Secu
Les serveurs MCP, cette porte ouverte invisible sur les réseaux d’entreprise utilisant l’IA
Par La rédaction, publié le 12 août 2025
Les serveurs MCP ouvrent aux agents IA un terrain de jeu sans limites… et aux attaquants, une opportunité en or. L’essor du Model Context Protocol transforme les interactions IA, tout en introduisant une surface d’attaque que les approches de sécurité traditionnelles ne maîtrisent pas.
De Philippe Darley, expert cybersécurité du Cloud chez Sysdig
Une nouvelle porte dérobée, en grande partie invisible, s’est ouverte dans l’entreprise. Elle ne ressemble pas à une vulnérabilité au sens traditionnel, mais elle accorde aux agents IA autonomes le pouvoir de déplacer des actifs, d’altérer des données et d’exécuter des processus métiers—parfois sans intervention humaine.
Cette menace émane des serveurs utilisant le Model Context Protocol.
Le MCP est un protocole ouvert et universel, introduit par Anthropic en 2024, et qui « standardise la manière dont les applications fournissent des informations contextuelles aux grands modèles de langage (LLMs) ». Le protocole est dès lors utilisé par de nombreuses entreprises utilisant l’IA et les modèles LLM. Problème, leur sécurité n’est pas souvent au niveau.
En effet, beaucoup d’entreprises ne traitent pas ces serveurs comme une surface d’attaque critique. Alors que de nombreuses équipes dirigeantes se préoccupent de la précision des modèles et de la confidentialité des données, une série de récentes fuites ciblant ces serveurs MCP, révèle un défaut critique de vigilance qui pourrait coûter cher aux organisations.
Un risque très réel
Les attaquants exploitent déjà ces menaces. En mai 2024, nous avons découvert une nouvelle forme d’attaque, le « LLMjacking », et nous continuons de suivre cette menace qui évolue rapidement. Le LLMjacking consiste en l’accès illicite au LLM d’une victime pour en faire un usage malveillant : rédaction de code, conduite de campagnes d’ingénierie sociale, vente d’accès, etc. Récemment encore, une mauvaise configuration de la base de données de DeepSeek a exposé des millions de journaux de discussion et de clés API, illustrant comment un simple oubli peut mener à une fuite systémique. Par ailleurs, Hoplon InfoSec a trouvé plus de 12 000 clés API et mots de passe dans des ensembles de données d’entraînement LLM, ce qui montre à quel point il est facile de divulguer et d’abuser des identifiants sensibles à grande échelle.
En 2015, nombre de spécialistes réclamaient aux fournisseurs des API riches en fonctionnalités pour automatiser les opérations de sécurité—un signe avant-coureur précoce du marché SOAR (solution de cybersécurité intégrant l’orchestration, l’automatisation et la réponse aux incidents de cybersécurité). La logique était la même qu’aujourd’hui pour les MCP : il fallait des leviers pour opérer à grande échelle. Mais ce nouveau levier introduit une nouvelle catégorie de risques.
Pourquoi les réponses de sécurité traditionnelles échouent avec le MCP ?
Pourquoi autant d’organisations sont-elles exposées ? La réponse est structurelle. Les serveurs MCP ne sont pas de simples API : ils constituent la colonne vertébrale opérationnelle de l’IA basée sur des agents. Contrairement aux API héritées, qui sont déterministes et dont les autorisations peuvent être strictement définies, les MCP permettent aux grands modèles de langage d’agir. Le protocole suppose souvent que le demandeur et l’objet demandé sont bénins, donc les requêtes ne sont pas toujours validées. Cela peut entraîner des conséquences involontaires : non seulement des fuites de données, mais aussi le déplacement non autorisé d’actifs, le déclenchement de flux de travail ou même le sabotage d’opérations.
La combinaison des vulnérabilités, d’une authentification faible, des injections de prompts et des autorisations larges, crée un rayon d’action que les anciens modèles de sécurité ne peuvent pas contenir. Les autorités réglementaires l’ont remarqué. L’EU AI Act et le cadre de gestion des risques AI du NIST exigent désormais que les organisations adressent ces risques directement, et non comme une réflexion après coup.
