Compétences pour l'entreprise

ConstruireCompétences

Compétences pour l'entreprise

Gouvernance, examen de sécurité, évaluation et conseils organisationnels pour déployer les Agent Skills à l'échelle de l'entreprise.

Ce guide est destiné aux administrateurs et architectes d'entreprise qui doivent gouverner les Agent Skills dans toute une organisation. Il couvre comment examiner, évaluer, déployer et gérer les Skills à grande échelle. Pour des conseils de création, voir meilleures pratiques. Pour les détails d'architecture, voir l'aperçu des Skills.

Examen de sécurité et vérification

Le déploiement de Skills en entreprise nécessite de répondre à deux questions distinctes :

Les Skills sont-ils sûrs en général ? Voir la section considérations de sécurité dans l'aperçu pour les détails de sécurité au niveau de la plateforme.
Comment vérifier une Skill spécifique ? Utilisez l'évaluation des risques et la liste de contrôle d'examen ci-dessous.

Évaluation du niveau de risque

Évaluez chaque Skill par rapport à ces indicateurs de risque avant d'approuver le déploiement :

Indicateur de risque	Ce qu'il faut rechercher	Niveau de préoccupation
Exécution de code	Scripts dans le répertoire Skill (`.py`, `.sh`, `*.js`)	Élevé : les scripts s'exécutent avec un accès complet à l'environnement
Manipulation d'instructions	Directives pour ignorer les règles de sécurité, masquer les actions aux utilisateurs ou modifier le comportement de Claude de manière conditionnelle	Élevé : peut contourner les contrôles de sécurité
Références de serveur MCP	Instructions référençant les outils MCP (`ServerName:tool_name`)	Élevé : étend l'accès au-delà de la Skill elle-même
Modèles d'accès réseau	URLs, points de terminaison API, appels `fetch`, `curl` ou `requests`	Élevé : vecteur potentiel d'exfiltration de données
Identifiants codés en dur	Clés API, jetons ou mots de passe dans les fichiers Skill ou les scripts	Élevé : secrets exposés dans l'historique Git et la fenêtre de contexte
Portée d'accès au système de fichiers	Chemins en dehors du répertoire Skill, modèles glob larges, traversée de répertoires (`../`)	Moyen : peut accéder à des données non intentionnelles
Invocations d'outils	Instructions dirigeant Claude pour utiliser bash, les opérations de fichiers ou d'autres outils	Moyen : examiner les opérations effectuées

Liste de contrôle d'examen

Avant de déployer une Skill d'un tiers ou d'un contributeur interne, complétez ces étapes :

Lisez tout le contenu du répertoire Skill. Examinez SKILL.md, tous les fichiers markdown référencés et tous les scripts ou ressources fournis.
Vérifiez que le comportement du script correspond à l'objectif déclaré. Exécutez les scripts dans un environnement isolé et confirmez que les résultats s'alignent avec la description de la Skill.
Vérifiez les instructions adversariales. Recherchez les directives qui demandent à Claude d'ignorer les règles de sécurité, de masquer les actions aux utilisateurs, d'exfiltrer les données par le biais de réponses ou de modifier le comportement en fonction d'entrées spécifiques.
Vérifiez les récupérations d'URL externes ou les appels réseau. Recherchez dans les scripts et les instructions les modèles d'accès réseau (http, requests.get, urllib, curl, fetch).
Vérifiez l'absence d'identifiants codés en dur. Vérifiez la présence de clés API, de jetons ou de mots de passe dans les fichiers Skill. Les identifiants doivent utiliser des variables d'environnement ou des magasins d'identifiants sécurisés, jamais apparaître dans le contenu Skill.
Listez toutes les commandes bash, les opérations de fichiers et les références d'outils. Considérez le risque combiné lorsqu'une Skill utilise à la fois des outils de lecture de fichiers et des outils réseau.

Ne déployez jamais de Skills provenant de sources non fiables sans un audit complet. Une Skill malveillante peut diriger Claude pour exécuter du code arbitraire, accéder à des fichiers sensibles ou transmettre des données en externe. Traitez l'installation de Skill avec la même rigueur que l'installation de logiciels sur les systèmes de production.

Évaluation des Skills avant le déploiement

Les Skills peuvent dégrader les performances de l'agent s'ils se déclenchent incorrectement, entrent en conflit avec d'autres Skills ou fournissent des instructions médiocres. Exigez une évaluation avant tout déploiement en production.

