Model Context Protocol (MCP)

Les grands modèles linguistiques (LLM) posent un problème fondamental : ils fonctionnent de manière isolée. Entraînés sur des ensembles de données statiques avec des coupures strictes, ces modèles ne peuvent pas accéder aux informations en temps réel sur les menaces ni interroger votre pile de sécurité en temps réel.

Le secteur est confronté à ce qu’on appelle le problème NxM : connecter des dizaines de modèles d’IA à des centaines d’outils d’entreprise crée un cauchemar en matière d’intégration. Le protocole MCP (Model Context Protocol) s’impose comme la norme pour combler cette lacune. Il agit comme un protocole unifié qui permet à l’IA d’accéder de manière transparente aux bases de données, aux API, aux systèmes de fichiers et à d’autres ressources externes.

Dans ce guide, nous explorerons l’architecture du MCP, ses implications en matière de sécurité, ses cas d’utilisation concrets, ses stratégies d’adoption, ses risques potentiels et les questions fréquemment posées.

Le Model Context Protocol est une norme ouverte qui permet aux modèles d’IA de se connecter en toute sécurité à des sources de données et des systèmes externes via une interface centralisée. Plutôt que de coder en dur les connexions entre chaque modèle d’IA et chaque système d’entreprise, le MCP établit un langage commun que tous peuvent parler.

Comme le résume Katie Curtin-Mestre, vice-présidente du marketing produit pour la protection des informations et la gouvernance des communications de données chez Proofpoint, le MCP est « une norme ouverte émergente conçue pour connecter les agents IA à des données externes de manière sécurisée et vérifiable ».

Ce protocole permet aux modèles linguistiques de récupérer des données en temps réel, d’exécuter des actions et d’interagir avec les systèmes d’entreprise tout en maintenant les contrôles de sécurité. Un modèle peut interroger votre SIEM, extraire des flux d’informations sur les menaces ou mettre à jour des tickets dans votre plateforme de réponse aux incidents via la même interface standardisée.

Cette abstraction profite à plusieurs parties prenantes. Les développeurs écrivent les intégrations une seule fois au lieu de les reconstruire pour chaque modèle. Les architectes informatiques bénéficient d’une meilleure visibilité sur les données auxquelles les agents IA ont accès. Les responsables de la sécurité peuvent appliquer des politiques et des pistes d’audit à toutes les interactions IA plutôt que de gérer des solutions ponctuelles.

« Notre solution prend en charge tous les agents conformes à la norme MCP, qu’il s’agisse d’offres commerciales ou d’agents personnalisés développés en interne. Cela garantit une compatibilité universelle dans l’ensemble de votre écosystème IA agentique », note Curtin-Mestre. « Les principales sociétés de logiciels, notamment Microsoft (avec Copilot Studio), OpenAI (avec ChatGPT et Agents SDK), Google (avec les bases de données Google Cloud et les outils de sécurité), Amazon Web Services (avec les services Lambda et Bedrock) et Salesforce (avec Agentforce), déploient déjà des agents compatibles MCP dans des environnements d’entreprise. »

Pour comprendre le MCP, il faut décomposer ses couches techniques. Chaque composant joue un rôle essentiel dans la connexion des modèles d’IA aux systèmes externes tout en garantissant la sécurité et les performances.

