Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORER KITEWORKS
Home > Blog Sécurité et Conformité > Non classifié(e) > MCP : faille révélée, sécurisez la gouvernance des données IA dès maintenant

MCP : faille révélée, sécurisez la gouvernance des données IA dès maintenant

par Patrick Spencer updated avril 21, 2026 Gestion des risques liés à la cybersécurité
temps de lecture: 9 minutes

Le 15 avril 2026, SecurityWeek a révélé que le Model Context Protocol — la norme ouverte qui connecte les agents IA aux outils d’entreprise, aux API et aux sources de données — présente une faiblesse « par conception » permettant des attaques massives sur la supply chain IA. Selon la recherche menée par OX Security, un seul serveur ou outil MCP compromis peut servir de point de pivot vers toutes les autres ressources connectées qu’un agent peut atteindre.

Résumé des points clés

  1. La faille est structurelle, pas un simple correctif. Les chercheurs ont démontré que le modèle de confiance du Model Context Protocol permet à tout connecteur compromis de pivoter vers chaque autre outil et source de données reliés au même agent. Aucun correctif CVE ne pourra résoudre ce problème.
  2. MCP devient la nouvelle couche d’accès privilégié aux données. Chaque base de données, application SaaS et API interne connectées à MCP héritent de la portée de l’agent. Si l’agent est trompé, tous les systèmes connectés sont exposés.
  3. Les entreprises déploient MCP plus vite qu’elles ne le gouvernent. Seules 43 % des organisations disposent d’une passerelle centralisée pour les données IA. Les 57 % restantes sont fragmentées, partielles ou n’ont aucun contrôle IA dédié.
  4. Des acteurs étatiques exploitent déjà MCP dans la nature. Anthropic a révélé une campagne chinoise sponsorisée par l’État, utilisant Claude Code et des outils MCP pour orchestrer des intrusions IA contre une trentaine d’organisations.
  5. La solution passe par la gouvernance au niveau des données, pas par l’espoir au niveau du modèle. Chaque demande de données IA doit être authentifiée, autorisée et auditée au point d’accès aux données — et non à l’intérieur du modèle, où les prompts peuvent outrepasser les règles de sécurité.

Il ne s’agit pas d’une erreur de codage, mais d’une conséquence structurelle de la spécification de MCP.

Les chercheurs à l’origine de cette découverte ont expliqué à IT Pro qu’il s’agit d’une caractéristique systémique permettant l’exécution de commandes arbitraires sur les serveurs MCP, et qu’aucun correctif ne pourra résoudre le problème puisque le modèle de confiance lui-même est en cause. L’un d’eux a souligné que les développeurs ne sont pas des experts en cybersécurité et ne peuvent pas être tenus de redécouvrir et corriger seuls des failles intégrées dans les SDK qu’ils utilisent. Le reportage IT Pro indique que plus de 200 000 serveurs MCP pourraient être concernés, couvrant des API internes, des bases de données et des connecteurs SaaS dans l’ensemble des entreprises.

Ce point est crucial car MCP est devenu l’infrastructure de base de l’IA d’entreprise. Dès qu’un RSSI valide la connexion d’un agent au CRM, au dépôt de code ou à la base documentaire, cet agent devient une voie d’accès privilégiée aux données — et jusqu’ici, très peu d’organisations géraient cette voie comme une infrastructure critique.

MCP n’est pas l’ennemi. MCP a permis à l’IA d’entreprise de réellement fonctionner.

Avant MCP, connecter un grand modèle de langage à un système interne exigeait une intégration sur mesure, une authentification personnalisée et une revue de sécurité dédiée pour chaque connexion. MCP a standardisé tout cela. Un assistant IA peut désormais accéder aux partages de fichiers, systèmes de tickets, tableaux de bord d’observabilité et dépôts de code via un protocole unique. Les développeurs réalisent des intégrations en quelques heures au lieu de plusieurs mois.

C’est cette rapidité qui fait l’histoire. Mais c’est aussi cette rapidité qui pose problème.