Ce qu'il faut évaluer

Établissez des portes d'approbation pour ces dimensions avant de déployer une Skill :

Dimension	Ce qu'elle mesure	Exemple d'échec
Précision du déclenchement	La Skill s'active-t-elle pour les bonnes requêtes et reste-t-elle inactive pour les requêtes non liées ?	La Skill se déclenche à chaque mention de feuille de calcul, même quand l'utilisateur veut juste discuter des données
Comportement d'isolation	La Skill fonctionne-t-elle correctement seule ?	La Skill référence des fichiers qui n'existent pas dans son répertoire
Coexistence	L'ajout de cette Skill dégrade-t-il d'autres Skills ?	La description de la nouvelle Skill est trop large, volant les déclenchements des Skills existantes
Suivi des instructions	Claude suit-il les instructions de la Skill avec précision ?	Claude saute les étapes de validation ou utilise les mauvaises bibliothèques
Qualité de sortie	La Skill produit-elle des résultats corrects et utiles ?	Les rapports générés ont des erreurs de formatage ou des données manquantes

Exigences d'évaluation

Exigez que les auteurs de Skill soumettent des suites d'évaluation avec 3-5 requêtes représentatives par Skill, couvrant les cas où la Skill devrait se déclencher, ne devrait pas se déclencher et les cas limites ambigus. Exigez des tests sur les modèles que votre organisation utilise (Haiku, Sonnet, Opus), car l'efficacité de la Skill varie selon le modèle.

Pour des conseils détaillés sur la création d'évaluations, voir évaluation et itération dans les meilleures pratiques. Pour la méthodologie d'évaluation générale, voir développer des cas de test.

Utilisation des évaluations pour les décisions de cycle de vie

Les résultats d'évaluation signalent quand agir :

Précision de déclenchement en déclin : Mettez à jour la description ou les instructions de la Skill
Conflits de coexistence : Consolidez les Skills qui se chevauchent ou réduisez les descriptions
Qualité de sortie constamment faible : Réécrivez les instructions ou ajoutez des étapes de validation
Défaillances persistantes après les mises à jour : Déclassez la Skill

Gestion du cycle de vie des Skills

Planifier
Identifiez les flux de travail qui sont répétitifs, sujets aux erreurs ou qui nécessitent des connaissances spécialisées. Mappez-les aux rôles organisationnels et déterminez lesquels sont des candidats pour les Skills.
Créer et examiner
Assurez-vous que l'auteur de la Skill suit les meilleures pratiques. Exigez un examen de sécurité en utilisant la liste de contrôle d'examen ci-dessus. Exigez une suite d'évaluation avant approbation. Établissez une séparation des tâches : les auteurs de Skill ne doivent pas être leurs propres examinateurs.
Tester
Exigez des évaluations en isolation (Skill seule) et aux côtés des Skills existantes (test de coexistence). Vérifiez la précision du déclenchement, la qualité de sortie et l'absence de régressions dans votre ensemble de Skills actif avant d'approuver pour la production.
Déployer
Téléchargez via l'API Skills pour un accès à l'échelle de l'espace de travail. Voir Utilisation des Skills avec l'API pour le téléchargement et la gestion des versions. Documentez la Skill dans votre registre interne avec l'objectif, le propriétaire et la version.
Surveiller
Suivez les modèles d'utilisation et collectez les commentaires des utilisateurs. Réexécutez les évaluations périodiquement pour détecter la dérive ou les régressions à mesure que les flux de travail et les modèles évoluent. Les analyses d'utilisation ne sont actuellement pas disponibles via l'API Skills. Implémentez la journalisation au niveau de l'application pour suivre les Skills incluses dans les requêtes.
Itérer ou déclasser
Exigez que la suite d'évaluation complète réussisse avant de promouvoir les nouvelles versions. Mettez à jour les Skills quand les flux de travail changent ou que les scores d'évaluation baissent. Déclassez les Skills quand les évaluations échouent constamment ou que le flux de travail est retiré.

Organisation des Skills à grande échelle

Limites de rappel

En règle générale, limitez le nombre de Skills chargées simultanément pour maintenir une précision de rappel fiable. Les métadonnées de chaque Skill (nom et description) concourent pour l'attention dans l'invite système. Avec trop de Skills actives, Claude peut ne pas sélectionner la bonne Skill ou en manquer des pertinentes. Utilisez votre suite d'évaluation pour mesurer la précision du rappel à mesure que vous ajoutez des Skills, et arrêtez d'ajouter quand les performances se dégradent.

