef de projet chez Agoda Engineering

“Désormais, API Agent filtre et agrège les données en amont, ce qui rend les interactions bien plus efficaces pour les équipes métier comme pour les ingénieurs.”
Mark Zhang, chef de projet chez Agoda Engineering

Le Model Context Protocol : l’USB-C de l’IA

Pour mesurer ce qu’apporte API Agent, il faut remonter à fin 2024, lorsque Anthropic a introduit le Model Context Protocol (MCP). Ce standard ouvert a été pensé comme une interface universelle entre les modèles de langage et les sources de données, à la manière d’un port USB-C : quel que soit le service (API, fichier, base de données), s’il respecte le protocole, il peut se connecter sans adaptation lourde.

Avant le MCP, chaque modèle IA (comme Claude ou GPT-4) avait sa propre façon d’accéder aux données externes, ce qui créait une fragmentation technique et des intégrations difficiles à maintenir. Avec le MCP, Anthropic a standardisé cette communication via une architecture client-serveur utilisant JSON-RPC, un protocole léger pour les appels procéduraux. Le MCP définit notamment :

un format de requête/réponse unique, basé sur JSON, pour échanger des données entre le LLM et les serveurs ;
un système de typage strict pour limiter les erreurs (par exemple, une date doit être au format ISO 8601) ;
des mécanismes de sécurité, comme l’authentification par jeton et les permissions granulaires ;
une observabilité intégrée, via des outils comme OpenTelemetry ou Jaeger, pour tracer les requêtes et détecter les anomalies.

Le MCP s’attaque à un problème récurrent : les hallucinations des LLM. Ces modèles, bien que puissants, ont tendance à inventer des informations lorsqu’ils n’ont pas accès à des données fiables. En connectant les LLM à des sources réelles et mises à jour via le MCP, les entreprises augmentent la probabilité d’obtenir des réponses précises et vérifiables, surtout dans les environnements réglementés.

Lisez aussi Construire un agent IA sur AWS Serverless en 5 étapes faciles

Mais le MCP avait un angle mort opérationnel : pour chaque service (API, base de données, fichier), il fallait déployer un serveur MCP dédié. Chez Agoda, où les équipes gèrent des centaines de microservices, cela représentait potentiellement des mois de développement et une complexité opérationnelle difficile à absorber. C’est précisément ce goulot d’étranglement qu’adresse API Agent : en jouant le rôle de serveur MCP universel, une seule instance peut gérer des dizaines, voire des centaines d’API simultanément.

Cas concrets : comment les entreprises utilisent déjà API Agent

Depuis son lancement en octobre 2025, API Agent a été adopté par une dizaine d’entreprises, principalement dans les secteurs du voyage, de la finance et de la tech. Les premiers déploiements portent autant sur l’analyse de données métiers que sur l’outillage des équipes support ou produit.

Photo d’analystes data français observant un tableau de bord synthétique qui illustre le filtrage de grands catalogues d’API par API Agent. — Dans les cas d’usage concrets, API Agent permet de croiser des catalogues complexes et de renvoyer aux LLM uniquement les données pertinentes, réduisant fortement le volume de tokens.

Trois scénarios illustrent particulièrement bien son potentiel : l’interrogation de catalogues complexes, l’automatisation de tâches récurrentes via des recettes réutilisables, et la sécurisation de l’accès aux données sensibles.

1. Interroger des catalogues complexes sans se noyer dans les données

Chez Agoda, l’outil sert à analyser des catalogues de services internes contenant des dizaines de milliers d’entrées. Une requête du type : “Quelles équipes possèdent des composants labellisés GenAI, et quels sont leurs niveaux de maturité ?” nécessitait auparavant plusieurs allers-retours entre outils internes.

Une requête manuelle dans plusieurs bases de données ou API.
Des exports Excel pour croiser les données et les nettoyer.
Des heures de travail pour agréger les informations et préparer un rapport.

Avec API Agent, la même demande est traitée en quelques secondes :

L’agent introspecte automatiquement les schémas des API concernées (par exemple une API GraphQL pour les équipes et une API REST pour les composants GenAI).
Il extrait les 10 000 lignes brutes et les charge dans DuckDB pour un traitement en mémoire.
Il exécute une jointure SQL pour lier les équipes aux composants, filtre les résultats par le label GenAI et agrège les niveaux de maturité.
Il renvoie uniquement le top 10 des équipes les plus matures, avec des données structurées prêtes à être exploitées par le LLM.

Résultat : le modèle IA reçoit une réponse concise et exploitable sans être submergé de données inutiles. Pour les équipes, cela se traduit par des réponses plus rapides, des rapports plus fiables et moins de travail manuel sur les exports.

