Le Model Context Protocol, plus connu sous le sigle MCP, est en train de devenir l’une des passerelles les plus importantes de l’IA agentique. Sa promesse est simple : permettre à un assistant d’intelligence artificielle de se connecter à des outils, des bases de données, des services internes ou des API sans recréer une intégration sur mesure à chaque fois. Mais cette même promesse attire désormais l’attention des agences de cybersécurité.
Le 20 mai 2026, l’Artificial Intelligence Security Center de la NSA a publié une fiche de recommandations consacrée à MCP et à son usage dans l’automatisation pilotée par IA. Le message est direct : MCP peut accélérer l’intégration des agents IA, mais il doit être déployé avec prudence, car il introduit des risques systémiques que les défenses classiques ne couvrent pas toujours correctement.
Cette actualité compte parce qu’elle marque un changement de ton. L’enjeu n’est plus seulement de savoir si les agents IA répondent correctement aux instructions. Il faut aussi comprendre ce qu’ils peuvent appeler, quelles données ils peuvent lire, quelles actions ils peuvent déclencher et comment une erreur ou une attaque peut se propager à travers toute une chaîne d’outils.
MCP devient l’interface des agents IA avec le monde réel
Un grand modèle de langage, seul, reste limité à ce qu’on lui donne dans une conversation. Pour devenir réellement utile dans une entreprise, il doit accéder à des documents, interroger un CRM, lire un dépôt de code, consulter un calendrier, créer un ticket, appeler une API ou exécuter une action dans un outil métier. MCP répond précisément à ce besoin : il standardise la manière dont une application IA découvre et utilise des ressources externes.
L’image souvent utilisée est celle d’un adaptateur universel. Au lieu de construire une connexion différente pour chaque outil, un développeur peut exposer des fonctions à travers un serveur MCP. L’agent peut ensuite les invoquer selon un format commun. Pour les équipes produit, c’est attractif : l’intégration est plus rapide, plus réutilisable et plus facile à étendre.
Le revers est évident. Dès qu’un agent peut agir sur des systèmes réels, l’interface qui lui donne cet accès devient une zone sensible. Un serveur MCP mal configuré peut exposer trop de données. Une autorisation trop large peut transformer une action banale en opération risquée. Une instruction malveillante cachée dans un document ou une page web peut influencer l’agent au moment où il décide quel outil appeler.
Pourquoi la NSA s’en préoccupe maintenant
Dans son communiqué, la NSA souligne que MCP est déjà utilisé dans des environnements professionnels variés : logiciels d’entreprise, finance, droit, développement logiciel et autres secteurs où les tâches peuvent toucher des données sensibles. L’agence ne décrit donc pas un risque théorique réservé aux laboratoires. Elle parle d’une technologie déjà en cours d’adoption, parfois au coeur de workflows qui manipulent de l’information personnelle ou confidentielle.
La fiche de la NSA insiste aussi sur un point important : les principes classiques de cybersécurité restent nécessaires, mais ne suffisent pas à eux seuls. Authentification, autorisation, validation des entrées, journalisation et segmentation restent indispensables. Mais l’IA agentique ajoute une couche supplémentaire : le modèle peut choisir dynamiquement un outil, combiner plusieurs appels, partager du contexte et interpréter des données non fiables comme des instructions.
Autrement dit, MCP n’est pas seulement une API de plus à protéger. C’est une interface entre un système probabiliste, des outils déterministes et des données dont la fiabilité varie. Cette combinaison demande une architecture de sécurité pensée pour l’ensemble du parcours, pas seulement pour le point d’entrée.
Le danger vient des chaînes d’actions, pas d’un seul appel
Une application traditionnelle appelle généralement une fonction parce que le code l’a prévu. Avec un agent IA, le chemin peut être plus souple. Le modèle reçoit un objectif, observe le contexte, choisit un outil, lit le résultat, puis décide de l’étape suivante. Cette flexibilité est utile, mais elle complique la sécurité.