Notez que les requêtes API supportent un maximum de 8 Skills par requête (voir Utilisation des Skills avec l'API). Si un rôle nécessite plus de Skills qu'une seule requête ne peut en supporter, envisagez de consolider les Skills étroites en des Skills plus larges ou d'acheminer les requêtes vers différents ensembles de Skills en fonction du type de tâche.

Commencer spécifique, consolider plus tard

Encouragez les équipes à commencer par des Skills étroites et spécifiques aux flux de travail plutôt que par des Skills larges et polyvalentes. À mesure que les modèles émergent dans votre organisation, consolidez les Skills connexes en bundles basés sur les rôles.

Utilisez les évaluations pour décider quand consolider. Fusionnez les Skills étroites en une Skills plus large uniquement quand les évaluations de la Skill consolidée confirment des performances équivalentes aux Skills individuelles qu'elle remplace.

Exemple de progression :

Début : formatting-sales-reports, querying-pipeline-data, updating-crm-records
Consolider : sales-operations (quand les évals confirment des performances équivalentes)

Nommage et catalogage

Utilisez des conventions de nommage cohérentes dans votre organisation. La section conventions de nommage dans les meilleures pratiques fournit des conseils de formatage.

Maintenez un registre interne pour chaque Skill avec :

Objectif : Le flux de travail que la Skill supporte
Propriétaire : L'équipe ou l'individu responsable de la maintenance
Version : Version actuellement déployée
Dépendances : Serveurs MCP, packages ou services externes requis
Statut d'évaluation : Date et résultats de la dernière évaluation

Bundles basés sur les rôles

Groupez les Skills par rôle organisationnel pour garder l'ensemble de Skills actif de chaque utilisateur concentré :

Équipe commerciale : Opérations CRM, rapports de pipeline, génération de propositions
Ingénierie : Examen de code, flux de travail de déploiement, réponse aux incidents
Finance : Génération de rapports, validation des données, préparation d'audit

Chaque bundle basé sur les rôles ne devrait contenir que les Skills pertinentes pour les flux de travail quotidiens de ce rôle.

Distribution et contrôle de version

Contrôle de source

Stockez les répertoires Skill dans Git pour le suivi de l'historique, l'examen du code via les demandes de tirage et la capacité de restauration. Chaque répertoire Skill (contenant SKILL.md et tous les fichiers fournis) correspond naturellement à un dossier suivi par Git.

Distribution basée sur l'API

L'API Skills fournit une distribution à portée d'espace de travail. Les Skills téléchargées via l'API sont disponibles pour tous les membres de l'espace de travail. Voir Utilisation des Skills avec l'API pour les points de terminaison de téléchargement, de versioning et de gestion.

Stratégie de versioning

Production : Épinglez les Skills à des versions spécifiques. Exécutez la suite d'évaluation complète avant de promouvoir une nouvelle version. Traitez chaque mise à jour comme un nouveau déploiement nécessitant un examen de sécurité complet.
Développement et test : Utilisez les dernières versions pour valider les modifications avant la promotion en production.
Plan de restauration : Maintenez la version précédente comme secours. Si une nouvelle version échoue les évaluations en production, revenez immédiatement à la dernière version connue comme bonne.
Vérification d'intégrité : Calculez les sommes de contrôle des Skills examinées et vérifiez-les au moment du déploiement. Utilisez les commits signés dans votre référentiel Skill pour assurer la provenance.

Considérations multi-surfaces

Les Skills personnalisées ne se synchronisent pas entre les surfaces. Les Skills téléchargées vers l'API ne sont pas disponibles sur claude.ai ou dans Claude Code, et vice versa. Chaque surface nécessite des téléchargements et une gestion séparés.

Maintenez les fichiers source Skill dans Git comme source unique de vérité. Si votre organisation déploie des Skills sur plusieurs surfaces, implémentez votre propre processus de synchronisation pour les garder cohérentes. Pour tous les détails, voir disponibilité multi-surfaces.

Prochaines étapes

Aperçu des Agent Skills

Architecture et détails de la plateforme

Meilleures pratiques

Conseils de création pour les créateurs de Skills

Was this page helpful?

ConstruireCompétences

Compétences pour l'entreprise

Gouvernance, examen de sécurité, évaluation et conseils organisationnels pour déployer les Agent Skills à l'échelle de l'entreprise.