• Hôte/application : il s’agit de l’application d’IA destinée aux utilisateurs, telle qu’un assistant de chat ou un environnement de développement intégré (IDE), dans laquelle les utilisateurs interagissent et lancent des tâches. L’hôte coordonne les entrées des utilisateurs, gère les autorisations et orchestre la communication entre le LLM, les clients et les outils externes.
• Client MCP : le client sert de gestionnaire de connexion et de traducteur au sein de l’hôte, établissant des sessions sécurisées avec un ou plusieurs serveurs. Il assure la compatibilité des protocoles, maintient l’isolation entre les serveurs, gère la négociation des capacités et achemine les requêtes et les réponses selon les besoins.
• Serveur MCP : un serveur expose des fonctions, des outils et des ressources spécifiques aux modèles d’IA, agissant souvent comme une interface vers des sources de données externes telles que les SIEM ou les systèmes de ticketing. Chaque serveur fonctionne de manière indépendante, annonce ses capacités et applique des limites de sécurité conformes aux exigences du protocole.
• Couche de transport et de messagerie : la communication entre les clients et les serveurs repose sur JSON-RPC 2.0 comme format de message, utilisant soit STDIO pour les connexions locales directes à faible latence, soit HTTP avec Server-Sent Events pour les environnements distants et distribués. La couche de transport gère également l’authentification et le cadrage des messages afin de garantir la fiabilité et la sécurité des échanges de données.
• Messages de protocole : MCP utilise des requêtes, des réponses et des notifications structurées pour permettre une communication bidirectionnelle, avec une validation rigoureuse des schémas intégrée. La gestion des erreurs et l’application des contrats garantissent que les défaillances ou les incompatibilités sont gérées avec élégance, réduisant ainsi le risque opérationnel pour les flux de travail sensibles en matière de sécurité.

Le flux commence lorsqu’un utilisateur pose une question qui nécessite des données externes. Le client MCP détecte les serveurs disponibles et leurs capacités, puis associe la requête à l’outil approprié. Avant toute invocation, des contrôles d’autorisation vérifient que le LLM peut accéder à cette ressource.

Dans un scénario simple, un analyste en sécurité demande : « Quel est le niveau de menace actuel pour notre passerelle de messagerie ? » Le client identifie le serveur MCP pertinent, demande l’autorisation, appelle l’outil et réinjecte la réponse dans le contexte du LLM. Le modèle formule ensuite une réponse à partir de ces données en temps réel.

Les scénarios complexes impliquent plusieurs étapes. Un analyste peut demander : « Enquêtez sur cet email suspect et créez un ticket s’il s’agit d’un email malveillant. » Le LLM détecte qu’il doit appeler un outil d’analyse, interroger les renseignements sur les menaces, évaluer les résultats et éventuellement invoquer un système de tickets. Chaque étape nécessite sa propre validation d’autorisation et ses propres mises à jour de contexte.

Les implémentations avancées prennent en charge l’échantillonnage, où le serveur peut demander des informations supplémentaires en cours d’opération. Les requêtes initiées par le serveur permettent aux systèmes externes de pousser des mises à jour vers le LLM sans attendre de requêtes explicites. Ces extensions transforment le MCP d’un simple système de requête-réponse en un canal de communication bidirectionnel.

RAG et MCP fonctionnent bien ensemble dans des scénarios réels. Un analyste peut avoir besoin de répondre à la question suivante : « Que dit notre politique de conservation des données au sujet des journaux de menaces, et combien de journaux stockons-nous actuellement ? » RAG récupère le document de politique tandis que MCP invoque un outil pour interroger le SIEM sur les volumes réels de journaux. Le LLM synthétise les deux entrées pour fournir une réponse complète.

Pour les directeurs informatiques qui évaluent les architectures, la décision repose sur l’échelle et la normalisation. Les configurations RAG seules fonctionnent bien lorsque vous avez besoin d’une récupération passive d’informations à partir de bases de connaissances internes. Ajoutez l’appel de fonction lorsqu’un seul modèle doit déclencher des actions spécifiques. Choisissez MCP lorsque vous disposez de plusieurs systèmes d’IA qui nécessitent un accès cohérent et vérifiable à votre pile de sécurité.

Pour les équipes de sécurité qui jonglent avec plusieurs initiatives d’IA, MCP offre des avantages tangibles qui se traduisent directement par des temps de réponse plus rapides et une réduction des frais généraux opérationnels.