Prenons un cas simple : un agent doit résumer des messages clients et créer des tickets prioritaires. Pour cela, il accède à une boîte mail, à un outil de support et à une base de connaissances interne. Si un message contient une instruction piégée, l’agent peut la traiter comme du contexte utile. S’il dispose ensuite d’un outil capable de créer, modifier ou envoyer des informations, l’attaque peut franchir la frontière entre lecture et action.
Ce scénario ressemble à l’injection de prompt indirecte, déjà bien documentée dans les systèmes d’IA connectés. MCP ne crée pas ce risque à lui seul, mais il peut l’amplifier si les outils exposés sont trop puissants, si les permissions sont globales ou si les résultats de plusieurs serveurs sont mélangés sans contrôle clair.
Les frontières de confiance deviennent floues
La notion de frontière de confiance est centrale. Dans une architecture classique, on essaie de savoir où s’arrête un système fiable et où commence une entrée non fiable. Avec les agents IA, cette séparation devient plus difficile. Un document externe peut influencer une décision. Une réponse d’outil peut être réinjectée dans le contexte du modèle. Un serveur MCP peut exposer des capacités qui semblent anodines séparément, mais dangereuses une fois combinées.
La NSA cite notamment des préoccupations autour des relations de confiance implicites, du partage de contexte, des appels d’outils dynamiques et des risques de mauvaise utilisation par l’agent. Le point commun est le même : le système peut prendre une décision valable localement, mais dangereuse dans l’ensemble de la chaîne.
C’est ce qui distingue la sécurité de l’IA agentique d’une simple checklist API. Il ne suffit pas de vérifier que chaque endpoint fonctionne. Il faut examiner comment les capacités se composent, qui peut les invoquer, dans quel ordre, avec quelles données et sous quelle identité.
Ce que les entreprises doivent changer dans leur approche
La première mesure consiste à appliquer le principe du moindre privilège avec beaucoup plus de rigueur. Un agent qui résume des documents n’a pas besoin du droit de supprimer des fichiers. Un assistant qui crée des brouillons n’a pas besoin d’envoyer des messages sans validation. Un outil de recherche interne n’a pas besoin d’accéder à toutes les bases de données de l’entreprise par défaut.
Dans un déploiement MCP, cette logique doit être traduite au niveau des serveurs, des outils exposés, des identités utilisées et des flux de validation. Les permissions ne devraient pas être seulement attachées à l’utilisateur humain ou à l’application globale. Elles doivent aussi tenir compte de l’action demandée, du contexte, de la sensibilité des données et du niveau d’autonomie accordé à l’agent.
La deuxième mesure est la supervision. Un agent qui agit sur des systèmes réels doit laisser des traces exploitables : quel outil a été appelé, avec quels paramètres, pour quelle raison apparente, à partir de quelle source de contexte et avec quel résultat. Sans ces journaux, l’audit devient très difficile. Or l’audit est précisément ce qui permet de comprendre une erreur, de limiter une compromission ou de prouver qu’un système respecte des règles internes.
Le consentement humain reste une barrière utile
L’objectif n’est pas de bloquer toute automatisation. Un agent qui doit demander confirmation pour la moindre lecture de document perd une grande partie de son intérêt. Mais certaines actions doivent rester soumises à validation : suppression, transfert externe, modification de droits, exécution de commandes, accès à des données sensibles, engagement financier ou publication.
Cette logique rejoint les recommandations plus larges publiées par les agences de cybersécurité sur l’adoption prudente de l’IA agentique. Les risques de privilèges excessifs, de mauvaise configuration, de comportement inattendu, de complexité structurelle et de responsabilité difficile à tracer reviennent régulièrement. MCP concentre ces sujets parce qu’il devient l’un des points de passage entre l’intention de l’agent et l’action concrète.
Pour les équipes techniques, cela signifie que la sécurité doit être pensée dès la conception du workflow. Ajouter un bandeau d’avertissement ou un contrôle superficiel après coup ne suffit pas. Il faut définir des politiques par outil, limiter les appels en fonction du contexte, séparer les environnements, surveiller les comportements inhabituels et prévoir des modes de dégradation si un serveur MCP devient suspect.