Le rapport prévisionnel 2026 de Kiteworks sur la sécurité des données et les risques de conformité révèle que seules 43 % des organisations disposent d’une passerelle centralisée pour les données IA. Les 57 % restantes sont fragmentées, partielles ou « avancent à l’aveugle ». Parmi ces 57 %, le rapport identifie 19 % ayant assemblé des solutions ponctuelles sans politique cohérente, 26 % avec des contrôles partiels ou ad hoc, et 7 % sans aucun contrôle IA dédié. Le secteur public est le plus en retard : 90 % n’ont pas de gouvernance IA centralisée et un tiers n’a aucun contrôle dédié sur les données IA. Pourtant, ces organisations gèrent des données citoyennes, des informations classifiées et des infrastructures critiques.

La révélation sur MCP vient accentuer cette faille. Toutes les organisations de ces 57 % utilisent au moins une intégration de type MCP, souvent plusieurs. Lorsqu’un seul outil compromis peut pivoter vers les autres, la fragmentation n’est plus un simple inconvénient : elle devient la surface d’attaque.

Ce n’est pas théorique : des acteurs étatiques exploitent déjà MCP à grande échelle

En novembre 2025, Anthropic a révélé avoir détecté et neutralisé une opération de cyber-espionnage attribuée, avec un haut niveau de confiance, à un groupe chinois sponsorisé par l’État, baptisé GTG-1002. Cet acteur a utilisé Claude Code et des outils Model Context Protocol, exécutant plusieurs instances de Claude en groupes, agissant comme « orchestrateurs » autonomes pour piloter les étapes majeures du cycle d’intrusion : reconnaissance, découverte de vulnérabilités, exploitation, déplacement latéral, collecte d’identifiants et analyse de données.

La campagne a ciblé environ 30 entités. Selon le rapport prévisionnel 2026 de Kiteworks, l’IA a exécuté environ 80 à 90 % des tâches tactiques, les humains n’intervenant qu’à quatre à six moments critiques par campagne — par exemple, pour valider le passage de la reconnaissance à l’exploitation ou décider des données à exfiltrer. Le Global Cybersecurity Outlook 2026 du World Economic Forum a identifié ce cas comme la première attaque confirmée où une IA agentique a accédé à des cibles de grande valeur, dont des entreprises technologiques majeures et des agences gouvernementales.

L’aspect défensif à retenir ici est purement mécanique : les attaquants n’ont pas exploité une faille du modèle. Ils ont utilisé l’agent standard et les outils MCP standard. Chaque étape qui aurait pu être auditée par une couche de gouvernance des données l’aurait effectivement été. À l’inverse, chaque étape dépendant du comportement du modèle a dépassé les limites prévues.

L’étude Agents of Chaos — une expérience red team de deux semaines menée par le BauLab de Northeastern University, avec vingt chercheurs issus d’institutions telles que Harvard, MIT, Stanford, Carnegie Mellon et d’autres, publiée en février 2026 — a documenté pourquoi ce schéma est structurel. Les agents cherchent par défaut à satisfaire l’interlocuteur le plus pressant, n’ont aucune auto-évaluation pour savoir s’ils dépassent leurs compétences, et ne peuvent pas suivre de façon fiable quels canaux de communication sont visibles par qui. Cinq des dix principaux risques OWASP pour les applications LLM correspondent directement à des échecs observés lors de déploiements réels.

Pourquoi les contrôles traditionnels ne suffisent pas

Les équipes de sécurité se demandent souvent si leur pile actuelle couvre déjà ce risque. Pour la quasi-totalité des contrôles traditionnels, la réponse est non.

La détection et la réponse sur les endpoints ne voient rien. L’agent IA est un processus authentifié légitime agissant pour le compte d’un utilisateur légitime. L’appel d’outil est indiscernable d’une activité normale.