Les 4 piliers de la sécurité des serveurs MCP
Pour répondre à cette nouvelle catégorie de risques, les RSSI et CTO doivent aller au-delà des listes de contrôle et adopter une approche fondée sur des principes. Voici les quatre piliers stratégiques qui constituent une méthodologie efficace pour sécuriser les serveurs MCP.
1 – Authentification et gestion des identifiants
Les jetons statiques et la gestion faible des sessions sont une invitation ouverte aux attaquants. Mettez en place des identifiants à durée de vie courte, une rotation des identifiants et une authentification multi-facteurs. Surveillez l’utilisation abusive des jetons et automatisez leur révocation. Cela limite l’impact si un jeton ou une clé est compromis. Mais une authentification forte n’est qu’un premier pas. Une fois que vous avez verrouillé l’accès, le prochain défi consiste à contrôler ce que l’on peut demander au système.
2 – Renforcer la validation des entrées et le contrôle des prompts
L’injection de prompt n’est pas un risque théorique ; c’est une voie d’attaque avérée. Appliquez une validation et un assainissement rigoureux au niveau des entrées à chaque étape. Utilisez des listes d’autorisation/interdiction et surveillez les schémas anormaux de requêtes. Certaines organisations font passer les requêtes par un proxy, supprimant les requêtes malveillantes connues avant qu’elles n’atteignent le serveur MCP. L’objectif ici est de prévenir toute exfiltration ou manipulation de données qui mènerait à une perte de clients ou à un risque juridique. Après avoir maîtrisé les entrées, il faut aussi strictement contrôler les sorties.
3 – Imposer une autorisation granulaire et l’isolation des contextes
Des permissions trop larges et une mauvaise gestion de la multi-location créent un rayon d’action énorme. Les MCP ont historiquement eu des difficultés avec l’autorisation, ce qui peut entraîner des fuites de données, donc il faut s’assurer qu’une solution robuste est en place avant de connecter le serveur MCP à des ensembles de données sensibles. Imposez le principe du moindre privilège, une autorisation granulaire basée sur les rôles, et isolez les contextes et les locataires pour une sécurité optimale. Impact pour l’entreprise : circonscrire les brèches à un seul flux ou utilisateur, et non à toute l’entreprise.
L’autorisation a été historiquement un défi pour les MCP. Avant de connecter ces serveurs à des ensembles de données sensibles, assurez-vous d’avoir une solution robuste pour empêcher les fuites de données.
4 – Institutionnaliser la surveillance continue et la culture de l’IA
Les contrôles statiques sont obsolètes. Déployez une supervision en temps réel des interactions avec le MCP, planifiez des exercices réguliers d’équipe rouge, et assurez-vous que chaque unité métier—pas seulement l’IT—comprend les risques et responsabilités liés à l’IA exploitant le MCP. Un effectif sensibilisé à l’IA, du chef produit au conseil d’administration, est désormais une ligne de défense de base. Cela ne concerne pas que la sécurité ; il s’agit de construire une capacité organisationnelle pour innover en sécurité. L’impact pour l’entreprise est double : vous détectez et résolvez plus vite les incidents, et vous bâtissez une posture de sécurité démontrable, utilisable comme avantage compétitif auprès de clients grandes entreprises qui exigent des preuves de la sécurité de la chaîne d’approvisionnement en IA.
Un nouveau standard de confiance
Les brèches de l’année passée n’étaient pas une anomalie ; c’était un avant-goût. À mesure que les agents autonomes deviennent indissociables des opérations métiers, la sécurité des serveurs MCP qui les rendent possibles deviendra le test ultime de la fiabilité d’une entreprise. Les dirigeants qui voient en ce défi non un problème technique mais un principe fondamental de leur stratégie ne protégeront pas seulement leur entreprise : ils établiront la norme de ce à quoi doit ressembler une organisation résiliente et innovante à l’ère de l’IA.
À LIRE AUSSI :
À LIRE AUSSI :
À LIRE AUSSI :