“Nous avons réduit notre usage de tokens de 70 %, ce qui se traduit par des économies sensibles sur les coûts d’infrastructure et sur le temps passé par les équipes.”
Mark Zhang, chef de projet chez Agoda Engineering

2. Automatiser les tâches répétitives avec le “Recipe Learning”

Une des fonctionnalités les plus marquantes d’API Agent est son système de “Recipe Learning” (apprentissage par recettes). Lorsqu’un utilisateur pose une requête complexe et que l’agent trouve une solution, celui-ci mémorise le modèle de requête et le convertit en une recette paramétrable. Cette recette devient ensuite un nouvel outil MCP, réutilisable sans repasser par un raisonnement coûteux côté LLM.

Par exemple, si un employé d’Agoda demande : “Quels sont les hôtels à Bangkok avec un taux d’occupation supérieur à 80 % et un prix inférieur à 150 €/nuit pour le mois de mars 2026 ?”, l’API Agent :

génère une requête dynamique combinant les API de réservation et de tarification ;
exécute la requête, filtre les résultats et renvoie la liste des hôtels correspondants ;
enregistre la recette : un modèle réutilisable avec des paramètres (ville, taux d’occupation, prix, dates).

La fois suivante, un utilisateur pourra appeler directement la recette via le MCP, sans que le LLM ait à reconstruire l’enchaînement de requêtes. Les gains se voient particulièrement dans les workflows répétitifs : rapports périodiques, analyses de tendances, suivi de KPI ou vérifications de conformité.

“Cela accélère considérablement les workflows récurrents, comme la génération de rapports, tout en réduisant la variabilité des réponses produites par les modèles.”
Mark Zhang, chef de projet chez Agoda Engineering

3. Sécuriser l’accès aux données sensibles

La sécurité reste un enjeu majeur pour les entreprises qui ouvrent leurs systèmes à des agents IA. API Agent intègre plusieurs mécanismes pour limiter les risques tout en conservant de la flexibilité :

mode lecture seule par défaut : les mutations (modifications de données) sont bloquées sauf exception, ce qui réduit la surface d’attaque ;
validation des schémas : l’agent vérifie que les descriptions des outils (les instructions données au LLM pour utiliser une API) ne contiennent pas de code malveillant ou de prompts injectés ;
observabilité complète : toutes les requêtes sont traçables via OpenTelemetry ou Grafana Tempo, ce qui permet de détecter les anomalies en temps réel ;
permissions granulaires : les utilisateurs et les agents IA n’accèdent qu’aux données strictement nécessaires à leur tâche, selon le principe du least privilege.

Par exemple, un agent IA chargé d’analyser les tendances de réservation n’aura pas accès aux données de paiement des clients, même si ces informations existent dans le système. Cette séparation des rôles facilite par ailleurs les audits de conformité et les discussions avec les équipes juridiques ou sécurité.

“La sécurité n’est pas une option pour nous : API Agent nous permet de donner aux LLM l’accès utile aux données, sans exposer les informations sensibles ni affaiblir nos contrôles internes.”
Mark Zhang, chef de projet chez Agoda Engineering

Limites, coûts et alternatives : ce qu’il faut savoir avant de se lancer

1. Les contraintes techniques et les bonnes pratiques

API Agent n’est pas une solution magique. Il apporte une vraie simplification, mais avec des limites techniques qu’il faut anticiper et des bonnes pratiques à respecter pour en tirer tout le bénéfice :

pas un moteur d’exécution de code : l’outil est conçu pour transformer et agréger des données, pas pour exécuter des scripts complexes. Si votre cas d’usage nécessite un traitement lourd (analyse d’images, calculs mathématiques avancés, machine learning), il faudra le combiner avec d’autres briques techniques.
gestion de la fenêtre de contexte : même avec le post-traitement SQL, des requêtes trop vastes peuvent saturer la mémoire de DuckDB. La bonne pratique consiste à découper les requêtes en étapes et à privilégier des jointures progressives plutôt qu’un énorme appel unique.
sécurité : un chantier continu : même si l’agent est sécurisé par défaut, les entreprises doivent valider manuellement les schémas des API exposées et auditer régulièrement les recettes enregistrées pour limiter les injections de prompts ou les dérives de configuration.
dépendance à OpenAPI/GraphQL : l’agent donne le meilleur de lui-même avec des API bien documentées. Si vos services reposent sur des formats propriétaires ou des descriptions incomplètes, il faudra mettre à niveau la documentation avant de les connecter.

Lisez aussi Make.com annonce un nouvel orchestrateur d’agents IA (et des module If et Merge)

2. Coûts et modèle économique

API Agent est gratuit et open-source, publié sous licence MIT sur GitHub (agoda-com/api-agent). Son adoption implique toutefois des coûts indirects que les équipes doivent anticiper dès la phase pilote.

infrastructure : l’agent s’exécute sur un serveur (on-premise ou cloud) et consomme des ressources CPU/mémoire. Pour une entreprise gérant environ 100 API, Agoda estime un coût d’environ 500 €/mois sur des plateformes comme AWS ou Google Cloud.
formation : même si l’outil vise une approche autonome, les équipes doivent apprendre à configurer les schémas, à définir les permissions et à optimiser les requêtes. Agoda parle d’une courbe d’adoption de 2 semaines pour les premières intégrations.
maintenance : comme tout outil open-source, API Agent nécessite des mises à jour régulières pour corriger les bugs et ajouter des fonctionnalités. Les entreprises peuvent soit contribuer directement au projet, soit s’appuyer sur des prestataires spécialisés.