La prévention des pertes de données ne détecte rien. Les données sortantes circulent dans un workflow IA approuvé par l’organisation. Les règles DLP basées sur l’exfiltration de fichiers, les transferts USB ou les pièces jointes suspectes ne s’appliquent pas à un agent effectuant un appel API autorisé.

Le pare-feu applicatif web est aveugle par conception. Les WAF inspectent le trafic entrant d’utilisateurs humains. Le trafic machine-à-machine généré par un workflow agentique autorisé ne correspond pas à ce modèle d’inspection.

Les garde-fous au niveau du modèle peuvent être contournés. Toutes les grandes plateformes ayant déployé des défenses contre l’injection de prompt ont vu ces protections contournées par des chercheurs. Une étude à grande échelle sur 14 904 GPT personnalisés a montré que 96,51 % étaient vulnérables aux attaques par jeu de rôle et 92,20 % à la fuite de prompt système. Ce n’est pas un cas isolé.

La conclusion architecturale est sans appel : la gouvernance intégrée au modèle est négociable. Celle qui s’applique au niveau des données ne l’est pas.

La réponse : pourquoi la gouvernance doit s’appliquer là où résident les données

Les mesures proposées après la révélation — isolation stricte des services MCP, droits minimaux par outil, validation des instructions du modèle, surveillance des appels d’outils et des transferts de données anormaux — vont dans la bonne direction. Mais elles ne fonctionnent que si elles sont appliquées à un endroit que l’agent ne peut pas outrepasser.

Cet endroit, c’est la couche d’accès aux données.

La gouvernance au niveau des données s’inspire du principe du zero trust : aucune confiance implicite basée uniquement sur l’identité. Chaque demande de données IA est authentifiée indépendamment. Chaque requête est évaluée en temps réel selon des règles d’accès basées sur les rôles et les attributs. Chaque demande est journalisée avec suffisamment de détails pour reconstituer exactement ce qui s’est passé : quelles données ont été consultées, par quel système IA, pour quel utilisateur, à quel moment, sous quelle règle. Si l’agent tente de dépasser ses autorisations, la couche de données refuse. Si l’évaluateur détecte un comportement anormal, il met fin à la session.

C’est ce schéma d’architecture qui fonde le Kiteworks AI Data Gateway. Il ne dépend pas du bon comportement du modèle. Il ne suppose pas que le serveur MCP est digne de confiance. Il ne repose pas sur la sécurité du prompt. La politique s’applique au niveau des données, indépendamment du modèle, du prompt ou du framework agent. Si le modèle est compromis, mis à jour ou manipulé, la couche de gouvernance continue d’appliquer les règles. C’est la différence entre la conformité de façade et la conformité réelle.

Comment Kiteworks gouverne MCP sans bloquer l’IA

Kiteworks a été conçu pour répondre précisément à ce scénario de menace. Le Kiteworks Secure MCP Server permet aux applications de grands modèles de langage comme Claude et Copilot d’interagir avec le Réseau de données privé Kiteworks via le Model Context Protocol standard — mais avec des contrôles de niveau entreprise intégrés dès la conception.

Chaque session MCP s’authentifie via OAuth 2.0 avec des jetons stockés dans le trousseau du système d’exploitation, jamais exposés au modèle IA. Chaque opération est évaluée en temps réel par le moteur de règles de données Kiteworks, qui applique des contrôles d’accès basés sur les rôles et les attributs. L’agent IA hérite des autorisations de l’utilisateur qui l’a autorisé et ne peut pas les dépasser. La validation des chemins bloque l’accès aux fichiers système et interdit par défaut les chemins absolus. Le rate limiting empêche l’épuisement des ressources ou l’extraction massive de données par l’IA. Chaque action — réussie ou refusée — est consignée dans le journal d’audit consolidé de Kiteworks, transmis en temps réel au SIEM du client.

Le Kiteworks AI Data Gateway applique le même modèle aux workflows IA programmatiques, y compris les pipelines RAG conformes. Les systèmes IA interrogent les données d’entreprise via une interface gouvernée unique. Les classifications de sensibilité sont respectées. Les labels Microsoft Information Protection sont pris en compte. Le journal d’audit répond aux exigences de documentation HIPAA, RGPD, SOC 2 et FedRAMP.