Un signal pour tout l’écosystème IA
L’alerte de la NSA arrive dans un contexte plus large. Le NIST, à travers le Center for AI Standards and Innovation, a publié le 18 mai 2026 une analyse des réponses reçues à sa demande d’information sur la sécurité des agents IA. Les contributeurs y reconnaissent largement que les agents présentent des menaces nouvelles, que ces préoccupations freinent l’adoption et que les pratiques de cybersécurité existantes doivent être adaptées.
Cette convergence entre NSA, NIST et autres agences montre que l’IA agentique entre dans une phase plus industrielle. Les agents ne sont plus seulement des démonstrations impressionnantes. Ils deviennent des composants d’architecture. À ce titre, ils héritent des exigences habituelles de l’informatique professionnelle : contrôle d’accès, robustesse, traçabilité, conformité et gestion des incidents.
La différence est que leur comportement dépend aussi d’un modèle capable d’interpréter du langage naturel, de prioriser des objectifs et de choisir des outils. Cette autonomie partielle rend les déploiements plus puissants, mais aussi plus difficiles à borner. Les organisations qui adopteront MCP sans modèle de menace clair risquent de découvrir trop tard que l’interface censée simplifier l’intégration est devenue une surface d’attaque centrale.
MCP n’est pas le problème, l’usage non maîtrisé l’est
Il serait exagéré de présenter MCP comme une technologie à éviter par principe. Les standards d’intégration sont nécessaires si l’on veut sortir des bricolages fragiles et des connecteurs isolés. Un protocole commun peut améliorer la maintenance, la portabilité et la qualité des implémentations.
Le vrai risque vient d’un déploiement trop rapide, où l’on confond connectivité et sécurité. Donner à un agent une liste d’outils puissants ne suffit pas à créer un système fiable. Il faut une politique claire pour chaque capacité : qui l’appelle, dans quel contexte, avec quelle limite, quelle preuve et quel recours en cas d’erreur.
Pour les entreprises, la bonne lecture de l’avertissement de la NSA est donc pragmatique. MCP peut devenir une brique utile de l’IA agentique, mais il doit être traité comme une infrastructure sensible. Les serveurs MCP doivent être inventoriés, testés, surveillés et intégrés au modèle de sécurité global. Les équipes doivent aussi former les développeurs à une réalité nouvelle : l’agent n’est pas seulement un utilisateur logiciel, c’est un acteur qui peut composer des actions à partir de données incertaines.
Ce que cette alerte change pour les prochains déploiements
À court terme, les organisations qui expérimentent MCP devraient commencer par cartographier leurs usages. Quels serveurs existent déjà ? Quels outils exposent-ils ? Quelles données traversent ces connexions ? Quels agents peuvent les invoquer ? Les réponses à ces questions sont souvent moins claires qu’on ne l’imagine, surtout lorsque les équipes testent rapidement de nouveaux assistants de développement, de support ou d’analyse documentaire.
Ensuite, il faut réduire les privilèges. Les outils MCP devraient être spécialisés, limités et observables. Les actions sensibles devraient exiger une confirmation explicite ou une politique indépendante du modèle. Les données non fiables devraient être marquées comme telles et isolées autant que possible du contexte décisionnel. Les journaux devraient permettre de reconstruire une séquence d’actions sans dépendre uniquement du résumé produit par l’agent.
La valeur de MCP sera réelle si les entreprises parviennent à concilier intégration rapide et contrôle strict. C’est exactement le défi de l’IA agentique en 2026 : faire agir les modèles sans leur donner un pouvoir invisible sur des systèmes critiques. L’avertissement de la NSA ne ferme pas la porte. Il rappelle simplement qu’une porte universelle doit être verrouillée avec plus de soin qu’un connecteur isolé.
Source
- NSA, Model Context Protocol (MCP): Security Design Considerations for AI-Driven Automation, 20 mai 2026
- NSA, Cybersecurity Information Sheet: Model Context Protocol (MCP), mai 2026
- NIST, Summary Analysis of Responses Regarding Security Considerations for AI Agents, 18 mai 2026
- Model Context Protocol, spécification officielle et cadre d’autorisation
- NSA, Careful Adoption of Agentic AI Services, 30 avril 2026