• Réduction des hallucinations et ancrage plus factuel : lorsque les LLM accèdent à des données en temps réel via MCP, ils répondent aux questions en se basant sur l’état réel du système plutôt qu’en émettant des hypothèses à partir des données d’entraînement. Un analyste de sécurité enquêtant sur un incident obtient les journaux actuels du pare-feu et des informations en temps réel sur les menaces au lieu de fabrications plausibles. Ce fondement factuel réduit le risque d’agir sur la base d’informations erronées lors d’événements de sécurité urgents.
• Intégration plus facile des outils et des systèmes : la création de connecteurs personnalisés pour chaque modèle d’IA et chaque outil de sécurité engendre une dette technique considérable. MCP standardise ces connexions afin que vous puissiez écrire une intégration une seule fois et la réutiliser sur différents modèles. Votre équipe passe moins de temps à maintenir des ponts API fragiles et plus de temps à améliorer la logique de détection et les scénarios d’intervention.
• Meilleure modularité, réutilisabilité et neutralité vis-à-vis des fournisseurs : les serveurs MCP fonctionnent avec n’importe quel client compatible, quel que soit le fournisseur LLM que vous choisissez. Si vous décidez de passer d’un modèle à un autre ou d’ajouter un nouvel outil d’IA à votre pile, les intégrations existantes continuent de fonctionner sans modification. Cette flexibilité protège votre investissement et évite la dépendance vis-à-vis d’un fournisseur à mesure que le paysage de l’IA évolue.
• Évolutivité et facilité de maintenance : à mesure que votre empreinte IA s’étend, MCP fournit un système d’enregistrement des outils existants et des autorisations détenues par chaque agent. Les centres d’opérations de sécurité qui utilisent plusieurs assistants IA peuvent gérer les politiques d’accès de manière centralisée plutôt que de suivre des configurations dispersées. Lorsque vous devez révoquer un accès ou auditer les données auxquelles un agent a eu accès, vous n’avez qu’une seule couche de protocole à examiner.
• Permet des workflows autonomes et agissants : MCP prend en charge les opérations en plusieurs étapes où les agents IA prennent des décisions et agissent avec une intervention humaine minimale. Un agent peut détecter une campagne de phishing, la corréler avec des informations sur les menaces, identifier les utilisateurs affectés et mettre automatiquement en quarantaine les emails suspects. Ces workflows autonomes réduisent les temps de réponse de plusieurs heures à quelques minutes tout en conservant la piste d’audit requise par les équipes de conformité.
• Visibilité et pistes d’audit améliorées : MCP crée une couche de journalisation unifiée pour toutes les interactions de l’IA avec les systèmes d’entreprise. Les équipes de sécurité peuvent suivre exactement quelles données chaque agent a consultées, quand et pourquoi. Cette visibilité devient essentielle lors des audits de sécurité, des contrôles de conformité ou des enquêtes sur les incidents, lorsque vous devez reconstituer ce qu’un agent IA a fait et à quelles informations il a eu accès.

La véritable valeur du MCP apparaît lorsqu’il est appliqué aux opérations de sécurité. Ces cas d’utilisation démontrent comment le protocole transforme l’IA d’un assistant statique en un participant actif dans les workflows de défense.

Enrichissement des informations sur les menaces

Les équipes de sécurité peuvent connecter les LLM à plusieurs API de flux de menaces, journaux internes et bases de données de vulnérabilités via les serveurs MCP. Lorsque les analystes enquêtent sur un indicateur de compromission, l’IA l’enrichit automatiquement avec le contexte provenant de toutes les sources disponibles. Les PME peuvent limiter cela aux flux de menaces basés sur le SaaS, tandis que les entreprises intègrent plus profondément les données SIEM sur site et les plateformes de renseignements propriétaires.

Réponse automatisée aux incidents

Le MCP permet aux LLM de déclencher des playbooks SOAR, d’interroger les terminaux, d’isoler les systèmes compromis et de mettre à jour les tickets sans intervention humaine. L’IA analyse la situation et prend les mesures appropriées en fonction de la gravité et du contexte. Les RSSI doivent atténuer les risques d’utilisation abusive grâce à des flux d’approbation pour les actions à fort impact et à la journalisation complète de chaque décision automatisée.