Concrètement, un serveur MCP compromis relié à Kiteworks ne peut pas pivoter. La frontière de confiance se situe au point d’accès aux données, pas au niveau de l’agent ou du protocole. L’agent peut demander ; la couche de données ne répond que dans le cadre de la politique, et tout est consigné, qu’il y ait accès ou non.

Ce que les organisations doivent faire ce trimestre

La révélation sur MCP impose une réaction immédiate. Les organisations qui utilisaient MCP comme projet expérimental doivent désormais l’intégrer à leur programme de gouvernance — et celles qui ne l’ont pas encore déployé à grande échelle disposent d’une courte fenêtre pour l’architecturer correctement dès le départ.

Première étape : inventorier toutes les connexions MCP en production. La plupart des organisations ignorent combien elles en ont. Commencez par les outils ayant probablement ajouté des fonctions IA ces dix-huit derniers mois : plateformes d’observabilité, systèmes de tickets, dépôts de code, CRM, suites collaboratives, bases documentaires internes. Tout outil traitant des entrées non fiables et pouvant accéder à des données sensibles est concerné.

Deuxième étape : classer les serveurs MCP comme infrastructures critiques du plan de données. Ce ne sont pas de simples utilitaires. Ils doivent répondre aux mêmes exigences de gestion du changement, de modélisation des menaces et de configuration de base que tout système manipulant des données réglementées. Le rapport prévisionnel 2026 de Kiteworks a révélé que 63 % des organisations ne peuvent pas limiter l’usage des agents IA à un objectif précis et que 60 % ne peuvent pas mettre fin à un agent défaillant. La solution commence par traiter MCP comme la véritable couche d’accès qu’il représente.

Troisième étape : appliquer le principe du moindre privilège au niveau de l’outil, pas de l’agent. Chaque outil MCP doit s’authentifier avec un compte de service dédié et limité. Les agents ne doivent hériter que des autorisations de l’utilisateur ayant validé la session. Un accès large et global — par défaut dans de nombreux déploiements MCP — est le principal facteur de risque de pivot documenté dans la révélation.

Quatrième étape : déplacer la gouvernance du modèle vers la couche de données. Les garde-fous au niveau du modèle et les prompts système sont contournables. L’application des politiques au niveau des données ne l’est pas, car elle ne fait pas confiance à l’agent. Chaque demande de données IA doit passer par une passerelle gouvernée qui authentifie, autorise et audite indépendamment du modèle ou du serveur MCP.

Cinquième étape : exiger des journaux d’audit de qualité probante. Le rapport Kiteworks indique que 33 % des organisations n’ont pas de journaux d’audit pour les opérations IA et que 61 % disposent de logs fragmentés, inutilisables en cas d’enquête. Lors du prochain pivot MCP — et il arrivera — la différence entre un incident maîtrisé et une violation déclarée sera votre capacité à reconstituer précisément ce que l’agent a fait et pourquoi. Des logs infalsifiables, transmis en temps réel au SIEM, sont le minimum requis.

Sixième étape : inscrire la gouvernance IA à l’ordre du jour du conseil d’administration ce trimestre. Le rapport Kiteworks révèle que 54 % des conseils ne sont pas impliqués dans la gouvernance IA, et ces organisations accusent un retard de 26 à 28 points sur tous les indicateurs de contrôle IA. La révélation sur MCP transforme le débat de l’abstrait au concret. Saisissez cette opportunité.

La période où MCP pouvait être traité comme une commodité expérimentale est révolue. Il s’agit désormais d’une infrastructure de production, et elle vient d’être identifiée comme le point de pivot le plus vulnérable de la supply chain IA d’entreprise. Les organisations qui déplaceront la gouvernance vers la couche de données dans les soixante prochains jours pourront continuer à déployer l’IA. Celles qui espèrent qu’un prochain correctif suffira ne le pourront pas.

