Pendant des années, la cybersécurité a cherché à résoudre le même problème: protéger les identités numériques et limiter les accès non autorisés aux systèmes. Aujourd’hui, les particuliers et les entreprises s’appuient sur une combinaison de mécanismes de sécurité pour protéger leurs comptes, leurs données et leurs informations sensibles.
Cette évolution s’accompagne également d’outils conçus pour simplifier la gestion des identifiants. Parmi eux figurent les gestionnaires intégrant un générateur mot de passe, capables de stocker, partager et renseigner automatiquement des identifiants ou des données de paiement tout en les protégeant par chiffrement.
L’émergence des agents d’IA pourrait toutefois changer la donne. À mesure que ces systèmes gagneront en autonomie, la question ne portera plus uniquement sur l’accès aux données, mais aussi sur les actions qu’ils seront autorisés à effectuer. Dans ce contexte, le Model Context Protocol (MCP), présenté par Anthropic en 2024 et encore en pleine phase d’adoption, pourrait devenir l’un des prochains défis de la cybersécurité.
Le passage du chatbot à l’agent change complètement le problème
L’essor du MCP est directement lié à l’évolution des usages de l’IA. Les entreprises ne cherchent plus seulement des assistants capables de générer du texte ou du code. Elles veulent des agents capables d’effectuer des tâches.
Microsoft décrit cette évolution comme le passage d’un modèle centré sur les applications à un modèle centré sur l’intention. L’utilisateur ne lance plus plusieurs logiciels pour accomplir une mission. Il formule un objectif et l’agent coordonne les outils nécessaires.
Concrètement, un agent peut consulter un calendrier, récupérer des documents dans Google Drive, analyser des échanges sur Slack, créer une tâche dans Jira et produire un rapport final. Pour réaliser ces actions, il doit accéder à de nombreux systèmes.
C’est précisément ce qui rend MCP stratégique en 2026. Le protocole ne relie pas seulement l’IA à l’information. Il connecte l’IA à l’infrastructure numérique de l’entreprise.
Pourquoi les chercheurs s’intéressent déjà aux attaques par injection
Les risques les plus préoccupants ne ressemblent pas aux cyberattaques traditionnelles.
Microsoft considère désormais les attaques par injection indirecte parmi les principales menaces pesant sur les agents d’IA. Contrairement à une attaque classique, le pirate n’exploite pas de faille logicielle. Il manipule les informations que l’agent consomme.
Prenons un exemple simple. Une entreprise utilise un agent pour résumer automatiquement les emails reçus par une équipe. Un attaquant envoie un message contenant des instructions cachées que l’utilisateur ne voit pas, mais que l’IA peut interpréter.
Ces instructions peuvent demander à l’agent d’ignorer certaines règles, de rechercher des documents spécifiques ou d’exécuter des actions non prévues.
Dans un environnement classique, l’impact reste limité. Dans un environnement connecté à plusieurs outils métier, la situation évolue. L’attaque cible désormais la logique décisionnelle de l’agent plutôt que l’infrastructure informatique elle-même.
La faille n’est plus dans le système, elle est dans la conversation
Cette évolution marque un tournant majeur pour la cybersécurité. Pendant des décennies, les entreprises ont appris à protéger leurs applications et leurs serveurs. Avec les agents d’IA, les contenus deviennent eux-mêmes des surfaces d’attaque.
Un email malveillant peut devenir une attaque. Un document PDF peut devenir une arme d’attaque. Une page Web peut devenir une arme d’attaque.
Le risque ne réside plus uniquement dans l’accès aux données. Il réside dans la manière dont l’agent interprète les informations auxquelles il est exposé.
C’est l’une des raisons pour lesquelles les spécialistes de la sécurité considèrent les agents d’IA comme un défi totalement différent de celui des logiciels traditionnels.
Le tool poisoning, une menace encore largement méconnue
Parmi les nouveaux risques associés au MCP figure une catégorie d’attaque qui reste peu connue du grand public: le tool poisoning.
OWASP, l’organisation de référence en cybersécurité applicative, a déjà intégré cette menace à ses travaux consacrés à l’intelligence artificielle.
Le principe est simple. Un serveur MCP se présente comme un outil légitime. Il peut offrir des fonctions d’analyse, de recherche documentaire ou de productivité. Pourtant, certaines réponses adressées à l’agent contiennent des instructions dissimulées visant à influencer son comportement.
L’entreprise installe l’outil parce qu’il lui paraît utile. L’agent lui fait confiance parce qu’il est autorisé. L’attaquant exploite précisément cette relation de confiance.
Des chercheurs ayant analysé plusieurs clients MCP populaires ont identifié le tool poisoning comme l’un des scénarios les plus préoccupants de l’écosystème actuel. Le problème est aggravé par le manque de visibilité dont disposent les utilisateurs quant aux informations effectivement échangées entre les outils et les agents.
Les premières vulnérabilités sont déjà apparues
Ces risques ne sont plus théoriques. Au début de 2026, des chercheurs ont révélé plusieurs vulnérabilités affectant le serveur Git officiel de l’écosystème MCP d’Anthropic. Les failles identifiées concernaient notamment la validation des chemins de fichiers et certaines fonctions liées à l’exécution de commandes Git.
Selon les analyses publiées, ces vulnérabilités pouvaient être combinées avec d’autres composants MCP pour manipuler des fichiers ou exécuter des actions non autorisées dans certains scénarios. Parallèlement, d’autres recherches ont mis en évidence des problèmes de sécurité affectant plusieurs SDK MCP utilisés dans les environnements Python, Java, Rust et TypeScript.
Ces découvertes rappellent les débuts du cloud computing. Les entreprises adoptent rapidement une nouvelle technologie avant que l’ensemble des bonnes pratiques de sécurité n’ait eu le temps de mûrir.
Pourquoi Microsoft développe déjà des mécanismes de gouvernance MCP
Le simple contrôle des accès ne suffit plus. À mesure que les agents gagnent en autonomie, les entreprises doivent savoir quels outils ils utilisent, quelles données ils consultent et quelles actions ils peuvent exécuter.
Microsoft travaille déjà sur des mécanismes spécifiques de gouvernance MCP pour son écosystème Copilot. L’objectif est de contrôler quels serveurs MCP sont autorisés, quelles permissions sont accordées et comment les activités des agents sont surveillées.
Cette évolution montre que le sujet n’est plus réservé aux développeurs. Les équipes de cybersécurité, de conformité et de gestion des risques commencent, elles aussi, à s’intéresser au protocole. Lorsqu’une entreprise autorise un agent à accéder aux emails, aux documents internes et aux outils métier, elle lui accorde un niveau de confiance comparable à celui d’un collaborateur humain.
Les agents IA deviennent des utilisateurs privilégiés
C’est probablement le changement le plus important. Historiquement, les organisations distinguaient les utilisateurs, les applications et les administrateurs. Les agents d’IA brouillent ces frontières.
Un agent peut consulter des informations provenant de plusieurs départements, interagir avec divers systèmes et exécuter des tâches automatisées à grande échelle. Pour les responsables de la sécurité, cela signifie que les agents doivent être traités comme des identités privilégiées.
Les principes classiques restent pertinents: accès minimal nécessaire, validation humaine pour les actions sensibles, journalisation complète, surveillance continue et contrôle strict des permissions. La différence est que ces règles doivent désormais être appliquées à des systèmes capables de prendre des initiatives.