Assistants ChatOps de sécurité

Les bots d’assistance interne peuvent répondre à des questions sur les politiques, vérifier les autorisations des utilisateurs, réinitialiser les identifiants et interroger les outils de sécurité à l’aide du langage naturel. MCP fournit une passerelle sécurisée entre les interfaces conversationnelles et les systèmes backend. Le succès dépend d’une définition correcte du périmètre afin que les assistants ne puissent pas étendre leurs privilèges ou exposer des données sensibles au-delà de leur niveau d’autorisation.

Conformité et raisonnement stratégique

Les LLM peuvent évaluer si les configurations répondent aux exigences de conformité réglementaire en interrogeant l’état réel du système via MCP. L’IA compare les données en temps réel aux documents stratégiques récupérés via RAG afin d’identifier les écarts en temps réel. Cette approche dynamique permet de détecter les écarts plus rapidement que les audits manuels périodiques.

Le MCP offre des fonctionnalités puissantes, mais élargit également la surface d’attaque. Les chercheurs en sécurité ont identifié des vulnérabilités qui nécessitent une planification architecturale minutieuse.

Utilisation abusive des outils et actions non autorisées

L’injection de commandes reste la menace la plus critique. Lorsqu’un serveur MCP renvoie des données, celles-ci peuvent contenir des instructions cachées qui détournent le comportement du LLM. Johann Rehberger, chercheur en sécurité et blogueur chez Embrace The Red, a démontré comment des métadonnées d’outils malveillants peuvent forcer Claude à invoquer des outils non prévus ou à divulguer des informations sensibles.

Comme le dit Rehberger, « le simple fait d’activer un outil confère déjà le contrôle de l’inférence du LLM à ce serveur MCP spécifique ». Les RSSI ont besoin de contrôles humains pour les actions à fort impact et de workflows d’approbation complets pour les opérations telles que la suppression de données ou les changements de privilèges.

Instructions cachées et contrebande ASCII

Les descriptions des outils peuvent contenir des balises Unicode invisibles qui passent inaperçues à travers les couches API et UI. Un utilisateur qui inspecte les métadonnées d’un outil voit un texte inoffensif, mais le LLM interprète les instructions cachées intégrées dans les balises Unicode.

Rehberger a révélé cela à Anthropic il y a plus d’un an, mais n’a obtenu qu’une réponse limitée. Il note que « les instructions invisibles devraient être signalées comme une menace pour la sécurité dans la documentation MCP et rendues visibles au moins dans l’interface utilisateur Claude ». Les meilleures pratiques exigent d’analyser les métadonnées des outils à la recherche de caractères cachés et de mettre en œuvre des filtres de jetons basés sur des listes d’autorisation pour bloquer les ensembles d’instructions invisibles.

Chaîne d’approvisionnement et confiance dans les serveurs

Tous les serveurs MCP ne sont pas créés de la même manière. Le téléchargement de serveurs non fiables ou l’utilisation d’intégrations créées par la communauté sans révision du code introduit des risques de porte dérobée. M. Rehberger insiste directement sur ce point : « Ne téléchargez pas et ne connectez pas au hasard l’IA à des serveurs MCP ou OpenAPI non fiables. »

Les directeurs informatiques doivent appliquer des politiques exigeant des serveurs provenant de sources vérifiées. Il est préférable d’utiliser les implémentations officielles de fournisseurs tels que GitHub ou Proofpoint plutôt que des alternatives non vérifiées. Les revues de code par les pairs et l’analyse statique permettent de détecter les problèmes courants tels que l’injection de commandes ou la fuite d’informations d’identification.