Examen de sécurité et vérification

Le déploiement de Skills en entreprise nécessite de répondre à deux questions distinctes :

Les Skills sont-ils sûrs en général ? Voir la section considérations de sécurité dans l'aperçu pour les détails de sécurité au niveau de la plateforme.
Comment vérifier une Skill spécifique ? Utilisez l'évaluation des risques et la liste de contrôle d'examen ci-dessous.

Évaluation du niveau de risque

Évaluez chaque Skill par rapport à ces indicateurs de risque avant d'approuver le déploiement :

Indicateur de risque	Ce qu'il faut rechercher	Niveau de préoccupation
Exécution de code	Scripts dans le répertoire Skill (`.py`, `.sh`, `*.js`)	Élevé : les scripts s'exécutent avec un accès complet à l'environnement
Manipulation d'instructions	Directives pour ignorer les règles de sécurité, masquer les actions aux utilisateurs ou modifier le comportement de Claude de manière conditionnelle	Élevé : peut contourner les contrôles de sécurité
Références de serveur MCP	Instructions référençant les outils MCP (`ServerName:tool_name`)	Élevé : étend l'accès au-delà de la Skill elle-même
Modèles d'accès réseau	URLs, points de terminaison API, appels `fetch`, `curl` ou `requests`	Élevé : vecteur potentiel d'exfiltration de données
Identifiants codés en dur	Clés API, jetons ou mots de passe dans les fichiers Skill ou les scripts	Élevé : secrets exposés dans l'historique Git et la fenêtre de contexte
Portée d'accès au système de fichiers	Chemins en dehors du répertoire Skill, modèles glob larges, traversée de répertoires (`../`)	Moyen : peut accéder à des données non intentionnelles
Invocations d'outils	Instructions dirigeant Claude pour utiliser bash, les opérations de fichiers ou d'autres outils	Moyen : examiner les opérations effectuées

Liste de contrôle d'examen

Avant de déployer une Skill d'un tiers ou d'un contributeur interne, complétez ces étapes :

Lisez tout le contenu du répertoire Skill. Examinez SKILL.md, tous les fichiers markdown référencés et tous les scripts ou ressources fournis.
Vérifiez que le comportement du script correspond à l'objectif déclaré. Exécutez les scripts dans un environnement isolé et confirmez que les résultats s'alignent avec la description de la Skill.
Vérifiez les instructions adversariales. Recherchez les directives qui demandent à Claude d'ignorer les règles de sécurité, de masquer les actions aux utilisateurs, d'exfiltrer les données par le biais de réponses ou de modifier le comportement en fonction d'entrées spécifiques.
Vérifiez les récupérations d'URL externes ou les appels réseau. Recherchez dans les scripts et les instructions les modèles d'accès réseau (http, requests.get, urllib, curl, fetch).
Vérifiez l'absence d'identifiants codés en dur. Vérifiez la présence de clés API, de jetons ou de mots de passe dans les fichiers Skill. Les identifiants doivent utiliser des variables d'environnement ou des magasins d'identifiants sécurisés, jamais apparaître dans le contenu Skill.
Listez toutes les commandes bash, les opérations de fichiers et les références d'outils. Considérez le risque combiné lorsqu'une Skill utilise à la fois des outils de lecture de fichiers et des outils réseau.

Évaluation des Skills avant le déploiement

Ce qu'il faut évaluer

Établissez des portes d'approbation pour ces dimensions avant de déployer une Skill :

Dimension	Ce qu'elle mesure	Exemple d'échec
Précision du déclenchement	La Skill s'active-t-elle pour les bonnes requêtes et reste-t-elle inactive pour les requêtes non liées ?	La Skill se déclenche à chaque mention de feuille de calcul, même quand l'utilisateur veut juste discuter des données
Comportement d'isolation	La Skill fonctionne-t-elle correctement seule ?	La Skill référence des fichiers qui n'existent pas dans son répertoire
Coexistence	L'ajout de cette Skill dégrade-t-il d'autres Skills ?	La description de la nouvelle Skill est trop large, volant les déclenchements des Skills existantes
Suivi des instructions	Claude suit-il les instructions de la Skill avec précision ?	Claude saute les étapes de validation ou utilise les mauvaises bibliothèques
Qualité de sortie	La Skill produit-elle des résultats corrects et utiles ?	Les rapports générés ont des erreurs de formatage ou des données manquantes

Exigences d'évaluation

Utilisation des évaluations pour les décisions de cycle de vie

Les résultats d'évaluation signalent quand agir :