Foire aux questions

1. Notre équipe déploie des serveurs MCP pour connecter nos assistants IA à nos systèmes internes : comment repenser notre modèle de sécurité après cette révélation ?

Considérez chaque serveur MCP comme une infrastructure critique du plan de données, et non comme une simple intégration pratique. Authentifiez chaque outil avec un compte de service dédié et limité, appliquez le moindre privilège par outil, validez tous les inputs et journalisez chaque appel d’outil vers le SIEM en temps réel. Surtout, ne comptez pas sur l’agent ou le protocole pour appliquer les politiques : appliquez-les au niveau de l’accès aux données, là où un serveur MCP compromis ne peut pas les contourner. Consultez le Kiteworks Secure MCP Server pour l’architecture de référence.

2. Nous utilisons un pipeline RAG avec des données d’entreprise : la faille MCP concerne-t-elle aussi les workflows IA programmatiques, et pas seulement les assistants interactifs ?

Oui. Le Global Cybersecurity Outlook 2026 du WEF documente que l’IA agentique a été utilisée sur l’ensemble du cycle d’attaque lors de campagnes réelles. Un pipeline RAG gouverné exige la même application des politiques au niveau des données que MCP interactif : chaque demande de données IA doit être authentifiée, autorisée selon la politique, et journalisée avant restitution des données.

3. Nos outils DLP, WAF ou EDR actuels peuvent-ils détecter l’exfiltration de données via un serveur MCP compromis ?

En général, non. Les outils périmétriques et endpoints traditionnels sont conçus pour inspecter le trafic et les mouvements de fichiers initiés par des humains ; ils sont structurellement aveugles au trafic IA machine-à-machine. Un serveur MCP compromis exfiltrant des données ressemble à une activité IA légitime et autorisée. Le rapport prévisionnel 2026 de Kiteworks indique que 60 % des organisations n’ont pas de détection d’anomalies spécifique à l’IA. La gouvernance doit migrer vers la couche de données.

4. Nous sommes dans la santé et soumis à HIPAA : quel est le risque réglementaire si un agent IA exfiltre des informations médicales protégées via un connecteur MCP compromis ?

Le risque est réel. La conformité HIPAA exige des journaux d’audit infalsifiables et des contrôles d’accès documentés, qu’il s’agisse d’accès humain ou agentique. Le rapport prévisionnel 2026 de Kiteworks révèle que 77 % des acteurs du secteur santé n’ont pas de passerelle centralisée pour les données IA et que 14 % n’ont aucun contrôle IA dédié. Sans couche de données gouvernée journalisant chaque requête IA, les organisations ne peuvent pas fournir la documentation attendue par HIPAA — transformant un incident en violation déclarable.

5. Notre conseil d’administration s’interroge sur la signification de la révélation MCP pour notre stratégie IA : comment le briefer sans exagérer ni minimiser ?

Présentez-le comme une décision d’architecture, pas comme un incident. Le reportage IT Pro montre que la faille est systémique et touche tout l’écosystème MCP, pas un seul fournisseur. La vraie question pour le conseil est de savoir si le déploiement IA de l’organisation bénéficie d’une gouvernance au niveau des données, ou s’il repose sur le bon comportement du modèle et du protocole. Le rapport Kiteworks indique que 54 % des conseils ne sont pas impliqués dans la gouvernance IA ; ces organisations accusent un retard de 26 à 28 points sur tous les indicateurs de contrôle IA.

Lancez-vous.

Il est facile de commencer à garantir la conformité réglementaire et à gérer efficacement les risques avec Kiteworks. Rejoignez les milliers d’organisations qui ont confiance dans la manière dont elles échangent des données privées entre personnes, machines et systèmes. Commencez dès aujourd’hui.

VOIR LA DÉMO

Table of Contents

Table of Content
Partagez
Tweetez
Partagez
Explore Kiteworks