Fuites de données et attaques par délégation confuse

Le MCP crée des scénarios de délégation confuse dans lesquels l’IA agit au nom d’utilisateurs disposant de privilèges élevés. Un analyste parcourant des informations sur les menaces peut déclencher un serveur malveillant qui exfiltre des emails ou des documents internes par le biais d’appels d’outils apparemment innocents. L’IA devient alors un intermédiaire involontaire exécutant des actions non autorisées. La journalisation et la surveillance deviennent essentielles pour pouvoir suivre les identités humaines jusqu’aux actions de l’IA et reconstituer les chaînes d’attaque lors de la réponse aux incidents.

Authentification et escalade des autorisations

Les implémentations actuelles du MCP ont du mal à mettre en place une authentification robuste. La prise en charge d’OAuth 2.1 évolue, mais de nombreux serveurs s’appuient sur une gestion basique des jetons qui peut entraîner des fuites d’informations d’identification ou permettre l’abus de privilèges. Les architectures Zero Trust contribuent à renforcer la sécurité en imposant un accès avec le moins de privilèges possible au niveau du protocole. Chaque invocation d’outil doit valider les autorisations par rapport au contexte utilisateur actuel plutôt que de s’appuyer sur des configurations statiques.

Audit et gouvernance

Sans journalisation complète, il est impossible de reconstituer les actions d’un agent IA ou les données auxquelles il a accédé. Les opérations de sécurité nécessitent des pistes d’audit qui associent les identités humaines aux actions de l’IA, avec une journalisation complète des requêtes et des réponses. Les solutions MCP fournissent cette couche de gouvernance en appliquant des politiques d’accès aux données et en créant des journaux inviolables de chaque interaction MCP.

Passer du concept à la production nécessite des décisions pratiques concernant l’architecture et le déploiement. Voici ce qui fonctionne dans les mises en œuvre réelles et les écueils courants rencontrés par les équipes.

1. Commencez par le côté serveur : construisez ou adoptez un serveur MCP avant de vous préoccuper de la complexité du client. Choisissez un outil ou une source de données que votre équipe de sécurité utilise quotidiennement et exposez-le d’abord à MCP. Cette approche ciblée vous permet de valider l’architecture avant de la déployer à l’ensemble de votre pile.
2. Choisissez judicieusement votre mode de transport : utilisez STDIO pour les processus locaux qui nécessitent une faible latence, comme les assistants IA de bureau ou les outils de développement. Passez à HTTP avec Server-Sent Events lorsque vous avez besoin d’un accès distribué sur votre réseau ou lorsque plusieurs équipes partagent les mêmes serveurs MCP.
3. Versionnez tout de manière explicite : les modifications de l’API perturberont les clients si vous ne maintenez pas la rétrocompatibilité. Utilisez le versionnement sémantique pour vos serveurs et documentez les modifications importantes dans les notes de mise à jour. Les quelques minutes consacrées à la discipline de versionnement vous feront gagner des heures de débogage des défaillances de production.
4. Mettez en place une gestion des erreurs robuste : les API externes échouent constamment en raison de limites de débit, de délais d’expiration ou de problèmes réseau. Implémentez une logique de réessai avec un délai exponentiel et une dégradation progressive afin que les échecs partiels ne se répercutent pas en cascade. Votre LLM doit expliquer ce qui n’a pas fonctionné plutôt que de renvoyer des messages d’erreur cryptiques aux utilisateurs.
5. Validez rigoureusement les schémas : ne faites jamais confiance aux définitions d’outils provenant de serveurs externes sans validation. Recherchez les caractères Unicode cachés, vérifiez les types de paramètres par rapport aux listes d’autorisation et rejetez les schémas qui demandent des autorisations excessives. Les erreurs courantes consistent à accepter les métadonnées des outils telles quelles ou à diffuser en continu un contexte non filtré contenant des données sensibles.
6. Surveillez sérieusement : suivez la latence, les taux d’erreur et les refus d’autorisation dans toutes les interactions MCP. Définissez des alertes pour les schémas inhabituels, comme un seul agent effectuant des centaines de requêtes ou accédant à des ressources en dehors des heures normales. Sans télémétrie, vous avancez à l’aveuglette lorsque des incidents se produisent.
7. Procédez par étapes : ne supprimez pas les intégrations existantes du jour au lendemain. Exécutez le MCP parallèlement aux systèmes actuels et migrez un cas d’utilisation à la fois. Commencez par des opérations en lecture seule avant d’activer l’accès en écriture ou les actions destructrices.

