L’essor des IA agentiques ne marque pas seulement une avancée fonctionnelle. Il introduit une rupture profonde dans la manière dont les systèmes d’information sont pilotés, exposés et attaqués. Au cœur de cette transformation se trouve le Model Context Protocol (MCP), un standard émergent qui permet aux agents d’IA de se connecter directement à des outils, des bases de données et des services métiers. En ouvrant l’IA au monde opérationnel, le MCP crée une nouvelle surface d’attaque, encore largement sous-estimée.
Présenté comme le « USB-C des applications IA », le MCP, lancé par Anthropic fin 2024, vise à standardiser les interactions entre modèles, outils et services externes. Il met fin à l’isolement historique des modèles de langage, jusque-là cantonnés à l’analyse ou à la recommandation. Désormais, les modèles peuvent agir : interroger des bases de données, déclencher des actions, modifier des configurations, alimenter une mémoire persistante. Cette capacité d’action change radicalement la nature du risque. Les sorties du modèle ne sont plus de simples réponses, mais des instructions exécutables, avec un impact direct sur les systèmes connectés.
Une surface d’attaque structurellement multicouche
L’architecture MCP repose sur une chaîne d’acteurs, hôtes, clients et serveurs, dont l’interdépendance redéfinit le périmètre de sécurité. Un hôte d’IA orchestre plusieurs clients MCP, chacun connecté à un serveur exposant des outils ou des ressources spécifiques. Cette segmentation apparente masque une réalité plus complexe : chaque couche hérite à la fois des vulnérabilités classiques des applications et des APIs, tout en introduisant des risques propres à l’IA agentique. La frontière entre raisonnement et exécution disparaît. Une erreur de conception, une faille d’autorisation ou une manipulation du contexte ne se limite plus à une dégradation de la réponse du modèle : elle peut déclencher une action incorrecte, persistante et automatisée. Avec le MCP, une faille change d’échelle.
La supply chain, talon d’Achille de l’IA agentique
Le MCP s’inscrit dans un écosystème profondément distribué, reposant sur des registres publics, des dépôts open source et des dépendances tierces. Cette ouverture fragilise mécaniquement la chaîne de confiance. Certains serveurs MCP ou outils sont malveillants dès leur conception, d’autres deviennent dangereux à la faveur d’une mise à jour compromise ou d’un schéma altéré.
Le chargement dynamique de schémas d’outils, de configurations ou de logiques d’exécution multiplie les points de compromission. Tool poisoning, manipulation silencieuse des schémas, typosquatting ou dépendances hostiles exploitent la confiance implicite accordée à l’écosystème. Dans un environnement MCP, la compromission d’un seul composant ne reste jamais locale : elle peut contaminer le contexte partagé, influencer le raisonnement des agents et se propager à l’ensemble des systèmes qui en dépendent.
Les risques structurants qui déplacent la sécurité
L’analyse des environnements MCP fait émerger des risques majeurs. Le problème ne se limite plus au code ou aux entrées utilisateur : tout ce qui influence la décision du modèle et son accès aux outils devient critique. Certains risques ciblent directement le raisonnement des agents (injection de prompts, empoisonnement du contexte, manipulation de données) tandis que d’autres exploitent des surfaces invisibles pour l’humain mais interprétables par l’IA, comme l’empoisonnement d’outils ou l’altération de schémas. Les erreurs de délégation et les abus de privilèges (scénarios de confused deputy, tokens mal scopés, permissions excessives) transforment les agents en relais involontaires d’actions dangereuses. À cela s’ajoutent des risques systémiques plus classiques (supply chain, exposition de secrets, vulnérabilités applicatives), qui prennent une nouvelle dimension dans un environnement où l’IA orchestre l’exécution. L’empoisonnement inter-MCP illustre ce basculement : un agent compromis peut parfaitement influencer silencieusement le comportement de tous les autres.
Revenir aux fondamentaux
Le MCP n’est pas un protocole comme les autres : il transforme l’IA en acteur capable d’agir sur votre système. Sécuriser ce nouvel écosystème exige de revenir aux fondamentaux c’est-à-dire sécuriser le code et les services exposés, contrôler strictement les droits des agents IA pour limiter les abus, et gouverner la chaîne de composants tiers en vérifiant leur légitimité et en encadrant les mises à jour. Chaque point d’entrée et chaque dépendance peut devenir un vecteur d’attaque si ces fondamentaux ne sont pas respectés. A cela s’ajoute la maitrise des enjeux inédits : contexte partagé, exécution déléguée, interactions constantes entre modèles et systèmes pour éviter que l’autonomie de l’IA ne devienne un vecteur de risque. Penser sécurité dès la conception n’est plus un choix, c’est la condition pour déployer l’IA à grande échelle de manière plus sereine.
____________________________
Par Frédéric Malo, Solutions Architect Checkmarx
puis