Précision de déclenchement en déclin : Mettez à jour la description ou les instructions de la Skill
Conflits de coexistence : Consolidez les Skills qui se chevauchent ou réduisez les descriptions
Qualité de sortie constamment faible : Réécrivez les instructions ou ajoutez des étapes de validation
Défaillances persistantes après les mises à jour : Déclassez la Skill

Gestion du cycle de vie des Skills

Planifier
Identifiez les flux de travail qui sont répétitifs, sujets aux erreurs ou qui nécessitent des connaissances spécialisées. Mappez-les aux rôles organisationnels et déterminez lesquels sont des candidats pour les Skills.
Créer et examiner
Assurez-vous que l'auteur de la Skill suit les meilleures pratiques. Exigez un examen de sécurité en utilisant la liste de contrôle d'examen ci-dessus. Exigez une suite d'évaluation avant approbation. Établissez une séparation des tâches : les auteurs de Skill ne doivent pas être leurs propres examinateurs.
Tester
Exigez des évaluations en isolation (Skill seule) et aux côtés des Skills existantes (test de coexistence). Vérifiez la précision du déclenchement, la qualité de sortie et l'absence de régressions dans votre ensemble de Skills actif avant d'approuver pour la production.
Déployer
Téléchargez via l'API Skills pour un accès à l'échelle de l'espace de travail. Voir Utilisation des Skills avec l'API pour le téléchargement et la gestion des versions. Documentez la Skill dans votre registre interne avec l'objectif, le propriétaire et la version.
Surveiller
Suivez les modèles d'utilisation et collectez les commentaires des utilisateurs. Réexécutez les évaluations périodiquement pour détecter la dérive ou les régressions à mesure que les flux de travail et les modèles évoluent. Les analyses d'utilisation ne sont actuellement pas disponibles via l'API Skills. Implémentez la journalisation au niveau de l'application pour suivre les Skills incluses dans les requêtes.
Itérer ou déclasser
Exigez que la suite d'évaluation complète réussisse avant de promouvoir les nouvelles versions. Mettez à jour les Skills quand les flux de travail changent ou que les scores d'évaluation baissent. Déclassez les Skills quand les évaluations échouent constamment ou que le flux de travail est retiré.

Organisation des Skills à grande échelle

Limites de rappel

Commencer spécifique, consolider plus tard

Exemple de progression :

Début : formatting-sales-reports, querying-pipeline-data, updating-crm-records
Consolider : sales-operations (quand les évals confirment des performances équivalentes)

Nommage et catalogage

Utilisez des conventions de nommage cohérentes dans votre organisation. La section conventions de nommage dans les meilleures pratiques fournit des conseils de formatage.

Maintenez un registre interne pour chaque Skill avec :

Objectif : Le flux de travail que la Skill supporte
Propriétaire : L'équipe ou l'individu responsable de la maintenance
Version : Version actuellement déployée
Dépendances : Serveurs MCP, packages ou services externes requis
Statut d'évaluation : Date et résultats de la dernière évaluation

Bundles basés sur les rôles

Groupez les Skills par rôle organisationnel pour garder l'ensemble de Skills actif de chaque utilisateur concentré :

Équipe commerciale : Opérations CRM, rapports de pipeline, génération de propositions
Ingénierie : Examen de code, flux de travail de déploiement, réponse aux incidents
Finance : Génération de rapports, validation des données, préparation d'audit

Chaque bundle basé sur les rôles ne devrait contenir que les Skills pertinentes pour les flux de travail quotidiens de ce rôle.

Distribution et contrôle de version

Contrôle de source

Distribution basée sur l'API

Stratégie de versioning

Production : Épinglez les Skills à des versions spécifiques. Exécutez la suite d'évaluation complète avant de promouvoir une nouvelle version. Traitez chaque mise à jour comme un nouveau déploiement nécessitant un examen de sécurité complet.
Développement et test : Utilisez les dernières versions pour valider les modifications avant la promotion en production.
Plan de restauration : Maintenez la version précédente comme secours. Si une nouvelle version échoue les évaluations en production, revenez immédiatement à la dernière version connue comme bonne.
Vérification d'intégrité : Calculez les sommes de contrôle des Skills examinées et vérifiez-les au moment du déploiement. Utilisez les commits signés dans votre référentiel Skill pour assurer la provenance.

Considérations multi-surfaces

Prochaines étapes

Aperçu des Agent Skills

Architecture et détails de la plateforme

Meilleures pratiques

Conseils de création pour les créateurs de Skills

Was this page helpful?