Le MCP a connu une croissance significative de son écosystème grâce à des SDK couvrant Python, TypeScript, Java et C#. Les principaux fournisseurs de cloud, notamment AWS, Azure et Google Cloud, offrent désormais une prise en charge directe. Le protocole a élargi sa portée au-delà des LLM pour inclure les applications agentives et les charges de travail analytiques héritées, démontrant ainsi sa polyvalence dans divers cas d’utilisation.

La gouvernance et la maturité de l’écosystème restent des défis à relever. Anthropic a lancé un registre centralisé en septembre 2025 afin de résoudre les problèmes de visibilité et de confiance liés à la fragmentation des catalogues tiers. Le modèle actuel souffre de métadonnées incomplètes et de difficultés à vérifier l’authenticité des serveurs. Des structures de gouvernance formelles sont en train de se mettre en place, Anthropic recherchant activement des contributeurs expérimentés dans la gestion de protocoles open source afin de garantir que le MCP reste axé sur la communauté à mesure qu’il se développe.

L’intégration avec les frameworks d’orchestration d’agents offre des opportunités intéressantes. MCP complète des outils tels que LangChain, CrewAI, BeeAI et LlamaIndex sans les remplacer. Les frameworks gèrent la gestion des flux de travail et la coordination multi-agents, tandis que MCP standardise la couche d’accès aux outils sous-jacente. CrewAI prend déjà en charge l’intégration MCP grâce à des adaptateurs qui déchargent les tâches gourmandes en ressources vers des serveurs distants. Cette répartition des responsabilités crée des architectures plus claires où la logique d’orchestration reste séparée des questions d’accès aux données.

Les améliorations futures se concentreront probablement sur les opérations asynchrones pour les tâches de longue durée, les conceptions de serveurs sans état pour la mise à l’échelle horizontale et les mécanismes d’identité des serveurs utilisant des URL bien connues pour la découverte des capacités. La feuille de route des spécifications comprend des extensions officielles pour les industries spécialisées et des systèmes de hiérarchisation des SDK afin d’aider les développeurs à évaluer la qualité de la mise en œuvre. Des mécanismes d’authentification améliorés et une meilleure observabilité des opérations de sécurité répondront aux préoccupations des entreprises à mesure que l’adoption s’accélérera.

Le Model Context Protocol établit une nouvelle norme pour l’intégration des agents IA aux outils d’entreprise, promettant modularité, efficacité et contexte en temps réel lorsqu’il est mis en œuvre avec une sécurité et une gouvernance solides. Les équipes de sécurité peuvent s’attendre à des cadres portables, vérifiables et évolutifs, mais des contrôles d’autorisation robustes et une journalisation détaillée des audits seront essentiels pour gérer les risques. Le MCP redéfinit la manière dont les défenseurs automatisent, collaborent et raisonnent avec les données actuelles.

Lors de la conférence annuelle de Proofpoint en septembre 2025, cette technologie a occupé le devant de la scène, l’entreprise ayant abordé les risques émergents en matière de sécurité des données associés à l’IA agentielle. Proofpoint Secure Agent Gateway, qui sera lancé au premier trimestre 2026, utilise le MCP pour connecter les agents IA aux données externes de manière sécurisée et vérifiable. Cette approche reflète une évolution plus large du secteur : une défense efficace nécessite une intelligence artificielle capable de raisonner à partir du contexte actuel, et pas seulement à partir de modèles historiques.

Pour découvrir les solutions de sécurité basées sur le MCP ou en savoir plus sur la mise en place d’une IA agentielle sécurisée dans votre environnement, contactez Proofpoint pour bénéficier de conseils d’experts et d’une expérience concrète en matière d’adoption sécurisée par les entreprises.