À titre de comparaison, le développement sur mesure d’un serveur MCP pour une seule API peut coûter entre 5 000 € et 20 000 €, selon la complexité et les contraintes de sécurité. Avec API Agent, ce coût est divisé par 10, voire davantage, pour des dizaines d’API, ce qui change l’équation économique de nombreux projets IA.

3. Alternatives et risques de confusion

Plusieurs solutions existent déjà pour connecter les LLM aux données internes, mais API Agent se distingue par son approche zero-code et sa capacité à passer à l’échelle sans multiplier les développements spécifiques. Quelques grandes familles d’alternatives se dessinent :

serveurs MCP personnalisés : des entreprises comme Stability AI ou Mistral AI développent leurs propres serveurs MCP, mais cela suppose un développement lourd et une maintenance permanente pour chaque service exposé.
outils low-code comme Retool ou Temporal : ces plateformes permettent de créer des interfaces sur les API, mais elles ne sont pas pensées pour les workflows agentiques et reposent souvent sur une couche de code métier.
agents IA spécialisés : des offres comme Microsoft Copilot ou Google Vertex AI intègrent des connecteurs vers les données d’entreprise, mais elles restent propriétaires et moins flexibles qu’un outil open-source installé chez le client.
bases de données vectorielles : des outils comme Pinecone ou Weaviate stockent et interrogent des données via des embeddings, mais ils gèrent mal les API structurées (GraphQL/REST) et les scénarios transactionnels adressés par API Agent.

Il est également utile de clarifier ce que API Agent n’est pas, afin d’éviter les mauvaises attentes lors des premiers projets :

ce n’est pas un orchestrateur de workflows (comme Temporal ou Airflow) : il ne gère pas les dépendances entre tâches dans le temps, mais se concentre sur l’accès et la mise en forme des données.
ce n’est pas un framework d’IA générative (comme LangChain) : il peut être utilisé en complément, mais sa vocation première est d’exposer des API aux modèles, pas de construire des chaînes de raisonnement.
ce n’est pas un outil d’ETL (comme Apache NiFi) : il ne vise pas les pipelines lourds, mais structure et agrège les données à la demande pour répondre aux questions des LLM.

4. Cadre légal et réglementation en France et en UE

En Europe, l’usage d’agents IA pour accéder à des données internes s’inscrit dans un cadre juridique qui se renforce. Les entreprises qui déploient API Agent doivent composer avec plusieurs textes et recommandations, en particulier lorsque des données personnelles sont en jeu.

RGPD (Règlement Général sur la Protection des Données) : toute donnée personnelle traitée via API Agent doit respecter les principes de minimisation, de transparence et de consentement. Les organisations doivent documenter précisément les accès des LLM aux données sensibles et pouvoir justifier la finalité de ces traitements.
AI Act (règlement européen sur l’IA) : entré en vigueur en août 2024, ce texte classe les systèmes d’IA par niveau de risque. Les agents utilisant API Agent pour des décisions critiques (gestion de réservations, analyse financière, scoring) peuvent être soumis à des obligations de conformité renforcées, notamment en matière de traçabilité et de gouvernance.
loi française sur la souveraineté numérique : pour les entreprises opérant en France, les données traitées par les LLM doivent, lorsqu’elles sont sensibles, être hébergées sur des serveurs locaux relevant d’un cloud souverain. API Agent peut être déployé on-premise ou sur des infrastructures qualifiées pour répondre à cette exigence.

Au-delà des textes, les organisations qui généralisent l’usage d’API Agent ont intérêt à mettre en place des politiques de gouvernance claires et partagées avec les métiers, les juristes et les équipes sécurité.

Un registre des accès aux données par les LLM, incluant les finalités et les durées de conservation.
Des audits réguliers des recettes enregistrées pour vérifier qu’elles restent conformes aux politiques internes.
Une formation des équipes sur les risques de biais, d’hallucinations et sur les bonnes pratiques de formulation des requêtes.

À mesure que les assistants IA deviennent des interlocuteurs quotidiens pour les équipes métiers, la capacité à connecter ces outils au système d’information sans multiplier les développements ad hoc devient un avantage compétitif. C’est précisément le segment sur lequel API Agent entend s’installer, en misant sur l’open-source, la standardisation via le MCP et une intégration plus accessible pour les équipes techniques comme pour les directions métiers.